Vault 下载

2025年3月17日 | 阅读 3 分钟

Vault 简介

Vault 可以定义为一个用于访问秘密的工具。秘密可以是任何我们希望严格管理访问权限的内容，例如证书、密码或API 密钥。Vault 提供了统一的秘密访问接口，同时支持详细的审计日志记录和严格的访问管理。

任何现代系统都需要访问大量的秘密：外部服务的 API 密钥、数据库凭据、用于架构通信（面向服务）的凭据等。再加上详细的审计日志、安全存储和密钥轮换，如果没有自定义解决方案几乎是不可能的。

下面讨论 Vault 的各种关键特性

1. 安全存储秘密： 任意的键/值对秘密都存储在 Vault 中。Vault 可以在将其写入持久化存储之前加密秘密。因此，仅访问任何原始存储不足以访问我们的秘密。Vault 可以写入 Consul、磁盘等。

2. 动态秘密： Vault 工具可以为某些系统（如 SQL 或 AWS 数据库）按需生成秘密。例如，如果一个应用程序需要访问 S3 存储桶，它会向 Vault 请求一些凭据，Vault 会生成具有某些有效按需权限的 AWS 密钥对。在生成动态秘密后，Vault 会自动撤销它们。

3. 数据加密： Vault 在不存储数据的情况下对其进行解密和加密。它允许安全组定义加密参数。它还允许开发人员将加密数据存储在 SQL 等位置，而无需设计自己的加密方法。

4. 续期和租约： Vault 中的每个秘密都与其关联的租约。Vault 会在租约结束时自动取消该秘密。客户端可以通过续期内置 API 来续期租约。

5. 撤销： Vault 支持内置的各种秘密撤销。它不仅可以级联单个秘密，还可以级联秘密树。例如，通过某个特定用户读取的所有秘密，或特定类型的任何秘密。撤销有助于密钥轮换和锁定系统。它也可以在发生入侵时使用。

我们可以通过多种方法安装 Vault

Linux 包安装高效且简单。如果我们部署或开发其他平台，则预编译二进制文件的使用将高效且简单。

它为 Amazon Linux、Fedora RHEL、Debian、Ubuntu 和其他发行版签名并构建官方软件包。

下载适合我们系统的软件包以安装预编译的二进制文件。目前，Vault 被打包成 zip 文件。

下载后，将 zip 文件解压到一个目录中。要执行 Vault，需要 Vault 二进制文件（Windows 系统是 vault.exe）。不需要其他文件来执行 Vault。

将二进制文件复制到我们想要的位置。如果我们想通过命令行访问它，请确保将其放置在 PATH 中的任何位置。

我们需要正确配置和安装 GO（包括 GOPATH 环境变量），才能通过源代码进行编译。我们也可以将 git 添加到 PATH 中。

通过 GitHub 将 Vault 仓库克隆到我们的 GOPATH 中

$ mkdir -p $GOPATH.src.github.com/hashicorp && cd $_
$ git clone https://github.com/hashicorp/vault.git
$ cd vault

引导此项目。它将编译并下载编译 Vault 所需的工具和库。

$ make bootstrap

为我们最新的系统创建 Vault，并将二进制文件放在 ./bin/（相对于 git checkout）。make dev 目标是一个快捷方式，仅用于为我们本地创建的环境创建 Vault，不用于交叉编译的目标。

在我们的系统上执行 vault -h 命令，以验证 Vault 是否已正确安装。我们必须检查帮助输出。如果我们通过命令行运行它，请确保它在我们的 PATH 中。我们可能会收到 Vault 未找到的错误。