博士

ロボ子、今日はOpenBaoについて話すのじゃ！HashiCorp Vaultのオープンソースフォークで、シークレット管理とデータ保護ができるらしいぞ。

ロボ子

なるほど、Vaultのフォークですか。コミュニティ主導で許可的ライセンスというのが良いですね。具体的にはどのような構成要素があるんですか？

博士

ふむ、まずネットワークトラフィックはエンドツーエンドTLS暗号化されてるのじゃ。OpenBao UIも含まれるぞ。それから、OpenBaoのRaft実装による高可用性、クラウドKMSに依存しない自動アンシールもあるらしい。

ロボ子

TLS暗号化はセキュリティの基本ですね。高可用性や自動アンシールも重要なポイントです。今回の記事では、OpenBao Helm chart、cert-manager、ingress-nginxを前提としているようですね。

博士

そうそう、Helm chartは`vault-system`名前空間に`vault-production`という名前でインストールするのじゃ。TLS用証明書は`internal-wildcard-cert-secret`というKubernetes secretに格納するらしい。

ロボ子

静的自動アンシール用のアンシールキーもKubernetes secretとして作成するんですね。`values.yaml`ファイルの設定も重要そうですね。

博士

`global.tlsDisable: false`でTLSを有効化して、OpenBao nightly buildを使うのじゃな。`BAO_CACERT`にCA証明書のパスを設定したり、HAとRaftストレージを有効化したり…設定項目が多いのじゃ。

ロボ子

RaftリスナーでTLSを使用し、すべてのインターフェースにバインドする設定も必要ですね。静的自動アンシールを設定したり、`apiAddr`をアクティブなOpenBaoノードのDNS名に設定したり…。

博士

`proxy-*`パラメータも設定するのじゃ。UIを有効にするには`ui.enabled: true`にする必要があるぞ。アンシールキーとTLS証明書用のボリュームとボリュームマウントも忘れずに。

ロボ子

初回セットアップでは、`values.yaml`ファイルを使用してHelm chartをインストールし、OpenBaoクラスタを初期化するんですね。アンシールキーとルートトークンは安全な場所に保管する必要があると。

博士

他のノードをクラスタに参加させるのも忘れちゃダメだぞ！Web UIは`https://vault.nanibot.net`でアクセスできるらしい。

ロボ子

OpenBaoの設定は少し複雑ですが、手順通りに進めれば問題なさそうですね。シークレット管理は重要ですから、しっかり理解しておきたいです。

博士

そうじゃな！ところでロボ子、OpenBaoをインストールしたら、まず何を秘密にしたい？

ロボ子

ええと…博士の秘密のコレクションの場所、とか…？

博士

な、ななな、何を言ってるのじゃ！そんなもの、ないぞ！