vault sur k8s perf ou sécu compromise ?

pour Vault sur K8s Raft c'est devenu la norme c'est très performant et simple à opérer. niveau sécu c'est kif-kif tant que ton K8s est bien sécurisé. pour l'auto-unseal je conseille vivement c'est un game changer pour l'ops. un KMS type GCP KMS ou AWS KMS c'est top niveau sécu et ça t'enlève une grosse charge

raft c'est top mais faut bien dimensionner ton cluster. n'oublie pas de mettre des limites CPU/RAM sur tes pods Vault. si t'as des milliers de secrets et des accès concurrents ça peut vite monter. et la latence réseau entre tes noeuds K8s peut impacter raft aussi

le choix sidecar vs agent injector pour distribuer les secrets ça a aussi un impact perf et sécu. l'injector c'est plus léger car c'est un init container qui tourne une fois. le sidecar c'est plus dynamique mais ça consomme des ressources pour chaque pod applicatif

et n'oublie pas les politiques RBAC de Vault. c'est là que la vraie sécu se joue. le principe du moindre privilège partout. et audits logs à fond les ballons pour voir qui accède à quoi. ça peut vite devenir un enfer si mal géré

merci pour les infos ! donc raft pour le stockage ça semble être le consensus. pour l'auto-unseal on est sur aws donc kms c'est une évidence. le débat agent injector vs sidecar j'y avais pas pensé. nos dev aiment bien le côté "magique" du sidecar mais je vois l'impact perf

le sidecar c'est bien pour les apps qui ont besoin de renouveler souvent leurs tokens/secrets. si c'est juste un chargement au démarrage l'injector c'est plus efficient. faut évaluer le besoin de chaque app

et la persistence du backend Raft sur des PVs K8s. assure-toi que tes PVs sont sur du stockage performant et résilient genre gp3 ou io2 pour AWS EBS. une latence I/O élevée sur le stockage de Vault peut foutre en l'air ta perf globale

dernière chose sur la sécu réseau: des Network Policies sur K8s pour isoler tes pods Vault c'est primordial. seul le nécessaire doit pouvoir communiquer avec Vault. et utilise mTLS entre Vault et ses clients si tu peux

ok noté pour les Network Policies et mTLS. on va partir sur Raft + KMS pour l'auto-unseal. pour l'agent injector vs sidecar on va faire des tests et voir les besoins réels de chaque microservice. thx pour les retours super utiles !