通过docker containers中的vault进行秘密管理

Question

我正在实现vault来存储和访问我在其他VM上的docker容器的秘密，方法是在该docker容器中安装vault。

有没有办法在不安装hashicorp-vault的情况下访问另一台机器上我的docker容器中的秘密。

Answer 1

要从Vault访问机密，您需要进行身份验证、检索vault令牌并访问相关机密。

有多种身份验证方法(user/pass、LDAP、JWT...)。请阅读here并确定哪种方法适合您的需求

Vault公开了rest api，这意味着你不需要安装任何东西就可以访问它。只需发送相关的http请求即可。

例如- here是kv http api (并且是一个例子-列出秘密)

$ curl \
    --header "X-Vault-Token: ..." \
    --request LIST \
    https://127.0.0.1:8200/v1/secret/metadata/my-secret

Answer 2

您可以在vault配置中添加多个监听器。

listener "tcp" {
  address = "127.0.0.1:8200"
}

listener "tcp" {
  address = "<your_server_ip>:8200"
  tls_cert_file = path/to/certfile
  tls_key_file = path/to/keyfile
}

参考https://www.vaultproject.io/docs/configuration/listener/tcp.html