lsst square保险库实用程序
lsstvaultutils的Python项目详细描述
#lsst vault utilities
此软件包是一组对lsst用例有用的vault utilities。
>这些工具用于特定的分类层次结构,
详细信息如下。
在"secret"下,不能用秘密组织
,如下:
`secret/>`subsystem:/:team:/:category:/:instance:`
>例如,lsst science platform notebook方面的"nublado.lsst.codes"实例的秘密存储在
`secret/dm/square/nublado/nublado.lsst中代码'.下面是"hub"、"proxy"和"tls"秘密文件夹,每个文件夹都有
个秘密,
例如"secret/dm/square/nublado/nublado.lsst.codes/hub/oauth\u secret"。
E令牌对和策略。它们通过这些令牌中的一个
来访问。
这使得在保险库机密和kubernetes机密(具有多个键值对)之间来回转换变得容易得多。
保险库令牌
配置工具。使用[delegator.hcl](delegator.hcl)作为输入来
为此创建策略。然后创建一个附加了新的delegator
策略的令牌。
token id和访问器存储在
"secret/delegated/:subsystem:/:team:/:category:/:instance:/:role:/:type:`
,其中"role"是"read"或"write"之一,"type"是"id"或"accessor"之一。只有管理用户才能访问这些机密
(例如,首先创建令牌对的用户,它应该是附加到上面创建的"delegator"策略的令牌
)。这些
是"读"和"写"。
我们提供了一个工具,可以方便地将kubernetes机密复制到保险库和从保险库中复制出来。
\policies
policies存储为
`delegated/:subsystem:/:team:/:category:/:instance:/:role:`where role
is one of`read` or`write`.创建或撤消令牌对的管理用户还负责创建和销毁这些策略。
它的函数类是:
1。` secretcopier`--它在当前的kubernetes
上下文和一个保险库实例之间复制秘密。` admintool`--这个高度lsst特定的类允许您在保险库机密存储下指定一个
路径,它将生成两个
(读和写)令牌,用于操作路径下的机密。它将那些存储在secret/delegated下,这样管理员可以在以后找到(如果需要,还可以撤销)。它还管理撤销那些
令牌并将它们从机密/委派路径中移除。选项
存在于,如果在已存在的路径上操作令牌,则撤销
旧令牌并用新令牌覆盖,或者在撤销令牌的同时删除机密
数据。还有一个
函数显示与路径相关联的令牌对的id和访问器。` recursivedeleter`--这将向保险库添加一个递归删除功能,用于一次删除整个机密树。
转到调试日志。有一个方便的函数"get logger"
,它提供了一个接口来获取这些工具和类的标准化记录器。
` copyk2v`--将kubernetes机密的内容复制到一个保险库的秘密路径中。` copyv2k`--将指定路径上的一组保险库机密复制到
kubernetes机密。
3。` tokenadmin`--为给定的保险库机密
路径创建或撤消令牌集,或显示该路径的令牌ID和访问器。
4。` vaultrmrf`--删除一个保险库秘密路径和它下面的所有内容。顾名思义,这是一个相当危险的操作。
删除一个秘密树,
,最后删除令牌对。
(注意
我们省略了一个层次结构级别,使输出更具可读性;`dm/square/test`更为实际。)我们确保
正确设置了'vault_addr'和'vault_capath',并将
`vault_token'设置为适当的管理令牌。我们将使用"debug"了解
过程中发生的情况,并使用"display"选项打印表示
令牌的json。
(vaultutils)adam@ixitxachil:~$tokenadmin create--debug--display dm/test
2019-03-04 14:45:52.625 mst(-0700)[debug]lsstvaultutils.tokenadmin调试日志记录已启动。
2019-03-04 14:45:52.625 mst(-0700)[debug]lsstvaultutils.tokenadmin获取"ht"的保险存储客户端TPS://35.184.246.111.
2019-03-04 14:45:52.939 mst(-0700)[debug]lsstvaultutils.tokenadmin保险库客户端已验证。
2019-03-04 14:45:52.939 mst(-0700)[debug]lsstvaultutils.tokenadmin为"dm/test"创建策略和令牌。
2019-03-04 14:45:52.939 mst(-0700)[调试]lsstvaultutils.tokenadmin为"dm/test"创建策略。
2019-03-04 14:45:52.939 mst(-0700)[debug]lsstvaultutils.tokenadmin检查是否存在策略"delegated/dm/test"。
2019-03-04 14:45:53.109 mst(-0700)[debug]lsstvaultutils.tokenadmin创建策略r'dm/test/read'。
2019-03-04 14:45:53.109 mst(-0700)[debug]lsstvaultutils.tokenadmin策略字符串:path"secret/data/dm/test/*"{
功能=["read"]
}
路径"secret/metadata/dm/test/*"{
功能=["read","list"]
}
2019-03-04 14:45:53.109 mst(-0700)[debug]lsstvaultutils.tokenadmin策略路径:委派/dm/test/read
2019-03-04 14:45:53.535 mst(-0700)[debug]lsstvaultutils.tokenadmin创建"dm/test/write"策略。
2019-03-04 14:45:53.535 mst(-0700)[debug]lsstvaultutils.tokenadminn策略字符串:路径"secret/data/dm/test"{
功能=["read","create","update","delete"]
}
路径"secret/data/dm/test/*"{
功能=["read","create","update","delete"]
}
路径"secret/metadata/dm/test/*"{
cap能力=["list","read","update","delete"]
}
path"secret/metadata/dm/test"{
能力=["list","read","update","delete"]
}
path"secret/delete/dm/test/*"{
能力=["update"]
}
path"secret/undelete/dm/test/*"{
功能=["更新"]
}
路径"机密/销毁/dm/test/*"{
功能s=["update"]
}
2019-03-04 14:45:53.535 mst(-0700)[debug]lsstvaultutils.tokenadmin策略路径:委派/dm/test/write
2019-03-04 14:45:54.217 mst(-0700)[debug]lsstvaultutils.tokenadmin为"dm/test/read"创建令牌。
2019-03-04 14:45:54.217 mst(-0700)[debug]lsstvaultutils.tokenadmin-policies'['delegated/dm/test/read'].
2019-03-04 14:45:55.630 mst(-0700)[debug]lsstvaultutils.tokenadmin为'dm/test/read'写入令牌存储。
2019-03-04 14:45:55.630 mst(-0700)[debug]lsstvaultutils.tokenadmin'delegated/dm/test/read'->;'s.3nyteqdwiinkikntuoidtd9d'。
2019-03-04 14:45:56.840 mst(-0700)[debug]lsstvaultutils.tokenadmin为'dm/test/write'创建令牌。
2019-03-04 14:45:56.840 mst(-0700)[debug]lsstvaultutils.tokenadmin-policies'['delegated/dm/test/write'].
2019-03-0414:45:58.171 mst(-0700)[debug]lsstvaultutils.tokenadmin为'dm/test/write'写入令牌存储。
2019-03-04 14:45:58.171 mst(-0700)[debug]lsstvaultutils.tokenadmin'delegated/dm/test/write'->;'s.4l4eddlmyd436rsjrqli11cd'。
2019-03-04 14:45:59.335 mst(-0700)[debug]lsstvaultutils.tokenadmin获取"dm/test"的令牌。
{
"dm/test":{
"read":{
"accessor":"1wrcctqeebkqx78t37eyvztk",
"id":"s.3nyteqdwiinkikntuoidtd9d"
},
"write":{
"ac""8lvohkigfjf9qynigoxrb8ik"的"8lvohkigfjf9qynigoxrb8ik"
"id":"s.4l4edldlmyd436rsjrqlll166rsjrqll11cd"
<
//增加一些秘密
/>首先,将金库设置为使用"写"令牌:
/>"export金库令牌"s.4l4edldldldldlmyd436rsjrql16l14146rsjrjrql我喜欢JSOn输出,所以我要设置:
`export vault_format=json`
>然后使用vault客户端添加一些机密:
(vaultutils)adam@ixitxachil:~$vault kv put secret/dm/test/group1/foo value=bar
{
"请求ID":"0a814bd2-e95d-cf1c-9018-c00173668e3d",
"租约ID":",
"租约持续时间":0,
"可更新":false,
"数据":{
"创建时间":"2019-03-04t21:51:07.616034224z",
"删除时间":",
"销毁":false,
"版本":1
},
"警告":null
}
(vaultutils)adam@ixitxachil:~$vault kv put secret/dm/test/group1/baz value=quox
{
"请求id":"38c65e0d-735d-db9a-c2d6-840bdd4dff65",
"租用id":",
"租用持续时间":0,
"可更新":false,
"数据":"{
"已创建"ime":"2019-03-04t21:51:34.991913644z",
"删除时间":",
"销毁":false,
"版本":1
},
"警告":null
}
(vaultutils)adam@ixitxachil:~$vault kv put secret/dm/test/group2/king value=fink
{
"请求"T_id":"12753857-25f2-a27a-3d65-badc18805d07",
"租赁id",
"租赁期限":0,
"可再生":假,
"数据":{
"创建时间":"2019-03-04t21:51:45.645224365z",
"删除时间",
"销毁":假,
"版本打开":1
},
"警告":空值
}
/>"renewable":false,
"data":{
"data":{
"value":"quoux"
},
"metadata":{
"created_time":"2019-03-04t21:51:34.991913644z",
"deletion_time":",
"destroyed":false,
"version":1
}
},
"警告":空值
}
/>现在让我们从这些中创建kubernetes秘密。为了获得当前经过身份验证的kubernetes上下文,请执行
所需的任何操作。
切换到"read"令牌--我们不需要使用"write"令牌将
从保险库复制到kubernetes。当然,kubernetes用户必须能够创建
机密,但这与保管库令牌无关。
>然后我们将一组机密从保管库复制到kubernetes:
(vaultutils)adam@ixitxachil:~$copyv2k--调试dm/test/group1 testg1
2019-03-04 14:54:52.855 mst(-0700)[debug]lsstvaultutils.secretcopier调试日志记录已启动。
2019-03-04 14:54:52.855 mst(-0700)[debug]lsstvaultutils.secretcopier正在为"https://35.184.246.111"获取保管库客户端。
2019-03-04 14:54:53.117 mst(-0700)[debug]lsstvaultutils.secretcopier正在获取k8s客户端。
2019-03-04 14:54:53.249mst(-0700)[debug]lsstvaultutils.secretcopier从'dm/test/group1'读取机密。
2019-03-04 14:54:53.378 mst(-0700)[debug]lsstvaultutils.secretcopier'dm/test/group1'是一组值。
2019-03-04 14:54:53.692 mst(-0700)[debug]lsstvaultutils.secretcopier确定命名空间'nublad'中是否存在机密'testg1'。o.
2019-03-04 14:54:53.971 mst(-0700)[debug]lsstvaultutils.secretcopier找到机密。
2019-03-04 14:54:53.971 mst(-0700)[debug]lsstvaultutils.secretcopier base64编码机密数据
2019-03-04 14:54:53.971 mst(-0700)[debug]lsstvaultutils.secretcopier更新机密。
组;这次我们将省略--调试。
(vaultutils)adam@ixitxachil:~$copyv2k dm/test/group2 testg2
(vaultutils)adam@ixitxachil:~$
现在让我们看看拷贝是否有效。
(vaultutils)adam@ixitxachil:~$kubectl get secret-o yaml testg2
apiversion:v1
数据:
king:zmluaw==
kind:secret
元数据:
创建时间戳:2019-03-04t21:55:47z
名称:testg2
命名空间:nublado
资源版本:"10389477"
自链接:api/v1/命名空间/nublado/secrets/testg2
uid:445509ca-3ec8-11e9-a1ce-42010a800032
类型:不透明
解码该机密:
(vaadam@IXitxachitl:/tmp$echo-n zmlauaw==base64-d-
fink
将秘密从库伯内et斯复制到金库
返回"写"令牌:
expexport vacucucucucucucucucum token="s.4l4eddlmdlmyd436rsjrqri11cd"
将秘密复制到新的金库路径:
(vaultutils)adam Xachil:~$copyk2v testg1 dm/test/copy1
(vaultutils)adam@IXitxachitl:~$
r/>读取一个值(我们可以转换到保险库的read令牌,但是我们不需要
也允许读写)返回:
(vaultutils)adam@IXitxachitl:/tmp$vault kv get secret/dm/sq方/copy1/foo
"请求id":"7A509ffc-eaf6-ee43-0d6b-D6bc4fe08a8b"
(vaultutils)adam@IXitxachitl///tmp$vault-vault-kv-vault-kv-vault-kv-get secretretsecret/dm,
"租赁_ id",",
"租赁期限":0,
"可更新":false,
"数据":{
"数据":{
"值":"bar"
},
"元数据":{
"创建时间":"2019-03-04t22:01:57.69090656z",
"删除时间":",
"已销毁":false,
"版本":1
}
},
"警告":null
}
我们可以轻松地删除树。
然后我们可以使用"vaultrmrf"命令(和写令牌)删除树。
(vaultutils)adam@ixitxachil:~$vaultrmrf--debug dm/test/copy1
2019-03-04 15:05:47.920 mst(-0700)[debug]lsstvaultutils.recursivedeleter调试日志记录已启动。
2019-03-04 15:05:47.920 mst(-0700)[debug]lsstvaultutils.recursivedeleter获取'ht'的保险库客户端tps://35.184.246.111'。
2019-03-04 15:05:48.164 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除'dm/test/copy1'。
2019-03-04 15:05:48.269 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除根在'dm/test/copy1'的树
2019-03-04 15:05:48。269 mst(-0700)[debug]lsstvaultutils.recursivedeleter resp='{'request-id':'f6774de1-cb8c-76ed-8425-7963b5d95d76','lease-id':'',renewable':false,'lease-duration':0,'data':{'keys':['baz',foo']},'wrap-info':none,'warning':none,'auth':none}
2019-03-04 15:05:48.269 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除'dm/test/copy1/baz'。
2019-03-04 15:05:48.369 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除'dm/test/copy1/baz'作为叶节点。
2019-03-04 15:05:48.369 mst(-0700)[debug]lsstvaultutils.recursivedeleteer使用标记"s.4l4eddlmyd436rsjrqli11cd"。
2019-03-04 15:05:48.703 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除"dm/test/copy1/foo"。
2019-03-04 15:05:48.809 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"dm/test/copy1/foo"作为叶节点e.
2019-03-04 15:05:48.809 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌的4l4eddlmyd436rsjrqli11cd。
2019-03-04 15:05:49.123 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"dm/test/copy1"作为叶节点。
2019-03-04 15:05:49.123 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌的.4l4eddlmyd436rsjrqli11cd。'
现在尝试读取机密将显示它已消失:
(vaultutils)adam@ixitxachil:~$vault kv get secret/dm/test/copy1/foo
secret/data/dm/test/copy1/foo
###撤销令牌对并删除数据
现在我们将清理:
(vaultutils)adam@ixitxachil:~$kubectl delete secret testg1 testg2
secret"testg1"deleted
` vault_token`到一个适当的值),当我们使用它时,我们也将清除插入到vault中的数据。
(vaultutils)adam@ixitxachil:~$tokenadmin revoke--删除数据--调试dm/test2019-03-04 15:08:12.888 mst(-0700)[debug]lsstvaultutils.tokenadmin调试日志启动ING。
2019-03-04 15:08:12.888 mst(-0700)[debug]lsstvaultutils.tokenadmin获取"https://35.184.246.111"的保管库客户端。
2019-03-04 15:08:13.147 mst(-0700)[debug]lsstvaultutils.tokenadmin对保管库客户端进行身份验证。
2019-03-04 15:08:13.147 mst(-0700)[debug]lsstvaultutils.tokenadmin撤销令牌并删除"dm/test"的策略。
2019-03-04 15:08:13.147 mst(-0700)[debug]lsstvaultutils.tokenadmin获取"dm/test"的写入令牌。
2019-03-04 15:08:13.147 mst(-0700)[debug]lsstvaultutils.tokenadmin从中读取值委派/dm/test/write/id。'
2019-03-04 15:08:13.208 mst(-0700)[debug]lsstvaultutils.tokenadmin获取数据:{request-u id':'e5084c92-f404-7338-f776-47f1d8ee5980','lease-u id':','renewable':false,'lease-duration':0,'数据':{data':{value':'s.4l4eddlmyd436rsjri11cd'},'元数据':{创建的"时间":"2019-03-04t21:45:58.325211493Z","删除时间":"销毁":false,"版本":1},"包装信息":none,"警告":none,"验证":none}
2019-03-04 15:08:13.208 mst(-0700)[debug]lsstvaultutils.recursivedeleter调试日志记录已启动。
2019-03-04 15:08:13.208mst(-0700)[debug]lsstvaultutils.recursivedeleter获取"https://35.184.246.111"的保险库客户端。
2019-03-04 15:08:13.498 mst(-0700)[debug]lsstvaultutils.tokenadmin删除"dm/test"下的数据。
2019-03-04 15:08:13.498 mst(-0700)[debug]lsstvaultutils.recursivedeleter|递归删除"dm/test"。
2019-03-04 15:08:13.638 mst(-0700)[debug]lsstvaultutils.recursivedeleter正在删除根位于"dm/test"的树
2019-03-04 15:08:13.638 mst(-0700)[debug]lsstvaultutils.recursivedeleter resp='{request-u id':'661160b2-6916-62f5-ae29-8da0d576d841','lease-id':'','renewable':false,'lease-duration':0,'data':{keys':['group1/','group2/']},'wrap-info':none,"warnings":none,"auth":none}
2019-03-04 15:08:13.638 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除"dm/test/group1"。
2019-03-04 15:08:13.907 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除根位于"dm/test/group1"的树
2019-03-04 15:08:13.907 mst(-0700)[debug]lsstvaultutils.recursivedeleter resp='{请求ID':'02e65063-64e2-8ca9-1532-f3aaf1eaeeb5','租用ID':'','可更新':false,'租用持续时间':0,'数据':{键':['baz',foo']},'包装信息':无,'警告':无,'验证':无}
2019-03-04 15:08:13.908 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除"dm/test/group1/baz"。
2019-03-04 15:08:14.262 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"dm/test/group1/baz"作为叶节点。
2019-03-04 15:08:14.262 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用标记"s.4l4eddlmyd436rsjrqli11cd"。
2019-03-04 15:08:14.729 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除"dm/test/group1/foo"。
2019-03-04 15:08:14.906 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"dm/test"/group1/foo'作为叶节点。
2019-03-04 15:08:14.906 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌的.4l4eddlmyd436rsjrqli11cd。
2019-03-04 15:08:15.409 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除'dm/test/group1'作为叶节点。
2019-03-04 15:08:15.409 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌's.4l4eddlmyd436rsjrqli11cd'。
2019-03-04 15:08:15.560 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除'dm/test/group2'。
2019-03-04 15:08:15.716 mst(-0700)[debug]lsstvaultutils.recursivedeleter正在删除根位于"dm/test/group2"的树
2019-03-04 15:08:15.716 mst(-0700)[debug]lsstvaultutils.recursivedeleter resp="{请求ID":"9a9f23d3-f5cf-10c7-e18c-2f54a848e3e7","租用ID":"可更新":false,"租用持续时间":0,"数据":{键":['king']},"换行"fo':无,"警告":无,"验证":无}
2019-03-04 15:08:15.716 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除"dm/test/group2/king"。
2019-03-04 15:08:15.866 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"dm/test/group2/king"作为叶号de.
2019-03-04 15:08:15.866 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌的.4l4eddlmyd436rsjrqli11cd'。
2019-03-04 15:08:16.480 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"dm/test/group2"作为叶节点。
2019-03-04 15:08:16.480 mst(-0700)[调试]lsstvaultutils.recursivedeleter使用令牌's.4l4eddlmyd436rsjrqli11cd'。
2019-03-04 15:08:16.623 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除'dm/test'作为叶节点。
2019-03-04 15:08:16.623 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌's.4l4eddlmyd436rsjrqli11cd'。
2019-03-04 15:08:16.765 mst(-0700)[debug]lsstvaultutils.tokenadmin请求'dm/test'的'read'令牌的ID。
2019-03-04 15:08:16.826 mst(-0700)[debug]lsstvaultutils.tokenadmin令牌数据:{请求ID':'845ca454-5b0e-9518-9029-bf221c771e4f',"租约ID":"可更新":false,"租约持续时间":0,"数据":{"数据":{"值":"s.3nyteqdwinkikntuoiddd9d'},"元数据":{"创建时间":"2019-03-04t21:45:55.802574394z","删除时间":"已销毁":false,"版本":1},"包装信息":none,"警告":none,"身份验证":none}
2019-03-04 15:08:16.827 mst(-0700)[debug]lsstvaultutils.tokenadmin删除'dm/test'的'read'令牌。
2019-03-04 15:08:18.393 mst(-0700)[debug]lsstvaultutils.tokenadmin请求'dm/test'的'write'令牌的ID。
2019-03-04 15:08:18.454 mst(-0700)[debug]lsstvaultutils.tokenadmin令牌数据:{请求ID':'5f3aae99-59f4-618b-cf1c-cb9bc3b39478','租用ID':'','可更新':false,'租约持续时间:0,'数据':{数据':{值':'s.4l4eddlmyd436rsjrqli11cd'},'元数据':{创建时间':'2019-03-04t21:45:58.325211493z,'删除时间':'','销毁':false,'版本':1},'包装信息':无,'警告':无,'验证':无}
2019-03-04 15:08:18.455 mst(-0700)[调试]lsstvaultutils.tokenadmin删除'dm/test'的'write'令牌。
2019-03-04 15:08:19.845 mst(-0700)[debug]lsstvaultutils.tokenadmin删除'dm/test'的令牌存储。
2019-03-04 15:08:19.846 mst(-0700)[debug]lsstvaultutils.recursivedeleter调试日志记录已启动。
2019-03-04 15:08:19.846 mst(-0700)[debug]lsstvaultutils.recursivedeleter调试日志记录已启动。
2019-03-04 15:08:19.846 mst(-0700)[debug]lsstvaultutils.recursivedeleter正在获取"https://35.184.246.111"的保管库客户端。
2019-03-04 15:08:19.846 mst(-0700)[debug]lsstvaultutils.recursivedeleter获取"https://35.184.246.111"的保管库客户端。
2019-03-04 15:08:20.085 mst(-0700)[debug]lsstvaultutils.tokenadmin递归删除:"delegated/dm/test"
2019-03-04 15:08:20.085 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"delegate"d/dm/test'递归。
2019-03-04 15:08:20.085 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除'delegated/dm/test'。
2019-03-04 15:08:20.199 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除根在'delegated/dm/test'的树
2019-03-0415:08:20.199 mst(-0700)[debug]lsstvaultutils.recursivedeleter正在删除根位于"delegated/dm/test"的树
2019-03-04 15:08:20.199 mst(-0700)[debug]lsstvaultutils.recursivedeleter resp='{请求ID':'5c1f33cf-8878-a5c8-a884-1f5cda607fa6','租用ID':'','可更新':false,'lease_duration':0,'数据':{keys':['read/','write/']},'包装信息':无,'警告':无,'验证':无},
2019-03-04 15:08:20.199 mst(-0700)[debug]lsstvaultutils.recursivedeleter resp='{'request_id':'5c133cf-8878-a5c8-a884-1f5cda607fa6,'租赁id':','可再生':假,'租赁d持续时间:0,'数据':{keys':['read/','write/']},'包装信息':无,'警告':无,'验证':无},
2019-03-04 15:08:20.199 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除'delegated/dm/test/read'。
2019-03-04 15:08:20.199 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除"delegated/dm/test/read"。
2019-03-04 15:08:20.317 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除根在"delegated/dm/test/read"的树
2019-03-04 15:08:20.317 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除tree根位于"delegated/dm/test/read"
2019-03-04 15:08:20.317 mst(-0700)[debug]lsstvaultutils.recursivedeleter resp='{request-u id':'4D18F739-1EE7-C413-6B9A-1766F6F300de','lease-id':'','renewable':false,'lease-u-duration':0,'data':{keys':['accessor',id']},'wrap-info':none,"警告":无,"验证":无}'
2019-03-04 15:08:20.317 mst(-0700)[debug]lsstvaultutils.recursivedeleter resp='{请求ID':'4d18f739-1ee7-c413-6b9a-1766f6f300de','租用ID':'','可更新':假,'租用持续时间':0,'数据':{键':['accessor','id']},'包装信息':无,'warnings':none,'auth':none}'
2019-03-04 15:08:20.317 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除'delegated/dm/test/read/accessor'。
2019-03-04 15:08:20.317 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除'delegated/dm/test/read/accessor'递归地。
2019-03-04 15:08:20.422 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除'delegated/dm/test/read/accessor'作为叶节点。
2019-03-04 15:08:20.422 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除'delegated/dm/test/read/accessor'作为叶节点。
2019-03-04 15:08:20.422 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌's.86o9ufmo4bbd4yxS1PWHS2Z1。
2019-03-04 15:08:20.422 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌s.86o9ufmo4bbd4yxs1pws2z1。
2019-03-04 15:08:20.856 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除"委派/dm/test/read/id"。
2019-03-04 15:08:20.856 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除"delegated/dm/test/read/id"。
2019-03-04 15:08:20.971 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"delegated/dm/test/read/id"作为叶节点。
2019-03-04 15:08:20.971 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"delegated/dm/test/read/id"作为叶节点。
2019-03-04 15:08:20.972 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用标记s.86o9ufmo4bbd4yxs1pws2z1'。
2019-03-04 15:08:20.972 mst(-0700)[debug]lsstvaultutils.recursivedeleterg令牌's.86o9ufmo4bbd4yxs1pws2z1'。
2019-03-04 15:08:21.406 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除'delegated/dm/test/read'作为叶节点。
2019-03-04 15:08:21.406 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除'delegated/dm/test/read'作为叶n代码。
2019-03-04 15:08:21.406 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌s.86o9ufmo4bbd4yxs1pws2z1。
2019-03-04 15:08:21.406 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌s.86o9ufmo4bbd4yxs1pws2z1。
2019-03-04 15:08:21.492 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除"委派的/dm/test/write"。
2019-03-04 15:08:21.492 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除"委派的/dm/test/write"。
2019-03-04 15:08:21.603 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除根在"delegated/dm/test/write"的树
2019-03-04 15:08:21.603 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除根在"delegated/dm/test/write"的树
2019-03-04 15:08:21.603 mst(-0700)[debug]lsstvaultutils.recursivedeleter resp='{请求_ id':'8446aa1b-3d86-3b0d-eb55-01a9fe0e1cad','租约id':'','可更新':false,'租约持续时间':0,'数据':{'keys':['accessor','id']},'包装信息':无,'警告':无,'auth':无}'
2019-03-04 15:08:21.603 mst(-0700)[debug]lsstvaultutils.recursivedeleter'resp='{'请求id':'8446aa1b-3d86-3b0d-eb55-01a9fe0e1cad','lease-id':'','renewable':false,'lease-duration':0,'data':{'keys':['accessor','id']},'wrap-u-info':none,'warning':none,'auth':none}
2019-03-04 15:08:21.603 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除'delegated/dm/te'st/write/accessor递归。
2019-03-04 15:08:21.603 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除'delegated/dm/test/write/accessor'。
2019-03-04 15:08:21.707 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除'delegated/dm/test/write/access或"作为叶节点"。
2019-03-04 15:08:21.707 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"委派的/dm/test/write/accessor"作为叶节点。
2019-03-04 15:08:21.708 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌"s.86o9ufmo4bbd4yxs1pws2z1"。
2019-03-04 15:08:21.708 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌's.86o9ufmo4bbd4yxs1pws2z1'。
2019-03-04 15:08:22.120 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除'delegated/dm/test/write/id'。
2019-03-04 15:08:22.120 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除"delegated/dm/test/write/id"。
2019-03-04 15:08:22.224 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"delegated/dm/test/write/id"作为叶节点。
2019-03-04 15:08:22.224 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"delegated/dm/test/write/id"作为叶节点。
2019-03-04 15:08:22.224 mst(-0700)[调试]lsstvaultutils.recursivedeleter使用标记"s.86o9ufmo4bbd4yxs1pws2z1"。
2019-03-04 15:08:22.224 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用标记"s.86o9ufmo4bbd4yxs1pws2z1"。
2019-03-04 15:08:22.673 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"delegated/dm/test/write"作为叶节点。
2019-03-04 15:08:22.673 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"delegated/dm/test/write"作为叶节点。
2019-03-04 15:08:22.673 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌"s.86o9ufmo4bbd4yxs1pws2z1".
2019-03-04 15:08:22.673 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌的.86o9ufmo4bbd4yxs1pws2z1'。
2019-03-04 15:08:22.761 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"委派/dm/test"作为叶节点。
2019-03-04 15:08:22.761 mst(-0700)[调试]lsstvaultutils.recursivedeleter删除"delegated/dm/test"作为叶节点。
2019-03-04 15:08:22.761 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用标记"s.86o9ufmo4bbd4yxs1pws2z1"。
2019-03-04 15:08:22.761 mst(-0700)[debug]lsstvaultutils.recursivedeleter using token's.86o9ufmo4bbd4yxs1pws2z1'。
2019-03-04 15:08:22.856 mst(-0700)[debug]lsstvaultutils.tokenadmin删除"委派/dm/test/read"的策略。
2019-03-04 15:08:23.039 mst(-0700)[debug]lsstvaultutils.tokenadmin删除"委派/dm/test/write"的策略。
现在系统又回到了我们启动时的状态。
设置
读取令牌(现在已吊销):`export
vault\token="s.3nyteqdwiinkikntuoidtd9d`。然后尝试之前再次运行的相同读取:
(vaultutils)adam@ixitxachil:~$vault kv get secret/dm/test/group1/baz
发出API请求时出错。
*权限被拒绝
此软件包是一组对lsst用例有用的vault utilities。
>这些工具用于特定的分类层次结构,
详细信息如下。
在"secret"下,不能用秘密组织
,如下:
`secret/>`subsystem:/:team:/:category:/:instance:`
>例如,lsst science platform notebook方面的"nublado.lsst.codes"实例的秘密存储在
`secret/dm/square/nublado/nublado.lsst中代码'.下面是"hub"、"proxy"和"tls"秘密文件夹,每个文件夹都有
个秘密,
例如"secret/dm/square/nublado/nublado.lsst.codes/hub/oauth\u secret"。
E令牌对和策略。它们通过这些令牌中的一个
来访问。
这使得在保险库机密和kubernetes机密(具有多个键值对)之间来回转换变得容易得多。
保险库令牌
配置工具。使用[delegator.hcl](delegator.hcl)作为输入来
为此创建策略。然后创建一个附加了新的delegator
策略的令牌。
token id和访问器存储在
"secret/delegated/:subsystem:/:team:/:category:/:instance:/:role:/:type:`
,其中"role"是"read"或"write"之一,"type"是"id"或"accessor"之一。只有管理用户才能访问这些机密
(例如,首先创建令牌对的用户,它应该是附加到上面创建的"delegator"策略的令牌
)。这些
是"读"和"写"。
我们提供了一个工具,可以方便地将kubernetes机密复制到保险库和从保险库中复制出来。
\policies
policies存储为
`delegated/:subsystem:/:team:/:category:/:instance:/:role:`where role
is one of`read` or`write`.创建或撤消令牌对的管理用户还负责创建和销毁这些策略。
它的函数类是:
1。` secretcopier`--它在当前的kubernetes
上下文和一个保险库实例之间复制秘密。` admintool`--这个高度lsst特定的类允许您在保险库机密存储下指定一个
路径,它将生成两个
(读和写)令牌,用于操作路径下的机密。它将那些存储在secret/delegated下,这样管理员可以在以后找到(如果需要,还可以撤销)。它还管理撤销那些
令牌并将它们从机密/委派路径中移除。选项
存在于,如果在已存在的路径上操作令牌,则撤销
旧令牌并用新令牌覆盖,或者在撤销令牌的同时删除机密
数据。还有一个
函数显示与路径相关联的令牌对的id和访问器。` recursivedeleter`--这将向保险库添加一个递归删除功能,用于一次删除整个机密树。
转到调试日志。有一个方便的函数"get logger"
,它提供了一个接口来获取这些工具和类的标准化记录器。
` copyk2v`--将kubernetes机密的内容复制到一个保险库的秘密路径中。` copyv2k`--将指定路径上的一组保险库机密复制到
kubernetes机密。
3。` tokenadmin`--为给定的保险库机密
路径创建或撤消令牌集,或显示该路径的令牌ID和访问器。
4。` vaultrmrf`--删除一个保险库秘密路径和它下面的所有内容。顾名思义,这是一个相当危险的操作。
删除一个秘密树,
,最后删除令牌对。
(注意
我们省略了一个层次结构级别,使输出更具可读性;`dm/square/test`更为实际。)我们确保
正确设置了'vault_addr'和'vault_capath',并将
`vault_token'设置为适当的管理令牌。我们将使用"debug"了解
过程中发生的情况,并使用"display"选项打印表示
令牌的json。
(vaultutils)adam@ixitxachil:~$tokenadmin create--debug--display dm/test
2019-03-04 14:45:52.625 mst(-0700)[debug]lsstvaultutils.tokenadmin调试日志记录已启动。
2019-03-04 14:45:52.625 mst(-0700)[debug]lsstvaultutils.tokenadmin获取"ht"的保险存储客户端TPS://35.184.246.111.
2019-03-04 14:45:52.939 mst(-0700)[debug]lsstvaultutils.tokenadmin保险库客户端已验证。
2019-03-04 14:45:52.939 mst(-0700)[debug]lsstvaultutils.tokenadmin为"dm/test"创建策略和令牌。
2019-03-04 14:45:52.939 mst(-0700)[调试]lsstvaultutils.tokenadmin为"dm/test"创建策略。
2019-03-04 14:45:52.939 mst(-0700)[debug]lsstvaultutils.tokenadmin检查是否存在策略"delegated/dm/test"。
2019-03-04 14:45:53.109 mst(-0700)[debug]lsstvaultutils.tokenadmin创建策略r'dm/test/read'。
2019-03-04 14:45:53.109 mst(-0700)[debug]lsstvaultutils.tokenadmin策略字符串:path"secret/data/dm/test/*"{
功能=["read"]
}
路径"secret/metadata/dm/test/*"{
功能=["read","list"]
}
2019-03-04 14:45:53.109 mst(-0700)[debug]lsstvaultutils.tokenadmin策略路径:委派/dm/test/read
2019-03-04 14:45:53.535 mst(-0700)[debug]lsstvaultutils.tokenadmin创建"dm/test/write"策略。
2019-03-04 14:45:53.535 mst(-0700)[debug]lsstvaultutils.tokenadminn策略字符串:路径"secret/data/dm/test"{
功能=["read","create","update","delete"]
}
路径"secret/data/dm/test/*"{
功能=["read","create","update","delete"]
}
路径"secret/metadata/dm/test/*"{
cap能力=["list","read","update","delete"]
}
path"secret/metadata/dm/test"{
能力=["list","read","update","delete"]
}
path"secret/delete/dm/test/*"{
能力=["update"]
}
path"secret/undelete/dm/test/*"{
功能=["更新"]
}
路径"机密/销毁/dm/test/*"{
功能s=["update"]
}
2019-03-04 14:45:53.535 mst(-0700)[debug]lsstvaultutils.tokenadmin策略路径:委派/dm/test/write
2019-03-04 14:45:54.217 mst(-0700)[debug]lsstvaultutils.tokenadmin为"dm/test/read"创建令牌。
2019-03-04 14:45:54.217 mst(-0700)[debug]lsstvaultutils.tokenadmin-policies'['delegated/dm/test/read'].
2019-03-04 14:45:55.630 mst(-0700)[debug]lsstvaultutils.tokenadmin为'dm/test/read'写入令牌存储。
2019-03-04 14:45:55.630 mst(-0700)[debug]lsstvaultutils.tokenadmin'delegated/dm/test/read'->;'s.3nyteqdwiinkikntuoidtd9d'。
2019-03-04 14:45:56.840 mst(-0700)[debug]lsstvaultutils.tokenadmin为'dm/test/write'创建令牌。
2019-03-04 14:45:56.840 mst(-0700)[debug]lsstvaultutils.tokenadmin-policies'['delegated/dm/test/write'].
2019-03-0414:45:58.171 mst(-0700)[debug]lsstvaultutils.tokenadmin为'dm/test/write'写入令牌存储。
2019-03-04 14:45:58.171 mst(-0700)[debug]lsstvaultutils.tokenadmin'delegated/dm/test/write'->;'s.4l4eddlmyd436rsjrqli11cd'。
2019-03-04 14:45:59.335 mst(-0700)[debug]lsstvaultutils.tokenadmin获取"dm/test"的令牌。
{
"dm/test":{
"read":{
"accessor":"1wrcctqeebkqx78t37eyvztk",
"id":"s.3nyteqdwiinkikntuoidtd9d"
},
"write":{
"ac""8lvohkigfjf9qynigoxrb8ik"的"8lvohkigfjf9qynigoxrb8ik"
"id":"s.4l4edldlmyd436rsjrqlll166rsjrqll11cd"
<
//增加一些秘密
/>首先,将金库设置为使用"写"令牌:
/>"export金库令牌"s.4l4edldldldldlmyd436rsjrql16l14146rsjrjrql我喜欢JSOn输出,所以我要设置:
`export vault_format=json`
>然后使用vault客户端添加一些机密:
(vaultutils)adam@ixitxachil:~$vault kv put secret/dm/test/group1/foo value=bar
{
"请求ID":"0a814bd2-e95d-cf1c-9018-c00173668e3d",
"租约ID":",
"租约持续时间":0,
"可更新":false,
"数据":{
"创建时间":"2019-03-04t21:51:07.616034224z",
"删除时间":",
"销毁":false,
"版本":1
},
"警告":null
}
(vaultutils)adam@ixitxachil:~$vault kv put secret/dm/test/group1/baz value=quox
{
"请求id":"38c65e0d-735d-db9a-c2d6-840bdd4dff65",
"租用id":",
"租用持续时间":0,
"可更新":false,
"数据":"{
"已创建"ime":"2019-03-04t21:51:34.991913644z",
"删除时间":",
"销毁":false,
"版本":1
},
"警告":null
}
(vaultutils)adam@ixitxachil:~$vault kv put secret/dm/test/group2/king value=fink
{
"请求"T_id":"12753857-25f2-a27a-3d65-badc18805d07",
"租赁id",
"租赁期限":0,
"可再生":假,
"数据":{
"创建时间":"2019-03-04t21:51:45.645224365z",
"删除时间",
"销毁":假,
"版本打开":1
},
"警告":空值
}
/>"renewable":false,
"data":{
"data":{
"value":"quoux"
},
"metadata":{
"created_time":"2019-03-04t21:51:34.991913644z",
"deletion_time":",
"destroyed":false,
"version":1
}
},
"警告":空值
}
/>现在让我们从这些中创建kubernetes秘密。为了获得当前经过身份验证的kubernetes上下文,请执行
所需的任何操作。
切换到"read"令牌--我们不需要使用"write"令牌将
从保险库复制到kubernetes。当然,kubernetes用户必须能够创建
机密,但这与保管库令牌无关。
>然后我们将一组机密从保管库复制到kubernetes:
(vaultutils)adam@ixitxachil:~$copyv2k--调试dm/test/group1 testg1
2019-03-04 14:54:52.855 mst(-0700)[debug]lsstvaultutils.secretcopier调试日志记录已启动。
2019-03-04 14:54:52.855 mst(-0700)[debug]lsstvaultutils.secretcopier正在为"https://35.184.246.111"获取保管库客户端。
2019-03-04 14:54:53.117 mst(-0700)[debug]lsstvaultutils.secretcopier正在获取k8s客户端。
2019-03-04 14:54:53.249mst(-0700)[debug]lsstvaultutils.secretcopier从'dm/test/group1'读取机密。
2019-03-04 14:54:53.378 mst(-0700)[debug]lsstvaultutils.secretcopier'dm/test/group1'是一组值。
2019-03-04 14:54:53.692 mst(-0700)[debug]lsstvaultutils.secretcopier确定命名空间'nublad'中是否存在机密'testg1'。o.
2019-03-04 14:54:53.971 mst(-0700)[debug]lsstvaultutils.secretcopier找到机密。
2019-03-04 14:54:53.971 mst(-0700)[debug]lsstvaultutils.secretcopier base64编码机密数据
2019-03-04 14:54:53.971 mst(-0700)[debug]lsstvaultutils.secretcopier更新机密。
组;这次我们将省略--调试。
(vaultutils)adam@ixitxachil:~$copyv2k dm/test/group2 testg2
(vaultutils)adam@ixitxachil:~$
现在让我们看看拷贝是否有效。
(vaultutils)adam@ixitxachil:~$kubectl get secret-o yaml testg2
apiversion:v1
数据:
king:zmluaw==
kind:secret
元数据:
创建时间戳:2019-03-04t21:55:47z
名称:testg2
命名空间:nublado
资源版本:"10389477"
自链接:api/v1/命名空间/nublado/secrets/testg2
uid:445509ca-3ec8-11e9-a1ce-42010a800032
类型:不透明
解码该机密:
(vaadam@IXitxachitl:/tmp$echo-n zmlauaw==base64-d-
fink
将秘密从库伯内et斯复制到金库
返回"写"令牌:
expexport vacucucucucucucucucum token="s.4l4eddlmdlmyd436rsjrqri11cd"
将秘密复制到新的金库路径:
(vaultutils)adam Xachil:~$copyk2v testg1 dm/test/copy1
(vaultutils)adam@IXitxachitl:~$
r/>读取一个值(我们可以转换到保险库的read令牌,但是我们不需要
也允许读写)返回:
(vaultutils)adam@IXitxachitl:/tmp$vault kv get secret/dm/sq方/copy1/foo
"请求id":"7A509ffc-eaf6-ee43-0d6b-D6bc4fe08a8b"
(vaultutils)adam@IXitxachitl///tmp$vault-vault-kv-vault-kv-vault-kv-get secretretsecret/dm,
"租赁_ id",",
"租赁期限":0,
"可更新":false,
"数据":{
"数据":{
"值":"bar"
},
"元数据":{
"创建时间":"2019-03-04t22:01:57.69090656z",
"删除时间":",
"已销毁":false,
"版本":1
}
},
"警告":null
}
我们可以轻松地删除树。
然后我们可以使用"vaultrmrf"命令(和写令牌)删除树。
(vaultutils)adam@ixitxachil:~$vaultrmrf--debug dm/test/copy1
2019-03-04 15:05:47.920 mst(-0700)[debug]lsstvaultutils.recursivedeleter调试日志记录已启动。
2019-03-04 15:05:47.920 mst(-0700)[debug]lsstvaultutils.recursivedeleter获取'ht'的保险库客户端tps://35.184.246.111'。
2019-03-04 15:05:48.164 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除'dm/test/copy1'。
2019-03-04 15:05:48.269 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除根在'dm/test/copy1'的树
2019-03-04 15:05:48。269 mst(-0700)[debug]lsstvaultutils.recursivedeleter resp='{'request-id':'f6774de1-cb8c-76ed-8425-7963b5d95d76','lease-id':'',renewable':false,'lease-duration':0,'data':{'keys':['baz',foo']},'wrap-info':none,'warning':none,'auth':none}
2019-03-04 15:05:48.269 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除'dm/test/copy1/baz'。
2019-03-04 15:05:48.369 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除'dm/test/copy1/baz'作为叶节点。
2019-03-04 15:05:48.369 mst(-0700)[debug]lsstvaultutils.recursivedeleteer使用标记"s.4l4eddlmyd436rsjrqli11cd"。
2019-03-04 15:05:48.703 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除"dm/test/copy1/foo"。
2019-03-04 15:05:48.809 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"dm/test/copy1/foo"作为叶节点e.
2019-03-04 15:05:48.809 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌的4l4eddlmyd436rsjrqli11cd。
2019-03-04 15:05:49.123 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"dm/test/copy1"作为叶节点。
2019-03-04 15:05:49.123 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌的.4l4eddlmyd436rsjrqli11cd。'
现在尝试读取机密将显示它已消失:
(vaultutils)adam@ixitxachil:~$vault kv get secret/dm/test/copy1/foo
secret/data/dm/test/copy1/foo
###撤销令牌对并删除数据
现在我们将清理:
(vaultutils)adam@ixitxachil:~$kubectl delete secret testg1 testg2
secret"testg1"deleted
` vault_token`到一个适当的值),当我们使用它时,我们也将清除插入到vault中的数据。
(vaultutils)adam@ixitxachil:~$tokenadmin revoke--删除数据--调试dm/test2019-03-04 15:08:12.888 mst(-0700)[debug]lsstvaultutils.tokenadmin调试日志启动ING。
2019-03-04 15:08:12.888 mst(-0700)[debug]lsstvaultutils.tokenadmin获取"https://35.184.246.111"的保管库客户端。
2019-03-04 15:08:13.147 mst(-0700)[debug]lsstvaultutils.tokenadmin对保管库客户端进行身份验证。
2019-03-04 15:08:13.147 mst(-0700)[debug]lsstvaultutils.tokenadmin撤销令牌并删除"dm/test"的策略。
2019-03-04 15:08:13.147 mst(-0700)[debug]lsstvaultutils.tokenadmin获取"dm/test"的写入令牌。
2019-03-04 15:08:13.147 mst(-0700)[debug]lsstvaultutils.tokenadmin从中读取值委派/dm/test/write/id。'
2019-03-04 15:08:13.208 mst(-0700)[debug]lsstvaultutils.tokenadmin获取数据:{request-u id':'e5084c92-f404-7338-f776-47f1d8ee5980','lease-u id':','renewable':false,'lease-duration':0,'数据':{data':{value':'s.4l4eddlmyd436rsjri11cd'},'元数据':{创建的"时间":"2019-03-04t21:45:58.325211493Z","删除时间":"销毁":false,"版本":1},"包装信息":none,"警告":none,"验证":none}
2019-03-04 15:08:13.208 mst(-0700)[debug]lsstvaultutils.recursivedeleter调试日志记录已启动。
2019-03-04 15:08:13.208mst(-0700)[debug]lsstvaultutils.recursivedeleter获取"https://35.184.246.111"的保险库客户端。
2019-03-04 15:08:13.498 mst(-0700)[debug]lsstvaultutils.tokenadmin删除"dm/test"下的数据。
2019-03-04 15:08:13.498 mst(-0700)[debug]lsstvaultutils.recursivedeleter|递归删除"dm/test"。
2019-03-04 15:08:13.638 mst(-0700)[debug]lsstvaultutils.recursivedeleter正在删除根位于"dm/test"的树
2019-03-04 15:08:13.638 mst(-0700)[debug]lsstvaultutils.recursivedeleter resp='{request-u id':'661160b2-6916-62f5-ae29-8da0d576d841','lease-id':'','renewable':false,'lease-duration':0,'data':{keys':['group1/','group2/']},'wrap-info':none,"warnings":none,"auth":none}
2019-03-04 15:08:13.638 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除"dm/test/group1"。
2019-03-04 15:08:13.907 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除根位于"dm/test/group1"的树
2019-03-04 15:08:13.907 mst(-0700)[debug]lsstvaultutils.recursivedeleter resp='{请求ID':'02e65063-64e2-8ca9-1532-f3aaf1eaeeb5','租用ID':'','可更新':false,'租用持续时间':0,'数据':{键':['baz',foo']},'包装信息':无,'警告':无,'验证':无}
2019-03-04 15:08:13.908 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除"dm/test/group1/baz"。
2019-03-04 15:08:14.262 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"dm/test/group1/baz"作为叶节点。
2019-03-04 15:08:14.262 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用标记"s.4l4eddlmyd436rsjrqli11cd"。
2019-03-04 15:08:14.729 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除"dm/test/group1/foo"。
2019-03-04 15:08:14.906 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"dm/test"/group1/foo'作为叶节点。
2019-03-04 15:08:14.906 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌的.4l4eddlmyd436rsjrqli11cd。
2019-03-04 15:08:15.409 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除'dm/test/group1'作为叶节点。
2019-03-04 15:08:15.409 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌's.4l4eddlmyd436rsjrqli11cd'。
2019-03-04 15:08:15.560 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除'dm/test/group2'。
2019-03-04 15:08:15.716 mst(-0700)[debug]lsstvaultutils.recursivedeleter正在删除根位于"dm/test/group2"的树
2019-03-04 15:08:15.716 mst(-0700)[debug]lsstvaultutils.recursivedeleter resp="{请求ID":"9a9f23d3-f5cf-10c7-e18c-2f54a848e3e7","租用ID":"可更新":false,"租用持续时间":0,"数据":{键":['king']},"换行"fo':无,"警告":无,"验证":无}
2019-03-04 15:08:15.716 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除"dm/test/group2/king"。
2019-03-04 15:08:15.866 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"dm/test/group2/king"作为叶号de.
2019-03-04 15:08:15.866 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌的.4l4eddlmyd436rsjrqli11cd'。
2019-03-04 15:08:16.480 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"dm/test/group2"作为叶节点。
2019-03-04 15:08:16.480 mst(-0700)[调试]lsstvaultutils.recursivedeleter使用令牌's.4l4eddlmyd436rsjrqli11cd'。
2019-03-04 15:08:16.623 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除'dm/test'作为叶节点。
2019-03-04 15:08:16.623 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌's.4l4eddlmyd436rsjrqli11cd'。
2019-03-04 15:08:16.765 mst(-0700)[debug]lsstvaultutils.tokenadmin请求'dm/test'的'read'令牌的ID。
2019-03-04 15:08:16.826 mst(-0700)[debug]lsstvaultutils.tokenadmin令牌数据:{请求ID':'845ca454-5b0e-9518-9029-bf221c771e4f',"租约ID":"可更新":false,"租约持续时间":0,"数据":{"数据":{"值":"s.3nyteqdwinkikntuoiddd9d'},"元数据":{"创建时间":"2019-03-04t21:45:55.802574394z","删除时间":"已销毁":false,"版本":1},"包装信息":none,"警告":none,"身份验证":none}
2019-03-04 15:08:16.827 mst(-0700)[debug]lsstvaultutils.tokenadmin删除'dm/test'的'read'令牌。
2019-03-04 15:08:18.393 mst(-0700)[debug]lsstvaultutils.tokenadmin请求'dm/test'的'write'令牌的ID。
2019-03-04 15:08:18.454 mst(-0700)[debug]lsstvaultutils.tokenadmin令牌数据:{请求ID':'5f3aae99-59f4-618b-cf1c-cb9bc3b39478','租用ID':'','可更新':false,'租约持续时间:0,'数据':{数据':{值':'s.4l4eddlmyd436rsjrqli11cd'},'元数据':{创建时间':'2019-03-04t21:45:58.325211493z,'删除时间':'','销毁':false,'版本':1},'包装信息':无,'警告':无,'验证':无}
2019-03-04 15:08:18.455 mst(-0700)[调试]lsstvaultutils.tokenadmin删除'dm/test'的'write'令牌。
2019-03-04 15:08:19.845 mst(-0700)[debug]lsstvaultutils.tokenadmin删除'dm/test'的令牌存储。
2019-03-04 15:08:19.846 mst(-0700)[debug]lsstvaultutils.recursivedeleter调试日志记录已启动。
2019-03-04 15:08:19.846 mst(-0700)[debug]lsstvaultutils.recursivedeleter调试日志记录已启动。
2019-03-04 15:08:19.846 mst(-0700)[debug]lsstvaultutils.recursivedeleter正在获取"https://35.184.246.111"的保管库客户端。
2019-03-04 15:08:19.846 mst(-0700)[debug]lsstvaultutils.recursivedeleter获取"https://35.184.246.111"的保管库客户端。
2019-03-04 15:08:20.085 mst(-0700)[debug]lsstvaultutils.tokenadmin递归删除:"delegated/dm/test"
2019-03-04 15:08:20.085 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"delegate"d/dm/test'递归。
2019-03-04 15:08:20.085 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除'delegated/dm/test'。
2019-03-04 15:08:20.199 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除根在'delegated/dm/test'的树
2019-03-0415:08:20.199 mst(-0700)[debug]lsstvaultutils.recursivedeleter正在删除根位于"delegated/dm/test"的树
2019-03-04 15:08:20.199 mst(-0700)[debug]lsstvaultutils.recursivedeleter resp='{请求ID':'5c1f33cf-8878-a5c8-a884-1f5cda607fa6','租用ID':'','可更新':false,'lease_duration':0,'数据':{keys':['read/','write/']},'包装信息':无,'警告':无,'验证':无},
2019-03-04 15:08:20.199 mst(-0700)[debug]lsstvaultutils.recursivedeleter resp='{'request_id':'5c133cf-8878-a5c8-a884-1f5cda607fa6,'租赁id':','可再生':假,'租赁d持续时间:0,'数据':{keys':['read/','write/']},'包装信息':无,'警告':无,'验证':无},
2019-03-04 15:08:20.199 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除'delegated/dm/test/read'。
2019-03-04 15:08:20.199 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除"delegated/dm/test/read"。
2019-03-04 15:08:20.317 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除根在"delegated/dm/test/read"的树
2019-03-04 15:08:20.317 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除tree根位于"delegated/dm/test/read"
2019-03-04 15:08:20.317 mst(-0700)[debug]lsstvaultutils.recursivedeleter resp='{request-u id':'4D18F739-1EE7-C413-6B9A-1766F6F300de','lease-id':'','renewable':false,'lease-u-duration':0,'data':{keys':['accessor',id']},'wrap-info':none,"警告":无,"验证":无}'
2019-03-04 15:08:20.317 mst(-0700)[debug]lsstvaultutils.recursivedeleter resp='{请求ID':'4d18f739-1ee7-c413-6b9a-1766f6f300de','租用ID':'','可更新':假,'租用持续时间':0,'数据':{键':['accessor','id']},'包装信息':无,'warnings':none,'auth':none}'
2019-03-04 15:08:20.317 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除'delegated/dm/test/read/accessor'。
2019-03-04 15:08:20.317 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除'delegated/dm/test/read/accessor'递归地。
2019-03-04 15:08:20.422 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除'delegated/dm/test/read/accessor'作为叶节点。
2019-03-04 15:08:20.422 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除'delegated/dm/test/read/accessor'作为叶节点。
2019-03-04 15:08:20.422 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌's.86o9ufmo4bbd4yxS1PWHS2Z1。
2019-03-04 15:08:20.422 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌s.86o9ufmo4bbd4yxs1pws2z1。
2019-03-04 15:08:20.856 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除"委派/dm/test/read/id"。
2019-03-04 15:08:20.856 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除"delegated/dm/test/read/id"。
2019-03-04 15:08:20.971 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"delegated/dm/test/read/id"作为叶节点。
2019-03-04 15:08:20.971 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"delegated/dm/test/read/id"作为叶节点。
2019-03-04 15:08:20.972 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用标记s.86o9ufmo4bbd4yxs1pws2z1'。
2019-03-04 15:08:20.972 mst(-0700)[debug]lsstvaultutils.recursivedeleterg令牌's.86o9ufmo4bbd4yxs1pws2z1'。
2019-03-04 15:08:21.406 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除'delegated/dm/test/read'作为叶节点。
2019-03-04 15:08:21.406 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除'delegated/dm/test/read'作为叶n代码。
2019-03-04 15:08:21.406 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌s.86o9ufmo4bbd4yxs1pws2z1。
2019-03-04 15:08:21.406 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌s.86o9ufmo4bbd4yxs1pws2z1。
2019-03-04 15:08:21.492 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除"委派的/dm/test/write"。
2019-03-04 15:08:21.492 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除"委派的/dm/test/write"。
2019-03-04 15:08:21.603 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除根在"delegated/dm/test/write"的树
2019-03-04 15:08:21.603 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除根在"delegated/dm/test/write"的树
2019-03-04 15:08:21.603 mst(-0700)[debug]lsstvaultutils.recursivedeleter resp='{请求_ id':'8446aa1b-3d86-3b0d-eb55-01a9fe0e1cad','租约id':'','可更新':false,'租约持续时间':0,'数据':{'keys':['accessor','id']},'包装信息':无,'警告':无,'auth':无}'
2019-03-04 15:08:21.603 mst(-0700)[debug]lsstvaultutils.recursivedeleter'resp='{'请求id':'8446aa1b-3d86-3b0d-eb55-01a9fe0e1cad','lease-id':'','renewable':false,'lease-duration':0,'data':{'keys':['accessor','id']},'wrap-u-info':none,'warning':none,'auth':none}
2019-03-04 15:08:21.603 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除'delegated/dm/te'st/write/accessor递归。
2019-03-04 15:08:21.603 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除'delegated/dm/test/write/accessor'。
2019-03-04 15:08:21.707 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除'delegated/dm/test/write/access或"作为叶节点"。
2019-03-04 15:08:21.707 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"委派的/dm/test/write/accessor"作为叶节点。
2019-03-04 15:08:21.708 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌"s.86o9ufmo4bbd4yxs1pws2z1"。
2019-03-04 15:08:21.708 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌's.86o9ufmo4bbd4yxs1pws2z1'。
2019-03-04 15:08:22.120 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除'delegated/dm/test/write/id'。
2019-03-04 15:08:22.120 mst(-0700)[debug]lsstvaultutils.recursivedeleter递归删除"delegated/dm/test/write/id"。
2019-03-04 15:08:22.224 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"delegated/dm/test/write/id"作为叶节点。
2019-03-04 15:08:22.224 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"delegated/dm/test/write/id"作为叶节点。
2019-03-04 15:08:22.224 mst(-0700)[调试]lsstvaultutils.recursivedeleter使用标记"s.86o9ufmo4bbd4yxs1pws2z1"。
2019-03-04 15:08:22.224 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用标记"s.86o9ufmo4bbd4yxs1pws2z1"。
2019-03-04 15:08:22.673 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"delegated/dm/test/write"作为叶节点。
2019-03-04 15:08:22.673 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"delegated/dm/test/write"作为叶节点。
2019-03-04 15:08:22.673 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌"s.86o9ufmo4bbd4yxs1pws2z1".
2019-03-04 15:08:22.673 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用令牌的.86o9ufmo4bbd4yxs1pws2z1'。
2019-03-04 15:08:22.761 mst(-0700)[debug]lsstvaultutils.recursivedeleter删除"委派/dm/test"作为叶节点。
2019-03-04 15:08:22.761 mst(-0700)[调试]lsstvaultutils.recursivedeleter删除"delegated/dm/test"作为叶节点。
2019-03-04 15:08:22.761 mst(-0700)[debug]lsstvaultutils.recursivedeleter使用标记"s.86o9ufmo4bbd4yxs1pws2z1"。
2019-03-04 15:08:22.761 mst(-0700)[debug]lsstvaultutils.recursivedeleter using token's.86o9ufmo4bbd4yxs1pws2z1'。
2019-03-04 15:08:22.856 mst(-0700)[debug]lsstvaultutils.tokenadmin删除"委派/dm/test/read"的策略。
2019-03-04 15:08:23.039 mst(-0700)[debug]lsstvaultutils.tokenadmin删除"委派/dm/test/write"的策略。
现在系统又回到了我们启动时的状态。
设置
读取令牌(现在已吊销):`export
vault\token="s.3nyteqdwiinkikntuoidtd9d`。然后尝试之前再次运行的相同读取:
(vaultutils)adam@ixitxachil:~$vault kv get secret/dm/test/group1/baz
发出API请求时出错。
*权限被拒绝
欢迎加入QQ群-->: 979659372
