Einführung
Tresor ist ein Managementsystem für sensible Informationen. Es speichert, kontrolliert und schützt die Daten, die Sie für Authentifizierungs- oder Autorisierungsprozesse verwenden.
Vault beschränkt und verwaltet den Zugriff auf „sensible Geheimnisse“, einschließlich Kennwörter, Zertifikate oder APIs. Es bietet auch Datenverschlüsselung, On-Demand-Geheimnisse und Widerruf. In diesem Tutorial erfahren Sie, wie Sie Vault unter Ubuntu 18.04 installieren und konfigurieren sowie Consul einrichten.
Voraussetzungen
- Ubuntu 18.04
- Ein Benutzerkonto mit sudo Privilegien
- Zugriff auf ein Terminalfenster/eine Befehlszeile (Strg-Alt-T)
Schritte zum Installieren von Vault unter Linux Ubuntu 18.04
Schritt 1:Consul installieren
Consul ist ein hochgradig skalierbares und verteiltes Diensterkennungs- und Konfigurationssystem. Sie können Consul Storage als Back-End für Vault koordinieren, um sicherzustellen, dass die Software hochverfügbar und fehlertolerant ist.
Der erste Schritt besteht darin, Consul auf Ubuntu 18.04 zu installieren und zu konfigurieren.
1. Navigieren Sie zunächst zur offiziellen Consul-Webseite und klicken Sie auf Herunterladen Symbol.
2. Der Browser führt Sie dann zur Download-Seite mit allen verfügbaren Paketen. Suchen Sie nach dem Abschnitt Linux und klicken Sie mit der rechten Maustaste auf die 32- oder 64-Bit-Version. Kopieren Sie die Link-Position, da Sie sie im nächsten Schritt benötigen.
3. Öffnen Sie das Terminal (Strg + Alt +T ) und verwenden Sie wget
Befehl zum Herunterladen des Consul-Pakets:
wget https://releases.hashicorp.com/consul/1.6.1/consul_1.6.1_linux_amd64.zip
4. Als nächstes entpacken Sie das Paket mit dem Befehl:
unzip consul_1.6.1_linux_amd64.zip
5. Verschieben Sie dann das Installationspaket, indem Sie den folgenden Befehl eingeben:
sudo mv consul /usr/bin
6. Beenden Sie die Überprüfung der Installation mit dem Befehl:
consul
Die Ausgabe sollte alle verfügbaren Consul-Befehle auflisten, wie im Bild unten:
Schritt 2:Consul konfigurieren
1. Erstellen und öffnen Sie eine neue Datei mit:
sudo nano /etc/system/system/consul.service
2. Fügen Sie den folgenden Inhalt zum consul.service hinzu Datei:
[Unit]
Description=Consul
Documentation=https://www.consul.io/
[Service]
ExecStart=/usr/bin/consul agent –server –ui –data-dir=/temp/consul –bootstrap-expect=1 –node=vault –bind=IP.ADDRESS.OF.SERVER –config-dir=/etc/consul.d/
ExecReload=/bin/kill –HUP $MAINPID
LimitNOFILE=65536
[Install]
WantedBy=multi-user.target
3. Speichern und beenden die Datei.
4. Fahren Sie dann mit dem Erstellen eines Konfigurationsverzeichnisses und dem Hinzufügen einer neuen .json fort Datei darin:
sudo mkdir /etc/consul.d
nano /etc/consul.d/ui.json
5. Um die Benutzeroberfläche so einzurichten, dass sie sich mit allem verbindet, fügen Sie der neu erstellten Datei den folgenden Inhalt hinzu:
{
“addresses”: {
“http”: “0.0.0.0”
}
}
6. Stellen Sie sicher, dass Sie speichern, bevor Sie die Datei verlassen.
7. Damit die Änderungen wirksam werden, müssen Sie den Consul-Dienst neu laden, starten und aktivieren.
Neu laden das System mit dem Befehl:
systemctl daemon-reload
Führen Sie den Befehl zum Starten aus der Dienst:
systemctl start consul
Dann aktivieren es mit:
systemctl enable consul
Überprüfen Sie mit dem folgenden Befehl, ob der Dienst betriebsbereit ist:
journalctl –f –u consul
Anschließend öffnen Sie einen Webbrowser und navigieren zur URL:
vault.admintome.lab:8500/ui/
Dies öffnet die Online-Verwaltungsplattform von HashiCorp und zeigt verfügbare Dienste an. Wenn Sie consul als Service sehen, haben Sie die Software erfolgreich eingerichtet.
Schritt 3:Vault auf Ubuntu installieren
Wenn Consul eingerichtet ist, fahren Sie mit der Installation von Vault auf Ihrem Ubuntu 18.04-System fort.
1. Gehen Sie zur offiziellen Website von Vault und klicken Sie auf Herunterladen , und suchen Sie das verfügbare Paket für Linux-Distributionen.
2. Klicken Sie mit der rechten Maustaste auf Herunterladen Symbol und kopieren Sie die Linkposition.
3. Laden Sie das Paket mit dem Befehl wget herunter, indem Sie den im vorherigen Schritt kopierten Link-Speicherort einfügen:
wget https://releases.hashicorp.com/vault/1.2.3/vault_1.2.3_linux_amd64.zip
4. Als nächstes entpacken Sie das Paket mit dem folgenden Befehl:
unzip vault_1.2.3_linux_amd64.zip
5. Verschieben Sie dann das Paket in das Verzeichnis /usr/bin:
mv vault /usr/bin
6. Überprüfen Sie die Installation mit dem folgenden Befehl:
vault
Als Ergebnis sollte eine Liste aller verfügbaren Tresorbefehle angezeigt werden, wie in der Abbildung unten:
Schritt 4:Vault konfigurieren
1. Erstellen Sie zunächst ein Konfigurationsverzeichnis und eine darin enthaltene Datei:
sudo nano /etc/vault/config.hcl
2. Geben oder fügen Sie dann den folgenden Inhalt in die Datei ein:
storage “consul” {
address = “127.0.0.1:8500”
path = “vault/”
}
listener “tcp” {
address = ”IP.ADDRESS.OF.SERVER” [or “0.0.0.0” to listen to everything]
tls_disable = 1
}
ui = true
3. Speichern und beenden Sie die Datei erneut.
4. Als nächstes müssen Sie eine UNI-Datei (.uni )-Datei, eine häufig verwendete Erweiterung für Konfigurationsdateien. Der einfachste Weg, dies zu tun, besteht darin, die Konfigurationsdatei von Consul zu kopieren und die Spezifikationen an Vault anzupassen.
Duplizieren Sie die vorhandene Dienstkonfigurationsdatei unter einem neuen Namen mit dem Befehl:
cp /etc/system.system/consul.service /etc/system/system/vault.service
5. Öffnen Sie den neuen vault.service Datei:
vim /etc/system/system/vault.service
6. Stellen Sie sicher, dass der Inhalt der Datei mit dem unten stehenden übereinstimmt. Im Wesentlichen müssen Sie alle Consul-spezifischen Werte durch die entsprechenden Vault-Werte ersetzen.
[Unit]
Description=Vault
Documentation=https://www.vault.io/
[Service]
ExecStart=/usr/bin/vault server –config=/etc/vault/config.hcl
ExecReload=/bin/kill –HUP $MAINPID
LimitNOFILE=65536
[Install]
WantedBy=multi-user.target
7. Nachdem Sie die Datei gespeichert haben, kehren Sie zur Terminal-Shell zurück und starten Sie den Dienst mit den folgenden Befehlen:
systemctl daemon-reload
systemctl start vault
systemctl enable vault
systemctl status vault
Der Status sollte anzeigen, dass der Dienst aktiv (wird ausgeführt) ist .
8. Stellen Sie mit einem Vault-Client mit dem folgenden Befehl eine Verbindung zum laufenden Dienst her:
export VAULT_ADDR=http://IP.ADDRESS.OF.VAULT:CLIENT
Schritt 5:Vault initialisieren
Da Sie Consul bereits als Back-End-Speicher installiert haben, müssen Sie Vault jetzt manuell initialisieren, damit es ordnungsgemäß funktioniert.
1. Führen Sie zunächst den folgenden Befehl aus, um den aktuellen Vault-Status anzuzeigen:
vault status
Wie im obigen Bild zeigt die Ausgabe, dass Vault versiegelt ist und nicht initialisiert noch.
2. Um seinen Status zu ändern, benötigen Sie drei (3) Schlüssel, die Sie finden können, indem Sie den folgenden Befehl ausführen:
vault operator init
Das Terminal gibt fünf (5) Entsiegelungsschlüssel zurück sowie ein Initial Root Token . Außerdem wird erklärt, dass Sie jedes Mal, wenn das Vault-Paket wieder versiegelt, neu gestartet oder gestoppt wird, mindestens drei (3) dieser Schlüssel angeben müssen.
Wenn Sie die angegebenen Schlüssel nicht bereitstellen, bleibt Vault versiegelt. Kopieren Sie daher alle fünf Schlüssel und fügen Sie sie in eine separate Datei ein.
3. Sobald Sie mindestens 3 Entsiegelungsschlüssel haben, führen Sie den Befehl aus:
vault operator unseal
4. Kopieren Sie den ersten Schlüssel, fügen Sie ihn ein und drücken Sie die Eingabetaste.
5. Wiederholen Sie den gleichen Vorgang für Unseal Key 2 und 3.
6. Der letzte Schritt zum Entsiegeln von Vault besteht darin, den folgenden Befehl mit dem Initial Root Token (aufgelistet mit den Entsiegelungsschlüsseln) auszuführen:
vault login [root_token]
7. Überprüfen Sie nun erneut den Status, um sicherzustellen, dass die Software initialisiert wurde:
vault status