This shows you the differences between two versions of the page.
Both sides previous revision Previous revision | |
devops:hashicorp_vault_workflow [2020/08/13 19:46] – [Автоматическое обновление сертификатов с помощью consul-template] admin | devops:hashicorp_vault_workflow [2020/08/13 19:48] (current) – [Автоматическое обновление сертификатов с помощью consul-template] admin |
---|
https://learn.hashicorp.com/tutorials/nomad/vault-pki-nomad \\ | https://learn.hashicorp.com/tutorials/nomad/vault-pki-nomad \\ |
Как все работает. | Как все работает. |
* в деплойменте прикладного пода (nginx) прописываются два дополнительных контейнера. Первый - init-контейнер vault-agent, который берет конфигурацию из конфигмапа и получает токен. Этот токен в дальнейшем использует второй контейнер - consul-template, который занимается тем, что обновляет данные в соответствии с темплейтом записаным в конфигмап. Обновленные данные он кладет в папку, которая смонтирована в него и в прикладной под с nginx. | * в деплойменте пода помимио прикладного контейнера (**nginx**) прописываются два дополнительных контейнера. Первый - **init**-контейнер **vault-agent**, который берет конфигурацию из конфигмапа и получает токен. Этот токен в дальнейшем использует второй контейнер - **consul-template**, который занимается тем, что обновляет данные в соответствии с темплейтом записаным в конфигмап. Обновленные данные он кладет в папку, которая смонтирована в него и в прикладной под с **nginx**. |
* Для того, чтобы все работало в Vault должна быть заведена политика, которая бы разрешала доступ для заданной роли в путь, где выпускаются сертификаты. | * Для того, чтобы все работало в **Vault** должна быть заведена политика, которая бы разрешала доступ для заданной роли в путь, где выпускаются сертификаты. |
Создадим файл политики, которая разрешить выпуск сертификатов с помощью промежуточного CA: | Создадим файл политики, которая разрешить выпуск сертификатов с помощью промежуточного **CA**: |
<code>tee cert_issue_policy.hcl <<EOF | <code>tee cert_issue_policy.hcl <<EOF |
path "pki_int/issue/*" { | path "pki_int/issue/*" { |