Vault, разработанный HashiCorp, — это популярный инструмент с открытым исходным кодом для безопасного хранения и управления конфиденциальными данными, такими как пароли, ключи API и сертификаты. Его надежная облачная архитектура позволяет организациям использовать расширенные функции, обеспечивая при этом защиту данных и контроль доступа. В этой статье мы углубимся в облачную архитектуру Vault, изучим различные методы и приведем примеры кода, которые помогут вам понять, как она работает.

1. Развертывание на одном сервере.
   Самый простой способ развертывания Vault — использование одного сервера. Этот метод подходит для небольших развертываний или целей тестирования. Вот пример запуска экземпляра с одним сервером с помощью Docker:

docker run --rm -p 8200:8200 --name=dev-vault vault

1. Развертывание высокой доступности (HA).
   Для производственных сред рекомендуется развертывание высокой доступности, чтобы обеспечить доступность услуг и отказоустойчивость. Vault можно развернуть в конфигурации «активный-резервный» или «активный-активный». Вот пример развертывания высокой доступности с использованием Docker Compose:

version: '3'
services:
  vault1:
    image: vault
    ports:
      - "8200:8200"
    environment:
      - 'VAULT_CLUSTER_ADDR=https://vault1:8201'
      - 'VAULT_API_ADDR=https://0.0.0.0:8200'
    cap_add:
      - IPC_LOCK
  vault2:
    image: vault
    environment:
      - 'VAULT_CLUSTER_ADDR=https://vault2:8201'
      - 'VAULT_API_ADDR=https://0.0.0.0:8200'
    cap_add:
      - IPC_LOCK

1. Интеграция с поставщиками облачных услуг.
   Vault легко интегрируется с различными поставщиками облачных услуг, что позволяет вам использовать их собственные сервисы для расширения функциональности. Например, вы можете использовать службу управления ключами AWS (KMS) для шифрования хранящихся данных Vault. Вот пример настройки Vault для использования AWS KMS:

storage "s3" {
  bucket         = "my-vault-bucket"
  kms_key_id     = "arn:aws:kms:us-west-2:123456789012:key/abcd1234-5678-90ab-cdef-1234567890ab"
}

1. Обработчики секретов.
   Vault предоставляет обработчики секретов для управления различными типами секретов, например базами данных, облачными службами и SSH. Эти механизмы позволяют генерировать динамические учетные данные и обеспечивать безопасный доступ к ресурсам. Вот пример настройки механизма секретов базы данных для создания динамических учетных данных для MySQL:

path "database/creds/my-role" {
  capabilities = ["read"]
}
path "database/rotate-root/my-role" {
  capabilities = ["update"]
}
database/roles/my-role {
  creation_statements = [
    "CREATE USER '{{name}}'@'%' IDENTIFIED BY '{{password}}';",
    "GRANT ALL ON mydatabase.* TO '{{name}}'@'%';"
  ]
  default_ttl = "1h"
  max_ttl     = "24h"
}

Облачная архитектура Vault предлагает гибкое и безопасное решение для управления конфиденциальными данными в облачной среде. Независимо от того, развертываете ли вы один сервер для тестирования или внедряете высокодоступную производственную систему, функции и интеграции Vault обеспечивают надежную основу для защиты секретов вашей организации.