HashiCorp Vault 1.0开源自动解封特性,新增Batch令牌
HashiCorp发布了其秘密管理工具Vault 的1.0版本,并开源了在发生故障或重启后继续使用Vault服务器所需的“自动解封(auto-unseal)”特性。这个版本提供了一种可以用于临时工作负载的新令牌batch。另一个新特性是,Kubernetes auth现在通过projected卷支持服务帐户令牌,以便将令牌注入到pod中。HashiCorp还推出了一个名为Vault Advisor的支持工具,帮助用户在使用Vault时自动去除对某些凭证的不必要访问。
开源以前只在企业版本中提供的自动开封特性是一个呼声很高的需求,Kubernetes专家Kelsey Hightower也呼吁过。自动解封是在集群中发生故障或重启之后使数据解密成为可能的过程。当Vault首次启动时,它是密封的,存储的所有数据都是加密的。要解密数据,你需要首先解封。
自动解封过程可以与使用它作为目标的云提供商集成,这使你可以用不变的方式继续使用Vault。例如,在AWS KMS中,为了使用以前存储的键解封集群,主键会被重新构造。所有主要的云提供商都在支持范围:AWS、Azure、GCP和阿里巴巴。例如,这里有一份Terraform和AWS KMS的指南。
Vault 1.0中另一个重要的新特性是,增加了一种新的令牌类型,称为batch令牌,而过去称为简单令牌的东西现在称为服务令牌。服务令牌支持所有令牌特性,如更新或撤销,并存储在Vault集群中以供跟踪。Batch令牌不需要在磁盘上存储,因此,它们很适合用于短时间的突发工作负载,比如无服务器应用程序。
Vault 1.0还实现了与Kubernetes的更好集成。在pod中运行的应用程序将能够使用Vault管理秘密、加密操作及进行动态访问。例如,你可以使用动态秘密创建一个pod,动态请求一组临时数据库凭据。
HashiCorp还推出了一个名为Vault Advisor的支持工具,它可以指导用户正确地使用Vault,报告Vault配置是否正确,以及应用程序是否正确地使用了它。通过阅读Vault的日志,Advisor实用程序可以发现改进Vault使用的机会。例如,确保用户具有使用其Vault密钥所需的最小权限集。
根据HashiCorp首席技术官Armon Dadgar的说法,1.0意味着主要用例已经明确、稳定,并广泛地部署到了许多企业中,如Adobe、Hulu、Splunk、Equinix等。
GitHub中的一些项目,如vault -init、vault -unsealer和vault -unseal,已经为那些没有使用Vault企业版的用户复制了自动解封特性。但是,现在不再需要这些项目了,因为仅限于企业客户的官方特性已经提供给了整个社区。HashiCorp Vault 1.0可以从HashiCorp的网站上下载。
查看英文原文:HashiCorp Vault 1.0 Open Sources Auto-Unseal, Adds Batch Tokens
HashiCorp Vault 1.0开源自动解封特性,新增Batch令牌相关推荐
- linux检测hashicorp,在Ubuntu/CentOS/Debian上安装和配置Hashicorp Vault服务器的方法
本文介绍在Ubuntu 18.04/Debian 9/CentOS 7/Fedora上安装Vault服务器(Hashicorp Vault Server).配置Vault systemd服务.初始化V ...
- Hashicorp Vault介绍和使用说明
1.概述 在本文中,我们将探索Hashicorp的Vault -- 一种用于在现代应用程序体系结构中安全地管理机密信息的流行工具. 我们将讨论的主要议题包括: Vault试图解决什么问题 Vault的 ...
- HashiCorp Vault浅入门以及资料整理
参考资料 vault学习博客(入门推荐) Vault官方文档 HashiCorp Vault | 技术雷达 vault-服务器密码/证书管理工具 HashiCorp Vault介绍(入门推荐) vau ...
- 如何在DigitalOcean上使用Packer和Terraform构建Hashicorp Vault服务器
介绍 (Introduction) Vault, by Hashicorp, is an open-source tool for securely storing secrets and sensi ...
- Spring Boot3.0正式发布及新特性解读
Spring Boot 3.0 正式发布 同时发布更新的还有 2.7.x 和 2.6.x 两条版本线,Spring Boot 是我见过的发版最守时的技术框架之一. Spring Boot 3.0 现已 ...
- 使用Hashicorp Vault管理PKI并颁发证书
使用vault搭建CA,即PKI Vault是一个加密的键值存储,旨在解决当今组织面临的许多挑战,无论是小型创业公司还是企业,它们都面临一些基本问题,其中一个是"秘密蔓延",其中意 ...
- Carla 开源自动驾驶仿真软件使用指南 [AD simulator]
introdution: 开源软件 unreal engine 4 用户通过Python API 调用, server --client 的形式- REF: https://carla.readthe ...
- J2SE 5.0专题 之 语言特性
J2SE 5.0专题 之 语言特性 本文作者: 高宇翔(大胃) 1.1. 背景 J2SE(TM) 5.0正式发布至今已超过3个月的时间了 ...
- HomeIDC的核心:购买顶级域名+开源自动域名解析+公网映射的保姆级教程
现在要一台高性价的家庭服务器并不困难,2k以内全新办齐,我未来会新开文章聊聊HomeIDC的那些事(最近中了勒索,所有数据全清了,数据都在,基础架构从头开始): 而一个自用的顶级域名加上自动解析就是重 ...
最新文章
- Systemd 笔记
- php中...的用法
- 写个类操作窗口(句柄操作)
- nginx 负载均衡集群解决方案 healthcheck_nginx_upstreams (一)
- doip 源码_DoIP—协议框架
- pc模式 华为mate30_华为Mate30手机怎么投屏到电脑上呢
- 纯css的大于号样式
- 大数据发展与情报资源整合的关系探索
- Android app 启动优化
- Codeforces869C The Intriguing Obsession
- 微信小程序观看激励广告增加积分
- 递归——兔子繁殖问题
- WringPi库串口通信
- 2020年国考申论备考:评价类(观点)题和理解类题目的辨析
- android 实现发送彩信方法 (MMS)
- jQuery学习笔记总结
- 今天一不小心,把抖爸爸给爬了
- 怎样用万用表检查线路是短路还是接地?
- 全球与中国回转窑市场深度研究分析报告
- 【2016读书】3月读书笔记
热门文章
- php生成链接列表,根据URL链接和抛文本生成链接a标签的PHP函数
- php怎么设置网站的字符编码,php如何设置字符编码
- 对外经贸大学计算机应用基础,对外经贸大学计算机应用基础试题.doc
- android将拍摄的图片存入sd卡中,Android将图片保存至SD卡上
- php装箱,php兑现装箱算法
- centos 怎样下载php,centos下怎样安装软件
- 正确使用计算机说课稿,《初识计算机》说课稿
- linux x86-64下,Linux x86_64下安装Flash Player 9
- 华为畅享max有没有人脸识别_华为畅享7s有人脸识别吗 让我来告诉你
- 2018python做图形界面哪个库简单_2018年常见的python编程开发库都有哪些类型