Рубрики
Uncategorized

Как встать и бежать с Hashicorp Vault?

Эта статья устарела. Пожалуйста, следуйте по этой ссылке на Setup Vault на GKE Введение Vaul … Теги с DevOps.

Эта статья устарела. Пожалуйста, следуйте эта ссылка настроить хранилище на гке

Хранилище Hashicorp — это высокоманарный магазин секретов. Hashicorp Компания находится за некоторыми удивительными проектами, такими как бродяга и террафон среди других. Но так же круто, как их продукты, их документация иногда оставляет желать лучшего.

Я недавно хотел получить кластер хранилища вверх и бежать за проектом, над которым я работаю. Это первый раз, когда я должен был настроить его и понял, что есть целая куча готов, что документация не входит в.

После нескольких часов чистки форумов, проблемы GitHub и такие, я, наконец, удалось настроить его. И я хотел бы документировать процесс. Давайте прыгнем.

Мы собираемся развернуть кластер хранилища консула, обеспечивающим высокую доступность. Для этого учебника я покажу, как развернуть частный кластер за публичной нагрузкой-балансировщиком. Достаточно легко переключиться на полностью частные или полностью публичные кластеры.

Мой облачный поставщик выбора сегодня — GCP (оставьте комментарий, если вы хотите увидеть AWS или AZURE конкретные версии, и я посмотрю, что я могу сделать).

Перейти к этому Github Repo — https://github.com/hashicorp/terraform-google-vault и клонировать его до вашей местной машины.

Хорошие люди в Hashicorp и Gruntwork сделали большую часть работы для нас. И документация довольно обширна, но все еще может быть подавляющим для кого-то нового.

В репо, у нас есть куча модулей и куча примеров. Те, которые представляют интерес для нас, являются Модули/частные TLS-CERT , Примеры/Vault-Consul-Image и Примеры/хранилище-кластер — частное с общественностью — LB Отказ

TLS Certs.

GCP не поддерживает пользовательские публичные изображения. Итак, мы должны построить на себя. Давайте отправимся на Модули/частные TLS-CERT Отказ Следуйте инструкциям в разделе «Быстрый раздел запуска».

Вот несколько моментов, которые нужно запомнить при заполнении файла Variably.tf.

  • Добавление по умолчанию в HCl — добавление по умолчанию линия внутри переменного блока.

  • Th ‘rsa_public_key’, «Открытый ключ» и «Частный ключей» Путей файлов могут быть любым местоположением в вашей системе. Но легче поставить их прямо там, где мы собираемся использовать их. Итак, что-то вроде «../../example/vault-consul-image/tls/(konkyual-image/tls/{чаго ).pem» — это хороший способ пойти, где {Key} относится к трем клавишам, упомянутым выше. Вы также можете поставить в любой каталог и вручную скопировать ключи.

  • Переменная «владельца» просит пользователя, который будет владеть ключами на вашей местной машине. В настоящее время вошедший в систему пользователь является хорошим по умолчанию.

  • Способ заполнения списка (строки) переменных в значительной степени похоже на список строк — [«Некоторые строки», «какая-то другая строка»].

Как только сертификаты TLS были Гнездо, отправляйтесь на Примеры/Vault-Consul-Image Отказ Убедитесь, что ваши генерированные сертификаты TLS находятся в Примеры/Vault-Consul-Image/TLS папка. Если вы сгенерировали их на другой путь, скопируйте их сейчас.

Открыть Vault-Consul.json файл и установить следующие переменные

  • Project_id — ID вашего проекта GCP
  • зона — Зона GCP Whre, вы хотите обеспечить кластер хранилища.
  • ca_public_key_path , tls_public_key_path & tls_private_key_path — Пути к сертификатам TLS, которые мы генерировали в предыдущем разделе.

В Строители Раздел этого файла, вы обнаружите, что создают два изображения. Один с Ubuntu 16.04, а другой с 18.04. Если вы просто собираетесь использовать один из них, не стесняйтесь удалить другой раздел.

Теперь запустите Packer Build Vault-Consul.json Отказ

Когда сборка заканчивается, он выводит идентификатор нового изображения Google. Нам понадобится это для следующего раздела.

  • Перейдите к Примеры/хранилище-кластер — частное с общественностью — LB/ И открытые вариации.Тр и заполните все переменные.

  • Введите идентификатор Packer Image, построенный для нас на предыдущем шаге как для Vault-Source-Image и Consul-Source-Image.

  • Беги Terraform Init.

  • Нам нужно сделать небольшое изменение в одну из скриптов. Останься со мной. После запуска Erraporm init, будет создана папка .modules. Перейти к Примеры/хранилище-кластеры — частное с общественностью/. Отказ Найдите линию, где она говорит

  • instance_tmplate = …. и сделайте следующее редактировать

  • Вернуться к Примеры/хранилище-кластер — частное с общественностью — LB/ и бежать План террафора сопровождается Террафом применяется Отказ

Это займет некоторое время, но когда-то сделано, у вас есть новый кластер хранилища, подготовленный и готов.

Вот довольно подробная документация о том, как init и отменить кластер хранилища хранилища — https://github.com/hashicorp/terraform-google-vault/tree/master/modules/vault-cluster#kow-do-you-use-te-vault-cluster.

Следовать вместе Обратите внимание, что команда init должна работать только на одном из узлов. Команда NEESET должна быть запущена с 3 различными отдельными ключами на каждом из узлов.

Настройте запись в домене, который вы владеете, указывая на балансировщик нагрузки (Terraform создает балансировщик нагрузки с добавленным к нему 3 узла Vault. Они потерпят неудачу здоровья, пока вы их инициалируете и не понижаете их).

Теперь вы можете использовать UI Vault на доменном имени, который вы настроили на порт 8200 -> https://vault.example.com:8200/ Отказ

Вы увидите, что ваш браузер считает, что это необеспеченное соединение. Чтобы преодолеть это, найдите сертификат TLS, который мы создали на шаге 2 и добавьте CA_PUBLE_KEY в список доверенных CAS на вашем браузере.

Вы также можете получить доступ к Vault из командной строки на вашем локальном компьютере. Просто беги Export Vault_Addr = « https://vault.example.com:8200 Где Vault.example.com — ваш домен хранилища/поддомен.

Вы получите подобное «X509: Сертификат, подписанный неизвестной погрешностью». Это зафиксировано, добавив сертификат в Apple Beychain. Просто откройте доступ ключей и перетащите сертификаты в.

Вот некоторая информация о том, как сделать то же самое на Ubuntu — https://shubuntu.com/questions/73287/how-do-i-install-a-root-certificate

С этим вы все набор.

Слияние Я супер новый для написания технических учебников. Я хотел бы любые отзывы. Слишком многословный? Что-то неясно? Просто дайте мне знать в комментариях, и я постараюсь получить их, как только смогу.

Оригинал: «https://dev.to/arvindamirtaa/how-to-get-up-and-running-with-hashicorp-vault-5fa0»