Vault — Operações¶

Operações com scripts¶

Os scripts principais ficam no repositório de infraestrutura e cobrem listagem, backup, restore, cópia e deleção controlada.

Listar secrets¶

bash ./scripts/vault/vault-backup.sh -l -m secret/HML ./scripts/vault/vault-backup.sh -l -m secret/HML -sp tenants/tre

Backup¶

bash ./scripts/vault/vault-backup.sh -b -m secret/HML -sp tenants -o backup-hml.json ./scripts/vault/vault-backup.sh -b -m secret/HML -sp tenants/tre -o backup-tre.json

Restore¶

bash ./scripts/vault/vault-backup.sh -r -m secret/HML -i backup.json ./scripts/vault/vault-backup.sh -r -dm secret/HML -sp tenants/tre -dp tenants/novo -i backup.json

Transformar valores entre tenants¶

bash ./scripts/vault/vault-update-value.sh -i backup-tre.json -o backup-novo.json -st tre -dt novo

Deletar secrets¶

bash ./scripts/vault/vault-backup.sh -d -m secret/HML -sp tenants/obsoleto

Faça backup antes de deletar

Sempre faça backup antes de qualquer ação destrutiva. A restauração depende da consistência dos paths e da transformação correta dos valores entre tenants.

Troubleshooting¶

Pod não recebe secrets¶

verificar o ExternalSecret
verificar o ClusterSecretStore
confirmar se o path esperado existe no Vault
revisar se o workflow de tenant realmente criou os secrets

Vault sealed¶

O Vault usa auto-unseal via OCI KMS. Se houver reinício simultâneo das réplicas:

verificar vault status
validar conectividade com OCI KMS
revisar a disponibilidade dos artefatos de init e unseal gerenciados pela infraestrutura

GitHub Actions sem acesso ao Vault¶

Conferir:

secrets VAULT_ADDR e VAULT_TOKEN no repositório ou ambiente do workflow
se a integração GitHub/Vault está habilitada na configuração do stack
se os actions check-vault-secrets, vault-secrets-management e vault-secrets-metadata localizaram os scripts e o mount correto