生產環境春雲配置使用Git /庫

Question

春季啓動 - 2.0.0.M3 春雲 - Finchley.M1

我想知道是否有人使用Spring配置的雲服務器保險櫃和Git支持在使用數據庫存儲後端的生產設置中。 使用跳馬和考慮是否要爲甲骨文JCE加密的用戶名/密碼或庫，並尋求在相同的建議，我已經評估春季雲配置。我們正在研究Springboot/microservices。

以下是我的發現 -

1. 庫將引入的附加層，從而在與庫通信將推出額外的安全usecases，審計。

2. Spring雲配置執行器端點在此時生成加密值並且/ encrypt/decrypt可能不起作用，因此如果我們選擇Oracle JCE支持，則我們通過穩定版本生成加密值。

3. 我們不希望使用領事服務器，並嘗試使用卡桑德拉作爲存儲後端。

4. 我使用利用AppRole保管箱認證後端和生成的令牌（從根令牌不同，因爲它是不安全使用相同的）與讀取權限。不過，Spring Cloud配置目前僅支持來自客戶端的基於令牌的身份驗證。這意味着我們首先從Vault生成令牌，然後將其作爲命令行/ env變量傳遞。 關心的一些附加分是令牌到期（雖然我們可以有非到期令牌不知道優點/缺點），重新啓動後，安全問題，實例化新的微服務。在雲配置端沒有提供動態令牌/認證。

5. 對於里程碑意義的版本，我發現客戶端加密/解密工作不象現在使用RSA罐子的建議列入。這是我打開的票。 https://github.com/spring-cloud/spring-cloud-config/issues/805#issuecomment-332491536

這些都是我的一些意見，請分享你的想法，如果有任何案例研究/白皮書該地址春雲配置跳馬usecases，安裝和挑戰生產微型服務環境。

謝謝

Answer 1

感謝您接觸到我。一想我會說明的是，在App角色後端採用兩種不同的令牌，確實彈簧雲配置保管庫確實支持此功能，請參閱：http://cloud.spring.io/spring-cloud-vault/single/spring-cloud-vault.html#_approle_authentication。按照文檔，我以與使用配置服務器相同的方式利用保管庫。我沒有加密我的配置中的任何值，我只是不把它們放在那裏。我把祕密值放在拱頂上，讓它爲配置服務。只要鍵不發生衝突，就不必亂用任何東西，否則您可能需要調整優先級，以便Vault獲勝，請再次參閱上面指出的文檔。我不會在spring-cloud-config中親自加密加密/解密。因爲您必須將鑰匙檢入SCM或將其分發給您的團隊進行本地開發，您將失去擁有這些鑰匙IMO的價值。

Answer 2

感謝Spring Cloud Vault確實支持Spring雲配置，但不支持Vault。唯一的方法似乎是將X-Config令牌從微服務傳遞到配置服務器。我們對手動或通過腳本生成令牌的這一部分持懷疑態度。尤其是在集裝箱化和新的MS實例產生時。不確定這種方法，尤其是在生產環境中。