доступа в интернет нет.
Есть возможность при его установке как-то автоматизировать unseal?
Либо задать root token.
Устанавливаем официальным helm chart'ом.
если контейнер внутри вольта засилен, то вы даже с рут токеном ничего не сделаете, но на всякий , рут токен, да и любой токен можно передавать в ENV для docker-контейнера
А если ситуация с нуля? Вот нет vault, а нужно поднять его без доступа к инету и без другого vault со старым root token'ом? Т.е. чтобы root token был такой, как был где-то ещё?
Через железный HSM но только enterprise версии
так у вас скорее всего не получится, ибо токен рута генерится при создании кластера, если вы пытаетесь развернуть новый кластер, у вас будет новый токен
а вот если у вас уже есть данные и кластер подымался, то это другое дело, вы просто развертываете данные, ансилите, подкидываете токен и радуетесь
Да я так понимаю, что если хотим использовать один и тот же токен для чего либо, то не нужно использовать рут токен (да в дев окружении это сейчас именно так 😂), а просто создать отдельный токен и после создания нового волт импортировать в него бэкап из старого и использовать тот отдельный токен?
Допустим я разверну кластер где либо предварительно, но я же не могу рут токен из одного кластера в другой перенести, он по-любому будет новый в новом кластере?
так если ты развертываешься из бекапа то у тебя все токены и останутся
Понял Значит либо покурить как правильно делается backup/restore и либо в новом кластере новый рут токен и импорт данных :)
ну типа того =)
https://learn.hashicorp.com/tutorials/vault/sop-backup
Если старый и новый кластер 1 нодовый без Consul, то делаю: на старом: - consul snapshot save backup.snap на новом: - consul snapshot restore backup.snap - vault operator unseal [unseal_key_from_old_vault] ?
Если без consul то смотреть надо Integrated storage - команды vault operator …
Тьфу ты прямо в команде написано consul, я и тут не увидел 😂😂😂
Обсуждают сегодня