官方文档：https://developer.hashicorp.com/vault/docs

官方api文档：https://developer.hashicorp.com/vault/api-docs

官方教学：https://learn.hashicorp.com/vault

部署

使用

密钥

密码

PKI

Policy

API

审计

通过审计日志形式记录每一条经过身份验证后的API请求/响应，可以同时创建多个/多种服务类型，将审计日志发送给所有设备，实现灾备与防篡改。

创建审计服务

curl -X POST -H "X-Vault-Token: ..." -d @audit-config.json http://$VAULT_IP:$VAULT_POST/v1/sys/audit/$CUSTOM

Parameters

• $VAULT_IP:$VAULT_POST vualt服务IP+PORT或者访问域名
• $CUSTOM 自定义审计服务路径

• audit-config.json 审计服务配置

  • type 可选 file\syslog\socket 对应审计日志输出方式

    • file 可通过filebeat等agent，采集至es等日志中心

      • audit-config.json

        {
          "type": "file",
          "options": {
            "file_path": "/var/log/vault/log",
            "format" : "json"
          }
        }

  - ``options`` ``file_path`` 指定日志文件输出位置 vault用户需要有rw权限

- ``syslog``  不推荐，灵活性差，不支持选择远程目标syslog，只能发送本地，并且存在一定风险，一定要使用时建议同时配置额外file类型，防止vault由于message过大导致服务阻塞

  - 不做详解只拿请求体做示例

    audit-config.json

{
  "type": "syslog",
  "options": {
    "tag" : "vault",
    "facility" : "AUTH",
    "format" : "json"
  }
}

- ``socket``  不建议，可能存在审计日志丢失情况，却无法判断是否丢失审计日志，有悖审计目的，一定要使用时建议同时配置额外file类型

  - 不做详解只拿请求体做示例

    audit-config.json

{
  "type": "socket",
  "options": {
    "address" : "127.0.0.1:9090",
    "socket_type" : "TCP",
    "format" : "json"
  }
}

删除审计服务

curl -X DELETE -H "X-Vault-Token: ..." http://$VAULT_IP:$VAULT_POST/v1/sys/audit/$CUSTOM

查看审计服务

curl -X GET -H "X-Vault-Token: ..." http://$VAULT_IP:$VAULT_POST/v1/sys/audit

FAQ

Vault服务重启，需要手动解封

支持使用transit secrets engine实现自动解封

https://developer.hashicorp.com/vault/tutorials/auto-unseal/autounseal-transit