Репозиторий позволит вам получить полностью работоспособный vault в режиме HA, с бэкэндом для etcd, также в режиме HA. С одной стороны, эта среда является чисто экспериментальной и ни в коем случае не должна использоваться в проде. С другой стороны, он развертывает вам vault точно так, как оно должно быть в проде: по крайней мере, 3 узла кластера для соответствия требованиям affinity во имя отказоустойчивости. Вы можете использовать данный стенд, чтобы практиковать любые упражнения с vault, включая и стресс-шатание с выключением nod и контролем того, как он будет себя вести.
Хоть я и рассказал о том что данный стенд демонстрирует практически продакшн-реди окружение, вы должны учитывать что
Предупреждение, относящееся ко всем пунктам касательно установки софта: СТАВЬТЕ ТОЛЬКО АКТУАЛЬНЫЕ ВЕРСИИ С ОФИЦИАЛЬНЫХ САЙТОВ
Это важно, потому что в репозиториях убунты\дебиана находятся сильно устаревшие пакеты и вагрант из «apt-get» не будет работать с последней версией virtulabox. Могут также не сработать какие-то автоматизации или указания параметров, потому что «хз почему», вы только потеряете время на то, чтобы разобраться что не работает.
Я тестировал стенд на версиях vbox 6.1.18, vagrant 2.2.14, ansible 2.10.*
vagrant up --provision
. Будет очень долго, но возможно сработает.Если вы видите следующую картинку, значит стенд был успешно развернут (failed=0). В случае неудачи разрешается начать вторую попытку развернуть стенд с помощью команды vagrant up —provision. Эта автоматизация идемпотентна и позволяет запускать очередь стенда любое количество раз, включая прерывание в любом месте (кроме, возможно, установки пакетов, тогда вам придется удалять файлы .lock ручками).
PLAY RECAP *********************************************************************
master : ok=35 changed=27 unreachable=0 failed=0 skipped=0 rescued=0 ignored=0
node-1 : ok=13 changed=11 unreachable=0 failed=0 skipped=0 rescued=0 ignored=0
node-2 : ok=13 changed=11 unreachable=0 failed=0 skipped=0 rescued=0 ignored=0
node-3 : ok=13 changed=11 unreachable=0 failed=0 skipped=0 rescued=0 ignored=0
После того как кластер установился вам необходимо выполнить первичную инициализацию vault
127.0.0.1 vault.local
Далее нам необходимо распечатать хранилище. Сделать это нужно в каждом из 3 контейнеров введя в каждом из них 3 раза Unseal key. У вас всего 5 ключей, для распечатывания достаточно любые 3. Ключи для одного контейнера должны быть разными, но вполне можно использовать одни и те же для распечатывания в разных контейнеров. Далее пример для vault-0, то же самое надо сделать для vault-1 и vault-2:
kubectl -n vault exec -ti vault-0 sh
vault operator unseal # ввести любой из Unseal key
vault operator unseal # ввести любой из Unseal key, кроме введенного на предыдущем шаге
vault operator unseal # ввести любой из Unseal key, кроме введенного на предыдущих шагах
# если после 3 операции мы увидели "Sealed false", считаем что для данного контейнера все готово, можно выходить
exit
Как только вы закончите распечатывать все контейнеры, можно считать что стенд настроен и готов к работе, но желательно провести несколько проверок которые указаны ниже.
kubectl -n vault get po
результат должен быть вот таким:NAME READY STATUS RESTARTS AGE
etcd-vault-0 1/1 Running 0 37m
etcd-vault-1 1/1 Running 0 37m
etcd-vault-2 1/1 Running 0 37m
vault-0 1/1 Running 2 37m
vault-1 1/1 Running 2 37m
vault-2 1/1 Running 2 37m
vault-agent-injector-784ccfc788-ltdt4 1/1 Running 0 37m
vault.local:8080
. В открывшейся странице ввести в качестве пароля root token. Если вас успешно авторизовало — стенд готов к работе.Unseal Key 1: OgDmp2lipCFAgXKZGkZa68AAAdw/B/AfNJroNQ5dzd+3
Unseal Key 2: lmuvE4FmdsCMKNBfg3sBhV5FeoyaaoC6WOfZRvHwgLPo
Unseal Key 3: 6n1IAYi5dRd0rYk1Vw7hOmdDKJhLH358EOsAO2iarhGP
Unseal Key 4: LaAk70GkOHo/gKWqBVSJq2o1f6LV2zuo/Aj+5qrIz4m6
Unseal Key 5: 4yfNK2VqJxTJd80g9I6FoNkpL+Zko62TUrKd355rRub2
Initial Root Token: s.Gr89FEDaONFk4o6rE52BBKuZ
Выполнить на всех нодах:
systemctl stop kubelet
systemctl stop docker
iptables --flush
iptables -tnat --flush
systemctl start kubelet
systemctl start docker
Поскольку etcd сильно зависит от задержек ввода-вывода, целесообразно использовать SSD-диски в качестве хранилища.
Чтобы взломать сеть Wi-Fi с помощью Kali Linux, вам нужна беспроводная карта, поддерживающая режим мониторинга…
Работа с консолью считается более эффективной, чем работа с графическим интерфейсом по нескольким причинам.Во-первых, ввод…
Конечно, вы также можете приобрести подписку на соответствующую услугу, но наличие SSH-доступа к компьютеру с…
С тех пор как ChatGPT вышел на арену, возросла потребность в поддержке чата на базе…
Если вы когда-нибудь окажетесь в ситуации, когда вам нужно взглянуть на спектр беспроводной связи, будь…
Elastic Security стремится превзойти противников в инновациях и обеспечить защиту от новейших технологий злоумышленников. В…