问题标签 [spring-cloud-vault-config]

我想自定义spring-cloud-starter-vault-config使用 Thycotic 作为后端之一。

直到我没有试过

1. AbstractVaultConfiguration如下所示配置 a并尝试禁用VaultAutoConfiguration. 下面如果我的代码但它不起作用

2. 阅读SecretBackendMetadataFactory并VaultSecretBackendDescriptor但无法配置它（可能我在这里切线）。

我不确定如何将 Thycotic vault 与spring-cloud-starter-vault-config.

请帮忙！

我正在使用 DataStax Java 驱动程序版本 3.3.0 运行 Java 应用程序，并且我试图在运行时更改 Cassandra 用户和密码。根据这个问题，通过调用setUser和setPassword在这个对象中它应该重用它以供将来调用数据库，所以我在我的代码中做了类似的事情

但即使在此更改之后，我发现它仍然使用我在启动时设置的用户/密码。

该文档表明在 > 4.x 版本中，您可以在运行时强制重新加载配置。

所以我的问题是，有没有办法强制所有对 Cassandra 的新调用开始使用PlainTextAuthProvider版本 3.x 中提供的新用户和通行证？

额外：我这样做是为了尝试在它们过期时轮换 Vault 密码并相应地更新驱动程序。类似于这篇文章中描述的由 Spring Boot 但在 Cassandra 上访问的关系数据库

我有一个带有 spring-cloud-starter-vault-config 依赖项的 Spring Boot 应用程序，所以我所有的秘密都被外部化了。我的应用程序使用带有预配置角色的 AWS IAM 身份验证：

此 Vault AWS 身份验证方法配置为在创建后 2 小时内删除令牌：

因此，在应用程序启动 2 小时后，我可以看到 Vault 令牌被删除：

令牌被删除后应用程序仍然有效，但为什么呢？为什么我在应用程序日志中看不到新令牌的创建？

Spring Cloud Vault 在应用程序启动期间获取最新的秘密值。如果在应用程序已经启动并运行时更新了密钥，那么它不会被拾取。

我知道这是一个 Spring 配置限制，并且有使用 @RefreshScope 注释和显式调用 /actuator/refresh API 的解决方法。

是否有任何其他机制可以让应用程序监听秘密更新通知并自动刷新？

从调试日志中，我看到 spring cloud vault 通过基于“最小更新”时间的 GET 调用返回更新的秘密。

谢谢

Spring cloud vault 允许连接到具有属性“spring.cloud.vault.namespace”的命名空间。我有一个用例来读取存储在不同命名空间中的秘密。sprint 云库可以做到这一点吗？还是有其他方法？

谢谢

我正在尝试将我的 Java 应用程序连接到Enterprise Vault使用LDAP身份验证方法。

spring 不会像它提供的那样提供直接的连接方式 TOKEN

和APPROLE

有人可以帮我联系Enterprise Vault使用LDAP方法吗

我正在努力实现以下目标：

能够使用 Azure 用户分配的托管标识 (UAMI) 从 Spring Boot 应用程序（在 AKS 中部署）对 vault（部署在 Azure 上）进行身份验证

堆栈：openjdk 8、spring boot 2.5.4、spring-cloud-starter-vault-config 3.0.3、AKS

我在 azure 上安装了 hashcorp 保险库。下面的文档建议在这种情况下我可以使用 UAMI 对保险库进行身份验证。参考https://cloud.spring.io/spring-cloud-vault/reference/html/

春季启动应用程序配置：

应用程序.yml：

这在我的本地工作有点好，因为日志说它试图点击上面提到的保险库 URI 并建立连接，当然，由于 azure MSI，我无法在本地端到端测试这个。我正在使用用户分配的托管身份 (UAMI)。

但是当我将它部署到 Azure Kubernetes 集群时，它给了我以下错误，甚至没有尝试连接到保管库。似乎它期望身份验证作为令牌：

这对我来说没有意义，因为本地日志和 AK​​S 日志完全不同。我的 JKS 在 local 和 AKS 上都有根证书。

有人可以帮我解决这个问题。我查看了各种文件，但似乎都过时了。

我有几个使用 spring-cloud-vault 设置的应用程序。部署后，应用程序使用 KUBERNETES 身份验证，一切正常。在本地运行时，开发人员通过 vault CLI 获取 vault 令牌并将其导出到环境变量以供使用。

这在 CLI 中运行良好，但在从其他 shell 或各种 IDE 组件执行时会出现问题，因为环境变量可能无法正确或及时应用。我注意到保险库 CLI 将令牌放在一个文件中，以便在保险库 CLI 的多次调用中使用。该文件位于 ~/.vault_token 中。

有没有办法可以从这个文件中加载 spring cloud vault 的 vault 令牌，而不是与环境变量作斗争？

我想使用这个方案。我有带有一些配置文件的 git repo，其中包含秘密道具，例如。密码。而且我有避难所女巫的秘密。

我希望 spring 云服务器去存储库并获取属性，然后通过秘密属性并从保险库中获取它们的值。

git中的一些属性文件：

passwordInVault存储在 Vault 中的值。在将其提供给客户之前，我希望将其替换为保险库中的真实价值。

我在文档中没有找到类似的东西。是否有可能实现这一点，是否有可以阅读的链接？

我使用spring-cloud-vault-config-databases和 Spring Boot 2.4.0 配置数据 API 作为此处描述的首选模式bootstrap.yml 配置不再使用 Spring Cloud 2020.0 处理：

1. 当我使用 Spring Boot 2.4.0 Config Data API 从 Vault 导入配置（首选）时，秘密属性未绑定到 spring.datasource.username 和 spring.datasource.password 并且我的 postgres cnx 失败。

2. 当我使用带有引导配置属性spring.cloud.bootstrap.enabled=true的“传统处理”时，属性 spring.datasource.username 和 spring.datasource.password 很好地绑定到我的 Vault 机密。

spring-cloud-vault-config-databases的预期行为是什么？预计可与 Spring Boot 2.4.0 Config Data API 一起使用？

我的应用程序.yml

使用的版本：

弹簧启动：2.4.11

春云：2020.0.3

spring-cloud-vault-config-databases：3.0.3