我正在研究一个示例应用程序,在该应用程序中我想连接到Hashicorp保管库以获取数据库凭据。以下是我的应用程序的bootstrap.yml。
spring:
application:
name: phonebook
cloud:
config:
uri: http://localhost:8888/
vault:
uri: http://localhost:8200
authentication: token
token: s.5bXvCP90f4GlQMKrupuQwH7C
profiles:
active:
- local,test
当未打开保管库服务器时,应用程序将正确构建。 Maven从库中正确获取数据库用户名。当我在密封库后运行构建时,由于以下错误,构建失败。
org.springframework.vault.VaultException: Status 503 Service Unavailable [secret/application]: error performing token check: Vault is sealed; nested exception is org.springframework.web.client.HttpServerErrorException$ServiceUnavailable: 503 Service Unavailable: [{"errors":["error performing token check: Vault is sealed"]}
我该如何解决?我希望maven在构建期间获取DB用户名和密码,即使已密封,也不会从Vault发出任何问题。
不是简单的静态存储,这是Vault的好处,并且在环境发生任何变化时,您需要执行一些操作才能拥有稳定的可运行系统。
建议:创建脚本以使过程自动化。
示例。我有一个多服务系统,我的某些服务使用保险柜来获取配置。
init.sh:
#!/bin/bash
export VAULT_ADDR="http://localhost:8200"
vault operator unseal <token1>
vault operator unseal <token2>
vault operator unseal <token3>
vault login <main token>
vault secrets enable -path=<path>/ -description="secrets for My projects" kv
vault auth enable approle
vault policy write application-policy-dev ./application-policy-DEV.hcl
application.sh:
#!/bin/bash
export VAULT_ADDR="http://localhost:8200"
vault login <main token>
vault delete <secret>/<app_path>
vault delete sys/policy/<app>-policy
vault delete auth/approle/role/<app>-role
vault kv put <secret>/<app_path> - < <(yq m ./application.yaml)
vault policy write <app>-policy ./<app>-policy.hcl
vault write auth/approle/role/<app>-role token_policies="application-policy"
role_id=$(vault read auth/approle/role/<app>-role/role-id -format="json" | jq -r '.data.role_id')
secret_id=$(vault write auth/approle/role/<app>-role/secret-id -format="json" | jq -r '.data.secret_id')
token=$(vault write auth/approle/login role_id="${role_id}" secret_id=${secret_id} -format="json" | jq -r '.auth.client_token')
echo 'Token:' ${token}
其中<app>
-应用程序的名称,application.yaml
-具有配置的文件,<app>-policy.hcl
-具有策略的文件
当然,所有这些文件都不应公开,仅用于保险柜管理。
在环境发生任何变化或保管库终止时,只需运行init.sh
。要获取应用程序的令牌,请运行application.sh
。另外,如果需要更改配置参数,请在application.yaml
中进行更改,运行application.sh
并使用结果令牌。
脚本结果(针对我的一项服务):
Key Value
--- -----
token *****
token_accessor *****
token_duration ∞
token_renewable false
token_policies ["root"]
identity_policies []
policies ["root"]
Success! Data deleted (if it existed) at: <secret>/<app>
Success! Data deleted (if it existed) at: sys/policy/<app>-policy
Success! Data deleted (if it existed) at: auth/approle/role/<app>-role
Success! Data written to: <secret>/<app>
Success! Uploaded policy: <app>-policy
Success! Data written to: auth/approle/role/<app>-role
Token: s.dn2o5b7tvxHLMWint1DvxPRJ
Process finished with exit code 0