Настройка Vault
HashiCorp Vault — это система для безопасного хранения и управления секретами: паролями, API-ключами, сертификатами и другими конфиденциальными данными. В этой инструкции показано, как выполнить первичную настройку Vault после установки, инициализировать хранилище и разблокировать его для работы.
Переход в панель Vault и инициализация
После установки Vault на ваш сервер перейдите по адресу административной панели, отправленному вам в письме. После установки адрес имеет такой формат http://{ip ванешго серва}:8200.
В открывшемся окне нужно настроить параметры разделения root-ключа (мастер-ключа Vault). Это важный шаг, который определяет, как будет защищён доступ к Vault в случае чрезвычайной ситуации.
Рекомендуемые значения (стандартные и безопасные для большинства случаев):
- Key shares — укажите 5. Это количество частей, на которое будет разбит root-ключ. Каждая часть (share) — это отдельный ключ разблокировки.
- Key threshold — укажите 3. Это минимальное количество ключей, которое потребуется собрать, чтобы восстановить root-ключ и разблокировать Vault. Если у вас нет настроенного PGP-ключа, галочки можно снять — но лучше использовать PGP.
Сохранение root-токена и ключей восстановления
После нажатия кнопки Initialize на экране перед вами отобразятся самые важные данные:
- Initial root token — главный административный токен (в жёлтом блоке сверху)
- Key 1
- Key 2
- Key 3
- Key 4
- Key 5
Внимание! Эти данные показываются ТОЛЬКО ОДИН РАЗ. Если вы обновите страницу, закроете вкладку или нажмёте кнопку без сохранения, ключи и токен исчезнут навсегда, и восстановить Vault будет невозможно.
Что нужно сделать прямо сейчас:
- Нажмите кнопку Download keys внизу экрана — скачается файл vault-keys.json со всеми данными.
- Для надёжности нажмите на иконку глаза напротив каждого поля и скопируйте значения вручную.
Как хранить (обязательно сделайте это правильно):
- Распечатайте все 5 ключей и Initial root token на бумаге.
- Храните копии в разных безопасных местах (разные сейфы, разные люди, разные города).
- Можно также сохранить в менеджер паролей (Bitwarden, KeePass и т.д.).
Как только убедитесь, что всё надёжно сохранено, нажмите синюю кнопку «Continue to Unseal».
Разблокировка Vault (Unseal)
Вы успешно создали хранилище Vault!
Теперь самое важное: Vault создан, но пока запечатан (sealed). Чтобы им можно было пользоваться, его нужно разблокировать с помощью 3 из 5 ключей разблокировки (Key 1, Key 2, Key 3), которые вы сохранили на предыдущем шаге.
- Возьмите один из сохранённых ключей (например, Key 1).
- Вставьте его полностью в поле Unseal Key Portion.
- Нажмите синюю кнопку «Unseal».
- Повторите это ещё два раза с двумя другими ключами.
Как только введёте третий ключ - Vault-хранилище разблокируется, и нужно будет ввести только root токен для входа в панель администратора.
Вы успешно вошли в панель управления Vault. Vault полностью настроен, инициализирован, разблокирован и работает под вашим root-токеном. Вы можете хранить пароли, сертификаты, API-ключи и любые другие секреты.
