HashiCorp Vault 1.0开源自动解封特性,新增Batch令牌

2018 年 12 月 26 日

HashiCorp Vault 1.0开源自动解封特性,新增Batch令牌

HashiCorp发布了其秘密管理工具 Vault 的1.0版本,并开源了在发生故障或重启后继续使用 Vault 服务器所需的“自动解封(auto-unseal)”特性。这个版本提供了一种可以用于临时工作负载的新令牌 batch。另一个新特性是,Kubernetes auth现在通过projected卷支持服务帐户令牌,以便将令牌注入到 pod 中。HashiCorp 还推出了一个名为Vault Advisor的支持工具,帮助用户在使用 Vault 时自动去除对某些凭证的不必要访问。


开源以前只在企业版本中提供的自动开封特性是一个呼声很高的需求,Kubernetes专家Kelsey Hightower也呼吁过。自动解封是在集群中发生故障或重启之后使数据解密成为可能的过程。当 Vault 首次启动时,它是密封的,存储的所有数据都是加密的。要解密数据,你需要首先解封。


自动解封过程可以与使用它作为目标的云提供商集成,这使你可以用不变的方式继续使用 Vault。例如,在AWS KMS中,为了使用以前存储的键解封集群,主键会被重新构造。所有主要的云提供商都在支持范围:AWSAzureGCP阿里巴巴。例如,这里有一份 Terraform 和 AWS KMS 的指南。


Vault 1.0 中另一个重要的新特性是,增加了一种新的令牌类型,称为batch令牌,而过去称为简单令牌的东西现在称为服务令牌。服务令牌支持所有令牌特性,如更新或撤销,并存储在 Vault 集群中以供跟踪。Batch 令牌不需要在磁盘上存储,因此,它们很适合用于短时间的突发工作负载,比如无服务器应用程序。


Vault 1.0 还实现了与 Kubernetes 的更好集成。在 pod 中运行的应用程序将能够使用 Vault 管理秘密、加密操作及进行动态访问。例如,你可以使用动态秘密创建一个 pod,动态请求一组临时数据库凭据。


HashiCorp 还推出了一个名为 Vault Advisor 的支持工具,它可以指导用户正确地使用 Vault,报告 Vault 配置是否正确,以及应用程序是否正确地使用了它。通过阅读 Vault 的日志,Advisor 实用程序可以发现改进 Vault 使用的机会。例如,确保用户具有使用其 Vault 密钥所需的最小权限集。


根据 HashiCorp 首席技术官Armon Dadgar的说法,1.0 意味着主要用例已经明确、稳定,并广泛地部署到了许多企业中,如 Adobe、Hulu、Splunk、Equinix 等。


GitHub 中的一些项目,如vault -initvault -unsealervault -unseal,已经为那些没有使用 Vault 企业版的用户复制了自动解封特性。但是,现在不再需要这些项目了,因为仅限于企业客户的官方特性已经提供给了整个社区。HashiCorp Vault 1.0 可以从 HashiCorp 的网站上下载


查看英文原文:HashiCorp Vault 1.0 Open Sources Auto-Unseal, Adds Batch Tokens


2018 年 12 月 26 日 11:20865
用户头像

发布了 1008 篇内容, 共 307.1 次阅读, 收获喜欢 272 次。

关注

评论 1 条评论

发布
暂无评论
发现更多内容

当 TiDB 与 Flink 相结合:高效、易用的实时数仓

Apache Flink

flink #TiDB

后李健熙时代的三星,将迎来怎样变局?

脑极体

《Maven实战》.pdf

田维常

程序员

频繁操作本地缓存导致YGC耗时过长

AI乔治

Java 架构 JVM GC

极客大学 - 架构师训练营 第六周作业

9527

架构师训练营作业:第五周

m

企业级RPC框架zRPC

Kevin Wan

go RPC microser

总结年初到10月底Java基础、架构面试题,共计1327道!涵盖蚂蚁金服、腾讯、字节跳动、美团、拼多多等等一线大厂!

Java架构追梦

Java 架构 字节跳动 面试 蚂蚁金服

极客大学 - 架构师训练营 第六周

9527

直播带货大战在即:账号交易灰产猖獗

石头IT视角

架构师训练营第二周课后作业

天涯若海

极客大学架构师训练营

快速掌握并发编程---线程池的原理和实战

田维常

程序员

数字“异化”生存

脑极体

甲方日常 40

句子

工作 随笔杂谈 日常

通过GUI界面更改 Ubuntu 20 LTS apt 源为阿里云

jiangling500

ubuntu 阿里云 apt

零基础IM开发入门(三):什么是IM系统的可靠性?

JackJiang

网络编程 即时通讯 IM

Flink在窗口上应用函数-6-9

小知识点

scala 大数据 flink

gRPC服务注册发现及负载均衡的实现方案与源码解析

网管

go 负载均衡 gRPC etcd 服务注册与发现

码农会锁,synchronized 对象头结构(mark-word、Klass Pointer)、指针压缩、锁竞争,源码解毒、深度分析!

小傅哥

小傅哥 虚拟机 synchronized mark-word Klass Pointer

数字货币交易所系统开发解决方案,撮合交易平台搭建

WX13823153201

数字货币交易所系统开发

为产业AI去障:联想的边缘突破

脑极体

阿里内部首发1000页涨薪面试宝典:Spring+SpringMVC+MyBatis框架整合开发实战

Java架构追梦

Java 源码 架构 面试 SSM框架

面试官:面对千万级、亿级流量怎么处理?

艾小仙

Java 缓存 分布式 高并发 中间件

分析和解决JAVA 内存泄露的实战例子

AI乔治

Java 架构 JVM 内存泄露

ConcurrentHashMap核心原理,彻底给整明白了

AI乔治

Java 架构 分布式 线程

小白学算法:买卖股票的最佳时机!

王磊

Java 算法

第6周学习总结

饭桶

调包侠的炼丹福利:使用Keras Tuner自动进行超参数调整

计算机与AI

学习 keras 超参数调优

web worker的介绍和使用

程序那些事

多线程 Web Worker 异步模型 异步编程 web技术

狼人杀背后的秘密,实时语音你不知道的那些事

anyRTC开发者

音视频 WebRTC 语音 RTC 安卓

第6周作业

饭桶

HashiCorp Vault 1.0开源自动解封特性,新增Batch令牌-InfoQ