问题标签 [vault]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
0 回答
137 浏览

kubernetes - Hashicorp Vault 记录输出租约资源完成和撤销的租约 ID

我们在 k8s 中运行 1.5.4 的 Vault,日志输出如下:

2021-03-08T21:28:04.326Z [INFO] 到期:撤销租约:lease_id=auth/approle/login/sdvsvsvesx086bacsdcscse798ea050eba3xscscsczxacsc0af```

请让我知道我们是否必须采取任何措施来消除这些消息。谢谢。

0 投票
1 回答
300 浏览

kubernetes - 如何将 Vault 中的 Secret 传递给 imagePullSecrets 以访问 Kubernetes 中私有注册表中的图像

我在 Kubernetes 的 Vault 中创建了一个 Secret,而不是使用 K8s API。并且想使用 Vault 中的 Secret 从私有注册表中提取图像。我无法找到这样做的方法。以下是示例代码,假设我使用 Deployment 访问 Vault 的所有标签。

0 投票
0 回答
304 浏览

user-interface - 无法将 Vault UI 放入 https

我尝试使用 CRC OpenShift 4.7 和 helm3 运行 Vault,但是当我尝试在 https 中启用 UI 时遇到了一些问题。

添加 hashcorp 回购:

安装最新版本的 Vault :

然后我跑oc get pods

我使用 vault-0 pod 运行交互式 shell 会话:

然后我初始化 Vault :

导出令牌:

开封保险柜:

我检查豆荚:

  我可以在没有https的情况下获得 UI :

在 OpenShift 控制台中,我切换到管理员模式,这就是我所做的:

  • 网络部分 - 路由 > 创建路由
  • 名称:保险库路线
  • 主机名:192.168.130.11
  • 小路 :
  • 服务:保险库
  • 目标端口:8200 -> 8200 (TCP)

现在,如果我检查 URL:http://192.168.130.11/ui

图片

用户界面可用。

 

为了启用 https,我按照这里的步骤操作:

https://www.vaultproject.io/docs/platform/k8s/helm/examples/standalone-tls

但是我已经将K8S命令更改为OpenShift命令

然后 :

然后创建csr.conf文件:

创建企业社会责任

创建文件 ** csr.yaml

将 CSR 发送到 OpenShfit :

批准企业社会责任:

检索证书:

将证书写入文件:

检索 Openshift CA:

将密钥、证书和 OpenShift CA 存储到 Kubernetes 机密中:

命令oc get secret | grep vault

oc edit cm vault-config使用以下命令编辑我的 Vault-config :

编辑我的 statefulset 的VolumeMounstvolumesADDR部分:

我删除了我的 pod 以考虑我的所有更改

和...

Vault-project-0 在 0/1 上但正在运行。如果我描述豆荚:

如果认为我错过了什么,但我不知道是什么......

有人告诉我如何使用 openshift 为 Vault UI 启用 https 吗?

0 投票
1 回答
82 浏览

node.js - 如何为 HarshiCorp Vault 生成 role_id 和 secret_id

我正在开发一个使用 Vault 的应用程序。

现在,保管库需要传递 Role_IdSecret_Id以获取密钥的值。

这些 role_id 和 secret_id 都保存在环境变量中。

我不知道如何从 HarshiCorp Vault 获取/检索这些角色和秘密 ID。

我打开了保险库的 UI,但我不知道如何生成这两个值。

任何人都可以提供步骤将很棒!

0 投票
0 回答
122 浏览

hashicorp-vault - 如何编写允许在 Hashicorp Vault 中删除策略的策略

我正在尝试编写一个策略,允许删除 Hashicorp Vault 中存在的策略。

目前,我正在尝试一种超级广泛的方法来获得这样做的权利。之后我当然会减少权利。

delete_policy.hcl 看起来像:

之后,我使用此策略创建一个令牌,如下所示:

登录并执行删除结果如下:

我在这里错过了某个人吗?

0 投票
0 回答
65 浏览

hashicorp-vault - 即使使用根令牌,Hashicorp Vault 也不允许我删除策略

我正在尝试删除策略。

使用根令牌登录后,我执行以下操作:

我的配置文件如下所示:

有些东西似乎完全不对,因为在 UI 中使用根令牌后,我也只看到了这个:

0 投票
1 回答
746 浏览

python-3.x - 递归地将秘密从一个 VAULT 路径复制到另一个

我正在尝试将所有机密以及子文件夹从一个VAULT路径复制到另一个。例子:

(注意:上面的源路径包含子文件夹,例如 job1、job2、job3...,所有这些子文件夹都以键值对的形式包含各自的秘密)

我可以手动将每个秘密复制到目标文件夹,但想知道任何代码片段都可以帮助我实现这一目标。就像递归地将所有秘密以及相应的子文件夹复制到目标路径一样。

0 投票
2 回答
923 浏览

hashicorp-vault - 保险库(hashicorp)向现有用户/令牌添加新策略

我创建了一个带有策略的用户:

现在我想为令牌添加策略。我该怎么做?

或者我创建了用户:

现在我想向用户添加一个策略:

但一切都没有改变。

0 投票
2 回答
305 浏览

mysql - Spring boot MariaDB Vault 用户名凭据在启动期间不可用

问题陈述: java.sql.SQLSyntaxErrorException: 无法连接到地址=(host=127.0.0.1)(port=3306)(type=master) : (conn=1058) Access denied for user ''@'localhost' to database 'my-db' 用户在启动期间不可用。

保险柜配置:

我不得不提到主机@localhost,但在测试mysql命令时我无法连接到mysql。

看来 Vault 的配置是正确的。

应用程序.yml

聚甲醛:

依赖项:

在保险库中,我创建了一个秘密,本质上是使用用户名和密码创建一个 KV,如上面的 application.yml 所示。如果我像这样通过:

然后应用程序干净启动,我可以调用 API 来获取用户列表。但这不是它应该的方式。由于用户名和密码是动态生成的,并且必须由应用程序使用。

似乎我缺少一些配置,因为 Spring Boot 应用程序可以识别保险库并且可以与之通信,只是它无法找到读取动态凭据的方法。

0 投票
0 回答
149 浏览

mysql - 将数据写入数据库/配置的 Vault 错误

将数据写入数据库/config/my-db-name 时出错:发出 API 请求时出错。

URL:PUT http://localhost:8200/v1/database/config/my-db-name 代码:404。错误:

  • 路由 'database/config/my-db-name' 没有处理程序

它一直在工作,直到发生了一些事情并且它停止了工作。

我可以看到在 ui 上创建的数据库,但是也无法读取凭据。它也不让我删除数据库并重新开始。