Preview: OpenBao Integration in mc-terrarium and Alignment with Tumblebug #2330
Replies: 1 comment 1 reply
-
|
mc-terrarium 구동 시 OpenBao를 함께 구동하는 것. 은 CB-TB에서 충분히 지원할 수 있는 부분인 것 같습니다. 좋은 개선 감사합니다. 일전에 저도 CB-TB에 이(다양한, 시크릿 관리자)를 도입해볼까 하다가, 개발시 복잡성을 추가할까봐 결국 내려놓긴 했었습니다. 결국 선택한 방식은 credential 파일을 암호화/복호화하는 간단한 체계 도입이었습니다. CB-TB 에도 mc-terrarium에서 도입한 OpenBao를 함께 도입했을 때도, 기존 (CB-TB 중심의) Cloud-Barista 개발자에게, 기존과 유사한 수준의 간단한 처리 체계를 지원할 수 있을지가 궁금합니다. 일단 제가 상상해본 모습은 아래와 같습니다.
|
Beta Was this translation helpful? Give feedback.
-
말씀하신 부분을 고려하여 Terrarium에서 init/init.sh와 init/unseal-openbao.sh 스크립트를 개발 및 테스트를 진행했습니다. 개발하는 상황에서는 아래 Makefile과 같이 스크립트를 실행하여, init: ## Initialize OpenBao and register credentials (first-time setup)
@echo "Initializing OpenBao and registering credentials..."
@bash init/init.sh
unseal: ## Unseal OpenBao (needed after every restart)
@echo "Trying to unseal OpenBao (if not already unsealed)..."
@bash init/unseal-openbao.sh || true
compose: swag prepare-volumes ## Build and start all services (+ unseal OpenBao)
@echo "Building and starting all services..."
@DOCKER_BUILDKIT=1 docker compose up --build -d
@$(MAKE) unseal(참고 1) Productions 환경에서 시스템 재구동 시, 매뉴얼하게 unseal을 수행하는 것을 권장하고 있습니다. 이는 현재 Tumblebug의 초기화 과정(TB->SP)을 유지하면서 Terrarium 및 OpenBao 초기화(TR->BAO)를 추가로 수행하는 상황으로 보시면 될 것 같습니다. 당분간 Terrarium에서 테스트 및 트러블슈팅을 진행하다가 적절한 시점에 Tumblebug에 통합하도록 하겠습니다. 니즈에 따라 OpenBao를 다양하게 활용하는 부분에 대해서는 차차 고려해 볼 수 있을 것 같습니다. 예를 들어,
|
Beta Was this translation helpful? Give feedback.
Uh oh!
There was an error while loading. Please reload this page.
Uh oh!
There was an error while loading. Please reload this page.
-
Hi, @cloud-barista/cb-tumblebug 👋
직접적인 영향을 받는 CB-Tumblebug 메인테이너 및 기여자분들께 사전에 공유해 드리는 부분입니다.
생소한 도메인이라 국문으로 공유해 드렸으며, Portal, AdminCLI에도 영향이 있으니 함께 의견을 주셔도 좋을 것 같습니다.
평문 파일로 존재하던 Credential을 암호화된 상태로 저장하고 OpenTofu에서 활용하기 위해,
mc-terrarium은 Secret Management System인 OpenBao(forked from Vault) 연동 및 테스트를 진행했습니다.
: Credential 등록 패턴을 Tumblebug의 init과 유사한 패턴으로 적용한 상태 (연계/통합 고려)
향후, mc-terrarium에서 관리하는 모든 HCL의 Secret 참조 로직을 개선할 예정입니다.File에서 참조 -> Secret Management System (OpenBao) 에서 참조로 개선 완료 (see cloud-barista/mc-terrarium#189)
현재, 사용자/개발자가 Credential 참조 방식을 File 또는 OpenBao 중에서 선택하여 mc-terrarium을 구동할 수 없다고 판단하고 있습니다.
따라서, "모든 HCL의 Secret 참조 로직을 개선"이 완료되면 mc-terrarium 구동 시 OpenBao를 함께 구동하는 것이 필수가 됩니다.
이에 CB-Tumblebug에 영향이 갈 수 있는 부분들을 정리하여 공유드립니다.
아래 사항을 대략적으로 살펴보시고 의견 또는 문의사항이 있으시면 편하게 말씀해 주시기 바랍니다.
OpenBao Overview
OpenBao is an open source, community-driven fork of Vault managed by the Linux Foundation.
(Official website footer)
OpenBao 연계/통합 미리보기 (from Terrarium)
Beta Was this translation helpful? Give feedback.
All reactions