HashiCorp Vault è un sistema open source di gestione centralizzata dei segreti. Fornisce un metodo sicuro e affidabile per archiviare e distribuire segreti come API chiavi, token di accesso e password.
Distribuzione di un'applicazione Marketplace
Linode Marketplace consente di distribuire facilmente il software su un'istanza di calcolo utilizzando il Cloud Manager. Per i passaggi completi, vedere Iniziare con le applicazioni Marketplace .
- Accedere al Cloud Manager e selezionare il link Marketplace dal menu di navigazione a sinistra. Viene visualizzata la pagina di creazione di Linode con la scheda Marketplace preselezionata.
- Nella sezione Seleziona applicazione, selezionare l'applicazione che si desidera distribuire.
- Completare il modulo seguendo i passaggi e i consigli della guida Creazione di un'istanza di calcolo. A seconda dell'applicazione Marketplace selezionata, potrebbero essere disponibili ulteriori opzioni di configurazione. Vedere la sezione Opzioni di configurazione di seguito per le distribuzioni compatibili, i piani consigliati e le opzioni di configurazione aggiuntive disponibili per l'applicazione Marketplace .
- Fare clic sul pulsante Crea Linode. Una volta che l'istanza di calcolo è stata approvvigionata e si è accesa completamente, attendere il completamento dell'installazione del software. Se l'istanza viene spenta o riavviata prima di questo momento, è probabile che l'installazione del software fallisca.
Per verificare che l'applicazione sia stata completamente installata, vedere Iniziare con le applicazioni Marketplace > Verifica dell'installazione. Una volta installata, per accedere all'applicazione e iniziare a usarla, seguire le istruzioni della sezione Come iniziare dopo la distribuzione.
Tempo di distribuzione stimato: Vault dovrebbe essere completamente installato entro 5-10 minuti dal termine del provisioning dell'istanza di calcolo.
Opzioni di configurazione
- Distribuzioni supportate: Debian 11, Ubuntu 22.04 LTS
- Piano consigliato: Si consiglia un'istanza Dedicated CPU o Shared Compute da 4 GB per l'istanza Vault.
Utente limitato (opzionale)
È possibile compilare i campi seguenti per creare automaticamente un utente limitato per la nuova istanza di calcolo. Questa opzione è consigliata per la maggior parte delle installazioni come misura di sicurezza aggiuntiva. Questo account sarà assegnato alla cartella sudo che fornisce permessi elevati per l'esecuzione di comandi con l'opzione sudo
prefisso.
- Utente sudo limitato: Inserire il nome utente preferito per l'utente limitato.
- Password per l'utente limitato: Inserire una password forte per il nuovo utente.
- Chiave pubblica SSH per l'utente limitato: Se si desidera effettuare il login come utente limitato attraverso l'autenticazione a chiave pubblica (senza inserire la password), inserire qui la chiave pubblica. Per istruzioni sulla generazione di una coppia di chiavi, vedere Creazione di una coppia di chiavi SSH e Configurazione dell'autenticazione a chiave pubblica su un server.
- Disabilita accesso root su SSH: per bloccare l'accesso dell'utente root su SSH, selezionare Sì (consigliato). È comunque possibile passare all'utente root una volta effettuato l'accesso e si può accedere come root anche tramite Lish.
Come iniziare dopo la distribuzione
Ottenere la chiave Unseal
I dati all'interno del Vault sono protetti da una serie di chiavi di crittografia. Il primo livello è costituito da una chiave di crittografia memorizzata nel portachiavi. Il portachiavi viene poi crittografato utilizzando la chiave principale. Infine, la chiave principale viene crittografata utilizzando la chiave unseal. La chiave unseal viene suddivisa in più parti, che possono essere distribuite a più persone. Questo processo garantisce la protezione dei dati e l'accesso solo agli utenti autorizzati. Per ulteriori informazioni su questo processo di crittografia, consultare la documentazione Seal/Unseal.
Seguire le istruzioni riportate di seguito per visualizzare la chiave di sblocco e il token di root.
- Accedere alla propria istanza di calcolo tramite SSH o Lish utilizzando le credenziali dell'utente root create durante la distribuzione.
- Eseguire il seguente comando per visualizzare tutte e cinque le porzioni della chiave di unseal. Queste porzioni possono essere utilizzate insieme per decifrare la chiave principale e aprire il Vault.
cat /root/.vault_tokens.txt
Unseal Key 1: M8H0MQbg5Vgdf5IFEL/xOvyBC0bXwH+exN9wLgSwyq1y
Unseal Key 2: oP7fCkpdJXrO/AegtuUtQAiiyK//fhPtfyfFzEnT5z8b
Unseal Key 3: dSB00TzKHK9Nq5S+w2zWDzlokxMhYnUx6xNXXFuXHw9o
Unseal Key 4: UJEqMsSKbtGM1SZNJjUmx0/V7Q4g5pI63V0aRIulHVm3
Unseal Key 5: UMBRh+13zGwYgTIunTl6F0qJRoWW4JS6U5WzazwAhOoz
Initial Root Token: hvs.z1f4cwvE9llTjBmkJO71xhF4 - Distribuite le porzioni della chiave di sblocco al vostro team secondo le necessità, assicurandovi che siano salvate in un luogo sicuro e protetto. Inoltre, salvate il Gettone radice iniziale. Al termine, è possibile eliminare il file di testo.
rm /root/.vault_tokens.txt
Accesso all'interfaccia web del Vault
- Aprire il browser web e navigare verso
http://[ip-address]:8200
, dove [ip-address] è l'indirizzo IPv4 dell'istanza di calcolo. Vedere la sezione Gestione degli indirizzi IP per informazioni sulla visualizzazione degli indirizzi IP. - Per accedere all'istanza del Vault, è necessario inserire tre delle chiavi di unseal insieme al token di root.
- Una volta che il Vault è stato aperto, l'interfaccia web può essere utilizzata per impostare segreti, autenticazione e criteri.
Nota: HashiCorp raccomanda l'uso di TLS reciproco (mTLS) con una CA privata per proteggere le comunicazioni del cluster e l'interfaccia web. Per maggiori dettagli, consultare la seguente documentazione HashiCorp. https://www.vaultproject.io/docs/auth/cert https://www.vaultproject.io/docs/secrets/pki/setup - Per utilizzare l'istanza di Linode Marketplace Vault in un ambiente di produzione sono necessarie ulteriori configurazioni. Si consiglia di consultare la documentazione su Configurazione, Motore dei segreti e Autenticazione prima di procedere oltre.
L'applicazione HashiCorp Vault Marketplace è stata realizzata da Linode. Per assistenza sulla distribuzione dell'applicazione, contattare il supporto Linode. Per assistenza sullo strumento o sul software stesso, consultare il forum della comunità Vault.