如何在建木CI中使用Vault管理密钥

最新推荐文章于 2024-07-26 10:16:06 发布
最新推荐文章于 2024-07-26 10:16:06 发布
阅读量645 收藏 1
点赞数
文章标签: devops ci/cd
原文链接:https://my.oschina.net/u/4554453/blog/5359135
版权

大家好呀!

最近在使用建木CI部署项目的过程中,集成了Vault,感觉还挺有意思的,这里给大家分享一下我集成的过程吧!

首先贴上建木CI和Vault的介绍,需要了解更多的小伙伴戳链接:

建木CI :https://jianmu.dev/
Vault:https://www.vaultproject.io/

  • 建木CI以触发器、流程编排、任务分发等功能为平台核心,可以应用在各类使用场景下,包括但不限于,CI/CD、DevOps、自动化运维、多业务系统集成等场景。
  • Vault 是一个基于身份的机密和加密管理系统,可以帮你管理一些私密的信息,比如 API 密钥,密码,证书等等。Vault 提供受身份验证和授权方法限制的加密服务,提供统一的接口,可以安全地存储、管理和访问所有隐私信息,同时提供严格的访问控制和记录详细的审计日志。

建木CI从v2.0.0版本开始集成了Vault,不得不说,使用Vault管理密钥之后方便多了,之前清理过一次建木CI环境,却忘记保存密钥,完蛋😣,最后只能一个个的重新添加,真的是一点也不辛苦呢

no_hard.gif

使用Vault管理密钥之后,可以对密钥进行统一管理,密钥安全性也大为增加,nice!

接下来,我们就来集成一下Vault吧

start.gif

1.环境准备

首先,你需要安装以下环境:

  • Docker 19.30以上
  • Docker-Compose 1.29.2以上
  • 建木CI v2.0.0以上,安装链接:https://docs.jianmu.dev/guide/quick-start.html
  • Git

2.部署Vault

建木官方提供了一份基于docker-compose启动Vault的实例,可以更方便地启动Vault,推荐使用👍

使用docker-compose的方式来进行部署,关于docker-compose的详细使用说明可以参考docker官方文档:https://docs.docker.com/compose/

1.通过建木官方提供的实例启动Vault
  • 获取建木官方提供的实例
git clone https://gitee.com/jianmu-dev/jianmu-deploy.git

图片

  • 修改volumes/cert/cert.conf中的CNIP.1为本机IP
vim volumes/cert/cert.conf

图片

  • 启动Vault

    docker-compose -f docker-compose-vault.yml up -d

    如果443端口被占用,可以修改docker-compose-vault.yml,映射到其他端口

    反正我的443端口已经被占用了😅,这里就用9000吧

    图片

2.生成自签名证书

注意: 千万别写错了啊,否则可能导致Chrome等浏览器无法打开Vault的UI界面

volumes/cert/目录下,使用openssl生成证书和Key,该命令会生成vault.key、vault.crt两个文件

openssl req -nodes -x509 -days 365 -keyout vault.key -out vault.crt -config cert.conf
3.初始化Vault,配置Cert认证
  • 进入容器
docker exec -it 容器id sh
  • 设置环境变量
export VAULT_SKIP_VERIFY=true
export VAULT_ADDR="https://172.16.50.43:9000"
  • 初始化Vault
vault operator init

示例输出

Unseal Key 1: 4jYbl2CBIv6SpkKj6Hos9iD32k5RfGkLzlosrrq/JgOm
Unseal Key 2: B05G1DRtfYckFV5BbdBvXq0wkK5HFqB9g2jcDmNfTQiS
Unseal Key 3: Arig0N9rN9ezkTRo7qTB7gsIZDaonOcc53EHo83F5chA
Unseal Key 4: 0cZE0C/gEk3YHaKjIWxhyyfs8REhqkRW/CSXTnmTilv+
Unseal Key 5: fYhZOseRgzxmJCmIqUdxEm9C3jB5Q27AowER9w4FC2Ck

Initial Root Token: s.KkNJYWF5g0pomcCLEmDdOVCW

Vault initialized with 5 key shares and a key threshold of 3. Please securely
distribute the key shares printed above. When the Vault is re-sealed,
restarted, or stopped, you must supply at least 3 of these keys to unseal it
before it can start servicing requests.

Vault does not store the generated master key. Without at least 3 key to
reconstruct the master key, Vault will remain permanently sealed!

It is possible to generate new unseal keys, provided you have a quorum of
existing unseal keys shares. See "vault operator rekey" for more information.

保存输出的Unseal KeyRoot Token备用

解封Vault, 输入上面保存的Unseal Key,默认情况下需要输入3个不同的Key

# 这个命令需要运行三次,输入三个不同的Key
vault operator unseal

输入三个key之后,当Sealed变成了false,即解封成功

图片

解封后,使用上面的Root Token登录

vault login <Initial_Root_Token>

登录成功后,开启cert认证模式

# 开启cert认证模式
vault auth enable cert
# 开启名为jianmu的v1版本的密钥引擎
vault secrets enable -path="jianmu" -version=1 kv
# 写入证书
vault write auth/cert/certs/jianmu policies=jianmu certificate=@/vault/cert/vault.crt ttl=1h
# 写入policy
vault policy write jianmu /vault/config/jianmu-policy.hcl

再来验证一下是否成功开启

vault login -method=cert -client-cert=/vault/cert/vault.crt -client-key=/vault/cert/vault.key name=jianmu
# 写入数据
vault kv put jianmu/test bar=baz
# 读取数据
vault kv get -version=1 jianmu/test

如果正确返回以下信息,恭喜你,Vault部署成功啦

=== Data ===
Key   Value
---   -----
bar   baz

3.建木CI集成Vault

1.准备
  • 建木CI 已成功部署
  • Vault 已成功部署
2.生成证书

  • 在Vault仓库的根目录,进入volumes/cert/目录下,将crt证书转换为P12证书,这里需要设置密码

    cd volumes/cert
openssl pkcs12 -export -in vault.crt -inkey vault.key -out jianmu.p12

  • 再将P12证书转换为Java所需的JKS证书,这里需要输入上面设置的密码,并设置新的密码(千万别搞忘了,下面建木CI配置时会用到该密码)

    注意: 该命令需要Java环境支持。如果你像我一样没有Java运行环境,也可以将jianmu.p12文件移到有Java环境的计算机上,执行下面命令,再将生成的jianmu.jks文件传回来

    keytool -importkeystore -keyalg EC -srckeystore jianmu.p12 -destkeystore jianmu.jks -srcstoretype pkcs12
3.建木CI配置Vault
  • 编辑建木CI的docker-compose.yml配置文件,修改credential配置
environment:
# 使用Vault管理密钥
CREDENTIAL_TYPE: vault
# 认证方式为cert
CREDENTIAL_VAULT_AUTHENTICATION: cert
# jianmu.jks文件的路径
CREDENTIAL_VAULT_SSL_KEY-STORE: file:/jianmu.jks
# 转换jks证书时设置的密码
CREDENTIAL_VAULT_SSL_KEY-STORE-PASSWORD: jianmudev
CREDENTIAL_VAULT_SSL_TRUST-STORE: file:/jianmu.jks
CREDENTIAL_VAULT_SSL_TRUST-STORE-PASSWORD: jianmudev
# Vault服务的地址和端口
CREDENTIAL_VAULT_URL: https://172.16.50.43:9000
# 建木CI在Vault中使用的密钥引擎
CREDENTIAL_VAULT_VAULT-ENGINE-NAME: jianmu
volumes:
# 将jianmu.jks文件挂载到容器内
- ./jianmu.jks:/jianmu.jks

注意: jianmu.jks 文件可以放在 docker-compose.yml 文件同级目录下,此时挂载路径为:./jianmu.jks

  • 最后一步,启动/重启建木CI
# 直接启动
docker-compose up -d

# 只重启ci-server,不重启mysql和web
docker-compose stop ci-server
docker-compose rm -vf ci-server
docker-compose up -d ci-server

启动成功以后,建木CI终于成功集成Vault了,接下来快去尝试一下用Vault管理的密钥吧!

no_hair.jpeg

本文为OSCHINA作者【metting】的原创投稿文章

原文链接:https://my.oschina.net/u/4554453/blog/5359135

Jianmu_Dev
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用 VAULT 加密的 GITLAB CICD Pipeline
NewTyun的博客
05-11 1234
新钛云服已为您服务1486天本文的的核心内容是提供有关如何设置 Gitlab 和 Vault 以在 CI/CD 管道构建期间使用密钥。另外,本文将分解 JWT 授权过程,并解释 Gitlab + Vault 的流程。通过本文,读者最终可以实现自己的带有 Vault 密钥CI/CD 流程。目的在 Vault 上启用 JWT 身份验证方法利用 JWT 授权从 Vault ...
vault-on-gke:使用Terraform在Google Kubernetes Engine(GKE)上运行@HashiCorp Vault
02-03
将Terraform集成到CI/CD流程,如Jenkins或GitLab CI,可以帮助确保每次代码更改后都能快速、安全地更新Vault的部署。 总结来说,“vault-on-gke”项目展示了如何结合使用Terraform、GKE和HashiCorp Vault,构建...
vault:Python密码管理
05-23
金库 Vault是一个简单的Python密码管理器。 它使您可以通过简单的CLI界面安全地保存机密。 特征 机密信息使用存储在加密SQLite数据库 在数据库,每个密码和注释均使用进行AES-256加密并使用唯一的盐进行加密 主密钥用唯一的盐进行哈希处理 可以创建无限数量的保管库 剪贴板自动清除 闲置后自动保管库锁定 使用密码建议 在Json导入/导出 基本用法 安装与设定 安装sqlcipher Vault 2.x要求在您的计算机上安装sqlcipher 。 在MacOS上,可以使用安装它: brew install sqlcipher # Install sqlcipher3 pip3 install sqlcipher3==0.4.5 # If you are getting an error "Failed to build sqlcipher3", you woul
vault-服务器密码/证书管理工具
weixin_34014555的博客
01-23 988
vault介绍 vault是什么 vault是一个密码/证书集管理工具,通过HTTP-API对外提供统一的密码访问入口,并且提供权限控制以及详细的日志审计功能。 一个系统可能需要访问多个带密码的后端:例如数据库、通过API keys对外部系统进行调用,面向服务的架构通信等等。要将众多系统的用户和权限对应起来已经非常困难,加上提供密钥...
给大家推荐一款好用的CI/CD工具建木
最新发布
qq_33240556的博客
07-26 376
建木是一款面向DevOps领域的CI/CD(持续集成/持续部署)工具,它具有图形化界面和易于扩展的特点,可以帮助用户轻松编排各种DevOps流程并分发到不同平台执行。
SpringCloud搭建微服务之Vault密钥管理
liu320yj的博客
01-31 2256
Vault是一款管理密钥和保护敏感数据的组件,用于保护、存储和严格控制对令牌、密码、证书和加密密钥的访问,可以使用UI客户端、CLI和HTTP API访问密钥和其他敏感数据
Ansible-vault管理机密
m0_47218990的博客
04-13 300
Ansible-vault机密管理题目1创建密码文件使用密码文件创建一个加密的yml剧本文件检查考试时建议方法题目2将文件保存到指定路径使用旧密码查看文件内容更改密码验证新密码 题目1 创建一个名为 locker.yml 的 ansible vault 文件存储用户密码: Vault 文件包含两个变量: pw_developer: imadev pw_manager: imamgr 加密此文件的密码为redhat 此密码存放在: /home/devops/ansible/secret.txt 创建密码文
vault key 管理工具
weixin_34247299的博客
07-02 284
Vault is a tool for securely accessing secrets. A secret is anything that you want to tightly control access to, such as API keys, passwords, certificates, and more. Vault provides a unified interfa...
jx3-gke-gcloud-vault:Jenkins X 3.x GitOps存储库使用Google Cloud和gcloud进行云基础架构创建,并使用Vault进行秘密管理
04-07
Jenkins X 3.x 是一个自动化持续交付平台,它扩展了经典的Jenkins CI/CD工具,引入了GitOps工作流程,使得基于Git的版本控制和协作能够应用于基础设施和应用程序部署。在这个项目"jx3-gke-gcloud-vault",我们将...
terraform-concourse:Terraform设置以部署基于ECS的concourse-ci设置
02-04
用于设置Concourse CI的Terraform模块。 该存储库包含以下模块: keys :创建一个S3存储桶,并上传一组自动生成的密钥以进行访问。 ecs-web :Concourse Web服务的基于ECS的设置,当前是ATC和TSA的组合。 (请...
jx3-docker-vault:使用Docker Desktop的Jenkins X 3.x GitOps存储库创建kubernetes集群和库以进行秘密管理
03-18
在这个场景,我们关注的是如何利用Docker Desktop、Jenkins X 3.x以及Vault来构建一个安全的Kubernetes集群,并且使用GitOps策略进行秘密管理。首先,让我们深入了解这些关键组件。 **Docker Desktop** 是一个...
vault, 生成安全密码,这样你就不需要记住它们.zip
10-10
vault, 生成安全密码,这样你就不需要记住它们 库 vault 是一个简单的密码管理器。 给出口令和服务的NAME 后,它将为该服务返回一个强密码。 你只需要记住你的密码,你不会给任何人,vault 会为你所使用的每个服务提供不同的密码。 密码短语可以是任何你喜欢的文字。给定同样
docker-compose-ha-consul-vault-ui:HA Consul + Vault + Vault UI的docker-compose示例
05-09
HA领事+保管箱+保管箱UI 该项目是在高可用性(HA)配置使用 , 和的示例。 方便地打包为服务,可通过进行配置。 特征: dnsmasq使Consul DNS可用于所有容器。 提供了辅助dnsmasq服务器,该服务器将HA授予所有容器可用的DNS。 这允许领事模板以零的DNS停机时间来更新DNS。 领事模板将创建一个锁,以确保在DNS配置更新过程,作为服务发现的一部分,主DNS服务器和辅助DNS服务器都不会关闭。 consul-template会更新dnsmasq配置,并在配置更改后重新启动dnsmasq(例如,即时增加consul群集的大小)。 这使领事DNS查找HA。 保管箱通过通过Consul DNS公开的服务发现进行注册。 只要正常关闭集群,数据就会在重新启动后持续存在。 请参见[ Starting and stopping部分] [#starting-and-
docker-vault, Vault的官方 Docker 映像.zip
10-09
docker-vault, Vault的官方 Docker 映像 关于这个 repo这是Vault官方映像的Git repo,用于 Vault 。 有关如何使用这里映像的完整自述文件以及有关如何使用和发布问题的信息,请参见页 。全文在 docker库/文档生成,在 docker-library/do
Vault私钥管理工具实践
tsinson的博客
11-05 248
Vault私钥管理工具实践
Vault部署及创建密钥管理服务
PySean的博客
06-26 3281
安装 源码编译安装(需要Golang和Git环境,具体步可骤参见网上) 源码下载到GOPATH git clone https://github.com/hashicorp/vault 进入代码目录,编译(因为编译需要安装相关库,所以需要使用代理) cd $GOPATH/src/github.com/hashicorp/vault/ make dev 预编译的Vault二进制...
云原生安全-更安全的密文管理 Vault on ACK
qq_53058639的博客
02-22 323
上,Vault服务端的role模型可以与RAM role进行一对一的映射匹配,用户可以使用Vault提供的OpenAPI或是CLI,通过传入扮演RAM role返回的临时凭证调用GetCallerIdentity接口,然后Vault服务端会根据请求返回的角色arn id在其后端存储查找是否有对应的权限策略配置,如果存在则认证成功并返回一个可用于调用Vault其他后端接口的访问token。Vault的secret引擎实现了与阿里云RAM的对接插件,帮助我们安全、动态的管理RAM凭证,其。
私密信息管理工具 Vault 快速入门
infinilabs的博客
08-23 327
Vault 是一个基于身份的秘密和加密管理系统。秘密是您想要严格控制访问的任何内容,例如 API 加密密钥、密码和证书。Vault 提供由身份验证和授权方法控制的加密服务。使用 Vault 的 UI、CLI 或 HTTP API,可以安全地存储和管理、严格控制(限制)和审核对机密和其他敏感数据的访问。
Vault从入门到精通系列之一:深入了解安全工具VaultVault根令牌和解封密钥,详细整理部署Vault的详细步骤
zhengzaifeidelushang的博客
06-19 4347
至此成功安装部署Vault 下一篇详细了解下如何应用安全工具Vault
使用Azure PowerShell和C#管理KeyVault存储账户密钥
4. **创建和管理存储帐户密钥**:使用`Set-AzureRmKeyVaultAccessPolicy`命令授权Key Vault管理特定存储帐户的密钥。之后,可以使用`Add-AzureRmKeyVaultManagedStorageAccount`命令将存储帐户添加到Key Vault,并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值