EdgeX Foundry Secret Store 服务

已于 2022-06-28 10:30:23 修改
阅读量608 收藏
点赞数
分类专栏: EdgeX Foundry 文章标签: go edgex 文档 secret
于 2022-06-27 17:28:13 首次发布
原文链接:https://docs.edgexfoundry.org/2.3/security/Ch-SecretStore/
版权

目录

介绍

开始使用Secret Store

使用Secret Store

推荐的方式

获取Vault根令牌

使用Vault CLI

使用 the Vault REST API

使用Vault Web UI

 另请参见:

翻译Secret Store - EdgeX Foundry Documentation

介绍

EdgeX Foundry 微服务中使用了多种加密措施的机密,如令牌、密码、证书等。secret store服务用作保存这些加密信息的中央存储库。EdgeX Foundry微服务的开发人员可利用 secret store服务创建、存储和检索与其相应微服务相关的加密信息。

目前,EdgeX Foundry secret store基于HashiCorp开源软件产品Vault来实现。

Vault是一种安全访问加密信息的工具。加密信息是您想要严格控制访问的任何内容,例如API密钥、密码、数据库凭据、服务凭据或证书。Vault为任何加密信息提供统一的接口,同时提供严格的访问控制和多种身份验证机制(令牌、LDAP等)。此外,Vault支持可嵌入的“加密引擎”。EdgeX使用 Consul secrets引擎允许Vault向EdgeX 微服务颁发Consul访问令牌。

在EdgeX中,Vault的存储后端是主机文件系统。

开始使用Secret Store

使用Docker Compose脚本的安全模式版本时,默认情况下会启动EdgeX secret store,该脚本位于https://github.com/edgexfoundry/edgex-compose/tree/ireland.

在启用secret store的情况下启动EdgeX的命令是:

git clone -b ireland https://github.com/edgexfoundry/edgex-compose
make run

或者

git clone -b ireland https://github.com/edgexfoundry/edgex-compose
make run arm64

如果在EdgeX启动时禁用了安全功能(通过在之前的命令中附加no-secty 参数),则不会启动EdgeX机密存储。这将禁用所有EdgeX安全功能,而不仅仅是API网关。比如

make run no-secty

EdgeX关于安全引导的架构决策记录(ADR)中包含了关于EdgeX安全存储如何与所有其他EdgeX服务排序的文档。

使用Secret Store

推荐的方式

与EdgeX secret store交互的首选方法是在go-mod-secrets中使用SecretClient接口。

每个EdgeX 微服务都可以访问一个StoreSecrets()方法,该方法允许设置每个微服务的机密,并可以通过访问GetSecrets()的方法将其读回。

如果需要在EdgeX secret store里手动设置一个“超级用户”,则需要获取一个特权访问令牌,称为Vault根令牌。

获取Vault根令牌

出于安全原因(《Vault生产强化指南》建议重新登录根令牌),默认情况下会吊销Vault根令牌。EdgeX自动管理框架所需的私密信息,并为各个微服务提供编程接口,以与它们的机密存储分区进行交互。

如果需要对私密存储进行全局访问,则需要使用以下建议的步骤获取Vault根令牌的副本。请注意,遵循此步骤直接与《Vault产品强化指南》相矛盾。由于需要让根令牌不被撤消,因此必须在根令牌重新登录模式被禁用的情况下启动服务框架:

1、停止所有容器后,关闭整个框架,并使用edgex-compose中的make clean或Docker volume prune删除Docker持久卷。还可以选择删除/tmp/edgex以清理共享保存私密信息的卷。

2、编辑docker-compose.yml并重写环境变量SECRETSTORE_REVOKEROOTTOKENS

secretstore-setup:

        environment:

                SECRETSTORE_REVOKEROOTTOKENS: "false"

1、使用make run或其他方式启动EdgeX。 

2、使用下面的命令显示Docker卷中resp-init.json的内容。(--rm选项表示退出容器时会自动将其删除, -ti 互交模式,-v挂载宿主机的一个目录,宿主机的edgex_vault-config目录挂载到/vault/config目录,:ro容器里对该目录只读,如是:rw则为可读写)

docker run --rm -ti -v edgex_vault-config:/vault/config:ro alpine:latest cat /vault/config/assets/resp-init.json

1、获取Json输出中root_token字段的内容

作为从一开始就重写SECRETSTORE_REVOKEROOTTOKENS的替代方法,根据Vault的文档说明的过程,可以从resp-init.json中的已知的密钥重新生成根令牌。只要需要根令牌功能,EdgeX框架就会在内部执行此过程。请注意,如果SECRETSTORE_REVOKEROOTTOKENS保持设置为默认值,则下次重新启动EdgeX时,将再次吊销以这种方式创建的令牌,既是,如果SECRETSTORE_REVOKEROOTTOKENS为true,则每次启动框架时都会吊销所有根令牌。

使用Vault CLI

在运行的Vault容器中执行shell会话:(docker exec :在运行的容器中执行命令, -it 互交模式 edgex-vault 服务,sh -l 是shell会话)

docker exec -it edgex-vault sh -l

使用Vault CLI和获得的根令牌登录到Vault:

edgex-vault:/# vault login s.ULr5bcjwy8S0I5g3h4xZ5uWa
Success! You are now authenticated. The token information displayed below
is already stored in the token helper. You do NOT need to run "vault login"
again. Future Vault requests will automatically use this token.

Key                         Value
---                            -----
token                       s.ULr5bcjwy8S0I5g3h4xZ5uWa
token_accessor       Kv5FUhT2XgN2lLu8XbVxJI0o
token_duration        ∞
token_renewable      false
token_policies          ["root"]
identity_policies       []
policies                    ["root"]

在当前令牌登录执行查找来验证这证明了令牌有效。

edgex-vault:/# vault token lookup
Key                 Value
---                 -----
accessor            Kv5FUhT2XgN2lLu8XbVxJI0o
creation_time       1623371879
creation_ttl        0s
display_name        root
entity_id           n/a
expire_time         <nil>
explicit_max_ttl    0s
id                  s.ULr5bcjwy8S0I5g3h4xZ5uWa
meta                <nil>
num_uses            0
orphan              true
path                auth/token/root
policies            [root]
ttl                 0s
type                service

!!! 注意:根令牌是唯一没有过期强制规则(生存时间TTL计数器)的令牌。 (只是此次运行不过期,SECRETSTORE_REVOKEROOTTOKENS为true时,重新运行还是会被撤销)

作为一个示例,让我们查看并监视一下Redis数据库密码:

edgex-vault:/# vault list secret 

Keys
----
edgex/

edgex-vault:/# vault list secret/edgex
Keys
----
app-rules-engine/
core-command/
core-data/
core-metadata/
device-rest/
device-virtual/
security-bootstrapper-redis/
support-notifications/
support-scheduler/

edgex-vault:/# vault list secret/edgex/core-data
Keys
----
redisdb

edgex-vault:/# vault read secret/edgex/core-data/redisdb
Key                 Value
---                 -----
refresh_interval    168h
password            9/crBba5mZqAfAH8d90m7RlZfd7N8yF2IVul89+GEaG3
username            redis5

 有了根令牌,就可以修改任何Vault设置。相关命令请参见Vault手册

使用 the Vault REST API

Vault还支持REST API,其功能相当于命令行界面:等效于

vault read secret/edgex/core-data/redisdb

 使用REST API的命令如下所示:

显示(获取)核心数据secret store中的redis凭据:

curl -s -H 'X-Vault-Token: s.ULr5bcjwy8S0I5g3h4xZ5uWa' http://localhost:8200/v1/secret/edgex/core-data/redisdb | python -m json.tool
{
    "request_id": "9d28ffe0-6b25-c0a8-e395-9fbc633f20cc",
    "lease_id": "",
    "renewable": false,
    "lease_duration": 604800,
    "data": {
        "password": "9/crBba5mZqAfAH8d90m7RlZfd7N8yF2IVul89+GEaG3",
        "username": "redis5"
    },
    "wrap_info": null,
    "warnings": null,
    "auth": null
}

有关语法和用法的详细信息,请参见HashiCorp Vault API文档

(HTTP API | Vault by HashiCorp).

使用Vault Web UI

Vault Web UI不会通过API网关公开。因此,必须通过本地主机或某种网络隧道访问它。

用浏览器打开http://localhost:8200,并使用根令牌登录。

 当前Vault UI会话的左上角,注销菜单显示当前令牌的名称(下图的root)。

 选择Vault secret后端:

 导航到API网关(Kong)服务X.509 TLS的路径上(edgex/pki/TLS/edgex Kong):

 Vault UI还允许使用嵌入式控制台输入Vault CLI命令(请参见上文第1个备选方案):

 另请参见:

在实现安全服务时使用的一些命令具有man风格的文档:

wwyyxx26
关注
专栏目录
EdgeX】EdgeX Foundry 框架整体入门(详解)
Fanjufei的博客
05-10 3106
目录 1、EdgeX Foundry 介绍 2、框架介绍 设备服务层 核心服务层 支持服务层 应用服务层 3、EdgeX工作原理 基于消息总线的消息传输(从南侧到北侧) 基于消息总线的消息传输(从北侧到南侧) 1、EdgeX Foundry 介绍 EdgeX Foundry 是一个开源、供应商中立、灵活、可互操作的软件平台,位于网络边缘,可与、设备、传感器、执行器和其他物联网对象的物理世界进行交互。 简单来说,EdgeX 是边缘中间件 — 服务于物理传感和执行“事物”与我们的信息
EdgeXFoundry里都有啥
程序员大丰的博客
04-21 816
概述 ​ EdgeXFoundry最开始是由Dell公司运行IOT网关上构建的系统,后来开源出来。EdgeXFoundry就像是硬件与软件之间的一个中间件,南向连接各种设备和传感器,北向连接应用程序。EdgeXFoundry框架有四个服务层和两个基础系统服务,分别是设备服务层(Device Service),核心服务层(Core Service),支持服务层(Supporting Service)还有应用服务层(Application Services);以及安全服务Security)和系统
EdgeX Foundry第一弹 容器运行时docker与服务编排
weixin_46522694的博客
04-07 2553
本文为Edgex系列第一篇文章,主要探讨容器化相关内容。 一、了解Edgex为什么先学习容器? 1.应用服务调度。Edgex服务众多,包含应用服务、支持服务、设备服务、安全服务、中间件等,使用容器部署更为便利。 2.官方对于云原生的支持,参考仓库: docker-compose:github.com/edgexfoundr… kubernetes:github.com/edgexfoundr… 3.边缘计算社区生态的支持,如kubeedge、k3s等轻量级k8s服务。另外kubeedge也提供一
edgexFoundry中文文档1
09-19
edgex foundry 边缘计算框架,中文文档,由于官网都是英文的,以便自己学习翻译整理成中文的,后续会继续整理,转载请标明出处。官方文档链接:https://nexus.edgexfoundry.org/content/sites/docs/staging/master/docs/_build/html/
EdgeX Foundry框架简介
旭小宁的专栏
05-20 951
一、框架主要微服务 核心服务 Core Services 核心数据:Core Data 负责存储设备的传感数据,以及设备配置文件(Device Profile)的vauedescriptor(值描述符): 核心元数据: Core Metadata 负责存储各个微服务相关的元数据信息,例如:设备服务相关 设备服务信息:IP,服务名称,回调接口地址等 设备信息:IP,设备名称,所属设备服务,所用设备配置文件等 设备配置文件信息:设备所用协议相关的接口信息 预配观察器(类似于设备自动发现的过
EdgeX Foundry与IoTDB集成,实现边缘侧持久化存储
qin_DB的博客
09-08 548
EdgeX&IoTDBEdgeX Foundry是由Linux基金会运维的、全球领先的开放源码边缘计算软件框架。自2017年开源之后,在世界各地的各行业、各场景上得到了广泛的应用。从2018年起,VMware与众多行业合作伙伴在中国社区推广EdgeX技术、拓展生态,并持续地贡献代码。IoTDB是由Apache基金会运维的一款时序数据库管理系统,可以为用户提供数据收集、存储和分析等服务。Io...
edgexfoundry-install & k8s 开源了!
01-07
帮助欲从事物联网、边缘计算的同学们更快更多了解优秀框架:edgexfoundry 助力edgexfoundry发展壮大! 现将代码开源出来,供大家一起改进! 开源项目一:edgexfoundry-install 地址: github –>...
EdgeXFoundry详细说明文档英文
11-10
3. 支持服务层(Supporting Services Layer):支持服务层提供额外的辅助功能,如日志记录、警报和通知、调度和规则引擎等,这些功能支持EdgeX Foundry平台的运行。 4. 导出服务层(Export Services Layer):导出...
边缘计算 edgexfoundry 实战与源码剖析 之 核心模块 教程
06-14
本课程深入剖析edgexfoundry 核心模块实现原理,包括config-seed,core-command, core-data,metadata, export-client export-distro ,support-logging , notification ,scheduler,等核心模块 工作原理
edgex-core-snap:该存储库包含EdgeX Foundry的原型作为快照,现在应视为“已弃用”,请参阅官方EdgeX Foundry主github项目
05-12
EdgeX Foundry核心捕捉 该项目包含EgdeX Foundry参考实施micros服务的快照包装。 这是一项早期实验,因此涉及很多限制和手动... $ snap info edgexfoundry-core 巴塞罗纳 基于巴塞罗那的快照可以安装: $ sudo snap
token令牌以及登录小例子
m566666的博客
03-19 2594
token令牌:通过账号密码换取一个有时效的token令牌,基于token去进行认证和授权相关的操作。 在进行登录验证时,我们需要session或cookie会话进行验证,前端包括浏览器还有微信小程序、app、公众号,而采用前后端分离并且不使用浏览器的情况下就会导致前端无法用cookie存储信息,这时我们就需要使用token令牌进行登录验证。 使用token令牌前后端交互验证登录过程如下图: 从上图可以看到和session验证时很相似的。 基于内存存储token令牌示例如下: 先在spring
java架构师成长之路 edgexfoundry实战与源码剖析
07-29
edgexfoundry是linux基础金会顶级物联网边缘计算开源框架,此课程是java语言版,是java架构设计最佳实践,edgexfoundry框架具有丰富的技术栈,并根据实际商业项目归纳提炼形成系统的java架构:微服务restful经典实现(含同步与异步调用实现方法)consul微服务协同及配置注册spring cloud / spring boot /spring integrationdocker 与 docker-compose运行设备数据采集与操控(modbus,mqtt)zeromq、kafka消息 vault kong 安全技术 规则引擎技术droolsflink计算框架集成应用,并导出到hadoop,与elastic (通过kibana进行数据展现与分析)DEVOPS实战: jenkins svn nexus 
EdgeX Foundry第二弹 架构介绍与启动
weixin_46522694的博客
04-07 1603
本文为Edgex系列第二篇文章,主要介绍EdgeX 2.x总体架构,并启动相关服务,体验UI页面,有一个整体认知。 一、EdgeX Foundry介绍 官方描述: EdgeX Foundry is an open source, vendor neutral, flexible, interoperable, software platform at the edge of the network, that interacts with the physical world ofdevices, .
边缘计算 edgexfoundry 实战与源码剖析 之 安全模块
07-22
掌握edgexfoundry go语言版本 管理模块运行制理与源码解读,包括jwt 与 oauth2 两种安全模式。vault kong 实战docker 镜像制作
基于Token登入
热门推荐
ttdwml的博客
01-07 1万+
REST即表述性状态传递(英文:Representational State Transfer,简称REST)是Roy Fielding博士在2000年他的博士论文中提出来的一种软件架构风格。它是一种针对网络应用的设计和开发方式,可以降低开发的复杂性,提高系统的可伸缩性。 1.基于Session登录验证(有会话状态) 用户发出登录请求,带着用户名和密码到服务器验证,服务器验证成功就将用户信息写
Edge X Foundry框架-核心服务层配置与注册表
WinFanChen的博客
06-02 3660
一    配置和注册表 Configuration and Registry
EdgeXFoundry入门指南:框架解析与实践
"edgexfoundry入门 - edgexfoundry manual" EdgeX Foundry是一个开放源代码的物联网(IoT)边缘计算框架,旨在创建一个通用的、可互操作的平台,以简化设备连接和管理,促进数据交换,并支持在边缘进行应用开发。本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值