Reprise du message précédent :
Le dark mode c'est pour les touristes.

Dark mode = cli

j'aime bien la cli gcloud

vazy je bute sur ça :
 

 
Pourtant côté KSA ça m'a l'air bon, j'ai mon namespace, j'ai le KSA annoté avec le SA IAM/GCP.
J'ai mes rôles sur le SA IAM/GCP, j'ai bindé. Je capte pas

Tu as du te planter qq part

Oui
Merci

Ca voulait dire file plus de détails

T'as déjà monté un SecretStore sur un GKE pour GSM ?

Non mais j'ai fais plein d'autres choses similaires, ça reste toujours la même chose

En virant les réferences du namespace dans le yaml du secretstore ça passe
maintenant j'ai une autre merde  
 
    Last Transition Time:  2024-01-31T10:55:19Z
    Message:               unable to create client
    Reason:                InvalidProviderConfig
    Status:                False
    Type:                  Ready
 
on avance

Vous utilisez quoi comme GitHub Actions pour ce qui est lié à l'Artifact Registry de GCP ou leur GKE ? Pour Kustomize, etc.
J'ai du mal à utiliser des GHA fait par des "randoms", à côté de ça la seule GHA faite par un provider verifier c'est Azure
 
https://github.com/Azure/k8s-bake
 
Vos retours ?

 
Je recherche une formation éligible au CPF (employé au minarm), de type administrateur réseau, cloud ou cybersécurité..
Auriez-vous un exemple sur ces thématiques dans des organismes reconnus type https://formation.cnam.fr/systemes- [...] at_metiers ?
 
Merci  

Essaie sur le topic CNAM ? https://forum.hardware.fr/forum2.ph [...] w=0&nojs=0

Vous savez où fichu la ligne de coût pour la nouvelle facturation des IPv4 chez AWS ? Je viens de regarder dans EC2-Other et je ne vois pas de ligne spécifique.
Je me demande si c'est pas intégré à `EUW3-NatGateway-Bytes` vu qu'il a bien augmenté à partir des HO de Février (mais ça serait con puisque ça parle de bites)

Dans Service, sélectionne VPC
Dans Usage Type, cherche avec Public et sélectionne PublicIPv4
 

Ah bah oui tout simplement
Maintenant faut trouver qui pompe de la data

Ca va 5-7k$ l'année, ça va

Qui a déjà test ou utilise un bastion du genre de teleport : https://goteleport.com/ ?

C'est utilisé ici, teleport ... pourquoi ?

euh c'est pas à toi de dire pourquoi ?

Ben sécurité facilité (c'est le bastion qui se co sur les endpoints, pas ma machine), donc 1 ip à autorize et basta.
interface plutot sympa.
il existe un client cli si on est rebuté par le web.
Gestion des droits d'accès par user aussi en fonction du profil.
 
Bref ça simplifie pas mal la gestion de la secu/droit d'accès et c'est plutot cool

Ca s'intègre bien à d'autres trucs ? genre SSO

On a pas mis en place de sso dessus, je ne saurais pas te dire

Evitez Cyberark, c'est un conseil ...

Idem ici beaucoup de problèmes avec CyberArk

Ah bah tiens forcément le SSO/SAML/trucbidule est réservé au forfait premium https://github.com/gravitational/teleport
Mais on peut utiliser le SSO GitHub gratos sur la version open source

Boooh. 10 minutes pour ouvrir une simple session RDP instable, ça vaaaaa

Ah j'en avais entendu du bien  

C'est une using a gaz à déployer, c'est certainement une usine à administrer, et c'est une usine à gaz à utiliser.  
Après, niveau sécu, c'est sûr que c'est du costaud si tu fais bien ton implémentation (et à condition de gérer des cas de contournements en cas de crash de ton infra).

On a CyberArk sur ma mission actuelle, je suis censé l'utiliser à terme mais il y a des collègues dans le groupe de discussion Teams qui disent ouvrir une session et se retrouver sous l'identité de qqn d'autres
Ils doivent fermer/ouvrir plusieurs fois jusqu'à que la session soit ouverte sous leur identité

Je crois que c'est inutile de demander chez qui c'est... Depuis la mise à jour, ou c'était déjà le cas avant ?

Bon sinon pour rendre un service disponible uniquement à la demande, vous ferriez comment ? Un truc qui tourne sur une VM, pas de Fargate/Cloudrun du coup.
Un bouzin en serverless+frontendmoisi qui démarrer éteint via gcloud/aws/scw cli ?

Je ne sais pas, j'ai découvert le groupe Teams pour CyberAtk la semaine dernière en me voulant me renseigner vu que je n'ai reçu aucune consigne alors que des collègues semblent obligé de l'utiliser
La dernière discussion parlait de cette bizarrerie d'identité, ça m'a suffit, je n'ai pas cherché à remonter l'historique pour éviter d'être encore plus choqué
Ah oui, j'oubliais, on accède aux serveurs Unix par SSH avec un compte avec une clé SSH je suppose puisqu'on ne saisit pas de MDP mais régulièrement, quand on se connecte à un serveur, on est bloqué car il nous demande un mot de passe qu'on en connaît pas puisqu'on ne le saisit jamais.
C'est d'un commode quand t'as un incident de Prod
Je ne rêve que d'un incident hyper critique pour que cela escalade bien haut, que cela tape du point sur la table et redescende en pluie fine pour que qqn dans une équipe PAM quelque-part corrige ce merdier que fout CyberArk qu'on subit depuis des mois
Après, tous ces soucis CyberArk chez nous, je ne sais pas si c'est lié au produit lui-même ou plutôt à une mauvaise implémentation en interne mais mon intuition penche fortement d'un côté

Les deux, ça semble logique

 
Tel que c'est chez nous, y'a un compte pam qui a les droits de changer les mdp d'autres comptes, et qui ne sert qu'à pam pour faire la rotation / réconciliation des mdp des autres comptes pam.
 
Donc si le mdp que connait pam n'est pas ou plus celui du compte, t'as ce genre de soucis oui.
Par exemple si une vm a été restaurée, et date d'avant une rotation des mdp des comptes pam, pan, c'est mort, faut réinitialiser le mdp du compte pam qui sert à ce que j'ai décrit, et faire une réconciliation.

Ca corrobore le problème d'implémentation, et surtout d'intégration des differents services dans Cyberark. Faut dire qu'on doit être 3000 utilisateurs au bas mot, avec plusieurs dizaines ou centaines de milliers de serveurs et équipements... il doit y avoir quelques trous dans la raquette

qui déclenche le service ?
un endpoint web qui pointe sur une lambda qui t'allume la stack derrière quand la lambda est appelée ?
avec un token histoire de pas se faire trigger par n'importe qui

oé je pensais à ça
déclenchement manuel par un pélo de l'équipe (donc interne et pas teubé normalement) à la demande

parce que je vois pas trop l'intérêt de laisser tourner un truc qui n'est pas utilisé 95% du temps et faire de l'autoscalling, ça dépend du soft mais là sur vm avec soft à l'ancienne...

On en à peine ici
S'il y a avait un topic pour raconter des FAILs en entreprise, j'aurais des choses à raconter
Genre, on a un produit IBM (HPU) qui plante aléatoirement depuis 4 ans et pour lequel on arrivait pas à avoir un simple coredump en Prod (alors que qu'on l'a sur une Hors-Prod) à envoyer au support pour qu'il trouve le pb. Dans la maison, personne n'était capable de m'expliquer pourquoi depuis 4 ans et à force de recherches et d'essais persos (alors que je ne suis pas admin AIX, juste DBA et utilisateur final du produit HPU), j'ai enfin eu notre premier coredump en Prod début février
Un beau combo de loi de Murphy aussi

Argocd avec déploiement auto lors d'une PR/MR + tag associé.

Lorsque la PR/MR est validée ou annulée, le déploiement est destroy. Y a que le namespace qui reste.

J'ai testé, c'est pas mal
Faut que j'arrive a le vendre a mes dev