14.5.2 在 Vault 中存储密码

HashiCorp Vault 是一个机密管理工具。与 Git 相比，Vault 的核心功能是以本机方式来处理机密信息的。所以对于配置机密信息来说，使用 Vault 作为 Config Server 的后端存储，是一种更好的选择。

要开始使用 Vault，请参照 Vault 网站上的安装说明 https://learn.hashicorp.com/tutorials/vault/getting-started-install， 下载并安装 Vault 命令行工具。在本节中，将同时使用 vault 命令用于管理机密配置，以及启动 Vault 服务器。

$ vault server -dev -dev-root-token-id=roottoken
$ export VAULT_ADDR='http://127.0.0.1:8200'
$ vault status

第一个命令使用根令牌 （ID 是 roottoken）在开发模式下启动 Vault 服务器。开发模式，顾名思义，是一种简单但并不完全安全的模式。它不应该在生产环境中使用，但是在开发时使用非常有用，也更方便。

注意，Vault 服务器是一个功能强大，且非常健壮的机密管理服务器。本章没有足够的空间来详细讨论所有功能，只涉及在开发模式下简单使用 Vault 服务器。在将 Vault 投入生产环境之前，我强烈建议您通过阅读 Vault 文档，以了解 Vault 的详细信息 https://www.vaultproject.io/docs。

对 Vault 服务器的所有访问都需要向服务器提供令牌。根令牌是一种管理令牌，它允许您创建更多令牌。它也可以用来读写机密信息。在开发模式下启动服务器时，如果没有指定根令牌，将自动生成一个并在启动时写入日志文件中。为了方便使用，建议把根令牌设置为一个易于记忆的值，如 roottoken。

Vault 服务器以开发模式启动以后，它将侦听本地端口 8200。也可以设置 VAULT_ADDR 环境变量，如前面的代码段中第二个命令所展示的那样，以修改配置。

最后，vault status 命令验证前两个命令是否按预期工作了。您应该收到一个列表，其中包含大约六个属性，描述 Vault 服务器的配置，以及 Vault 是否被封存。（Valulte 不应在开发模式下被封存。）

如果使用 Vault 0.10.0 或更高版本，您需要执行一些其他操作，以便适配 Vault 与 Config Server 一起工作。因为高版本的 Vault 工作方式有一些更改，会导致与 Config Server 标准机密后端存储不兼容。以下两个命令重新创建名称为 secrets 的后端存储，这样就和 Config Server 兼容了：

$ vault secrets disable secret
$ vault secrets enable -path=secret kv

如果使用旧版本的 Vault，则以上这些步骤不需要执行。

保存机密信息到 Vault 中

使用 Vault 命令可以轻松地将机密写入 Vault。例如，假设您想将 MongoDB 的密码使用属性 spring.data.MongoDB.password，保存到 Vault 而不是 Git 中。使用 vault 命令，可以像下面这样操作：

目前重要的是要注意这三个部分的信息：机密信息的路径、键和值。路径非常类似于文件系统路径，允许您对相关的秘密使用相同路径进行分组。路径的前缀 secret/ 标识 Vault 后端（在本例中是名为“secret”的后端）

机密信息的键和值，是您正在向 Vault 写入的实际机密信息。当设置由 Config Server 提供服务的机密信息时，重要的是要使机密信息的键与配置属性的键完全一样。

您可以使用读取命令，验证写入的机密：

$ vault read secret/application
Key                             Value
---                             -----
refresh_interval                768h
spring.data.mongodb.password    s3cr3t

在向给定路径写入机密时，请注意，对给定路径的每次写入都将覆盖以前写入该路径的所有机密。例如，假设您又希望将 MongoDB 用户名写入到与前面的例子相同的 Vault 路径中。您不能简单地写入 spring.data.mongodb.username，这样做会导致原来的 spring.data.mongodb.password 信息丢失。您必须将它们同时写入：

% vault write secret/application \
        spring.data.mongodb.password=s3cr3t \
        spring.data.mongodb.username=tacocloud

现在您已经在 Vault 中存储了一些机密信息，让我们看看如何将 Vault 配置为 Config Server 的后端存储。

在 Config Server 中配置 Vault 后端存储

要将 Vault 添加为 Config Server 的后端存储，您需要做的是添加 vault 到当前激活的 profile 中。在 Config Server 的 application.yml 文件中，可以这样做：

spring:
  profiles:
    active:
    - vault
    - git

如上所示，vault 和 git 都处于活动状态，这允许 Config Server 可以从 Vault 和 Git 获取属性配置。通常，您只需要将机密信息写入 Valult，对不需要保密的信息可以继续使用 Git。但如果您希望将所有配置写入 Vault，而不再使用 Git，您可以在 spring.profiles.active 中去除 Git，只设置为 vault。

默认情况下，Config Server 将假定 Vault 在本地主机上运行，并侦听 8200 端口。您可以在 Config Server 的配置中做更改：

spring:
  cloud:
    config:
      server:
        git:
          uri: http://localhost:10080/tacocloud/tacocloud-config
          order: 2
        vault:
          host: vault.tacocloud.com
          port: 8200
          scheme: https
          order: 1

spring.cloud.config.server.vault.* 属性允许您覆盖 Config Server 使用 Vault 的默认值。在这里告诉 Config Server, Vault 的 API 地址为 https://vault.tacocloud.com:8200。

注意，上述配置中仍然保存了 Git，这假设 Vault 和 Git 分担了提供配置的责任。order 属性指定了 Vault 提供的机密信息将优先于Git 提供的属性。Config Server 配置为使用 Vault 后端后，您可以通过 curl 命令模拟客户端调用：

[habuma:habuma]% curl localhost:8888/application/default | jq
{
  "timestamp": "2018-04-29T23:33:22.275+0000",
  "status": 400,
  "error": "Bad Request",
  "message": "Missing required header: X-Config-Token",
  "path": "/application/default"
}

不好！看起来像是出了什么问题！事实上，此错误表明 Config Server 正在从 Vault 中提供机密信息，但请求未包含 Vault 令牌。

所有 Vault 请求都应包含 X-Vault-Token 请求头。这不是在 Config Server 中配置该令牌，而是 Config Server 的客户端，在向 Config Server 发送请求时，要在请求头中包含 X-Config-token。然后 Config Server 会使用这个令牌，对 Vault 发出请求，同样将令牌放在请求头 X-Config-Token 中。

如您所见，由于请求中缺少令牌，Config Server 将拒绝提供配置服务，即使是来自 Git 的属性也不行。这是一个有趣的副作用，同时使用Vault 与 Git时，除非提供有效的令牌，否则 Git 属性都会被 Config Server 间接隐藏起来。

再次尝试一下，这次在请求头中添加 X-Config-Token：

$ curl localhost:8888/application/default
      -H"X-Config-Token: roottoken" | jq

请求中的 X-Config-Token 应该会得到很好的结果，包括 Vault 中的机密令牌。此处给出的令牌是您在开发模式下启动 Vault 服务器时指定的根令牌。它可以是任何在 Vault 服务器中创建的，未过期且已授予该权限访问 Vault 机密的令牌。

在 Config Server 客户端中设置 Vault 令牌

显然，您无法在每个微服务中使用 curl 来指定从 Config Server 中请求配置时所使用的令牌。您需要添加对每个应用程序的本地配置进行一点配置：

spring:
  cloud:
    config:
      token: roottoken

spring.cloud.config.token 属性告诉 Config Server 客户端，它向 Config Server 发出请求时所使用的令牌值。此属性必须在应用程序的本地配置中设置（不存储在 Config Server 的 Git 或 Vault 后端），以便 Config Server 可以将其值传递到 Vault。

写入特定于应用程序和 profile 的机密

当 Config Server 提供服务时，写入 application 路径的机密会服务于所有应用程序，无论其名称如何。如果只需要对某些应用程序使用机密令牌，可将路径的 application 部分替换为具体的应用程序名称。例如，以下 Vault 写入命令将写入只特定服务于 ingredient-service 应用程序的机密。（名称由 spring.application.name 指定）：

$ vault write secret/ingredient-service \
              spring.data.mongodb.password=s3cr3t

同样，如果您没有指定 profile，写入 Vault 的机密将服务于默认 profile。也就是说，客户将接收这些秘密，而不管当前激活的 profile 是什么。您可以向特定的 profile 写入机密，像下面这样：

% vault write secret/application,production \
              spring.data.mongodb.password=s3cr3t \
              spring.data.mongodb.username=tacocloud

这样写入的机密信息，将只提供给当前激活的 profile 是 production 的应用程序。