V predchádzajúcom článku sme si nainštalovali OpenBao a spustili OpenBao server v development režime. Dnes si ukážeme, ako spustiť OpenBao server s konfiguračným súborom a trvalým uložením dát.

V prvom kroku, si vyrobíme adresárovú štruktúru. Ja som zvykol na ukladanie aplikačných dát do adresára C:\ProgramData.

New-Item -ItemType Directory -Force -Path "C:\ProgramData\OpenBao\data","C:\ProgramData\OpenBao\logs" | Out-Null

Pomocou powershell, si vyrobíme základný konfiguračný súbor. Konfigurácia je vhodná na spustenie lokálne napr. na notebooku.

$cfg = @'
storage "raft" {
  path    = "C:\\ProgramData\\OpenBao\\data"
  node_id = "node1"
}

listener "tcp" {
  address     = "127.0.0.1:8200"
  tls_disable = 1
}

ui           = true
api_addr     = "http://127.0.0.1:8200"
cluster_addr = "http://127.0.0.1:8201"
log_level    = "info"
'@

$p = "C:\ProgramData\OpenBao\config.hcl"
$cfg | Set-Content -Path $p -Encoding ASCII -Force

Do trvalej environment premennej si uložíme url kam sa majú posielať API requesty.

setx BAO_ADDR "http://127.0.0.1:8200"

Spustíme OpenBao server s nami vytvoreným konfiguračným súborom.

bao server -config "C:\ProgramData\OpenBao\config.hcl"

Otvorme si druhé powershell okno a skontrolujme status servera.

bao status

Príklad výstupu:

Key                Value
---                -----
Seal Type          shamir
Initialized        false
Sealed             true
Total Shares       0
Threshold          0
Unseal Progress    0/0
Unseal Nonce       n/a
Version            2.4.0
Build Date         2025-08-28T20:33:05Z
Storage Type       raft
HA Enabled         true

Všimnime si položku Initialized s hodnotou false a položku Sealed s hodnotou true. Server potrebujeme najprv inicializovať, aby sa nám vygeneroval unseal kľúč(e) a Root Token. Urobime tak vykonaním príkazu:

bao operator init -key-shares=1 -key-threshold=1

Príklad výstupu:

Unseal Key 1: <44_znakovy_retazec>

Initial Root Token: <26_znakovy_retazec>

Vault initialized with 1 key shares and a key threshold of 1. Please securely
distribute the key shares printed above. When the Vault is re-sealed,
restarted, or stopped, you must supply at least 1 of these keys to unseal it
before it can start servicing requests.

Vault does not store the generated root key. Without at least 1 keys to
reconstruct the root key, Vault will remain permanently sealed!

It is possible to generate new unseal keys, provided you have a quorum
of existing unseal keys shares. See "bao operator rotate-keys" for more
information.

Upozornenie: Unseal Key a Initial Root Token si uložte.

Aby bol server funkčný a schopný prijímať requesty, musíme ho odpečatiť (unseal).

bao operator unseal <Unseal_Key_1>

Teraz sa už stačí prihlásiť sa s Root Tokenom.

bao login <Initial_Root_Token>

Iba pre toto okno, si pridáme premennú $env:BAO_TOKEN, aby sme token nemuseli za každým zadávať “ručne”.

$env:BAO_TOKEN="<Initial_Root_Token>"

Vytvoríme si prvé key-value úložisko typu kv-v2 s názvom “virtualization”…

bao secrets enable -path=virtualization kv-v2

…a do tohto úložiska môžeme rovnakým spôsobom ako v predchádzajúcom článku, ukadať svoje secrets.

bao kv put -mount=virtualization vCenter username='psguy@vsphere.local' password='<heslo_do_vCenter>'

Záver

S takouto konfiguráciou, už môžete OpenBao pokojne testovať, pretože všetko je uložené na lokálnom disku.

Súvisiace články:

OpenBao – centrálna správa, uchovávanie a distribúcia citlivých dát

OpenBao – politiky, tokeny a reálne použitie

OpenBao – HA cluster

OpenBao – PKI