+
This commit is contained in:
@ -8,9 +8,9 @@ Vault — это инструмент от HashiCorp для безопасног
|
||||
```sh
|
||||
wsl
|
||||
```
|
||||
Похоже vault из Москвы недоступен:
|
||||
Connecting to infrastructure:
|
||||
```sh
|
||||
ssh root@45.144.64.218 -p 2200
|
||||
ssh igor@192.168.200.85 -p 22
|
||||
```
|
||||
|
||||
### 1.1. Добавление репозитория HashiCorp
|
||||
@ -51,7 +51,7 @@ ssh root@45.144.64.218 -p 2200
|
||||
```sh
|
||||
vault --version
|
||||
```
|
||||
Выдало: Vault v1.18.5 (2cb3755273dbd63f5b0f8ec50089b57ffd3fa330), built 2025-02-24T09:40:28Z
|
||||
Выдало: Vault v1.19.4 (322786e236e268532e4b189845971ba67b5cbb23), built 2025-05-14T13:04:47Z
|
||||
|
||||
|
||||
## 2. Запуск Vault
|
||||
@ -106,28 +106,40 @@ start http://127.0.0.1:8200
|
||||
```
|
||||
Останавливаю нажатием Ctrl + C
|
||||
|
||||
|
||||
### 2.2. Настройка Vault в режиме сервера
|
||||
|
||||
1. Создайте конфигурационный файл:
|
||||
Creating sel signed sertificate:
|
||||
```sh
|
||||
sudo mkdir -p /etc/vault &&
|
||||
sudo mcedit /etc/vault/config.hcl
|
||||
sudo openssl req -new -x509 -days 365 -nodes \
|
||||
-out /etc/vault.d/vault.local.crt \
|
||||
-keyout /etc/vault.d/vault.local.key \
|
||||
-subj "/CN=yourdomain.local"
|
||||
```
|
||||
|
||||
2. Добавьте следующий конфиг:
|
||||
```text
|
||||
Set file owner
|
||||
```sh
|
||||
sudo chown -R vault:vault /etc/vault.d/
|
||||
```
|
||||
|
||||
1. Создайте конфигурационный файл, Добавьте следующий конфиг:
|
||||
```sh
|
||||
sudo mkdir -p /etc/vault &&
|
||||
cd /etc/vault &&
|
||||
sudo tee config.hcl > /dev/null <<'EOF'
|
||||
|
||||
storage "file" {
|
||||
path = "/opt/vault/data"
|
||||
}
|
||||
|
||||
listener "tcp" {
|
||||
address = "127.0.0.1:8200"
|
||||
tls_disable = 1
|
||||
address = "0.0.0.0:8200"
|
||||
tls_cert_file = "/etc/vault.d/vault.local.crt"
|
||||
tls_key_file = "/etc/vault.d/vault.local.key"
|
||||
}
|
||||
|
||||
disable_mlock = true
|
||||
ui = true
|
||||
EOF
|
||||
```
|
||||
|
||||
3. Создайте папку для хранения данных:
|
||||
@ -171,7 +183,9 @@ sudo mcedit /etc/systemd/system/vault.service
|
||||
sudo systemctl enable vault &&
|
||||
sudo systemctl start vault
|
||||
```
|
||||
|
||||
```sh
|
||||
sudo systemctl restart vault
|
||||
```
|
||||
7. Проверьте статус:
|
||||
```sh
|
||||
sudo systemctl status vault
|
||||
@ -213,7 +227,7 @@ It is possible to generate new unseal keys, provided you have a quorum of
|
||||
existing unseal keys shares. See "vault operator rekey" for more information.
|
||||
```
|
||||
|
||||
3. Разблокируйте Vault, используя один из ключей (потом ещё 3 раза выполнить эту команду):
|
||||
3. Разблокируйте Vault, используя ключ (потом ещё 3 раза выполнить эту команду):
|
||||
```sh
|
||||
vault operator unseal
|
||||
```
|
||||
@ -225,6 +239,7 @@ existing unseal keys shares. See "vault operator rekey" for more information.
|
||||
|
||||
5. Создаём(включаем) новое хранилище ключ-значение через ssh
|
||||
```sh
|
||||
export VAULT_TOKEN=hvs.FDMfGORUazCHm7jGrSofBVbx &&
|
||||
vault secrets enable -path=org-ccalm kv-v2
|
||||
```
|
||||
|
||||
@ -357,5 +372,18 @@ token_type = default-service, значит Vault не хранит токены
|
||||
|
||||
|
||||
---
|
||||
Теперь HashiCorp Vault установлен и готов к использованию! 🚀
|
||||
Согласно уроку желательно корневой сертификат создавать на 10 лет допустим: https://www.youtube.com/watch?v=eSDpMUeV2lQ
|
||||
Для полноценного использования pki нужно создать роль!
|
||||
|
||||
certstrap --depot-path root init \
|
||||
--organization "GEOVizor" \
|
||||
--organizational-unit "IT" \
|
||||
--country "KZ" \
|
||||
--province "ALM" \
|
||||
--locality "Almaty" \
|
||||
--common-name "DemoCA Root Certificate Authority v1" \
|
||||
--expires "30 years" \
|
||||
--curve P-256 \
|
||||
--path-length 2 \
|
||||
--passphrase "pace_icy_hum_ward"
|
||||
|
||||
|
||||
Reference in New Issue
Block a user