Vault UI
Vault 提供了用于与 Vault 交互的用户界面(Web 界面)。使用 Vault UI 可以轻松创建、读取、更新和删除机密、身份验证、解封等。
要使用 UI 需要使用 Vault 0.10 或更高版本,或是使用 Vault 企业版。
启用 Vault UI
Vault 在默认情况下开启 UI。要开启 UI,请在 Vault 服务器配置中设置 ui
配置选项。 Vault 客户端不需要设置此选项,因为它们不有 UI 服务。
ui = true
listener "tcp" {
# ...
}
更多信息,请阅读 ui
配置节
访问 Vault UI
UI 与 Vault 侦听器在同一端口上运行。因此,您必须配置至少一个 listener
配置节才能访问 UI。
listener "tcp" {
address = "10.0.1.35:8200"
# If bound to localhost, the Vault UI is only
# accessible from the local machine!
# address = "127.0.0.1:8200"
}
按照这种配置,可以从子网中的任何计算机通过以下 URL 访问 UI(假设没有网络防火墙):
https://10.0.1.35:8200/ui/
也可以通过任意解析到该 IP 地址的 DNS 名来访问,例如使用 Consul 服务地址(如果配置使用了 Consul 的话):
https://vault.service.consul:8200/ui/
关于 TLS 的注意事项
使用 TLS(推荐)时,证书必须对将通过它访问的 Vault UI 的所有 DNS 条目以及 SAN 上的任何 IP 地址有效。如果您使用自签名证书运行 Vault,则任何访问 Vault UI 的浏览器都需要安装根 CA。不这样做可能会导致浏览器显示该站点“不受信任”的警告。强烈建议访问 Vault UI 的客户端浏览器安装正确的 CA 根证书以进行验证,以减少 MITM 攻击的机会。