Christopher J. Ruwe

When using the LXD OS-container, either for testing purposes or as regular means for environment isolation, special requirements need to be met in non-standard ways. Finding out how to satisfy the mlock-requirement when deploying Hashicorp’s Vault turned out to be such a non-standard way, under-documented, barely hinted at, difficult to find.

Secure distribution of secrets is a problem affecting many who run automatic provisioning systems up to a point that the (re-)distribution of secrets to stages and/or environments is the major obstacle to (not even necessarily rapid) deployment.

For fear of an in(de)finite rant-loop, I do not wish to delve into the security impacts resulting directly therefrom - think of secrets compromised but not revoked because “there is no room for twenty-one story points in the next three sprints” - but instead suggest a methodical and structured way out.

With examples how to consume PKI certificates from Hashicorp’s Vault generically and by leveraging Kubernetes primitives, I hope to introduce the broader principles more stringently than in many blog posts which focus on usage in a specific scenario.

Over time I have observed that most technical issues are blogged and re-blogged in a huge number permutations. I do not like to add to that heap of sometimes manure, often squabble, so I myself blog at infrequent intervals; but when I do, I feel I have an overlooked aspect to add and so, my blog posts are long and more like essays.

I consider Edward Tufte to be the master of technical presentation, like that style very much and have found Clay Harmon’s adaption of the Tufte theming to Jekyll very much to my liking and a better fit for my needs.

I have thus re-themed the site and am - even with some rough edges still present - pleased with the result.

Allen Teilnehmern der AXA Campus Days meinen herzlichen Dank für die Einladung, die produktive Atmosphäre und die guten Gespräche. Ich hoffe sehr, einge Anstöße gegeben zu haben, auch wenn sicherlich nicht alles, was ich behaupte, im Kontext Eurer Arbeit und im Umfeld des Konzerns tatsächlich anwendbar ist.

Ich würde mich freuen, einige von Euch auf der diesjährigen Continuous Lifecycle wiederzusehen.

Kollegen haben mich bereits mehrfach ermahnt, gehaltene Präsentationen online zur Verfügung zu stellen. In Erweiterung dessen sollte ich vielleicht Präsentationen bereits vorher online stellen.

Für die AXA Continuous Campus Days am 21.06. bin ich eingeladen worden, meinen Rant, den ich seit den Frühjahrsfachgesprächen der German Unix Users Group, in verschiedenen Formen (Uptimes 2017-1, Continuous Lifecycle 2017) erneut vorzusingen.

Ich freue mich sehr und selbstverständlich bemühe ich mich, mich zu benehmen. Für den Erfolg des Versuches garantiere ich nicht. Die dazugehörigen Slides finden sich hier.