在 Vault 中存储机密
Vault 保护和控制访问令牌、密码、证书和其他敏感机密。使用 InfluxDB 内置的 Vault 集成在 Vault 中存储敏感机密。
要将机密存储在 Vault 中,请完成以下步骤
启动 Vault 服务器
启动 Vault 服务器并确保 InfluxDB 可以访问服务器。
以下链接提供了有关在开发和生产环境中运行 Vault 的信息
InfluxDB 仅支持 Vault KV Secrets Engine 版本 2 API。当您创建一个密钥存储引擎时,通过运行以下命令启用 kv-v2 版本:
vault secrets enable kv-v2
在此示例中,请在您的本地计算机上安装 Vault 并启动 Vault 开发服务器。
vault server -dev
提供 Vault 服务器地址和令牌
使用 influxd 与 Vault 相关的标签或 Vault 环境变量 来向 InfluxDB 提供连接凭据和其他重要的 Vault 相关信息。
所需凭据
Vault 地址
使用 --vault-addr 标志 在启动 influxd 或使用 VAULT_ADDR 环境变量时提供您的 Vault 服务器 API 地址(在 Vault 服务器输出中可用)。
Vault 令牌
使用 Vault 令牌(访问您的 Vault 服务器所必需)在启动 influxd 时使用 --vault-token 标志 或使用 VAULT_TOKEN 环境变量。
您的 Vault 服务器配置可能需要其他 Vault 设置。
启动 InfluxDB
使用 --secret-store 选项设置为 vault 并设置任何其他必要标志来启动 influxd 服务。
influxd --secret-store vault \
--vault-addr=http://127.0.0.1:8200 \
--vault-token=s.0X0XxXXx0xXxXXxxxXxXxX0x
influxd 包含以下 Vault 配置选项。如果设置,则这些标志将覆盖任何 Vault 环境变量
--vault-addr--vault-cacert--vault-capath--vault-client-cert--vault-client-key--vault-max-retries--vault-client-timeout--vault-skip-verify--vault-tls-server-name--vault-token
有关更多信息,请参阅 InfluxDB 配置选项。
通过 InfluxDB API 管理机密
使用 InfluxDB 的 /org/{orgID}/secrets API 端点将令牌添加到 Vault。有关详细信息,请参阅 管理密钥。
此页面有帮助吗?
感谢您的反馈!