zrk1000的专栏

简介：HashiCorp Vault是一个私密信息管理工具（A tool for managing secrets），提供键值的方式保存私密信息。私密信息：如数据库用户名密码、ssl证书、用户敏感信息等

高可用 vault用于生产环境的私密信息管理，基于此，vault服务宕机会影响到下游的所有使用者，vault被设计的支持高可用部署，降低一台机器或一个进程宕掉时的破坏性，设计概述vault的设计目的在于使其在短时间宕机时能保障vault的高可用，而不是水平可伸缩性。vault通常受限于与存储库（storage backend）之间的IO，而不是服务器的计算性能，这简化了HA的方法,并且避免了复杂的

令牌验证后端 （ token backend）是内置的，是客户端认证的核心；。其他身份验证后端也可以对客户端进行身份验证, 但他们的客户端令牌（token ）最终由令牌后端（token backend）管理。

vault有多个加密密钥用于各种目的。这些键支持转置,这样他们可以定期更改用以以应对潜在的泄漏或威胁。回顾一下,vault开始在处于密封（sealed）的状态。Vault的启封是通过提供unseal keys。默认情况下,vault使用一种技术称为”Shamir’s secret sharing algorithm”的秘钥共享算法把主密钥分割成5股,任何3股即可重建的主钥匙（maser key）。

你可以使用”vault server -dev”命令启动vault的开发模式，开发模式不需要进一步设置，可使用本地的vault CLI命令行工具登录并访问vault，这是进行vault测试和启动一个vault实例的最简单方式，每一个特性在开发模式都是可用的，-dev标识只是设置了一些默认的配置。

Seal/Unseal 当vault服务启动时,它开始是密封（sealed）的状态。在这种状态下,vault被配置为知道如何访问物理存储,但不知道如何解密。解封（Unsealing ）是构建master key，用以获取解密密钥来解密数据、访问vault的过程。

前面对vault的使用做了简单使用，有了具体化的认识，下面对vault进行详细的说明。vault架构：