Después de configurar su herramienta de almacenamiento secreto en HashiCorp VaultTambién debes crear secretos en Vault. Esto aplica al migrar manualmente tus secretos de Kubernetes existentes o al crearlos por primera vez.
Para obtener una lista de los secretos que debe migrar manualmente a Vault, consulte la sección Vault de Configurar almacenamiento de secretos.
El siguiente tutorial almacena su clave API programática en Vault. Puede adaptar los comandos de este procedimiento para agregar otros secretos a Vault modificando la ruta base, el espacio de nombres y el nombre del secreto.
Para obtener más información sobre las herramientas de almacenamiento secreto, consulte Configurar almacenamiento secreto.
Requisitos previos
Para crear credenciales para el operador de Kubernetes en Vault, debe:
Tener o crear una Organización de Gerente de Operaciones.
Tener o generar una clave API programática.
Otorgue a esta nueva clave API programática el rol de Propietario del proyecto.
Añade el Bloque de IP o CIDR de cualquier host que preste servicio al operador de Kubernetes en la lista de acceso de API.
Configurar una instancia de Vault y habilitar Vault.
Nota
Asegúrese de que Vault no se esté ejecutando en modo de desarrollo y de que su instalación de Vault siga todas las recomendaciones de configuración aplicables.
Procedimiento
Para crear su secreto en Vault:
Crea el secreto en Vault.
Invoque el siguiente comando Vault para crear su secreto, reemplazando las variables con los valores de la tabla:
Marcador de posición | Descripción |
|---|---|
{Namespace} | Etiqueta que identifica el espacio de nombres donde implementó el operador de Kubernetes. |
{NombreSecreto} | Etiqueta legible por humanos que identifica el secreto que estás creando en Vault. |
{PublicKey} | La clave pública para la clave API programática de Ops Manager que desea. |
{Clave privada} | La clave privada para la clave API programática de Ops Manager que desee. |
vault kv put secret/data/mongodbenterprise/operator/{Namespace}/{SecretName} publicKey={PublicKey} privateKey={PrivateKey} The path in this command is the default path. You can replace ``mongodbenterprise/operator`` with your base path if you customized your |k8s-op-short| configuration.
Verifique que la creación del secreto de Vault haya sido exitosa.
Invoca el siguiente comando de Vault para verificar tu secreto, reemplazando las variables con los valores de la siguiente tabla:
Marcador de posición | Descripción |
|---|---|
{Namespace} | Etiqueta que identifica el espacio de nombres donde implementó el operador de Kubernetes. |
{NombreSecreto} | Etiqueta legible por humanos que identifica el secreto que estás creando en Vault. |
vault kv get secret/data/mongodbenterprise/operator/{Namespace}/{SecretName}
Este comando devuelve una descripción secreta en el shell:
====== Metadata ====== Key Value --- ----- created_time 2021-12-15T17:20:22.985303Z deletion_time n/a destroyed false version 1 ======= Data ======= Key Value --- ----- publicKey {PublicKey} privateKey {PrivateKey}