# Vault 配置信息

## 概述
Vault 已成功迁移到 Nomad 管理下，运行在 ch4、ash3c、warden 三个节点上，支持高可用部署。

## 访问信息

### Vault 服务地址
- **主节点 (Active)**: `http://100.117.106.136:8200` (ch4 节点)
- **备用节点 (Standby)**: `http://100.116.80.94:8200` (ash3c 节点)
- **备用节点 (Standby)**: `http://100.122.197.112:8200` (warden 节点)
- **Web UI**: `http://100.117.106.136:8200/ui`

### 认证信息
- **Unseal Key**: `/iHuxLbHWmx5xlJhqaTUMniiRc71eO1UAwNJj/lDWow=`
- **Root Token**: `hvs.dHtno0cCpWtFYMCvJZTgGmfn`

## 使用方法

### 环境变量设置
```bash
export VAULT_ADDR=http://100.117.106.136:8200
export VAULT_TOKEN=hvs.dHtno0cCpWtFYMCvJZTgGmfn
```

### 基本命令
```bash
# 检查 Vault 状态
vault status

# 如果 Vault 被密封，使用 unseal key 解封
vault operator unseal /iHuxLbHWmx5xlJhqaTUMniiRc71eO1UAwNJj/lDWow=

# 访问 Vault CLI
vault auth -method=token token=hvs.dHtno0cCpWtFYMCvJZTgGmfn
```

## 存储位置

### Consul KV 存储
- **Unseal Key**: `vault/unseal-key`
- **Root Token**: `vault/root-token`
- **配置**: `vault/config/dev`

### 本地备份
- **备份目录**: `/root/vault-backup/`
- **初始化脚本**: `/root/mgmt/scripts/vault-init.sh`

## 部署信息

### Nomad 作业
- **作业名称**: `vault-cluster-nomad`
- **作业文件**: `/root/mgmt/nomad-jobs/vault-cluster.nomad`
- **部署节点**: ch4, ash3c, warden
- **并行部署**: 3 个节点同时运行

### 配置特点
- **存储后端**: Consul
- **高可用**: 启用
- **密封类型**: Shamir
- **密钥份额**: 1
- **阈值**: 1

## 故障排除

### 如果 Vault 被密封
```bash
# 1. 检查状态
vault status

# 2. 使用 unseal key 解封所有节点
# ch4 节点
export VAULT_ADDR=http://100.117.106.136:8200
vault operator unseal /iHuxLbHWmx5xlJhqaTUMniiRc71eO1UAwNJj/lDWow=

# ash3c 节点
export VAULT_ADDR=http://100.116.80.94:8200
vault operator unseal /iHuxLbHWmx5xlJhqaTUMniiRc71eO1UAwNJj/lDWow=

# warden 节点
export VAULT_ADDR=http://100.122.197.112:8200
vault operator unseal /iHuxLbHWmx5xlJhqaTUMniiRc71eO1UAwNJj/lDWow=

# 3. 验证解封状态
vault status
```

### 如果忘记认证信息
```bash
# 从 Consul KV 获取
consul kv get vault/unseal-key
consul kv get vault/root-token
```

### 重启 Vault 服务
```bash
# 重启 Nomad 作业
nomad job restart vault-cluster-nomad

# 或重启特定分配
nomad alloc restart <allocation-id>
```

## 安全注意事项

⚠️ **重要**: 
- 请妥善保管 Unseal Key 和 Root Token
- 不要在生产环境中使用 Root Token 进行日常操作
- 建议创建具有适当权限的用户和策略
- 定期轮换密钥和令牌

## 更新历史

- **2025-10-04**: 成功迁移 Vault 到 Nomad 管理
- **2025-10-04**: 重新初始化 Vault 并获取新的认证信息
- **2025-10-04**: 优化部署策略，支持三节点并行运行

---
*最后更新: 2025-10-04*
*维护者: ben*