Name: Sobes.tech
Rating: 4.9 (250 reviews)

Для построения отказоустойчивого кластера HashiCorp Vault с auto-unseal обычно используют:

Кластер Vault из нескольких нод, настроенных в HA режиме, чтобы при падении одной ноды другая могла продолжить работу.
Backend для хранения данных с поддержкой HA, например Consul или Raft, чтобы обеспечить согласованное состояние.
Auto-unseal — автоматическую разблокировку Vault при старте, используя внешние KMS (Key Management Service), такие как AWS KMS, Azure Key Vault, Google Cloud KMS или HSM.

Пример конфигурации Vault с Raft и AWS KMS для auto-unseal:

storage "raft" {
  path    = "/vault/data"
  node_id = "node1"
}

seal "awskms" {
  region = "us-east-1"
  kms_key_id = "your-kms-key-id"
}

listener "tcp" {
  address     = "0.0.0.0:8200"
  tls_disable = 1
}

api_addr = "https://vault.example.com:8200"
cluster_addr = "https://vault.example.com:8201"

Таким образом, при перезапуске Vault автоматически разблокируется через KMS, а кластер обеспечивает отказоустойчивость и согласованность данных.

Как можно построить отказоустойчивый кластер HashiCorp Vault с auto-unseal?