110. 租赁生命周期管理(续订和撤销)
对于每个 secret,Vault 都会创建一个租约:包含 time 持续时间,可更新性等信息的元数据。
Vault 承诺数据在给定的持续时间内有效,或 Time To Live(TTL)。租约到期后,Vault 可以撤销数据,secret 的 consumer 不再能确定它是否有效。
Spring Cloud Vault 维护一个超出创建登录令牌和秘密的租约生命周期。也就是说,登记令牌和与租约相关的秘密计划在租约到期之前续约,直到终端到期。 Application shutdown 撤销获取的登录令牌和可续订租约。
Secret 服务和数据库后端(例如 MongoDB 或 MySQL)通常会生成可更新的租约,因此在 application shutdown 时将禁用生成的凭据。
静态令牌不会续订或撤销。
默认情况下启用租赁续订和撤销,可以通过将spring.cloud.vault.config.lifecycle.enabled设置为false来禁用。建议不要这样做,因为租约可能会过期,Spring Cloud Vault 无法再使用生成的凭据访问 Vault 或服务,并且在 application shutdown 之后,有效凭据仍然是 active。
spring.cloud.vault:
config.lifecycle.enabled: true
