ConfigData API
从 Spring Boot 2.4 版本开始,提供了一个 ConfigData API,允许声明配置源并将这些源作为属性源导入。
从 Spring Cloud Vault 3.0 版本开始,使用 ConfigData API 将 Vault 的密钥后端作为属性源挂载。在之前的版本中,使用的是 Bootstrap 上下文。ConfigData API 更加灵活,因为它允许指定要导入哪些配置系统以及导入的顺序。
可以通过设置配置属性 spring.cloud.bootstrap.enabled=true 或包含依赖项 org.springframework.cloud:spring-cloud-starter-bootstrap 来启用 Bootstrap 上下文。使用 Bootstrap 上下文的情况应该很少,因此我们建议使用 Config Data API 以获得更灵活的属性源排序。 |
ConfigData 位置
您可以通过一个或多个从 Vault 物化的 PropertySource 挂载 Vault 配置。Spring Cloud Vault 支持两种配置位置
-
vault://(默认位置) -
vault:///<context-path>(上下文位置)
使用默认位置会为所有启用的 密钥后端 挂载属性源。在没有进一步配置的情况下,Spring Cloud Vault 会在 /secret/${spring.application.name} 处挂载键值后端。每个激活的配置文件都会添加另一个上下文路径,其格式为 /secret/$\{spring.application.name}/${profile}。将其他模块(例如 spring-cloud-config-databases)添加到类路径中,将提供其他密钥后端配置选项,如果启用,这些选项将作为属性源挂载。
如果您想控制哪些上下文路径作为 PropertySource 从 Vault 挂载,您可以使用上下文位置(vault:///my/context/path)或配置 VaultConfigurer。
上下文位置是单独指定和挂载的。Spring Cloud Vault 将每个位置作为唯一的 PropertySource 挂载。您可以将默认位置与上下文位置(或其他配置系统)混合使用,以控制属性源的顺序。如果您想禁用默认键值路径计算并改为自行挂载每个键值后端,此方法特别有用。
spring.config.import: vault://first/context/path, vault://other/path, vault://Spring Environment 中的属性名称必须唯一,以避免出现遮蔽现象。如果您在不同的上下文路径中使用相同的密钥名称,并且想要将这些名称作为单个属性公开,则可以通过向位置添加 prefix 查询参数来区分它们。
spring.config.import: vault://my/path?prefix=foo., vault://my/other/path?prefix=bar.
secret: ${foo.secret}
other.secret: ${bar.secret}| 前缀按原样添加到 Vault 返回的所有属性名称中。如果希望密钥名称在前缀和密钥名称之间用点分隔,请确保在该前缀中添加一个尾随点。 |
有条件地启用/禁用 Vault 配置
在某些情况下,可能需要在没有 Vault 的情况下启动应用程序。您可以通过位置字符串来表达 Vault 配置位置是可选的还是强制的(默认值)
-
optional:vault://(默认位置) -
optional:vault:///<context-path>(上下文位置)
如果通过 spring.cloud.vault.enabled=false 禁用了 Vault 支持,则在应用程序启动期间会跳过可选位置。
| 无论配置位置是否标记为可选,都将跳过找不到的 Vault 上下文路径(HTTP 状态 404)。Vault 客户端快速失败 允许在启动时失败,如果 Vault 上下文路径由于 HTTP 状态 404 而找不到。 |
基础设施自定义
Spring Cloud Vault 需要基础设施类来与 Vault 交互。当不使用 ConfigData API 时(表示您尚未指定 spring.config.import=vault:// 或上下文 Vault 路径),Spring Cloud Vault 通过 VaultAutoConfiguration 和 VaultReactiveAutoConfiguration 定义其 Bean。Spring Boot 在 Spring 上下文可用之前引导应用程序。因此,VaultConfigDataLoader 会自行注册 Bean 以便稍后将其传播到应用程序上下文中。
您可以通过使用 Bootstrapper API 注册自定义实例来自定义 Spring Cloud Vault 使用的基础设施
ClientHttpRequestFactoryClientOptions options = new ClientOptions();
SslConfiguration sslConfiguration = SslConfiguration.unconfigured();
HttpClientBuilder builder = HttpComponents.getHttpClientBuilder(options, sslConfiguration);
InstanceSupplier<ClientFactoryWrapper> supplier = context ->
new ClientFactoryWrapper(new HttpComponentsClientHttpRequestFactory(builder.build()));
SpringApplication application = new SpringApplication(MyApplication.class);
application.addBootstrapRegistryInitializer(registry -> registry.register(ClientFactoryWrapper.class, supplier));RestTemplateBuilderInstanceSupplier<RestTemplateBuilder> supplier = context -> {
return RestTemplateBuilder
.builder()
.requestFactory(context.get(ClientFactoryWrapper.class).getClientHttpRequestFactory())
.defaultHeader("X-Vault-Namespace", "my-namespace");
};
SpringApplication application = new SpringApplication(MyApplication.class);
application.addBootstrapRegistryInitializer(registry -> registry.register(RestTemplateBuilder.class, supplier));另请参阅 自定义哪些密钥后端作为 PropertySource 公开 以及 VaultConfigDataLoader 的源代码以获取自定义挂钩。
