secrets management : etudier secretgen-controller

[revolunet]

• Pour limiter les besoins de predeploy/manips sur le serveur au moment des déploiements pour récupérer des secrets
• Pour eviter la faille de secu induite par kubed

Etudier cet outil : https://github.com/carvel-dev/secretgen-controller

[revolunet]

Notes :

• permet de générer des secrets à partir de CRD
• permet de générer des secrets via des CRD à partir de ressources kube existantes (secrets ou autres)
• permet d'export/import des secrets entre NS

La CRD ExportSecret permet d'autoriser un secret à être importé dans d'autres NS (à définir en dur)

La CRD ImportSecret permet d'importer un secret dans un NS tiers

Donc de ce que je comprend, si nouveau NS, alors il faut mettre à jour ExportSecret et ajouter un ImportSecret dans le nouveau NS. (pas sur que ca nous aide sur notre point sécu)

---

Notes à propos des soucis actuels sur la gestion des secrets :

Jobs de build :

• en dev : create-db : besoin du secret-admin... pb réglé avec CNPG ?
• secret harbor pour les images docker ?

d'autres cas ?

[devthejo]

pb réglé avec CNPG ?

yes ça résout uniquement ça (et les futurs cas similaires) dans la CI

mais ça permet aussi de réduire la complexité de ce qui déployé via argocd

pour que ça résolve le cloisonnement il faudrait que sur le export on puisse choisir un label de namespace à la place d'un nom (pour s'appuyer sur notre système de cloisonnement actuel basé sur rancher)
on pourrait peut être proposer une PR sur cet outil pour ça (car il semble globalement prometteur, il manque seulement cette petite feature)

[revolunet]

carvel-dev/secretgen-controller#337

[devthejo]

carvel-dev/secretgen-controller#376 merged, waiting for release ...