Skip to content
RACHUNA-NET.PL

Wstęp

Czym jest HashiCorp Vault?

HashiCorp Vault to narzędzie do zarządzania sekretami, certyfikatami i autoryzacją w nowoczesnych infrastrukturach.

Vault centralnie przechowuje i szyfruje:

  • 🔑 Sekrety - klucze API, hasła, tokeny dostępu
  • 🛡️ Certyfikaty TLS - hierarchia PKI (Root CA → Intermediate CA → certyfikaty serwera)
  • 🔐 Tokeny uwierzytelniania - AppRole, userpass, JWT/OIDC
  • 📋 Polityki dostępu - ACL dla każdego użytkownika/aplikacji

Główne cechy

Section titled “Główne cechy”

Szyfrowanie - wszystkie sekrety szyfrowane w spoczynku i w transporcie
Dynamiczne sekrety - aplikacje mogą żądać jednorazowych tokenów z krótkim czasem życia
Audit logging - pełna historia dostępów do sekretów
High Availability - klastrowe wdrażanie z automatycznym failoverem
Integracje - WebHooks, CI/CD, Kubernetes, infrastruktura as code

W naszym ekosystemie vault.rachuna-net.pl stanowi centralny punkt zaufania dla całej infrastruktury. Każdy serwis, pipeline CI/CD i administrator uwierzytelniają się w Vault i otrzymują uprawnienia do sekretów, do których mają dostęp.

Opis biznesowy

Section titled “Opis biznesowy”

Projekt vault-rachuna-net to 3-węzłowy klaster HashiCorp Vault w wersji HA zarządzany w pełni jako kod (GitOps). Klaster stanowi centralny punkt zarządzania sekretami, certyfikatami i autoryzacją dla całego ekosystemu infrastruktury.

Cel projektu

Section titled “Cel projektu”
  • Centralne zarządzanie sekretami (kluczami API, tokenami, hasłami) dla CI/CD pipeline’ów
  • Wewnętrzna hierarchia PKI (Root CA → Intermediate CAs → certyfikaty TLS)
  • Autoryzacja dla aplikacji i agentów (userpass, AppRole)
  • Audit logging na wszystkie operacje w Vault

Założenia architektoniczne

Section titled “Założenia architektoniczne”
  • Immutable infrastructure — wszystko jako kod (IaC)
  • High availability z automatycznym failoverem
  • TLS wszędzie (Vault ↔ Consul ↔ HAProxy ↔ klienci)
  • Zero trust — każdy serwis uwierzytelniony i autoryzowany
  • Centralne pipeline’y CI/CD w pl.rachuna-net/flows/gitlab## Główne Repozytoria

⚙️ ansible

Automatyzacja provisioning’u klastra Vault

Playbooki Ansible do instalacji i konfiguracji:

  • Vault (3-węzłowy klaster HA)
  • Consul (storage backend)
  • Keepalived + HAProxy (HA proxy layer)

🔗 Odwiedź

🏗️ iac-vault

Infrastructure as Code dla Vault (OpenTofu)

Zarządzanie:

  • Secret Engines (KV v2)
  • Auth Methods (userpass, AppRole, JWT)
  • ACL Policies (26 polityk)
  • PKI Hierarchy (Root + Intermediate CA)

🔗 Odwiedź