Como abrir um servidor de cofre, executando em um contêiner docker

Question

Como abrir um servidor de cofre, executando em um contêiner docker

#1 resposta do (1 votos)
#2 resposta do (0 votos)

4

Eu tenho um docker para compor a configuração que inicia com sucesso o consul (config aqui ). O Vault parece começar bem, exceto por alguns erros na configuração do TTL (registra aqui ).

Mais adiante, o cônsul parece estar solto quando tenta alcançar /v1/agent/check/fail/vault:127.0.0.1:8200:vault-sealed-check?note=Vault+Sealed . Aparentemente, 'vault:127.0.0.1:8200:vault-sealed-check' status is now critical .

consul1    |     2016/11/05 20:50:04 [DEBUG] agent: Check 'vault:127.0.0.1:8200:vault-sealed-check' status is now critical
consul1    |     2016/11/05 20:50:04 [DEBUG] agent: Service 'vault:127.0.0.1:8200' in sync
consul1    |     2016/11/05 20:50:04 [DEBUG] agent: Service 'consul' in sync
consul1    |     2016/11/05 20:50:04 [DEBUG] agent: Check 'vault:127.0.0.1:8200:vault-sealed-check' in sync
consul1    |     2016/11/05 20:50:04 [DEBUG] agent: Node info in sync
consul1    |     2016/11/05 20:50:04 [DEBUG] http: Request PUT /v1/agent/check/fail/vault:127.0.0.1:8200:vault-sealed-check?note=Vault+Sealed (92.314µs) from=172.18.0.3:48742

Quando o contêiner de vault é iniciado (com back-end do cônsul) 1) como obtemos a chave i) inicial e > ii) token raiz. Estou usando a imagem do vault oficial da Hashicorp /vault/config/vault.hcl (e consul image ).

Por fim, quero saber 2) como abrir um servidor do vault. E neste caso, quero desatar o servidor do cofre, que está sendo executado no contêiner docker. E 3) é tudo o que preciso para começar a escrever segredos para o cofre.

configuration docker consul

por Frye 05.11.2016 / 22:11

2 respostas

Tags configuration docker consul

rename () na atomicidade do NFS Comandos do Core PowerShell ausentes ao remoting na configuração do Exchange 2016

score 1 · Answer 1

Para liberar um vault-in-a-container usando imagem oficial do cofre de origem eu iniciaria o vault recipiente com:

vm# docker run -it --cap-add IPC_LOCK -p 8200:8200 -p 8215:8125 --name vault --volume /my/vault:/my/vault vault server -config=/my/vault/vaultCfg.hcl

em que o vm está executando 1.12.4 mecanismo do docker e as listas de configuração do hcl do vault:

backend "consul" {
  address = "myconsul.com:8500"
  path = "vault"
}

listener "tcp" {
  address = "0.0.0.0:8200"
  tls_disable = 1
}

e, em seguida, no mesmo host do docker:

vm# VAULT_ADDR=http://myvault.com:8200 
vm# docker exec -it vault vault  "$@" init -address=${VAULT_ADDR}

E espere uma saída como:

2016/12/11 10:21:10.628736 [WARN ] physical/consul: appending trailing forward slash to path
2016/12/11 12:09:12.117238 [INFO ] core: security barrier not initialized
2016/12/11 12:09:12.136037 [INFO ] core: security barrier initialized: shares=5 threshold=3
2016/12/11 12:09:12.169987 [INFO ] core: post-unseal setup starting
2016/12/11 12:09:12.181963 [INFO ] core: successfully mounted backend: type=generic path=secret/
2016/12/11 12:09:12.181990 [INFO ] core: successfully mounted backend: type=cubbyhole path=cubbyhole/
2016/12/11 12:09:12.182057 [INFO ] core: successfully mounted backend: type=system path=sys/
2016/12/11 12:09:12.182156 [INFO ] rollback: starting rollback manager
2016/12/11 12:09:12.218527 [INFO ] core: post-unseal setup complete
2016/12/11 12:09:12.218733 [INFO ] core/startClusterListener: starting listener
2016/12/11 12:09:12.218899 [INFO ] core/startClusterListener: serving cluster requests: cluster_listen_address=[::]:8201
2016/12/11 12:09:12.228888 [INFO ] core: root token generated
2016/12/11 12:09:12.228905 [INFO ] core: pre-seal teardown starting
2016/12/11 12:09:12.228911 [INFO ] core/stopClusterListener: stopping listeners
2016/12/11 12:09:12.228921 [INFO ] core/startClusterListener: shutting down listeners
2016/12/11 12:09:12.724179 [INFO ] core/startClusterListener: listeners successfully shut down
2016/12/11 12:09:12.724209 [INFO ] core/stopClusterListener: success
2016/12/11 12:09:12.724225 [INFO ] rollback: stopping rollback manager
2016/12/11 12:09:12.724250 [INFO ] core: pre-seal teardown complete

Este link pode ajudar. Requer conexão com a Internet em funcionamento para docker run

score 0 · Answer 2

Então eu encontrei uma solução de trabalho. Uma configuração de trabalho com i. um nó cônsul, ii. uma instância do vault que fala com ele iii. a capacidade de se conectar ao Vault e gerar tokens iniciais Uneal e raiz.

A) Com este dockerfile , eu posso i. docker-compose build && docker-compose up .

B) Em outro shell, eu posso conectar com um $ docker exec -i -t gently_vault_1 /bin/sh .

C) E então, nesse shell, simplesmente execute vault init .

/ # vault init
Unseal Key 1: asdf...
Unseal Key 2: qwer...
Unseal Key 3: zxcv...
Unseal Key 4: piou...
Unseal Key 5: lkjh...
Initial Root Token: mbnv...

Vault initialized with 5 keys and a key threshold of 3. Please
securely distribute the above keys. When the Vault is re-sealed,
restarted, or stopped, you must provide at least 3 of these keys
to unseal it again.

Vault does not store the master key. Without at least 3 keys,
your Vault will remain permanently sealed.