Przygotowuję się do skonfigurowania skarbca Hashicorp za pomocą mojej aplikacji internetowej, a chociaż przykłady Hashicorp mają sens, nie jestem pewien, jaka powinna być zamierzona konfiguracja produkcji.Skarbiec Hashicorp - Definicja/Architektura w produkcji
W moim przypadku mam:
- garstka instancji EC2 AWS obsługujących moja aplikacja internetowa instancje
- kilka EC2 serwujące Jenkins do ciągłego wdrażania
i muszę:
- Moje oprogramowanie konfiguracyjne (Ansible) i Jenkins, aby móc czytać sekrety podczas dep zapłata
- , aby umożliwić pracownikom firmy, aby w razie potrzeby czytali sekrety i potencjalnie generowali tymczasowe dla niektórych rodzajów dostępu.
Prawdopodobnie będę używać S3 jako zaplecza magazynu Vault.
Rodzaje pytań mam to:
Gdyby sklepienie być uruchomiony na wszystkich moich wystąpień EC2 i słuchania w 127.0.0.1:8200?
Czy mogę utworzyć instancję (może 2 dla dostępności), które uruchamiają Vault i czy inne instancje/usługi są połączone z tymi, które są potrzebne do tajnego dostępu?
Jeśli potrzebuję pracowników, aby mieć dostęp do sekretów z ich lokalnych maszyn, jak to działa? Czy ustawiają sejf w lokacji przeciwko pamięci S3, czy też powinny uderzać w interfejs REST API zdalnych serwerów od kroku 2, aby uzyskać dostęp do ich sekretów?
I dla jasności, każda maszyna, która korzysta z sejfu, jeśli zostanie uruchomiona ponownie, należy ponownie otworzyć sejf, co wydaje się być ręcznym procesem obejmującym x liczbę posiadaczy kluczy.
https://s3.amazonaws.com/quickstart-reference/hashicorp/vault/latest/doc/hashicorp-vault-on-the-aws-cloud.pdf – sethvargo
@sethvargo dzięki, ale to nie do końca odpowiada pytanie, w szczególności pkt 3 i 4 – djt