vault chạy trong sandbox bảo mật của CloudThinker.
Nền tảng được hỗ trợ
| Nền tảng | Hỗ trợ |
|---|---|
| Vault open-source | Tự host, các phiên bản gần đây |
| Vault Enterprise | Hỗ trợ namespace |
| HCP Vault Dedicated | Đặt namespace (mặc định admin) |
Điều kiện tiên quyết
- Địa chỉ Vault có thể tiếp cận — sandbox kết nối tới
VAULT_ADDRqua mạng, không phải máy tính của bạn. Sử dụng tên DNS công khai hoặc endpoint HCP, không dùnglocalhosthoặc địa chỉ riêng tư mà sandbox không thể định tuyến. - Thông tin xác thực — Vault token, hoặc AppRole (
role_id+secret_id), được gắn với policy cấp quyền đọc tới các path mà bạn muốn agent truy vấn. - (Chỉ Enterprise / HCP) Namespace chứa secrets.
Thiết lập
Chọn phương thức xác thực phù hợp với triển khai của bạn. AppRole được khuyến nghị cho môi trường production vìsecret_id có thể xoay vòng mà không cần thay thế token dài hạn.
- Token
- AppRole
Thêm kết nối trong CloudThinker
Điều hướng đến Connections → HashiCorp Vault và nhập:
- VAULT_ADDR: URL Vault của bạn bao gồm scheme và port, ví dụ:
https://vault.example.com:8200 - VAULT_NAMESPACE: để trống cho Vault open-source; đặt cho HCP (
admin) hoặc namespace Enterprise - VAULT_AUTH_METHOD: Token
- VAULT_TOKEN: token từ bước trước
vault token lookup và hiển thị trạng thái Connected.Chi tiết kết nối
| Trường | Bắt buộc | Ghi chú |
|---|---|---|
| VAULT_ADDR | Có | URL đầy đủ bao gồm scheme, ví dụ: https://vault.example.com:8200 |
| VAULT_NAMESPACE | Không | Chỉ dành cho HCP Vault Dedicated (admin) và triển khai namespace Vault Enterprise |
| VAULT_AUTH_METHOD | Có | token hoặc approle |
| VAULT_TOKEN | Xác thực Token | Hiển thị khi phương thức xác thực là Token |
| VAULT_ROLE_ID | AppRole | Hiển thị khi phương thức xác thực là AppRole |
| VAULT_SECRET_ID | AppRole | Hiển thị khi phương thức xác thực là AppRole |
Quyền bắt buộc
Gắn policy vào token hoặc AppRole cấp quyềnread và list trên các secret path mà Oliver cần truy vấn. Chính sách mặc định từ chối của Vault đảm bảo Oliver không bao giờ vượt quá policy gắn với thông tin xác thực của bạn.
Khả năng của agent
Các hành động của Oliver bị giới hạn bởi policy trên token hoặc AppRole. Các thao tác đọc chạy tự động; bất kỳ hành động nào thay đổi Vault hoặc cấp phát lease đều cần phê duyệt trong CloudThinker.| Khả năng | Mô tả |
|---|---|
| Đọc secret | Đọc và liệt kê các path và giá trị secret KV v1/v2 |
| Kiểm tra sức khỏe | Kiểm tra trạng thái seal, các secret engine đã mount và phương thức xác thực |
| Kiểm toán policy | Liệt kê và đọc policy, audit device và metadata token |
| Dynamic credentials | Tạo credentials database và cloud ngắn hạn — cần phê duyệt |
| Ghi secret | Tạo, cập nhật và xóa KV secrets và phiên bản — cần phê duyệt |
| Quản lý lease | Thu hồi hoặc gia hạn credential lease — cần phê duyệt |
Xác minh kết nối
Ví dụ prompt
Khắc phục sự cố
VAULT_ADDR không thể tiếp cận từ sandbox
VAULT_ADDR không thể tiếp cận từ sandbox
CLI
vault chạy bên trong sandbox của CloudThinker, không phải trên máy của bạn. localhost, 127.0.0.1 và host.docker.internal phân giải về chính sandbox và thất bại với lỗi dial tcp ... no such host hoặc connection refused. Trỏ VAULT_ADDR tới tên DNS công khai hoặc endpoint HCP Vault Dedicated. Vault đằng sau firewall hoặc VPN phải được expose qua endpoint công khai, egress được cho phép hoặc network bridge trước.Scheme VAULT_ADDR sai
Scheme VAULT_ADDR sai
vault cần URL đầy đủ bao gồm scheme. vault.example.com:8200 (không có scheme) gây lỗi kết nối. Sử dụng https://vault.example.com:8200, hoặc http://... cho máy chủ ở chế độ dev.403 permission denied
403 permission denied
Policy của token hoặc AppRole không cấp quyền truy cập tới path được yêu cầu. Kiểm tra policy bằng
vault token lookup và đảm bảo policy bao gồm các path mà agent truy vấn. Ví dụ, để đọc kv/data/production/*, policy cần capabilities = ["read", "list"] trên path đó.Namespace bắt buộc trên HCP / Enterprise
Namespace bắt buộc trên HCP / Enterprise
HCP Vault Dedicated và các triển khai multi-namespace Enterprise yêu cầu
VAULT_NAMESPACE. Với HCP, mặc định là admin. Nếu bạn thấy no handler for route hoặc permission denied trên HCP hoặc Enterprise, hãy xác nhận namespace đã được đặt.AppRole secret_id hết hạn
AppRole secret_id hết hạn
secret_id có TTL (secret_id_ttl). Khi hết hạn, xác thực thất bại với lỗi invalid secret_id. Tạo một cái mới, cập nhật VAULT_SECRET_ID và kết nối lại:Vault đang bị sealed
Vault đang bị sealed
vault status hiển thị Sealed: true và không có thao tác nào thành công. Quản trị viên Vault phải unseal cluster (vault operator unseal) trước khi agent có thể đọc hoặc ghi.Bảo mật
- Quyền tối thiểu — chỉ cấp các quyền mà agent cần cho trường hợp sử dụng của bạn; bắt đầu với quyền chỉ đọc và mở rộng sau.
- Chỉ đọc theo mặc định — sử dụng thông tin xác thực chỉ đọc trừ khi bạn muốn agent thực hiện thay đổi qua kết nối này.
- Xoay vòng thông tin xác thực — xoay vòng khóa và token theo lịch trình thông thường của bạn; CloudThinker sẽ lấy giá trị mới khi bạn cập nhật kết nối.
- Thu hồi khi bàn giao — xóa thông tin xác thực tại nhà cung cấp khi bạn xóa một kết nối hoặc khi đồng nghiệp rời nhóm.
- Ưu tiên AppRole trong production — xoay vòng
secret_idmà không cần thay thế token dài hạn. - Kiểm soát thao tác ghi — giữ các path ghi yêu cầu phê duyệt để việc cấp phát credentials và các thay đổi luôn cần xác nhận từ người dùng.
Liên quan
Oliver Agent
Agent bảo mật và tuân thủ
Kiểm soát phê duyệt
Yêu cầu phê duyệt cho các thao tác ghi