尼古拉斯·科拉雷洛（Nicolas Corrarello）是总部位于伦敦的HashiCorp解决方案工程的区域总监。很多HashiCorp用户和员工都喜欢我们的整套产品，但就像你祖母一样，几乎不可能对我们的产品有一点偏爱（最爱的孙子说）。在我的例子中，我对HashiCorp Nomad的偏爱是非常明显的，以至于成为欧洲球队中的一个笑话。我想没有一次客户会议都会有人说"是的，那是Nomad，Nico最喜欢的产品…"。去年9月，当我们在7.0号军械公开发布的时候，你能想象到我的多功能。我终于对企业调度器有了完整的远景。配额和名称空间将我们企业客户已经很低的操作开销降到了最低，acl将为我们的开源用户提供安全的访问。在最后一点上，也正是在我拍那张照片的时候，我有了一个短暂的顿悟（没有多少人有这些真正的文档）。团队如何操作ACL？操作员可以为执行部署的用户和系统（如CI管道）创建长寿命令牌。当然不是。共享令牌？别让我开始。为用户构建LDAP集成，为机器构建长寿命令牌。听起来要做很多工作。如果我们有一种可以代理凭证访问的技术，并且已经有了一种使用诸如LDAP（针对用户）和EC2（对于CI-workers）之类的东西（技术上也可以在Nomad中运行）来建立身份的方法就好了。等等……我们真的有东西。HashiCorp Vault实际上是最合适的。我已经在脑子里玩起了工作流程：用户使用LDAP对Vault进行身份验证，然后获取Vault令牌该保险存储令牌绑定到特定的保险存储策略，而该保险存储策略又绑定到保险库中的一个路径，该路径可以生成具有精确Nomad策略的Nomad令牌。用户请求具有短到期时间的Nomad令牌根据需要与Nomad互动幸福：D只有一个小问题，我们没有（当时）游牧民族的秘密引擎。关于这家公司，你绝对需要知道的是，一个好主意永远不够，你需要付诸实施。所以，由于对金库的内部知识有限，而且从来没有写过一行围棋，我就去了。结果实际上证明了金库是多么神奇，事情似乎只是在我编写代码的时候起作用，大约三个小时后，金库实际上生成并撤销了游牧民的代币。稍后将进行长时间的代码复查(https://github.com/hashicorp/vault/pull/3401)秘密引擎在0.9.1中合并。所以，让我们快速了解一下如何快速设置它。当然，需要通过配置文件中的acl节在Nomad中启用acl：acl{启用=真token_ttl="30秒"策略_ttl="60秒"}应该为acl引导集群，并且应该有一个初始管理令牌。值得注意的是，初始管理令牌可以被撤销，但它可能会更改子令牌，因此您很可能不想将该令牌交给Vault，而是生成一个可以独立管理的子令牌：$NOMAD_TOKEN=${INITIAL MANAGEMENT TOKEN}NOMAD acl TOKEN create-type=MANAGEMENT访问器ID=5f7d8875-1bf9-ed80-c8c3-e4e6e20c2408机密ID=ea83681b-9ca8-4393-999f-a25731ad3b55名称=类型=管理全局=假政策=不适用创建时间=2018-03-17 11:36:12.696245+0000 UTC创建索引=8修改索引=8您还应该在Nomad中创建一组策略，因为Vault将利用这些策略最终创建令牌，在这种情况下，您可以创建一个示例策略，如下所示：命名空间"default"{policy="读取"}代理人{policy="读取"}节点{policy="读取"}并将其导入Nomad：$NOMAD_TOKEN=${INITIAL MANAGEMENT TOKEN}NOMAD acl policy apply policyone/有效载荷.json已成功写入"policyone"ACL策略！关闭以立即配置Vault。首先将nomad secret引擎安装到一个挂载点，然后配置到nomad的连接：$诺玛山金库成功在'nomad'安装'nomad'！$vault write nomad/config/access\地址=http://127.0.0.1：4646分\令牌=adf4238a-882b-9ddc-4a9d-5b6758e4159e成功！数据写入：nomad/config/access现在在保险库中创建一个角色，以颁发与我们刚刚创建的Nomad策略相关联的Nomad令牌：$vault write nomad/role/role name policy=policyone成功！数据写入：nomad/roles/role name以及生成允许在该角色中创建Nomad令牌的保险库策略：$echo'path"nomad/creds/role name"{能力=读取"]}'|保管库策略写入nomad用户策略-策略"nomad user Policy"已写入。例如，最后一步，您只需生成与策略关联的保险库令牌，然后检索Nomad令牌，如下所示：$vault token create-policy=nomad用户策略键值--- -----代币deedfa83-99b5-34a1-278d-e8fb76809a5b令牌存取器fd185371-7d80-8011-4f45-1bb3af2c2733令牌持续时间768hm0stoken_renewable真令牌策略[默认nomad用户策略]$vault read nomad/creds/角色名键值--- -----租赁编号nomad/creds/test/6fb22e25-0cd1-b4c9-494e-aba330c317b9租赁期限768小时租赁可续期真实存取器_id 10b8fb49-7024-2126-8683-ab355b581db2机密代码8898d19c-e5b3-35e4-649e-4153d63fbea9此技术可以与任何通过Vault进行身份验证的内容结合起来进行零接触配置，并最终为Nomad管理和调度提供一个非常安全的工作流。你对HashRP的产品感兴趣吗？告诉我们。将您的故事或想法发送至guestblogs@hashicorp.com