Después de usted configures tu herramienta de almacenamiento secreto para HashiCorp Vault, también se deben crear secretos en Vault. Esto se aplica cuando se realiza manualmente la migración de los secretos de Kubernetes existentes o cuando se crean secretos por primera vez.
Para una lista de secretos que debes migrar manualmente a Vault, consulta la sección de Vault en Configurar el almacenamiento de secretos.
El siguiente tutorial almacena tu Clave API programática en Vault. Puede adaptar los comandos en este procedimiento para agregar otros secretos a Vault cambiando la ruta base, el namespace y el nombre del secreto.
Para obtener más información sobre las herramientas de almacenamiento secreto, consulte Configurar almacenamiento secreto.
Requisitos previos
Para crear credenciales para el operador de Kubernetes en Vault, se debe:
Tenga o cree una Organización de Ops Manager.
Tener o generar una clave API programática.
Otorgue a esta nueva clave API programática el rol de Propietario del proyecto.
Agregar el IP o CIDR bloque de cualquier host que sirva el Operador de Kubernetes a la Lista de acceso a la API.
Configura una instancia de Vault y activa Vault.
Nota
Asegúrate de que Vault no esté ejecutándose en modo de desarrollo y de que tu instalación de Vault siga todas las recomendaciones de configuraciónaplicables.
Procedimiento
Para crear tu secreto en Vault:
Cree el secreto en Vault.
Evoca el siguiente comando de Vault para crear tu secreto, reemplazando las variables con los valores de la tabla:
Marcador de posición | Descripción |
|---|---|
{Namespace} | Etiqueta que identifica el namespace donde ha implementado el operador de Kubernetes. |
{SecretName} | Etiqueta legible por humanos que identifica el secreto que está creando en Vault. |
{PublicKey} | La clave pública para la clave API programática de Ops Manager que desea. |
{PrivateKey} | La clave privada para su clave API programática de Ops Manager. |
vault kv put secret/data/mongodbenterprise/operator/{Namespace}/{SecretName} publicKey={PublicKey} privateKey={PrivateKey} The path in this command is the default path. You can replace ``mongodbenterprise/operator`` with your base path if you customized your |k8s-op-short| configuration.
Verificar que la creación del secreto de Vault fue exitosa.
Invoca el siguiente comando de Vault para verificar tu secreto, reemplazando las variables con los valores de la siguiente tabla:
Marcador de posición | Descripción |
|---|---|
{Namespace} | Etiqueta que identifica el namespace donde ha implementado el operador de Kubernetes. |
{SecretName} | Etiqueta legible por humanos que identifica el secreto que está creando en Vault. |
vault kv get secret/data/mongodbenterprise/operator/{Namespace}/{SecretName}
Este comando devuelve una descripción secreta en el shell:
====== Metadata ====== Key Value --- ----- created_time 2021-12-15T17:20:22.985303Z deletion_time n/a destroyed false version 1 ======= Data ======= Key Value --- ----- publicKey {PublicKey} privateKey {PrivateKey}