一、vault - 安装及启动

简介:

HashiCorp Vault是一个私密信息管理工具(A tool for managing secrets),提供键值的方式保存私密信息。

私密信息:

如数据库用户名密码、ssl证书、用户敏感信息等

特性:

1、安全的私密信息存储 
2、动态的私密信息支持
3、提供对于私密信息的更新,延长有效时间的功能
4、灵活的权限控制
5、多种客户端登录验证方式

安装使用:

1、安装

2、启动vault:

  • 1、安装包下载后解压,解压后只有一个名为vault的可执行文件;
  • 2、启动服务:
    - 开发环境
    vault server -dev
    *生产环境勿用

    - 生产环境  
    `vault server -config=vault.hcl`    
    vault.hcl为启动配置文件,具体下面再讲。
    vault.hcl文件内容如下:
    
    disable_mlock  = true
    backend "mysql" {
        address = "192.168.3.95:3306"
        username = "root"
        password = "1qazxsw2"
        database = "vault"
        table = "vault"
    }
    listener "tcp" {
        address = "0.0.0.0:8200"
        tls_cert_file = "work/ca/certs/localhost.cert.pem"
        tls_key_file = "work/ca/private/localhost.decrypted.key.pem"
    }
  • 3、vault初始化:
    启动后需要对vault进行初始化,如下:
    命令:vault init 或者 vault init -key-shares=5 -key-threshold=3
    说明:
    -key-shares:指定秘钥的总股数,
    -key-threshold:指定需要几股可解锁
    以上参数为默认,可不设置。
    这里写图片描述

    初始化后会得到多个key和一个root token,key用作解封vault使用,root token用作首次访问vault使用;
    两者皆需要有运维人员保存记录下,为了安全起见,key应由多个人分别保管,root token由安全人员保管。

为了方便CLI使用vault命令,建议配置环境变量;安全起见,建议设置环境变量只在当前客户端生效,
命令:

说明命令说明
设置vault访问地址export VAULT_ADDR=’http://127.0.0.1:8200vault命令作用的vault服务的地址
设置Vault PATHexport PATH=$PATH:< vault install path >vault install path:vault安装路径
设置访问tokenexport VAULT_TOKEN=< token >token:登录vault时的token,首次登录可使用root token
设置是否跳过核查export VAULT_SKIP_VERIFY=false使用TSL访问时需要设置,未使用证书忽略此项
设置访问证书export VAULT_CAPATH=/usr/local/vault/work/ca/certs/ca.cert.pem使用TSL访问时需要设置,未使用证书忽略此项

3、解封vault

vault初始化及重新启动后处于封闭状态,需要解封才能使用;
解封需要使用初始化vault时的多组key,解封操作如下;
命令:vault unseal <key>
说明:解封vault需要多组key,具体需要几组由初始化vault时的-key-threshold参数指定,默认为3,即进行三次解封操作
这里写图片描述

4、登录vault

首次访问vault需要登录后才能对vault进行操作,vault在初始化时提供的root token用作在首次登录vault时认证使用;
命令:vault auth <root token>
这里写图片描述

5、查看vault状态

命令:vault status
说明:sealed表示vault是否处于封闭状态,true表示封闭,false表示已解封,
这里写图片描述

6、写入与读取

命令

写入:vault write secret/<path> <key0>=<value0> <key1>=<value1>
读取:vault read secret/<path>
vault read -format=json secret/<paht> #格式化输出
删除:vault delete secret/<path>

eg.

vault write secret/hello value=world 写入
vault write secret/hello value=world excited=yes 写入多个
vault read secret/hello 读取
vault read -format=json secret/hello 格式化输出
vault delete secret/hello 删除
说明:secret是vault内置的Secrte backends(秘密信息后端),后面再讲。
这里写图片描述

  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
openmediavault-docker-gui是一个基于OpenMediaVault和Docker的图形用户界面工具。OpenMediaVault是一个开源的网络附件存储(NAS)解决方案,通过提供基于Web的管理界面来简化存储设备的设置和管理。而Docker是一种轻量级的容器化平台,可以帮助用户轻松地部署和管理应用程序。 openmediavault-docker-gui的目的是为OpenMediaVault提供一个简单易用的界面,方便用户使用Docker来运行各种应用程序。通过该界面,用户可以直观地管理和监控Docker容器,包括创建、删除、启动和停止容器,以及查看容器的状态和日志信息。 通过openmediavault-docker-gui,用户可以无需通过命令行操作来管理Docker容器,大大降低了使用的门槛。它提供了一个直观且易于导航的界面,用户可以通过简单的操作完成复杂的任务,比如安装和配置容器化的应用程序。 此外,openmediavault-docker-gui还提供了一些附加功能,如容器映像的导入和导出、网络设置的配置以及数据卷的管理。用户可以根据自己的需求来进行自定义配置,同时还可以通过插件系统来扩展功能。 总而言之,openmediavault-docker-gui通过提供一个友好的图形用户界面,使得用户能够更方便地管理和使用Docker容器,并且与OpenMediaVault的集成使得整个过程更加简单和高效。它为用户提供了一个强大的工具,帮助他们充分利用容器化技术来构建和管理他们的应用程序。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值