快速入门

本节介绍如何开始使用 Vault 和 Spring Cloud Vault。

先决条件

要开始使用 Vault 并参考本指南,您需要一个类 UNIX 操作系统,该系统提供

  • wgetopensslunzip

  • 至少 Java 17,以及配置正确的 JAVA_HOME 环境变量

本指南从 Spring Cloud Vault 的角度解释了 Vault 的设置,用于集成测试。您可以在 Vault 项目站点上直接找到入门指南:developer.hashicorp.com/vault/tutorials

安装 Vault

$ wget https://releases.hashicorp.com/vault/${vault_version}/vault_${vault_version}_${platform}.zip
$ unzip vault_${vault_version}_${platform}.zip
这些步骤可以通过下载并运行 install_vault.sh 来完成。

为 Vault 创建 SSL 证书

接下来,您需要生成一套证书

  • 根 CA

  • Vault 证书(解密的密钥 work/ca/private/localhost.decrypted.key.pem 和证书 work/ca/certs/localhost.cert.pem

请务必将根证书导入到符合 Java 规范的信任库中。

最简单的实现方法是使用 OpenSSL。

create_certificates.shwork/ca 中创建证书,并在 work/keystore.jks 中创建 JKS 信任库。如果您想使用此快速入门指南运行 Spring Cloud Vault,您需要将信任库的 spring.cloud.vault.ssl.trust-store 属性配置为 file:work/keystore.jks

启动 Vault 服务器

接下来,创建如下配置文件

backend "inmem" {
}

listener "tcp" {
  address = "0.0.0.0:8200"
  tls_cert_file = "work/ca/certs/localhost.cert.pem"
  tls_key_file = "work/ca/private/localhost.decrypted.key.pem"
}

disable_mlock = true
您可以在 vault.conf 找到一个示例配置文件。 
$ vault server -config=vault.conf

Vault 使用 inmem 存储和 https 监听 0.0.0.0:8200 端口。启动时 Vault 是密封且未初始化的。

如果您想运行测试,请将 Vault 保持未初始化状态。测试将初始化 Vault 并创建一个根令牌 00000000-0000-0000-0000-000000000000

如果您想将 Vault 用于您的应用程序或进行尝试,则需要先对其进行初始化。

$ export VAULT_ADDR="https://:8200"
$ export VAULT_SKIP_VERIFY=true # Don't do this for production
$ vault operator init

您应该看到类似

Key 1: 7149c6a2e16b8833f6eb1e76df03e47f6113a3288b3093faf5033d44f0e70fe701
Key 2: 901c534c7988c18c20435a85213c683bdcf0efcd82e38e2893779f152978c18c02
Key 3: 03ff3948575b1165a20c20ee7c3e6edf04f4cdbe0e82dbff5be49c63f98bc03a03
Key 4: 216ae5cc3ddaf93ceb8e1d15bb9fc3176653f5b738f5f3d1ee00cd7dccbe926e04
Key 5: b2898fc8130929d569c1677ee69dc5f3be57d7c4b494a6062693ce0b1c4d93d805
Initial Root Token: 19aefa97-cccc-bbbb-aaaa-225940e63d76

Vault initialized with 5 keys and a key threshold of 3. Please
securely distribute the above keys. When the Vault is re-sealed,
restarted, or stopped, you must provide at least 3 of these keys
to unseal it again.

Vault does not store the master key. Without at least 3 keys,
your Vault will remain permanently sealed.

Vault 将初始化并返回一组解封密钥和根令牌。选择 3 个密钥并解封 Vault。将 Vault 令牌存储在 VAULT_TOKEN 环境变量中。

$ vault operator unseal (Key 1)
$ vault operator unseal (Key 2)
$ vault operator unseal (Key 3)
$ export VAULT_TOKEN=(Root token)
# Required to run Spring Cloud Vault tests after manual initialization
$ vault token create -id="00000000-0000-0000-0000-000000000000" -policy="root"

Spring Cloud Vault 访问不同的资源。默认情况下,秘密后端已启用,它通过 JSON 端点访问秘密配置设置。

HTTP 服务具有以下形式的资源

/secret/{application}/{profile}
/secret/{application}
/secret/{defaultContext}/{profile}
/secret/{defaultContext}

其中“application”作为 spring.application.name 注入到 SpringApplication 中(即在常规 Spring Boot 应用程序中通常是“application”),“profile”是一个活动配置文件(或逗号分隔的属性列表)。从 Vault 检索的属性将“原样”使用,不再对属性名称进行前缀处理。

客户端使用

要在应用程序中使用这些功能,只需将其构建为依赖于 spring-cloud-vault-config 的 Spring Boot 应用程序(例如,请参阅测试用例)。Maven 配置示例

pom.xml
<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>${springBootVersion}</version>
    <relativePath /> <!-- lookup parent from repository -->
</parent>

<dependencies>
    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-starter-vault-config</artifactId>
        <version>5.0.0</version>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>
</dependencies>

<build>
    <plugins>
        <plugin>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-maven-plugin</artifactId>
        </plugin>
    </plugins>
</build>

<!-- repositories also needed for snapshots and milestones -->

然后你可以创建一个标准的 Spring Boot 应用程序,就像这个简单的 HTTP 服务器一样

@SpringBootApplication
@RestController
public class Application {

    @RequestMapping("/")
    public String home() {
        return "Hello World!";
    }

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }
}

当它运行时,如果默认的本地 Vault 服务器在端口 8200 上运行,它将从该服务器获取外部配置。要修改启动行为,您可以使用 application.properties 更改 Vault 服务器的位置,例如

application.yml
spring.cloud.vault:
    host: localhost
    port: 8200
    scheme: https
    uri: https://:8200
    connection-timeout: 5000
    read-timeout: 15000
spring.config.import: vault://

  • host 设置 Vault 主机的主机名。主机名将用于 SSL 证书验证

  • port 设置 Vault 端口

  • scheme 将方案设置为 http 将使用纯 HTTP。支持的方案是 httphttps

  • uri 使用 URI 配置 Vault 端点。优先于主机/端口/方案配置

  • connection-timeout 设置连接超时(毫秒)

  • read-timeout 设置读取超时(毫秒)

  • spring.config.import 将 Vault 作为 PropertySource 挂载,使用所有启用的秘密后端(默认启用键值)

启用进一步的集成需要额外的依赖和配置。根据您设置 Vault 的方式,您可能需要额外的配置,例如 SSL身份验证

如果应用程序导入了 spring-boot-starter-actuator 项目,则可以通过 /health 端点获取 vault 服务器的状态。

可以通过属性 management.health.vault.enabled(默认为 true)启用或禁用 Vault 健康指标。

对于 Spring Cloud Vault 3.0 和 Spring Boot 2.4,属性源的引导上下文初始化(bootstrap.ymlbootstrap.properties)已被弃用。相反,Spring Cloud Vault 倾向于 Spring Boot 的配置数据 API,它允许从 Vault 导入配置。使用 Spring Boot 配置数据方法,您需要设置 spring.config.import 属性才能绑定到 Vault。您可以在配置数据位置部分阅读更多相关信息。您可以通过设置配置属性 spring.cloud.bootstrap.enabled=true 或包含依赖 org.springframework.cloud:spring-cloud-starter-bootstrap 来启用引导上下文。

身份验证

Vault 需要 身份验证机制授权客户端请求

Spring Cloud Vault 支持多种 身份验证机制 来验证应用程序与 Vault 的身份。

对于快速入门,请使用 Vault 初始化 打印的根令牌。

application.yml
spring.cloud.vault:
    token: 19aefa97-cccc-bbbb-aaaa-225940e63d76
spring.config.import: vault://
请仔细考虑您的安全要求。如果您想快速开始使用 Vault,静态令牌身份验证是可行的,但静态令牌不会受到进一步保护。任何向未经授权方披露的行为都允许使用关联令牌角色来使用 Vault。
© . This site is unofficial and not affiliated with VMware.