HashiPraat met Ambassador Chris van Meer

Na lang nagelbijten en afwachten voor de kandidaten, heeft HashiCorp eind maart ein-de-lijk bekendgemaakt wie zich in 2024 allemaal HashiCorp Ambassador mag noemen. AT-guru Chris van Meer vond bericht in zijn mailbox dat hij door de ballotage was gekomen en voor het tweede jaar op rij de eretitel mag voeren en inmiddels is ook de bijbehorende en enige echte officiële Credly-badge in the pocket. Een heel mooie blijk van waardering natuurlijk, maar hoe word je eigenlijk HashiCorp Ambassador? Wat heeft het ambassadeurschap te bieden? En wat is er zoal gaande in de wereld van HashiCorp en omstreken? Tijd om Chris aan de HashiTand te voelen.

Chris, vertel eens: hoe word je een HashiCorp Ambassador?

“HashiCorp hecht al sinds haar oprichting in 2012 veel waarde aan haar gebruikersgemeenschap: de community. Het belangrijkste criterium om in aanmerking te komen voor de titel van Ambassador is dan ook een aantoonbare en substantiële bijdrage aan deze community. Er komt verder geen enkele vorm van commercie bij kijken, je hoeft bijvoorbeeld geen verkooptargets te halen of zoiets.”

Okay, wat heb jij dan zoal voor deze community uitgespookt?

“Best veel eigenlijk. Om te beginnen ben ik een van de trekkers van de Nederlandse HashiCorp User Group (HUG). Deze User Group zorgt voor verbinding tussen HashiCorp experts en gebruikers op lokaal niveau, met ondersteuning vanuit HashiCorp. Momenteel zijn we bezig om later in 2024 een fysieke meetup te organiseren waarbij we praktische kennis en eventueel productnieuws delen. Naast de HUG schreef ik een blog over HashiDays London 2023 en deelde ik mijn kennis tijdens de online HashiTalks van 2023 en 2024. Voor AT Computing verzorgde ik een gratis online workshop over HashiCorp Vault en ook dit jaar staat er eentje op de planning. Ook ben ik een van de moderators van het HashiCorp kanaal op Reddit. Als laatste was ik in oktober 2023 ook aanwezig bij HashiConf in San Francisco voor een technische presentatie tijdens een zogeheten hallway session.”

Dit hele dossier heb je dus als bewijs bij elkaar gehamsterd. En dan?

“Ieder jaar wordt door HashiCorp een oproep gedaan voor het Ambassador programma. Via een online portaal kun je alles uploaden en ook mensen uit je netwerk vragen om je aan te bevelen. Daarna buigt een commissie binnen HashiCorp zich over alle aanmeldingen. Voor dit jaar zijn er enorm veel aanmeldingen binnengekomen, maar is HashiCorp kieskeuriger geweest dan voorgaande jaren. Er waren dus veel afwijzingen, ook van personen die in 2023 wel werden geselecteerd. Alles bij elkaar zijn er wereldwijd ongeveer 100 Ambassadors. Een select gezelschap dus.”

Welke voordelen heeft het om Ambassador te zijn?

“Daar kan ik kort maar krachtig over zijn: als Ambassador zit je altijd vooraan wanneer het gaat om productnieuws. Zo worden aankondigingen, vaak onder embargo en met geheimhoudingsverklaring, eerst met Ambassadors gedeeld voordat ze richting het bredere publiek gaan. Soms wordt actief om feedback gevraagd, soms is het puur ter info. Eenzelfde patroon zie je ook met alfa of beta releases van nieuwe (versies van) producten. Ambassadors mogen deze vaak als eerste groep buiten HashiCorp testen en gebruiken.”

Is dat alles?

“Dat ook weer niet. Ambassadors hebben ook toegang tot een besloten kanaal op Slack, waar specialisten uit de product teams van HashiCorp in zitten. Dit geeft directe toegang tot (diepgaande) productkennis, mocht dat nodig zijn. Al is het netwerk van de Ambassadors zelf zeker zo waardevol: dat zijn immers de mensen die in de praktijk veel met de producten van HashiCorp werken en dus in sommige gevallen meer weten van nukken en scherpe randjes binnen de grote boze buitenwereld dan HashiCorp zelf. Daarnaast wordt er voor de Ambassadors vaak een apart side-event georganiseerd bij grote conferenties zoals HashiDays en HashiConf. Hierbij zijn vaak ook diverse medewerkers van HashiCorp aanwezig, zodat het extra waardevol is om daar kennis en ervaringen uit te wisselen.”

Je zit dus op de eerste rij als het gaat om productnieuws. Heb je nog een leuke scoop?

“Nou, ik weet zeker wel een paar dingen, maar die mag ik niet vertellen, haha!"

Hmm… Andere vraag dan maar: kun je dan iets over recente ontwikkelingen van jouw favoriete HashiCorp product zeggen?

“Zeker. Dan gaan we het dus over Vault hebben, want dat vind ik persoonlijk het meest interessante product van HashiCorp. En daar is wel een boeiende ontwikkeling. In 2023 heeft HashiCorp BlueBracket overgenomen. Zij maken een product dat probeert om zogeheten secret sprawl tegen te gaan. Secret sprawl betekent dat secrets zoals digitale sleutels, wachtwoorden, certificaten of gevoelige persoonlijke informatie (PPI’s: Protected Personal Information) ongecontroleerd rondzwerven binnen de IT-omgeving. PPI’s zijn bijvoorbeeld een geboortedatum, creditcard nummer of BSN. HashiCorp is bezig om de oplossing van BlueBracket te integreren met Vault. Op dit moment is de nieuwe functionaliteit in limited bèta beschikbaar onder de naam Vault Radar. Radar zoekt in code repo’s actief naar secrets en geeft notificaties wanneer er iets verdachts wordt aangetroffen. Op basis daarvan kun je dan acteren: is het daadwerkelijk gevoelige data of een false positive. Vooralsnog zal Vault Radar alleen als onderdeel van de SaaS diensten vanuit HashiCorp Cloud worden geleverd, maar in het verleden is gebleken dat nieuwe functionaliteit vaak enige tijd later ook in de Enterprise en/of Community Edition van het product terechtkomt.”

Vertel ons meer, Van Meer!

“Een andere interessante ontwikkeling is Terraform Stacks. Terraform Stacks maakt het eenvoudiger om zogeheten landing zones binnen een cloudplatform te maken. Dit kun je zien als een voorgedefinieerde inrichting van een dergelijk platform, waarbij alle randvoorwaarden en afhankelijkheden worden klaargezet zodat je daarna vlot je eerste applicatieve workloads kunt laten neerploffen. Met Terraform Stacks kun je verschillende omgevingen scheiden, maar wel op basis van dezelfde codebase. Hierdoor neemt hergebruik van deze code toe terwijl conformiteit (compliance) en flexibiliteit behouden blijven. Net als bij Vault Radar geldt voor Terraform Stacks ook dat het eerst voor de SaaS en Enterprise versies wordt gelanceerd en vooralsnog niet voor op de Community Edition.”

Het lijkt er sterk op dat HashiCorp veel energie steekt in hun betaalde oplossingen…

“Dat klopt helemaal. En dat is ook niet zo gek. Ze bestaan inmiddels al 11 jaar, zijn van twee man naar bijna 2000 gegroeid, rond de 5 miljard USD waard op de beurs, maar hebben nog nooit winst gemaakt. Er zit, zeker vanuit de aandeelhouders, veel druk op om zwarte cijfers te gaan schrijven. Er gaan, niet in de laatste plaats op het Reddit kanaal, ook geruchten rond over een mogelijke verkoop.”

Zijn oprichters Mitchell Hashimoto en Armon Dadgar nog betrokken?

“Armon wel, maar Mitchell sinds vorig jaar niet meer. Mitchell is eigenlijk een software ontwikkelaar in hart en nieren. Die wil gewoon lekker achter zijn computer zitten nerden en mooie dingen maken. Armon is anders en lijkt in zijn rol als CTO nog prima op zijn plek te zitten. Het uitstappen van Mitchell Hashimoto lijkt tot dusver geen grote impact te hebben gehad op het bedrijf. Het was gewoon tijd voor een volgende stap en eigenlijk heeft iedereen daar wel vrede mee. Mitchell had overigens al langer geen actieve rol meer in de dagelijkse bedrijfsvoering, dus wat dat betreft was er ook geen grote wisseling in de top toen hij helemaal bij HashiCorp stopte.”

Wat doe jij eigenlijk in de praktijk met de producten van HashiCorp?

“Twee best wel verschillende dingen. Ik werk bij AT Computing niet alleen als consultant, maar sta ook als trainer voor de klas. Ik verzorg de Terraform Fundamentals en Vault Fundamentals trainingen, die je beiden uitstekend helpen om deze tools te (gaan) gebruiken of om het examen van HashiCorp voor certificering succesvol te maken. Als ik niet voor de klas sta, dan werk ik als consultant bij klanten. Voor mijn huidige consultancy-opdracht ben ik bezig met de implementatie van een HashiStack. Dit is feitelijk een platform-oplossing die bestaat uit een goed geïntegreerde combinatie van de HashiCorp producten Consul, Nomad en Vault, aangevuld met de tool Traefik als reverse proxy. Op dit moment draait er al een door mij neergezette PoC-omgeving met een aantal workloads, waaronder een hele zware als “stresstest” van het platform. Dit is zodanig goed bevallen dat er besloten is om ook voor productie deze stack te gaan gebruiken. Ik heb daarvoor een uitgebreid adviesrapport geschreven, inclusief design guidelines en best practices zoals die door HashiCorp worden aangeraden. Hier kwam ook een voordeel van mijn Ambassador-badge naar voren: ik kon mijn design laten reviewen door HashiCorp, zodat zeker is dat de omgeving op de juiste manier opgebouwd is.”

Dat klinkt tof! Wat is de meerwaarde van deze oplossing ten opzichte van bijvoorbeeld Kubernetes of OpenShift?

“Een HashiStack kenmerkt zich door de relatief geringe hoeveelheid beheer die nodig is. Dat komt voornamelijk doordat de kracht van HashiCorp is dat hun producten ontzettend goed en eenvoudig samenwerken. Ze integreren naadloos met elkaar en vormen echt een ecosysteem. HashiCorp zorgt er door rigoureus testen bovendien voor dat dit ook zo blijft bij updates en vernieuwingen van de individuele tools. Een keerzijde is dat je wel aan hun ecosysteem vastzit en niet zomaar een andere tool kunt inzetten. Kubernetes en OpenShift hebben op dat vlak weliswaar meer vrijheid te bieden, maar dat gaat in veel gevallen wel gepaard met een verhoogde complexiteit en meer beheer- en testwerk. Een ander voordeel van HashiStack en met name Nomad, is dat je eenvoudig workloads op verschillende onderliggende systemen kunt draaien, bijvoorbeeld op verschillende processor architecturen zoals x64 en ARM. Hoewel er rondom Kubernetes verreweg het meest te doen is op dit moment, denk ik dat er genoeg situaties zijn waar een HashiStack door de eenvoud misschien wel een betere keuze is.”

Als laatste: wat vind jij het leukste product van HashiCorp?

“Even denken hoor… Vault vind ik de interessantste, maar de leukste? Ja, dan ga ik toch voor Boundary. Daar ben ik wel fan van. Wat maakt Boundary zo leuk? Het is een oplossing voor toegang op afstand, maar werkt heel anders dan we klassiek kennen met een VPN, bastion of jump host. Boundary past eenzelfde principe toe als je ook wel in de domotica ziet. Denk aan Philips HUE. Je kunt je HUE lampen op afstand bedienen, maar je hoeft er niets voor te doen in je netwerk zoals het configureren van poorten of het aanpassen van routeringen. Boundary is (onder andere) een PAM (Privileged Access Management) oplossing. Boundary controleert dus feitelijk of je ergens verbinding mee mag maken of juist niet en zorgt voor versleuteling van alle dataverkeer, zonder dat je ook nog een VPN nodig hebt. Om dit te bereiken regelt Boundary de toegang op een “hoger” niveau en kun je dus echt op gebruikersniveau toegang geven tot bepaalde resources zoals een server of applicatie. Zo kun je bijvoorbeeld op een Linux-server inloggen zonder dat je beschikt over de credentials van de server zelf. Dit doe je door Boundary te combineren met Vault. Wanneer je dan toegang tot de Linux-server wilt, dan bekijkt Boundary eerst of je dat volgens de ingestelde voorwaarden wel mag. Zo ja, dan klopt Boundary bij Vault aan voor een tijdelijke sleutel voor jouw Boundary-sessie en kun je er dus “gewoon” bij zonder dat je zelf een sleutel op je computer hoeft te hebben. De grote winst die dit met zich meebrengt is dat externe toegang een stuk veiliger en eenvoudiger maakt. Je kunt het immers heel granulair toepassen. In combinatie met Vault kunnen zelfs de gebruikte credentials time based worden gemaakt. Hierdoor heb je een veel kleinere kans dat zaken als credentials of sleutels lange tijd geldig zijn en “aanwezig zijn” op een of meerdere computers in je IT-omgeving. Het is dus echt Identity Based Access Control (IBAC). Boundary kan voor de benodigde identiteiten zelf fungeren als provider, maar ook integreren met een externe identity provider (IDP) via bijvoorbeeld LDAP, OAUTH of SAML. Ja, zoals ik al zei: Boundary is leuk!”

Natuurlijk ben je naar aanleiding van dit blog ontzettend nieuwsgierig geworden naar de producten en oplossingen van HashiCorp. Geeft niks, kan gebeuren. AT Computing is HashiCorp Partner en we staan je dan ook met veel plezier te woord! Of het nu gaat om consultancy, training of een demo: je kunt ons hierover contacteren via info@atcomputing.nl. Heb je daar helemaal geen zin in en wil je Chris liever rechtstreeks lastigvallen? Doe dat dan via chris@atcomputing.nl of ambassador@atcomputing.nl, want ook dat mailadres komt precies op de juiste plek terecht!