áááºáááºážá¡ááœáẠá
á¬áááºážááœááºážááŸá¯á¡áá
Ạá
áááºáá±á¬á·áááºáᯠáá»áŸá±á¬áºááá·áºáá«áááºá
Transparent Data Encryption (TDE) ááœáẠáá±á«áºáá¬áááºá
MySQL áá±á¬á·áááºááŒááºážá
áá±á¬á·áááºááŒááºážáá»á¬ážááẠáá¬áá¬á¡á¬áž áá±áááœááºážááá¯ááºáá áºáᯠ(keyring_file) ááá¯á·ááá¯áẠá¡áá±ážááááºážáá¬áᬠ(HashiCorp Vault áá²á·ááá¯á·áá±á¬) ááœáẠáá±á¬á·áá»á¬ážááᯠáá±ážááŒááºážáááºá áááºáá®ážáááºááŸáá·áº áá»ááºááẠááœáá·áºááŒá¯ááá·áº ááááºá¡ááºáá»á¬ážááŒá áºáááºá áááºážááá¯á·áááŒááºáááºááá°ááŒááºážááᯠááŒááºáááºá á±áááºá¡ááœáẠáá±á¬á·áá»á¬ážááᯠá ááºááœááºážá á¡ááŒá²áááºáž ááááºážáááºážáá¬ážáááºá
ááááºá¡ááºáá»á¬ážááᯠá¡áá»áá¯ážá¡á á¬ážááŸá áºáá»áá¯áž ááœá²ááŒá¬ážááá¯ááºáááº-
- áá±áááœááºážááá¯ááŸá±á¬ááºááŸá¯á á¥ááá¬á¡á¬ážááŒáá·áºá áá±áááá¯ááºáá áºáᯠ(áá»áœááºá¯ááºááá¯á·ááẠáááºážááᯠááá¯ááºá¡ááŒá±áá¶áá±á¬á·áá»áááºáá¯áá±á«áºáááº)á
- á¡áá±ážááááºážá á¥ááá¬á¡á¬ážááŒáá·áºá Vault Server (áááºážááᯠserver-based keyring áá¯áá±á«áºáááº)á
ááá°áá®áá±á¬ ááá¯ááŸá±á¬ááºááŸá¯ á¡áá»áá¯ážá¡á á¬ážáá»á¬ážááẠáá±á¬á·áá»á¬ážááᯠááááºážáááºážááŒááºážááŸáá·áº áá¯ááºáá°ááá·áºá¡áá«ááœááºáá¬áá áááºážááá¯á·ááᯠáá¯ááºáá±á¬ááºááá·áºá¡áá«ááœááºáááºáž á¡áááºážáááºááœá²ááŒá¬ážáá±á¬ááŒá±á¬áá·áº á€ááœá²ááŒá¬ážááŸá¯ááẠá¡áá±ážááŒá®ážáá«áááºá
ááá¯ááºááá¯ááŸá±á¬ááºááŸá¯ááᯠá¡áá¯á¶ážááŒá¯ááá·áºá¡áá«á á áááºáá»áááºááœááºá ááá¯ááŸá±á¬ááºááŸá¯á á¡ááŒá±á¬ááºážá¡áá¬á¡á¬ážáá¯á¶ážááᯠáááºááŸáºááœáẠáááºáá¬ážáááº- áá±á¬á·á¡áá¯ááºáá®á áá±á¬á·á¡áá¯á¶ážááŒá¯áá°á áá±á¬á·á¡áá»áá¯ážá¡á á¬ážááŸáá·áº áá±á¬á·ááá¯ááºááŸáá¯ááºá
áá¬áá¬á¡ááŒá±áá¶á ááá¯áž (Vault Server áá²á·ááá¯á·) ááœáẠáá±á¬á· ID ááŸáá·áº áá±á¬á·á¡áá¯á¶ážááŒá¯áá°ááá¯áᬠá áááºáá»áááºááœáẠáááºáá±ážáá¬ážáá±á¬ááŒá±á¬áá·áº áá±á¬á·á¡á¬ážáá¯á¶ážááᯠááá°ááŒááºážááẠá áááºááŸá¯á¡á¬áž ááŸá±ážááœá±ážá á±áááºááá¯ááºáá«á áá±á¬á·áá»á¬ážááᯠáá»ááºážááá áœá¬ áááºáá±áá«áááºá ááá¯ááá¯áááºááŸá¬á áá±á¬á·ááá¯ááºááŸáá¯ááºá áááºážááᯠá¡ááŸááºááááºááá¯á¡ááºáá±ááŸáᬠVault á០áááºáá«áááºá áá±á«ááºážáá¯ááºáá¯ááºááŒá®ážáááºááŸáá·áºá á¡áá¬áááºááœáẠVault Server ááá¯á· TLS áá»áááºáááºááŸá¯áá»á¬ážááŸáááá·áº áááºáá±á¬ááºááŒáá·áºááŸá¯ááẠáááá¯á¡ááºá á±ááẠáá±á¬á·ááᯠáááºááá¯áá®ááœáẠááááºážáááºážáá¬ážáááºá ááá¯á·áá±á¬ááºá áá±á¬á·á ááá¯ážááá¯ááºááœáẠáááºááá·áºá¡áá»ááºá¡áááºáá«ááŸááááºááᯠááŒáá·áºááŒáá«á áá¯á·á
á¡ááá á¡áá»ááºá¡áááºááœáẠá¡á±á¬ááºáá«ááá¯á· áá«áááºáááº-
- áá±á¬á· id â á¡ááá identifier á¥ááá¬-
INNODBKey-764d382a-7324-11e9-ad8f-9cb6d0d5dc99-1
- áá±á¬á·á¡áá»áá¯ážá¡á á¬áž â á¡áá¯á¶ážááŒá¯áá¬ážáá±á¬ áá¯ááºááŸááºááŒááºážááá¯ááºáᬠá¡ááºáááá¯áá®áááºá¡áá±á«áº á¡ááŒá±áá¶áá¬ážáá±á¬ áá±á¬á·á¡áá»áá¯ážá¡á á¬ážá ááŒá áºááá¯ááºááá·áºáááºááá¯ážáá»á¬áž- âAESâá âRSAâ ááá¯á·ááá¯áẠâDSAâá
- áá±á¬á·á¡ááŸáẠâ bytes áá±á¬á·á¡ááŸááºá AES- 16á 24 ááá¯á·ááá¯áẠ32á RSA 128á 256á 512 ááŸáá·áº DSA 128á 256 ááá¯á·ááá¯áẠ384á
- á¡áá¯á¶ážááŒá¯áá°ááᯠ- áá±á¬á·ááá¯ááºááŸááºá áá±á¬á·ááẠá áá áºá á¥ááá¬á Master Key ááŒá áºáá«áá á€á¡ááœááºááẠááá¬ááŒá áºáá±áááºá áá±á¬á·áá áºáá¯ááᯠkeyring_udf áá¯á¶ážááŒá®áž áááºáá®ážáá¬ážáá«áá á€á¡ááœááºááẠáá±á¬á·ááá¯ááºááŸááºááᯠáááºááŸááºáá±ážáááºá
- áá±á¬á·ááá¯ááºááŸáá¯ááº
áá±á¬á·ááᯠá¡ááœá²- key_idá á¡áá¯á¶ážááŒá¯áá°á០áá®ážááŒá¬ážáááºááŸááºáá¬ážáááºá
áá±á¬á·áá»á¬ážááᯠááááºážáááºážááŒááºážááŸáá·áº áá»ááºááŒááºážááœááºáááºáž ááœá²ááŒá¬ážááŸá¯áá»á¬ážááŸááááºá
ááá¯ááºááá¯ááŸá±á¬ááºááŸá¯á ááá¯ááŒááºáááºá áá±á¬á·á ááá¯ážáá áºáá¯ááẠááá¯ááºáá áºáá¯ááá¯á· áá±á¬á·ááᯠáá áºááŒáááºáᬠáá±ážááá¯ááºáá¯á¶áá¬áᯠáááºáá±á¬ááºážáááºááá¯ááºáá±á¬áºáááºážá á€áá±áá¬ááœáẠáá±á¬ááºááẠááŒá áºáá»ááºáá±áá«áááºá ááá¯ááºááá¯ááŸá±á¬ááºááŸá¯ ááœááºážáá¶ááŒááºáááºááŸá¯ ááŒá¯áá¯ááºááá·áºá¡áá«ááá¯ááºážá á¡ááŒá±á¬ááºážá¡áá¬á¡á¬ážáá¯á¶ážá á¡áááºáááá¹áá°ááᯠáŠážá áœá¬ áááºáá®ážáá«áááºá ááá¯ááºááᯠmy_biggest_secrets áᯠááá¯ááŒáá«á áá¯á·á ááá¯á·áá±á¬áẠá¡áááºáááá¹áá°ááẠmy_biggest_secrets.backup ááŒá áºáááá·áºáááºá ááá¯á·áá±á¬ááºá áááºááŸáºááᯠááŒá±á¬ááºážááá¯ááºááẠ(áá±á¬á·áá»á¬ážááᯠáá±á«ááºážááá·áºááẠááá¯á·ááá¯áẠáá»ááºááá¯ááºáááº) ááŸáá·áºá á¡á¬ážáá¯á¶ážá¡á±á¬ááºááŒááºáá«áá áááºááŸáºááẠááá¯ááºáá áºáá¯ááá¯á· ááŒááºáááºáááºááŸááºáááºááŒá áºáááºá áá¬áá¬áá»áá¯á·ááœááºážááŸá¯áá²á·ááá¯á·áá±á¬ ááŸá¬ážáá«ážáá±á¬ááá á¹á áá»á¬ážááœááºá á€á¡áááºááá¯ááºááᯠáááºááœá±á·ááá¯ááºáááºá áá±á¬á·áá»á¬ážááᯠáá±á¬ááºáá áºááŒááẠáááºááá·áºá¡áá« á¡áááºááá¯ááºááᯠáá»ááºááá¯ááºááẠ(áá»á¬ážáá±á¬á¡á¬ážááŒáá·áº áá¬áá¬ááᯠááŒááºáááºá áááºááŒá®ážáá±á¬ááº)á
áá¬áá¬ááá¯ááŸá±á¬ááºááŸá¯ááœáẠáá±á¬á·ááá¯ááááºážáááºážááŒááºáž ááá¯á·ááá¯áẠáá»ááºááá·áºá¡áá«á ááá¯ááŸá±á¬ááºááŸá¯ááẠ"áá±á¬á·áá±ážááá¯á·ááŒááºáž" / "áá±á¬á·áá»ááºááŒááºážáá±á¬ááºážááá¯áááº" áá°áá±á¬ ááœáŸááºááŒá¬ážáá»ááºáá»á¬ážááŒáá·áº MySQL áá¬áá¬ááá¯á· áá»áááºáááºááá«áááºá
áá¬áá¬á áááºááŸá¯ááŒááºááŸá¯ááºážááá¯á· ááŒááºááœá¬ážááŒáá«á áá¯á·á ááœáŸááºáááºááá·áºá¡ááŒááºááŸá¯ááºážááẠvault ááá¯ááºááá¯ááºá áááºáá±á¬ááºááŸá¯ááŸáááá·áºá¡ááŒááºá á áááºáá»áááºááœáẠáá±á¬á·á áºááŸáá±á¬á·áááºáá»áŸááŒááºáá°ááẠááá¯á¡ááºááá·áºááŒá¿áá¬áááºáž ááŸááá±ážáááºá áá¯ááºáá«áááºá áá«á server storage á¡ááœáẠá¡áá°ážá¡áá±ážááŒá®ážáááºá á áááºáá»áááºááœááºá áá¬áá¬ááẠáá¯ááºááŸááºáá¬ážáá±á¬ ááá¬ážáá»á¬áž/á á¬ážááœá²áá±áá¬áá»á¬ážá¡ááœáẠáááºááá·áºáá±á¬á·ááá¯á¡ááºáááºááᯠá á áºáá±ážááŒá®áž ááá¯ááŸá±á¬ááºááŸá¯ááŸáá±á¬á·ááᯠáá±á¬ááºážááá¯áá«áááºá Master Key áá¯ááºááŸááºááŒááºážáá«ááŸááá±á¬ âááá·áºááŸááºážâ áá¬áá¬ááœááºá ááá¯ááŸá±á¬ááºááŸá¯á០ááŒááºáá°áááá·áº Master Key áá áºáá¯ááŸáááá«áááºá ááá¯á·áá¬ááœááºá á¥ááá¬á á¡áááºáá¬áá¬ááẠáááºááá¬áá¬á០á¡áááºáá°ážáá°ááŒááºážááᯠááŒááºáááºááá°ááá·áºá¡áá« áá±á¬á·á¡áá±á¡ááœáẠááá¯áá»á¬ážááẠááá¯á¡ááºáá«áááºá áá®ááá¯á¡ááŒá±á¡áá±áá»áá¯ážááŸá¬ Master Key ááᯠááŸáá·áºáá±ážááá·áºáá«áááºá á€áá±áá¬ááœáẠMaster Keys á¡áá»á¬ážá¡ááŒá¬ážááᯠá¡áá¯á¶ážááŒá¯ááá·áº áá¬áá¬áá áºáá¯ááẠá¡áá°ážáááŒáá·áº áá¬áá¬áááºááŒááºážáá±á¬á·á ááá¯ážááᯠá¡áá¯á¶ážááŒá¯ááá·áºá¡áá«ááœáẠá¡áááºážáááºááŒá¬ááá¯ááºáááºááᯠáááááŒá¯áááá±á¬áºáááºáž áááºážááᯠáá±á¬ááºáá±á¬ááºážáá«ážáá»á¬ážááœáẠááá¯ááá¯á¡áá±ážá áááºáá±á¬áºááŒáá«áááºá
á¡áᯠkeyring_file á¡ááŒá±á¬ááºáž áááºážáááºážááŒá±á¬ááŒáá·áºáá¡á±á¬ááºá áá»áœááºáá±á¬áº keyring_file ááá¯áá®ááœááºáá±áá»áááºá áá¬áá¬á¡áá¯ááºáá¯ááºáá±áá»áááºááŸá¬ keyring_file á¡ááŒá±á¬ááºážá¡áá²ááœá±ááᯠáááºááá¯á á áºáá±ážáááá²ááá¯áá¬ááá¯áááºáž áá»áœááºáá±á¬áºá áá¯ážááááºáá²á·áá«áááºá 5.7 ááœááºá á á¶ááŒááŒá±ááŸááºážáá»ááºááá¯ááºááá·áº ááá¯ááºá á¬áááºážááá¬ážáá»á¬ážá¡áá±á«áº á¡ááŒá±áá¶á á á áºáá±ážááŸá¯ááᯠáá¯ááºáá±á¬ááºáá²á·ááŒá®áž 8.0 ááœáẠáááºážááᯠSHA256 checksum ááŒáá·áº á¡á á¬ážááá¯ážáá²á·áááºá
keyring_file ááᯠááẠááááá¯á¶áž run ááá·áº á¡ááŒáááºááœááºá ááá¯ááºá á¬áááºážááá¬ážááŸáá·áº checksum ááᯠáá¬áá¬á០ááŸááºáá¬ážáá¬ážááá·áº ááœááºáá»ááºááŒá®áž á¡ááŒá±á¬ááºážá¡áá²áá»á¬áž ááá¯ááºáá®ááŸáᬠáááºáá±á¬ááºáááºááŒá áºáááºá ááá¯ááºááŒá±á¬ááºážáá±á¬á¡áá«á checksum ááᯠá¡ááºááááºáá¯ááºáááºá
áá»áœááºá¯ááºááá¯á·ááẠáá±á¬á·á¡áááºážáá»á¬ážááŸáá·áºáááºáááºááá·áº áá±ážááœááºážáá»á¬ážá áœá¬ááᯠááœá±ážááœá±ážááŒá®ážááŒá áºáááºá ááá¯á·áá±á¬áºáááºážá áááŒá¬áá áá±á·áá»á±á¬áẠááá¯á·ááá¯áẠáá¬ážáááºááŸá¯ááœá²ááá·áº á¡ááŒá¬ážá¡áá±ážááŒá®ážáá±á¬ á¡ááŒá±á¬ááºážá¡áá¬áá áºáᯠááŸááá«áááº- áá¬áá¬áá»á¬ážáá áºáá»áŸá±á¬áẠáá±á¬á·áá»á¬ážááᯠáá»áŸáá±ááŒááºážá
áá«áá¬ááá¯ááá¯ááá¯áá¬áá²á á¡á á¯á¡áá±ážááŸá áá¬áá¬áá áºáá¯á á®ááœáẠ(á¥ááá¬á Percona áá¬áá¬) ááẠPercona áá¬áá¬ááœáẠáááºážááá±á¬á·áá»á¬ážááᯠááááºážáááºážáá¬ážáááá·áº Vault áá¬áá¬ááœáẠáá®ážááŒá¬ážáááºáá±áá¬áá áºáᯠááŸáááá«áááºá ááá¯ááŸá±á¬ááºááŸá¯ááœááºááááºážáááºážáá¬ážáá±á¬ Master Key áá áºáá¯á á®ááœáẠáááºážááááºááŸááºá áá áºá¡ááœááºáž Percona áá¬áá¬á GUID áá«ááŸááááºá á¡áááºááŒá±á¬áá·áº á¡áá±ážááŒá®ážááááºážá ááá·áºááœáẠVault Server áá áºáá¯áá¬ááŸáááŒá®áž á¡á á¯á¡áá±ážá¡ááœááºážááŸá Percona áá¬áá¬áá»á¬ážá¡á¬ážáá¯á¶áž ááᯠVault Server áá áºáá¯áááºážááᯠá¡áá¯á¶ážááŒá¯áááºáᯠááŒááºáá±á¬ááºááŒáá·áºáá«á ááŒá¿áá¬á ááŸááºážáá±áá¯á¶ááááºá Percona áá¬áá¬áá»á¬ážá¡á¬ážáá¯á¶ážááẠid=1á id=2 á áááºááŒáá·áº áá®ážááá·áºááœá²ááŒá¬ážáááºááŸááºááŸá¯áááŸááá² Master Key ááá¯á¡áá¯á¶ážááŒá¯áá«áá á¡á á¯á¡áá±ážááŸá áá¬áá¬áá»á¬ážá¡á¬ážáá¯á¶ážááẠáá°áá®áá±á¬ Master Key ááᯠá¡áá¯á¶ážááŒá¯áááºááŒá áºáááºá GUID ááŸáá±ážáá±á¬ááºáá±á¬á¡áá¬ááŸá¬áá¬áá¬áá»á¬ážá¡ááŒá¬ážááŒá¬ážáá¬ážáá»ááºááŒá áºáááºá áá°ážááŒá¬ážáá±á¬ GUID áá áºáá¯ááŸáááŸáá·áºááŒá®ážáá«á áá¬áá¬áá»á¬ážá¡ááŒá¬áž áá±á¬á·áá»á¬ážáá»áŸáá±ááŒááºážá¡ááŒá±á¬ááºáž á¡áááºááŒá±á¬áá·áºááŒá±á¬ááá¯ááááºážá áá±á¬ááºááẠááááºá¡ááºáá áºáᯠááŸáááẠ- keyring_udfá á€ááááºá¡ááºááŒáá·áºá áááºááá¬áá¬á¡áá¯á¶ážááŒá¯áá°ááẠáááºážááá¯á·ááá±á¬á·áá»á¬ážááᯠVault áá¬áá¬ááœáẠááááºážáááºážááá¯ááºáááºá á¥ááá¬á á¡áá¯á¶ážááŒá¯áá°áá áºáŠážááẠserver1 ááœáẠáá±á¬á·áá áºáá¯ááᯠáááºáá®ážááŒá®ážáá±á¬ááºá á¥ááá¬á server2 ááœáẠáá°áá®áá±á¬ ID ááŒáá·áº áá±á¬á·áá áºáá¯ááᯠáááºáá®ážááẠááŒáá¯ážá á¬ážáá±á¬á¡áá« ááŒá¿áá¬ááŒá áºáááºáááº-
--server1:
select keyring_key_store('ROB_1','AES',"123456789012345");
1
--1 зМаÑÐžÑ ÑÑпеÑМПе завеÑÑеМОе
--server2:
select keyring_key_store('ROB_1','AES',"543210987654321");
1
áááá±á áá¬áá¬ááŸá áºáá¯áá¯á¶ážááẠáá°áá®áá±á¬ Vault Server ááá¯á¡áá¯á¶ážááŒá¯áá±áááºá server2 ááœáẠkeyring_key_store áá¯ááºáá±á¬ááºáá»ááºááẠáá¡á±á¬ááºááŒááºááá·áºáá«á á áááºáááºá á¬ážááá¯á·áá±á¬ááºážáá¬á áá¬áá¬áá áºáá¯áááºážááŸá¬ á¡áá¬ážáá°áá¯ááºáá±á¬ááºááá¯á· ááŒáá¯ážá á¬ážááẠá¡ááŸá¬ážá¡ááœááºážáá áºáá¯ááᯠáááºáááºáá¶áááŸááá«áááá·áºáááº-
--server1:
select keyring_key_store('ROB_1','AES',"123456789012345");
1
select keyring_key_store('ROB_1','AES',"543210987654321");
0
ááŸááºáá«áááºá ROB_1 ááŸáááŒá®ážáá¬ážáá«á
áá¯áááá¥ááá¬ááᯠá¡áááºááœá±ážááœá±ážááŒáá·áºáá¡á±á¬ááºá á¡á á±á¬ááá¯ááºážááœáẠáá»áœááºá¯ááºááá¯á·ááŒá±á¬áá²á·ááá·áºá¡ááá¯ááºážá keyring_vault ááá¯á·ááá¯áẠá¡ááŒá¬ážáá±á¬áá±á¬á·áá»áááºááááºá¡ááºáá»á¬ážááẠáá±á¬á· ID á¡á¬ážáá¯á¶ážááᯠááŸááºáá¬ááºáá²ááœáẠááááºážáááºážáá¬ážáááºá ááá¯á·ááŒá±á¬áá·áºá áá±á¬á·á¡áá áºáá áºáá¯áááºáá®ážááŒá®ážáá±á¬ááºá ROB_1 ááᯠserver1 ááá¯á· áá±á«ááºážááá·áºááá¯ááºááŒá®ážá á€áá±á¬á·ááᯠVault ááá¯á·ááá¯á·ááŒááºážá¡ááŒááºá áá±á¬á·ááá¯áááºáž áááºááŸáºááœááºááá·áºáá¬ážáááºá ááá¯á áá»áœááºá¯ááºááá¯á·ááẠáá°áá®áá±á¬áá±á¬á·ááᯠáá¯áááá¡ááŒáááºáááºááá·áºááẠááŒáá¯ážá á¬ážáá±á¬á¡áá«á keyring_vault ááẠáááºááŸáºááœáẠáá±á¬á·ááŸááááŸá á á áºáá±ážááŒá®áž á¡ááŸá¬ážáá áºáá¯ááᯠáá áºááœáŸááºááá¯ááºáááºá
áááá¡ááŒá±á¡áá±á ááá°áá°ážá Server1 ááŸáá·áº server2 ááœáẠáá®ážááŒá¬áž áááºááŸáºáá»á¬ážááŸááááºá ROB_1 ááᯠserver1 ááŸáá·áº Vault server ááœáẠkey cache ááá¯á·ááá·áºááŒá®ážáá±á¬ááºá server2 ááŸá key cache ááẠá áá·áºááºááá¯ááºáá±á¬á·áá«á áá¬áá¬áááŸá áááºááŸáºááœáẠROB_2 áá±á¬á·áááŸááá«á ááá¯á·ááŒá±á¬áá·áºá ROB_1 áá±á¬á·ááᯠkeyring_key_store ááŸáá·áº Vault server ááá¯á· á á¬áá±ážáá¬ážááŒá®ážá áááºážááẠááááºáááºááá¯áž (!) ááᯠá¡ááŸááºáááẠoverwrite áá¯ááºáá±ážáááºá ááᯠVault áá¬áá¬ááŸá ROB_1 áá±á¬á·ááẠ1 ááŒá áºáááºá á áááºáááºá á¬ážá áá¬ááŸá¬ Vault áá¬áá¬ááẠááá¯áá¯ááºáá±á¬ááºáá»ááºáá»á¬ážááᯠáááááºááá¯á·áá² áááºááá¯ážáá±á¬ááºážááᯠá¡ááœááºááá° áááºáá±ážáá±áá«áááºá
ááẠkeyring_udf ááá¯á¡áá¯á¶ážááŒá¯ááŒá®áž Vault ááœáẠáá±á¬á·áá»á¬ážááááºážáááºážááá¯áá±á¬á¡áá«ááœáẠáá¬áá¬á¡ááá¯ááºážááœá²ááŒááºážááẠá¡áááºááŒá±á¬áá·áºá¡áá±ážááŒá®ážáááºááᯠááá¯áá»áœááºá¯ááºááá¯á·ááŒááºááá¯ááºáá«ááŒá®á Vault áá¬áá¬ááœáẠá€ááœá²ááŒá¬ážááŸá¯ááᯠáááºááá¯á·á¡á±á¬ááºááŒááºááá¯ááºáááºáááºážá
Vault ááœáẠpartition áá¯ááºááẠáááºážáááºážááŸá áºáá¯ááŸááááºá áá¬áá¬áá áºáá¯á á®á¡ááœáẠááá°áá®áá±á¬ mount á¡ááŸááºáá»á¬ážááᯠáááºáááºáá®ážááá¯ááºááẠááá¯á·ááá¯áẠáá°áá®áá±á¬ mount point á¡ááœááºáž ááá°áá®áá±á¬áááºážááŒá±á¬ááºážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá áá«á á¡áá±á¬ááºážáá¯á¶áž á¥ááá¬ááœá±áá²á· ááŒáá¬ážáá«áááºá áá®áá±á¬á· mount point áá áºáá¯áá»ááºážááᯠá¡áááºááŒáá·áºáá¡á±á¬ááºá
--server1:
vault_url = http://127.0.0.1:8200
secret_mount_point = server1_mount
token = (...)
vault_ca = (...)
--server2:
vault_url = http://127.0.0.1:8200
secret_mount_point = sever2_mount
token = (...)
vault_ca = (...)
á€áá±áá¬ááœáẠserver1 ááŸáá·áº server2 ááẠááá°áá®áá±á¬ mount point áá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áá±áááºááᯠááœá±á·ááá¯ááºáááºá áááºážááŒá±á¬ááºážáá»á¬ážááᯠááá¯ááºážááŒá¬ážáá±á¬á¡áá«á ááœá²á·á ááºážááŸá¯áá¯á¶á á¶ááẠá€áá²á·ááá¯á·ááŒá áºáá±áááá·áºáááº-
--server1:
vault_url = http://127.0.0.1:8200
secret_mount_point = mount_point/server1
token = (...)
vault_ca = (...)
--server2:
vault_url = http://127.0.0.1:8200
secret_mount_point = mount_point/sever2
token = (...)
vault_ca = (...)
á€ááá á¹á ááœááºá áá¬áá¬ááŸá áºáá¯áá¯á¶ážááẠáá°áá®áá±á¬ mount point "mount_point" ááá¯á¡áá¯á¶ážááŒá¯áá±á¬áºáááºáž ááá°áá®áá±á¬áááºážááŒá±á¬ááºážáá»á¬ážá á€áááºážááŒá±á¬ááºážááá¯á¡áá¯á¶ážááŒá¯á server1 ááœááºááááá¯á¶ážáá»áŸáá¯á·ááŸááºáá»ááºááá¯áááºáá®ážáá±á¬á¡áá« Vault server ááẠ"server1" directory ááá¯á¡ááá¯á¡áá»á±á¬ááºáááºáá®ážáá±ážáááºá server2 á¡ááœáẠá¡áá¬á¡á¬ážáá¯á¶ážá áááºáá°áá«áááºá mount_point/server1 ááá¯á·ááá¯áẠmount_point/server2 ááœáẠáá±á¬ááºáá¯á¶ážáá»áŸáá¯á·ááŸááºáá»ááºááᯠáááºáá»ááºáá±á¬á¡áá«á Vault áá¬áá¬ááẠááá¯áááºážááœáŸááºáá»ááºáá»á¬ážááá¯áááºáž áá»ááºáááºá á¡áááºá áááºááẠáááºážááŒá±á¬ááºáž ááŒá¬ážáá¬ážááŒááºážááᯠá¡áá¯á¶ážááŒá¯áá«áá áááºááẠmount point áá áºáá¯áᬠáááºáá®ážááŒá®áž configuration ááá¯ááºáá»á¬ážááᯠáá¬áá¬áá»á¬ážá០áá®ážááŒá¬ážáááºážááŒá±á¬ááºážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºááẠááŒá±á¬ááºážáá²ááá«áááºá HTTP áá±á¬ááºážááá¯ááŸá¯ááᯠá¡áá¯á¶ážááŒá¯á mount point áá áºáá¯ááᯠáááºáá®ážááá¯ááºáááºá CURL ááᯠá¡áá¯á¶ážááŒá¯á á€áá²á·ááá¯á· áá¯ááºáá±á¬ááºááá¯ááºáááº-
curl -L -H "X-Vault-Token: TOKEN" âcacert VAULT_CA
--data '{"type":"generic"}' --request POST VAULT_URL/v1/sys/mounts/SECRET_MOUNT_POINT
á¡ááœááºáá»á¬ážá¡á¬ážáá¯á¶áž (TOKENá VAULT_CAá VAULT_URLá SECRET_MOUNT_POINT) ááẠá á®á ááºááœá²á·á ááºážááŸá¯ááá¯ááºá ááá·áºáááºáá»ááºáá»á¬ážááŸáá·áº áááºááá¯ááºáá«áááºá áá¯ááºáá«áááºá áááºáááºáž á¡áá¬ážáá°áá¯ááºáá±á¬ááºááá¯á· Vault utilities ááá¯áá¯á¶ážááá¯ááºáá«áááºá áá«áá±ááá·áº Mount point áááºáá®ážááŸá¯ááᯠá¡ááá¯á¡áá»á±á¬ááºáá¯ááºááᬠááá¯ááœááºáá«áááºá áá®á¡áá»ááºá¡áááºááᯠáááºá¡áá¯á¶ážáááºáááºááá¯á· áá»áŸá±á¬áºááá·áºááŒá®áž áá®á á®ážáá®ážáá²á· áá±á¬ááºáá±á¬ááºážáá«ážááœá±ááŸá¬ ááá·áºááá¯ááœá±á·áááºááá¯á· áá»áŸá±á¬áºááá·áºáá«áááºá
ááá¯ááŒá®ážáááºáá«:
source: www.habr.com