HashiCorp Vault是一个开源的集中式秘密管理系统。它为 API 密钥、访问令牌和密码等机密的存储和分发提供了一种安全可靠的方式。
部署Marketplace 应用程序
LinodeMarketplace 允许您使用云管理器在计算实例上轻松部署软件。有关完整步骤,请参阅 Marketplace Apps 入门。
- 登录云管理器并从左侧导航菜单中选择 Marketplace链接。这将显示 Linode创建页面,并预选 Marketplace选项卡。
- 在选择应用程序部分,选择你想部署的应用程序。
- 按照创建计算实例指南中的步骤和建议填写表格。根据您选择的Marketplace App,可能会有其他可用的配置选项。请参阅下面的 "配置选项"部分,了解该Marketplace App 的兼容发行版、推荐计划和任何其他可用配置选项。
- 点击 "创建Linode"按钮。一旦计算实例被配置并完全通电,等待软件安装完成。如果在这之前关闭实例的电源或重新启动,软件安装将可能失败。
要验证应用程序是否已完全安装,请参阅开始使用Marketplace 应用程序 > 验证安装。安装完成后,请按照 "部署后入门"部分的说明访问应用程序并开始使用。
估计的部署时间:Vault应在计算实例完成配置后5-10分钟内完全安装。
配置选项
- 支持的发行版: Debian 11,Ubuntu 22.04 LTS
- 推荐计划:我们建议 Vault 实例使用 4GBDedicated CPU 或共享计算实例。
有限用户(可选)
您可以选择填写以下字段,为您的新计算实例自动创建一个有限用户。作为一项额外的安全措施,建议在大多数部署中这样做。这个账户将被分配给 肃德 组,该组在运行具有以下功能的命令时提供高等级权限 sudo
前缀。
- 有限的sudo用户。输入你喜欢的有限用户的用户名。
- 有限用户的密码。为新用户输入一个强密码。
- 有限用户的SSH公钥。如果你想通过公钥认证(不需要输入密码)作为有限用户登录,在这里输入你的公钥。关于生成密钥对的说明,请参见创建SSH密钥对和配置服务器上的公钥认证。
- 禁止通过SSH访问根用户:要阻止根用户通过SSH登录,请选择是(推荐)。你仍然可以在登录后切换到根用户,你也可以通过Lish以根身份登录。
部署后开始使用
获得解封钥匙
Vault内的数据由一系列的加密密钥保护。第一层是存储在钥匙圈中的加密密钥。然后使用根密钥对钥匙圈进行加密。最后,根密钥使用解封密钥进行加密。解封密钥被分割成多个部分,然后可以分发给多个人。这个过程确保数据受到保护,只有授权用户才能获得访问权。参见Seal/Unseal文档,了解更多关于这个加密过程的信息。
按照下面的指示,查看解封密钥和根令牌。
- 使用部署时创建的根用户凭据,通过SSH或Lish登录计算实例。
- 运行以下命令来显示解封密钥的所有五个部分。这些部分可以一起用来解密根钥匙和解封Vault。
cat /root/.vault_tokens.txt
Unseal Key 1: M8H0MQbg5Vgdf5IFEL/xOvyBC0bXwH+exN9wLgSwyq1y
Unseal Key 2: oP7fCkpdJXrO/AegtuUtQAiiyK//fhPtfyfFzEnT5z8b
Unseal Key 3: dSB00TzKHK9Nq5S+w2zWDzlokxMhYnUx6xNXXFuXHw9o
Unseal Key 4: UJEqMsSKbtGM1SZNJjUmx0/V7Q4g5pI63V0aRIulHVm3
Unseal Key 5: UMBRh+13zGwYgTIunTl6F0qJRoWW4JS6U5WzazwAhOoz
Initial Root Token: hvs.z1f4cwvE9llTjBmkJO71xhF4 - 根据需要将解封钥匙的部分分发给你的团队,确保它们被保存在一个安全可靠的地方。此外,还要保存 初始根令牌.完成后,你可以删除这个文本文件。
rm /root/.vault_tokens.txt
访问Vault网络用户界面
- 打开你的网络浏览器,浏览到
http://[ip-address]:8200
,其中 [ip-address] 是您的计算实例的IPv4地址。参见 管理IP地址 关于查看IP地址的信息,请参见指南。 - 要访问Vault实例,必须与根令牌一起输入三个解封密钥。
- 一旦Vault被解封,Web UI就可以用来设置秘密、认证和策略。
请注意。 HashiCorp建议使用带有私人CA的相互TLS(mTLS)来保证集群通信和Web UI的安全。请参阅以下HashiCorp的文件以了解更多细节。 https://www.vaultproject.io/docs/auth/cert https://www.vaultproject.io/docs/secrets/pki/setup - 要在生产环境中使用 LinodeMarketplace Vault 实例,还需要进行其他配置。我们建议在继续操作前查看配置、保密引擎和身份验证文档。
HashiCorp VaultMarketplace 应用程序由 Linode 构建。有关应用程序部署的支持,请联系Linode 支持。有关工具或软件本身的支持,请 浏览Vault 社区论坛。