HashiCorp: Neue Terraform-Features und mehr Ansible-Integration

HashiCorps Hauskonferenz ist immer ein Schmelztiegel von Neuerungen aus der Welt von Terraform, Vault und Co. Das ist auch im zehnten Jahr des Bestehens nicht anders. Mitgründer und CTO Armon Dagdar begann mit hauseigenen Neuerungen – zunächst aus dem Infrastruktur-Bereich. Offiziell erhältlich und für den produktiven Einsatz freigegeben ist nun HCP (HashiCorp Cloud Plattform) Terraform Stacks. Gleiches gilt für die Möglichkeit, die eigene Schlüsselverwaltung zum Schutz sensibler Daten zu verwenden. Im HashiCorp-Sprech heißt das „HCP Terraform hold your own key“. Neu ist, dass man nun mit HCP Terraform Search nach Ressourcen, beispielsweise Rechner in AWS, suchen und importieren kann.

Die dazugehörige Suche nach diesen Objekten erfolgt als deklarative Abfragen. Innerhalb der Ergebnisliste kann der Anwender dann das Importieren in Terraform auslösen. Das ist sehr nützlich, wenn man Objekte in die HashiCorp-Welt bringen möchte, die der Anwender manuell oder mit anderen Werkzeugen angelegt hat. Terraform Search ist als öffentliche Beta verfügbar. Gleiches gilt für HCP Terraform Actions. Damit lassen sich quasi beliebige Aktionen auslösen, beispielsweise das Neustarten einer Anwendung oder das Löschen alter Protokoll-Dateien. Terraform kann dabei auch die Mechanismen von Plattformen wie Ansible oder Kubernetes benutzen.

Das bringt die IBM-Übernahme

Hier gibt es auch die ersten Früchte der Übernahme von HashiCorp durch IBM. Da ist einmal die Integration mit Ansible. Terraform kann nun die installierten Objekte dem Inventar von AAP (Ansible Automation Platform) hinzufügen. Außerdem schickt es ein Ereignis an EDA (Event Driven Ansible), welches dann die entsprechenden Playbooks auslöst. Arman Dagda bezeichnete als die Verbindung von IaC (Infrastructure as Code) und CaC (Configuration as Code). Auch an anderen Stellen gibt es eine neue Zusammenarbeit innerhalb der IBM-Familie. Terraform kann sich von Apptios Cloudability die Kosten inklusive Verbesserungsvorschläge für bestehende Cloud-Objekte holen. Der offizielle Name für diese Funktion lautet: Terraform Run Task Integration into Cloudability und ist noch in der Beta-Phase.

Auch im Bereich Sicherheit hatte Armon Dagdar einige Neuigkeiten mitgebracht. Es gibt nun VSCode-IDE-Plugin (Integrated Development Environment) für HCP Vault Radar. Das ist HashiCorps Lösung, um dem Wildwuchs und der ungewünschten Verbreitung von Passwörtern und Ähnlichem Herr zu werden. Der Anwender installiert das Plugin innerhalb seiner IDE. Gibt er nun Login-Informationen innerhalb seines Codes ein, dann taucht Alarm-Fenster auf. Diese benennt nicht nur das Fehlverhalten, sondern bietet auch Abhilfe. So kann der Benutzer die Login-Daten direkt in HCP Vault importieren und dort verwalten.

Analog kann Vault Radar auch bei der SaaS-Version von Jira helfen, wenn also ein Benutzer Login-Daten in ein Ticket schreiben will. Das IDE-Plugin ist noch im Beta-Stadium, das Jira-Scannen ist schon allgemein erhältlich und produktiv einsetzbar.

Erste Schritte zur Integration

Und auch im Bereich Sicherheit gibt es Neuigkeiten aus der IBM-Ecke. Red Hat hat den Vault Secret Store CSI (Container Storage Interface) für Openshift zertifiziert. Ein quasi formaler Schritt und eigentlich überfällig. HashiCorp und Red Hat gehören ja zur selben Familie – IBM. Nun können Openshift-Pods also zertifiziert auf Daten in Vault zugreifen. Laut Armon Dagdar ist es noch ein weiter Weg für die vollständige Integration, aber die ersten Schritte sind getan.

Ein weiteres neues Sicherheitsfeature: Für den interaktiven Zugriff hat HashiCorp das Produkt Boundary. Dieses kann nun das Benutzer-Passwort für RDP-Verbindungen (Remote Desktop Protokoll) automatisch einsetzen. Der Anwender braucht das Passwort praktisch gar nicht zu kennen. Beim Aufruf der RDP-Verbindung injiziert Boundary es, ohne dass der Benutzer auch nur etwas klicken muss.

(axk)