访问官网
Github
文档Vault 
请注意:我们非常重视Vault的安全性和用户的信任。如果您认为在Vault中发现了安全问题,请通过联系我们的邮箱security@hashicorp.com来负责任地披露。
- 网站:https://www.vaultproject.io
- 公告列表:Google Groups
- 讨论论坛:Discuss
- 文档:https://developer.hashicorp.com/vault/docs
- 教程:https://developer.hashicorp.com/vault/tutorials
- 认证考试:https://developer.hashicorp.com/certifications/security-automation
Vault是一个用于安全访问机密的工具。机密可以是任何你想严格控制访问的内容,如API密钥、密码、证书等。Vault为任何机密提供统一的接口,同时提供严格的访问控制并记录详细的审计日志。
现代系统需要访问多种机密:数据库凭证、外部服务的API密钥、面向服务架构通信的凭证等。了解谁在访问哪些机密已经非常困难且依赖于特定平台。再加上密钥轮换、安全存储和详细的审计日志,如果没有定制解决方案,几乎是不可能的。这就是Vault发挥作用的地方。
Vault的主要特性包括:
-
安全机密存储:Vault可以存储任意的键值对。Vault在将数据写入持久存储之前对其进行加密,因此获取原始存储的访问权限并不足以访问你的机密。Vault可以写入磁盘、Consul等。
-
动态机密:Vault可以为某些系统(如AWS或SQL数据库)按需生成机密。例如,当应用程序需要访问S3存储桶时,它向Vault请求凭证,Vault将按需生成具有有效权限的AWS密钥对。在创建这些动态机密后,Vault还会在租约到期后自动撤销它们。
-
数据加密:Vault可以加密和解密数据而无需存储它。这允许安全团队定义加密参数,开发人员可以将加密数据存储在SQL数据库等位置,而无需设计自己的加密方法。
-
租约和续期:Vault将租约与每个机密相关联。在租约结束时,Vault自动撤销机密。客户端可以通过内置的续期API续订租约。
-
撤销:Vault内置支持机密撤销。Vault不仅可以撤销单个机密,还可以撤销机密树,例如,特定用户读取的所有机密,或特定类型的所有机密。撤销有助于密钥轮换以及在入侵情况下锁定系统。
文档、入门指南和认证考试
文档可在Vault网站上获取。
如果你是Vault新手,想要开始进行安全自动化,请查看HashiCorp学习平台上的入门指南。还有其他指南可以继续你的学习。
对于如何在不同编程语言的应用程序中与Vault交互的示例,请参见vault-examples仓库。还提供了一个开箱即用的示例应用。
通过认证考试展示你的Vault知识。访问认证页面了解考试信息,并在HashiCorp的学习平台上查找学习资料。
开发Vault
如果你希望在Vault本身或其任何内置系统上工作,首先需要在你的机器上安装Go。
对于本地开发,首先确保正确安装了Go,包括设置GOPATH,然后将GOBIN变量设置为$GOPATH/bin。确保$GOPATH/bin在你的路径中,因为某些发行版捆绑了旧版本的构建工具。
接下来,克隆此仓库。Vault使用Go Modules,因此建议你将仓库克隆到GOPATH之外。然后,你可以通过引导环境来下载所需的任何构建工具:
$ make bootstrap
...
要编译Vault的开发版本,运行make或make dev。这将把Vault二进制文件放在bin和$GOPATH/bin文件夹中:
$ make dev
...
$ bin/vault
...
要编译带UI的Vault开发版本,运行make static-dist dev-ui。这将把Vault二进制文件放在bin和$GOPATH/bin文件夹中:
$ make static-dist dev-ui
...
$ bin/vault
...
要运行测试,输入make test。注意:这需要安装Docker。如果退出状态为0,则一切正常!
$ make test
...
如果你正在开发特定的包,可以通过指定TEST变量来仅运行该包的测试。例如,下面只会运行vault包的测试。
$ make test TEST=./vault
...
故障排除
如果你遇到类似could not read Username for 'https://github.com'的错误,可能需要调整git配置,如下所示:
$ git config --global --add url."git@github.com:".insteadOf "https://github.com/"
导入Vault
此仓库发布了两个可能被其他项目导入的库:github.com/hashicorp/vault/api和github.com/hashicorp/vault/sdk。
请注意,此仓库还包含Vault(产品),与大多数Go项目一样,Vault使用Go模块来管理其依赖项。实现这一点的机制是go.mod文件。实际上,该文件的存在也使得理论上可以将Vault作为依赖项导入到其他项目中。一些其他项目已经这样做,以利用为测试Vault本身而开发的测试工具。这不是,也从未是使用Vault项目的受支持方式。我们不太可能修复与将github.com/hashicorp/vault导入到你的项目中相关的错误。
另请参见下面的"基于Docker的测试"部分。
验收测试
Vault有全面的验收测试,涵盖了大部分秘密和认证方法的功能。
如果你正在开发秘密或认证方法的功能,并想验证它是否正常运行(并且没有破坏其他任何东西),我们建议运行验收测试。 警告: 验收测试会创建/销毁/修改真实资源,在某些情况下可能会产生实际成本。如果存在错误,理论上有可能会留下悬空数据。因此,请自行承担风险运行验收测试。我们至少建议在您正在测试的后端的专用账户中运行这些测试。
要运行验收测试,请执行 make testacc:
$ make testacc TEST=./builtin/logical/consul
...
TEST 变量是必需的,您应该指定后端所在的文件夹。建议使用 TESTARGS 变量来过滤并测试特定资源,因为一次性测试所有资源有时可能需要很长时间。
验收测试通常需要设置其他环境变量,如访问密钥等。测试本身应该在早期报错并告诉您需要设置什么,所以此处不再赘述。
有关 Vault Enterprise 功能的更多信息,请访问 Vault Enterprise 网站。
基于 Docker 的测试
我们创建了一个受 NewTestCluster 启发的实验性新测试机制。以下是使用示例:
import (
"testing"
"github.com/hashicorp/vault/sdk/helper/testcluster/docker"
)
func Test_Something_With_Docker(t *testing.T) {
opts := &docker.DockerClusterOptions{
ImageRepo: "hashicorp/vault", // 或 "hashicorp/vault-enterprise"
ImageTag: "latest",
}
cluster := docker.NewTestDockerCluster(t, opts)
defer cluster.Cleanup()
client := cluster.Nodes()[0].APIClient()
_, err := client.Logical().Read("sys/storage/raft/configuration")
if err != nil {
t.Fatal(err)
}
}
Enterprise 版本:
import (
"testing"
"github.com/hashicorp/vault/sdk/helper/testcluster/docker"
)
func Test_Something_With_Docker(t *testing.T) {
opts := &docker.DockerClusterOptions{
ImageRepo: "hashicorp/vault-enterprise",
ImageTag: "latest",
VaultLicense: licenseString, // 不是路径,而是实际的许可证字节
}
cluster := docker.NewTestDockerCluster(t, opts)
defer cluster.Cleanup()
}
以下是我们在实践中如何使用它的更现实示例。DefaultOptions 使用 hashicorp/vault:latest 作为仓库和标签,但它也会查看环境变量 VAULT_BINARY。如果设置了该变量,它会将 VAULT_BINARY 引用的本地文件复制到容器中。这在测试本地更改时很有用。
您可以设置 VAULT_LICENSE_CI 环境变量,而不是设置 VaultLicense 选项,这比将许可证提交到版本控制更好。
您还可以选择设置 COMMIT_SHA,它将作为调试便利被附加到我们构建的镜像名称中。
func Test_Custom_Build_With_Docker(t *testing.T) {
opts := docker.DefaultOptions(t)
cluster := docker.NewTestDockerCluster(t, opts)
defer cluster.Cleanup()
}
github.com/hashicorp/vault/sdk/helper/testcluster 包中有各种辅助函数,例如,以下测试将创建两个 3 节点集群,分别使用性能复制或灾难恢复复制链接它们,如果复制状态在传递的上下文过期之前没有变为健康状态,则测试将失败。
同样,按照所写的内容,这些测试依赖于本地有 Vault Enterprise 二进制文件,环境变量 VAULT_BINARY 设置为指向它,以及设置 VAULT_LICENSE_CI。
func TestStandardPerfReplication_Docker(t *testing.T) {
opts := docker.DefaultOptions(t)
r, err := docker.NewReplicationSetDocker(t, opts)
if err != nil {
t.Fatal(err)
}
defer r.Cleanup()
ctx, cancel := context.WithTimeout(context.Background(), time.Minute)
defer cancel()
err = r.StandardPerfReplication(ctx)
if err != nil {
t.Fatal(err)
}
}
func TestStandardDRReplication_Docker(t *testing.T) {
opts := docker.DefaultOptions(t)
r, err := docker.NewReplicationSetDocker(t, opts)
if err != nil {
t.Fatal(err)
}
defer r.Cleanup()
ctx, cancel := context.WithTimeout(context.Background(), time.Minute)
defer cancel()
err = r.StandardDRReplication(ctx)
if err != nil {
t.Fatal(err)
}
}
最后,这是使用自定义二进制文件运行现有 OSS Docker 测试的示例:
$ GOOS=linux make dev
$ VAULT_BINARY=$(pwd)/bin/vault go test -run 'TestRaft_Configuration_Docker' ./vault/external_tests/raft/raft_binary
ok github.com/hashicorp/vault/vault/external_tests/raft/raft_binary 20.960s
