Vault et gestion des secrets (CredentialAPI)¶
Cette section décrit comment activer et gérer la gestion des Secrets dans un environnement Reemo OnPrem déployé via Ansible.
Vue d’ensemble¶
L’infrastructure de gestion des secrets Reemo repose sur trois services complémentaires :
CredentialAPI : l’interface par laquelle les services internes accèdent aux secrets, qu’ils viennent du Vault interne ou d’un Vault externe à la plateforme.
Portal Credential : expose un endpoint HTTPS mTLS permettant aux conteneurs applicatifs de récupérer leurs credentials de manière automatique et sécurisée au démarrage.
Vault : stocke les secrets applicatifs (mots de passe, clés API, certificats) de manière chiffrée et centralisée.
Architecture¶
┌─────────────────────────────────────────────────┐
│ Conteneurs applicatifs Reemo │
│ Récupèrent leurs credentials au démarrage │
│ via mTLS + bi-clé éphémère + token Vault │
│ temporaire │
└────────────┬────────────────────────────────────┘
│ HTTPS mTLS (port 8446)
▼
┌─────────────────────────────────────────────────┐
│ Portal Credential │
│ Auth mTLS via PKI Reemo │
│ Récupération chiffrée des credentials │
└────────────┬────────────────────────────────────┘
│ HTTPS interne
▼
┌─────────────────────────────────────────────────┐
│ CredentialAPI │
│ (token Vault stocké en Docker secret) │
└────────────┬────────────────────────────────────┘
│ HTTPS (TLS)
▼
┌─────────────────────────────────────────────────┐
│ HAProxy (URL stable: reemo_vault) │
└────────────┬────────────────────────────────────┘
│
┌─────────┼─────────┐
▼ ▼ ▼
┌──────┐ ┌──────┐ ┌──────┐
│vault1│ │vault2│ │vault3│ (Raft cluster, optionnel)
└──────┘ └──────┘ └──────┘