121 lines
2.9 KiB
Markdown
121 lines
2.9 KiB
Markdown
# Vault 配置信息
|
|
|
|
## 概述
|
|
Vault 已成功迁移到 Nomad 管理下,运行在 ch4、ash3c、warden 三个节点上,支持高可用部署。
|
|
|
|
## 访问信息
|
|
|
|
### Vault 服务地址
|
|
- **主节点 (Active)**: `http://100.117.106.136:8200` (ch4 节点)
|
|
- **备用节点 (Standby)**: `http://100.116.80.94:8200` (ash3c 节点)
|
|
- **备用节点 (Standby)**: `http://100.122.197.112:8200` (warden 节点)
|
|
- **Web UI**: `http://100.117.106.136:8200/ui`
|
|
|
|
### 认证信息
|
|
- **Unseal Key**: `/iHuxLbHWmx5xlJhqaTUMniiRc71eO1UAwNJj/lDWow=`
|
|
- **Root Token**: `hvs.dHtno0cCpWtFYMCvJZTgGmfn`
|
|
|
|
## 使用方法
|
|
|
|
### 环境变量设置
|
|
```bash
|
|
export VAULT_ADDR=http://100.117.106.136:8200
|
|
export VAULT_TOKEN=hvs.dHtno0cCpWtFYMCvJZTgGmfn
|
|
```
|
|
|
|
### 基本命令
|
|
```bash
|
|
# 检查 Vault 状态
|
|
vault status
|
|
|
|
# 如果 Vault 被密封,使用 unseal key 解封
|
|
vault operator unseal /iHuxLbHWmx5xlJhqaTUMniiRc71eO1UAwNJj/lDWow=
|
|
|
|
# 访问 Vault CLI
|
|
vault auth -method=token token=hvs.dHtno0cCpWtFYMCvJZTgGmfn
|
|
```
|
|
|
|
## 存储位置
|
|
|
|
### Consul KV 存储
|
|
- **Unseal Key**: `vault/unseal-key`
|
|
- **Root Token**: `vault/root-token`
|
|
- **配置**: `vault/config/dev`
|
|
|
|
### 本地备份
|
|
- **备份目录**: `/root/vault-backup/`
|
|
- **初始化脚本**: `/root/mgmt/scripts/vault-init.sh`
|
|
|
|
## 部署信息
|
|
|
|
### Nomad 作业
|
|
- **作业名称**: `vault-cluster-nomad`
|
|
- **作业文件**: `/root/mgmt/nomad-jobs/vault-cluster.nomad`
|
|
- **部署节点**: ch4, ash3c, warden
|
|
- **并行部署**: 3 个节点同时运行
|
|
|
|
### 配置特点
|
|
- **存储后端**: Consul
|
|
- **高可用**: 启用
|
|
- **密封类型**: Shamir
|
|
- **密钥份额**: 1
|
|
- **阈值**: 1
|
|
|
|
## 故障排除
|
|
|
|
### 如果 Vault 被密封
|
|
```bash
|
|
# 1. 检查状态
|
|
vault status
|
|
|
|
# 2. 使用 unseal key 解封所有节点
|
|
# ch4 节点
|
|
export VAULT_ADDR=http://100.117.106.136:8200
|
|
vault operator unseal /iHuxLbHWmx5xlJhqaTUMniiRc71eO1UAwNJj/lDWow=
|
|
|
|
# ash3c 节点
|
|
export VAULT_ADDR=http://100.116.80.94:8200
|
|
vault operator unseal /iHuxLbHWmx5xlJhqaTUMniiRc71eO1UAwNJj/lDWow=
|
|
|
|
# warden 节点
|
|
export VAULT_ADDR=http://100.122.197.112:8200
|
|
vault operator unseal /iHuxLbHWmx5xlJhqaTUMniiRc71eO1UAwNJj/lDWow=
|
|
|
|
# 3. 验证解封状态
|
|
vault status
|
|
```
|
|
|
|
### 如果忘记认证信息
|
|
```bash
|
|
# 从 Consul KV 获取
|
|
consul kv get vault/unseal-key
|
|
consul kv get vault/root-token
|
|
```
|
|
|
|
### 重启 Vault 服务
|
|
```bash
|
|
# 重启 Nomad 作业
|
|
nomad job restart vault-cluster-nomad
|
|
|
|
# 或重启特定分配
|
|
nomad alloc restart <allocation-id>
|
|
```
|
|
|
|
## 安全注意事项
|
|
|
|
⚠️ **重要**:
|
|
- 请妥善保管 Unseal Key 和 Root Token
|
|
- 不要在生产环境中使用 Root Token 进行日常操作
|
|
- 建议创建具有适当权限的用户和策略
|
|
- 定期轮换密钥和令牌
|
|
|
|
## 更新历史
|
|
|
|
- **2025-10-04**: 成功迁移 Vault 到 Nomad 管理
|
|
- **2025-10-04**: 重新初始化 Vault 并获取新的认证信息
|
|
- **2025-10-04**: 优化部署策略,支持三节点并行运行
|
|
|
|
---
|
|
*最后更新: 2025-10-04*
|
|
*维护者: ben*
|