メインコンテンツにスキップ

HashiCorp Vaultは、オープンソースの集中型秘密管理システムです。API キー、アクセストークン、パスワードなどの秘密を安全かつ確実に保管・配布する方法を提供します。

マーケットプレイスアプリのデプロイメント

Linode Marketplaceでは、Cloud Managerを使用してCompute Instanceに簡単にソフトウェアをデプロイすることができます。完全な手順については、Get Started with Marketplace Appsを参照してください。

  1. Cloud Managerにログインし、左のナビゲーションメニューから「Marketplace」リンクを選択します。これにより、LinodeCreateページが表示され、Marketplaceタブがあらかじめ選択されています。
  2. Select App」セクションで、デプロイしたいアプリを選択します。
  3. コンピュートインスタンスの作成」ガイドの手順とアドバイスに従って、フォームに記入します。選択したMarketplace Appによっては、追加の設定オプションが利用できる場合があります。この Marketplace App で利用できる互換性のあるディストリビューション、推奨プラン、および追加の構成オプションについては、以下の「構成オプション」セクションを参照してください。
  4. Linodeの作成]ボタンをクリックします。Compute Instanceがプロビジョニングされ、完全に電源が入ったら、ソフトウェアのインストールが完了するのを待ちます。この前にインスタンスの電源を切ったり再起動したりすると、ソフトウェアのインストールに失敗する可能性があります。

アプリが完全にインストールされたことを確認するには、「Get Started with Marketplace Apps > Verify Installation(マーケットプレイスアプリを始める)」を参照してください。インストールが完了したら、「Getting Started After Deployment」セクションの指示に従って、アプリケーションにアクセスし、使用を開始します。

デプロイメントの所要時間Vaultは、Compute Instanceのプロビジョニングが終了してから5-10分以内に完全にインストールされるはずです。

設定オプション

  • サポートされているディストリビューション Debian 11、Ubuntu 22.04 LTS
  • 推奨プランです。Vaultインスタンスには、4GBのDedicated CPUまたはShared Computeインスタンスを推奨します。

限定ユーザー(オプション)

オプションで以下のフィールドに入力すると、新しいCompute Instanceの限定ユーザーを自動的に作成することができます。これは、追加のセキュリティ対策として、ほとんどのデプロイメントで推奨されています。このアカウントは スッド グループでコマンドを実行する際に、昇格されたパーミッションを提供します。 sudo の接頭辞があります。

  • sudoの限定ユーザー。制限付きユーザーとして希望するユーザー名を入力します。
  • 限定ユーザーのパスワード。新しいユーザーのための強力なパスワードを入力します。
  • 限定ユーザのSSH公開鍵。公開鍵認証で(パスワードを入力せずに)限定ユーザーとしてログインする場合は、ここに公開鍵を入力します。鍵ペアの生成方法については、「SSH鍵ペアの作成」および「サーバーでの公開鍵認証の設定」を参照してください。
  • Disable root access over SSH:ルートユーザーがSSHでログインできないようにするには、[はい]を選択します(推奨)。ただし、一度ログインした後はrootユーザーに切り替えることができ、Lishからrootでログインすることも可能です。

デプロイ後のスタートアップ

アンシールキーを入手する

Vault内のデータは、一連の暗号化キーによって保護されています。最初の層は、キーリングに格納されている暗号化キーです。そして、キーリングはルートキーを使って暗号化されます。そして最後に、ルートキーはunsealキーで暗号化されます。unsealキーは複数の部分に分割され、複数の人に配布することができます。このプロセスにより、データは確実に保護され、許可されたユーザーのみがアクセスできるようになります。この暗号化プロセスの詳細については、Seal/Unsealのドキュメントを参照してください。

以下の手順で、アンシールキーとルートトークンを表示します。

  1. デプロイ時に作成したルートユーザー認証情報を使用して、SSHまたはLish経由でCompute Instanceにログインします。
  2. 以下のコマンドを実行すると、unsealキーの5つの部分がすべて表示されます。これらの部分は、ルート鍵の復号化とVaultの封印解除に一緒に使用することができます。

    cat /root/.vault_tokens.txt

    Unseal Key 1: M8H0MQbg5Vgdf5IFEL/xOvyBC0bXwH+exN9wLgSwyq1y
    Unseal Key 2: oP7fCkpdJXrO/AegtuUtQAiiyK//fhPtfyfFzEnT5z8b
    Unseal Key 3: dSB00TzKHK9Nq5S+w2zWDzlokxMhYnUx6xNXXFuXHw9o
    Unseal Key 4: UJEqMsSKbtGM1SZNJjUmx0/V7Q4g5pI63V0aRIulHVm3
    Unseal Key 5: UMBRh+13zGwYgTIunTl6F0qJRoWW4JS6U5WzazwAhOoz
    Initial Root Token: hvs.z1f4cwvE9llTjBmkJO71xhF4

  3. 必要に応じて開封キーの部分をチームに配布し、安全な場所に保存されていることを確認します。さらに イニシャルルートトークン.終了後、このテキストファイルを削除することができます。

    rm /root/.vault_tokens.txt

VaultのWeb UIにアクセスする

  1. ウェブブラウザを起動し、次のページに移動します。 http://[ip-address]:8200である。 [ip-address]です。 は、Compute InstanceのIPv4アドレスです。を参照してください。 IPアドレスの管理 IP アドレスの表示に関するガイド
  2. Vaultインスタンスにアクセスするには、ルートトークンとともに、3つのunsealキーを入力する必要があります。


  3. Vaultの封印を解除すると、Web UIを使用してシークレット、認証、ポリシーを設定することができます。



    注意してください。 HashiCorpではクラスタ通信およびWeb UIのセキュリティを確保するために、プライベートCAによる相互TLS (mTLS)を推奨しています。詳しくは以下のHashiCorpのドキュメントをご覧ください。 https://www.vaultproject.io/docs/auth/cert https://www.vaultproject.io/docs/secrets/pki/setup
  4. Linode Marketplace Vaultインスタンスを本番環境で使用するには、追加の構成が必要です。先に進む前に、設定シークレットエンジン、および認証のドキュメントを確認することをお勧めします。

HashiCorp Vault MarketplaceアプリはLinodeによって構築されています。アプリの展開に関するサポートは、Linodeサポートにお問い合わせください。ツールまたはソフトウェア自体に関するサポートは Vaultコミュニティフォーラムを参照してください。