标签: hashicorp-vault

我将 Hashicorp 保险库用作机密存储，并通过 Ubuntu 20.04 上的 apt 存储库安装它。

之后，我添加了访问 UI 的根密钥，并且可以使用 UI 添加或删除机密。

每当我尝试使用命令行添加或获取机密时，都会收到以下错误：

jarvis@saki:~$ vault kv get secret/vault 
Get "https://127.0.0.1:8200/v1/sys/internal/ui/mounts/secret/vault": http: server gave HTTP response to HTTPS client

我的保险库配置如下所示：

# Full configuration options can be found at https://www.vaultproject.io/docs/configuration

ui = true

#mlock = true
#disable_mlock = true

storage "file" {
  path = "/opt/vault/data"
}

#storage "consul" {
#  address = "127.0.0.1:8500"
#  path    = "vault"
#}

# HTTP listener
#listener "tcp" {
#  address = "127.0.0.1:8200"
#  tls_disable = …

我应该在哪里存储HashiCorp Vault的Unseal Key和Root Token？

Vault将由团队中的各个成员使用.

目前我正在使用docker-compose文件来设置我的dev/prod环境.我正在使用环境变量来存储机密,数据库凭据等.经过一些搜索,我发现可以使用Vault来保护凭据.我尝试了几个带有保险库的基本示例,但我仍然不知道如何将Vault与docker-compose文件一起使用.有人能指出我一个正确的方法.如果Vault不是docker-compose的好解决方案,那么我可以使用哪些机制来保护凭证,而不是将它们作为纯文本存储在环境中.

是否可以列出存储在保险库后端的所有角色？我似乎找不到任何关于如何这样做的参考。

从文档中，似乎可以列出给定角色名称的角色，auth/approle/role/my-role例如，但我没有看到任何关于如何列出存储在保管库服务器中的所有角色的参考。

我正在尝试在需要 PostgresSQL 的 Kubernetes 环境中安装 Sonarqube。我正在使用外部 Postgres 实例，并且在 Vault 中设置了凭证 kv 密钥。SonarQube helm Chart 在容器中创建一个环境变量，该变量采用 Postgres 的用户名和密码。

如何将 Vault 中的秘密注入到 Kubernetes 上运行的 sonarqube pod 的环境变量中？

创建 Kubernetes 机密并在 helm 图表中使用该机密是可行的，但我们正在管理 Vault 上的所有机密，并且需要将 Vault 机密注入到 pod 中。

谢谢

我目前正在学习金库.我知道什么是秘密引擎等以及它是如何工作的.但是我没有找到任何有关Vault写入和vault kv put之间差异的信息.在我看来,这些命令做同样的事情.我错了吗？

我想测试Spring Cloud Vault配置.

我在本地安装了一个Vault服务器,当我尝试write一些键值时它失败并要求我使用vault kv put命令.

虽然此链接中的Spring Cloud Config示例显示了Vault写入命令的用法

这是我得到的错误

$ vault write secret/my-app foo=bar
Error writing data to secret/my-app: Error making API request.

URL: PUT http://127.0.0.1:8200/v1/secret/my-app
Code: 404. Errors:


WARNING! The following warnings were returned from Vault:

  * Invalid path for a versioned K/V secrets engine. See the API docs for the
  appropriate API endpoints to use. If using the Vault CLI, use 'vault kv put'
  for this operation.

这是否是 hashcorp 保管库策略，以便允许访问保管库内的任何资源和路径？出于明显的安全原因，我希望启用管理策略而不向任何人授予根令牌访问权限。

path "*" {
capabilities = ["create", "read", "update", "delete", "list", "sudo"]
}

Terraform回购中有很多关于这个问题的Git问题,有很多有趣的评论,但截至目前我还没有找到解决这个问题的方法.

Terraform在tfstate文件中存储纯文本值,包括密码.

大多数用户需要远程存储它们,以便团队可以在同一个基础架构上同时工作,其中大多数用户在S3中存储状态文件.

那你怎么隐藏你的密码？

这里有没有人使用Terraform进行生产？你用明文保存密码吗？您是否有特殊的工作流程来删除或隐藏它们？你跑的时候会发生什么terraform apply？

我考虑过以下选项:

• 将它们存放在领事中 - 我不使用领事
• 将它们从状态文件中删除 - 这需要每次执行另一个进程,我不知道Terraform将如何使用空/不可读/不可用的密码处理资源
• 存储随后更改的默认密码(因此Terraform将在tfstate文件中具有无效密码) - 与上面相同
• 使用Vault资源 - 听起来它还不是一个完整的工作流程
• 使用git-repo-crypt将它们存储在Git中 - Git也不是一个选项
• 全局加密S3存储桶 - 这不会阻止人们看到纯文本密码,如果他们可以访问AWS作为"经理"级别,但它似乎是迄今为止的最佳选择

从我的角度来看,这是我想看到的:

• 状态文件不包含密码
• 状态文件已加密
• 状态文件中的密码是指向其他资源的"指针",例如"vault:backend-type:/ path/to/password"
• 每个Terraform运行都会从指定的提供程序收集所需的密码

这只是一个愿望.

但回到这个问题 - 你如何在生产中使用Terraform？

我们在 gitlab CI 中的 Alpine Docker 镜像中运行 vault-cli。升级后，当调用 Vault 时，我们会得到这个：

/bin/bash: line 117: /usr/sbin/vault: Operation not permitted

菲利克斯