HashiCorp发布了其秘密管理工具 Vault 的1.0版本,并开源了在发生故障或重启后继续使用 Vault 服务器所需的“自动解封(auto-unseal)”特性。这个版本提供了一种可以用于临时工作负载的新令牌 batch。另一个新特性是,Kubernetes auth现在通过projected卷支持服务帐户令牌,以便将令牌注入到 pod 中。HashiCorp 还推出了一个名为Vault Advisor的支持工具,帮助用户在使用 Vault 时自动去除对某些凭证的不必要访问。
开源以前只在企业版本中提供的自动开封特性是一个呼声很高的需求,Kubernetes专家Kelsey Hightower也呼吁过。自动解封是在集群中发生故障或重启之后使数据解密成为可能的过程。当 Vault 首次启动时,它是密封的,存储的所有数据都是加密的。要解密数据,你需要首先解封。
自动解封过程可以与使用它作为目标的云提供商集成,这使你可以用不变的方式继续使用 Vault。例如,在AWS KMS中,为了使用以前存储的键解封集群,主键会被重新构造。所有主要的云提供商都在支持范围:AWS、Azure、GCP和阿里巴巴。例如,这里有一份 Terraform 和 AWS KMS 的指南。
Vault 1.0 中另一个重要的新特性是,增加了一种新的令牌类型,称为batch令牌,而过去称为简单令牌的东西现在称为服务令牌。服务令牌支持所有令牌特性,如更新或撤销,并存储在 Vault 集群中以供跟踪。Batch 令牌不需要在磁盘上存储,因此,它们很适合用于短时间的突发工作负载,比如无服务器应用程序。
Vault 1.0 还实现了与 Kubernetes 的更好集成。在 pod 中运行的应用程序将能够使用 Vault 管理秘密、加密操作及进行动态访问。例如,你可以使用动态秘密创建一个 pod,动态请求一组临时数据库凭据。
HashiCorp 还推出了一个名为 Vault Advisor 的支持工具,它可以指导用户正确地使用 Vault,报告 Vault 配置是否正确,以及应用程序是否正确地使用了它。通过阅读 Vault 的日志,Advisor 实用程序可以发现改进 Vault 使用的机会。例如,确保用户具有使用其 Vault 密钥所需的最小权限集。
根据 HashiCorp 首席技术官Armon Dadgar的说法,1.0 意味着主要用例已经明确、稳定,并广泛地部署到了许多企业中,如 Adobe、Hulu、Splunk、Equinix 等。
GitHub 中的一些项目,如vault -init、vault -unsealer和vault -unseal,已经为那些没有使用 Vault 企业版的用户复制了自动解封特性。但是,现在不再需要这些项目了,因为仅限于企业客户的官方特性已经提供给了整个社区。HashiCorp Vault 1.0 可以从 HashiCorp 的网站上下载。
查看英文原文:HashiCorp Vault 1.0 Open Sources Auto-Unseal, Adds Batch Tokens
评论 1 条评论