Эта статья устарела. Пожалуйста, следуйте эта ссылка настроить хранилище на гке
Хранилище Hashicorp — это высокоманарный магазин секретов. Hashicorp Компания находится за некоторыми удивительными проектами, такими как бродяга и террафон среди других. Но так же круто, как их продукты, их документация иногда оставляет желать лучшего.
Я недавно хотел получить кластер хранилища вверх и бежать за проектом, над которым я работаю. Это первый раз, когда я должен был настроить его и понял, что есть целая куча готов, что документация не входит в.
После нескольких часов чистки форумов, проблемы GitHub и такие, я, наконец, удалось настроить его. И я хотел бы документировать процесс. Давайте прыгнем.
Мы собираемся развернуть кластер хранилища консула, обеспечивающим высокую доступность. Для этого учебника я покажу, как развернуть частный кластер за публичной нагрузкой-балансировщиком. Достаточно легко переключиться на полностью частные или полностью публичные кластеры.
Мой облачный поставщик выбора сегодня — GCP (оставьте комментарий, если вы хотите увидеть AWS или AZURE конкретные версии, и я посмотрю, что я могу сделать).
Перейти к этому Github Repo — https://github.com/hashicorp/terraform-google-vault и клонировать его до вашей местной машины.
Хорошие люди в Hashicorp и Gruntwork сделали большую часть работы для нас. И документация довольно обширна, но все еще может быть подавляющим для кого-то нового.
В репо, у нас есть куча модулей и куча примеров. Те, которые представляют интерес для нас, являются Модули/частные TLS-CERT , Примеры/Vault-Consul-Image и Примеры/хранилище-кластер — частное с общественностью — LB Отказ
TLS Certs.
GCP не поддерживает пользовательские публичные изображения. Итак, мы должны построить на себя. Давайте отправимся на Модули/частные TLS-CERT Отказ Следуйте инструкциям в разделе «Быстрый раздел запуска».
Вот несколько моментов, которые нужно запомнить при заполнении файла Variably.tf.
Добавление по умолчанию в HCl — добавление по умолчанию линия внутри переменного блока.
Th ‘rsa_public_key’, «Открытый ключ» и «Частный ключей» Путей файлов могут быть любым местоположением в вашей системе. Но легче поставить их прямо там, где мы собираемся использовать их. Итак, что-то вроде «../../example/vault-consul-image/tls/(konkyual-image/tls/{чаго ).pem» — это хороший способ пойти, где {Key} относится к трем клавишам, упомянутым выше. Вы также можете поставить в любой каталог и вручную скопировать ключи.
Переменная «владельца» просит пользователя, который будет владеть ключами на вашей местной машине. В настоящее время вошедший в систему пользователь является хорошим по умолчанию.
Способ заполнения списка (строки) переменных в значительной степени похоже на список строк — [«Некоторые строки», «какая-то другая строка»].
Как только сертификаты TLS были Гнездо, отправляйтесь на Примеры/Vault-Consul-Image Отказ Убедитесь, что ваши генерированные сертификаты TLS находятся в Примеры/Vault-Consul-Image/TLS папка. Если вы сгенерировали их на другой путь, скопируйте их сейчас.
Открыть Vault-Consul.json файл и установить следующие переменные
- Project_id — ID вашего проекта GCP
- зона — Зона GCP Whre, вы хотите обеспечить кластер хранилища.
- ca_public_key_path , tls_public_key_path & tls_private_key_path — Пути к сертификатам TLS, которые мы генерировали в предыдущем разделе.
В Строители Раздел этого файла, вы обнаружите, что создают два изображения. Один с Ubuntu 16.04, а другой с 18.04. Если вы просто собираетесь использовать один из них, не стесняйтесь удалить другой раздел.
Теперь запустите Packer Build Vault-Consul.json Отказ
Когда сборка заканчивается, он выводит идентификатор нового изображения Google. Нам понадобится это для следующего раздела.
Перейдите к Примеры/хранилище-кластер — частное с общественностью — LB/ И открытые вариации.Тр и заполните все переменные.
Введите идентификатор Packer Image, построенный для нас на предыдущем шаге как для Vault-Source-Image и Consul-Source-Image.
Беги Terraform Init.
Нам нужно сделать небольшое изменение в одну из скриптов. Останься со мной. После запуска Erraporm init, будет создана папка .modules. Перейти к Примеры/хранилище-кластеры — частное с общественностью/. Отказ Найдите линию, где она говорит
instance_tmplate = …. и сделайте следующее редактировать
- Вернуться к Примеры/хранилище-кластер — частное с общественностью — LB/ и бежать План террафора сопровождается Террафом применяется Отказ
Это займет некоторое время, но когда-то сделано, у вас есть новый кластер хранилища, подготовленный и готов.
Вот довольно подробная документация о том, как init и отменить кластер хранилища хранилища — https://github.com/hashicorp/terraform-google-vault/tree/master/modules/vault-cluster#kow-do-you-use-te-vault-cluster.
Следовать вместе Обратите внимание, что команда init должна работать только на одном из узлов. Команда NEESET должна быть запущена с 3 различными отдельными ключами на каждом из узлов.
Настройте запись в домене, который вы владеете, указывая на балансировщик нагрузки (Terraform создает балансировщик нагрузки с добавленным к нему 3 узла Vault. Они потерпят неудачу здоровья, пока вы их инициалируете и не понижаете их).
Теперь вы можете использовать UI Vault на доменном имени, который вы настроили на порт 8200 -> https://vault.example.com:8200/ Отказ
Вы увидите, что ваш браузер считает, что это необеспеченное соединение. Чтобы преодолеть это, найдите сертификат TLS, который мы создали на шаге 2 и добавьте CA_PUBLE_KEY в список доверенных CAS на вашем браузере.
Вы также можете получить доступ к Vault из командной строки на вашем локальном компьютере. Просто беги Export Vault_Addr = « https://vault.example.com:8200 Где Vault.example.com — ваш домен хранилища/поддомен.
Вы получите подобное «X509: Сертификат, подписанный неизвестной погрешностью». Это зафиксировано, добавив сертификат в Apple Beychain. Просто откройте доступ ключей и перетащите сертификаты в.
Вот некоторая информация о том, как сделать то же самое на Ubuntu — https://shubuntu.com/questions/73287/how-do-i-install-a-root-certificate
С этим вы все набор.
Слияние Я супер новый для написания технических учебников. Я хотел бы любые отзывы. Слишком многословный? Что-то неясно? Просто дайте мне знать в комментариях, и я постараюсь получить их, как только смогу.
Оригинал: «https://dev.to/arvindamirtaa/how-to-get-up-and-running-with-hashicorp-vault-5fa0»