HashiCorp Vault est un système de gestion des secrets centralisé et open source. Il offre un moyen sûr et fiable de stocker et de distribuer des secrets tels que des clés API, des jetons d'accès et des mots de passe.
Déploiement d'une application Marketplace
Le Linode Marketplace vous permet de déployer facilement des logiciels sur une instance de calcul à l'aide du gestionnaire de nua ges. Voir Get Started with Marketplace Apps (Démarrer avec Apps ) pour les étapes complètes.
- Connectez-vous au gestionnaire de cloud et sélectionnez le lien Marketplace dans le menu de navigation de gauche. La page Linode Create s'affiche avec l'onglet Marketplace est présélectionné.
- Dans la section Select App, sélectionnez l'application que vous souhaitez déployer.
- Complétez le formulaire en suivant les étapes et les conseils du guide Creating a Compute Instance. Selon l'application Marketplace que vous avez sélectionnée, des options de configuration supplémentaires peuvent être disponibles. Consultez la section Options de configuration ci-dessous pour connaître les distributions compatibles, les plans recommandés et toutes les options de configuration supplémentaires disponibles pour cette application Marketplace .
- Cliquez sur le bouton Create Linode (Créer un Linode). Une fois que l'instance de calcul a été provisionnée et mise sous tension, attendez que l'installation du logiciel soit terminée. Si l'instance est mise hors tension ou redémarrée avant ce moment, l'installation du logiciel échouera probablement.
Pour vérifier que l'application a été entièrement installée, consultez l a section Get Started with Marketplace Apps > Verify Installation (Démarrer avec les applications > Vérifier l'installation). Une fois l'application installée, suivez les instructions de la section Mise en route après le déploiement pour accéder à l'application et commencer à l'utiliser.
Temps de déploiement estimé : Vault devrait être entièrement installé dans les 5 à 10 minutes suivant la fin du provisionnement de l'instance de calcul.
Options de configuration
- Distributions prises en charge : Debian 11, Ubuntu 22.04 LTS
- Plan recommandé : Nous recommandons une instance Dedicated CPU ou Shared Compute de 4 Go pour l'instance Vault.
Utilisateur limité (facultatif)
Vous pouvez éventuellement remplir les champs suivants pour créer automatiquement un utilisateur limité pour votre nouvelle Instance de Calcul. Ceci est recommandé pour la plupart des déploiements comme mesure de sécurité supplémentaire. Ce compte sera attribué à l'instance de calcul sudo qui fournit une permission élevée lors de l'exécution de commandes avec le groupe sudo
préfixe.
- Utilisateur sudo limité : Entrez votre nom d'utilisateur préféré pour l'utilisateur limité.
- Mot de passe pour l'utilisateur limité : Entrez un mot de passe fort pour le nouvel utilisateur.
- Clé publique SSH pour l'utilisateur limité : Si vous souhaitez vous connecter en tant qu'utilisateur limité par le biais de l'authentification par clé publique (sans entrer de mot de passe), entrez votre clé publique ici. Voir Création d'une paire de clés SSH et Configuration de l'authentification par clé publique sur un serveur pour obtenir des instructions sur la génération d'une paire de clés.
- Désactiver l'accès root via SSH : pour empêcher l'utilisateur root de se connecter via SSH, sélectionnez Oui (recommandé). Vous pouvez toujours passer à l'utilisateur root une fois connecté et vous pouvez également vous connecter en tant que root via Lish.
Démarrage après le déploiement
Obtenir la clé de descellement
Les données contenues dans le coffre-fort sont protégées par une série de clés de chiffrement. La première couche est une clé de chiffrement stockée dans le trousseau. Le trousseau est ensuite chiffré à l'aide de la clé racine. Enfin, la clé racine est chiffrée à l'aide de la clé non scellée. Cette dernière est divisée en plusieurs parties, qui peuvent ensuite être distribuées à plusieurs personnes. Ce processus garantit que les données sont protégées et que seuls les utilisateurs autorisés peuvent y accéder. Voir la documentation Seal/Unseal pour en savoir plus sur ce processus de cryptage.
Suivez les instructions ci-dessous pour afficher la clé de levée des scellés et le jeton racine.
- Connectez-vous à votre Instance Compute via SSH ou Lish en utilisant les informations d'identification de l'utilisateur root que vous avez créées lors du déploiement.
- Exécutez la commande suivante pour afficher les cinq parties de la clé de descellement. Ces parties peuvent être utilisées ensemble pour déchiffrer la clé racine et desceller la chambre forte.
cat /root/.vault_tokens.txt
Unseal Key 1: M8H0MQbg5Vgdf5IFEL/xOvyBC0bXwH+exN9wLgSwyq1y
Unseal Key 2: oP7fCkpdJXrO/AegtuUtQAiiyK//fhPtfyfFzEnT5z8b
Unseal Key 3: dSB00TzKHK9Nq5S+w2zWDzlokxMhYnUx6xNXXFuXHw9o
Unseal Key 4: UJEqMsSKbtGM1SZNJjUmx0/V7Q4g5pI63V0aRIulHVm3
Unseal Key 5: UMBRh+13zGwYgTIunTl6F0qJRoWW4JS6U5WzazwAhOoz
Initial Root Token: hvs.z1f4cwvE9llTjBmkJO71xhF4 - Distribuez les parties de la clé de levée des scellés à votre équipe selon les besoins, en veillant à ce qu'elles soient sauvegardées dans un endroit sûr et sécurisé. En outre, sauvegardez la Jeton racine initial. Une fois que vous avez terminé, vous pouvez supprimer ce fichier texte.
rm /root/.vault_tokens.txt
Accès à l'interface Web de l'espace de stockage
- Ouvrez votre navigateur Web et accédez à
http://[ip-address]:8200
où [ip-address] est l'adresse IPv4 de votre Compute Instance. Voir la page Gestion des adresses IP pour plus d'informations sur l'affichage des adresses IP. - Pour accéder à l'instance de la chambre forte, trois des clés de déscellement doivent être saisies en même temps que le jeton racine.
- Une fois la chambre forte descellée, l'interface web peut être utilisée pour configurer les secrets, l'authentification et les politiques.
Note : HashiCorp recommande d'utiliser TLS mutuel (mTLS) avec une autorité de certification privée pour sécuriser les communications entre clusters et l'interface web. Pour plus de détails, veuillez consulter la documentation HashiCorp suivante. https://www.vaultproject.io/docs/auth/cert https://www.vaultproject.io/docs/secrets/pki/setup - Des configurations supplémentaires sont nécessaires pour utiliser l'instance Linode Marketplace Vault dans un environnement de production. Nous vous recommandons de consulter la documentation relative à la configuration, au moteur de secrets et à l'authentification avant de poursuivre.
L'application HashiCorp Vault Marketplace a été développée par Linode. Pour obtenir de l'aide concernant le déploiement de l'application, contactez l'assistance Linode. Pour obtenir de l'aide concernant l'outil ou le logiciel lui-même, consultez le forum de la communauté Vault.