我们很荣幸地宣布HashiCorp Vault 0.8.2的发布，其中包括许多新特性、改进、错误修复和安全声明。立即下载»安全在早期版本的Vault中，如果使用IAM方法通过AWS身份验证后端进行身份验证并请求定期令牌，则在令牌续订时不会正确遵守该周期。这可能导致令牌意外过期，或者令牌生存期比预期的长。在使用Vault 0.8.2续订令牌后，将正确执行该期限。»主要特点延迟租约加载当保险库接管现役时，它需要在动态凭证和保险库令牌上加载所有未完成的租约，以便正确地验证请求并尽快吊销过期的凭证。在早期版本的Vault中，此过程是同步的。但是，随着我们的客户扩展保险存储以处理越来越多的机密和用户，这可能会导致冷启动或HA故障转移，这会延长到几分钟或几小时，这取决于许多因素，例如未完成租约的数量和存储/网络速度。在vault0.8.2中，我们使加载变慢。当Vault继续服务请求时，加载将在后台进行。对于任何影响租约的同步操作（包括附加到令牌的那些操作）--查找、租约续订或租约吊销--如果延迟加载进程尚未加载租约，则将同步调出该租约。对于大型安装，这应该会将HA故障转移时间从几分钟或几小时减少到几秒钟，但代价是在加载需要查找但尚未由延迟加载过程加载的租约时可能会出现更高的请求延迟。»次要特征请参见Vault 0.8.2更改日志，以获取除了此处调用的功能之外的完整更改列表。使用证书使用vault SSH进行SSH登录vaultssh现在支持通过ssh secret后端（如果启用）对计算机进行身份验证和远程主机密钥验证。尽管在早期版本的Vault中可以颁发证书，但是vaultssh命令不知道如何利用这一点，只能在ssh secrets后端的旧操作模式下使用。PKI中自签发证书的签名PKI后端现在可以签署自行颁发的证书。这些证书的主体和颁发者dn是相同的（PKI后端的CA证书也不相同）。这对于交换根CA非常有用。客户机可以验证是否通过它信任的授权密钥ID对自行颁发的证书进行了签名，以便与新的CA建立信任关系。当执行此签名时，只对给定证书执行基本验证（确保它是CA并且是自己颁发的），因此对该端点的访问应该受到高度限制。»升级说明Vault 0.8.2对Vault 0.8中引入的安全插件系统进行了体系结构上的更改，以更好地支持密封/解封Vault实例的某些情况。因此，Vault插件需要使用最新的更改进行构建，以便它们能够正常运行。有关详细信息，请参阅变更日志。一如既往，请在升级之前在隔离环境中进行测试，并遵循Vault的升级指南。再次感谢Vault社区提供的想法、错误报告和拉取请求。