Jak nainstalovat Hashicorp Vault na Ubuntu 18.04

Úvod

Sejf je systém správy citlivých informací. Ukládá, řídí a chrání data, která používáte pro procesy ověřování nebo autorizace.

Vault omezuje a spravuje přístup k „citlivým tajemstvím“ včetně hesel, certifikátů nebo rozhraní API. Poskytuje také šifrování dat, tajemství na vyžádání a odvolání. V tomto kurzu se dozvíte, jak nainstalovat a nakonfigurovat Sejf na Ubuntu 18.04 a jak nastavit Consul.

Předpoklady

• Ubuntu 18.04
• Uživatelský účet s sudo privilegia
• Přístup do okna terminálu/příkazového řádku (Ctrl-Alt-T)

Kroky pro instalaci Vault na Linux Ubuntu 18.04

Krok 1:Nainstalujte Consul

Consul je vysoce škálovatelný a distribuovaný systém zjišťování a konfigurace služeb. Můžete koordinovat Consul Storage jako back-end k Vaultu, abyste zajistili vysokou dostupnost softwaru a odolnost proti chybám.

Prvním krokem je instalace a konfigurace Consul na Ubuntu 18.04.

1. Začněte tím, že přejdete na oficiální webovou stránku Consul a kliknete na Stáhnout ikonu.

2. Prohlížeč vás poté přenese na stránku Stáhnout se všemi dostupnými balíčky. Vyhledejte sekci Linux a klikněte pravým tlačítkem na 32 nebo 64bitovou verzi. Zkopírujte umístění odkazu, protože jej budete potřebovat v dalším kroku.

3. Otevřete terminál (Ctrl +Alt +T ) a použijte wget příkaz ke stažení balíčku Consul:

wget https://releases.hashicorp.com/consul/1.6.1/consul_1.6.1_linux_amd64.zip

4. Dále rozbalte balíček příkazem:

unzip consul_1.6.1_linux_amd64.zip

5. Poté přesuňte instalační balíček zadáním následujícího příkazu:

sudo mv consul /usr/bin

6. Ukončete ověřením instalace příkazem:

consul

Výstup by měl obsahovat seznam všech dostupných příkazů konzula, jako na obrázku níže:

Krok 2:Konfigurace Consul

1. Vytvořte a otevřete nový soubor pomocí:

sudo nano /etc/system/system/consul.service

2. Přidejte následující obsah do consul.service soubor:

[Unit]
Description=Consul
Documentation=https://www.consul.io/
[Service]
ExecStart=/usr/bin/consul agent –server –ui –data-dir=/temp/consul –bootstrap-expect=1 –node=vault –bind=IP.ADDRESS.OF.SERVER –config-dir=/etc/consul.d/
ExecReload=/bin/kill –HUP $MAINPID
LimitNOFILE=65536
[Install]
WantedBy=multi-user.target

3. Uložit a ukončit soubor.

4. Poté přejděte k vytvoření konfiguračního adresáře a přidání nového .json soubor v něm:

sudo mkdir /etc/consul.d

nano /etc/consul.d/ui.json

5. Chcete-li nastavit uživatelské rozhraní pro připojení k čemukoli, přidejte do nově vytvořeného souboru následující obsah:

{

“addresses”: {

“http”: “0.0.0.0”

}

}

6. Před ukončením souboru nezapomeňte uložit.

7. Aby se změny projevily, musíte znovu načíst, spustit a povolit konzultační službu.

Znovu načíst systému pomocí příkazu:

systemctl daemon-reload

Spusťte příkaz pro spuštění služba:

systemctl start consul

Poté povolte pomocí:

systemctl enable consul

Ověřte, že je služba spuštěna pomocí příkazu:

journalctl –f –u consul

Následuje otevření webového prohlížeče a přechod na adresu URL:

vault.admintome.lab:8500/ui/

Tím se otevře online platforma pro správu HashiCorp a zobrazí se dostupné služby. Pokud vidíte konzul jako službu, úspěšně jste nastavili software.

Krok 3:Instalace Vault na Ubuntu

S Consul na svém místě přejděte k instalaci Vault na vašem systému Ubuntu 18.04.

1. Přejděte na oficiální web Sejfu a klikněte na Stáhnout a vyhledejte dostupný balíček pro distribuce Linuxu.

2. Klikněte pravým tlačítkem na Stáhnout ikonu a zkopírujte umístění odkazu.

3. Pomocí příkazu wget stáhněte balíček vložením umístění odkazu zkopírovaného v předchozím kroku:

wget https://releases.hashicorp.com/vault/1.2.3/vault_1.2.3_linux_amd64.zip

4. Dále rozbalte balíček pomocí následujícího příkazu:

unzip vault_1.2.3_linux_amd64.zip

5. Poté přesuňte balíček do adresáře /usr/bin:

mv vault /usr/bin

6. Zkontrolujte instalaci pomocí následujícího příkazu:

vault

V důsledku toho by se měl objevit seznam všech dostupných příkazů úložiště, jako na obrázku níže:

Krok 4:Konfigurace úložiště

1. Začněte vytvořením konfiguračního adresáře a souboru v něm:

sudo nano /etc/vault/config.hcl

2. Poté do souboru zadejte nebo vložte následující obsah:

storage “consul” {
address = “127.0.0.1:8500”
path = “vault/”
}
listener “tcp” {
address = ”IP.ADDRESS.OF.SERVER” [or “0.0.0.0” to listen to everything]
tls_disable = 1
}
ui = true

3. Znovu uložte a ukončete soubor.

4. Dále musíte vytvořit UNI (.uni ) file, běžně používaná přípona konfiguračních souborů. Nejjednodušší způsob, jak to udělat, je zkopírovat konfigurační soubor Consul a upravit specifikace tak, aby vyhovovaly Vault.

Zduplikujte existující konfigurační soubor služby pod novým názvem pomocí příkazu:

cp /etc/system.system/consul.service /etc/system/system/vault.service

5. Otevřete novou službu vault.service soubor:

vim /etc/system/system/vault.service

6. Ujistěte se, že obsah souboru odpovídá níže uvedenému. V podstatě budete muset změnit všechny hodnoty specifické pro konzula za vhodné hodnoty Vault.

[Unit]
Description=Vault
Documentation=https://www.vault.io/

[Service]
ExecStart=/usr/bin/vault server –config=/etc/vault/config.hcl
ExecReload=/bin/kill –HUP $MAINPID
LimitNOFILE=65536

[Install]
WantedBy=multi-user.target

7. Po uložení souboru se vraťte zpět do shellu terminálu a spusťte službu pomocí následujících příkazů:

systemctl daemon-reload

systemctl start vault

systemctl enable vault

systemctl status vault

Stav by měl ukazovat, že služba je aktivní (běžící) .

8. Pomocí klienta úložiště se připojte ke spuštěné službě příkazem:

export VAULT_ADDR=http://IP.ADDRESS.OF.VAULT:CLIENT

Krok 5:Inicializujte Vault

Protože jste si již nainstalovali Consul, který bude sloužit jako back-end úložiště, budete nyní muset Sejf inicializovat ručně, aby fungoval správně.

1. Nejprve spusťte následující příkaz, abyste viděli aktuální stav úložiště:

vault status

Stejně jako na obrázku výše, výstup zobrazuje, že Vault je zapečetěný a neinicializováno ještě.

2. Ke změně jeho stavu potřebujete tři (3) klávesy, které najdete spuštěním příkazu:

vault operator init

Terminál vrátí pět (5) odpečeťovacích klíčů a také počáteční kořenový token . Také vysvětluje, že kdykoli je balíček Vault znovu zapečetěn, restartován nebo zastaven, budete muset zadat alespoň tři (3) z těchto klíčů.

Pokud neposkytnete zadané klíče, Vault zůstane zapečetěný. Proto zkopírujte všech pět klíčů a vložte je do samostatného souboru.

3. Jakmile budete mít alespoň 3 odpečetěné klíče, spusťte příkaz:

vault operator unseal

4. Zkopírujte a vložte první klíč a stiskněte Enter.

5. Opakujte stejný postup pro odplombovací klíč 2 a 3.

6. Posledním krokem k odpečetění trezoru je spuštění následujícího příkazu s počátečním kořenovým tokenem (uvedeným u klíčů odpečetění):

vault login [root_token]

7. Nyní znovu zkontrolujte stav a ověřte, že byl software inicializován:

vault status