Red Hat Summit第2章 Record Encryption フィルター用の HashiCorp Vault の準備
OpenShift クラスターで Record Encryption フィルターを使用して Vault を使用するには、Vault インスタンスに対して次の設定を使用します。
- Record Encryption フィルターは Transit Engine の API に依存しているため、Transit Engine を有効にします。
- エンベロープ暗号化用の Data Encryption Keys (DEK) を生成および復号化する権限を持つ、フィルター専用の Vault ポリシーを作成します。
- フィルターポリシーを含む Vault トークンを取得します。
プロキシーのデプロイメント設定では、Vault Transit Engine サービスの URL が使用されます。
Vault は、既存のインスタンス、クラウドインスタンス、または OpenShift 上にデプロイできます。プロキシーにアクセスできる場合は、Streams for Apache Kafka Proxy と同じ場所に配置することも、リモートでデプロイすることもできます。
OpenShift に Vault をインストールし、アクセスを設定する方法については、HashiCorp Vault 製品のドキュメントを参照してください。
この手順では、Vault を準備するための 2 つのオプションを説明します。
- Streams for Apache Kafka Proxy に付属する一時的なデプロイメント設定の例を使用して、Helm で Vault を OpenShift クラスターにデプロイします。
- 既存の Vault インスタンスを更新しています。
Vault インスタンスを準備したら、Record Encryption フィルター用の Vault ポリシーとトークンを作成する必要があります。
サンプルのデプロイメント設定は、実稼働環境には適していません。
Streams for Apache Kafka には、examples/proxy/record-encryption/vault フォルダーにサンプルのインストールアーティファクトが含まれています。このフォルダーには、プロキシーおよび Record Encryption フィルターと互換性のある事前設定済みの Vault デプロイメントファイルが含まれています。
-
amqstreams_proxy_encryption_filter_policy.hclは、Record Encryption フィルターの Vault ポリシーを定義します。 -
helm-dev-values.yamlは、Vault の Helm デプロイメント設定を指定します。
これらのインストールファイルは、プロキシーを試すための簡単なセットアップを提供します。
前提条件
-
インストール用に
system:adminなどのcluster-adminロールを持つ OpenShift ユーザーを用意する。 -
ocコマンドラインツールがインストールされ、管理者権限で OpenShift クラスターに接続するように設定されている。 -
Helmコマンドラインツールがインストールされ、管理者権限で OpenShift クラスターに接続するように設定されている。 -
proxyと呼ばれる OpenShift プロジェクトの namespace。これは、プロキシーがデフォルトでインストールされている namespace と同じである。
この手順で使用される oc および Helm コマンドラインオプションの詳細は、--help を参照してください。
Helm デプロイメント設定の例を使用した Vault のデプロイ
Streams for Apache Kafka Proxy インストールアーティファクトをダウンロードして展開します。
プロキシーは、Streams for Apache Kafka ソフトウェアダウンロードページ から入手できます。
ファイルには、Vault をデプロイするために必要なデプロイメント設定が含まれています。
ルートトークンを作成し、メモしておきます。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow cat /dev/urandom | LC_ALL=C tr -dc 'a-zA-Z0-9' | fold -w 32 | head -n 1 > vault.root.token export VAULT_TOKEN=$(cat vault.root.token)
cat /dev/urandom | LC_ALL=C tr -dc 'a-zA-Z0-9' | fold -w 32 | head -n 1 > vault.root.token export VAULT_TOKEN=$(cat vault.root.token)Helm を使用して Vault をインストールします。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow helm repo add hashicorp https://helm.releases.hashicorp.com helm install vault hashicorp/vault \ --create-namespace --namespace=vault \ --version <helm_version> \ --values vault/helm-dev-values.yaml \ --set server.dev.devRootToken=${VAULT_TOKEN} \ --waithelm repo add hashicorp https://helm.releases.hashicorp.com helm install vault hashicorp/vault \ --create-namespace --namespace=vault \ --version <helm_version> \ --values vault/helm-dev-values.yaml \ --set server.dev.devRootToken=${VAULT_TOKEN} \ --waitroot トークンは Vault インスタンスに使用されます。
デプロイメントのステータスを確認します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc get pods -n vault
oc get pods -n vaultデプロイメント名と準備状態が表示されている出力
Copy to Clipboard Copied! Toggle word wrap Toggle overflow NAME READY STATUS RESTARTS vault-0 1/1 Running 0
NAME READY STATUS RESTARTS vault-0 1/1 Running 0Pod ID は、作成された Pod を識別します。
デフォルトのデプロイメントでは、単一のプロキシー Pod をインストールします。
READY は、ready/expected 状態のレプリカ数を表示します。STATUS が Running と表示されれば、デプロイメントは成功です。
新しい Vault インスタンスを指す Vault アドレス (
VAULT_ADDR) 環境変数を作成します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow export VAULT_ADDR=$(oc get route -n vault vault --template='https://{{.spec.host}}')export VAULT_ADDR=$(oc get route -n vault vault --template='https://{{.spec.host}}')管理者として Vault にログインし、Vault Transit シークレットエンジンを有効にします。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow vault secrets enable transit
vault secrets enable transitシークレットエンジンがすでに有効になっている場合は、エラーを無視します。
Vault Transit アドレスを指す環境変数を作成します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow export VAULT_TRANSIT_URL=${VAULT_ADDR}/v1/transitexport VAULT_TRANSIT_URL=${VAULT_ADDR}/v1/transitアドレスはプロキシーデプロイメント設定で使用されます。
- Vault ポリシーとトークンを作成します。
独自の Vault インスタンスの設定
すでに Kafka インスタンスがインストールされている場合は、それを更新して Streams for Apache Kafka Proxy で使用できます。
Vault インスタンスを指す Vault アドレス環境変数 (Enterprise を使用している場合は
VAULT_ADDRとVAULT_NAMESPACE) を作成します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow export VAULT_ADDR=https://<vault server>:8200 export VAULT_NAMESPACE=<namespaces>
export VAULT_ADDR=https://<vault server>:8200 export VAULT_NAMESPACE=<namespaces>管理者として Vault にログインし、Vault Transit シークレットエンジンを有効にします。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow vault secrets enable transit
vault secrets enable transitシークレットエンジンがすでに有効になっている場合は、エラーを無視します。
Vault Transit アドレスを指す環境変数を作成します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow export VAULT_TRANSIT_URL=${VAULT_ADDR}/v1/${VAULT_NAMESPACE}/transitexport VAULT_TRANSIT_URL=${VAULT_ADDR}/v1/${VAULT_NAMESPACE}/transitアドレスはプロキシーデプロイメント設定で使用されます。
Vault インスタンスを参照するようにプロキシーデプロイメント設定を更新します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow sed -i "s/\(vaultTransitEngineUrl:\).*$/\1 ${VAULT_TRANSIT_URL}/" */proxy/proxy-config.yamlsed -i "s/\(vaultTransitEngineUrl:\).*$/\1 ${VAULT_TRANSIT_URL}/" */proxy/proxy-config.yaml- Vault ポリシーとトークンを作成します。
Vault ポリシーとトークンの作成
Vault インスタンスを設定したら、Record Encryption フィルターの Vault ポリシーとトークンを作成します。
Vault ポリシーを作成します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow vault policy write amqstreams_proxy_encryption_filter_policy vault/amqstreams_proxy_encryption_filter_policy.hcl
vault policy write amqstreams_proxy_encryption_filter_policy vault/amqstreams_proxy_encryption_filter_policy.hclStreams for Apache Kafka Proxy に付属する HashiCorp ポリシー定義ファイル (
.hcl) を使用して、ポリシーを Vault に書き込みます。ポリシーの名前はamqstreams_proxy_encryption_filter_policyです。Vault トークンを作成します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow vault token create \ -display-name "amqstreams-proxy encryption filter" \ -policy=amqstreams_proxy_encryption_filter_policy \ -no-default-policy \ -orphan \ -field=token > vault.encryption.token
vault token create \ -display-name "amqstreams-proxy encryption filter" \ -policy=amqstreams_proxy_encryption_filter_policy \ -no-default-policy \ -orphan \ -field=token > vault.encryption.tokenこのコマンドは、ポリシーを指定したトークン、および関連付けられた親トークンまたはデフォルトポリシーのないトークンを作成します。
トークンを含むシークレットを作成します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oc create secret generic proxy-encryption-vault-token \ -n proxy \ --from-file=encryption-vault-token.txt=vault.encryption.token \ --dry-run=client \ -o yaml > base/proxy/proxy-encryption-vault-token-secret.yaml
oc create secret generic proxy-encryption-vault-token \ -n proxy \ --from-file=encryption-vault-token.txt=vault.encryption.token \ --dry-run=client \ -o yaml > base/proxy/proxy-encryption-vault-token-secret.yamlこのコマンドは、Vault トークンをシークレットに保存し、
proxynamespace に YAML ファイルとしてシークレットを作成します。Record Encryption フィルターを使用して Streams for Apache Kafka をデプロイするときに、
proxy-encryption-vault-token-secret.yamlシークレットが OpenShift クラスターに適用されます。
侵害された鍵の影響を最小限に抑えるために、定期的に鍵をローテーションします。HashiCorp Vault などの Key Management System (KMS) を使用する場合は、KMS に保存されている Key Encryption Key (KEK) をローテーションします。Streams for Apache Kafka Proxy は DEK のローテーションを自動的に管理します。プロキシーが新しい鍵を取得するには、再起動が必要になる場合があります。さらに、暗号化されたメッセージには、鍵のローテーションを示す鍵バージョンメタデータが含まれている必要があります。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}