Giới thiệu
Vault là một công cụ mã nguồn mở cung cấp một cách an toàn, đáng tin cậy để lưu trữ và phân phối các bí mật như khóa API, mã thông báo truy cập và mật khẩu. Phần mềm như Vault có thể cực kỳ quan trọng khi triển khai các ứng dụng yêu cầu sử dụng bí mật hoặc dữ liệu nhạy cảm.
Trong hướng dẫn này, bạn sẽ:
- cài đặt Vault và định cấu hình nó như một dịch vụ hệ thống
- Khởi tạo một kho lưu trữ dữ liệu trên đĩa được mã hóa
- Lưu trữ và truy xuất một giá trị nhạy cảm một cách an toàn qua TLS
Với một số chính sách bổ sung được áp dụng, bạn sẽ có thể sử dụng Vault để quản lý an toàn dữ liệu nhạy cảm cho các ứng dụng và công cụ khác nhau của mình.
Như với bất kỳ dịch vụ nào quản lý thông tin nhạy cảm, bạn nên cân nhắc đọc tài liệu bổ sung về các phương pháp triển khai hay nhất của Vault trước khi sử dụng nó trong môi trường giống như sản xuất. Ví dụ: hướng dẫn tăng cường sản xuất của Vault bao gồm các chủ đề như chính sách, mã thông báo gốc và kiểm toán.
Điều kiện tiên quyết
Trước khi bắt đầu hướng dẫn này, bạn sẽ cần những điều sau:
& nbsp;
Lưu ý : Vault tạo chứng chỉ TLS tự ký khi bạn cài đặt gói lần đầu tiên. Nếu bạn không có tên miền hoặc chứng chỉ TLS để sử dụng với Vault nhưng muốn làm theo các bước trong hướng dẫn này, bạn có thể bỏ qua xác minh TLS bằng cách thêm cờ -tls-ignore-verify
vào các lệnh trong hướng dẫn này hoặc bằng cách xác định biến môi trường VAULT_SKIP_VERIFY
.
Tùy chọn này chỉ phù hợp để thử nghiệm với Vault và không nên được sử dụng trong môi trường sản xuất.
& nbsp;
Bước 1 – Cài đặt Vault
HashiCorp cung cấp Vault như một gói Debian / Ubuntu điển hình, vì vậy chúng tôi sẽ thực hiện các bước bình thường để thêm kho lưu trữ gói của họ vào danh sách nguồn gói của máy chủ của chúng tôi:
Trước tiên, hãy thêm GPG key của Hashicorp vào trình quản lý gói của bạn để hệ thống của bạn tin tưởng vào kho lưu trữ gói của họ:
- curl -fsSL https://apt.releases.hashicorp.com/gpg | sudo apt-key add –
& nbsp;
Sau đó, thêm chính kho lưu trữ vào danh sách các nguồn gói của bạn, vì vậy, nó sẽ được kiểm tra các bản cập nhật thường xuyên:
- sudo apt-add-repository “deb [Arch = amd64] https://apt.releases.hashicorp.com $ (lsb_release -cs) main” </ li >
& nbsp;
Sau đó cài đặt gói:
Bây giờ bạn có thể sử dụng lệnh vault
. Hãy thử kiểm tra phiên bản của Vault để đảm bảo rằng nó hoạt động.
Đầu ra
Vault v1.8.5 (647eccfe0bd5817bdd8628f3c3171402dfc8a8fc)
Tập tin thực thi Vault được cài đặt trên máy chủ của bạn, vì vậy bước tiếp theo là định cấu hình nó để chạy như một dịch vụ hệ thống.
Bước 2 – Định cấu hình Vault
Cài đặt gói Vault tự động tạo người dùng vault
vault trên hệ thống của bạn và thiết lập dịch vụ hệ thống để chạy Vault trong nền. Chúng tôi cần thực hiện một vài thay đổi đối với cấu hình mặc định của nó để sử dụng chứng chỉ HTTPS được tạo bởi Let's Encrypt.
& nbsp;
Lưu ý : Trong hướng dẫn này và theo mặc định, Vault sử dụng phần phụ trợ của hệ thống tệp để lưu trữ các bí mật được mã hóa trên hệ thống tệp cục bộ tại / opt / vault
. Điều này phù hợp cho các triển khai cục bộ hoặc một máy chủ không cần sao chép. Các phần mềm phụ trợ khác của Vault, chẳng hạn như phần phụ trợ Consul, sẽ lưu trữ các bí mật được mã hóa ở trạng thái yên tâm trong một kho lưu trữ khóa / giá trị được phân phối.
& nbsp;
Cấu hình mặc định của Vault được lưu trữ trong /etc/vault.d/vault.hcl
. Bạn sẽ sử dụng tệp này để kiểm soát các tùy chọn khác nhau trong Vault, chẳng hạn như nơi lưu trữ các bí mật được mã hóa.
Mở vault.hcl
bằng nano
hoặc trình soạn thảo văn bản yêu thích của bạn.
- sudo nano /etc/vault.d/vault.hcl
& nbsp;
<p