问题标签 [spring-cloud-vault-config]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
spring-cloud - 使用 Git/Vault 的 Spring Cloud Config 生产环境
Spring Boot - 2.0.0.M3 Spring 云 - Finchley.M1
我想知道是否有人在使用数据库存储后端的生产设置中使用具有 vault 和 git 支持的 Spring Cloud 配置服务器。我已经使用 Vault 评估了 Spring 云配置,并考虑是否使用 Oracle JCE 来加密用户名/密码或 Vault 并寻求相同的建议。我们正在开发 Springboot/微服务。
以下是我的发现 -
Vault 将引入一个额外的层,因此将引入额外的安全用例,在与 Vault 通信时进行审计。
Spring cloud Config 执行器端点在此时为生成加密值而破坏了里程碑版本,如果我们寻求 Oracle JCE 支持,/encrypt /decrypt 可能无法工作,因此我们通过稳定版本生成加密值。
我们不希望使用 consul 服务器,而是尝试使用 Cassandra 作为存储后端。
我使用 AppRole 使用 Vault Authentication 后端并生成了一个具有读取权限的令牌(与根令牌不同,因为使用相同的令牌是不安全的)。但是,Spring Cloud 配置目前仅支持来自客户端的基于 Token 的身份验证。这意味着我们首先从 Vault 生成令牌,然后将其作为命令行/环境变量传递。一些额外的关注点是令牌的到期(尽管我们可以有非到期令牌不确定利弊)、重启、安全问题、实例化新的微服务。云配置端没有提供动态令牌/身份验证。
对于里程碑版本,我发现客户端加密/解密目前无法使用推荐的 RSA jar 包含。这是我打开的票。 https://github.com/spring-cloud/spring-cloud-config/issues/805#issuecomment-332491536
这些是我的一些观察,如果有任何案例研究/白皮书解决生产微服务环境的 Spring Cloud config vault 用例、设置和挑战,请分享您的想法。
谢谢
spring - 在 Spring Cloud Config 中存储 Spring Cloud Vault 令牌
我正在使用两个配置服务器运行微服务:
- Spring Cloud Config(带有 git 后端)
- 弹簧云库
我将 Vault 令牌存储在 Spring Cloud Config 服务器中。启动微服务时,我希望它:
- 检索存储在 Spring Cloud Config 中的配置,包括 Vault 令牌。
- 使用 Vault 令牌连接到 Spring Cloud Vault,然后检索存储在 Spring Cloud Vault 中的配置。
引导程序属性:
Spring Cloud 配置服务器:
但是,我遇到异常说spring.cloud.vault.token必须在场。
问题:
将 Vault 令牌存储在 Spring Cloud Config 中以供微服务稍后访问 Spring Cloud Vault 是否有效?
如果是,我们是否需要设置属性检索的顺序?即
spring.cloud.vault.config.orderSpring Cloud Vault 的设置。Spring Cloud Config 是否有任何等效参数?
spring-cloud - 可以将弹簧靴配置为在保险库关闭时回退吗?
我将把我的应用程序部署到 aws,但保险库实例尚未在那里配置,所以我想知道如果保险库没有启动,是否有办法使用属性文件。未启动 Vault 时,应用程序无法成功启动。
spring - Spring Cloud Config 和 Spring Cloud Vault 的初始化顺序
我们正在利用 Spring Cloud Config 和 Spring Cloud Config Vault。我们想知道是否有一种“引导引导程序”的方法,即我们希望 Spring Cloud 配置服务器被命中,然后从中提取属性以在我们的库配置中利用。我们查看了订单,但它似乎不起作用,我认为这是因为后处理订单,但我希望我可能会遗漏一些东西。
java - 如果 Spring Vault 配置被禁用,则回退到本地配置
对于开发环境,我已配置bootstrap.properties为禁用 Vault 配置。
如果它被禁用,那么应用程序应该从本地配置 application.properties 文件中读取属性。但是怎么做呢?
作为一种解决方法,我在application.properties下面定义了本地属性
因此应用程序首先检查是否xyz.db.user.fromVault在保险库中配置了属性。如果没有,则设置xyz.db.user为test
但这感觉不是一个正确的方法,因为我需要维护多个属性。有什么正确的方法吗?
spring-cloud-config - 如何覆盖从 Spring Cloud Vault 到 Vault 的请求序列?
当我使用 Spring Cloud Vault starter 的应用程序向 Vault 请求信息时,它会在通用机密后端搜索以下路径:
- 秘密/myapp/保险库
- 秘密/myapp/dev
- 秘密/myapp
- 秘密/应用程序/保险库
- 秘密/应用程序/开发
- 秘密/申请
正如你所看到的,它对 Vault 做了很多请求,这是一个问题,因为 Vault 会创建很多不必要的日志,这有几个原因是不好的。
如何更改请求的路径?
例如,我希望我的应用程序转到 secret/myapp/{profile} ,仅此而已。
spring-boot - UserPass 身份验证库
我一直在尝试在我的应用程序中使用来自 Hashicorp Vault 的身份验证方法(从这里)来获取配置。
但无法在 Spring 的文档、示例等中获得有关此身份验证类型的任何信息。请您帮帮我,因为我需要这种类型的身份验证来帮助我在多用户环境中使用 vault。
spring-boot - 无法使用 spring 启用 vault userpass 身份验证
我正在尝试使用Spring 的 rest 模板启用vault 的 userpass 身份验证模式,但得到403 - Forbidden但在Postman中创建的相同请求有效。我尝试使用 PUT 和 POST,在标头中使用 X-Vault-Token(值是根令牌),在正文中使用类型(值是用户密码)。任何人都可以提供任何修复。
请为我的休息电话找到以下代码:
还有我添加到请求中的标头:
spring - 写入时出现 Vault 错误
我想测试 Spring Cloud Vault 配置。
我在本地安装了一个 Vault 服务器,当我尝试write一些键值时它失败并要求我使用vault kv put命令。
虽然此链接中的 Spring Cloud Config 示例显示了 vault write 命令的用法
这是我得到的错误是
