快速入门

本节说明如何开始使用 Vault 和 Spring Cloud Vault。

先决条件

要开始使用 Vault 和本指南，您需要一个提供以下功能的类 *NIX 操作系统

wget、openssl 和 unzip
至少 Java 8 和配置正确的 JAVA_HOME 环境变量

本指南从 Spring Cloud Vault 的角度说明了 Vault 的设置，用于集成测试。您可以在 Vault 项目网站上找到入门指南：learn.hashicorp.com/vault

安装 Vault

$ wget https://releases.hashicorp.com/vault/${vault_version}/vault_${vault_version}_${platform}.zip
$ unzip vault_${vault_version}_${platform}.zip

可以通过下载和运行 install_vault.sh 来完成这些步骤。

为 Vault 创建 SSL 证书

接下来，您需要生成一组证书

根 CA
Vault 证书（解密密钥 work/ca/private/localhost.decrypted.key.pem 和证书 work/ca/certs/localhost.cert.pem）

确保将根证书导入到符合 Java 标准的密钥库中。

实现此目的最简单的方法是使用 OpenSSL。

create_certificates.sh 在 work/ca 中创建证书，以及一个 JKS 密钥库 work/keystore.jks。如果您想使用本快速入门指南运行 Spring Cloud Vault，则需要将密钥库配置为 spring.cloud.vault.ssl.trust-store 属性，使其指向 file:work/keystore.jks。

启动 Vault 服务器

接下来，创建一个类似于以下内容的配置文件

backend "inmem" {
}

listener "tcp" {
  address = "0.0.0.0:8200"
  tls_cert_file = "work/ca/certs/localhost.cert.pem"
  tls_key_file = "work/ca/private/localhost.decrypted.key.pem"
}

disable_mlock = true

您可以在 vault.conf 中找到示例配置文件。

$ vault server -config=vault.conf

Vault 使用 inmem 存储和 https 在 0.0.0.0:8200 上侦听。Vault 在启动时处于密封状态且未初始化。

如果您想运行测试，请保持 Vault 未初始化。测试将初始化 Vault 并创建根令牌 00000000-0000-0000-0000-000000000000。

如果您想将 Vault 用于您的应用程序或试用一下，则需要先初始化它。

$ export VAULT_ADDR="https://127.0.0.1:8200"
$ export VAULT_SKIP_VERIFY=true # Don't do this for production
$ vault operator init

您应该会看到类似以下内容的信息

Key 1: 7149c6a2e16b8833f6eb1e76df03e47f6113a3288b3093faf5033d44f0e70fe701
Key 2: 901c534c7988c18c20435a85213c683bdcf0efcd82e38e2893779f152978c18c02
Key 3: 03ff3948575b1165a20c20ee7c3e6edf04f4cdbe0e82dbff5be49c63f98bc03a03
Key 4: 216ae5cc3ddaf93ceb8e1d15bb9fc3176653f5b738f5f3d1ee00cd7dccbe926e04
Key 5: b2898fc8130929d569c1677ee69dc5f3be57d7c4b494a6062693ce0b1c4d93d805
Initial Root Token: 19aefa97-cccc-bbbb-aaaa-225940e63d76

Vault initialized with 5 keys and a key threshold of 3. Please
securely distribute the above keys. When the Vault is re-sealed,
restarted, or stopped, you must provide at least 3 of these keys
to unseal it again.

Vault does not store the master key. Without at least 3 keys,
your Vault will remain permanently sealed.

Vault 将初始化并返回一组解除密封密钥和根令牌。选择 3 个密钥并解除 Vault 的密封。将 Vault 令牌存储在 VAULT_TOKEN 环境变量中。

$ vault operator unseal (Key 1)
$ vault operator unseal (Key 2)
$ vault operator unseal (Key 3)
$ export VAULT_TOKEN=(Root token)
# Required to run Spring Cloud Vault tests after manual initialization
$ vault token create -id="00000000-0000-0000-0000-000000000000" -policy="root"

Spring Cloud Vault 访问不同的资源。默认情况下，启用密钥后端，它通过 JSON 端点访问密钥配置设置。

HTTP 服务具有以下形式的资源

/secret/{application}/{profile}
/secret/{application}
/secret/{defaultContext}/{profile}
/secret/{defaultContext}

其中，“应用程序”注入为 SpringApplication 中的 spring.application.name（即在常规 Spring Boot 应用程序中通常为“application”），"profile" 是活动配置文件（或逗号分隔的属性列表）。从 Vault 中检索到的属性将“按原样”使用，不会进一步添加属性名称前缀。

客户端用法

要在应用程序中使用这些功能，只需将其构建为依赖于 spring-cloud-vault-config 的 Spring Boot 应用程序（例如，请参阅测试用例）。示例 Maven 配置

pom.xml

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>${springBootVersion}</version>
    <relativePath /> <!-- lookup parent from repository -->
</parent>

<dependencies>
    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-starter-vault-config</artifactId>
        <version>4.1.3</version>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>
</dependencies>

<build>
    <plugins>
        <plugin>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-maven-plugin</artifactId>
        </plugin>
    </plugins>
</build>

<!-- repositories also needed for snapshots and milestones -->

然后，您可以创建一个标准的 Spring Boot 应用程序，例如这个简单的 HTTP 服务器

@SpringBootApplication
@RestController
public class Application {

    @RequestMapping("/")
    public String home() {
        return "Hello World!";
    }

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }
}

当它运行时，如果本地 Vault 服务器在端口 8200 上运行，它将从默认的本地 Vault 服务器获取外部配置。要修改启动行为，您可以使用 application.properties 更改 Vault 服务器的位置，例如

application.yml

spring.cloud.vault:
    host: localhost
    port: 8200
    scheme: https
    uri: https://127.0.0.1:8200
    connection-timeout: 5000
    read-timeout: 15000
spring.config.import: vault://

host 设置 Vault 主机的主机名。主机名将用于 SSL 证书验证
port 设置 Vault 端口
scheme 将方案设置为 http 将使用纯 HTTP。支持的方案为 http 和 https。
uri 使用 URI 配置 Vault 端点。优先于主机/端口/方案配置
connection-timeout 以毫秒为单位设置连接超时
read-timeout 以毫秒为单位设置读取超时
spring.config.import 使用所有启用的密钥后端（默认情况下启用键值）将 Vault 安装为 PropertySource。

启用更多集成需要其他依赖项和配置。根据您设置 Vault 的方式，您可能需要其他配置，例如 SSL 和认证。

如果应用程序导入 spring-boot-starter-actuator 项目，则可以通过 /health 端点获取 Vault 服务器的状态。

可以通过属性 management.health.vault.enabled（默认为 true）启用或禁用 Vault 健康指示器。

使用 Spring Cloud Vault 3.0 和 Spring Boot 2.4，属性源的引导上下文初始化（bootstrap.yml、bootstrap.properties）已弃用。相反，Spring Cloud Vault 倾向于使用 Spring Boot 的 Config Data API，该 API 允许从 Vault 导入配置。使用 Spring Boot Config Data 方法，您需要设置 spring.config.import 属性才能绑定到 Vault。您可以在 Config Data Locations 部分中阅读更多相关内容。您可以通过设置配置属性 spring.cloud.bootstrap.enabled=true 或包含依赖项 org.springframework.cloud:spring-cloud-starter-bootstrap 来启用引导上下文。

认证

Vault 需要一种认证机制来授权客户端请求。

Spring Cloud Vault 支持多种认证机制来对应用程序进行 Vault 认证。

对于快速入门，请使用 Vault 初始化打印的根令牌。

application.yml

spring.cloud.vault:
    token: 19aefa97-cccc-bbbb-aaaa-225940e63d76
spring.config.import: vault://

仔细考虑您的安全需求。如果您想快速开始使用 Vault，则静态令牌认证是可以的，但静态令牌不会受到任何进一步的保护。任何泄露给意外方的行为都将允许使用关联的令牌角色使用 Vault。