Encontrar

Article
· Nov 18 4m read

IKO Plus: Shhhhhhhhh - Secrets Management for IRIS Clusters with External Secrets Operator

#Google Cloud Platform (GCP) #Kubernetes #Security #InterSystems Kubernetes Operator (IKO)

Now Under Heavy Rotation, Your IrisCluster Secrets

A few days before Kubecon, the external-secrets-operator went GA with 1.0.0 and is set to ride shotgun for Kubernetes Secrets Management and put Vault in the backseat.  You can glance at the "Providers" list for the solution and immediatley understand that you can leave the "which Secrets Manager" conversation to others while you do your job utilizing external secrets on your IrisCluster workloads, which by my count with the operator and a single IrisCluster is more than a fistful of secrets of different types, even under a single tenant.  So let them sprawl, the secrets managers that is, not the secrets.

Distraction

Lets generate a pull secret in Google Cloud Secret Manager for use with the InterSystems Kubernetes Operator from containers.intersystems.com and use the secret to pull the protected iko image.

Cluster

Lets stand up a k0s cluster for use locally.

# Download k0s
curl -sSLf https://get.k0s.sh | sudo sh

# Install k0s as a service
sudo k0s install controller --single

# Start k0s as a service
sudo k0s start

# Check service, logs and k0s status
sudo k0s status

image.png

The Secret

We need to generate a secret for containers.intersystems.com and jam it in Google Cloud Secret Manager for starters.

In Google Cloud, enable Secrets Manager

gcloud auth login
gcloud config set project ikoplus
gcloud services enable secretmanager.googleapis.com

Now, lets create a docker secret from containers.intersystems.com

docker login -u="ron.sweeney@integrationrequired.com" -p="someOfYourbaseAreBelongToUs" containers.intersystems.com

This will create a config.json somewhere on your system, we now need to jam it in GCP as a secret.

gcloud secrets create ikoplus-eso-gcp \
  --project="ikoplus" \
  --replication-policy="automatic" \
  --data-file=./config.json

 

External Secrets Operator

Lets install the external-secrets-operator itself, and wire up the Google Secret Manager to our new resource type: SecretStore.

Install the Chart

helm repo add external-secrets https://charts.external-secrets.io

helm install external-secrets \
   external-secrets/external-secrets \
    -n external-secrets \
    --create-namespace

Give it a minute to figure itself out, and when you are done you should have a total of 12 pods or so across 3 deployments in namespace "external-secrets", here is our view from Headlamp (so far).

image.png

Provision a SecretStore

So the custom resource provided by external-secrets-operator, the SecretStore has a direct communication line to talk to Google Cloud External Secrets.  For this I created a service account, scoped with Secret Manager Admin, and created a key for the SecretStore to use.

kubectl -n ikoplus create secret generic gcp-sm-credentials   --from-file=secret-access-credentials=ikoplus-293eb407499d.json

Apply the below, its commented enough to just fill it out like a form:

# gcpsm-secretstore.yaml
apiVersion: external-secrets.io/v1
kind: SecretStore
metadata:
  name: gcp-sm-store
  namespace: ikoplus
spec:
  provider:
    gcpsm:
      projectID: ikoplus
      auth:
        secretRef:
          secretAccessKeySecretRef:
            name: gcp-sm-credentials
            key: secret-access-credentials

kubectl apply -f secretstore.yaml --kubeconfig ikoplus-eso.kubeconfig

Create ExternalSecret

Now, link the ExternalSecret to a plain 'ol Kubernetes secret.

# externalsecret-dockerconfig.yaml
apiVersion: external-secrets.io/v1
kind: ExternalSecret
metadata:
  name: external-containers-pull-secret # I like to just prepend "external"
  namespace: ikoplus
spec:
  refreshInterval: 1h
  secretStoreRef:
    name: gcp-sm-store
    kind: SecretStore
  target:
    name: containers-pull-secret        # Name of the Kubernetes Secret to create
    creationPolicy: Owner
    template:
      type: kubernetes.io/dockerconfigjson
      data:
        # "dockerconfig" is the logical key we use inside the template
        .dockerconfigjson: "{{ .dockerconfig | toString }}"
  data:
    - secretKey: dockerconfig     # This name is used in the template above
      remoteRef:
        key: ikoplus-eso-gcp      # The secret ID in Google Secret Manager

kubectl apply -f externalsecret.yaml --kubeconfig ikoplus-eso.kubeconfig

Using the external-secrets-operator plugin for Headlamp, you can see our Custom resources for ESO created.

Attestation

Lets deploy the IKO Helm Chart with the updated values for the image pull secret... this should point to the standard Kubernetes secret we created, which resolves to an external secret in Google Cloud Platform.
 

## Optionally specify an array of imagePullSecrets.
## Secrets must be manually created in the namespace.
## ref: https://kubernetes.io/docs/concepts/containers/images/#specifying-imagepullsecrets-on-a-pod
##
imagePullSecrets:
  - name: containers-pull-secret    #### actually from external-containers-pull-secret
## Specify a imagePullPolicy
## ref: http://kubernetes.io/docs/user-guide/images/#pre-pulling-images
##

 
Successful Pull!! Uses containers-pull-secret which is actually external-containers-pull-secret in Google Cloud Platform Secrets Manager!

 

External Secrets Operator is an OpenCollective org, give them a look for your IrisCluster workloads.

🎉

Now you have somehwere to stash that password hash!

Discussion (0)1
Log in or sign up to continue
Announcement
· Nov 18

[Vídeo] Arquitetando para o Sucesso com Espelhamento (Mirroring)

#Mirroring #Video #InterSystems IRIS #Learning Portal

Olá, Comunidade!

Você busca maneiras de fortalecer a implementação da sua plataforma de dados InterSystems IRIS®? Veja como o espelhamento pode ajudar:

Arquitetando para o Sucesso com Espelhamento

Neste vídeo, você aprenderá estratégias para configurar o espelhamento que atendam às necessidades da sua empresa, considerando os custos. Explore as melhores práticas para planejar, testar e proteger sua configuração, para que você possa manter a alta disponibilidade mesmo durante falhas.

Discussion (0)1
Log in or sign up to continue
Announcement
· Nov 18

[Video] Operações e escalabilidade com InterSystems IRIS - Do Zero ao Sucesso

#Cloud #READY 2025 #Video #InterSystems IRIS #Summit

Olá Comunidade,

Confira o novo vídeo no canal do YouTube da InterSystems Developers:

⏯ Operações e escalabilidade com InterSystems IRIS - Do Zero ao Sucesso @ Ready 2025 

Nesta sessão introdutória, aprenda como o InterSystems IRIS ajuda você a levar seu aplicativo de negócios do desenvolvimento para um ambiente altamente disponível, escalável e de fácil manutenção com o mínimo de esforço. Destacaremos os avanços recentes e os recursos futuros que reduzem significativamente a complexidade da configuração, além de uma visão geral do que está por vir para os produtos e serviços em nuvem da InterSystems.

Apresentadores:
🗣 @Bob Kuszewski, Product Manager, Developer Experience at InterSystems
🗣 @Benjamin De Boe, Lead Product Manager Data & Analytics at InterSystems

Quer aprimorar suas habilidades? Assista agora e inscreva-se para receber dicas futuras!

Discussion (0)1
Log in or sign up to continue
Article
· Nov 18 3m read
Open Exchange

Cómo podéis probar gj :: configExplorer de forma independiente en Windows

#System Administration #Node.js #Management Portal #Visualization #VSCode #Caché #Ensemble #HealthShare #InterSystems IRIS #InterSystems IRIS for Health

En mi artículo anterior en el que presentaba gj :: configExplorer señalé cómo un aparente error en los elementos de Windows de la API nativa para Node.js hace que actualmente no sea posible ejecutarlo en VS Code en un escritorio Windows. En un comentario a ese artículo ofrecí una solución alternativa, pero esta requiere un host Linux con Docker al que podáis conectaros por SSH.

Si no tenéis un destino adecuado, ahora es posible aprovechar vuestro Docker Desktop local de Windows. Aquí os explico cómo:

  1. Abrid una nueva ventana de VS Code.

Los pasos originales del 2 al 9 pueden simplificarse ejecutando “Dev Containers: Clone Repository in Container Volume...” desde la Paleta de Comandos e introduciendo “https://github.com/gjsjohnmurray/gjConfigExplorer.git” cuando se os pida.

  1. Id a la vista de Control de Código Fuente haciendo clic en su icono en la Barra de Actividades.
  2. Haced clic en el botón “Clone Repository”.
  3. Pegad https://github.com/gjsjohnmurray/gjConfigExplorer.git en el mensaje del centro superior y pulsad Enter.
  4. Elegid una carpeta en la que crear la carpeta del clon.
  5. Cuando se os pida, abrid el repositorio clonado.
  6. Confiad en el autor si se os solicita.
  7. Buscad una notificación (abajo a la derecha):
  8. Haced clic en “Reopen in Container”. Este paso puede tardar unos minutos en completarse.

El contenedor ejecuta una instancia de Linux que a su vez contiene Docker, una técnica llamada “Docker en Docker”.

  1. Cerrad la notificación sobre las extensiones recomendadas.
  2. Esperad hasta que finalice la actividad del postCreateCommand del archivo devcontainer.json.
  3. Cambiaos a la vista de Ejecución y Depuración y haced clic en el botón “play”. O simplemente pulsad F5.
  4. Cuando se abra la ventana del Extension Development Host (EDH), cerrad la notificación sobre la imposibilidad de conectarse a “iris”.
  5. En la vista del Explorador, haced clic con el botón derecho en el archivo docker-compose.yml y elegid “Compose Up”.
  6. Esperad unos minutos a que se descargue la imagen intersystemsdc/iris-community:latest en el Docker interno (el que se ejecuta en Linux).
  7. Esto proporcionará un contenedor IRIS cuya configuración gj :: configExplorer explorará.
  8. Cuando la salida del terminal indique que el contenedor test-iris-1 se ha iniciado, haced clic en el panel de la barra de estado iris[USER] y, en el mensaje del centro superior, elegid “Toggle Connection”.

Ahora, haced click aquí. 

Esperad a que Structurizr Lite se inicie en otro contenedor dentro de vuestro contenedor de Linux.

Una vez que Structurizr Lite se haya iniciado, deberíais ver que se abre una nueva pestaña en vuestro navegador web. Es posible que la página aparezca en blanco al principio mientras se descargan los recursos, pero pronto deberíais ver lo siguiente:

Al hacer clic en la segunda miniatura aparece lo siguiente:

La instancia “iris” está configurada con dos conexiones de servidor de datos ECP. Estas son falsas porque la licencia de la edición Community de IRIS no incluye la función ECP, pero, por suerte, esta restricción no nos impide definir las conexiones.

Haced clic en la tercera miniatura para obtener lo siguiente:

Luego utilizad su botón de Zoom (abajo a la derecha) junto con el desplazador horizontal para ver lo siguiente:

 

Si os gusta lo que estáis viendo, apoyad esta extensión votando por ella en el concurso actual de DC. La votación termina el domingo 12 de octubre a medianoche, hora del este de Estados Unidos.

Discussion (0)1
Log in or sign up to continue
Discussion
· Nov 18

Learning TOGAF 9.2: How It Helps in InterSystems IRIS Projects

#InterSystems IRIS

I am preparing for TOGAF 9.2 Combined Part 1 and Part 2 exam. My goal is to gain a strong understanding of enterprise architecture principles. I want to use this knowledge to plan and design InterSystems IRIS projects more effectively.

TOGAF helps organize business, data, application, and technology domains. It also provides reusable building blocks that make architecture planning easier and more structured. Applying these principles in IRIS can improve system integration and project efficiency. I am using several resources to prepare. Pass4future is very useful for TOGAF Certification Exam Questions. I also study official TOGAF 9.2 guides. Combining study guides with practice tests helps me understand the concepts deeply.

I am sharing this to seek advice from the community. I would like to know if others have applied TOGAF in IRIS projects. 

Discussion (0)1
Log in or sign up to continue