我们很高兴地宣布HashiCorp vault1.5正式上市。Vault是一种为任何基础设施上的任何应用程序提供机密管理、数据加密和身份管理的工具。Vault 1.5侧重于改进Vault的核心工作流和集成，以更好地服务于您的用例。在这个版本中，我们添加了额外的遥测指标并发布了一个Splunk监控应用程序，通过OpenShift扩展了对在Kubernetes中运行保险库的支持，并添加了一个称为资源配额（Resource quota）的主要新功能，用于防范分布式拒绝服务（DDoS）攻击。此版本包括以下主要功能和改进：使用Splunk监控遥测和日志数据：我们为Vault Enterprise客户发布了Splunk应用程序。该应用程序附带更新的监控指南和新的遥测指标，使更多的用户能够更好地监控保险库。资源配额：Vault现在支持指定一个配额来对开放源码和企业版的请求进行速率限制。企业客户还可以为路径上可以生成的租约数量设置配额。红帽OpenShift支持：我们已经更新了Helm图表，允许用户在他们的OpenShift集群上安装Vault。集成存储作为HA存储：通过使用不同的存储后端作为常规存储，可以将集成存储用作HA存储。复制UI改进：我们重新设计了复制UI，以突出显示群集中主节点和次节点之间的状态和关系，并改进了管理工作流，从而能够更全面地了解多个Vault群集。VMware和NetApp认证：Vault已成功完成VMware vSphere和NetApp ONTAP的产品兼容性验证，可作为使用内置密钥管理互操作性协议（或KMIP）标准的外部密钥管理器解决方案。此版本还包括其他新功能、工作流增强、常规改进和错误修复。Vault 1.5更改日志提供了所有更改的列表。»用Splunk监测遥测和记录数据我们为企业发布了一个Splunk应用程序，以帮助用户获得开箱即用的保险库监控体验。该应用程序可帮助您从操作和安全角度了解Vault在多租户环境中的运行情况，并提供了七个示例仪表板，它们跨越了各种监视用例。它还附带了一个更新的性能调整指南，其中包括关于要监视的最重要指标、它们为什么重要、它们的关键阈值等方面的建议。你可以在他们的博客上看到更多关于HashiCorp和Splunk合作的文章。Vault Enterprise用户可以填写Splunk应用程序请求表以请求访问该应用程序。有关带有Splunk的监视保险库的更多信息，请参阅我们的专用发布公告、更新的性能调整指南和详细的学习指南。»资源配额Vault 1.5引入了资源配额，以保护Vault环境的稳定性和网络，以及存储资源消耗，使其免受失控的应用程序行为和分布式拒绝服务（DDoS）攻击。Vault操作员可以通过设置以下设置来控制应用程序如何从Vault以及Vault的存储和网络基础结构请求资源：速率限制配额：限制系统或装载每秒的最大请求量（RPS），以保护网络带宽租约计数配额（仅限Vault Enterprise）：限制在系统或装载中生成的租约数，以保护系统稳定性和大规模存储性能有关资源配额的更多信息，请参阅我们的专用发布公告、文档和详细的学习指南。»Red Hat OpenShift支持我们已经更新了我们的Kubernetes头盔图表，支持Red Hat OpenShift。Vault Helm图表是在OpenShift上安装和配置Vault的推荐方法。除了运行Vault本身之外，Helm chart是安装和配置Vault代理注入变异Webhook的主要方法。有关通过Helm图表支持Red Hat OpenShift的更多信息，请参阅我们的专用发布公告、文档和详细的学习指南。»集成存储作为HA存储我们最初在vault1.2中引入了集成存储，它允许Vault管理员配置一个内部存储选项来存储Vault的持久数据，而不是使用外部存储后端。在大多数情况下，您会将Vault服务器节点配置为使用支持高可用性（HA）的存储后端，因此存储后端在保持HA协调的同时存储Vault数据。然而，并不是所有的存储后端都支持HA（例如，Amazon S3、Cassandra、MSSQL）。在某些情况下，您可能需要使用不支持HA的存储后端，这意味着您只能进行单节点保险库部署，而不是HA群集。为了解决此问题，当使用任何持久数据存储后端时，Vault 1.5现在可以选择将集成存储指定为Vault的HA协调选项。有关集成存储作为HA存储的更多信息，请参阅我们的文档和详细的学习指南。»复制UI改进复制是Vault Enterprise功能，有两种使用情形：灾难恢复和性能复制。灾难恢复复制的目的是防止整个群集发生故障，而性能复制是为了分布高容量工作负载而构建的。在这两种情况下，重要的是能够监测主要和次要集群的健康状况，了解潜在问题和解决这些问题的方法，并注意到集群之间的联系。在Vault 1.5中，我们重新设计了复制UI，以创建易于阅读、易于解析的仪表板，并使问题更易于查看和排除。我们渴望与您分享我们重新设计的仪表板。有关复制UI改进的更多信息，请参阅我们的幕后重新设计公告、文档和有关监视保险库复制的详细指南。»VMware和NetApp认证Vault Enterprise已成功完成VMware vSphere和NetApp ONTAP的产品兼容性验证。您可以将Vault Enterprise用作一个灵活、经济高效且可扩展的外部密钥管理器解决方案，该解决方案使用内置的密钥管理互操作性协议（或KMIP）标准来保护和加密存储系统。如果您想了解更多信息，我们发布了两份新白皮书，重点介绍了这些经过认证的集成：HashiCorp Vault Enterprise保护VMware数据白皮书HashiCorp Vault Enterprise Secure NetApp数据白皮书有关KMIP机密引擎的更多信息，请参阅我们的文档或详细的学习指南。»其他特性Vault 1.5中有许多新功能是在1.4.x版本中开发的。我们总结了以下几个较大的特性，您可以参考变更日志以了解完整的详细信息：vaultmonitor：与HashiCorp consur和Nomad的Monitor命令类似，我们添加了一个新的"vaultmonitor"命令，它允许用户流式传输正在运行的Vault服务器的日志。所选的日志级别可以与服务器日志使用的日志级别不同。海豹迁移：我们已经做了更新，允许从自动解封迁移到沙米尔解封。SSH helper的命名空间支持：Vault现在有一个选项，允许用户在使用SSH helper时指定SSH挂载的命名空间。密码策略：Vault现在允许操作员自定义如何为选定的秘密引擎（OpenLDAP、activedirectory、Azure和RabbitMQ）生成密码。AWS机密组支持：由Vault生成的IAM用户现在可以添加到IAM组中。AWS Auth Web标识支持：我们添加了对awsweb标识的支持，如果存在，将在凭证链中使用。OIDC Auth Provider Extensions：我们添加了对OIDC Auth的支持，以合并IdP特定的扩展。目前这包括扩展的Azure AD组支持。GCP机密：在没有IAM端点的情况下支持BigQuery数据集acl。MS SQL Server的静态凭据旋转支持：Vault现在允许MS SQL的静态凭据旋转。»升级详细信息Vault 1.5引入了新功能。因此，我们提供了Vault 1.5特定的升级说明。一如既往，我们建议在隔离环境中升级和测试此版本。如果您遇到任何问题，请在Vault GitHub问题跟踪器上报告这些问题，或在Vault讨论论坛上发布。作为提醒，如果您认为您在保险库中发现了安全问题，请通过电子邮件负责任地披露security@hashicorp.com也不要使用公共问题追踪系统。我们的安全策略和PGP密钥可以在这里找到。有关Vault Enterprise的详细信息，请访问hashicorp.com/products/vault. 用户可以从以下位置下载Vault的开放源代码版本：Vault项目.io.希望您喜欢Vault 1.5。