部署企业私密信息管理平台Hashicorp vault集成kubernetes和AWS的密钥信息

一、需求

  目前公司内部网站、项目比较多,运维的密钥管理主要都是靠个人保存,其中包含数据库密钥信息、申请的TLS证书、AWS密钥信息、各管理平台的密钥等,管理混乱,容易丢失,希望有一个平台能统一收集管理、签发、授权、审计。

 

二、HashiCorp Vault介绍

HashiCorp Vault作为集中化的私密信息管理工具,具有以下特点:

  • 存储私密信息
    不仅可以存放现有的私密信息,还可以动态生成用于管理第三方资源的私密信息。所有存放的数据都是加密的,任何动态生成的私密信息都有租期,并且到期会自动回收。
  • 滚动更新秘钥
    用户可以随时更新存放的私密信息。Vault提供了加密即服务(encryption-as-a-service)的功能,可以随时将密钥滚动到新的密钥版本,同时保留对使用过去密钥版本加密的值进行解密的能力。 对于动态生成的秘密,可配置的最大租赁寿命确保密钥滚动易于实施。
  • 审计日志
    保管库存储所有经过身份验证的客户端交互的详细审核日志:身份验证,令牌创建,私密信息访问,私密信息撤销等。 可以将审核日志发送到多个后端以确保冗余副本。

另外,HaishiCorp Vault提供了多种方式来管理私密信息。用户可以通过命令行、HTTP API等集成到应用中来获取私密信息。HashiCorp Vault也能与Ansible、Chef、Consul等DevOps工具链无缝结合使用。

HaishiCorp Vault官方网站

 

三、环境介绍

  kubernetes集群环境

 

四、部署HashiCorp Vault

  • 创建命名空间 
kubectl create namespace vault
  • 添加helm repo
helm repo add hashicorp https://helm.releases.hashicorp.com
  • 安装
helm install vault hashicorp/vault -n vault
  • 初始化
kubectl exec -ti vault-0 -c vault -n vault -- vault operator init

Unseal Key 1: O67V+PZGr3OyQd2IjQgH2+7pXZLuIJss5ko+MXb8LcSm
Unseal Key 2: oEdjXv11XrgJqPMuOduda5ygIUdtvaCMoufKF3Fllh9i
Unseal Key 3: /doVpsSdTCnjvfTQL+wfrOgVWI/cMaOR/D0YasL8fV/c
Unseal Key 4: tp8VLTbnwD0p34dn0DBaHEKM/jmtJ0WU1Kp4WG9MvbCC
Unseal Key 5: d6j1CR6jVWEoKShjZ6wT9S5ZFyHo2XldBjb+NzJJRVUd

Initial Root Token: s.8AQ0XD8Yp5Q6IfdXtjsFPCSF

特别注意,这一步会输出5个Unseal Key和一个root token,Unseal Key在后面会用到,一定要记录下来,因为该值只会在初始化时出现。

  • 进行解封,随便取3个,只要达到key threashold即可
kubectl exec -ti vault-0 -n vault -- vault operator unseal # ... Unseal Key 1
kubectl exec -ti vault-0 -n vault -- vault operator unseal # ... Unseal Key 2
kubectl exec -ti vault-0 -n vault -- vault operator unseal # ... Unseal Key 3
  • 完成以上几步操作之后,查看pod是否正常运行
kubectl get pods -l app.kubernetes.io/name=vault -n vault
  • 添加service及ingress
apiVersion: v1
kind: Service
metadata:
  name: vault-portal
  namespace: vault
spec:
  ports:
  - name: "8200"
    port: 8200
    protocol: TCP
    targetPort: 8200
  type: ClusterIP

---

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  annotations:
    cert-manager.io/cluster-issuer: letsencrypt-prod
  name: dev.vault.arfront.cn
  namespace: vault
spec:
  rules:
  - host: dev.vault.arfront.cn
    http:
      paths:
      - backend:
          serviceName: vault
          servicePort: 8200
  tls:
  - hosts:
    - dev.vault.arfront.cn
    secretName: dev.vault.arfront.cn
  • 验证

打开网站 dev.vault.arfront.cn,输入上面初始化得到的Initial Root Token: s.8AQ0XD8Yp5Q6IfdXtjsFPCSF,即部署完成。

 

五、集成管理kubernetes密钥

待补充

六、集成管理AWS密钥

待补充

七、Vault的使用

待补充

posted @ 2021-04-26 16:41  少羽大怪兽  阅读(505)  评论(0编辑  收藏  举报