我们正计划搬迁。在我们的开发环境中,我们处于一种需要使用Vault向盐矿小客户颁发证书的情况。
当前的salt模块支持将简单的kv值发送给小兵,但除此之外没有任何其他功能。 Salt甚至不支持除默认令牌以外的任何身份验证方法,而我们正在寻求实施Vault的AppRole进行身份验证, https://docs.saltstack.com/en/2017.7/ref/modules/all/salt.modules.vault.html
到目前为止,我们已经按照本设置环境https://backbeat.tech/blog/secure-servers-with-saltstack-and-vault-part-1指南进行操作,但是由于我们的开发有不同的要求,因此并没有太大帮助。我想问一下是否有Vault + Salt的实现,这将允许我们使用hashicorp Vault向Salt Mines颁发私有证书,并使用更复杂的身份验证方式,而不仅仅是令牌?
谢谢。
答案 0 :(得分:0)
使用更复杂的身份验证方式,而不只是令牌?
v2018.11 branch上有AppRole个支持。您可以将其作为新模块添加到salt中,而不必覆盖原始Vault模块。
我想问一下是否有实施Vault + Salt的方法 将允许我们使用 hashicorp保险库
您可以使用vault module for salt-stack创建您的PKI。它允许您使用vault.write_secret执行模块写入Vault PKI后端。像
salt-call vault.write_secret "<pki_backend_name>/issue/<role_name>" common_name="<___>" ttl="100h" format="pem"
或来自某个州
{% set generate_certificate = salt['vault'].write_secret("<pki_backend_name>/issue/<role_name>", common_name="<___>", ttl="100h", format="pem") %}
我已经写了这个guide on how you can use vault to generate PKI,它可以派上用场。
希望有帮助。