Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Ansible Vault for CIOps

Avatar for Keke Keke
July 30, 2019
Technology
1
1.2k

Ansible Vault for CIOps

Avatar for Keke

Keke

July 30, 2019
Tweet

More Decks by Keke

See All by Keke
リモートワークを支える勤怠管理 ~プラットフォームとしてのSlackの活用 ~
Avatar for Keke keisukeyamashita
0
670
Serving GitHub Actions Self-Hosted Runner as a Platform (Part 1: Introduction)
Avatar for Keke keisukeyamashita
0
390
Serverlessを取り巻く現状とAll Serverlessでプロダクトを構築する苦労
Avatar for Keke keisukeyamashita
10
3k
Spinnakerで実践するマイクロサービスの 安全なリリースフローとベストプラクティス
Avatar for Keke keisukeyamashita
3
1.1k
Spinnaker Application management by Terraform Plugins
Avatar for Keke keisukeyamashita
2
900
Open Policy AgentとSpinnakerで実現するマイクロサービスの安全な継続的デリバリー
Avatar for Keke keisukeyamashita
8
6.2k
How to develop a custom Terraform provider@Merpay SRE Tech Talk
Avatar for Keke keisukeyamashita
0
420
Introduction to Spinnaker Managed Pipeline Templates
Avatar for Keke keisukeyamashita
3
6.7k
Cloud Runでシステムを作るためのアーキテクチャのTipsとコストの話
Avatar for Keke keisukeyamashita
3
1.5k

Other Decks in Technology

See All in Technology
AIと共に乗り越える、 入社後2ヶ月の苦労と学習の軌跡
Avatar for Sai Kaneko sai_kaneko
0
200
Ninno LT
Avatar for Yasunobu Kawaguchi kawaguti
PRO
1
100
C++26アップデート 2025-03
Avatar for Akira Takahashi faithandbrave
0
1.2k
更新系と状態
Avatar for uhyo uhyo
8
2.2k
OPENLOGI Company Profile for engineer
Avatar for OPENLOGI hr01
1
26k
Microsoft の SSE の現在地
Avatar for skmkzyk skmkzyk
0
280
Oracle Base Database Service 技術詳細
Avatar for oracle4engineer oracle4engineer
PRO
7
63k
Compose におけるパスワード自動入力とパスワード保存
Avatar for tonionagauzzi tonionagauzzi
0
190
DynamoDB のデータを QuickSight で可視化する際につまづいたこと/stumbling-blocks-when-visualising-dynamodb-with-quicksight
Avatar for emi emiki
0
110
Computer Use〜OpenAIとAnthropicの比較と将来の展望〜
Avatar for PharmaX(旧YOJO Technologies)開発チーム pharma_x_tech
6
980
2025-04-24 "Manga AI Understanding & Localization" Furukawa Arata (CyberAgent, Inc)
Avatar for Arata Furukawa ornew
2
330
AIエージェント開発手法と業務導入のプラクティス
Avatar for Yoshinori Kosaka ykosaka
9
2.7k

Featured

See All Featured
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
462
33k
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
30
5.7k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
105
19k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
71
4.7k
Faster Mobile Websites
Avatar for Dean Hume deanohume
306
31k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
280
13k
A designer walks into a library…
Avatar for Paul Jervis Heath pauljervisheath
205
24k
The Invisible Side of Design
Avatar for Vitaly Friedman smashingmag
299
50k
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
38
1.7k
The Language of Interfaces
Avatar for Des Traynor destraynor
158
25k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
26k
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
331
21k

Transcript

  1. 2019/07/30 ANSIBLE NIGHT LT ANSIBLE VAULT FOR CIOPS Keke Twitter:

    @_k_e_k_e

  2. $ WHOIAM KEISUKE YAMASHITA TWITTER: @_k_e_k_e 新卒で Merpay.inc SRE Team

    Chaos Engineering, Cashless are my main interest

  3. ANSIBLE VAULT シークレットを Encrypt ・Decrypt できるCLI ツール

  4. PRESENTATION AGENDA 皆さんに伝えたいこと CIOps というContinuous Delivery のパターン Ansible Vault を使ったCIOps

    運⽤のTips

  5. 場所に応じた最⼩限の権限をつけよう どこになんの権限が必要であるかを考えて権限付与 万が⼀のケースを考えよう 例: VM に⼊られるとprintenv などを使って簡単にパスワー ドを取れる CLI ツールとしてAnsible

    Vault は便利 CI とローカルでEncrypt ・Decrypt するには使い勝⼿がいい TAKEAWAY FOR CIOPS
  6. None
  7. None

  8. CIOPS って?

  9. 継続的デリバリーの主なPOINT AUTOMATION リリース作業をなくす。 ヒューマンエラーを防ぐ。 GET FEEDBACK すぐデプロイをして、ユーザーに価値を届ける。 バグを⾒つけるまでの時間を短縮。 ACCERATE WITH

    MICROSERVICE マイクロサービス アーキテクチャに伴い、デプロイ数の急増するので スケールさせるには継続的デリバリーが必要。

  10. WHATS CIOPS?

  11. WHATS CIOPS? CD の⼀つのパターン deploy trigger push

  12. WHATS CIOPS? CD の⼀つのパターン deploy trigger push Deploy by CI

  13. WHATS CIOPS? CD の⼀つのパターン deploy trigger push Some secrets Deploy

    by CI

  14. どうやってCIOPS のために SECRET 管理するの?

  15. $ cat .env DB_USER: root DB_PASS: tsuyoi_password_ni_sitene DB_NAME: master EXTERNAL_ACCESS_TOKEN:

    gaibu_ni_access_suru_token

  16. 1. RAW SECRETS 管理

  17. RAW SECRETS 管理 1. $ git push deploy trigger push

  18. RAW SECRETS 管理 1. $ git push deploy trigger push

  19. RAW SECRETS ON GITHUB PROS & CONS SECRET へ 誰でもアクセスできる

    Github が漏出したら 終わり コミットに永遠に残り Revoke するのが難しい

  20. 2. CI でSERECT 管理

  21. 2. CI でSERECT 管理

  22. 2. CI 上でSERECT 管理 Git にはSerect は載せない $ echo ".env"

    >> .gitignore

  23. 2. CI 上でSERECT 管理 config deploy trigger push

  24. 2. CI 上でSERECT 管理 CI に設定 ( この例ではCircleCI)

  25. SEALED SECRETS ON CI PROS & CONS 何かしらの⽅法で Dev にPassword

    を 渡さないといけない CI にPassword の 漏洩リスクあり Git には Secret はない Password 変更があると CI も変更しないといけない

  26. 3. SEALED SECRECT によるCIOPS secrets write Admin Dev Dev Dev

    Dev Dev Read

  27. 3. SEALED SECRECT によるCIOPS

  28. 3. SEALED SECRECT によるCIOPS

  29. 3. SEALED SECRECT によるCIOPS deploy trigger push deploy trigger Encrypt

    Decrypt config password password password

  30. SECRETS ON CI PROS & CONS 何かしらの⽅法で Sercet を共有しないといけない CI

    に漏洩リスクあり Git に漏洩リスクはなく デプロイできる

  31. 3. SEALED SECRECT によるCIOPS password write Admin Dev Dev Dev

    Dev Dev Read

  32. ANSIBLE VAULT

  33. ANSIBLE VAULT シークレットを Encrypt ・Decrypt できるCLI ツール

  34. $ cat .env DB_USER: root DB_PASS: tsuyoi_password_ni_sitene DB_NAME: master EXTERNAL_ACCESS_TOKEN:

    gaibu_ni_access_suru_token

  35. Encrypt 1. $ ansible-vault encrypt .env.yml => New Vault password:

    [ パスワード⼊れる] => Confirm Vault password: [ 再度パスワード⼊れる] $ANSIBLE_VAULT;1.1;AES256 62663931376163656235343237376235636664303733643139346565326633336664643938333164 6635393466386336383133316262343033363838373939380a343339346136353935303938373937 38386664323865633431313430666532303731346361346331656565643236386435366535346239 ....

  36. 2. Decrypt $ ansible-vault decrypt .env.yml => New Vault password:

    [ パスワード⼊れる] => Confirm Vault password: [ 再度パスワード⼊れる] DB_USER: root DB_PASS: tsuyoi_password_ni_sitene DB_NAME: master EXTERNAL_ACCESS_TOKEN: gaibu_ni_access_suru_token

  37. 3. SEALED SECRECT によるCIOPS Encrypt password $ ansible-vault encrypt .env.yml

  38. 3. SEALED SECRECT によるCIOPS push Encrypt password

  39. 3. SEALED SECRECT によるCIOPS trigger push trigger Encrypt Decrypt config

    password password password $ ansible-vault decrypt .env.yml

  40. 3. SEALED SECRECT によるCIOPS deploy trigger push deploy trigger Encrypt

    Decrypt config password password password

  41. $ ssh -p 64535 100.xxx.yyy.zzz <= ノードに⼊る $ printenv DB_NAME=master

    DB_PASSWORD=tsuyoi_password_ni_sitene DB_USER=root EXTERNAL_ACCESS_TOKEN=gaibu_ni_access_suru_token

  42. 4. DECRYPT IN APPLICATION

  43. 4. DECRYPT IN APPLICATION deploy trigger push deploy trigger IAM

    secrets IAM secrets secrets IAM secrets Authn/z keys

  44. 3. SEALED SECRECT によるCIOPS deploy trigger push deploy trigger IAM

    secrets IAM secrets secrets IAM secrets Authn/z keys Deploy KMS

  45. $ cat .env.dev.yml $ ansible-vault encrypt .env.dev.yml --out .env.dev.yml.enc .

    --vault-password-file=<(echo "password")

  46. $ STAGE="prod" $ ansible-vault encrypt .env.$STAGE.yml --out .env.$STAGE.yml.enc - -vault-password-file=<(echo

    $PASSWORD)

  47. HASHICORP VAULT Secret を管理するためのソフ トウェア。最近、 Kubernetes と合わせて使わ れるケースが多い。 GOOGLE BERGLAS

    Google Cloud Storage と Cloud KMS での SealedSecret BITNAME SEALED SECRETS Kubernetes 上でDecrypt で きるSealedSecret を実現する コントローラー Compare

  48. 場所に応じた最⼩限の権限をつけよう どこになんの権限が必要であるかを考えて権限付与 万が⼀のケースを考えよう 例: VM に⼊られるとprintenv などを使って簡単にパスワー ドを取れる CLI ツールとしてAnsible

    Vault は便利 CI とローカルでEncrypt ・Decrypt するには使い勝⼿がいい TAKEAWAY FOR CIOPS

  49. THANK YOU