SpringCloud搭建微服务之Vault密钥管理

最新推荐文章于 2024-05-09 15:06:07 发布
最新推荐文章于 2024-05-09 15:06:07 发布
阅读量2.1k 收藏 5
点赞数 2
分类专栏: SpringCloud 文章标签: spring cloud 微服务 vault
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liu320yj/article/details/128713608
版权

1. 概述

Vault是一款管理密钥和保护敏感数据的组件,用于保护、存储和严格控制对令牌、密码、证书和加密密钥的访问,可以使用UI客户端、CLI和HTTP API访问密钥和其他敏感数据。更多详细介绍,可以参阅vault官网

2. Vault下载与安装

本文以windows安装为例

2.1. Vault下载

浏览器输入官网地址https://www.vaultproject.io/,进入首页,点击Download进入下载页面
vault官网首页
目前最新版本是1.12.2
vault下载界面
选择适合的操作系统,386对应32位系统,AMD64对应64位系统,根据需要下载对应版本,下载完成的文件是一个压缩包,直接解压即可,解压后是一个名为vault.exe的文件

2.2. 安装

将vault.exe移动到指定目录,在vault.exe目录下打开cmd命令窗口,或者将vault.exe目录配置在环境变量中,在cmd命令窗口输入vault可以查看vault相关命令
vault命令

3. 服务启动和参数配置

vault有多个启动模式,使用命令vault server -help可以查看详细的介绍
vault server
开发环境可以使用dev模式启动,dev模式启动下数据存储在内存中
dev模式
命令如下:vault server -dev
dev模式启动
在最下面有几个重要的参数需要设置
参数
新打开一个cmd窗口,设置vault访问地址,输入命令set VAULT_ADDR=http://127.0.0.1:8200
set addr
保存unseal key,输入命令 echo “Unseak Key” > unseal.key
echo unseal
设置vault初始token,输入命令set VAULT_TOKEN=hvs.RGvfQb2UhGDd8WqB2350Yp2Y
set token
如果需要设置namesapce,输入命令set VAULT_NAMESPACE=boot-vault-nprd
set namespace
输入命令vault status,可以查看vault服务运行情况
vault status

4. 操作密钥

可以在vault管理页面添加密钥,也可以在CLI客户端或者使用HTTP API添加密钥,在dev模式下,默认使用kv安全引擎,使用命令vault kv -help可以查看更多操作
vault kv

4.1. CLI操作密钥

Write secret
使用命令vault kv put可以写入secret,例如:
vault put
同时设置多个kv值时,可以使用如下命令
vault put kvs
Read secret
使用vault kv get命令可以读取密钥
read secret
如果需要读取指定密钥,可以使用下面命令
read zd secret
Delete secret
使用vault kv delete命令可以删除密钥
delete secret
再次读取密钥,会提示密钥已被删除
agen read secret
恢复已删除的secret,可以使用如下命令
undelete secret
再次查询恢复的secret
get undelete secret

5. 管理端配置密钥

在浏览器地址栏输入http://127.0.0.1:8200,输入启动时的token
vault登录页
登录后进入首页
首页

5.1. Secrets配置

vault在dev模式启动下默认的kv Secrets Engines是secret,为了区分项目,可以自己新建Secret,点击Enable new engine
Enable new engine
选择KV模式,点击Next
enable secret
输入Path名称,此参数为项目集成中kv.backend的值,第二处配置是最多显示多少个版本的数据,由于每次修改都是新建一个版本,配置此参数后,默认只显示最近的版本数
Enable Engine
点击Create secret
create secret
输入Path for secret,此参数为项目集成中kv.application-name的值,Secret data就是具体的密钥配置信息
create secret detail

5.2. Policy配置

policy用于管理vault中控制用户可以访问的内容,比如读写权限,选择Policies,点击Create ACL policy创建新的policy,这里可以创建管理员policy和开发policy
policy
输入name和Policy后,点击Create policy
创建policy
同样的方式创建developer策略
developer policy

5.3. Access配置

Access中可以配置权限方式
access配置
点击Enable new method创建新的认证方式,由于token认证方式中token会过期,可以创建appRole方式
approle
Path默认approle,其他选项可以默认,直接点击Enable Method即可
Enable Method
配置approle参数
配置approle
选择Entities,创建entity实体
entity
name可以使用默认名称,选择Policies
create entity
在Entities页面选择Aliases添加alias
Aliases
输入用户名称,选择认证方式
create alias

6. 获取approle参数

在使用approle认证时需要roleId和secretId,使用命令vault list auth/approle/role/可以查看存在哪些role
role list
使用命令vault read auth/approle/role/my-role/role-id获取approle的roleId
read roleId
使用命令vault write -f auth/approle/role/my-role/secret-id获取approle的secretId
write secretId

7. 微服务集成vault

新建一个springboot项目,版本如下:
JDK:11
SpringBoot:2.7.8
SpringCloud:2021.0.5

7.1. 引入核心依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-bootstrap</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-vault-config</artifactId>
</dependency>

由于springcloud vault3.0和springboot2.4之后默认不再先读取bootstrap.yml配置,所以需要配置spring.cloud.bootstrap.enabled=true或者引入spring-cloud-starter-bootstrap依赖

7.2. yml配置文件

示例中使用token方式验证,由于token会过期,实际开发中会使用approle方式验证,新建bootstrap.yml文件,配置如下:

spring:
  application:
    name: cloud-vault
  cloud:
    vault:
      host: localhost
      port: 8200
      scheme: http
      fail-fast: true
      authentication: token
      token: xxx.xxxxxxxxxxxxx
      #authentication: APPROLE
      #app-role:
        #role-id: xxxxxxxxxxxxxxx
        #secret-id: xxxxxxxxxxxxx
      read-timeout: 15000
      connection-timeout: 5000
      config:
        spring.config.import: vault://
      kv:
        enabled: true
        backend: cloud-vault
        profile-separator: /
        application-name: cloud-vault-qa

application.yml配置如下:

server:
  port: 8099
spring:
  datasource:
    password: ${vault.mysql.password}

7.3. 验证

新建一个类获取application配置中的spring.datasource.password参数配置,再新建一个单元测试类引入,代码如下:

@SpringBootTest(classes = CloudVaultApplication.class)
class CloudVaultApplicationTests {

    @Autowired
    private VaultService vaultService;

    @Test
    void contextLoads() {
        final String mysqlPassword = vaultService.getMysqlPassword();
        System.out.println("mysql password is : " + mysqlPassword);
    }

}

运行单元测试
Test

渝州居士
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
spring-cloud-vault:与HashiCorp Vault的配置集成
05-13
Spring Cloud Vault Config为分布式系统中的外部化配置提供了客户端支持。 使用您可以在中心位置管理所有环境中应用程序的外部机密属性。 保险柜可以管理静态和动态机密,例如远程应用程序/资源的用户名/密码,并为外部服务(例如MySQL,PostgreSQL,Apache Cassandra,Couchbase,MongoDB,Consul,AWS等)提供凭据。 特征 Spring Cloud Vault Config客户端 专门用于Spring应用程序: 从Vault检索机密,并使用远程属性源初始化Spring Environment。 获取使用SSL保护的。 为 , , , , , 和生成凭证。 , , , , , AWS-EC2身份验证, AWS-IAM身份验证和Kubernetes身份验证。 Bootstrap应用程序上下文:主应用程序的父上
Vault从入门到精通系列之一:深入了解安全工具VaultVault根令牌和解封密钥,详细整理部署Vault的详细步骤
zhengzaifeidelushang的博客
06-19 3774
至此成功安装部署Vault 下一篇详细了解下如何应用安全工具Vault
2024年最新使用Spring Cloud Config进行分布式配置:Vault 后端,老师讲的真棒
最新发布
2301_82243979的博客
05-09 240
看完美团、字节、腾讯这三家的一二三面试问题,是不是感觉问的特别多,可能咱们真的又得开启面试造火箭、工作拧螺丝的模式去准备下一次的面试了。开篇有提及我可是足足背下了,多少还是有点用的呢,换汤不换药,不管面试官怎么问你,抓住本质即可!能读到此处的都是真爱而且从上面三家来看,算法与数据结构是必备不可少的呀,因此我建议大家可以去刷刷这本左程云大佬著作的 《程序员代码面试指南 IT名企算法与数据结构题目最优解》,里面近200道真实出现过的经典代码面试题。
Spring CloudVault实践踩坑记录
BXA
06-27 945
Vault 是 HashiCorp 公司开发的一个开源项目,用于管理机密信息,例如 API 密钥、密码、证书等。它提供了一种集中式的管理方式来保护敏感的数据,同时也提供了访问控制和加密服务等。使用 Vault 能够更安全地管理敏感信息,并且可以从应用程序代码中抽象出来,从而简化管理和减少泄露风险。
Spring Boot加密配置属性--Spring Cloud Vault详解
weixin_33750452的博客
01-03 2669
项目中敏感配置信息一般需要进行加密处理,比如数据库密码,Spring Boot内置不提供加密支持,不能加密配置文件信息,在官方文档中提供了自定义Environment和Spring Cloud Vault两种解决方案。使用jasypt-spring-boot是另一种方案。 Spring Cloud Vault为HashiCorp Vault的客户端,支持访问HashiCorp Vault内存储的数...
Vault介绍
流浪法师的博客
05-22 1094
Vault 是一个广泛使用的开源工具,用于安全地存储和管理机密信息,如密码、证书、API 密钥和访问令牌等,从而提高安全性。
Vault从入门到精通系列之二:启动Vault服务器
zhengzaifeidelushang的博客
06-19 1662
Vault 作为客户端-服务器应用程序运行。Vault 服务器是唯一与数据存储和后端交互的 Vault 架构。通过 Vault CLI 完成的所有操作都通过 TLS 连接与服务器交互。在本篇博客中,启动以开发模式运行的 Vault 服务器并与之交互。
spring-cloud-vault-config-samples:Spring VaultSpring Cloud Vault Config的示例
05-25
Spring Vault示例 该存储库包含使用和示例。 设置 在示例根目录中打开控制台,然后执行以下命令来设置保管库: $ src/test/bash/create_certificates.sh # Create SSL certificates $ src/test/bash/install_vault....
course-spring-microservices:用于视频课程的代码示例:具有Spring Boot和Spring Cloud微服务
02-05
10. **Vault**:用于管理和保护敏感数据,如API密钥、令牌、证书等。 11. **SpringBootKotlin**:部分代码使用了Kotlin语言,Kotlin是JetBrains开发的一种现代编程语言,它与Java兼容,提供了更简洁、安全的语法。 ...
springcloud笔记.pdf
04-15
SpringCloud简化了微服务架构的搭建管理,使得开发者可以快速地构建出分布式的系统。 2. **核心组件解析**: - **服务注册与发现**:如Eureka,它是一个基于REST的服务注册中心,用于服务实例的注册、查询和健康...
CloudSecurity:使用 Spring Cloud Config Server 和 Vault 的云安全项目
05-29
它展示了如何为本地和基于云的 (Spring Boot) Web 应用程序安全地存储机密的不同可能性。 此存储库中的每个 Web 应用程序(客户端和配置服务器)都在默认的/actuator端点公开所有 Spring Actuator 端点。 技术领域...
spring-boot-vault-demo:演示项目,展示spring-boot和Hashicorp Vault的集成
02-05
Spring Boot Vault演示 入门 创建一个空的bootstrap.yml : touch bootstrap.yml 运行gradle构建所有必需的文件: ./gradlew build 设置保管库 启动保管库容器: docker-compose up --build vault 初始化保管箱: docker-compose --no-ansi exec -e VAULT_CLI_NO_COLOR=1 -e VAULT_CACERT=/vault/config/ssl/vault.crt.pem vault \ vault operator init -key-shar
基于Java的SpringCloud项目模板
02-22
在当今的微服务架构中,Spring Cloud以其强大的服务治理能力,成为了Java开发者的首选框架之一。"基于Java的SpringCloud项目模板"是一个预先配置好的项目框架,它为开发者提供了一个快速启动微服务应用的平台,大大...
spring-vault 入门 demo
asfasfasgjkl的博客
08-29 612
spring整合vault入门demo
Spring系列学习之Spring Vault
纸上得来终觉浅,绝知此事要躬行
12-22 6721
英文原文:https://spring.io/projects/spring-vault 目录 概述 快速开始 学习 文档 示例 概述 Spring Vault提供熟悉的Spring抽象和客户端支持,用于访问,存储和撤销机密。 它提供了与Vault交互的低级和高级抽象,使用户免于基础设施问题。 通过HashiCorp的Vault,您可以在所有环境中为应用程序管理外部机密数据。 Va...
springboot整合spring-vault实践(一个小demo)
deng_keng的博客
03-29 6511
启动vault服务 首先需要启动一个vault服务器。启动的方式挺简单的,就是去官网下载一个vault的exe执行器(因为本人的电脑是windows,所以只说windows的,其他的可以去vault官网看文档),然后在当前目录打开PowerShell,执行 .\vault server -dev 详细的可以看这篇文章。 导入依赖 新建一个springboot工程,然后导入vault依赖。 <dependency> <groupId>org.springframework.
vault安装及springboot,springcloud整合vault
奋斗的小鸟专栏
05-15 6135
Hashicorp Vault Vault概述 Vault是安全访问秘密的工具。一个秘密是你想要严格控制访问的任何东西,如API密钥,密码,证书等等。Vault为任何秘密提供统一的界面,同时提供严格的访问控制和记录详细的审核日志。 Hashicorp Vault解决了管理敏感信息的问题 —— 在Vault的用语中使用“secret”。在这种情况下,“管理”意味着Vault控制敏感信息的...
Spring Cloud【转】
milanleon的专栏
03-17 148
比如对于分布式应用,有多个Spring Boot应用,可以使用Spring Cloud Config来提供一个通用的分布式应用配置解决方案,它包括Config Server和Config Client,使用Config Server作为配置服务器来读取配置并向Spring Boot应用发送配置,各个Spring Boot应用在启动时使用Config Client向服务器请求配置。​​​​​​​项目这篇文章中Spring Cloud Config部分。
Spring Cloud Vault 使用示例
王浩的技术博客
10-26 6630
1.概述 在本文中我们将展示如何在Spring Boot应用程序中使用Hashicorp的Vault来保护敏感的配置数据。 我们在这里假设你已经掌握了一些Vault知识,并且已经准备好了运行环境。如果不是这样的话,让我们花点时间阅读下之前的文章Vault 介绍教程,以便我们熟悉其基础知识。 2. Spring Cloud Vault Spring Cloud VaultSpring Cloud堆...
springcloud学习详细框架
04-04
Spring Cloud是一个基于Spring Boot实现的微服务框架。它提供了一系列开箱即用的工具和组件,帮助开发者快速构建和管理微服务应用。下面是Spring Cloud框架的详细介绍: 1. 服务发现 Spring Cloud提供了服务发现组件,可以自动注册和发现服务实例。它使用了Consul、Eureka、Zookeeper等注册中心,使得微服务之间的通信更加方便。 2. 负载均衡 Spring Cloud提供了负载均衡组件,可以自动将请求分配到多个实例上,从而实现负载均衡。它使用了Ribbon、LoadBalancer等组件,可以很好地处理高并发的请求。 3. 配置中心 Spring Cloud提供了配置中心组件,可以集中管理微服务的配置信息。它使用了Config Server、Vault等组件,可以实现动态的配置更新和管理。 4. 断路器 Spring Cloud提供了断路器组件,可以在服务发生故障时自动切换到备用服务上。它使用了Hystrix等组件,可以实现高可用性的服务架构。 5. API网关 Spring Cloud提供了API网关组件,可以将多个微服务聚合在一起,对外提供一个统一的接口。它使用了Zuul、Spring Cloud Gateway等组件,可以实现请求路由、过滤、转发等功能。 6. 分布式追踪 Spring Cloud提供了分布式追踪组件,可以跟踪微服务之间的调用链路和传递的数据。它使用了Zipkin、Sleuth等组件,可以实现请求的追踪和监控。 7. 消息总线 Spring Cloud提供了消息总线组件,可以实现微服务之间的消息传递和通信。它使用了Bus、Kafka等组件,可以实现消息的广播和订阅。 8. 安全管理 Spring Cloud提供了安全管理组件,可以实现微服务之间的安全通信和身份认证。它使用了OAuth2、Spring Security等组件,可以实现用户认证、授权和访问控制。 总之,Spring Cloud是一个非常强大的微服务框架,它提供了一系列开箱即用的组件和工具,可以帮助开发者快速构建和管理微服务应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值