メインコンテンツにスキップ

HashiCorp Vaultは、オープンソースの集中型秘密管理システムです。鍵やアクセストークン、パスワードなどの秘密を安全かつ確実に保管、配布することができる。 API 鍵、アクセストークン、パスワードのような秘密を安全に保管し、配布する方法を提供します。

Marketplace アプリのデプロイ

LinodeMarketplace では、クラウドマネージャーを使用してコンピュートインスタンス上にソフトウェアを簡単にデプロイすることができます。完全な手順については、 Marketplace Appsを始めるを参照してください。

  1. クラウドマネージャーにログインし、左のナビゲーションメニューから Marketplaceリンクを選択します。Linode作成ページが表示されます。 Marketplaceタブが表示されます。
  2. Select App」セクションで、デプロイしたいアプリを選択します。
  3. Creating a Compute Instance(コンピュートインスタンスの作成)ガイドの手順とアドバイスに従って、フォームを完成させます。選択したMarketplace Appによっては、利用可能な追加構成オプションがあります。互換性のあるディストリビューション、推奨プラン、およびこのMarketplace Appで利用可能な追加の構成オプションについては、以下の「構成オプション」のセクションを参照してください。
  4. Linodeの作成]ボタンをクリックします。Compute Instanceがプロビジョニングされ、完全に電源が入ったら、ソフトウェアのインストールが完了するのを待ちます。この前にインスタンスの電源を切ったり再起動したりすると、ソフトウェアのインストールに失敗する可能性があります。

アプリが完全にインストールされたことを確認するには、「Get Started withMarketplace Apps > Verify Installation( アプリを使い始める)」を参照してください。インストールが完了したら、「Getting Started After Deployment(デプロイ後に始める)」セクションの指示に従ってアプリケーションにアクセスし、使用を開始します。

デプロイメントの所要時間Vaultは、Compute Instanceのプロビジョニングが終了してから5-10分以内に完全にインストールされるはずです。

設定オプション

  • サポートされているディストリビューション Debian 11、Ubuntu 22.04 LTS
  • 推奨プランVaultインスタンスには、4GBのDedicated CPU 、またはShared Computeインスタンスを推奨します。

限定ユーザー(オプション)

オプションで以下のフィールドに入力すると、新しいCompute Instanceの限定ユーザーを自動的に作成することができます。これは、追加のセキュリティ対策として、ほとんどのデプロイメントで推奨されています。このアカウントは スッド グループでコマンドを実行する際に、昇格されたパーミッションを提供します。 sudo の接頭辞があります。

  • sudoの限定ユーザー。制限付きユーザーとして希望するユーザー名を入力します。
  • 限定ユーザーのパスワード。新しいユーザーのための強力なパスワードを入力します。
  • 限定ユーザのSSH公開鍵。公開鍵認証で(パスワードを入力せずに)限定ユーザーとしてログインする場合は、ここに公開鍵を入力します。鍵ペアの生成方法については、「SSH鍵ペアの作成」および「サーバーでの公開鍵認証の設定」を参照してください。
  • Disable root access over SSH:ルートユーザーがSSHでログインできないようにするには、[はい]を選択します(推奨)。ただし、一度ログインした後はrootユーザーに切り替えることができ、Lishからrootでログインすることも可能です。

デプロイ後のスタートアップ

アンシールキーを入手する

Vault内のデータは、一連の暗号化キーによって保護されています。最初の層は、キーリングに格納されている暗号化キーです。そして、キーリングはルートキーを使って暗号化されます。そして最後に、ルートキーはunsealキーで暗号化されます。unsealキーは複数の部分に分割され、複数の人に配布することができます。このプロセスにより、データは確実に保護され、許可されたユーザーのみがアクセスできるようになります。この暗号化プロセスの詳細については、Seal/Unsealのドキュメントを参照してください。

以下の手順で、アンシールキーとルートトークンを表示します。

  1. デプロイ時に作成したルートユーザー認証情報を使用して、SSHまたはLish経由でCompute Instanceにログインします。
  2. 以下のコマンドを実行すると、unsealキーの5つの部分がすべて表示されます。これらの部分は、ルート鍵の復号化とVaultの封印解除に一緒に使用することができます。

    cat /root/.vault_tokens.txt

    Unseal Key 1: M8H0MQbg5Vgdf5IFEL/xOvyBC0bXwH+exN9wLgSwyq1y
    Unseal Key 2: oP7fCkpdJXrO/AegtuUtQAiiyK//fhPtfyfFzEnT5z8b
    Unseal Key 3: dSB00TzKHK9Nq5S+w2zWDzlokxMhYnUx6xNXXFuXHw9o
    Unseal Key 4: UJEqMsSKbtGM1SZNJjUmx0/V7Q4g5pI63V0aRIulHVm3
    Unseal Key 5: UMBRh+13zGwYgTIunTl6F0qJRoWW4JS6U5WzazwAhOoz
    Initial Root Token: hvs.z1f4cwvE9llTjBmkJO71xhF4

  3. 必要に応じて開封キーの部分をチームに配布し、安全な場所に保存されていることを確認します。さらに イニシャルルートトークン.終了後、このテキストファイルを削除することができます。

    rm /root/.vault_tokens.txt

VaultのWeb UIにアクセスする

  1. ウェブブラウザを起動し、次のページに移動します。 http://[ip-address]:8200である。 [ip-address]です。 は、Compute InstanceのIPv4アドレスです。を参照してください。 IPアドレスの管理 IP アドレスの表示に関するガイド
  2. Vaultインスタンスにアクセスするには、ルートトークンとともに、3つのunsealキーを入力する必要があります。


  3. Vaultの封印を解除すると、Web UIを使用してシークレット、認証、ポリシーを設定することができます。



    注意してください。 HashiCorpではクラスタ通信およびWeb UIのセキュリティを確保するために、プライベートCAによる相互TLS (mTLS)を推奨しています。詳しくは以下のHashiCorpのドキュメントをご覧ください。 https://www.vaultproject.io/docs/auth/cert https://www.vaultproject.io/docs/secrets/pki/setup
  4. 本番環境でLinodeMarketplace Vaultインスタンスを使用するには、追加の設定が必要です。先に進む前に設定シークレットエンジン認証のドキュメントを確認することをお勧めします。

HashiCorp VaultMarketplace アプリはLinodeによって構築されました。アプリのデプロイに関するサポートは、Linodeサポートにお問い合わせください。ツールやソフトウェア自体のサポートについては、 Vaultコミュニティフォーラムを参照してください。