Подготовка к использованию хранилища секретов

Убедитесь, что модуль поддерживает использование хранилища секретов.

Получите от администратора хранилища секретов:

  • подтверждение, что секрет в хранилище секретов создан;

  • токен для доступа к хранилищу секретов;

  • метод (эндпоинт) доступа к секрету.

  1. Проверьте, что сервер хранилища секретов доступен: IP-адрес внесен в /etc/hosts или в локальный DNS организации.

  2. Проверьте номер и доступность порта, по которому выполняется защищенное HTTPS-подключение к хранилищу секретов.

  3. Получите цепочку HTTPS-сертификатов хранилища секретов в формате PEM.

    openssl s_client \
  -connect host \ (1) (2)
  -showcerts \ (3)
  -servername hostname \ (4)
  > ~/secretstorage.pem (5)
    1 Флаг -connect показывает диагностическую информацию об SSL-подключении к серверу.
    2 host — имя и опционально порт сервера хранилища секретов.
    3 Флаг -showcerts, добавленный к -connect, показывает всю цепочку сертификатов сервера в формате PEM.
    4 Включение SNI.
    5 Экспорт полученной цепочки сертификатов в файл.

    Сохраните файл ~/secretstorage.pem, он потребуется при добавлении хранилища секретов.

  4. Проверьте подключение к хранилищу секретов.

    Проверить подключение к хранилищу секретов можно с помощью curl, передав HTTPS-сертификат, токен доступа в заголовке X-Vault-Token или Authorization: Bearer.

    Эндпоинты KV v1 (неверсионируемые) и KV v2 (версионируемые) могут отличаться. Как правило, если эндпоинту KV v2 не передан номер версии секрета, возвращается самый новый (latest).

    Пример 1. Запрос неверсионируемого секрета (KV v1)
    curl
  --cacert ~/secretstorage.pem \ (1)
  --header 'X-Vault-Token: TOKEN' \ (2)
  'https://example.ru/v1/kv/postgres' (3)
    1 HTTPS-сертификат подключения.
    2 Токен доступа TOKEN в заголовке X-Vault-Token.
    3 Запрос к эндпоинту KV v1.
    Пример 2. Запрос версионируемого секрета (KV v2)
    curl
  --cacert ~/secretstorage.pem \ (1)
  --header 'Authorization: Bearer TOKEN' \ (2)
  'https://example.ru/v1/kv_rubackup/data/postgres' (3)
    1 HTTPS-сертификат подключения.
    2 Токен доступа TOKEN в заголовке Authorization.
    3 Запрос к эндпоинту KV v2. Обратите внимание на /data/.

  5. В конфигурационном файле модуля установите флаг, включающий использование хранилища секретов.

  6. В конфигурационном файле модуля удалите аутентификационные данные подключения к резервируемому ресурсу.