Marketplace

HashiCorp Vault 1.17.2 с поддержкой Yandex KMS

Обновлено 24 сентября 2024 г.

HashiCorp Vault — инструмент с открытым исходным кодом, который обеспечивает безопасное хранение и доступ к различным секретам, таким как пароли, сертификаты, токены. Образ содержит предустановленную сборку HashiCorp Vault с дополнительной поддержкой Auto Unseal при помощи Yandex Key Management Service. Сборка подготовлена на основе HashiCorp Vault 1.17.2.

Инструкция по развертыванию
  1. Создайте сервисный аккаунт, необходимый для работы HashiCorp Vault:

    yc iam service-account create --name vault-kms
    
  2. Создайте авторизованный ключ для сервисного аккаунта и сохраните его в файл authorized-key.json:

    yc iam key create \
       --service-account-name vault-kms \
       --output authorized-key.json
    
  3. Создайте ключ Yandex Key Management Service:

    yc kms symmetric-key create \
       --name example-key \
       --default-algorithm aes-256 \
       --rotation-period 24h
    

    Сохраните идентификатор ключа (id) — он понадобится при установке приложения.

  4. Назначьте сервисному аккаунту роль kms.keys.encrypterDecrypter на ключ Yandex Key Management Service:

    yc kms symmetric-key add-access-binding \
       --name example-key \
       --service-account-name vault-kms \
       --role kms.keys.encrypterDecrypter
    
  5. Задайте настройки приложения:

    • Пространство имен — выберите пространство имен или создайте новое.
    • Название приложения — укажите название приложения.
    • Ключ сервисного аккаунта — скопируйте в это поле содержимое файла authorized-key.json.
    • Идентификатор ключа KMS — укажите полученный ранее идентификатор ключа Yandex Key Management Service.
  6. Нажмите кнопку Установить.

  7. Убедитесь, что приложение перешло в состояние Running и имеет 0/1 готовых подов:

    kubectl get pods --selector='app.kubernetes.io/name=vault'
    

    Ожидаемый результат выполнения команды:

    NAME                READY   STATUS    RESTARTS   AGE
    <имя пода vault>    0/1     Running   0          58s
    
  8. Выполните инициализацию хранилища:

    kubectl exec --stdin=true --tty=true <имя пода vault> -- vault operator init
    

    Ожидаемый результат выполнения команды:

    Recovery Key 1: ulbugw4IKttmCCPprF6JwmUCyx1YfieCQPQiI2S0VV9o
    Recovery Key 2: S0kcValC6qSfEI4WJBovSbJWZntBUwtTrtisSIcS3n0e
    Recovery Key 3: t44ZRqbzLZNzfChinZNzLCNnwvFN/R52vbDq/UueHPPg
    Recovery Key 4: af4PRlm3VdXRzEHoDpYEnSgbwj4oc4zLCwkJG36cOUER
    Recovery Key 5: rw9LXcyGEhoO4y4O5IA32IwiDS2t76zd52eiVqfpu+b6
    
    Initial Root Token: s.4ddyD9kkIKVrslVBQBX1I5Pq
    
    Success! Vault is initialized
    
    Recovery key initialized with 5 key shares and a key threshold of 3. Please
    securely distribute the key shares printed above.
    

    При инициализации хранилища выполнять операцию unseal не нужно. Подробнее см. на странице Auto Unseal и в документации HashiCorp Vault.

  9. Повторно запросите список подов приложения и убедитесь, что готов один под:

    kubectl get pods --selector='app.kubernetes.io/name=vault'
    

    Ожидаемый результат выполнения команды:

    NAME                READY   STATUS    RESTARTS   AGE
    vault-yckms-k8s-0   1/1     Running   0          1h
    
Тип тарификации
Free
Тип
Приложение Kubernetes®
Категория
Инструменты для разработчиков
Безопасность
Издатель
Yandex Cloud
Разработчик
HashiCorp
Примеры использования
  • Безопасное хранение секретов.
  • Управление доступом к секретам.
Техническая поддержка

Служба технической поддержки Yandex Cloud отвечает на запросы 24 часа в сутки, 7 дней в неделю. Доступные виды запросов и срок их обработки зависят от тарифного плана. Подключить платную поддержку можно в консоли управления. Подробнее о порядке оказания технической поддержки. Вы также можете воспользоваться помощью сообщества.

Состав продукта
Helm-чартВерсия
Pull-команда
Документация
yandex-cloud/vault/chart/vault0.28.1_yckmsОткрыть
Docker-образВерсия
Pull-команда
yandex-cloud/vault/vault-k8s17216616662243306036128656401353769970751498110521.4.2
yandex-cloud/vault/vault17216616662243306036128656401353769970751498110521.17.2_yckms
yandex-cloud/vault/vault17216616662243306036128656401353769970751498110521.17.2_yckms
yandex-cloud/vault/vault-csi-provider17216616662243306036128656401353769970751498110521.4.3
Другие варианты этого продукта
Лицензионное соглашение
Используя данный продукт, вы соглашаетесь с Условиями использования Yandex Cloud Marketplace и с условиями использования следующих продуктов: HashiCorp Vault с поддержкой Yandex Key Management ServiceHashiCorp Vault
Тип тарификации
Free
Тип
Приложение Kubernetes®
Категория
Инструменты для разработчиков
Безопасность
Издатель
Yandex Cloud
Разработчик
HashiCorp