Секретное управление через хранилище в док-контейнерах

Question

Я внедряю хранилище для хранения и доступа к секретам для моих док-контейнеров на другой виртуальной машине, также устанавливая хранилище в этом док-контейнере.

Есть ли способ получить доступ к секретам из моих док-контейнеров на другом компьютере, не устанавливая hashicorp-vault на эти контейнеры.

Answer 1

Чтобы получить доступ к секретам из Vault, вам необходимо пройти аутентификацию, получить токен хранилища и получить доступ к соответствующим секретам.

Существует несколько методов аутентификации (user / pass, LDAP, JWT ...).Прочтите об этом здесь и решите, какой метод соответствует вашим потребностям

Vault предоставляет rest api, что означает, что вам не нужно ничего устанавливать для доступа к нему.Просто отправьте соответствующий запрос http.

Например - здесь - это kv http api (и пример - для перечисления секретов)

$ curl \
    --header "X-Vault-Token: ..." \
    --request LIST \
    https://127.0.0.1:8200/v1/secret/metadata/my-secret

Answer 2

Вы можете добавить несколько слушателей в конфигах хранилища.

listener "tcp" {
  address = "127.0.0.1:8200"
}

listener "tcp" {
  address = "<your_server_ip>:8200"
  tls_cert_file = path/to/certfile
  tls_key_file = path/to/keyfile
}

Ссылки https://www.vaultproject.io/docs/configuration/listener/tcp.html