Spring Cloud Vault介绍
Posted Bigben
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Spring Cloud Vault介绍相关的知识,希望对你有一定的参考价值。
https://mp.weixin.qq.com/s?__biz=MzU0MDEwMjgwNA==&mid=2247484838&idx=1&sn=6439ed96133dde0cf831a96d733ef955&chksm=fb3f1c5dcc48954bb97dd5c551107b85808ca7ee1243bc21bc3307a8714e1bfb35c8ba5bc9d5&scene=0&key=db7d85a11647f7e7c12438d4528cc05c342063b665e301263cc2e229c21428ed0bf8aa75b75ba3839dd2ca84ea8a6bc54550d72a15ef3288d37e1a469cb3e449fbc2478bc16ad3b09aae4b3b7cec7cde&ascene=1&uin=MjgwMTEwNDQxNg%3D%3D&devicetype=Windows-QQBrowser&version=6103000b&lang=zh_CN&pass_ticket=rxCIkuKX8bC9GUfoiX05Q%2B8W%2FnX7p%2B9TdnJOkqoSw4N06LIjjrXo0dqYU5hVSkAz
原文链接:https://www.baeldung.com/spring-cloud-vault
作者: Philippe Sevestre
译者:康仔
1. 概述
在本教程中, 我们将展示如何在Spring Boot应用程序中使用Hashicorp’s Vault来保护敏感的配置数据。
到这里我们假设你已经有一定的Vault知识,我们已经启动并运行一个测试设置。. 如果不是这样,让我们花点时间阅读我们的Vault入门教程 来了解它的基础知识。
2. Spring Cloud Vault
Spring Cloud Vault是Spring Cloud堆栈的一个相对较新的成员,它允许应用程序以透明的方式访问存储在 Vault实例中的加密数据。
一般来说,迁移到 Vault是一个非常简单的过程:只需添加所需的库,并向我们的项目添加一些额外的配置属性,我们就应该做好了。不需要修改任何代码!
这是可能的,因为它是在当前环境中注册的优先级较高的 PropertySource 。
因此,无论Spring何时需要属性,都会使用它。例如DataSource 属性、ConfigurationProperties等。
3. 将Spring Cloud Vault添加到Spring Boot项目
为了在基于maven的Spring Boot项目中引入 spring-cloud-vault库,我们使用辅助的starter 构件器,它将加载所有必需的依赖项。
除了主要的starter之外,我们还将包括spring-vault-config-databases,它增加了对动态数据库凭证的支持:
-
<dependency>
-
<groupId>org.springframework.cloud</groupId>
-
<artifactId>spring-cloud-starter-vault-config</artifactId>
-
</dependency>
-
<dependency>
-
<groupId>org.springframework.cloud</groupId>
-
<artifactId>spring-cloud-vault-config-databases</artifactId>
-
</dependency>
最新版的 Spring Cloud Vault starter 已经能够在Maven中心仓库下载了。
3.1. 基础配置
为了正常地工作,Spring Cloud Vault需要一种方法来确定在哪里与Vault 服务器通信,以及如何对其进行身份验证。
我们通过在 bootstrap.yml 或者 bootstrap.properties文件中配置必要的信息来做到这一点:
-
# bootstrap.yml
-
spring:
-
cloud:
-
vault:
-
uri: https://localhost:8200
-
ssl:
-
trust-store: classpath:/vault.jks
-
trust-store-password: changeit
spring.cloud.vault.uri属性指向Vault的API地址。由于我们的测试环境使用带有自签名证书的HTTPS,所以我们还需要提供包含其公钥的密钥存储库。
注意,这个配置没有身份验证数据。对于这种最简单的情况,我们可以使用一个固定的令牌,我们可以通过系统属性spring.cloud.vault.token或环境变量来配置它。这种方法与标准的云配置机制配合得很好,比如Kubernetes的ConfigMaps或Docker secrets。
对于我们想在应用程序中使用的各种类型的加密方式,Spring Vault也需要额外的配置。下面的部分描述了如何添加两个常见的加密类型支持:键/值和数据库凭证。
4. 使用一般的加密后端
我们使用一般的加密后端来访问存储在Vault中的键-值对的未定版本的加密数据。
假设我们已经在classpath中添加了spring-cloud-starter-vault-config的依赖,我们所要做的就是在应用程序的bootstrap.yml 文件中添加一些属性:
-
spring:
-
cloud:
-
vault:
-
# other vault properties omitted ...
-
generic:
-
enabled: true
-
application-name: fakebank
在这种情况下,application-name属性是可选的。如果不指定,Spring将使用标准spring.application.name的值代替。
我们现在可以使用存储在 secret/fakebank中的所有键/值对作为任何其他环境属性。下面的代码片段展示了如何读取存储在此路径下的foo键的值:
-
@Autowired Environment env;
-
public String getFoo() {
-
return env.getProperty("foo");
-
}
正如我们所看到的,无需对Vault写任何代码,这是一件好事!我们仍然可以在本地测试中使用固定的属性,并按照我们的要求切换到Vault,只需在bootstrap.yml文件中启动一个属性即可。
4.1. 关于Spring配置文件的注释
如果在当前环境中可用,Spring Cloud Vault 将使用可用的概要文件名作为后缀追加到指定的基路径中,其中键/值对将被搜索。
它还将在一个可配置的默认应用程序路径下寻找属性(带有和没有配置后缀),这样我们就可以在一个位置共享加密数据。小心使用这个特性!
总而言之,如果fakebank应用程序的生产配置文件是灵活的,Spring Vault将寻找存储在以下路径下的属性:
-
secret/fakebank/production (较高优先级)
-
secret/fakebank
-
secret/application/production
-
secret/application (低优先级)
在前面的列表中,application是Spring为加密数据用作默认附加位置的名称。我们可以使用spring.cloud.vault.generic.default-context 属性修改它。
存储在最特定路径下的属性将优先于其他路径。例如,如果在上面的路径中有相同的属性foo,那么优先顺序将是:
5. 使用数据库加密后端
数据库后端模块允许Spring应用程序使用Vault创建动态生成的数据库凭证。Spring Vault将这些凭证注入标准的spring.datasource.username和spring.datasource.password属性,这样就可以通过常规的数据源进行选择。
请注意,在使用这个后端之前,我们必须像我们之前的教程中描述的那样,在Vault中创建一个数据库配置和角色。
为了在Spring应用程序中使用Vault生成的数据库凭证,spring-cloud-vault-config-databases必须出现在项目的类路径中,以及相应的JDBC驱动程序。
我们还需要在我们的bootstrap.yml文件中添加一些属性,从而使其在我们的应用程序中生效:
-
spring:
-
cloud:
-
vault:
-
# ... other properties omitted
-
database:
-
enabled: true
-
role: fakebank-accounts-rw
这里最重要的属性是role属性,它持有存储在Vault中的数据库角色名称。在引导期间,Spring将连接Vault,并请求来它创建具有相应特权的新凭证。
默认情况下,vault将在配置好的时间内取消与这些凭证相关的特权。
值得庆幸地是,Spring Vault将自动更新与获得的凭证相关的租约。通过这样做,证书将在我们的应用程序运行时保持长期有效。
现在,让我们看看这个集成。下面的代码片段从spring管理的数据源获得一个新的数据库连接:
-
Connection c = datasource.getConnection();
再一次,我们可以看到在我们的代码中没有Vault使用的迹象。所有的集成都发生在环境级别,所以我们的代码可以很容易地像往常一样进行单元测试。
6. 结论
在本教程中,我们已经展示了如何使用Spring Vault库将Vault与Spring Boot程序集成在一起。我们已经介绍了两个常见的用例:通用键/值对和动态数据库凭证。
一个包含所有必需依赖项、集成测试和 vault安装脚本的示例项目可以在GitHub上找到。
以上是关于Spring Cloud Vault介绍的主要内容,如果未能解决你的问题,请参考以下文章
Spring Cloud Vault:令牌(spring.cloud.vault.token)不能为空
Spring Cloud Vault 和带有 Vault 后端的 Spring Cloud Config 之间的区别
引起:java.lang.IllegalArgumentException:令牌(spring.cloud.vault.token)不能为空 - Hashicorp Vault
为生产配置 Spring Cloud Config Server 和 Spring Cloud Vault