开源密码存储引擎 Vault 的安装与使用

1. 引言

vault 是一款 HCP 推出的密钥管理引擎，用来集中存储集群运行过程中所需要的秘密信息，例如数据库的访问凭证、密码、密钥等。它保证了存储与通信过程的保密性，这对于我们无处不在的敏感信息的数据安全显然是十分必要的。

与此同时，vault 拥有一系列可插拔功能扩展，可以支持将 vault 的实际数据存储到内存、文件系统、google cloud、AWS、etcd 等多种存储介质中，满足不同的集群部署需求，可谓是非常灵活。

本文我们就来初步介绍一下 vault 这款存储的搭建和使用。

2. Vault 安装

在不同的平台上，vault 安装略有不同，可以参考实际的文档：

https://www.vaultproject.io/downloads

例如在 centos 上，可以通过下面的命令来进行安装：

3. 启动 Server

3.1 测试环境

如果仅用于测试，只需要执行下面的命令即可：

命令执行后的返回文本中会有 Unseal Key 和 Root Token 两个参数：

==> Vault server configuration:

WARNING! dev mode is enabled! In this mode, Vault runs entirely in-memoryand starts unsealed with a single unseal key. The root token is alreadyauthenticated to the CLI, so you can immediately begin using Vault.

You may need to set the following environment variable:

$ export VAULT_ADDR='http://127.0.0.1:8200'

The unseal key and root token are displayed below in case you want toseal/unseal the Vault or re-authenticate.

Unseal Key: 1+yv+v5mz+aSCK67X6slL3ECxb4UDL8ujWZU/ONBpn0Root Token: s.XmpNPoi9sRhYtdKHaQhkHP6x

Development mode should NOT be used in production installations!

==> Vault server started! Log data will stream in below:

接下来，按照上述指引，需要 export 两个环境变量：

通过 vault status 命令可以查看 vault 状态：

3.2 正式环境

3.2.1 启动 server

上述测试环境部署的 vault 使用了用于测试的一系列默认配置，如果我们要用于正式环境，我们自然需要进行一系列必要的配置，例如 vault 的数据具体存储在哪里，http 端口与 tls 协议支持等。

vault 支持通过 json、linux config、hcl 等多种配置方式，例如下面这个 config.hcl 配置：

接下来就可以启动 server 了：

3.2.2 server 的初始化

对于单机模式的 server 来说，每个 server 都需要进行一次且只能进行一次初始化操作，用来应用上述配置。对于 HA 模式的 vault 来说，则每个 cluster 需要执行一次初始化操作。

执行下面的命令对 vault 进行初始化操作：

会打印出下列信息：

Unseal Key 1: 4jYbl2CBIv6SpkKj6Hos9iD32k5RfGkLzlosrrq/JgOmUnseal Key 2: B05G1DRtfYckFV5BbdBvXq0wkK5HFqB9g2jcDmNfTQiSUnseal Key 3: Arig0N9rN9ezkTRo7qTB7gsIZDaonOcc53EHo83F5chAUnseal Key 4: 0cZE0C/gEk3YHaKjIWxhyyfs8REhqkRW/CSXTnmTilv+Unseal Key 5: fYhZOseRgzxmJCmIqUdxEm9C3jB5Q27AowER9w4FC2Ck Initial Root Token: s.KkNJYWF5g0pomcCLEmDdOVCW Vault initialized with 5 key shares and a key threshold of 3. Please securelydistribute the key shares printed above. When the Vault is re-sealed,restarted, or stopped, you must supply at least 3 of these keys to unseal itbefore it can start servicing requests. Vault does not store the generated root key (previously known as master key).Without at least 3 key to reconstruct the root key, Vault will remainpermanently sealed! It is possible to generate new unseal keys, provided you have a quorum ofexisting unseal keys shares. See "vault operator rekey" for more information.

3.2.3 对 key 解封

初始化后，vault 还不知道如何使用具体的存储，因此处于封锁状态，在上面的 output 内容中有这样一句话：

Vault initialized with 5 key shares and a key threshold of 3.

说明 threshold 为 3，也就是说，我们至少要对 3 个 key 执行解封操作后，server 才可以使用。

执行下面的命令即可：

3.2.4 创建 engine

和其他数据存储一样，要使用 vault 我们同样需要创建 database，但在 vault 中，数据是按照类似文件系统的 path 来组织的，需要用下面的命令来开启相应的 engine：

我们创建了一个 path secret，并且以 kv 类型进行存储。

4. vault 的基本使用

4.1 数据写入

使用下面的命令就可以写入数据了：

他表示在 path 为 secret 的子 path hello 中写入 kv 对 foo=world。

你也可以一次写入多个数据：

4.2 数据读取

我们可以直接读取 secret path 下 hello 子 path 的所有数据：

会打印出：

我们也可以指定 path 下具体的 field 来获取某个值：

这样就会直接打印出值：

yes

4.3 删除数据

把上述查询语句中的 get 关键字改成 delete 关键字就可以删除对应数据：

但是，如果你是误删除的话，vault 是支持误删恢复的，前提是你需要将 destroyed 配置为 false。

通过下面的命令，可以将已删除数据进行恢复：