GH GambleHub

विन्यास और रहस्य प्रबंधित करें

विन्यास और रहस्य प्रबंधित करें

1) आपको इसकी आवश्यकता क्यों है

कॉन्फ़िगरेशन और रहस्य उत्पादन मंच के "रक्त" हैं। कॉन्फिग में एक त्रुटि p95 में आती है, लीक हुआ रहस्य एक P1 घटना है। लक्ष्य एक कॉन्फ़िग/गुप्त बनाना है:
  • पूर्वानुमानित (योजनाएं, सत्यापन, संस्करण)।
  • सुरक्षित (एन्क्रिप्शन, न्यूनतम अधिकार, घुमाव)।
  • प्रबंधित (GitOps, ऑडिट, रोलबैक)।
  • गतिशील जहां यह उचित है (सुविधा झंडे, सीमाओं का पैरामेटराइजेशन)।

2) कलाकृतियों का वर्गीकरण

सार्वजनिक कॉन्फ़िग: सुविधाएँ, थ्रेसहोल्ड, टाइमआउट, फ़ीचर फ्लैग (कोई रहस्य नहीं)।

संवेदनशील विन्यास: पैरामीटर जो महत्वपूर्ण पथ के व्यवहार को बदलते हैं (उदाहरण के लिए, भुगतान सीमा)।

राज: पासवर्ड/कुंजी/टोकन/प्रमाणपत्र/गोपन सामग्री।

ट्रस्ट कलाकृतियां: रूट/इंटरमीडिएट सर्टिफिकेट, पीकेआई पॉलिसी, केएमएस कुंजी।

अलग भंडारण और अधिकारों का सिद्धांत: सार्वजनिक संवेदनशील - रहस्य।

3) कॉन्फ़िगरेशन पदानुक्रम

परतों का "पिरामिड" बनाएं:

1. वैश्विक चूक (org-वाइड)।

2. पर्यावरण ('prod/stage/dev')।

3. क्षेत्र ('यूरोपीय संघ-मध्य -1', 'हमें-पूर्व -1')।

4. किरायेदार/ब्रांड (बहु-किरायेदारों के लिए)।

5. सेवा (विशिष्ट माइक्रोसर्विस)।

6. ओवरराइड (रनटाइम) - अस्थायी स्विच।

विलय के नियम: "नीचे जीत", संघर्ष - केवल एमआर/अनुमोदन के माध्यम से।

उदाहरण (YAML)

yaml defaults:
http:
timeout_ms: 800 retry: 2 prod:
http:
timeout_ms: 1200 service: payments-api overrides:
eu-central-1:
http:
timeout_ms: 1500

4) योजनाएं और मान्यता

प्रत्येक कॉन्फ़िग एक योजना (JSON Schema/OPA/CI में सत्यापन) के साथ एक अनुबंध है।

प्रकार, रेंज, आवश्यक क्षेत्र, डिफ़ॉल्ट मान।

"गार्ड नियम" ('रीट्री> 5', 'p95 _ लक्ष्य <50ms' पर सेट नहीं किया जा सकता है)।

सीआई में स्वचालित जांच और जब लागू होता है (प्रवेश-वेबहुक/केआरएम)।

JSON स्कीमा फ्रैगमेंट

json
{
"type":"object",
"properties":{
"http":{"type":"object","properties":{"timeout_ms":{"type":"integer","minimum":100,"maximum":10000},"retry":{"type":"integer","minimum":0,"maximum":5}},"required":["timeout_ms"]},
"feature_flags":{"type":"object","additionalProperties":{"type":"boolean"}}
},
"required":["http"]
}

5) कॉन्फिग डिलीवरी मॉडल

स्थैतिक (छवि-बेक्ड): विश्वसनीय, लेकिन पुनरारंभ की आवश्यकता है।

पुश/वॉच : /साइडकार एजेंट अपडेट (स्ट्रीम/पोल) प्राप्त करते हैं और आवेदन का संकेत देते हैं।

स्टार्टअप पर खींचें: हमें स्टार्टअप पर एक स्नैपशॉट मिलता है (हॉट-पाथ को सरल बनाएं)।

भू-वितरित भार के लिए किनारा कैश/प्रॉक्सी।

मुख्य बात: स्नैपशॉट, संगतता नियंत्रण और फास्ट रोलबैक की परमाणुता और संस्मरण।

6) उपकरण और भूमिकाएँ

कॉन्फ़िग स्टोर: गिट (सत्य का स्रोत) + GitOps (Argo/Flux), पैरामीटर स्टोर/कॉन्फ़िग सेवा।

गुप्त भंडार: तिजोरी, AWS रहस्य प्रबंधक/SSM, GCP रहस्य, Azure KV।

एनक्रिप्शन: KMS/HSM, SOPS (आयु/GPG/KMS), सीलबंद रहस्य, पारगमन एन्क्रिप्शन (वॉल्ट)।

डिलीवरी: सीएसआई सीक्रेट स्टोर, वॉल्ट एजेंट इंजेक्टर/साइडकार, इनिट-कंटेनर।

झंडे/गतिशीलता: फ़ीचर फ्लैग प्लेटफ़ॉर्म (इंक। इमरजेंसी किल-स्विच)।

7) एन्क्रिप्शन: मॉडल और अभ्यास

आराम पर: परियोजना/पर्यावरण की केएमएस कुंजी, लिफाफा एन्क्रिप्शन।

पारगमन में: टीएलएस/एमटीएलएस आपसी प्रमाणीकरण के साथ।

उपयोग में: जितनी देर हो सके डिक्रिप्शन, अधिमानतः प्रक्रिया मेमोरी/साइडकार (डिस्क को लिखे बिना) में।

मुख्य पदानुक्रम: रूट (HSM) → KMS CMK → डेटा कुंजी (DEK)।

रोटेशन: कैलेंडर (90/180 दिन) + घटना द्वारा (कर्मचारी समझौता/प्रस्थान)।

8) गुप्त प्रबंधन: पैटर्न

8. 1 GitOps + SOPS (स्थिर स्नैपशॉट)

गिट केवल सिफरटेक्स्ट को संग्रहीत करता है।

सीआई/सीडी में या क्लस्टर (केएमएस/आयु) पर डिक्रिप्शन।

नियंत्रक (फ्लक्स/अर्गो) → कुबर्नेट्स सीक्रेट के माध्यम से आवेदन।

yaml apiVersion: v1 kind: Secret metadata: { name: psp-keys, namespace: payments }
type: Opaque data:
apiKey: ENC[AES256_GCM,data:...,sops]

8. 2 तिजोरी एजेंट इंजेक्टर

सेवा खाता (JWT/SA) तिजोरी में प्रमाणित है।

Sidecar tmpfs में क्रेडिट डालता है और TTL पर अपडेट करता है।

गतिशील क्रेडिट (डीबी, क्लाउड - अलगाव और अल्पावधि) के लिए समर्थन।

yaml annotations:
vault. hashicorp. com/agent-inject: "true"
vault. hashicorp. com/role: "payments-api"
vault. hashicorp. com/agent-inject-secret-db: "database/creds/payments"

8. 3 सीएसआई सीक्रेट स्टोर

रहस्य को वॉल्यूम के रूप में माउंट करें, रोटेशन पारदर्शी है।

पीकेआई के लिए - प्रमाणपत्रों/कुंजियों का स्वचालित नवीकरण।

9) कुबर्नेट्स: व्यावहारिकता

कॉन्फ़िगमैप - सार्वजनिक/असंवेदनशील डाटा।

गुप्त - संवेदनशील (आधार 64 के साथ - एन्क्रिप्शन नहीं; etcd के लिए आराम पर एन्क्रिप्शन सक्षम करें)।

चेकसम एनोटेशन: कॉन्फिग बदलते समय तैनाती फिर से शुरू करें।

प्रवेश नियंत्रण: बढ़ ते रहस्यों का निषेध "सफेद सूची" से नहीं, प्रकट में "सादे" पासवर्ड का निषेध।

नेटवर्किंग पॉलिसी: गुप्त प्रदाताओं तक पहुंच प्रतिबंधित करें (वॉल्ट/सीएसआई)।

चेकसम उदाहरण (हेल्म)

yaml annotations:
checksum/config: {{ include (print $.Template. BasePath "/configmap. yaml"). sha256sum }}

10) अभिगम नीतियां (RBAC/ABAC)

कम से कम विशेषाधिकार: सेवा केवल अपने रहस्यों को देखती है; नेमस्पेस/लेबल/उपसर्ग द्वारा पहुँच।

विभाजन कर्तव्य: एक गुप्त ≠ पढ़ ने की सामग्री बनाना; किसी भी पढ़ ने के लिए ऑडिट।

अस्थायी क्रेडिट: टीटीएल और स्वचालित रोटेशन के साथ गतिशील लॉगिन (डीबी, क्लाउड)।

विभाजन: विभिन्न परियोजनाओं/खातों/केएमएस कुंजियों में प्रोड/चरण।

11) ऑडिट, लॉगिंग, वेधशाला

रहस्य पढ़ ने/जारी करने के लॉग: कौन/कब/क्या/कहां; रिलीज और घटनाओं के साथ सहसंबंध।

मेट्रिक्स: कॉल की आवृत्ति, समाप्त रहस्य, समाप्त प्रमाण पत्र, गतिशील क्रेडिट का हिस्सा।

सुरक्षा घटनाओं - कोटा पार हो गया, आईपी/समय विसंगतियाँ, कई असफल प्रमाणीकरण।

12) रहस्यों और प्रमाणपत्रों का घूर्णन

शर्तों का मानकीकरण करें: एपीआई कुंजी - 90 दिन, डीबी पासवर्ड - 30 दिन, टीएलएस सर्ट - 60-90 दिन।

रोटेशन रूपरेखा: पीढ़ी → परीक्षण → डबल प्रकाशन (अनुग्रह) → स्विचिंग → पुराने → सत्यापन का निरसन।

विश्वसनीयता: विन्यास/रहस्य की दोहरी प्रविष्टि, ग्राहक संगतता (नया + पुराना स्वीकार करें)।

PKI: खुद का CA या बाहरी के साथ एकीकरण; सीएसआई/वॉल्ट के माध्यम से स्वचालित रूप से एमटीएलएस सामग्री अद्यतन करें।

13) गतिशील कॉन्फ्रेंस और फ्लैग्स

कॉन्फ़िग सेवा/फ्लैग प्लेटफ़ॉर्म से "हॉट" पैरामीटर (सीमा, टाइमआउट) लें।

स्थानीय कैश और स्टिकनेस (हैश द्वारा संस्करण की गणना), छोटा टीटीएल।

संवेदनशील मापदंडों (ऑटो-रोलबैक और किल-स्विच) को बदलने के लिए एसएलओ गार्ड।

14) सीआई/सीडी और गिटोप्स के साथ एकीकरण

प्री-कमिट/सीआई: सर्किट लिंटर्स, एसओपीएस चेक, "नग्न" रहस्यों का निषेध (स्कैनर: gitleaks/trufflehog)।

नीति द्वार: OPA/कन्फेस्टेस्ट - स्कीमा के बिना/बिना स्वामी एनोटेशन/बिना पर्यावरण लेबल के कॉन्फ़िगर करना।

प्रगतिशील वितरण: कलाकृतियों (सेवर) के रूप में कॉन्फ़िग का प्रचार, बदलते मापदंडों के लिए कैनरी।

रिलीज एनोटेशन: कौन/क्या कॉन्फ़िग/गुप्त बदल गया; p95/5xx के साथ तेजी से सहसंबंध।

15) उदाहरण

15. 1 ओपीए नीति: कॉन्फिग में ओपन एसजी पर प्रतिबंध लगाना

rego package policy. config

deny[msg] {
input. kind == "SecurityGroupRule"
input. cidr == "0. 0. 0. 0/0"
input. port = = 5432 msg: = "Postgres open internet banned"
}

15. कॉन्फ़िग स्नैपशॉट का 2 उदाहरण (वर्सिड)

yaml version: 1. 12. 0 owner: payments-team appliesTo: [ "payments-api@prod" ]
http:
timeout_ms: 1200 retry: 2 withdraw:
limits:
per_txn_eur: 5000 per_day_eur: 20000 flags:
new_withdrawal_flow: false

15. 3 तिजोरी - गतिशील डेटाबेस क्रेडिट

hcl path "database/creds/payments" {
capabilities = ["read"]
}
role issues user/password with TTL = 1h and auto-rollover

16) एंटी-पैटर्न

बिना एन्क्रिप्शन के स्पष्ट पाठ/हेल्म/एनीबल चर में Git में रहस्य।

सभी सेवाओं/वातावरण के लिए एक एकल "मेगा-सीक्रेट"।

टीटीएल/रोटेशन के बिना लंबे समय तक रहने वाले टोकन; "अमर" प्रमाण पत्र।

बिना योजना/सत्यापन और ऑडिट परिवर्तन के गतिशील कॉन्फ़िग।

etcd/KMS और गैर mTLS संजाल के लिए आराम पर कोई एनक्रिप्शन नहीं.

उत्पाद में कॉन्फ़िग का मैनुअल संपादन (GitOps को दरकिनार करना)।

डेवलपर्स तक पहुंच "सिर्फ मामले में" व्यापार रहस्य।

17) कार्यान्वयन चेकलिस्ट (0-60 दिन)

0-15 दिन

कॉन्फ़िग के लिए डायग्राम/वेलिडेटर शामिल करें; रेपो "कॉन्फ़िग्स" और GitOps स्ट्रीम शुरू करें।

केएमएस और एनक्रिप्शन उठाएँ: SOPS/सील किए गए रहस्य/एनक्रिप्शन आदि में आराम करें।

सीआई (स्कैनर) में प्लेनटेक्स्ट रहस्य प्रतिबंधित करें, मालिकों/अनुमोदनों में प्रवेश करें।

16-30 दिन

वाल्ट विभाजित करें: सार्वजनिक कॉन्फ़िग बनाम संवेदनशील बनाम रहस्य।

तिजोरी/रहस्य प्रबंधक लागू करें, वितरण पथ का चयन करें (एजेंट/सीएसआई/एसओपीएस)।

टीएलएस/डीबी/पीएसपी क्रेडिट का रोटेशन सेट करना; डैशबोर्ड "जीवन काल/समाप्ति"।

31-60 दिन

एसएलओ-गेटिंग और ऑटो-रोलबैक के साथ गतिशील कॉन्फ्रेंस और झंडे।

ओपीए/सबसे बड़ी नीतियां; शून्य-ट्रस्ट (नेमस्पेस/लेबल-स्कोप्ड एक्सेस)।

खेल-दिवस: गुप्त रिसाव और बल रोटेशन का अनुकरण।

18) परिपक्वता मैट्रिक्स

एन्क्रिप्शन के तहत रहस्यों का% और Git = 100% से प्रत्यक्ष पहुंच के बिना।

कॉन्फ़िगरेशन/सत्यापन कवरेज ≥ 95%।

महत्वपूर्ण रहस्यों को घुमाने का औसत समय (लक्ष्य: घंटे, दिन नहीं)।

गतिशील क्रेडिट (डीबी/क्लाउड) का हिस्सा ≥ 80%।

"सादे रहस्य "/समाप्त प्रमाणपत्र के कारण 0 घटनाएं।

रोलबैक <5 मिनट के साथ कॉन्फिग त्रुटि पर MTTR।

19) कमांड भूमिकाएँ और प्रक्रियाएँ

कॉन्फिग मालिक: डोमेन/स्कीमा/नीति स्वामी।

सुरक्षा: नीतियां, प्रमुख पदानुक्रम, एक्सेस ऑडिट।

प्लेटफ़ॉर्म/एसआरई: GitOps, आपूर्ति/इंजेक्शन, टेलीमेट्री।

ऐप टीमें: कॉन्फिग/गुप्त खपत, संगतता परीक्षण।

20) निष्कर्ष

विन्यास और रहस्यों का एक विश्वसनीय समोच्च + GitOps + एन्क्रिप्शन + रोटेशन + नीति योजनाएं हैं। सार्वजनिक और रहस्य को अलग करें, सब कुछ एन्क्रिप्ट करें, कॉन्फ़िग को परमाणु और मौखिक रूप से लागू करें, अधिकारों और क्रेडिट के जीवनकाल को कम करें, स्वचालित रोटेशन और ऑडिट करें। फिर परिवर्तन तेज और सुरक्षित हो जाएंगे, और लीक और गिरने का जोखिम कम से कम होगा।

Contact

हमसे संपर्क करें

किसी भी प्रश्न या सहायता के लिए हमसे संपर्क करें।हम हमेशा मदद के लिए तैयार हैं!

इंटीग्रेशन शुरू करें

Email — अनिवार्य है। Telegram या WhatsApp — वैकल्पिक हैं।

आपका नाम वैकल्पिक
Email वैकल्पिक
विषय वैकल्पिक
संदेश वैकल्पिक
Telegram वैकल्पिक
@
अगर आप Telegram डालते हैं — तो हम Email के साथ-साथ वहीं भी जवाब देंगे।
WhatsApp वैकल्पिक
फॉर्मैट: देश कोड और नंबर (उदा. +91XXXXXXXXXX)।

बटन दबाकर आप अपने डेटा की प्रोसेसिंग के लिए सहमति देते हैं।