「HashiCorp Terraform & Vault Enterprise 勉強会 in 金沢」に参加してきました
はじめに
表題のイベントに参加してきましたので備忘録をば。
HashiCorpの伊藤さんによる製品説明
HashiCorpの伊藤さんがHashiCorp製品について1時間くらい喋ってくれた。話した内容は覚えてる範囲では以下のこと
- terraform enterpriseの諸機能
- SaaS
- Policy as code
- 間違ったregionへのdeploy禁止
- インスタンス作りすぎ防止
- 国をまたいだ制約
- SaaSでやってるサービスをプライベートで構築するPrivate Installということもできる
- Terraform Enterpriseの秘密情報は実は裏でVaultを使って管理してる
- terraformのコードを更新してmaster branchが変更されるとterraform enterpriseが動き出してplanが自動的に動く。設定によってはそのままapplyもする。
- 30日間無料体験可
- HA, DR機能。OSS版でもできなくはないが、enterprise版では面倒くさいところを全部面倒見てくれる
- 鍵作成、暗号化、複合、電子署名、そのverification、鍵のローテンション、などなど全部できる
- vaultによる暗号化はsecretでないもの、かつ、key valueのvalue最大サイズに収まる程度の小さいもの
- Adobeの事例がある
- Nomad
- HashiCorpは日本にはオフィスが無い。社員2人でリモートでやってる
- 参加者30人くらいのうちvaultを知っている人が10人くらい、実際に使っているのは一人。
- HashiCorp製品に関する情報はgoogleで検索すればだいたい出てくる
- 製品開発はドキュメントファースト
- 勉強用の資料が充実している
質疑
自分がした質問とその回答リスト。
- Q: Vaultのdata encryption機能のusecaseは?
A: Vaultによる暗号化はsecretでないもの、かつ、key valueのvalue最大サイズに収まる程度の小さいもの。
Q: Vaultのデータを保存するにはMySQLなどを選べるようだがVault EnterpriseのHA機能やDR機能の裏にはRDBクラスタ?
A: yes
Q: vault on k8sに消極的な理由は何か
A: k8sの証明書を誰が管理するか問題がある。などなど。社としては「Vaultは他のサービスの外に」と言いたい
Q: `vault write auth/approle/loginにおけるsercret_idなど、秘密情報が端末上で丸出しになることがある。回避策はあるか
- A: ここを見るとよい
その他
- HashiCorpの箸というノベルティグッズをもらった
- 質疑が活発で非常によかった
- 伊藤さんはすべての質問を軽く打ち返してくれた。技術がわかる人なので非常によい
- HashiCorpのブログがある