Хранилище HarshiCorpe: срок действия собранных учетных данных БД истек. Каковы лучшие практики для этого случая?

Question

Я хочу правильно понять этот случай с точки зрения развертывания. Предположим, учетные данные БД получены из Vault и срок их действия истекает. Приложение, которое использует эти учетные данные, обрабатывает финансовые транзакции. Транзакции должны быть обработаны без каких-либо проблем. Как убедиться, что транзакции обрабатываются даже во время обновления учетных данных БД.

Кроме того, есть побочные вопросы, например, что происходит в случае, когда хранилище обновило учетные данные БД, но потребовалось немного времени для обновления приложения или само хранилище аварийно завершилось [что я прочитал, так это то, что даже если один узел выходит из строя в Vault, он запускается в состояние запечатывания] (в этом случае, когда он будет восстановлен, он снова будет в запечатанном состоянии и, следовательно, потребуется значительное количество времени), что, по моему мнению, вызывает достаточно большие производственные простои.

Нужно мнение эксперта о моих мыслях и вопросах

Answer 1

Вы захотите запустить побочный процесс (также известный как sidecar), который обновляет ваш секрет до тех пор, пока выполняется текущее развертывание вашего приложения.

Например - ваше приложение запускается, хранилище генерирует секрет для приложения со сроком действия 6 часов. Запускается процесс коляски и проверяется, истекает ли срок действия менее 1 часа, это так - он обновляет токен на 6 часов.

Через два дня ваше приложение вылетает. Процесс с коляской перестаёт работать, и токен истекает.

Вы можете посмотреть this в качестве примера для обновления коляски.