Это более открытый вопрос, но я надеюсь, что он здесь разрешен. В настоящее время мне поручено заменить библиотеку Jasypt, которую мы используем для расшифровки секретов в наших приложениях. На данный момент мы решили использовать Hashicorp Vault (который мы уже используем) с внешним оператором секретов (https://github.com/external-secrets/external-secrets) в нашем кластере Kubernetes. Мы используем только Java с Spring Boot, но я не думаю, что это имеет отношение к этому вопросу.
Теперь возник вопрос, как мы сможем использовать секреты локально для тестирования. По соображениям безопасности мы не хотим использовать те же секреты, которые используем в кластере локально, но как нам лучше всего это сделать?
У меня есть пара идей и мыслей.
Во-первых, нам нужно решить, хотим ли мы иметь секреты dev и prod в одном экземпляре Vault, мы могли бы просто развернуть экземпляр dev Vault с той же структурой, что и prod vault, и использовать его.
Во-вторых, нам нужно решить, как мы можем получить доступ к любому из этих хранилищ. Все эти идеи имеют компромиссы, а некоторые просто плохие, но я просто хотел их выложить.