Avançar para o conteúdo principal

HashiCorp Vault is an open source, centralized secrets management system. It provides a secure and reliable way of storing and distributing secrets like API keys, access tokens, and passwords.

Implementação de uma aplicação de mercado

O Linode Marketplace permite-lhe implementar facilmente software numa Instância de Computação utilizando o Cloud Manager. Ver Começar com o Marketplace Apps para passos completos.

  1. Inicie sessão no Gestor de Nuvens e seleccione a ligação Marketplace a partir do menu de navegação à esquerda. Isto exibe a página Criar Linode com o separador Marketplace pré-seleccionado.
  2. Sob a secção Seleccionar aplicação, seleccione a aplicação que gostaria de implementar.
  3. Preencher o formulário seguindo os passos e conselhos do guia Criar uma Computação de Instância. Dependendo da aplicação Marketplace que seleccionou, pode haver opções de configuração adicionais disponíveis. Ver a secção Opções de Configuração abaixo para distribuições compatíveis, planos recomendados, e quaisquer opções de configuração adicionais disponíveis para esta aplicação do Marketplace.
  4. Clique no botão Criar Linode. Uma vez que a Instância de Cálculo tenha sido provisionada e esteja totalmente ligada, aguarde que a instalação do software esteja concluída. Se a instância for desligada ou reiniciada antes deste momento, a instalação do software provavelmente falhará.

Para verificar se o aplicativo foi totalmente instalado, ver Começar com o Marketplace Apps > Verificar a instalação. Uma vez instalada, siga as instruções na secção Começar após a instalação para aceder à aplicação e começar a utilizá-la.

Estimated deployment time: Vault should be fully installed within 5-10 minutes after the Compute Instance has finished provisioning.

Opções de configuração

  • Supported distributions: Debian 11, Ubuntu 22.04 LTS
  • Recommended plan: We recommend a 4GB Dedicated CPU or Shared Compute instance for the Vault instance.

Utilizador limitado (Opcional)

Opcionalmente pode preencher os seguintes campos para criar automaticamente um utilizador limitado para a sua nova Instância de Computação. Isto é recomendado para a maioria das implantações como medida de segurança adicional. Esta conta será atribuída à sudo grupo, que fornece permissão elevada ao executar comandos com o sudo prefixo.

  • Utilizador limitado de sudo: Introduza o seu nome de utilizador preferido para o utilizador limitado.
  • Palavra-passe para o utilizador limitado: Introduza uma palavra-passe forte para o novo utilizador.
  • Chave pública SSH para o utilizador limitado: Se desejar entrar como utilizador limitado através de autenticação de chave pública (sem introduzir uma palavra-passe), introduza aqui a sua chave pública. Ver Criar um par de chaves SSH e Configurar Autenticação de Chave Pública num Servidor para instruções sobre como gerar um par de chaves.
  • Desactivar o acesso root sobre SSH: Para bloquear o utilizador root de iniciar sessão sobre SSH, seleccionar Sim (recomendado). Ainda pode mudar para o utilizador root uma vez iniciado a sessão e também pode iniciar a sessão como root através de Lish.

Começar após a implantação

Obtaining the Unseal Key

The data within Vault is protected by a series of encryption keys. The first layer is an encryption key stored in the keyring. The keyring is then encrypted using the root key. And lastly, the root key is encrypted using the unseal key. The unseal key is split into multiple portions, which can then be distributed to multiple people. This process ensures the data is protected and only authorized users can gain access. See Seal/Unseal documentation to learn more about this encryption process.

Follow the instructions below to view the unseal key and root token.

  1. Log in to your Compute Instance via SSH or Lish using the root user credientials you created during deployment.
  2. Run the following command to display all five portions of the unseal key. These portions can be used together to decrypt the root key and unseal Vault.

    cat /root/.vault_tokens.txt

    Unseal Key 1: M8H0MQbg5Vgdf5IFEL/xOvyBC0bXwH+exN9wLgSwyq1y
    Unseal Key 2: oP7fCkpdJXrO/AegtuUtQAiiyK//fhPtfyfFzEnT5z8b
    Unseal Key 3: dSB00TzKHK9Nq5S+w2zWDzlokxMhYnUx6xNXXFuXHw9o
    Unseal Key 4: UJEqMsSKbtGM1SZNJjUmx0/V7Q4g5pI63V0aRIulHVm3
    Unseal Key 5: UMBRh+13zGwYgTIunTl6F0qJRoWW4JS6U5WzazwAhOoz
    Initial Root Token: hvs.z1f4cwvE9llTjBmkJO71xhF4

  3. Distribute the portions of the unseal key to your team as needed, making sure they are saved in a safe and secure location. In addition, save the Initial Root Token. After you are finished, you can delete this text file.

    rm /root/.vault_tokens.txt

Accessing the Vault Web UI

  1. Abra o seu navegador web e navegue para http://[ip-address]:8200onde [ip-address] is your Compute Instance’s IPv4 address. See the Gestão de Endereços IP guia para informação sobre visualização de endereços IP.
  2. To access the Vault instance, three of the unseal keys must be entered along with the root token.

    1
  3. Once the Vault is unsealed, the web UI can be used to set up secrets, authentication, and policies.

    1

    Nota: HashiCorp recommends using mutual TLS (mTLS) with a private CA to secure cluster communications and the web UI. Please see the following HashiCorp documentation for more details. https://www.vaultproject.io/docs/auth/cert https://www.vaultproject.io/docs/secrets/pki/setup
  4. Additional configurations are required to use the Linode Marketplace Vault instance in a production environment. We recommend reviewing the ConfigurationSecrets Engine, and Authentication documentation before proceeding further.

The HashiCorp Vault Marketplace app was built by Linode. For support regarding app deployment, contact Linode Support. For support regarding the tool or software itself, browse the Vault Community Forum.