Closed mortenlj closed 3 years ago
En mulig løsning kan være å lage det som en Vault Secret Engine plugin: https://www.vaultproject.io/docs/secrets/databases/custom
Det å spytte det inn i Vault, som appene selv henter er en velprøvd strategi on-prem. Så ingen dum løsning det der.
Dette vil ikke fungere i GCP da vi ikke har Vault der, men heller secrets.
Med team namespaces så virker det naturlig å bare opprette en secret aiven-credentials
i namespacet som gir tilgang til teamets service bruker på Aiven.
For on-site så må vi evt. putte disse i Vault hvis ikke vi bare kan gå for secrets i namespace der og.
@mortenlj hadde jo vært kjekt å bruke dette som en liten godteri for å få folk til å bruke team namespaces. Pluss en mindre ting for dere å lage.
Pluss en mindre ting for dere å lage.
"Mindre ting å lage" er vi positive til 😀
Jeg tror egentlig vi kommer til å si vi baserer oss på team namespaces, det er en god del ting som blir enklere da. Dvs. vi støtter ikke at man kjører i "shared namespace".
Tanken er at en app skal definere hvilke topics den skal konsumere fra og produsere til, og så skal vi sørge for at den får de nødvendige credentials for å gjøre disse operasjonene.
Vi må finne ut hvordan vi skal eksponere disse til appene. Det finnes antageligvis flere varianter, så jeg skal prøve å liste opp noen av de jeg kommer på: