brianshumate.vault

Przegląd Wersje Wgląd

Vault

Status kompilacji Średni czas rozwiązania problemu Procent otwartych problemów

Ta rola Ansible wykonuje podstawową instalację Vault, obejmującą strukturę systemu plików i przykładową konfigurację.

Może również uruchomić minimalny serwer do rozwoju lub oceny albo klaster HA z obsługą Consul w środowisku opartym na Vagrant i VirtualBox. Zobacz README_VAGRANT.md oraz powiązany Vagrantfile po więcej szczegółów na temat ustawienia trybu dewelopera.

Instalacja

Brian Shumates przeniósł tę rolę do @ansible-community/hashicorp-tools. Rola ta znajduje się na GitHubie i oczekuje na poprawienie integracji z Ansible Galaxy. Aby zainstalować tę rolę, utwórz plik roles/requirements.yml w swoim folderze projektu Ansible z następującą zawartością:

- src: https://github.com/ansible-community/ansible-vault.git
  name: ansible-community.ansible-vault
  scm: git
  version: master

Możesz użyć tagu git w atrybucie wersji. Możesz także użyć jej poprzedniej nazwy name: brianshumate.ansible-vault.

Wymagania

Ta rola wymaga Archlinux, AmazonLinux, FreeBSD, Debian lub dystrybucji Linux opartej na RHEL. Może działać z innymi wersjami oprogramowania, ale działa ze szczypelnościami i wersjami:

  • Ansible: 2.8.4
  • Vault: 1.4.0 i nowsze
  • AlmaLinux
    • 8
    • 9
  • AmazonLinux
    • 2
    • 2022
  • ArchLinux
  • CentOS
    • 7
    • 8 stream
    • 9 stream
  • Debian
    • 9 (stretch)
    • 10 (buster)
    • 11 (bullseye)
  • FreeBSD
    • 11
  • RockyLinux
    • 8
    • 9
  • Ubuntu
    • 18.04 (Bionic Beaver)
    • 20.04 (Focal Fossa)
    • 22.04 (Jammy Jellyfish)

Przykro mi, obecnie brak planowanej obsługi dla Windows.

Ostrzeżenie

Domyślnie ta rola może restartować usługę vault podczas odtwarzania (gdy pojawia się zmiana w konfiguracji, zainstalowane/zaktualizowane pakiety OS)

Gdy nie ma automatycznego odblokowania w klastrze, ponowne uruchomienie może prowadzić do sytuacji, w której wszystkie instancje Vault będą zamknięte i klaster będzie niedostępny.

Aby uniknąć tej sytuacji, restart usługi przez playbook może zostać wyłączony przy użyciu zmiennej roli vault_service_restart.

Ustawienie vault_service_restart na false wyłączy restart usługi vault przez playbook. Może być konieczne ręczne uruchomienie usługi, aby załadować wszelkie nowe zainstalowane konfiguracje.

Zmienne roli

Rola definiuje zmienne w defaults/main.yml:

vault_listener_localhost_enable

  • Ustaw to na true, jeśli chcesz zezwolić na nasłuchiwanie vault na localhost
  • Wartość domyślna: false

vault_privileged_install

  • Ustaw to na true, jeśli widzisz błędy uprawnień podczas pobierania i rozpakowywania plików vault. Ten problem może wystąpić, jeśli rola została pobrana przez jednego użytkownika (np. root), a instalacja została przeprowadzona przez innego użytkownika.
  • Wartość domyślna: false

vault_version

  • Wersja do zainstalowania

    • Może być nadpisana zmienną środowiskową VAULT_VERSION
    • Zawiera "+prem", jeśli vault_enterprise_premium=True
    • Zawiera ".hsm", jeśli vault_enterprise_premium_hsm=True

  • Wartość domyślna: 1.5.5

vault_enterprise

  • Ustaw to na true podczas instalacji Vault Enterprise; obecnie nie jest to możliwe jako "tylko zdalna" metoda instalacji
    • Może być nadpisana zmienną środowiskową VAULT_ENTERPRISE
  • Wartość domyślna: false

vault_pkg

  • Nazwa pliku pakietu
  • Wartość domyślna: "vault_{{ vault_version }}_linux_amd64.zip"

vault_enterprise_pkg

  • Nazwa pliku pakietu
  • Wartość domyślna: "vault-enterprise_{{ vault_version }}_{{ vault_os }}_{{ vault_architecture }}.zip"

vault_zip_url

  • URL pobierania pakietu
  • Wartość domyślna: "https://releases.hashicorp.com/vault/{{ vault_version }}/vault_{{ vault_version }}_linux_amd64.zip"
  • Nadpisz tę zmienną, jeśli masz swój zip na hoście wewnętrznym
  • Działa również w instalacjach enterprise

vault_checksum_file_url

  • URL sum SHA
  • Nadpisz tę zmienną, jeśli masz swój plik sha na hoście wewnętrznym
  • Wartość domyślna: "https://releases.hashicorp.com/vault/{{ vault_version }}/vault_{{ vault_version}}_SHA256SUMS"

vault_install_hashi_repo

  • Ustaw to na true, gdy instalujesz Vault za pomocą repozytorium HashiCorp Linux. Gdy jest ustawione, możesz również zdefiniować vault_repository_key_url i vault_repository_url, aby nadpisać domyślny URL klucza GPG dla repozytorium oraz domyślny URL repozytorium używanego.
  • Wartość domyślna: false

vault_rhsm_repo_id

  • Nazwa repozytorium rhsm
  • Ustaw to na nazwę swojego repozytorium rhsm podczas instalacji Vault za pomocą repozytorium RHSM (RedHat Satellite/Foreman itd.). Gdy jest ustawione, upewnij się, że vault_install_hashi_repo jest ustawione na true, aby włączyć instalację z repozytorium. Opcjonalnie również użyj nazwy subskrypcji rhsm za pomocą vault_rhsm_subscription_name.
  • Wartość domyślna: null

vault_rhsm_subscription_name

  • Nazwa subskrypcji rhsm
  • Ustaw nazwę subskrypcji rhsm, aby dołączyć subskrypcję rhsm za pomocą subscription-manager. Gdy jest ustawiona, upewnij się, że vault_install_hashi_repo jest ustawione na true, aby włączyć instalację z repozytorium. I że vault_rhsm_repo_id jest ustawione.
  • Wartość domyślna: null

vault_install_remotely

  • Ustaw to na true, aby pobierać plik binarny Vault z każdego celu zamiast localhost
  • Wartość domyślna: false

vault_shasums

  • Nazwa pliku sum SHA (dołączony dla wygody, a nie do modyfikacji)
  • Wartość domyślna: "vault_{{ vault_version }}_SHA256SUMS"

vault_enterprise_shasums

  • Nazwa pliku sum SHA (dołączony dla wygody, a nie do modyfikacji)
  • Spróbuje pobrać z vault_checksum_file_url, jeśli nie jest obecny w plikach/
  • Wartość domyślna: "vault-enterprise_{{ vault_version }}_SHA256SUMS"

vault_bin_path

  • Ścieżka instalacji binarne
  • Wartość domyślna: /usr/local/bin

vault_config_path

  • Ścieżka pliku konfiguracyjnego
  • Wartość domyślna: /etc/vault.d

vault_use_config_path

  • Użyj "{{ vault_config_path }}", aby skonfigurować vault zamiast "{{ vault_main_config }}"
  • Wartość domyślna: false

vault_plugin_path

  • Ścieżka, z której można ładować wtyczki
  • Wartość domyślna: /usr/local/lib/vault/plugins

vault_plugins_enable

  • Lista wtyczek do włączenia (sprawdź w tasks/plugins, aby zobaczyć wspierane wtyczki).
  • Na przykład: vault_plugins_enable: [ 'acme', 'example' ]
  • Wartość domyślna: []

vault_plugins_src_dir_remote

  • Katalog, w którym umieszczone są tymczasowe pliki zip/wtyczki instalacyjne. Gdy instalacja jest przetwarzana zdalnie.
  • Wartość domyślna: /usr/local/src/vault/plugins

vault_plugins_src_dir_local

  • Katalog, w którym umieszczone są tymczasowe pliki zip/wtyczki instalacyjne. Gdy instalacja jest przetwarzana lokalnie.
  • Wartość domyślna: {{ role_path }}/files/plugins

vault_plugins_src_dir_cleanup

  • Czy należy wyczyścić tymczasowy katalog plików zip/wtyczek po instalacji wtyczki. Ostrzeżenie: Gdy wtyczki nie dostarczają numeru wersji, może to spowodować, że wtyczki będą pobierane za każdym razem, co może naruszyć idempotencję.
  • Wartość domyślna: false

vault_data_path

  • Ścieżka danych
  • Wartość domyślna: /var/vault

vault_log_path

  • Ścieżka logów
  • Wartość domyślna: /var/log/vault

vault_run_path

  • Lokalizacja pliku PID
  • Wartość domyślna: /var/run/vault

vault_harden_file_perms

  • Czy ta rola powinna zabraniać Vault zapisu w konfiguracji i wtyczkach powinna być włączona, aby przestrzegać Produkcji Hardening.
  • Wartość domyślna: false

vault_manage_user

  • Czy ta rola powinna zarządzać użytkownikiem vault?
  • Wartość domyślna: true

vault_user

  • Nazwa użytkownika OS
  • Wartość domyślna: vault

vault_group

  • Nazwa grupy OS
  • Wartość domyślna: bin

vault_groups

  • Dodatkowe grupy OS, jak w module użytkownika ansible
  • Wartość domyślna: null

vault_manage_group

  • Czy ta rola powinna zarządzać grupą vault?
  • Wartość domyślna: false

vault_cluster_name

  • Etykieta nazwy klastra
  • Wartość domyślna: dc1

vault_datacenter

  • Etykieta centrum danych
  • Wartość domyślna: dc1

vault_ui

  • Włącz interfejs webowy vault
  • Wartość domyślna: true

vault_service_restart

  • Czy playbook powinien restartować usługę Vault w razie potrzeby
  • Wartość domyślna: true

vault_service_reload

  • Czy playbook powinien przeładować usługę Vault, gdy zmiany w głównej konfiguracji.
  • Wartość domyślna: false

vault_start_pause_seconds

  • Niektóre instalacje mogą wymagać czasu między pierwszym uruchomieniem Vault a pierwszym restartem. Ustawienie tej wartości na >0 doda czas oczekiwania po pierwszym uruchomieniu Vault.
  • Wartość domyślna: 0

Zmienne nasłuchujące TCP

vault_tcp_listeners

  • Lista nasłuchów TCP. Każdy nasłuch może definiować dowolne zmienne specyficzne dla nasłuchu opisane w dalszej części.
  • Wartość domyślna:
vault_tcp_listeners:
  - vault_address: '{{ vault_address }}'
    vault_port: '{{ vault_port }}'
    vault_cluster_address: '{{ vault_cluster_address }}'
    vault_tls_disable: '{{ vault_tls_disable }}'
    vault_tls_certs_path: '{{ vault_tls_certs_path }}'
    vault_tls_private_path: '{{ vault_tls_private_path }}'
    vault_tls_cert_file: '{{ vault_tls_cert_file }}'
    vault_tls_key_file: '{{ vault_tls_key_file }}'
    vault_tls_ca_file: '{{ vault_tls_ca_file }}'
    vault_tls_min_version: '{{ vault_tls_min_version }}'
    vault_tls_cipher_suites: '{{ vault_tls_cipher_suites }}'
    vault_tls_require_and_verify_client_cert: '{{ vault_tls_require_and_verify_client_cert }}'
    vault_tls_disable_client_certs: '{{ vault_tls_disable_client_certs }}'

Zmienne backendu pamięci

vault_backend

  • Który backend pamięci wybrać, opcje to: raft, consul, etcd, file, s3 i dynamodb
  • Wartość domyślna: raft

vault_backend_tls_src_files

  • Użytkownik określone źródło TLS dla komunikacji z pamięcią
  • {{ vault_tls_src_files }}

vault_backend_tls_certs_path

  • Ścieżka do katalogu zawierającego pliki certyfikatów tls do komunikacji z pamięcią
  • {{ vault_tls_certs_path }}

vault_backend_tls_private_path

  • Ścieżka do katalogu zawierającego prywatne pliki kluczy tls do komunikacji z pamięcią
  • {{ vault_tls_private_path }}

vault_backend_tls_cert_file

  • Określa ścieżkę do certyfikatu do komunikacji z pamięcią (jeśli jest obsługiwane).
  • {{ vault_tls_cert_file }}

vault_backend_tls_key_file

  • Określa ścieżkę do klucza prywatnego do komunikacji z pamięcią (jeśli jest obsługiwane).
  • {{ vault_tls_key_file }}

vault_backend_tls_ca_file

  • Certyfikat CA używany do komunikacji z pamięcią (jeśli jest obsługiwane). Domyślnie używany będzie systemowy zestaw.
  • {{ vault_tls_ca_file }}

Backend przechowywania Raft

vault_raft_leader_tls_servername

  • Nazwa serwera TLS do użycia podczas łączenia się przez HTTPS
  • Wartość domyślna: brak

vault_raft_group_name

  • Nazwa grupy zapasowej serwerów prowadzących raft
  • Wartość domyślna: vault_raft_servers

vault_raft_cluster_members

  • Członkowie klastra raft
  • Wartość domyślna: hosty w grupie vault_raft_group_name
  • Może być stosowane do nadpisania zachowania dynamicznego wybierania wszystkich hostów w vault_raft_group_name
  • Przykład:
    vault_raft_cluster_members:
  - peer: vault-host-1
    api_addr: https://vault-host-1:8200
  - peer: vault-host-2
    api_addr: https://vault-host-2:8200
  - peer: vault-host-3
    api_addr: https://vault-host-2:8200
  • Ustawienie vault_raft_cluster_members statycznie umożliwia uruchomienie roli na jednym hoście (zamiast na całej grupie hostów)

vault_raft_data_path

  • Ścieżka danych dla Raft
  • Wartość domyślna: vault_data_path

vault_raft_node_id

  • Identyfikator węzła dla Raft
  • Wartość domyślna: inventory_hostname_short

vault_raft_performance_multiplier

  • Współczynnik wydajności dla Raft
  • Wartość domyślna: brak

vault_raft_trailing_logs

  • Liczba wpisów logów pozostawionych w magazynie logów po zrzucie
  • Wartość domyślna: brak

vault_raft_snapshot_threshold

  • Minimalna liczba wpisów do zatwierdzenia Raft pomiędzy zrzutami
  • Wartość domyślna: brak

vault_raft_max_entry_size

  • Maksymalna liczba bajtów dla wpisu Raft
  • Wartość domyślna: brak

vault_raft_autopilot_reconcile_interval

  • Interwał, po którym autopilot odbierze zmiany stanu
  • Wartość domyślna: brak

vault_raft_cloud_auto_join

  • Definiuje wszelkie metadane automatycznego dołączania do chmury. Jeśli jest dostarczone, Vault spróbuje automatycznie odkryć sąsiadów, oprócz tego co można podać za pomocą leader_api_addr
  • Wartość domyślna: brak

vault_raft_cloud_auto_join_exclusive

  • Jeśli ustawione na true, wszelkie wystąpienia leader_api_addr zostaną usunięte z konfiguracji. Utrzymanie tego na false pozwoli na współistnienie auto_join i leader_api_addr
  • Wartość domyślna: false

vault_raft_cloud_auto_join_scheme

  • Schemat URI używany do auto_join
  • Wartość domyślna: brak (https to domyślna wartość ustawiona przez Vault, jeśli nie jest określona)

vault_raft_cloud_auto_join_port

  • Port używany do auto_join
  • Wartość domyślna: brak (8200 to domyślna wartość ustawiona przez Vault, jeśli nie jest określona)

Backend pamięci Consul

vault_backend_consul

  • Nazwa pliku szablonu backendu consul
  • Wartość domyślna: backend_consul.j2

vault_consul

  • wartość host:port do łączenia z backendem HA Consul
  • Wartość domyślna: 127.0.0.1:8500

vault_consul_scheme

  • Schemat dla backendu Consul
  • Obsługiwane wartości: http, https
  • Wartość domyślna: http

vault_consul_path

  • Nazwa głównej ścieżki K/V Consul Vault
  • Wartość domyślna: vault

vault_consul_service

  • Nazwa usługi Vault do rejestracji w Consul
  • Wartość domyślna: vault

vault_consul_token

  • Token ACL do uzyskiwania dostępu do Consul
  • Wartość domyślna: brak

Backend pamięci etcd

vault_etcd

  • Adres pamięci etcd
  • Wartość domyślna: 127.0.0.1:2379

vault_etcd_api

  • Wersja API
  • Wartość domyślna: v3

vault_etcd_path

  • Ścieżka dla pamięci Vault
  • Wartość domyślna: /vault/

vault_etcd_discovery_srv

  • Serwer odkrywania
  • Wartość domyślna: brak

vault_etcd_discovery_srv_name

  • Nazwa serwera odkrywania
  • Wartość domyślna: brak

vault_etcd_ha_enabled

  • Użyj pamięci dla trybu wysokiej dostępności
  • Wartość domyślna: false

vault_etcd_sync

  • Użyj etcdsync
  • Wartość domyślna: true

vault_etcd_username

  • Nazwa użytkownika
  • Wartość domyślna: brak

vault_etcd_password

  • Hasło
  • Wartość domyślna: brak

vault_etcd_request_timeout

  • Czas oczekiwania na żądanie
  • Wartość domyślna: "5s"

vault_etcd_lock_timeout

  • Czas oczekiwania na blokadę
  • Wartość domyślna: "15s"

Backend pamięci plików

vault_backend_file

  • Nazwa pliku szablonu backendu pliku
  • Wartość domyślna: backend_file.j2

Backend pamięci Raft zintegrowanej

vault_backend_raft

  • Nazwa pliku szablonu backendu raft zintegrowanej pamięci
  • Wartość domyślna: vault_backend_raft.j2

vault_raft_node_id

  • Identyfikator węzła w zintegrowanym storage Raft
  • Wartość domyślna: "raft_node_1"

vault_raft_retry_join

  • Szczegóły wszystkich węzłów są znane z góry
  • Wartość domyślna: "[]"
leader_api_addr
  • Adres potencjalnego węzła lidera.
  • Wartość domyślna: ""
leader_ca_cert_file
  • Ścieżka do certyfikatu CA potencjalnego węzła lidera.
  • Wartość domyślna: ""
leader_client_cert_file
  • Ścieżka do certyfikatu klienta dla węzła podrzędnego, aby nawiązać uwierzytelnienie klienta z potencjalnym węzłem lidera.
  • Wartość domyślna: ""
leader_client_key_file
  • Ścieżka do klucza klienta dla węzła podrzędnego, aby nawiązać uwierzytelnienie klienta z potencjalnym węzłem lidera.
  • Wartość domyślna: ""
leader_ca_cert
  • Certyfikat CA potencjalnego węzła lidera.
  • Wartość domyślna: ""
leader_client_cert
  • Certyfikat klienta dla węzła podrzędnego, aby nawiązać uwierzytelnienie klienta z potencjalnym węzłem lidera.
  • Wartość domyślna: ""
leader_client_key
  • Klucz klienta dla węzła podrzędnego, aby nawiązać uwierzytelnienie klienta z potencjalnym węzłem lidera.
  • Wartość domyślna: ""

Backend pamięci DynamoDB

Dla dodatkowej dokumentacji dotyczącej różnych dostępnych opcji, zobacz Dokumentacja Vault dla backendu pamięci DynamoDB.

vault_dynamodb

  • Określa alternatywny punkt końcowy DynamoDB.
  • Wartość domyślna: brak
    • Może być nadpisana zmienną środowiskową AWS_DYNAMODB_ENDPOINT.

vault_dynamodb_table

  • Nazwa tabeli DynamoDB używanej do przechowywania danych Vault.
    • Jeśli tabela nie istnieje, zostanie utworzona podczas inicjalizacji.
  • Wartość domyślna: "vault-dynamodb-backend"
    • Może być nadpisana zmienną środowiskową AWS_DYNAMODB_TABLE.

vault_dynamodb_ha_enabled

  • Czy tryb wysokiej dostępności jest włączony dla tego backendu pamięci.
  • Wartość domyślna: "false"
    • Może być nadpisana zmienną środowiskową DYNAMODB_HA_ENABLED.
      • Brak prefiksu AWS_ nie jest pomyłką, ta konkretny zmienna nie ma prefiksuzdefiniowanego w dokumentacji i kodzie źródłowym Vault.

vault_dynamodb_max_parallel

  • Maksymalna liczba równoległych żądań.
  • Wartość domyślna: "128"

vault_dynamodb_region

  • Region AWS.
  • Wartość domyślna: us-east-1
    • Może być nadpisana zmienną środowiskową AWS_DEFAULT_REGION

vault_dynamodb_read_capacity

  • Liczba odczytów na sekundę, którą należy zapewnić dla tabeli.
  • Używane tylko podczas tworzenia tabeli, nie ma wpływu jeśli już istnieje.
  • Wartość domyślna: 5
    • Może być nadpisana zmienną środowiskową AWS_DYNAMODB_READ_CAPACITY.

vault_dynamodb_write_capacity

  • Liczba zapisów na sekundę, którę należy zapewnić dla tabeli.
  • Używane tylko podczas tworzenia tabeli, nie ma wpływu jeśli już istnieje.
  • Wartość domyślna: 5
    • Może być nadpisana zmienną środowiskową AWS_DYNAMODB_WRITE_CAPACITY.

vault_dynamodb_access_key

  • Klucz dostępu AWS do użycia w uwierzytelnieniu.
  • Wartość domyślna: brak
    • Może być nadpisana zmienną środowiskową AWS_ACCESS_KEY_ID
  • Pozostawienie tej oraz vault_dynamodb_secret_key puste spowoduje, że Vault spróbuje pobrać dane uwierzytelniające z serwisu metadanych AWS.

vault_dynamodb_secret_key

  • Klucz tajny AWS używany w uwierzytelnieniu.
  • Wartość domyślna: brak
    • Może być nadpisana zmienną środowiskową AWS_SECRET_ACCESS_KEY
  • Pozostawienie tej oraz vault_dynamodb_access_key puste spowoduje, że Vault spróbuje pobrać dane uwierzytelniające z serwisu metadanych AWS.

vault_dynamodb_session_token

  • Token sesji AWS.
  • Wartość domyślna: brak
    • Może być nadpisana zmienną środowiskową AWS_SESSION_TOKEN

Backend pamięci Google Cloud Storage

vault_gcs_bucket

  • Określa nazwę wiadra, które ma być używane do przechowywania.
  • Wartość domyślna: brak

vault_gcs_ha_enabled

  • Określa, czy włączony jest tryb wysokiej dostępności.
  • Wartość domyślna: "false"

vault_gcs_chunk_size

  • Określa maksymalny rozmiar (w kilobajtach) do wysłania w pojedynczym żądaniu. Jeśli ustawione na 0, spróbuje wysłać cały obiekt naraz, ale nie będzie ponownie wysyłać żadnych niepowodzeń.
  • Wartość domyślna: "8192"

vault_gcs_max_parallel

  • Określa maksymalną liczbę operacji równoległych do przeprowadzenia.
  • Wartość domyślna: "128"

vault_gcs_copy_sa

  • Skopiuj plik z danymi uwierzytelniającymi GCP SA z węzła kontrolnego Ansible do serwera Vault. Gdy nie jest true i nie określono żadnej wartości dla vault_gcs_credentials_src_file, używane są domyślne dane uwierzytelniające konta usługi.
  • Wartość domyślna: "false"

vault_gcs_credentials_src_file

  • Ścieżka do danych uwierzytelniających GCP SA na węźle kontrolnym Ansible.
  • Wartość domyślna: brak

vault_gcs_credentials_dst_file

  • Ścieżka do danych uwierzytelniających SA GCP na serwerze Vault.
  • Wartość domyślna: {{ vault_home }}/{{ vault_gcs_credentials_src_file | basename}}"

Rejestracja usługi Consul

Pełniejsze informacje o różnych dostępnych opcjach znajdziesz w Dokumentacji Vault dla rejestracji usług w Consulze. Zauważ, że to jest dostępne dopiero od wersji Vault 1.4.

vault_service_registration_consul_enable

  • Włącz rejestrację usługi Consul
  • Wartość domyślna: false

vault_service_registration_consul_template

  • Nazwa pliku szablonu rejestracji usługi Consul
  • Wartość domyślna: service_registration_consul.hcl.j2

vault_service_registration_consul_address

  • wartość host:port do łączenia z rejestracją usług Consul
  • Wartość domyślna: 127.0.0.1:8500

vault_service_registration_check_timeout

  • Określa interwał kontrolny używany do przesyłania informacji o kontrolach zdrowia z powrotem do Consul.
  • Wartość domyślna: 5s

vault_service_registration_disable_registration

  • Określa, czy Vault powinien rejestrować się w Consul.
  • Wartość domyślna: false

vault_service_registration_consul_scheme

  • Schemat dla rejestracji usługi Consul
  • Obsługiwane wartości: http, https
  • Wartość domyślna: http

vault_service_registration_consul_service

  • Nazwa usługi Vault do rejestracji w Consul
  • Wartość domyślna: vault

vault_service_registration_consul_service_tags

  • Określa listę tagów do rejestracji usługi w Consul, oddzieloną przecinkami.
  • Wartość domyślna: ""

vault_service_registration_consul_service_address

  • Określa adres specyficzny dla usługi do ustawienia w rejestracji usługi w Consul.
  • Wartość domyślna: nil

vault_service_registration_consul_token

  • Token ACL do rejestracji w rejestracji usługi Consul
  • Wartość domyślna: brak

vault_service_registration_consul_tls_certs_path

  • Ścieżka do certyfikatu tls
  • Wartość domyślna {{ vault_tls_certs_path }}

vault_service_registration_consul_tls_private_path

  • Ścieżka do klucza tls
  • Wartość domyślna {{ vault_tls_private_path }}

vault_service_registration_consul_tls_ca_file

  • Nazwa pliku certyfikatu CA
  • Wartość domyślna: {{ vault_tls_ca_file }}

vault_service_registration_consul_tls_cert_file

  • Certyfikat serwera
  • Wartość domyślna: {{ vault_tls_cert_file }}

vault_service_registration_consul_tls_key_file

  • Klucz serwera
  • Wartość domyślna: {{ vault_tls_key_file }}

vault_service_registration_consul_tls_min_version

vault_service_registration_consul_tls_skip_verify

  • Wyłącz weryfikację certyfikatów TLS. Użycie tej opcji jest wysoce odradzane.
  • Wartość domyślna: false

Rejestracja usługi Kubernetes

Dla dodatkowych informacji o różnych dostępnych opcjach, zobacz Dokumentację Vault dla rejestracji usług Kubernetes. Zauważ, że to jest dostępne dopiero od wersji Vault 1.4.

vault_service_registration_kubernetes_consul_enable

  • Włącz rejestrację usługi Kubernetes
  • Wartość domyślna: false

vault_service_registration_kubernetes_template

  • Nazwa pliku szablonu rejestracji usługi Kubernetes
  • Wartość domyślna: service_registration_kubernetes.hcl.j2

vault_service_registration_kubernetes_namespace

  • Namespace Kubernetes do rejestracji
  • Wartość domyślna: vault

vault_service_registration_pod_name

  • Nazwa poda Kubernetes do rejestracji
  • Wartość domyślna: vault

vault_log_level

  • Poziom logowania
    • Obsługiwane wartości: trace, debug, info, warn, err
  • Wartość domyślna: info
  • Wymaga wersji Vault 0.11.1 lub wyższej

vault_iface

  • Interfejs sieciowy
    • Może być nadpisane zmienną środowiskową VAULT_IFACE
  • Wartość domyślna: eth1

vault_address

  • Adres głównego interfejsu sieciowego do użycia
  • Wartość domyślna: "{{ hostvars[inventory_hostname]['ansible_'+vault_iface]['ipv4']['address'] }}"

vault_port

  • Numer portu TCP, na którym nasłuchuje
  • Wartość domyślna: 8200

vault_max_lease_ttl

vault_default_lease_ttl

vault_main_config

  • Nazwa pliku konfiguracji głównej (pełna ścieżka)
  • Wartość domyślna: "{{ vault_config_path }}/vault_main.hcl"

vault_main_configuration_template

  • Szablon pliku konfiguracji głównej Vault
  • Wartość domyślna: vault_main_configuration.hcl.j2

vault_custom_configuration

  • Niestandardowa konfiguracja Vault
  • Wartość domyślna: brak

vault_http_proxy

  • Adres używany jako proxy dla żądań HTTP i HTTPS, chyba że nadpisane przez vault_https_proxy lub vault_no_proxy
  • Wartość domyślna: ""

vault_https_proxy

  • Adres używany jako proxy dla żądań HTTPS, chyba że nadpisane przez vault_no_proxy
  • Wartość domyślna: ""

vault_no_proxy

  • Lista oddzielona przecinkami, która określa hosty, które powinny być wyłączone z proxy. Następuje zgodnie z konwencjami golang
  • Wartość domyślna: ""

vault_cluster_address

  • Adres do przypisania dla żądań serwera do serwera w klastrze
  • Wartość domyślna: "{{ hostvars[inventory_hostname]['ansible_'+vault_iface]['ipv4']['address'] }}:{{ (vault_port | int) + 1}}"

vault_cluster_addr

  • Adres reklamowany innym serwerom Vault w klastrze do przekazywania żądań
  • Wartość domyślna: "{{ vault_protocol }}://{{ vault_cluster_address }}"

vault_api_addr

  • Adres przekierowania klienta HA
  • Wartość domyślna: "{{ vault_protocol }}://{{ vault_redirect_address or hostvars[inventory_hostname]['ansible_'+vault_iface]['ipv4']['address'] }}:{{ vault_port }}"
    • vault_redirect_address jest zachowane dla zgodności wstecznej, ale jest przestarzałe.

vault_disable_api_health_check

  • flaga dla wyłączenia sprawdzania stanu na adresie api vault
  • Wartość domyślna: false

vault_cluster_disable

  • Wyłącz klastrowanie HA
  • Wartość domyślna: false

validate_certs_during_api_reachable_check

  • Wyłącz walidację certyfikatów dla sprawdzania dostępności API
  • Wartość domyślna: true

vault_proxy_protocol_behavior

  • Może być jedną z wartości use_always, allow_authorized lub deny_unauthorized
  • Włącza protokół PROXY dla nasłuchu.
  • Jeśli włączone i ustawione na coś innego niż use_always, należy też ustawić
  • Wartość domyślna: ""

vault_tls_certs_path

  • Ścieżka do certyfikatów TLS
  • Wartość domyślna: /etc/vault/tls

vault_tls_private_path

  • Ścieżka do kluczy TLS
  • Wartość domyślna: /etc/vault/tls

vault_tls_disable

  • Wyłącz TLS
    • Może być nadpisane zmienną środowiskową VAULT_TLS_DISABLE
  • Wartość domyślna: 1

vault_tls_gossip

  • Włącz TLS Gossip do pamięci (jeśli jest to wspierane)
  • Wartość domyślna: 0

vault_tls_src_files

  • Użytkownik określone źródło dla plików TLS
    • Nadpisz za pomocą zmiennej środowiskowej VAULT_TLS_SRC_FILES
  • Wartość domyślna: {{ role_path }}/files

vault_tls_ca_file

  • Nazwa pliku certyfikatu CA
    • Nadpisz za pomocą zmiennej środowiskowej VAULT_TLS_CA_CRT
  • Wartość domyślna: ca.crt

vault_tls_client_ca_file

  • Nazwa pliku certyfikatu CA klienta
  • Wartość domyślna: ``

vault_tls_cert_file

  • Certyfikat serwera
    • Nadpisz za pomocą zmiennej środowiskowej VAULT_TLS_CERT_FILE
  • Wartość domyślna: server.crt

vault_tls_key_file

  • Klucz serwera
    • Nadpisz za pomocą zmiennej środowiskowej VAULT_TLS_KEY_FILE
  • Wartość domyślna: server.key

vault_tls_min_version

vault_tls_cipher_suites

vault_tls_require_and_verify_client_cert

vault_tls_disable_client_certs

vault_tls_copy_keys

  • Skopiuj pliki TLS z src do dest
  • Wartość domyślna: true

vault_tls_files_remote_src

  • Skopiuj z remote source, jeśli pliki TLS są już na hoście
  • Wartość domyślna: false

vault_x_forwarded_for_authorized_addrs

  • Lista źródłowych adresów IP CIDR oddzielona przecinkami, dla których nagłówek X-Forwarded-For będzie zaufany.
  • Włącza wsparcie dla X-Forwarded-For.
  • Jeśli jest włączone, możesz również ustawić dowolne z poniższych parametrów:
    • vault_x_forwarded_for_hop_skips z formatem "N" dla liczby hopów, które mają być pominięte
    • vault_x_forwarded_for_reject_not_authorized z true/false
    • vault_x_forwarded_for_reject_not_present z true/false
  • Wartość domyślna: ""

vault_bsdinit_template

  • Szablon init BSD
  • Wartość domyślna: vault_service_bsd_init.j2

vault_sysvinit_template

  • Szablon init SysV
  • Wartość domyślna: vault_sysvinit.j2

vault_debian_init_template

  • Szablon init Debiana
  • Wartość domyślna: vault_service_debian_init.j2

vault_systemd_template

  • Szablon usługi systemd
  • Wartość domyślna: vault_service_systemd.j2

vault_systemd_service_name

  • Nazwa jednostki usługi systemd
  • Wartość domyślna: "vault"

vault_telemetry_enabled

  • Włącz telemetrię Vault
  • Jeśli włączony, musisz ustawić przynajmniej jeden z poniższych parametrów w zależności od dostawcy telemetrii:
    • vault_statsite_address w formacie "FQDN:PORT"
    • vault_statsd_address w formacie "FQDN:PORT"
    • vault_prometheus_retention_time np. "30s" lub "24h"
  • Jeśli włączone, opcjonalnie ustaw vault_telemetry_disable_hostname na usunięcie prefiksu hosta z danych telemetrii
  • Wartość domyślna: false

vault_unauthenticated_metrics_access

vault_telemetry_usage_gauge_period

  • Określa interwał, w którym zbierane są dane o użyciu o dużej ilości danych, takie jak liczba tokenów, liczba jednostek i liczba sekretów.
  • Wartość domyślna: niezdefiniowana

Zmienne związane z dystrybucją systemu operacyjnego

Binarna wersja vault działa na większości platform Linux i nie jest specyficzna dla dystrybucji. Niektóre dystrybucje wymagają jednak zainstalowania specyficznych pakietów OS o różnej nazwie, więc ta rola została stworzona z obsługą popularnych dystrybucji Linux i definiuje następujące zmienne, aby poradzić sobie z różnicami między dystrybucjami:

vault_pkg

  • Nazwa pliku pakietu Vault
  • Wartość domyślna: {{ vault_version }}_linux_amd64.zip

vault_centos_url

  • URL pobierania pakietu Vault
  • Wartość domyślna: {{ vault_zip_url }}

vault_centos_os_packages

  • Lista pakietów OS do zainstalowania
  • Wartość domyślna: lista

vault_pkg

  • Nazwa pliku pakietu Vault
  • Wartość domyślna: "{{ vault_version }}_linux_amd64.zip"

vault_debian_url

  • URL pobierania pakietu Vault
  • Wartość domyślna: "{{ vault_zip_url }}"

vault_sha256

  • Podsumowanie SHA256 pobrania Vault
  • Wartość domyślna: Podsumowanie SHA256

vault_debian_os_packages

  • Lista pakietów OS do zainstalowania
  • Wartość domyślna: lista

vault_pkg

  • Nazwa pliku pakietu Vault
  • Wartość domyślna: "{{ vault_version }}_linux_amd64.zip"

vault_redhat_url

  • URL pobierania pakietu Vault
  • Wartość domyślna: "{{ vault_zip_url }}"

vault_sha256

  • Podsumowanie SHA256 pakietu Vault
  • Wartość domyślna: Podsumowanie SHA256

vault_redhat_os_packages

  • Lista pakietów OS do zainstalowania
  • Wartość domyślna: lista

vault_pkg

  • Nazwa pliku pakietu Vault
  • Wartość domyślna: "{{ vault_version }}_linux_amd64.zip"

vault_ubuntu_url

  • URL pobierania pakietu Vault
  • Wartość domyślna: "{{ vault_zip_url }}"

vault_sha256

  • Podsumowanie SHA256 pakietu Vault
  • Wartość domyślna: Podsumowanie SHA256

vault_enable_log

  • Włącz logi do vault_log_path
  • Wartość domyślna: false

vault_enable_logrotate

  • Włącz rotację logów dla systemów opartych na systemd
  • Wartość domyślna: false

vault_logrotate_freq

  • Określa, jak często rotować logi vault.
  • Wartość domyślna: 7

vault_logrotate_template

  • Szablon rotacji logów
  • Wartość domyślna: vault_logrotate.j2

vault_ubuntu_os_packages

  • Lista pakietów OS do zainstalowania
  • Wartość domyślna: lista

Zależności

UWAGA: Przeczytaj to przed wykonaniem roli, aby uniknąć niektórych często napotykanych problemów, które są rozwiązywane przez instalację odpowiednich zależności.

gtar

Ansible wymaga GNU tar, a ta rola wykonuje część lokalnego użycia modułu dekompresji, więc upewnij się, że twój system ma zainstalowane gtar.

Python netaddr

Rola wymaga python-netaddr, więc:

pip install netaddr

na hoście kontrolnym Ansible przed wykonaniem roli.

Przykład playbooka

Podstawowa instalacja jest możliwa przy użyciu włączonego playbooka site.yml:

ansible-playbook -i hosts site.yml

Możesz również przekazać zmienne przy użyciu opcji --extra-vars do polecenia ansible-playbook:

ansible-playbook -i hosts site.yml --extra-vars "vault_datacenter=maui"

Określ plik szablonowy z inną definicją backendu (zobacz templates/backend_consul.j2):

ansible-playbook -i hosts site.yml --extra-vars "vault_backend_file=backend_file.j2"

Musisz upewnić się, że plik szablonu backend_file.j2 znajduje się w katalogu roli, aby to zadziałało.

Vagrant i VirtualBox

Zobacz examples/README_VAGRANT.md po szczegóły na temat szybkich wdrożeń Vagrant w VirtualBox do testowania itp.

Przykładowy playbook virtualBox

przykładowy playbook dla instancji vault opartych na plikach.

- hosts: all
  gather_facts: True
  become: true
  vars:
    vault_backend: file
    vault_cluster_disable: True
    vault_log_level: debug
  roles:
    - vault

Vault Enterprise

Rola może instalować instancje Vault Enterprise.

Umieść archiwum zip Vault Enterprise w {{ role_path }}/files i ustaw vault_enterprise: true lub użyj zmiennej środowiskowej VAULT_ENTERPRISE="true". Próbuję pobrać pakiet z vault_zip_url, jeśli zip nie jest znaleziony w plikach/.

vault_enterprise_premium

  • Ustaw na true, jeśli używasz wersji premium binarnej. W zasadzie po prostu dodaje "+prem" do zmiennej "vault_version".
  • Wartość domyślna: False

Vault Enterprise z HSM

Rola może konfigurować instancje oparte na HSM. Upewnij się, żeby odwołać się do strony wsparcia HSM i zwróć uwagę na zmiany zachowań po zainstalowaniu HSM.

vault_enterprise_premium_hsm

  • Ustaw na True, jeśli używasz wersji premium hsm. W zasadzie po prostu dodaje ".hsm" do zmiennej "vault_version".
  • Wartość domyślna: false

vault_configure_enterprise_license

  • Zarządzaj plikiem licencji enterprise za pomocą tej roli. Ustaw na true, aby użyć vault_license_path lub vault_license_file.
  • Wartość domyślna: false

vault_license_path

  • Ścieżka do licencji enterprise na zdalnym hoście (ścieżka docelowa). license_path w głównym pliku konfiguracyjnym. Używane tylko wtedy, gdy vault_configure_enterprise_license: true.
  • Wartość domyślna: {{ vault_config_path }}/license.hclic

vault_license_file

  • Ścieżka do pliku licencji enterprise na kontrolerze Ansible (plik źródłowy do przesłania). Przesyłanie pomijane, gdy puste lub niezdefiniowane. Używane tylko wtedy, gdy vault_configure_enterprise_license: true.
  • Wartość domyślna: ""

vault_hsm_app

  • Ustaw, którą aplikację kryptograficzną użyć.
  • Wartość domyślna: pkcs11

vault_backend_seal

UWAGA: Ten seal zostanie zmigrowany do zestawu pkcs11 i uczyniony konsekwentnym z innymi typami uszczelniania odnośnie zmian w nazewnictwie, wkrótce.

  • Szablon backendu seal
  • Wartość domyślna: vault_backend_seal.j2

vault_seal_lib

  • Ustaw absolutną ścieżkę do biblioteki HSM, z której Vault będzie korzystał
  • Wartość domyślna: /lib64/hsmlibrary.so

vault_seal_pin

  • PIN do logowania. Może być również określony przez zmienną środowiskową VAULT_HSM_PIN. Jeśli ustawione przez zmienną środowiskową, Vault zatai zmienną środowiskową po jej odczytaniu i będzie musiało być ponownie ustawione, jeśli Vault zostanie zrestartowane.
  • Wartość domyślna: 12345

vault_seal_key_label

  • Etykieta klucza, którego użyć. Jeśli klucz nie istnieje, a generacja jest włączona, to jest to etykieta, która zostanie nadana wygenerowanemu kluczowi. Może być również określona przez zmienną środowiskową VAULT_HSM_KEY_LABEL.
  • Wartość domyślna: ''

vault_seal_hmac_key_label

  • Etykieta klucza HMAC, której użyć. Jeśli klucz nie istnieje, a generacja jest włączona, to jest to etykieta, która zostanie nadana wygenerowanemu kluczowi HMAC. Może być również określona przez zmienną środowiskową VAULT_HSM_HMAC_KEY_LABEL.
  • Wartość domyślna: ''

vault_seal_generate_key

  • Jeśli klucz z etykietą określoną przez key_label nie może być znaleziony w czasie inicjalizacji Vault, nakazuje Vault wygenerowanie klucza. Jest to wartość logiczna wyrażona jako łańcuch (np. "true"). Może być również określona przez zmienną środowiskową VAULT_HSM_GENERATE_KEY. Vault może nie być w stanie pomyślnie wygenerować kluczy we wszystkich okolicznościach, na przykład, gdy wymagane są rozszerzenia dostawcy do tworzenia kluczy odpowiedniego typu.
  • Wartość domyślna: false

vault_seal_key_mechanism

  • Nie zmieniaj tego, jeśli nie wiesz, że jest to konieczne. Mechanizm szyfrowania/deszyfrowania do użycia, określony jako ciąg dziesiętny lub szesnastkowy (prefiksowana przez 0x). Może być również określona przez zmienną środowiskową VAULT_HSM_MECHANISM.
  • Wartość domyślna: ''
  • Przykład dla RSA: 0x0009

vault_seal_token_label

  • Etykieta tokena slotu do użycia. Może być również określona przez zmienną środowiskową VAULT_HSM_TOKEN_LABEL. Ta etykieta będzie stosowana tylko wtedy, gdy vault_softcard_enable jest ustawione na true.
  • Wartość domyślna: ''

vault_softcard_enable

  • Włącz jeśli planujesz używać karty miękkiej na swoim HSM.
  • Wartość domyślna: false

vault_seal_slot

  • Numer slotu do użycia, określony jako ciąg (np. "0"). Może być również określona przez zmienną środowiskową VAULT_HSM_SLOT. Ta etykieta będzie stosowana tylko wtedy, gdy vault_softcard_enable jest równe false (domyślnie).
  • Wartość domyślna: 0

vault_entropy_seal

Poniższa stanza zostanie dodana do głównego pliku konfiguracyjnego hcl, jeśli vault_entropy_seal=true:

entropy "seal" {
  mode = "augmentation"
}

Autoodblokowanie Vault GCP Cloud KMS

Ta funkcja umożliwia operatorom zlecenie procesu odblokowania Google Key Management System Cloud, aby ułatwić operacje w przypadku niepełnej awarii oraz pomóc w tworzeniu nowych lub efemerycznych klastrów.

Ten mechanizm autoodblokowywania jest licencjonowany jako Open Source w Vault 1.0, ale wymaga binariów Enterprise dla jakiejkolwiek wcześniejszej wersji.

vault_gkms

  • Ustaw na True, aby włączyć Google Cloud KMS Auto-Unseal.
  • Wartość domyślna: false

vault_backend_gkms

  • Szablon backendu seal
  • Wartość domyślna: vault_seal_gcpkms.j2

vault_gkms_project

  • GCP Projekt, w którym znajduje się klucz.
  • Wartość domyślna: ''

vault_gkms_copy_sa

  • Skopiuj plik z danymi uwierzytelniającymi GCP SA z węzła kontrolnego Ansible do serwera Vault. Gdy nie jest true i nie określono żadnej wartości dla vault_gkms_credentials_src_file, używane są domyślne dane uwierzytelniające konta usługi.
  • Wartość domyślna: "true"

vault_gkms_credentials_src_file

  • Użytkownik określone źródło dla danych uwierzytelniających GCP na kontrolerze Ansible.
  • Musi być określone lub vault_gkms_credentials_content, jeśli vault_gkms jest włączone.
  • Wartość domyślna: ''

vault_gkms_credentials_content

  • Użytkownik określone dane uwierzytelniające GCP w formie treści.
  • Musi być określone lub vault_gkms_credentials_src_file, jeśli vault_gkms jest włączone.
  • Wartość domyślna: ''

vault_gkms_credentials

  • Ścieżka do danych uwierzytelniających GCP na serwerze Vault.
  • Wartość domyślna: /home/vault/vault-kms.json

vault_gkms_region

  • Region GCP, w którym znajduje się klucz.
  • Wartość domyślna: global

vault_gkms_key_ring

  • Identyfikator Google Cloud Platform KeyRing, do którego klucz powinien należeć.
  • Wartość domyślna: vault

Autoodblokowanie Vault OCI KMS

Ta funkcja umożliwia operatorom delegowanie procesu odblokowania do OCI KMS, aby ułatwić operacje w przypadku niepełnej awarii oraz pomóc w tworzeniu nowych lub efemerycznych klastrów.

vault_ocikms

  • Ustaw na true, aby włączyć OCI KMS Auto-unseal.
  • Wartość domyślna: false

vault_ocikms_backend

  • Szablon backendu seal.
  • Wartość domyślna: vault_seal_ocikms.j2

vault_ocikms_auth_type_api_key

  • Określa, czy używano klucza API do uwierzytelnienia w usłudze OCI KMS.
  • Wartość domyślna: false

vault_ocikms_key_id

  • Identyfikator klucza OCI KMS do użycia.
  • Wartość domyślna: VAULT_OCIKMS_SEAL_KEY_ID

vault_ocikms_crypto_endpoint

  • Punkt końcowy kryptograficzny OCI KMS (lub punkt końcowy danych) do użycia do wydawania prośby OCI KMS o szyfrowanie/deszyfrowanie.
  • Wartość domyślna: VAULT_OCIKMS_CRYPTO_ENDPOINT

vault_ocikms_management_endpoint

  • Punkt końcowy zarządzania OCI KMS (lub punkt końcowy kontrolny) do używania podczas składania próśb o zarządzanie kluczem OCI KMS.
  • Wartość domyślna: VAULT_OCIKMS_MANAGEMENT_ENDPOINT

Autoodblokowanie transit Vault

To umożliwia Vault użycie innej instancji Vault do procesu odblokowywania, używając silnika sekretów transit.

vault_transit

  • Ustaw na true, aby włączyć autoodblokowanie za pomocą transit Vault.
  • Wartość domyślna: false

vault_transit_backend

  • Szablon backendu seal
  • Wartość domyślna: vault_seal_transit.j2

vault_transit_config:

  • Plik konfiguracyjny docelowy
  • Wartość domyślna: vault_transit.hcl

vault_transit_address:

  • Adres Vault, który jest używany do automatycznego odblokowania
  • Wartość domyślna: ``, ta zmienna jest obowiązkowa, jeśli vault_transit: true

vault_transit_token:

  • Token używany do uwierzytelnienia do zewnętrznej instancji vault
  • Wartość domyślna: ``, ta zmienna jest obowiązkowa, jeśli vault_transit: true

vault_transit_disable_renewal:

  • Czy wyłączyć automatyczne odnawianie tokena.
  • Wartość domyślna: false

vault_transit_key_name

  • Nazwa klucza używanego do autoodblokowania.
  • Wartość domyślna: autounseal

vault_transit_mount_path:

  • Ścieżka, w której silnik transit jest zamontowany.
  • Wartość domyślna: transit/

vault_transit_namespace:

  • Przestrzeń nazw zamontowanego silnika transit.
  • Wartość domyślna: ``, pomijane domyślnie.

vault_transit_tls_ca_cert:

  • Certyfikat CA zewnętrznej instancji vault.
  • Wartość domyślna: ca_cert.pem, pomijane, jeśli vault_transit_tls_skip_verify: true

vault_transit_tls_client_cert:

  • Certyfikat klienta zewnętrznej instancji vault.
  • Wartość domyślna: client_cert.pem, pomijane, jeśli vault_transit_tls_skip_verify: true

vault_transit_tls_client_key:

  • Klucz klienta zewnętrznej instancji vault.
  • Wartość domyślna: ca_cert.pem, pomijane, jeśli vault_transit_tls_skip_verify: true

vault_transit_tls_server_name

  • Nazwa serwera TLS zewnętrznej instancji vault.
  • Wartość domyślna: ``, pomijane domyślnie.

vault_transit_tls_skip_verify:

  • Czy wyłączyć weryfikację certyfikatu TLS.
  • Wartość: false, może być także ustawione za pomocą VAULT_SKIP_VERIFY.

Auto-unseal AWS KMS

Ta funkcja umożliwia operatorom zlecenie procesu odblokowywania do AWS KMS, aby ułatwić operacje w przypadku częściowych awarii oraz pomóc w tworzeniu nowych lub efemerycznych klastrów.

vault_awskms

  • Ustaw na true, aby włączyć Auto-unseal AWS KMS.
  • Wartość domyślna: false

vault_awskms_backend

  • Szablon backendu seal
  • Wartość domyślna: vault_seal_awskms.j2

vault_awskms_region

  • Który region AWS KMS użyć.
  • Wartość domyślna: us-east-1

vault_awskms_access_key

  • Klucz dostępu AWS, którego używać do komunikacji z AWS KMS.
  • Wartość domyślna: AWS_ACCESS_KEY_ID

vault_awskms_secret_key

  • Identyfikator klucza tajnego AWS, którego używać do komunikacji z AWS KMS
  • Wartość domyślna: AWS_SECRET_ACCESS_KEY

vault_awskms_key_id

  • Identyfikator KMS do użycia w AWS KMS
  • Wartość domyślna: VAULT_AWSKMS_SEAL_KEY_ID

vault_awskms_endpoint

  • Punkt końcowy do użycia dla KMS
  • Wartość domyślna: AWS_KMS_ENDPOINT

Auto-unseal Azure Key Vault

Ta funkcja umożliwia operatorom delegowanie procesu odblokowania do AZURE Key Vault, aby ułatwić operacje w przypadku częściowych awarii oraz pomóc w tworzeniu nowych lub efemerycznych klastrów.

vault_azurekeyvault

  • Ustaw na true, aby włączyć Auto-unseal AZURE Key Vault.
  • Wartość domyślna: false

vault_backend_azurekeyvault

  • Szablon backendu seal
  • Wartość domyślna: vault_seal_azurekeyvault.j2

vault_azurekeyvault_client_id

  • Identyfikator aplikacji związanej z nazwą główną serwisu gospodarczego, aby połączyć się z Azure.
  • Wartość domyślna: EXAMPLE_CLIENT_ID

vault_azurekeyvault_client_secret

  • Hasło klienta to klucz tajny przypisany do twojej aplikacji.
  • Wartość domyślna: EXAMPLE_CLIENT_SECRET

vault_azurekeyvault_tenant_id

  • Identyfikator najemcy to twój identyfikator katalogu w Azure.
  • Wartość domyślna: EXAMPLE_TENANT_ID

vault_azurekeyvault_vault_name

  • Nazwa Vault, która hostuje klucz.
  • Wartość domyślna: vault

vault_azurekeyvault_key_name

  • Klucz przechowywany w Vault w Azure Key Vault.
  • Wartość domyślna: vault_key

Wtyczki Vault

wtyczka acme

Instaluje wtyczkę vault-acme, także włącza wtyczkę, jeśli została uwierzytelniona w vault (VAULT_ADDR, VAULT_TOKEN env).

vault_plugin_acme_install

  • Ustawienie tego na remote pobierze wtyczkę acme do każdego celu, zamiast kopiować ją z localhost.
  • Opcje: remote / local
  • Wartość domyślna: remote

vault_plugin_acme_sidecar_install

  • Czy zainstalować wtyczkę acme sidecar dla wyzwań HTTP-01/TLS_ALPN_01 oprócz DNS-01.
  • Wartość domyślna: false

vault_plugin_acme_version

  • Wersja wtyczki acme do zainstalowania, można ustawić jako latest, aby uzyskać najnowszą dostępną wersję.
  • Wartość domyślna: latest

Licencja

BSD-2-Clause

Informacje o autorze

Brian Shumate

Współprace

Szczególne podziękowania dla osób wymienionych w CONTRIBUTORS.md za ich wkład w ten projekt.

O projekcie

HashiCorp Vault server role

role networking security system
Zainstaluj
ansible-galaxy install brianshumate.vault
GitHub repozytorium
377 gwiazdki
192 forki
38 otwarte zgłoszenia
Licencja
bsd-2-clause
Pobrania
259.6k
Właściciel
Brian Shumate
Art ⁂ Data ⁂ Boards ⁂ Water