Vault

---

请注意：我们非常重视Vault的安全性和用户的信任。如果您认为在Vault中发现了安全问题，请通过联系我们的邮箱security@hashicorp.com来负责任地披露。

---

• 网站：https://www.vaultproject.io
• 公告列表：Google Groups
• 讨论论坛：Discuss
• 文档：https://developer.hashicorp.com/vault/docs
• 教程：https://developer.hashicorp.com/vault/tutorials
• 认证考试：https://developer.hashicorp.com/certifications/security-automation

<img width="300" alt="Vault Logo" src="https://yellow-cdn.veclightyear.com/835a84d5/87d3e565-5955-4e06-80f2-88ca9ec12869.png">

Vault是一个用于安全访问机密的工具。机密可以是任何你想严格控制访问的内容，如API密钥、密码、证书等。Vault为任何机密提供统一的接口，同时提供严格的访问控制并记录详细的审计日志。

现代系统需要访问多种机密：数据库凭证、外部服务的API密钥、面向服务架构通信的凭证等。了解谁在访问哪些机密已经非常困难且依赖于特定平台。再加上密钥轮换、安全存储和详细的审计日志，如果没有定制解决方案，几乎是不可能的。这就是Vault发挥作用的地方。

Vault的主要特性包括：

• 安全机密存储：Vault可以存储任意的键值对。Vault在将数据写入持久存储之前对其进行加密，因此获取原始存储的访问权限并不足以访问你的机密。Vault可以写入磁盘、Consul等。

• 动态机密：Vault可以为某些系统（如AWS或SQL数据库）按需生成机密。例如，当应用程序需要访问S3存储桶时，它向Vault请求凭证，Vault将按需生成具有有效权限的AWS密钥对。在创建这些动态机密后，Vault还会在租约到期后自动撤销它们。

• 数据加密：Vault可以加密和解密数据而无需存储它。这允许安全团队定义加密参数，开发人员可以将加密数据存储在SQL数据库等位置，而无需设计自己的加密方法。

• 租约和续期：Vault将租约与每个机密相关联。在租约结束时，Vault自动撤销机密。客户端可以通过内置的续期API续订租约。

• 撤销：Vault内置支持机密撤销。Vault不仅可以撤销单个机密，还可以撤销机密树，例如，特定用户读取的所有机密，或特定类型的所有机密。撤销有助于密钥轮换以及在入侵情况下锁定系统。

文档、入门指南和认证考试

文档可在Vault网站上获取。

如果你是Vault新手，想要开始进行安全自动化，请查看HashiCorp学习平台上的入门指南。还有其他指南可以继续你的学习。

对于如何在不同编程语言的应用程序中与Vault交互的示例，请参见vault-examples仓库。还提供了一个开箱即用的示例应用。

通过认证考试展示你的Vault知识。访问认证页面了解考试信息，并在HashiCorp的学习平台上查找学习资料。

开发Vault

如果你希望在Vault本身或其任何内置系统上工作，首先需要在你的机器上安装Go。

对于本地开发，首先确保正确安装了Go，包括设置GOPATH，然后将GOBIN变量设置为$GOPATH/bin。确保$GOPATH/bin在你的路径中，因为某些发行版捆绑了旧版本的构建工具。

接下来，克隆此仓库。Vault使用Go Modules，因此建议你将仓库克隆到GOPATH之外。然后，你可以通过引导环境来下载所需的任何构建工具：

$ make bootstrap
...

要编译Vault的开发版本，运行make或make dev。这将把Vault二进制文件放在bin和$GOPATH/bin文件夹中：

$ make dev
...
$ bin/vault
...

要编译带UI的Vault开发版本，运行make static-dist dev-ui。这将把Vault二进制文件放在bin和$GOPATH/bin文件夹中：

$ make static-dist dev-ui
...
$ bin/vault
...

要运行测试，输入make test。注意：这需要安装Docker。如果退出状态为0，则一切正常！

$ make test
...

如果你正在开发特定的包，可以通过指定TEST变量来仅运行该包的测试。例如，下面只会运行vault包的测试。

$ make test TEST=./vault
...

故障排除

如果你遇到类似could not read Username for 'https://github.com'的错误，可能需要调整git配置，如下所示：

$ git config --global --add url."git@github.com:".insteadOf "https://github.com/"

导入Vault

此仓库发布了两个可能被其他项目导入的库：github.com/hashicorp/vault/api和github.com/hashicorp/vault/sdk。

请注意，此仓库还包含Vault（产品），与大多数Go项目一样，Vault使用Go模块来管理其依赖项。实现这一点的机制是go.mod文件。实际上，该文件的存在也使得理论上可以将Vault作为依赖项导入到其他项目中。一些其他项目已经这样做，以利用为测试Vault本身而开发的测试工具。这不是，也从未是使用Vault项目的受支持方式。我们不太可能修复与将github.com/hashicorp/vault导入到你的项目中相关的错误。

另请参见下面的"基于Docker的测试"部分。

验收测试

Vault有全面的验收测试，涵盖了大部分秘密和认证方法的功能。

如果你正在开发秘密或认证方法的功能，并想验证它是否正常运行（并且没有破坏其他任何东西），我们建议运行验收测试。 警告： 验收测试会创建/销毁/修改真实资源，在某些情况下可能会产生实际成本。如果存在错误，理论上有可能会留下悬空数据。因此，请自行承担风险运行验收测试。我们至少建议在您正在测试的后端的专用账户中运行这些测试。

要运行验收测试，请执行 make testacc：

$ make testacc TEST=./builtin/logical/consul
...

TEST 变量是必需的，您应该指定后端所在的文件夹。建议使用 TESTARGS 变量来过滤并测试特定资源，因为一次性测试所有资源有时可能需要很长时间。

验收测试通常需要设置其他环境变量，如访问密钥等。测试本身应该在早期报错并告诉您需要设置什么，所以此处不再赘述。

有关 Vault Enterprise 功能的更多信息，请访问 Vault Enterprise 网站。

基于 Docker 的测试

我们创建了一个受 NewTestCluster 启发的实验性新测试机制。以下是使用示例：

import (
  "testing"
  "github.com/hashicorp/vault/sdk/helper/testcluster/docker"
)

func Test_Something_With_Docker(t *testing.T) {
  opts := &docker.DockerClusterOptions{
    ImageRepo: "hashicorp/vault", // 或 "hashicorp/vault-enterprise"
    ImageTag:    "latest",
  }
  cluster := docker.NewTestDockerCluster(t, opts)
  defer cluster.Cleanup()
  
  client := cluster.Nodes()[0].APIClient()
  _, err := client.Logical().Read("sys/storage/raft/configuration")
  if err != nil {
    t.Fatal(err)
  }
}

Enterprise 版本：

import (
  "testing"
  "github.com/hashicorp/vault/sdk/helper/testcluster/docker"
)

func Test_Something_With_Docker(t *testing.T) {
  opts := &docker.DockerClusterOptions{
    ImageRepo: "hashicorp/vault-enterprise",
    ImageTag:  "latest",
    VaultLicense: licenseString, // 不是路径，而是实际的许可证字节
  }
  cluster := docker.NewTestDockerCluster(t, opts)
  defer cluster.Cleanup()
}

以下是我们在实践中如何使用它的更现实示例。DefaultOptions 使用 hashicorp/vault:latest 作为仓库和标签，但它也会查看环境变量 VAULT_BINARY。如果设置了该变量，它会将 VAULT_BINARY 引用的本地文件复制到容器中。这在测试本地更改时很有用。

您可以设置 VAULT_LICENSE_CI 环境变量，而不是设置 VaultLicense 选项，这比将许可证提交到版本控制更好。

您还可以选择设置 COMMIT_SHA，它将作为调试便利被附加到我们构建的镜像名称中。

func Test_Custom_Build_With_Docker(t *testing.T) {
  opts := docker.DefaultOptions(t)
  cluster := docker.NewTestDockerCluster(t, opts)
  defer cluster.Cleanup()
}

github.com/hashicorp/vault/sdk/helper/testcluster 包中有各种辅助函数，例如，以下测试将创建两个 3 节点集群，分别使用性能复制或灾难恢复复制链接它们，如果复制状态在传递的上下文过期之前没有变为健康状态，则测试将失败。

同样，按照所写的内容，这些测试依赖于本地有 Vault Enterprise 二进制文件，环境变量 VAULT_BINARY 设置为指向它，以及设置 VAULT_LICENSE_CI。

func TestStandardPerfReplication_Docker(t *testing.T) {
  opts := docker.DefaultOptions(t)
  r, err := docker.NewReplicationSetDocker(t, opts)
  if err != nil {
      t.Fatal(err)
  }
  defer r.Cleanup()

  ctx, cancel := context.WithTimeout(context.Background(), time.Minute)
  defer cancel()
  err = r.StandardPerfReplication(ctx)
  if err != nil {
    t.Fatal(err)
  }
}

func TestStandardDRReplication_Docker(t *testing.T) {
  opts := docker.DefaultOptions(t)
  r, err := docker.NewReplicationSetDocker(t, opts)
  if err != nil {
    t.Fatal(err)
  }
  defer r.Cleanup()

  ctx, cancel := context.WithTimeout(context.Background(), time.Minute)
  defer cancel()
  err = r.StandardDRReplication(ctx)
  if err != nil {
    t.Fatal(err)
  }
}

最后，这是使用自定义二进制文件运行现有 OSS Docker 测试的示例：

$ GOOS=linux make dev
$ VAULT_BINARY=$(pwd)/bin/vault go test -run 'TestRaft_Configuration_Docker' ./vault/external_tests/raft/raft_binary
ok      github.com/hashicorp/vault/vault/external_tests/raft/raft_binary        20.960s