2.9 KiB
2.9 KiB
Vault 配置信息
概述
Vault 已成功迁移到 Nomad 管理下,运行在 ch4、ash3c、warden 三个节点上,支持高可用部署。
访问信息
Vault 服务地址
- 主节点 (Active):
http://100.117.106.136:8200(ch4 节点) - 备用节点 (Standby):
http://100.116.80.94:8200(ash3c 节点) - 备用节点 (Standby):
http://100.122.197.112:8200(warden 节点) - Web UI:
http://100.117.106.136:8200/ui
认证信息
- Unseal Key:
/iHuxLbHWmx5xlJhqaTUMniiRc71eO1UAwNJj/lDWow= - Root Token:
hvs.dHtno0cCpWtFYMCvJZTgGmfn
使用方法
环境变量设置
export VAULT_ADDR=http://100.117.106.136:8200
export VAULT_TOKEN=hvs.dHtno0cCpWtFYMCvJZTgGmfn
基本命令
# 检查 Vault 状态
vault status
# 如果 Vault 被密封,使用 unseal key 解封
vault operator unseal /iHuxLbHWmx5xlJhqaTUMniiRc71eO1UAwNJj/lDWow=
# 访问 Vault CLI
vault auth -method=token token=hvs.dHtno0cCpWtFYMCvJZTgGmfn
存储位置
Consul KV 存储
- Unseal Key:
vault/unseal-key - Root Token:
vault/root-token - 配置:
vault/config/dev
本地备份
- 备份目录:
/root/vault-backup/ - 初始化脚本:
/root/mgmt/scripts/vault-init.sh
部署信息
Nomad 作业
- 作业名称:
vault-cluster-nomad - 作业文件:
/root/mgmt/nomad-jobs/vault-cluster.nomad - 部署节点: ch4, ash3c, warden
- 并行部署: 3 个节点同时运行
配置特点
- 存储后端: Consul
- 高可用: 启用
- 密封类型: Shamir
- 密钥份额: 1
- 阈值: 1
故障排除
如果 Vault 被密封
# 1. 检查状态
vault status
# 2. 使用 unseal key 解封所有节点
# ch4 节点
export VAULT_ADDR=http://100.117.106.136:8200
vault operator unseal /iHuxLbHWmx5xlJhqaTUMniiRc71eO1UAwNJj/lDWow=
# ash3c 节点
export VAULT_ADDR=http://100.116.80.94:8200
vault operator unseal /iHuxLbHWmx5xlJhqaTUMniiRc71eO1UAwNJj/lDWow=
# warden 节点
export VAULT_ADDR=http://100.122.197.112:8200
vault operator unseal /iHuxLbHWmx5xlJhqaTUMniiRc71eO1UAwNJj/lDWow=
# 3. 验证解封状态
vault status
如果忘记认证信息
# 从 Consul KV 获取
consul kv get vault/unseal-key
consul kv get vault/root-token
重启 Vault 服务
# 重启 Nomad 作业
nomad job restart vault-cluster-nomad
# 或重启特定分配
nomad alloc restart <allocation-id>
安全注意事项
⚠️ 重要:
- 请妥善保管 Unseal Key 和 Root Token
- 不要在生产环境中使用 Root Token 进行日常操作
- 建议创建具有适当权限的用户和策略
- 定期轮换密钥和令牌
更新历史
- 2025-10-04: 成功迁移 Vault 到 Nomad 管理
- 2025-10-04: 重新初始化 Vault 并获取新的认证信息
- 2025-10-04: 优化部署策略,支持三节点并行运行
最后更新: 2025-10-04 维护者: ben