Mật khẩu MySQL của Hashicorp Vault
Vault là phần mềm mã nguồn mở để quản lý bí mật do HashiCorp cung cấp. Nó được thiết kế để tránh chia sẻ bí mật thuộc nhiều loại khác nhau, như mật khẩu và khóa riêng tư. Khi xây dựng tự động hóa, Vault là một giải pháp tốt để tránh lưu trữ bí mật ở dạng văn bản thuần túy trong kho lưu trữ Show
MariaDB và Vault có thể liên quan đến nhau theo nhiều cách
Để biết thông tin về cách cài đặt Vault, hãy xem Cài đặt Vault, cũng như Công cụ bí mật cơ sở dữ liệu MySQL/MariaDB Tính năng kho tiềnVault được sử dụng thông qua API HTTP/HTTPS Vault dựa trên danh tính. Người dùng đăng nhập và Vault gửi cho họ một mã thông báo có giá trị trong một khoảng thời gian nhất định hoặc cho đến khi một số điều kiện nhất định xảy ra. Người dùng có mã thông báo hợp lệ có thể yêu cầu nhận các bí mật mà họ có quyền thích hợp Vault mã hóa những bí mật mà nó lưu trữ Vault có thể tùy chọn kiểm tra các thay đổi đối với bí mật và yêu cầu bí mật của người dùng Kiến trúc kho tiềnVault là một máy chủ. Điều này cho phép tách logic quản lý bí mật khỏi máy khách, chỉ cần đăng nhập và giữ mã thông báo cho đến khi hết hạn Máy chủ thực sự có thể là một cụm máy chủ, để triển khai tính sẵn sàng cao Các thành phần chính của Vault là
Chế độ nhà phát triểnCó thể khởi động Vault ở chế độ nhà phát triển vault server -dev Chế độ nhà phát triển hữu ích cho việc tìm hiểu Vault hoặc chạy thử nghiệm trên một số tính năng cụ thể. Nó cực kỳ không an toàn vì chế độ nhà phát triển tương đương với việc khởi động Vault với một số tùy chọn không an toàn. Điều này có nghĩa là Vault không bao giờ được chạy trong sản xuất ở chế độ nhà phát triển. Tuy nhiên, điều này cũng có nghĩa là tất cả các tính năng thông thường của Vault đều khả dụng ở chế độ nhà phát triển Chế độ nhà phát triển đơn giản hóa mọi thao tác. Trên thực tế, không cần cấu hình để thiết lập và chạy Vault ở chế độ nhà phát triển. Nó cho phép giao tiếp với API Vault từ trình bao mà không cần bất kỳ xác thực nào. Dữ liệu được lưu trữ trong bộ nhớ theo mặc định. Theo mặc định, Vault không được niêm phong và nếu được niêm phong một cách rõ ràng, thì nó có thể được hủy niêm phong chỉ bằng một phím Gần đây, tôi đã nhận được Chứng chỉ liên kết kiến trúc sư giải pháp AWS của mình và tôi đã vô tình tìm hiểu thêm về Ops, DevOps liên quan đến tự động hóa, triển khai và quan trọng nhất là các bí mật và quyền truy cập. Vì vậy, tôi muốn chia sẻ kiến thức của mình về cách tạo thông tin đăng nhập ngắn hạn cho người dùng và quản trị viên cơ sở dữ liệu Trong bài đăng trên blog này, thuật ngữ Vault sẽ được sử dụng để chỉ Hashicorp Vault Xin lưu ý
danh sách chi tiết
Thuật ngữ
Bài đăng trên blog này sẽ bao gồm
Bí mật phổ biến nhất là tên người dùng và mật khẩu, nhưng chúng có nhiều loại khác nhau, chẳng hạn như khóa API. Thứ gì đó có thể được sử dụng để truy cập hệ thống hoặc thông tin cần có sự cho phép được coi là bí mật Quản lý bí mật là quá trình xử lý bí mật một cách an toàn. Điều này có thể bao gồm cách các bí mật được lưu trữ, xoay vòng chúng và quyền (ai có thể truy cập) Thực tiễn tốt nhất trong ngắn hạn bao gồm
Bài đăng trên blog này sẽ bao gồm các bí mật tập trung, bí mật động và kiểm tra Quản lý bí mật rất quan trọng vì nhiều lý do
Trong phần này, chúng ta sẽ hướng dẫn cài đặt Vault Tài liệu chính thức để cài đặt máy chủ có tại đây Trước khi chúng tôi bắt đầu, vui lòng đăng nhập vào tài khoản AWS (nếu bạn đang sử dụng thiết lập Lab từ bài trước) với người dùng không root .Chuyển sang dịch vụ EC2 và đảm bảo phiên bản EC2 đang chạy, nếu không, hãy khởi động phiên bản. .Vui lòng SSH vào ví dụ như vậy ssh -i “demo_key. pem” ubuntu@ec2-3-135-229-44. chúng tôi-đông-2. tính toán. amazonaws. com Xin lưu ý
Bây giờ để cài đặt Vault, chúng ta cần thêm khóa HashiCorp GPG, kho lưu trữ và sau đó cài đặt Vault Chọn tab Ubuntu/Debian và làm theo các hướng dẫn đó. Với các lệnh dưới đây
|