Vault
Esta es la forma que toman la mayoría de los comandos del playbook vault.yml:
ansible-playbook vault.yml -K -t <<tag>>
Los nombres de los tags descritos a continuación deberán ir en vez de <<tag>> al momento de ejecutar el comando. Ej:
ansible-playbook vault.yml -K -t setup
Se pueden ejecutar múltiples tags, solamente deben ser separados por comas, sin espacios. Ej:
ansible-playbook vault.yml -K -t setup,deploy
Tags
Setup
setup: Este tag creará los directorios /opt/viridian/vault, /opt/viridian/vault/storage y /opt/viridian/vault/config
Deploy
deploy: Este tag copiará el archivo docker-compose.yml, que contiene la especificación de los docker containers, y el archivo config.json par . A continuación, ejecutará el archivo docker-compose.yml dentro de todos los servidores para crear los contenedores de vault.
Init
init: Este tag inicializará Vault mediante un proceso interactivo de configuración, se irán pidiendo ciertas variables, para cada una se debe ingresar el valor y luego presionar ENTER.
Las variables que se irán pidiendo son las siguientes:
- Please enter vault key shares: Se debe ingresar el numero de unseal keys que se generara para desellar Vault
- Please enter vault key threshold: Se debe ingresar el numero mínimo de unseal keys necesarios para desellar Vault
Luego se procederá al desellado inicial de los Vaults deployados en el servidor de administración y en los servidores de aplicaciones.
Como resultado de la inicialización se habrá generado un archivo que contiene todos los unseal keys y el root token de acceso a vault:
/defaults/vault_init.yml
Recomendación:
El archivo generado y/o su contenido deben ser copiados fuera del servidor, puestos bajo resguardo según políticas del banco y luego eliminados del servidor.
Config
config: Este tag iniciará el proceso de configuración de vault. Si el comando no encontrara el valor del root token dentro del archivo defaults/vault_init.yml, pedirá que se ingrese el root token. Si no se obtiene el root token, la configuración no podrá realizarse correctamente.
Durante el proceso, se crearán de nuevo todos los tokens, todos los secret engines y todos los policies. A continuación, se revisará si se tiene un backup de vault, para cargar los datos del backup. De no tener un backup, se crearán todos los datos de nuevo.
Como resultado de la configuración se habrá generado un archivo que contiene todos los tokens de acceso a vault:
/defaults/vault_tokens.yml
Recomendación:
El archivo generado y/o su contenido deben ser copiados fuera del servidor, puestos bajo resguardo según políticas del banco y luego eliminados del servidor.
Unseal
unseal: Este tag iniciara un proceso interactivo, se irán pidiendo ciertas variables, para cada una se debe ingresar el valor y luego presionar ENTER.
Las variables que se irán pidiendo son las siguientes:
- Please enter vault unseal key: Unseal key de vault generado durante la instalación, esta variable sera pedida hasta completar el threshold configurado durante la instalación.
Servidores afectados:
- administración
- aplicaciones
Backup
backup: Este tag iniciará un proceso de backup. Los archivos backup de vault se guardarán en la dirección de ansible, a la que se puede acceder ejecutando el comando cdansible, en la carpeta defaults/vault-backup. Los archivos dentro de esta carpeta serán:
application.jsonvdb-notifications-hosted.jsonuser-password.jsonsecurity-question.jsonauth-code.jsontotp.json
Servidores afectados:
- administración
Generate Tokens
generate-tokens: Iniciará el proceso de creación de nuevos tokens para vault. Si el comando no encontrara el valor del root token dentro del archivo defaults/vault_init.yml, pedirá que se ingrese el root token. Si no se obtiene el root token, el proceso no podrá realizarse correctamente.
Servidores afectados:
- administración