VAULT高可用集群部署

最新推荐文章于 2024-04-22 09:45:37 发布
最新推荐文章于 2024-04-22 09:45:37 发布
阅读量1.4k 收藏 4
点赞数 1
分类专栏: 加密即服务 文章标签: devops 加密解密 云计算 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42844168/article/details/120025669
版权

HA _VAULT部署

角色ipraft_node_id
leader172.17.22.11vault_1
follower172.17.22.12vault_2
follower172.17.22.13vault_3

架构图

如无特殊说明,以下操作均在leader节点执行

1.VAULT部署

  • 下载
wget https://releases.hashicorp.com/vault/1.8.2/vault_1.8.2_linux_amd64.zip
  • 解压
unzip vault_1.8.2_linux_amd64.zip
  • 分发vault至各节点
export NODE_IPS=(172.17.22.11 172.17.22.12 172.17.22.13)
for node_ip in ${NODE_IPS[@]}
  do
    echo ">>> ${node_ip}"
    scp vault root@${node_ip}:/usr/local/bin/
    ssh root@${node_ip} "chmod +x /usr/local/bin/*"
  done

2.HA集群配置

vault.hcl文件根据集群实际情况进行修改,其中集群内各节点配置信息存放位置为/etc/vault.d/,持久化数据存放位置为/data/vault,vault程序监听端口为各节点ip:8200,raft cluster监听端口为各节点ip:8201

各节点创建文件夹

export NODE_IPS=(172.17.22.11 172.17.22.12 172.17.22.13)
for node_ip in ${NODE_IPS[@]}
  do
    echo ">>> ${node_ip}"
    ssh root@${node_ip} mkdir -p /etc/vault.d/
    ssh root@${node_ip} mkdir -p /data/vault/
  done

配置文件分发

  • 创建模板配置文件
export NODE_IPS=(172.17.22.11 172.17.22.12 172.17.22.13)
cat > vault.hcl.templete <<EOF
cluster_addr  = "http://##VAULT_IP##:8201"
api_addr      = "http://##VAULT_IP##:8200"
disable_mlock = true
ui = true

# HTTP listener
listener "tcp" {
  address = "0.0.0.0:8200"
  tls_disable = true
}

# HA_storage
storage "raft" {
  path    = "/data/vault/"
  node_id = "vault_##RAFT_ID##"

  retry_join {
    leader_api_addr         = "http://${NODE_IPS[0]}:8200"
  }

  retry_join {
    leader_api_addr         = "http://${NODE_IPS[1]}:8200"
  }
  
  retry_join {
    leader_api_addr         = "http://${NODE_IPS[2]}:8200"
  }

}
EOF
  • 分发配置文件
export NODE_IPS=(172.17.22.11 172.17.22.12 172.17.22.13)
index=1
for node_ip in ${NODE_IPS[@]}
  do
    echo ">>> ${node_ip}"
    sed -e "s/##VAULT_IP##/${node_ip}/" vault.hcl.templete > vault.hcl-${node_ip}
    sed -i "s/##RAFT_ID##/${index}/"  vault.hcl-${node_ip}
    scp vault.hcl-${node_ip} root@${node_ip}:/etc/vault.d/vault.hcl
    let index+=1
  done

3.创建用户

export NODE_IPS=(172.17.22.11 172.17.22.12 172.17.22.13)
for node_ip in ${NODE_IPS[@]}
  do
    echo ">>> ${node_ip}"
    ssh root@${node_ip} useradd -s /sbin/nologin -M vault
  done

4.配置服务化

  • 配置vault服务模板
cat > vault.service.templete <<EOF
[Unit]
Description="HashiCorp Vault - A tool for managing secrets"
Documentation=https://www.vaultproject.io/docs/
Requires=network-online.target
After=network-online.target
ConditionFileNotEmpty=/etc/vault.d/vault.hcl
StartLimitIntervalSec=60
StartLimitBurst=3

[Service]
User=vault
Group=vault
ProtectSystem=full
ProtectHome=read-only
PrivateTmp=yes
PrivateDevices=yes
SecureBits=keep-caps
AmbientCapabilities=CAP_IPC_LOCK
CapabilityBoundingSet=CAP_SYSLOG CAP_IPC_LOCK
NoNewPrivileges=yes
ExecStart=/usr/local/bin/vault server -config=/etc/vault.d/vault.hcl
ExecReload=/bin/kill --signal HUP \$MAINPID
KillMode=process
KillSignal=SIGINT
Restart=on-failure
RestartSec=5
TimeoutStopSec=30
StartLimitIntervalSec=60
StartLimitBurst=3
LimitNOFILE=65536
LimitMEMLOCK=infinity

[Install]
WantedBy=multi-user.target
EOF
  • 分发文件
export NODE_IPS=(172.17.22.11 172.17.22.12 172.17.22.13)
for node_ip in ${NODE_IPS[@]}
  do
    echo ">>> ${node_ip}"
    scp vault.service.templete root@${node_ip}:/usr/lib/systemd/system/vault.service
  done
  • 对所需文件进行赋权
export NODE_IPS=(172.17.22.11 172.17.22.12 172.17.22.13)
for node_ip in ${NODE_IPS[@]}
  do
    echo ">>> ${node_ip}"
    ssh root@${node_ip} chown vault:vault -R  /data/vault/
    ssh root@${node_ip} chown vault:vault -R  /etc/vault.d/
  done
  • 启动服务并检查状态
export NODE_IPS=(172.17.22.11 172.17.22.12 172.17.22.13)
for node_ip in ${NODE_IPS[@]}
  do
    echo ">>> ${node_ip}"
    ssh root@${node_ip} systemctl enable vault
    ssh root@${node_ip} systemctl start vault
    ssh root@${node_ip} systemctl status vault
  done

5.初始化VAULT

使用CLI时需增加-address指定vault监听地址

vault operator init -address=http://127.0.0.1:8200

记下输出信息

Unseal Key 1: gkhEVJWo4TpZhQAO5+qJhtSr75F1tuS7QeaTstUU77X1
Unseal Key 2: zAkGk2TsAnoKcll7DffVG4GrQUcGApkeEtQaTChcTarH
Unseal Key 3: f+JGoPTbEnmIgtQF6oiEGdG4+P15ymLRWNcqo+8xDUde
Unseal Key 4: fdjfe5v8Gs0LhNkEDTeUu/KIGZrllWcBA1nE63qhXBa1
Unseal Key 5: 1u4gNPP/idUr6Iw6CiP0kBj4QD+JjgqHwEuq3FJDHjlO

Initial Root Token: s.JOLSqe6tq6Oc0Ua0h3ugfujk

Vault initialized with 5 key shares and a key threshold of 3. Please securely
distribute the key shares printed above. When the Vault is re-sealed,
restarted, or stopped, you must supply at least 3 of these keys to unseal it
before it can start servicing requests.

Vault does not store the generated master key. Without at least 3 keys to
reconstruct the master key, Vault will remain permanently sealed!

It is possible to generate new unseal keys, provided you have a quorum of
existing unseal keys shares. See "vault operator rekey" for more information.

6.解封VAULT

以下操作在每个节点执行,依次输入3个上文记录的Unseal Key

vault operator unseal -address=http://127.0.0.1:8200

7.浏览器访问

输入上文记录的root token以使用vault,使用任意节点地址均可以登陆

token

登陆后查看到Raft Storage状态中,节点1为leader

status

是果子呀
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vault-ssh:保险库签名的SSH证书管理器
04-12
保险库签名的SSH证书管理器 CLI command to manage SSH connections with Vault Usage: vault-ssh [command] Available Commands: certificate Manages certificates for SSH engine. enable Enables SSH Engine. help Help about any command role Manages roles for SSH engine. sign Signs given public key with SSH engine and role. version Print the version/build number Flags: -h,
使用 VAULT 加密的 GITLAB CICD Pipeline
NewTyun的博客
05-11 1127
新钛云服已为您服务1486天本文的的核心内容是提供有关如何设置 Gitlab 和 Vault 以在 CI/CD 管道构建期间使用密钥。另外,本文将分解 JWT 授权过程,并解释 Gitlab + Vault 的流程。通过本文,读者最终可以实现自己的带有 Vault 密钥的 CI/CD 流程。目的在 Vault 上启用 JWT 身份验证方法利用 JWT 授权从 Vault ...
【HTB系列】靶机Vault的渗透测试详解
大方子
04-25 966
Kali: 10.10.14.213 靶机地址:10.10.10.109 先用nmap探测靶机 nmap -sC -sT -sV 10.10.10.109 扫描结果如下: 看看80端口有什么东西 我们用gobuster进行探测下 gobuster -u http://10.10.10.109 -w /usr/share/wordlists/...
vault--源码安装
songbintao的专栏
08-13 408
确认系统已经安装了go,version 1.10.1+ [root@node2 ~]# tar -C /usr/local -xzf go1.10.3.linux-amd64.tar.gz 配置GOPATH: [root@node2 ~]# mkdir /app/go_path [root@node2 ~]# export GOPATH=/app/go_path 下载vault的安装包 [r...
ssh证书远程登录服务器
jeizas
09-05 968
1.原始方式:[.....]$ ssh 用户名@远程主机  用户名@主机's password:远程主机密码(这样每次登陆都得输入密码,好麻烦的感觉) 2.下面介绍一种ssh证书不用输密码的方式登录 原理:把客户端生成的公钥,上传到ssh服务器,添加到指定的文件中,这样,就完成ssh证书登录的配置了。 2.1本地机配置           ①生成公钥和私钥   
Vault介绍
流浪法师的博客
05-22 1028
Vault 是一个广泛使用的开源工具,用于安全地存储和管理机密信息,如密码、证书、API 密钥和访问令牌等,从而提高安全性。
Vault从入门到精通系列之一:深入了解安全工具VaultVault根令牌和解封密钥,详细整理部署Vault的详细步骤
zhengzaifeidelushang的博客
06-19 2656
至此成功安装部署Vault 下一篇详细了解下如何应用安全工具Vault
Vault部署及创建密钥管理服务
PySean的博客
06-26 2949
安装 源码编译安装(需要Golang和Git环境,具体步可骤参见网上) 源码下载到GOPATH git clone https://github.com/hashicorp/vault 进入代码目录,编译(因为编译需要安装相关库,所以需要使用代理) cd $GOPATH/src/github.com/hashicorp/vault/ make dev 预编译的Vault二进制...
spring cloud vault配置
chengwei6112的博客
08-17 452
spring cloud vault配置 spring cloud vault配置 简介 1 vault服务端配置及启动 1.1 consul启动 1.2 vault启动 1.2.1 创建配置...
Vault: 基础教程之部署
博客
08-11 4790
七、部署vault 配置 vault使用HCL文件配置: storage &quot;consul&quot; { address = &quot;127.0.0.1:8500&quot; path = &quot;vault/&quot; } listener &quot;tcp&quot; { address = &quot;127.0.0.1:8200&quot; tls_disa
SpringCloud搭建微服务之Vault密钥管理
liu320yj的博客
01-31 1980
Vault是一款管理密钥和保护敏感数据的组件,用于保护、存储和严格控制对令牌、密码、证书和加密密钥的访问,可以使用UI客户端、CLI和HTTP API访问密钥和其他敏感数据
vault-ssh-key-helper:CLI 工具和随附的服务器,可帮助使用 Hashicorp Vault 进行 SSH 证书签名
05-30
vault-ssh-key-helper CLI 工具和随附的服务器,可帮助使用 Hashicorp Vault 进行 SSH 证书签名 问题 您正在使用 Hashicorp Vault 来满足您的机密管理需求 您还使用 Vault 来签署用于访问您的 SSH 服务器的 SSH 证书 您的 Vault 实例位于堡垒服务器之后,如果没有签名的 SSH 证书,您将无法访问该服务器 那么,如果 Vault 是生成 SSH 证书的东西,您如何获得签名的 SSH 证书以连接到堡垒服务器以访问 Vault? 解决方案 这是一个命令行助手和随附的 Web 服务器,用于从 Vault 检索签名的 SSH 证书,而实际上不会将 Vault 暴露给公共互联网。 它适用于可能有大量用户访问 Vault 的组织,并且您已经为 Vault 实施了 JWT 身份验证后端,以便用户可以使用兼容 OpenID Conn
vault-ssh-helper, Vault SSH代理用于启用一次性密钥和密码.zip
09-18
vault-ssh-helper, Vault SSH代理用于启用一次性密钥和密码 vault-ssh-helper 请注意:我们采取保管库和我们的用户信任的安全。 如果你认为你已经发现了安全问题,请联系我们,通过与我们联系,在 [email protected]vault-ssh-helper 是
hashicorp-labs:在VM上本地部署Vault,Consul和Nomad组成的Hashicorp集群。 准备部署和测试您的应用程序
04-05
它将为Vault , Consul和Nomad部署一个群集,其中每个组件都将连接在一起,以形成一个完美的环境,用于使用服务网格测试您的应用程序。 目录 使用Vagrant安装集群 警告:目前,群集将以dev模式加载。 如果服务失败...
Altium vault 最新版可用许可证license
03-24
Altium Vault 最新版许可证,企业版全功能,无限用户数量。
赛门铁克Enterprise Vault邮件安全可用性方案
07-09
Enterprise Vault软件提供了灵活的集中归档框架,通过对电子邮件进行归档,增强了电子邮件可用性、降低了电子邮件成本,并实现了对电子邮件风险的控制,通过策略 控制的自动在线归档,主动保留和无缝检索信息,从而...
Vault实施文档.doc
02-21
Vault实施文档
openmediavault
07-17
NAS openmediavault 6.0.24 OMV
掌控基础设施,加速 DevOps 之旅:IaC 深度解析
最新发布
分享平台工程、应用部署的最佳实践
04-22 926
深入理解基础设计即代码,解析优势和最佳实践
enterprise vault
12-15
它可以有效管理和存档组织中不断增长的电子邮件、文件和其他信息数据,从而提供更好的数据可用性、灾难恢复和合规性支持。 企业通常面临大量的数据存储和管理挑战,包括邮件服务器容量不足、备份和恢复困难、合规性...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值