Spring Cloud Config Server 还支持将 Vault 作为后端。
有关 Vault 的详细信息,请参阅 Vault 快速入门指南。
要使配置服务器能够使用 Vault 后端,您可以使用配置文件运行配置服务器。
例如,在配置服务器的 中,可以添加 .vaultapplication.propertiesspring.profiles.active=vault
默认情况下,配置服务器假定您的 Vault 服务器在 下运行。
它还假定后端的名称是,键是 。
所有这些默认值都可以在配置服务器的 .
下表描述了可配置的 Vault 属性:127.0.0.1:8200secretapplicationapplication.properties
| 名字 | 默认值 |
|---|---|
主机 |
127.0.0.1 |
港口 |
8200 |
方案 |
网址 |
后端 |
秘密 |
defaultKey |
应用 |
profileSeparator |
, |
kv版本 |
1 |
skipSslValidation |
假 |
超时 |
5 |
命名空间 |
零 |
上表中的所有属性都必须以复合配置的正确 Vault 部分为前缀或放置在该部分中。spring.cloud.config.server.vault |
所有可配置属性都可以在 中找到。org.springframework.cloud.config.server.environment.VaultEnvironmentProperties
Vault 0.10.0 引入了一个版本控制键值后端(k/v 后端版本 2),它公开了与早期版本不同的 API,它现在需要在挂载路径和实际上下文路径之间有一个,并将密钥包装在对象中。设置将考虑到这一点。data/dataspring.cloud.config.server.vault.kv-version=2 |
(可选)支持 Vault Enterprise 标头。要将其发送到保险柜,请设置属性。X-Vault-Namespacenamespace
在配置服务器运行的情况下,您可以向服务器发出 HTTP 请求以检索 Vault 后端中的值。 为此,您需要 Vault 服务器的令牌。
首先,将一些数据放入 Vault 中,如以下示例所示:
$ vault kv put secret/application foo=bar baz=bam
$ vault kv put secret/myapp foo=myappsbar其次,向配置服务器发出 HTTP 请求以检索值,如以下示例所示:
$ curl -X "GET" "http://localhost:8888/myapp/default" -H "X-Config-Token: yourtoken"
您应看到类似于以下内容的响应:
{
"name":"myapp",
"profiles":[
"default"
],
"label":null,
"version":null,
"state":null,
"propertySources":[
{
"name":"vault:myapp",
"source":{
"foo":"myappsbar"
}
},
{
"name":"vault:application",
"source":{
"baz":"bam",
"foo":"bar"
}
}
]
}客户端提供必要身份验证以允许 Config Server 与 Vault 通信的默认方法是设置 X-Config-Token 标头。
但是,您可以通过设置与 Spring Cloud Vault 相同的配置属性来省略标头并在服务器中配置身份验证。
要设置的属性是 。
应将其设置为受支持的身份验证方法之一。
您可能还需要设置特定于所使用的身份验证方法的其他属性,方法是使用与所记录的相同的属性名称,但改用前缀。
有关详细信息,请参阅 Spring Cloud Vault 参考指南。spring.cloud.config.server.vault.authenticationspring.cloud.vaultspring.cloud.config.server.vault
| 如果省略 X-Config-Token 标头并使用服务器属性来设置身份验证,则 Config Server 应用程序需要对 Spring Vault 的额外依赖才能启用其他身份验证选项。 请参阅 Spring Vault 参考指南,了解如何添加该依赖项。 |
| 名字 | 默认值 |
|---|---|
主机 |
127.0.0.1 |
港口 |
8200 |
方案 |
网址 |
后端 |
秘密 |
defaultKey |
应用 |
profileSeparator |
, |
kv版本 |
1 |
skipSslValidation |
假 |
超时 |
5 |
命名空间 |
零 |
上表中的所有属性都必须以复合配置的正确 Vault 部分为前缀或放置在该部分中。spring.cloud.config.server.vault |
Vault 0.10.0 引入了一个版本控制键值后端(k/v 后端版本 2),它公开了与早期版本不同的 API,它现在需要在挂载路径和实际上下文路径之间有一个,并将密钥包装在对象中。设置将考虑到这一点。data/dataspring.cloud.config.server.vault.kv-version=2 |
| 如果省略 X-Config-Token 标头并使用服务器属性来设置身份验证,则 Config Server 应用程序需要对 Spring Vault 的额外依赖才能启用其他身份验证选项。 请参阅 Spring Vault 参考指南,了解如何添加该依赖项。 |
多个属性源
使用 Vault 时,您可以为应用程序提供多个属性源。 例如,假设您已将数据写入 Vault 中的以下路径:
secret/myApp,dev
secret/myApp
secret/application,dev
secret/application写入的属性可供所有使用 Config Server 的应用程序使用。
名称为 的应用程序将具有写入和可用的任何属性。
启用配置文件后,写入上述所有路径的属性将可供其使用,列表中第一个路径中的属性优先于其他属性。secret/applicationmyAppsecret/myAppsecret/applicationmyAppdev
解密属性源中的 Vault 机密
Spring Cloud Config Server 支持使用特殊的占位符前缀从 Vault 解密属性。此功能允许在运行时直接从 Vault 动态解析敏感配置属性。{vault}
配置步骤
所有用于与 Vault 集成的配置设置都应放在 或 中。以下是激活 Vault 配置文件、连接到 Vault 服务器以及使用前缀设置属性格式所需的特定配置。application.ymlapplication.properties{vault}