105. Database backends
Vault 支持多个数据库机密后端,以根据配置的角色动态生成数据库凭据。这意味着需要访问数据库的服务不再需要配置凭据:它们可以从 Vault 请求它们,并使用 Vault 的租赁机制更轻松地滚动密钥。
Spring Cloud Vault 与以下后端集成:
使用数据库 Secret 后端要求在配置和spring-cloud-vault-config-databases
依赖项中启用后端。
自 0.7.1 起,Vault就带有专用的database
Secret 后端,该后端允许通过插件进行数据库集成。您可以通过使用通用数据库后端来使用该特定后端。确保指定适当的后端路径,例如spring.cloud.vault.mysql.role.backend=database
。
实施例 105.1. pom.xml
<dependencies>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-vault-config-databases</artifactId>
<version>1.0.0.BUILD-SNAPSHOT</version>
</dependency>
</dependencies>
Note
启用多个兼容 JDBC 的数据库将生成凭据,并且默认情况下将它们存储在相同的属性密钥中,因此需要分别配置 JDBC 机密的属性名称。
105.1 Database
Spring Cloud Vault 可以获取https://www.vaultproject.io/api/secret/databases/index.html处列出的任何数据库的凭据。可以通过设置spring.cloud.vault.database.enabled=true
(默认为false
)并为角色名称提供spring.cloud.vault.database.role=…
来启用集成。
虽然数据库后端是通用后端,但是spring.cloud.vault.database
专门针对 JDBC 数据库。用户名和密码存储在spring.datasource.username
和spring.datasource.password
中,因此使用 Spring Boot 将为DataSource
获取生成的凭据,而无需进一步配置。您可以通过设置spring.cloud.vault.database.username-property
和spring.cloud.vault.database.password-property
来配置属性名称。
spring.cloud.vault:
database:
enabled: true
role: readonly
backend: database
username-property: spring.datasource.username
password-property: spring.datasource.username
-
enabled
将此值设置为true
启用数据库后端配置使用 -
role
设置数据库角色定义的角色名称 -
backend
设置要使用的数据库安装路径 -
username-property
设置存储数据库用户名的属性名称 -
password-property
设置存储数据库密码的属性名称
另请参阅:Vault文件:数据库机密后端
105.2 Apache Cassandra
Note
Vault 0.7.1 中已弃用cassandra
后端,建议使用database
后端并将其安装为cassandra
。
Spring Cloud Vault 可以获取 Apache Cassandra 的凭据。可以通过设置spring.cloud.vault.cassandra.enabled=true
(默认为false
)并为角色名称提供spring.cloud.vault.cassandra.role=…
来启用集成。
用户名和密码存储在spring.data.cassandra.username
和spring.data.cassandra.password
中,因此使用 Spring Boot 将无需进一步配置即可获取生成的凭据。您可以通过设置spring.cloud.vault.cassandra.username-property
和spring.cloud.vault.cassandra.password-property
来配置属性名称。
spring.cloud.vault:
cassandra:
enabled: true
role: readonly
backend: cassandra
username-property: spring.data.cassandra.username
password-property: spring.data.cassandra.username
-
enabled
将此值设置为true
可启用 Cassandra 后端配置 -
role
设置 Cassandra 角色定义的角色名称 -
backend
设置要使用的 Cassandra 安装架的路径 -
username-property
设置存储 Cassandra 用户名的属性名称 -
password-property
设置存储 Cassandra 密码的属性名称
另请参阅:Vault文件:使用Vault设置 Apache Cassandra
105.3 MongoDB
Note
Vault 0.7.1 中已弃用mongodb
后端,建议使用database
后端并将其安装为mongodb
。
Spring Cloud Vault 可以获取 MongoDB 的凭据。可以通过设置spring.cloud.vault.mongodb.enabled=true
(默认为false
)并为角色名称提供spring.cloud.vault.mongodb.role=…
来启用集成。
用户名和密码存储在spring.data.mongodb.username
和spring.data.mongodb.password
中,因此使用 Spring Boot 将无需进一步配置即可获取生成的凭据。您可以通过设置spring.cloud.vault.mongodb.username-property
和spring.cloud.vault.mongodb.password-property
来配置属性名称。
spring.cloud.vault:
mongodb:
enabled: true
role: readonly
backend: mongodb
username-property: spring.data.mongodb.username
password-property: spring.data.mongodb.password
-
enabled
将此值设置为true
启用 MongodB 后端配置使用 -
role
设置 MongoDB 角色定义的角色名称 -
backend
设置要使用的 MongoDB 安装的路径 -
username-property
设置存储 MongoDB 用户名的属性名称 -
password-property
设置存储 MongoDB 密码的属性名称
另请参阅:Vault文件:使用Vault设置 MongoDB
105.4 MySQL
Note
Vault 0.7.1 中已弃用mysql
后端,建议使用database
后端并将其安装为mysql
。 spring.cloud.vault.mysql
的配置将在以后的版本中删除。
Spring Cloud Vault 可以获取 MySQL 的凭据。可以通过设置spring.cloud.vault.mysql.enabled=true
(默认为false
)并为角色名称提供spring.cloud.vault.mysql.role=…
来启用集成。
用户名和密码存储在spring.datasource.username
和spring.datasource.password
中,因此使用 Spring Boot 将无需进一步配置即可获取生成的凭据。您可以通过设置spring.cloud.vault.mysql.username-property
和spring.cloud.vault.mysql.password-property
来配置属性名称。
spring.cloud.vault:
mysql:
enabled: true
role: readonly
backend: mysql
username-property: spring.datasource.username
password-property: spring.datasource.username
-
enabled
将此值设置为true
可以启用 MySQL 后端配置 -
role
设置 MySQL 角色定义的角色名称 -
backend
设置要使用的 MySQL 安装路径 -
username-property
设置存储 MySQL 用户名的属性名称 -
password-property
设置存储 MySQL 密码的属性名称
105.5 PostgreSQL
Note
Vault 0.7.1 中已弃用postgresql
后端,建议使用database
后端并将其安装为postgresql
。 spring.cloud.vault.postgresql
的配置将在以后的版本中删除。
Spring Cloud Vault 可以获取 PostgreSQL 的凭据。可以通过设置spring.cloud.vault.postgresql.enabled=true
(默认为false
)并为角色名称提供spring.cloud.vault.postgresql.role=…
来启用集成。
用户名和密码存储在spring.datasource.username
和spring.datasource.password
中,因此使用 Spring Boot 将无需进一步配置即可获取生成的凭据。您可以通过设置spring.cloud.vault.postgresql.username-property
和spring.cloud.vault.postgresql.password-property
来配置属性名称。
spring.cloud.vault:
postgresql:
enabled: true
role: readonly
backend: postgresql
username-property: spring.datasource.username
password-property: spring.datasource.username
-
enabled
将此值设置为true
启用 PostgreSQL 后端配置用法 -
role
设置 PostgreSQL 角色定义的角色名称 -
backend
设置要使用的 PostgreSQL 安装路径 -
username-property
设置存储 PostgreSQL 用户名的属性名称 -
password-property
设置存储 PostgreSQL 密码的属性名称