Menu Docs
Página inicial do Docs
/
Operador de Kubernetes do MongoDB Enterprise
/
Segurança
/
Configurar armazenamento secreto

Criar segredos no Vault

Nesta página

  • Pré-requisitos
  • Procedimento

Depois de definir sua ferramenta de armazenamento secreto como HashiCorp Vault, você também deverá criar segredos no Vault. Isso se aplica quando você está migrando manualmente seus segredos Kubernetes existentes ou está criando segredos pela primeira vez.

Para obter uma lista de segredos que você deve migrar manualmente para o Vault, consulte a seção Vault de Configurar Armazenamento Secreto.

O tutorial a seguir armazena sua chave de API programática no Vault. Você pode adaptar os comandos neste procedimento para adicionar outros segredos ao Vault alterando o caminho base, o namespace e o nome secreto.

Para saber mais sobre ferramentas de armazenamento secretas, consulte Configurar armazenamento secreto.

Pré-requisitos

Para criar credenciais para o Kubernetes Operator no Vault, você deve:

  1. Ter ou criar uma organização MongoDB Ops Manager .

  2. Ter ou gerar uma chave de API programática.

  3. Conceda a essa nova chave de API programática a role de proprietário do projeto .

  4. Adicione o bloco IP ou CIDR de qualquer host que atenda ao Kubernetes Operator à lista de acesso da API.

  5. Configure uma instância do Vault e habilite o Vault.

    Observação

    Certifique-se de que o Vault não esteja em execução no modo de desenvolvimento e que a instalação do Vault segue todas as recomendações de configuração aplicáveis.

Procedimento

Para criar seu segredo no Vault:

1

Obtenha as chaves públicas e privadas do Ops Manager.

Verifique se você tem as chaves pública e privada para a chave de API programática do Ops Manager desejada.

2

Crie o segredo no Vault.

Invoque o seguinte comando do Vault para criar seu segredo, substituindo as variáveis pelos valores na tabela:

Espaço reservado
Descrição
{Namespace}
Etiqueta que identifica o namespace onde você distribuiu o Kubernetes Operator.
{SecretName}
Etiqueta legível para humanos que identifica o segredo que você está criando no Vault.
{PublicKey}
A chave pública para a chave de API programática do Ops Manager desejada.
{PrivateKey}
A chave privada para a chave de API programática do Ops Manager desejada.
  vault kv put secret/data/mongodbenterprise/operator/{Namespace}/{SecretName} publicKey={PublicKey} privateKey={PrivateKey}
The path in this command is the default path. You can replace ``mongodbenterprise/operator`` with
your base path if you customized your |k8s-op-short| configuration.
3

Verifique se a criação do segredo do Vault foi bem-sucedida.

Invoque o seguinte comando do Vault para verificar seu segredo, substituindo as variáveis pelos valores na tabela a seguir:

Espaço reservado
Descrição
{Namespace}
Etiqueta que identifica o namespace onde você distribuiu o Kubernetes Operator.
{SecretName}
Etiqueta legível para humanos que identifica o segredo que você está criando no Vault.
vault kv get secret/data/mongodbenterprise/operator/{Namespace}/{SecretName}

Este comando retorna uma descrição secreta na shell:

====== Metadata ======
Key              Value
---              -----
created_time     2021-12-15T17:20:22.985303Z
deletion_time    n/a
destroyed        false
version          1
======= Data =======
Key          Value
---          -----
publicKey    {PublicKey}
privateKey   {PrivateKey}

Voltar

Configurar armazenamento secreto

Próximo

Instalar