Масштабирование системы хранения секретов на базе HashiCorp Vault

DevOps и эксплуатация

Логирование и мониторинг
Менеджмент в эксплуатации
Управление изменениями
Observability в enterprise

Доклад принят в программу конференции

Мнение Программного комитета о докладе

Чтобы отдавать сотни тысяч секретов и укладываться в SLA, ребятам из Ozon пришлось хорошенько поработать с Hashicorp Vault. Бэкендом выбрали etcd, словили проблемы из-за бага, поправили и законтрибьютили. Научили vault работать в режиме мультимастер — решили проблемы с кэшами и отмасштабировались.

Целевая аудитория

* Инженеры эксплуатации уровня мидл+ и выше; * бэкенд-разработчики, кому интересны system design и способы поиска и решения проблем на высоких нагрузках; * инженеры ИБ (DevSecOps).

Тезисы

Vault — стандартный инструмент для хранения секретов. Но он имеет ряд недостатков by design.

Я хочу рассказать о том, с какими проблемами «ванильного» вольта мы сталкивались. Какие из них нам удалось решить внешними инструментами — как написанными самостоятельно, так и предлагаемыми сообществом. Какие проблемы потребовали залезать в код вольта и почему нам пришлось его форкнуть.

Руководит направлением Managed Services в Ozon. Вместе со своей командой развивают ряд инфраструктурных сервисов и предоставляют их через внутреннее облако. Среди сервисов: шина данных на основе Kafka, собственное объектное хранилище s3 поверх ceph, хранилище секретов на базе Vault, а также etcd, redis, memchache и другие. Решают задачу предоставления инфраструктуры как сервиса.

Ранее успел побывать на разных должностях от разработчика до CTO. Выстраивал команды, процессы разработки и руководил проектами. Ведет подкаст о жизни в IT «Кода кода». Является членом ПК YaTalks и Ural Digital Weekend.

Ozon

Ozon — ведущий e-com России. В Ozon Tech — IT-команде компании — уже более 6 000 специалистов, которые создают продукты для миллионов людей по всей стране и за рубежом. Инженеры Ozon разрабатывают собственные решения, контрибьютят в Open Source и используют современный стэк: Go, C#, Kotlin, Swift, Vue.js, Kubernetes, Kafka и др. С каждым годом команда растёт вместе с бизнесом, чтобы повышать качество сервисов и быть ещё ближе к пользователям.

Видео