Vault:AutoUnseal
Unsealを自動でする機能がある。
version1以前はEnterpriseのみだったので昔の手法を利用することが多かったが、v1からOSSの機能として入った。
Auto Unsealのinit
recoveryのkeyを一つにしてinitする必要がある
vault operator init -stored-shares=1 -recovery-shares=1 -recovery-threshold=1 -key-shares=1 -key-threshold=1
vault operator init -recovery-shares=1 -recovery-threshold=1
昔の手法
Auto UnsealはVault Enterpriseのみなので、OSSがいくつかある
世の中のauto-unsealerはVaultのIPアドレスや秘密鍵が1つずつである事が多い
無限ループで30秒に1回Seal状態かチェックしてる
Sealだった場合、鍵全部をループしているだけ
kubernetes上では同じPodの中にside-carで起動する
実質同じシステムに異なるイメージを追加できる
VAULT_ADDR は http://localhost:8200 でOK