amazon-web-services - HashiCorp Vault - 生产环境中的设置/架构

Question

我正准备使用我的 Web 应用程序设置 HashiCorp Vault，虽然 HashiCorp 提供的示例很有意义，但我有点不清楚预期的生产设置应该是什么。

就我而言，我有:

为我的 Web 应用程序服务的一小部分 AWS EC2 实例

为 Jenkins 提供持续部署的几个 EC2 实例

我需要:

我的配置软件 (Ansible) 和 Jenkins 能够在部署期间读取 secret

允许公司员工根据需要读取 secret ，并可能为某些类型的访问生成临时 secret 。

我可能会使用 S3 作为 Vault 的存储后端。

我的问题类型是:

保险库是否应该在我的所有 EC2 实例上运行，并在 127.0.0.1:8200 监听？

或者我是否创建一个仅运行 Vault 并让其他实例/服务根据需要连接到那些以进行 secret 访问的实例(可能是 2 个用于可用性)？

如果我需要员工能够从他们的本地机器访问 secret ，那它是如何工作的？他们是在本地针对 S3 存储设置保管库，还是应该从步骤 2 中访问远程服务器的 REST API 来访问他们的 secret ？

需要明确的是，任何运行 vault 的机器，如果重新启动，则 vault 需要再次解封，这似乎是一个涉及 x 个 key 持有者的手动过程？

Answer 1

Vault 在客户端-服务器架构中运行，因此您应该在 availability mode 中运行一个专用的 Vault 服务器集群(通常 3 个适合中小型安装) .

Vault 服务器可能应该绑定(bind)到内部私有(private) IP，而不是 127.0.0.1，因为它们无法在您的 VPC 中访问。您绝对不想绑定(bind) 0.0.0.0，因为如果您的实例具有公共(public) IP，这可能会使 Vault 可公开访问。

您需要绑定(bind)到证书上公布的 IP，无论是 IP 还是 DNS 名称。您应该只在生产级基础架构中通过 TLS 与 Vault 进行通信。

任何和所有请求都通过这些 Vault 服务器。如果其他用户需要与 Vault 通信，他们应该通过 VPN 或堡垒主机连接到 VPC 并针对它发出请求。

重新启动运行 Vault 的计算机时，确实需要解封 Vault。这就是为什么您应该在 HA 模式下运行 Vault，以便另一台服务器可以接受请求。您可以设置监控和警报，以便在需要解封服务器时通知您(Vault 返回特殊状态代码)。

您也可以阅读 production hardening guide了解更多提示。