Skip to content
Snippets Groups Projects
Commit 4756b3de authored by Vincent Mazenod's avatar Vincent Mazenod
Browse files

enhance vault

parent 72650d8e
No related branches found
No related tags found
No related merge requests found
Pipeline #3995 passed
Stage: build
Stage: deploy
Hide whitespace changes
Inline Side-by-side
content/slides/cri/md/vault.md
+ 25
10
View file @ 4756b3de
...@@ -130,7 +130,7 @@ vault secrets enable -path=cri kv ...@@ -130,7 +130,7 @@ vault secrets enable -path=cri kv
vault kv enable-versioning cri/ # kv2 vault kv enable-versioning cri/ # kv2
``` ```
* les secrets sont versionés * les secrets sont versionnés
* il est possible d'utiliser PATCH et pas seulement PUT * il est possible d'utiliser PATCH et pas seulement PUT
```shell ```shell
...@@ -166,7 +166,7 @@ $ vault login -method=ldap username=vimazeno ...@@ -166,7 +166,7 @@ $ vault login -method=ldap username=vimazeno
``` ```
* par ldap * par ldap
* en réalité génère un token dans ~/.vault-token contenant * stocke le token d'authentificayion dans ~/.vault-token
## LDAP ## LDAP
...@@ -223,13 +223,13 @@ $ vault write auth/ldap/groups/cri policies=cri ...@@ -223,13 +223,13 @@ $ vault write auth/ldap/groups/cri policies=cri
## Utilisation ## Utilisation
* [binaire à télécharger](https://releases.hashicorp.com/vault/) * via la ligne de commande
* cross plateform * [binaire à télécharger](https://releases.hashicorp.com/vault/)
* deux variables d'environnement * cross plateform
* $VAULT_ADDR=https://vault.isima.fr * deux variables d'environnement
* $VAULT_TOKEN ou authentification ldap * $VAULT_ADDR=https://vault.isima.fr
ou * $VAULT_TOKEN ou authentification ldap
* l'[<i class="fa fa-book" aria-hidden="true"></i> api](https://www.vaultproject.io/api/overview) * via l'[<i class="fa fa-book" aria-hidden="true"></i> api](https://www.vaultproject.io/api/overview)
## Workflow ## Workflow
...@@ -307,7 +307,7 @@ fi ...@@ -307,7 +307,7 @@ fi
KV=$(vault read cri/my -format=json | python -c "import sys, json; print json.load(sys.stdin)['data'].keys()") KV=$(vault read cri/my -format=json | python -c "import sys, json; print json.load(sys.stdin)['data'].keys()")
# converison de la liste python en liste bash # converison de la liste python en liste bash
VAULT_KEYS=( $(echo ${KV} | sed -r "s/', u'/' '/g" | sed -r "s/\[u'/'/g" | sed -r "s/\]//g") ) VAULT_KEYS=( $(echo ${KV} | sed -r "s/', u'/' '/g" | sed -r "s/\[u'/'/g" | sed -r "s/\]//g") )
# copie du ttemplatye de configuration en fichier de configuration # copie du template de configuration en fichier de configuration
cp config.sample.py config.py cp config.sample.py config.py
# itération sur les clés vault # itération sur les clés vault
for i in "${VAULT_KEYS[@]}" for i in "${VAULT_KEYS[@]}"
...@@ -320,3 +320,18 @@ do ...@@ -320,3 +320,18 @@ do
done done
``` ```
<!-- .element style="width: 100%;" --> <!-- .element style="width: 100%;" -->
## avec ansible
* lookup natif [hashi_vault](https://docs.ansible.com/ansible/latest/plugins/lookup/hashi_vault.html)
* lecture uniquement
* pas de support natif pour kv2 à ce jour
* [patch maison](https://gitlab.isima.fr/cri/stack/blob/master/ansible/plugins/module_utils/vault.py)
* module "community" [hashivault](https://github.com/TerryHowe/ansible-modules-hashivault)
* Reading and Writing
* supporte kv2
* Initialization, Seal, and Unseal
* Policy
* User Management
* ...
\ No newline at end of file
0% or .
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment