HashiCorp : quelques fonctionnalités à expérimenter avant l'ère IBM

IBM bouclera-t-il l'acquisition de HashiCorp avant fin 2024 ? Aux dernières nouvelles, c'est l'échéance visée, en dépit de l'intérêt des autorités de la concurrence américaine et britannique pour ce deal à 6,4 milliards de dollars.

En attendant, la HashiConf (14-16 octobre) a été l'occasion de rappels sur l'évolution de l'offre. En voici quelques morceaux choisis.

Vault, entre secrets dynamiques et rotation automatique

La rotation automatique des secrets statiques passe en disponibilité générale. Elle gère les clés d'accès AWS IAM, les clés de comptes de service Google Cloud, les noms d'utilisateurs et mots de passe MongoDB, ainsi que les clés d'API Twilio. L'intervalle est paramétrable à 30, 60 ou 90 jours.

En parallèle, à partir du forfait Vault Plus, on peut expérimenter (bêta publique) les secrets dynamiques. C'est-à-dire la création à la demande d'authentifiants éphémères pour AWS et Google Cloud.

Deux rôles de service font leur apparition sur la brique Vault Secrets. D'un côté, l'App Manager, qui s'apparente au Contributeur avec un peu moins de privilèges (pas le droit de créer et gérer des intégrations pour la synchronisation, ni créer des rotations de secrets, ni créer et éditer des secrets dynamiques). De l'autre, l'App Secrets Reader, proche du Viewer mais avec là aussi moins de droits (pas de droits sur les intégrations de synchronisation).

On aura également noté la possibilité de synchroniser des secrets vers des variables Terraform. Une option qui s'ajoute aux gestionnaire de secrets d'AWS, Azure et Google Cloud, ainsi qu'à GitHub Actions, Kubernetes et Vercel.

L'outil de scan Radar passe quant à lui en bêta publique "avec des limites d'usage généreuses"... À cette occasion, HashiCorp officialise l'ajout de hooks qui permettent l'analyse des PR et des commits avant leur application.

Sessions transparentes pour Boundary

Bêta publique ouverte, sur Windows et macOS, pour les sessions dites "transparentes". Avec elles, Boundary passe sur un mode de connexion passive : il établit automatiquement des sessions en arrière-plan pour les utilisateurs authentifiés, en interceptant les appels DNS. Cette fonctionnalité permet, de surcroît, l'accès HTTPS aux web apps. Elle requiert d'utiliser des alias de cibles et d'installer le démon DNS Client Agent.

Un niveau d'abstraction supplémentaire pour Terraform

HashiCorp a ouvert une bêta publique pour Terraform Stacks. Cette couche d'abstraction permet de coordonner des configurations en regroupant des modules. Fondée sur les concepts de "composants" et de "déploiements", elle est censée, entre autres, simplifier le provisionnement de multiples instances d'une infrastructure et la gestion des dépendances.
L'usage de Terraform Stacks est initialement plafonné à 500 RUM (ressources sous gestion). Au-delà, aucun apply n'est possible, sauf pour supprimer des ressources.

HashiCorp passe également en bêta publique un outil destiné à migrer depuis l'édition communautaire de Terraform. Il propose aussi d'expérimenter diverses amélioration sur la gestion des modèles. Parmi elles, l'utilisation des demandes de changements - accessibles à partir du forfait Plus - pour communiquer des événements (obsolescence, correction de dérive, upgrade fournisseur...).

Un contrôle d'accès plus fin sur Packer

Le contrôle d'accès devient plus fin : il peut désormais s'exercer au niveau des buckets et non plus seulement des clusters.

HashiCorp annonce aussi la disponibilité générale de la fonctionnalité de visualisation des métadonnées associées aux pipelines de build.

Consul un peu plus sécurisé sur OpenShift

Avec Consul 1.20, le déploiement du service mesh sur OpenShift n'exige plus que le proxy transparent ait des privilèges élevés.

Cette version rend les ACL DNS applicables au niveau des locataires et non plus seulement des clusters. Elle simplifie par ailleurs la migration d'applications Kubernetes dans les cas où les partitions d'administration sont activées. Jusqu'alors, si on déplaçait des apps vers des partitions différentes, il fallait les mettre à jour afin d'inclure les noms des partitions dans chaque requête DNS. Consul supposait sinon que les requêtes ciblaient un service résident dans la partition par défaut. Ce n'est désormais plus nécessaire : Consul peut déployer, dans chaque partition, un pod de proxy DNS qui attache les métadonnées de partition depuis le service source.

Le partitionnement GPU sur Nomad

Avec Nomad 0.19, la prise en charge de la technologie MIG (partitionnement GPU) arrive sur le pilote NVIDIA.

Cette version étend l'accès mémoire non uniforme aux ressources de type device (on peut leur assigner des noeuds mémoire). Elle ajoute aussi - en bêta - un pilote libvirt pour gérer les VM.

Illustration