我们很荣幸地宣布发布HashiCorp vault0.7。Vault提供机密管理、加密即服务和特权访问管理。随着云技术的日益普及和架构向高度弹性和面向微服务的架构的转变，传统的基于网络的安全方法正受到挑战，这是一个必要的转变。除了依赖基于外围设备的安全性和传统防火墙之外，组织现在还必须在应用程序中实现安全性。保险库为保护任何应用程序基础设施提供了必要的最后一道防线。Vault 0.7为开源和企业版都添加了主要的新功能。亮点包括：多数据中心复制（企业）参数范围的ACL作为证书颁发机构的SSH后端该版本包括附加的新功能、安全工作流增强、常规改进和错误修复。Vault 0.7更改日志提供了功能、增强功能和错误修复的完整列表。另外，请注意，其中一些更改发生在vault0.6.5中，但在以前的博客文章中没有涉及。和往常一样，我们向社区致谢，感谢他们的想法、错误报告和拉取请求。»多数据中心复制仅企业功能：此功能需要Vault Enterprise。许多组织在分布在地理位置上的数据中心中的基础设施在许多云中都是不同的。对于他们来说，Vault提供了关键的服务，如机密存储、加密即服务，以及这些机密的策略和访问管理。在0.7之前，Vault仅限于与其他本地节点配对到单个集群中。在这种体系结构中，活动节点将与多个备用节点协调以确保高可用性：当活动节点脱机或遇到故障时，备用节点将自动变为活动节点并接管对客户端请求的服务。虽然集群提供了高可用性，但也存在一些限制：许多组织的基础设施的地理分布特性通常会对试图从物理上远离集群的位置使用机密的应用程序施加性能和/或安全限制。此外，由于活动节点与备用节点和存储后端之间的频繁通信，集群原本打算将其节点定位在单个数据中心（或在云中物理上彼此"靠近"）。拥有单个活动群集需要垂直缩放保险库，以满足越来越多客户机的需要。在Vault 0.7中，我们引入了多数据中心复制的概念。复制允许地理上分布的集群配对，以提高全局读取性能并跨集群水平扩展工作负载。由于这发生在集群级别，每个集群都可以是复制集的一部分，并且还可以维护HA特性。引导/跟随模型中的簇对。一个集群被选为主集群或简单的主集群。这是机密、访问策略和配置的主寄存器。辅助群集（或简称辅助群集）是指遵循以近乎实时方式写入主群集的更改并允许将主群集中的机密、策略和配置镜像到辅助群集的群集。每个辅助服务器负责其自己的令牌和租约管理，这允许横向扩展，因为不需要将所有客户端请求发送回主服务器来完成；相反，只需要将更改保险库基础状态的请求转发到主服务器，这一步对客户端完全透明。此体系结构允许Vault展开水平扩展。保险库群集可以放置在距离远程用户和应用程序较近的位置，以便将距离引起的延迟对性能的影响降至最低。类似地，作为主服务器的配置和静态数据的副本，辅助服务器可以帮助从主服务器上卸载许多保险存储操作，并帮助快速增长的基础架构在面对大量需求时进行扩展。可以使用Vault Enterprise web UI配置和管理Vault复制。UI抽象了设置多数据中心复制的复杂性。这允许Vault用户只需单击几下即可设置复制。下面的屏幕截图显示了用于复制的企业用户界面。有关如何在Vault Enterprise中设置和部署复制的详细信息，请参见Vault Enterprise文档。为了启用Vault 0.7的复制功能，我们在Vault的核心功能中构建了大量技术。将来，我们希望在这种底层复制技术的基础上，探索扩展性能之外的其他使用情形，例如灾难恢复功能。多数据中心复制是Vault Enterprise的一部分。有关HashiCorp Vault Enterprise的详细信息，请转到[https://www.hashicorp.com/products/vault/].»参数范围的ACL自一开始，Vault的访问控制功能就集中在授权访问API端点上。在早期版本的Vault中，授权的粒度仅限于"读"和"写"值。在此场景中，"写入"转换为创建、更新和删除值：路径"secret/foo/*"{policy="写入"}在vault0.5中，我们将这两个选项拆分为一组功能："创建"、"更新"、"读取"、"删除"和"列表"。这使得对客户端可以采取的操作进行更细粒度的控制。例如，现在可以允许客户端在Vault的"通用"K/V后端中创建值，但不允许他们随后更改或删除这些值，以帮助确保重要机密不会意外丢失或覆盖：路径"secret/foo/*"{能力=["创建"，"读取"，"列表"]}在Vault 0.7中，ACL系统允许更细粒度的控制：不仅可以指定可以针对特定API路径执行的操作，还可以指定允许客户端设置（或不得设置）的参数，该参数可以由发出此类调用的客户端设置：路径"secret/foo/*"{能力=["创建"，"读取"，"列表"]拒绝的参数={"ssn"=[]}}上面的方法确保写在"secret/foo"下的值不包含名为"ssn"的参数。您甚至可以进一步提供可接受（或不可接受）值：路径"secret/foo/*"{能力=["创建"，"读取"，"列表"]允许的参数={"数据中心"=["美国-*"，"都柏林"]"*" = []}}最后一个例子将允许设置任何参数（"*"项是因为一旦声明了"allowed_parameter"列表，它将充当白名单），但是如果"datacenter"是其中一个参数，则只能设置为"dublin"或以"us-"开头的值。此外，"min_wrapping_ttl"和"max_wrapping_ttl"可用于控制响应包装行为。例如，以下操作将要求所有响应都进行响应包装，但主要是通过将最小值设置为1秒来让客户端选择多长时间：路径"secret/foo/*"{能力=["创建"，"读取"，"列表"]min_wrapping_ttl="1秒"}上面的例子相对来说是精心设计的，但是在现实世界中有很多这种功能的应用。在一个示例中，管理员可能希望允许操作员创建SSH角色，以使客户端能够检索SSH凭据。尽管操作员是可信的，但管理员会进行深入防御，并希望确保操作员无法更改角色的某些功能：即，凭据的类型必须是证书，并且必须是用户证书（与主机证书相反）。管理员可以编写以下策略：路径"ssh/roles/*"{能力=["更新"，"读取"，"列表"，"删除"]允许的参数={"密钥类型"=["ca"]"*" = []}拒绝的参数={"允许主机证书"=[真]}}作为第二个例子，考虑PKI后端，授权用户可以检索TLS证书。后端允许指定一组允许的域名（例如example.com网站"）并控制域名本身还是子域（包括主机名，例如"mymachine.example.com网站"）是允许的。因为每个客户端都有检索证书的权限，所以在大多数情况下，具有这种粒度级别就足够了，因为证书更多地用于确保会话中的两个端点都在保险库中被授权，而不是用来证明特定的身份。然而，有时候，能够证明一台机器属于某个给定的组，而不是简单地证明它能够与Vault通信，这是非常有用的。一种方法是查看计算机颁发的证书的通用名称。在以下示例中，给定此策略的客户端可以检索证书，以表明它们是经过授权的FTP服务器，但不允许检索具有公共名称的证书，该名称可能会将它们标识为数据库服务器：路径"pki/issue/myrole"{能力=["更新"]允许的参数={"公用名"=["ftp*"]"*" = []}}PKI后端还允许为每个角色设置组织和组织单位值，这提供了另一种简单的标识方法，但示例机制可用于在策略级别而不是角色级别控制行为。有关这些新特性的更多信息可以在ACL概念页上找到。»其他特性除了复制之外，Vault 0.7中还有许多新功能。我们总结了下面几个较大的特性，并一如既往地参考变更日志以获得完整的细节。SSH后端作为证书颁发机构：现在可以将保险库配置为SSH证书的证书颁发机构。这扩展了现有的生成一次性密码和动态RSA密钥的能力，为某些环境提供了一个更简单的选项。Okta身份验证：Okta用户名和密码现在可以用于对Vault进行身份验证。Radius认证