v2 webhook. #18
Labels
No labels
No milestone
No project
No assignees
1 participant
Notifications
Due date
No due date set.
Blocks
#16 Lage helmcharts
Operasjonssenteret/alarmathan
Reference
Operasjonssenteret/alarmathan#18
Loading…
Reference in a new issue
No description provided.
Delete branch "%!s()"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
I dag er det ingen autentisering på alarmkildene, dette må vi få gjort noe med. Planen her er å etablere en CA i en OpenBAO instans for å deretter etablere et mTLS system. Både alarmathan api'et og klientene utsteder sertifikat med en felles CA, slik at de stoler på hverandre.
I kubernetes verden kan disse sertifikatene enkelt og automatisk utstedes via cert-manager, hvordan dette vil se ut for andre integrasjoner er enda ukjent.
Har sparret litt med Tor Egil her, mTLS her blir nok å løse med ACME. Tanken er at hver klient (produsent) må verfisiere sin identitet mot alarmathan og omvendt. Dette gjør det mulig for oss å unngå å måtte følge opp api-keys over alt og vi fratar oss ansvaret ved å følge opp "trust", altså å verifisere klientene. Dette ansvaret løftes da over på intern-pki. Igjen følger dette videre opp KISS.
Utvikling og testing burde sikkert gjøres i kubernetes der det er enklest. MTP acme. Jeg har bestilt opp d-alarm-000 for akkuratt dette formålet.