Vault после BSL и блокировок: OpenBao, sops или вообще не париться? Нужен реальный опыт миграции

[Bill2001]

Назрел переезд. Сейчас hashicorp vault 1.13, старый, обновляться некуда: новые версии под BSL, плюс бинари с их сайта для РФ не отдаются, качаем через прокси, и это надоело. Инфра: k8s на 30 сервисов плюс 4 легаси VM с systemd сервисами. Секретов сотни две: пароли БД, токены интеграций, ключи платежек.

Варианты, которые смотрю:
- OpenBao, форк vault под Linux Foundation, вроде живой
- sops + age, секреты шифрованные прямо в гите
- external-secrets плюс какой-нибудь облачный бекенд
- циничный вариант: гитлабовские CI variables и не выпендриваться

Интересует кто куда переехал реально, а не в теории. Особенно сам процесс миграции.

[regexveteran]

OpenBao 2.3 в проде с осени. Мигрировали с vault 1.13 практически без боли, api совместимый, agent injector завелся, политики переехали как были. Единственное, ui местами сыроват и часть энтерпрайз фич отсутствует, но вам они судя по описанию и не нужны. Бери и не думай.

[madmonk]

sops + age и в гит. для двухсот секретов городить vault было оверкиллом с самого начала

[darthb]

Сопсу возражу. Секреты в гите это удобно ровно до первого оффбординга. Ключ age у уволенного сотрудника остался, ротация это перешифровать весь репозиторий, а история коммитов все равно скомпрометирована навсегда. Для пароля от тестовой базы ладно, для ключей платежек категорически нет.

[tatiankake]

а чем вам vault не угодил то? мы пользуемся и нормально

[esp32_dev]

external-secrets-operator и любой бекенд за ним, хоть yandex lockbox, хоть openbao. Сервисам в k8s все равно откуда секреты приезжают, ESO эту разницу прячет, поменять бекенд потом дешево. С VM сложнее, у нас там так и остался ansible-vault, и честно говоря всех устраивает.

[svelte88]

@darthb, в прошлой конторе все секреты лежали в .env в репе и в запиненном сообщении в телеге. 8 лет, ни одного инцидента. не повторяйте, но задумайтесь, хах

[Macrano]

@darthb, вообще-то BSL не запрещает вам использовать vault, почитайте лицензию, ограничение только на конкурирующие managed сервисы. другое дело что обновления из РФ качать неоткуда без костылей, вот это реальная причина, а не лицензия

[hunter22]

openbao + eso в кубе, на легаси VM bao agent. собственно все, не благодари