多节点OpenStack Charms 部署指南0.0.1.dev223--6--配置vault和设置数字证书生命周期

本文链接：https://blog.csdn.net/m0_49212388/article/details/109364260

目录：
第一节多节点OpenStack Charms 部署指南0.0.1.dev223–1--OpenStack Charms 部署指南
 第二节多节点OpenStack Charms 部署指南0.0.1.dev223–2-安装MAAS

第三节多节点OpenStack Charms 部署指南0.0.1.dev223–3-安装Juju

第四节多节点OpenStack Charms 部署指南0.0.1.dev223–4-安装openstack

第五节多节点OpenStack Charms 部署指南0.0.1.dev223–5--使bundle安装openstack

第六节多节点OpenStack Charms 部署指南0.0.1.dev223–6--配置vault和设置数字证书生命周期

第七节多节点OpenStack Charms 部署指南0.0.1.dev223–7--juju 离线部署bundle

第八节多节点OpenStack Charms 部署指南0.0.1.dev223–8--配置 OpenStack

附录 t 多节点OpenStack Charms 部署指南0.0.1.dev223–附录T–OpenStack 高可用性

第九节多节点OpenStack Charms 部署指南0.0.1.dev223–9--网络拓扑

第十节多节点OpenStack Charms 部署指南0.0.1.dev223–10–OpenStack 高可用基础架构实际

第十一节多节点OpenStack Charms 部署指南0.0.1.dev223–11–访问Juju仪表板

第十二节多节点OpenStack Charms 部署指南0.0.1.dev223–12–OpenStack 配置openstack失败后处理

第十三节多节点OpenStack Charms 部署指南0.0.1.dev223–13–OpenStack配置高可用后无法登陆openstack dashboard

第十四节多节点OpenStack Charms 部署指南0.0.1.dev223–14–ssh端口转发解决IDC机房国际线路不良问题

第十五节多节点OpenStack Charms 部署指南0.0.1.dev299–15–OpenStack 实例高可用

第十六节多节点OpenStack Charms 部署指南0.0.1.dev299–16–OpenStack基础架构高可用The easyrsa resource is missing. .

第十七节多节点OpenStack Charms 部署指南0.0.1.dev303–17–修改实例数量等quota上限

第十八节多节点OpenStack Charms 部署指南0.0.1.dev303–18–backup备份

第十九节多节点OpenStack Charms 部署指南0.0.1.dev303–19–juju log

第二十节多节点OpenStack Charms 部署指南0.0.1.dev303–20–控制器高可用性

第二十一节多节点OpenStack Charms 部署指南0.0.1.dev303–21–控制器备份和还原

第二十二节多节点OpenStack Charms 部署指南0.0.1.dev223–22-- Resource: res_masakari_haproxy not running

第二十三节多节点OpenStack Charms 部署指南0.0.1.dev223–23-登录openstack-dashboad，SSLError(SSLCertVerificationError

第二十四节多节点OpenStack Charms 部署指南0.0.1.dev223–24-Resource: res_masakari_f8b6bde_vip not running

第二十五节多节点OpenStack Charms 部署指南0.0.1.dev223–25–rsyslog 日志服务器构建实际

第二十六节多节点OpenStack Charms 部署指南0.0.1.dev223–26–跨model 建立关系构建rsyslog 日志服务器构建实际

第二十七节多节点OpenStack Charms 部署指南0.0.1.dev223–27–Charm Hook

第二十八节多节点OpenStack Charms 部署指南0.0.1.dev223–28–Command run

第三十节多节点OpenStack Charms 部署指南0.0.1.–30–参考体系结构—Dell EMC硬件上的Canonical Charmed OpenStack（Ussuri）

第三十一节多节点OpenStack Charms 部署指南0.0.1.–31–vm hosting-1

第三十二节多节点OpenStack Charms 部署指南0.0.1.–32–vm hosting-2-VM host networking (snap/2.9/UI)

第三十三节多节点OpenStack Charms 部署指南0.0.1.–33–vm hosting-3-Adding a VM host (snap/2.9/UI)

第三十四节多节点OpenStack Charms 部署指南0.0.1.–34–vm hosting-4-VM host存储池和创建和删除vm (snap/2.9/UI)

第三十五节多节点OpenStack Charms 部署指南0.0.1.–35–Command export-bundle备份opensack并重新部署openstack

第三十六节多节点openstack charms 部署指南0.0.1-36-graylog实际-1

第三十七节多节点openstack charms 部署指南0.0.1-37-graylog实际-2

第三十八节多节点openstack charms 部署指南0.0.1-38-graylog实际-3

第三十九节多节点openstack charms 部署指南0.0.1-39-graylog-4-filebeat

第四十节多节点openstack charms 部署指南0.0.1-40-prometheus2

上一节说到，博主使用的如下命令部署的openstack。

juju  deploy cs:bundle/openstack-base-70

但当此命令执行完毕，执行juju status时，输出如下：
在这里插入图片描述

经过提问，解答大概如此：

由于此基本的 OpenStack 云
Openstack Base #70，可能没有将 auto-generate-root-ca-cert 设置为 true，这意味着在初始化/解密之后，您必须在juju上运行以下命令:

juju run-action --wait vault/leader 'generate-root-ca'

参考文档：
附录 c: Vault
附录 e: 证书生命周期管理

根据答疑和参考文档，执行如下：

初始化并开启vault

sudo snap install vault
export VAULT_ADDR="http://10.0.9.2:8200"   #此地址执行juju status输出的vault/0后ip地址

然后初始化vault部署:

vault operator init -key-shares=5 -key-threshold=3

输出类似如下

Unseal Key 1: oSz19sDbEU5svSOyla6mgmAI1P5IbDjhQDbZFzqfKG5l
Unseal Key 2: 1IaGVeCVcHqOR5z6CdI0nUP5C3uXlkyhZWwX4bVDYAwC
Unseal Key 3: XYwyytiFcbYI+EvNFeLDmpW6ccqEVI+7R4x3Uj+Zl5km
Unseal Key 4: i565sy6dfVzbLrixQxG/fokArdYzy96tZoLp6QIUELZL
Unseal Key 5: 6UmAvSv8c7Y9y7+b3whMFub4TMDb5GZ1GTPB1XqRRvyc

Initial Root Token: s.NKJszvX6axXsA7xeP0UtuAnH

Vault initialized with 5 key shares and a key threshold of 3. Please securely
distribute the key shares printed above. When the Vault is re-sealed,
restarted, or stopped, you must supply at least 3 of these keys to unseal it
before it can start servicing requests.

Vault does not store the generated master key. Without at least 3 key to
reconstruct the master key, Vault will remain permanently sealed!

It is possible to generate new unseal keys, provided you have a quorum of
existing unseal keys shares. See "vault operator rekey" for more information.

此输出详细说明了可用于开启vault部署的5个键以及访问vaultAPI 的初始根令牌。注意不要丢失结果，以后要用。

每个vault单元必须单独解封，所以如果有多个vault单元，每个单元都要重复下面的解封过程，每次更换一个vault单元的环境变量以指向单个单元。

vault operator unseal oSz19sDbEU5svSOyla6mgmAI1P5IbDjhQDbZFzqfKG5l

vault operator unseal 1IaGVeCVcHqOR5z6CdI0nUP5C3uXlkyhZWwX4bVDYAwC

vault operator unseal 6UmAvSv8c7Y9y7+b3whMFub4TMDb5GZ1GTPB1XqRRvyc

Authorize vault charm

export VAULT_TOKEN=s.NKJszvX6axXsA7xeP0UtuAnH
vault token create -ttl=10m

输出结果类似如下：

Key                  Value
---                  -----
token                s.g2cyVpC3MyGdyyJsmJ0TAW34
token_accessor       e5WDG4GakDNG3HIymWokZfoK
token_duration       10m
token_renewable      true
token_policies       ["root"]
identity_policies    []
policies             ["root"]

这个令牌可以用于授权charm接入vault

juju run-action --wait vault/leader authorize-charm token=s.g2cyVpC3MyGdyyJsmJ0TAW34

在操作完成执行后，vault单元将进入active状态，对于秘密存储的任何未决请求将被用于消费应用程序。

以下依据于答疑结果和参考文档附录 e: 证书生命周期管理

juju run-action --wait vault/leader 'generate-root-ca'

现在，juju status 结果类似如下：

在这里插入图片描述

多节点OpenStack Charms 部署指南0.0.1.dev223--6--配置vault和设置数字证书生命周期

初始化并开启vault

Authorize vault charm

“相关推荐”对你有帮助么？