Reprise du message précédent :
ah ouais je vais passer sur argocd dès que j'arrive pas à pas passer pour un gros naab
 
mais tu m'aides pas là
 
t'es sur GCP ?

Non bah en fait ça marche si je fais un nginx tout con et que j'expose à la mano, j'ai du me chier dans un yaml

Azure AKS

J'alerte

Banané
 
L'API GDrive se traîne le cul non ?
Là je liste une arborescence sur 3 levels et je liste les fichiers, y'a du monde mais c'est pas la mort non plus. Ca prend un max de temps à chaque fois
Je fais ça en python

J'imagine que ca dépend de comment t'as codé ton truc également ?
 
Tu fais un assume role pour list tes fichiers ? Est-ce que tu le refais plusieurs fois ou tu réutilise les mêmes credentials ?

 
On parle de Xat, donc mal  

trucs du genre

Si tu fais tout dans le même account je dirais que c'est l'api qui se traine

https://www.cert.ssi.gouv.fr/alerte [...] 4-ALE-002/
sympa la faille gitlab
 
10/10 en score

Une requête par file, c'est puant. J'ai testé via batch mais je me suis fait jeter avec une limite à 1000 et quand j'ai voulu instancié plusieurs requêtes j'ai merdé et ça n'a pas marché
Quelques heures à runer le script moisi mais au moins c'est fait

En même temps, c'est dingue  

J'ai regardé la page d'accueil et il y a plein de produits que j'utilise au quotidien au taf dont un où je pourrais être impliqué pour des MAJ, enfin si un SecLead regarde un jour cette page

En fait, tous les films de hackers où ils récupéraient en 2 minutes un accès avec une seule requête, c'était crédible

Toi t'a pas vu toutes les failles sur des services de VPN SSL

C'est clairement un vecteur d'attaque critique et maintenir l'appliance VPN à jour est vital mais si le VPN SSL était si troué que ça alors ce serait une techno déconseillée et peu usitée. C'est le cas ? Quelle alternative plus sûre pour les travailleurs distants ?

Bah VPN TLS

VPN du pauvre (sshuttle) + GCP IAP + OS Login + 2FA

Wireguard sinon  

avec Tailscale/Headscale pour pas se prendre la tete sur la gestion des comptes

Le mieux c'est de pas avoir de vpn

Cordialement,

Autant couper Intern

C'est chelou de pas pouvoir activer canIpForward dans l'interface de GCP Compute mais de pouvoir l'activer via update-from-file
 
Bref tout ça pour dire que j'ai du mal avec l'interface GCP, je m'y perds j'en peut plus
Du coup j'en viens à dire que celle d'AWS est géniale

 
Sainte merde ce qu'il faut pas lire.  
 
Moi c'est tout le contraire, j'aime assez bien l'interface gcp, que celle d'aws je la trouve tellement pourrie

En comparaison ouais elle est cool

 
+1

Bordel, on des soucis au boulot sur un des produits que j'ai vu ce WE et je viens de faire le lien juste maintenant
au passage, si vous avez un NAS Synology, il y a une MAJ critique suite à une faille aussi : https://archive.synology.com/downlo [...] .1-69057-4

Petit questionnement en terme de CD entre des dépôts sur GH, des worfklows GHA, des secrets à passer à des déploiements GKE, etc. Ca commence à être sympa mais je suis encore un peu perdu
J'avais envie de mettre ArgoCD dans l'équation mais pour aller vite (et sale) je pense faire sans pour l'instant.  
Encore du mal dans le process à monter mais ça commence à faire : CI/test/packageking/trigger event/deploiement/fetch des secrets sur GCP/...
 
Ils vont réussir à me faire bosser les sagouins

Comment puis-je accéder à mes secrets de Google Secret Manager dans un manifest pour GKE ?
J'ai set un secret dans GSM, j'ai créé un service-account IAM, je lui ai donné les droits sur ce secret en lecture, j'ai créé un namespace sur mon GKE, j'ai créé puis associé/annoté un serviceaccount Kube pour mon namespace, j'ai bindé tout ça et je peux lire mon secret depuis un pod de ce NS.
Par contre si je veux indiquer ça en env var d'un manifest il faudrait que je puisse lister/lister les secrets via un kubectl get secrets --namespace trouduk mais je n'ai rien.  
J'imagine qu'il faut passer par un manifest de type SecretStore ou ClusterSecretStore mais je trouve pas d'infos à part https://external-secrets.io/v0.5.7/ [...] s-manager/
 
Enfait je dois commencer à comprendre que ces ressources soit custom à external-secrets.io non ?
Rien de natif dans GKE pour taper les secrets de GCM ?
 
Sur le guide Workload identity ils montrent des exemples sur comment taper un secret depuis le pod avec gcloud ou du Go mais j'aurai voulu les références dans les manifests des pods/deployment.
 
A vot' bon coeur

J'ai noté ça aussi https://github.com/GoogleCloudPlatf [...] ovider-gcp

 
J'utilise external-secrets pour créer un Secret k8s avec comme source un secret GCP.
Et puis après tu peux monter ton secret k8s dans ton pod comme fichier ou variable d'env

Oui c'est la solution que j'ai choisie. Page intéressante chez ArgoCD pour lister les soluces possibles : https://argo-cd.readthedocs.io/en/s [...] anagement/
 
Ca m'arrange de les mettre en env var.
 
Du coup j'ai découvert Helm aujourd'hui

Ha ouais,.il serait temps  

Je regarde dans ma Bill AWS le nombre d'heure d'ipv4 public mais je n'ai pas l'info
Je voulais calculer le coût à venir des ipv4

T'as regardé du côté de IPv4 Insight: https://aws.amazon.com/fr/blogs/aws [...] -insights/

Hm je crois que cette fonctionnalité s'est désactivé chez moi parce que j'ai pas d'IPAM chez eux

Ah voilà
 
Alors que je l'utilisais y'a quelques mois et que j'avais spot pleins d'EIP qui glandait grâce à ça ...

Réactive le en version gratuite pour avoir la fonctionnalité

J'ai calculé avec le nombre d'heures d'EC2 facturées

Jamais eu d'IPAM chez AWS donc relou leur truc

(mais au moins la console web est mieux, rien que le dark mode déjà.. hein GCP )

Le dark mode c'est pour les touristes.