Criar segredos no Vault
Nesta página
Depois de definir sua ferramenta de armazenamento secreto como HashiCorp Vault, você também deverá criar segredos no Vault. Isso se aplica quando você está migrando manualmente seus segredos Kubernetes existentes ou está criando segredos pela primeira vez.
Para obter uma lista de segredos que você deve migrar manualmente para o Vault, consulte a seção Vault de Configurar Armazenamento Secreto.
O tutorial a seguir armazena sua chave de API programática no Vault. Você pode adaptar os comandos neste procedimento para adicionar outros segredos ao Vault alterando o caminho base, o namespace e o nome secreto.
Para saber mais sobre ferramentas de armazenamento secretas, consulte Configurar armazenamento secreto.
Pré-requisitos
Para criar credenciais para o Kubernetes Operator no Vault, você deve:
Ter ou criar uma organização MongoDB Ops Manager .
Ter ou gerar uma chave de API programática.
Conceda a essa nova chave de API programática a role de proprietário do projeto .
Adicione o bloco IP ou CIDR de qualquer host que atenda ao Kubernetes Operator à lista de acesso da API.
Configure uma instância do Vault e habilite o Vault.
Observação
Certifique-se de que o Vault não esteja em execução no modo de desenvolvimento e que a instalação do Vault segue todas as recomendações de configuração aplicáveis.
Procedimento
Para criar seu segredo no Vault:
Crie o segredo no Vault.
Invoque o seguinte comando do Vault para criar seu segredo, substituindo as variáveis pelos valores na tabela:
Espaço reservado | Descrição |
---|---|
{Namespace} | Etiqueta que identifica o namespace onde você distribuiu o Kubernetes Operator. |
{SecretName} | Etiqueta legível para humanos que identifica o segredo que você está criando no Vault. |
{PublicKey} | A chave pública para a chave de API programática do Ops Manager desejada. |
{PrivateKey} | A chave privada para a chave de API programática do Ops Manager desejada. |
vault kv put secret/data/mongodbenterprise/operator/{Namespace}/{SecretName} publicKey={PublicKey} privateKey={PrivateKey} The path in this command is the default path. You can replace ``mongodbenterprise/operator`` with your base path if you customized your |k8s-op-short| configuration.
Verifique se a criação do segredo do Vault foi bem-sucedida.
Invoque o seguinte comando do Vault para verificar seu segredo, substituindo as variáveis pelos valores na tabela a seguir:
Espaço reservado | Descrição |
---|---|
{Namespace} | Etiqueta que identifica o namespace onde você distribuiu o Kubernetes Operator. |
{SecretName} | Etiqueta legível para humanos que identifica o segredo que você está criando no Vault. |
vault kv get secret/data/mongodbenterprise/operator/{Namespace}/{SecretName}
Este comando retorna uma descrição secreta na shell:
====== Metadata ====== Key Value --- ----- created_time 2021-12-15T17:20:22.985303Z deletion_time n/a destroyed false version 1 ======= Data ======= Key Value --- ----- publicKey {PublicKey} privateKey {PrivateKey}