Google Cloud 和 HashiCorp 扩展合作

作为与开源社区更深入结合工作的一部分，Google 宣布增进与 HashiCorp 的合作，合作成果包括用于 Treeaform 的增强 GCP（Google Cloud Platform）功能、基础设施即代码（IaC）云配置工具以及安全管理工具 Vault。Google 对此解释是：

Google 和 Hashicorp 都有专门的工程团队专注于提高并扩展 HashiCorp 产品对 GCP 的支持。我们关注技术的相关事宜，并且在多个重要架构领域上分享围绕 HashiCorp 产品上市所做的努力。

当前，这一合作所关注的两个重要领域是：

1. 云配置（Cloud Provisioning）：开发用于 Terraform 的 Google Cloud Provider，使用户可以定义自己的 GCP 基础设施即代码。
2. 云安全和安全管理（Cloud Security and Secret Management）：提高 HashiCorp Valut 和 GCP 间的集成。

在 Terraform 方面，当前其工具中给出了一个专门针对 GCP 实现的 Google Cloud Provider，开发人员可以用编程的方式管理 IAM 策略、Compute Engine 资源及更多配置。

Google 也发布了众多用于 Terraform 的 GCP 模块，并给出了一种方式可组成并重用各种使用 GCP 资源的架构模式。这些可以在 Terraform Module Registry 中看到。

现在 HashiCorp Vault 具有两种专用于 GCP 的认证后端。认证后端在本质上是用于向令牌交换凭证，这些凭证进而可用于访问 Vault 中保密内容。两种后端分别为：

1. GCP IAM Service Accounts：使用 Identify & Access Management (IAM) Service Account Credentials 的用户可以使用这些信息区生成一个 JWT（Json Web Token），进而在 Vault 访问令牌时可以交换该 JWT。
2. Google Compute Engine Instance Identity：Google Compute Engine（GCE）实例可以使用自身的实例元数据生成一个 JWT，进而在 Vault 访问令牌时可以交换该 JWT。

对 GCP 的直接支持意在尽可能地简化 GCP 服务的认证过程。“使用这些认证后端，运行在 Google Cloud 上的特定服务更易于访问构建中所需的保密内容，或是访问运行时存储在 Vault 中的保密内容。

Google 还发布了一种在GCP 上运行Vault 的解决方案，并给出了如何部署应用及使用新后台做认证的指导。

HashiCorp 和 Google 均鼓励社区对 Vault 和 Terraform 做出贡献。

查看英文原文： Google Cloud and HashiCorp Expand Collaboration