Authentifizierungsmethoden von Maschinen/Devices/Sensoren

[drckeberger]

Hallo Zusammen,

Frage zurückgezogen.


Drckeberger

 

[snaxilian]

Wenn du von Mikroservices sprichst: Erst einmal dürfen die nix untereinander. Welche Container beispielsweise miteinander reden dürfen muss der Admin definieren, im einfachsten Fall in der docker-compose.yml und bei k8s in die entsprechenden Configs.
Um einem startenden Container/Microservice beim Start Credentials mitgeben zu können könnte man z.B. Hashicorp Vault verwenden. Natürlich geht das auch über eine secrets.env die man im docker-compose mit gibt. Ein Beispiel aus der Praxis wäre Nextcloud: https://github.com/nextcloud/docker...ocker-compose/with-nginx-proxy/mariadb/apache In der db.env stehen User & Password für die mariadb.

Zu deinen konkreten Fragen:

• Service Registry oder auch Service Mesh sind die Zauberworte. Am Beispiel von k8s: https://kubernetes.io/docs/concepts/services-networking/service/#discovering-services und zu den Secrets: Entweder müssen beide Seiten einen gemeinsamen geheimen Seed kennen oder beide Seiten müssen einem Dritten vertrauen, beispielsweise der gleichen PKI.
• Das kommt auf die Anwendungen an, die man betreibt. Ob ich 2 VMs betreibe (DB + Webserver) oder zwei Container auf nem riesigen AWS k8s Cluster. Am Ende braucht meine Web-Anwendung einen Benutzer + Kennwort für die Datenbank.
• Hashicorp Vault ist vermutlich das bekannteste Tool. Nutze ich Ansible fürs Deployment & Configuration Management dann kann ich auch den Ansible Vault für Secrets verwenden.