Vault 后端

Spring Cloud Config 服务器也支持Vault作为后端。

Vault 是一种用于安全访问密钥的工具。密钥是指您希望严格控制访问权限的任何内容,例如 API 密钥、密码、证书和其他敏感信息。Vault 为任何密钥提供统一的接口,同时提供严格的访问控制并记录详细的审计日志。

有关 Vault 的更多信息,请参阅Vault 快速入门指南

要启用配置服务器以使用 Vault 后端,您可以使用vault配置文件运行配置服务器。例如,在配置服务器的application.properties中,您可以添加spring.profiles.active=vault

默认情况下,Spring Cloud Config 服务器使用基于令牌的身份验证从 Vault 获取配置。Vault 还支持其他身份验证方法,如 AppRole、LDAP、JWT、CloudFoundry、Kubernetes Auth。为了使用除 TOKEN 或 X-Config-Token 标头之外的任何身份验证方法,我们需要在类路径中拥有 Spring Vault Core,以便 Config Server 可以将身份验证委托给该库。请将以下依赖项添加到您的 Config Server 应用程序中。

Maven (pom.xml)

<dependencies>
	<dependency>
		<groupId>org.springframework.vault</groupId>
		<artifactId>spring-vault-core</artifactId>
	</dependency>
</dependencies>

Gradle (build.gradle)

dependencies {
    implementation "org.springframework.vault:spring-vault-core"
}

默认情况下,配置服务器假设您的 Vault 服务器在127.0.0.1:8200运行。它还假设后端名称为secret,密钥为application。所有这些默认值都可以在配置服务器的application.properties中配置。下表描述了可配置的 Vault 属性

名称 默认值

主机

127.0.0.1

端口

8200

方案

http

后端

secret

默认密钥

application

配置文件分隔符

,

kv 版本

1

跳过 SSL 验证

false

超时

5

命名空间

null
上表中的所有属性都必须以spring.cloud.config.server.vault为前缀或放置在复合配置的正确 Vault 部分中。

所有可配置属性都可以在org.springframework.cloud.config.server.environment.VaultEnvironmentProperties中找到。

Vault 0.10.0 引入了版本化的键值后端(k/v 后端版本 2),它公开了与早期版本不同的 API,现在需要在挂载路径和实际上下文路径之间添加data/,并将密钥包装在data对象中。设置spring.cloud.config.server.vault.kv-version=2将考虑这一点。

可选地,支持 Vault Enterprise 的X-Vault-Namespace标头。要将其发送到 Vault,请设置namespace属性。

配置服务器运行后,您可以向服务器发出 HTTP 请求以检索来自 Vault 后端的值。为此,您需要 Vault 服务器的令牌。

首先,在您的 Vault 中放置一些数据,如下例所示

$ vault kv put secret/application foo=bar baz=bam
$ vault kv put secret/myapp foo=myappsbar

其次,向您的配置服务器发出 HTTP 请求以检索值,如下例所示

$ curl -X "GET" "https://127.0.0.1:8888/myapp/default" -H "X-Config-Token: yourtoken"

您应该会看到类似于以下内容的响应

{
   "name":"myapp",
   "profiles":[
      "default"
   ],
   "label":null,
   "version":null,
   "state":null,
   "propertySources":[
      {
         "name":"vault:myapp",
         "source":{
            "foo":"myappsbar"
         }
      },
      {
         "name":"vault:application",
         "source":{
            "baz":"bam",
            "foo":"bar"
         }
      }
   ]
}

客户端让 Config Server 与 Vault 通信所需的默认身份验证方式是设置 X-Config-Token 标头。但是,您可以省略标头并在服务器中配置身份验证,方法是设置与 Spring Cloud Vault 相同的配置属性。要设置的属性是spring.cloud.config.server.vault.authentication。它应设置为支持的身份验证方法之一。您可能还需要使用与spring.cloud.vault中记录的属性名称相同的属性名称,但使用spring.cloud.config.server.vault前缀来设置特定于您使用的身份验证方法的其他属性。有关更多详细信息,请参阅Spring Cloud Vault 参考指南

如果您省略 X-Config-Token 标头并使用服务器属性设置身份验证,则 Config Server 应用程序需要 Spring Vault 的附加依赖项才能启用其他身份验证选项。有关如何添加该依赖项,请参阅Spring Vault 参考指南

多个属性源

使用 Vault 时,您可以为应用程序提供多个属性源。例如,假设您已将数据写入 Vault 中的以下路径

secret/myApp,dev
secret/myApp
secret/application,dev
secret/application

写入 secret/application 的属性可供所有使用 Config Server 的应用程序使用。名为 myApp 的应用程序可以使用写入 secret/myAppsecret/application 的所有属性。当 myApp 启用了 dev 配置文件时,所有上述路径中写入的属性都可供其使用,其中列表中第一个路径中的属性优先于其他属性。

在属性源中解密 Vault 密钥

Spring Cloud Config Server 通过利用特殊的占位符前缀 {vault} 支持解密来自 Vault 的属性。此功能允许在运行时直接从 Vault 动态解析敏感的配置属性。

配置步骤

与 Vault 集成的所有配置设置都应放置在您的 application.ymlapplication.properties 中。以下是激活 Vault 配置文件、连接到您的 Vault 服务器以及使用 {vault} 前缀格式化属性所需的特定配置。

启用 Vault 配置文件

为您的 Spring Cloud Config Server 激活 Vault 配置文件

spring:
  profiles:
    active: vault

Vault 配置

使用必要的身份验证详细信息设置到您的 Vault 服务器的连接

spring:
  cloud:
    config:
      server:
        vault:
          host: vault.example.com
          port: 8200
          scheme: https
          backend: secret
          defaultKey: application
          kvVersion: 2
          authentication: TOKEN
          token: ${VAULT_TOKEN}
          skipSslValidation: true

这些设置指定 Vault 服务器地址、身份验证方法以及访问 Vault 所需的令牌。

属性格式

使用 {vault} 前缀定义属性,以指定用于检索密钥的 Vault 路径和密钥

some:
  sensitive:
    value: '{vault}:path/to/secret#key'

此格式直接映射到 Vault 中存储密钥的位置 (path/to/secret) 和要检索的特定密钥 (key)。

错误处理

如果 Config Server 在解密过程中遇到任何问题,例如路径不正确、访问问题或密钥丢失,则受影响的属性将以 invalid. 为前缀,其值将设置为 <n/a>。这种方法类似于处理以 {cipher} 为前缀的属性的方式,但它是专门针对与 Vault 集成的,在解密失败时提供清晰的反馈。