配置Spring Cloud Config Server和Spring Cloud Vault进行生产

时间:2017-02-06 21:29:34

标签: java spring spring-cloud spring-cloud-config

我正在尝试设置由Spring Cloud Vault秘密管理支持的Spring Cloud Config Server。我对Spring来说比较新,但我在这里尝试了以下说明和示例: -

http://cloud.spring.io/spring-cloud-vault-config/

如果您按照默认设置(如http,localhost和8200用于保险库端点)和tls_disable = 1来关闭SSL,则一切正常。然而,对于任何真实环境而言,这些都不是实用设置,并且几乎没有任何示例可以帮助解决这任何人都可以帮助一个有效的例子吗?

我已成功设置了启用TLS的保险库。我已成功设置一个使用自签名证书连接的配置服务器。我甚至可以将一个秘密值注入配置服务器并通过@Value@PostConstruct公开。

所有这些都有效。但是,当我尝试利用Spring Conig端点访问Vault时,我得到以下结果: -

{
  "timestamp": 1486413850574,
  "status": 500,
  "error": "Internal Server Error",
  "exception": "org.springframework.web.client.ResourceAccessException",
  "message": "I/O error on GET request for \"http://127.0.0.1:8200/v1/secret/myapp\": Connection refused: connect; nested exception is java.net.ConnectException: Connection refused: connect",
  "path": "/myapp/default"
}

配置服务器正在使用默认值,即使我在bootstrap.yml中设置了覆盖。: -

server:
    port: 8888

spring:
    profiles:
        active: vault

spring.cloud.vault:
    host: myhost.mydomain.com
    port: 8200
    scheme: https
    authentication: TOKEN
    token: 0f1887c3-d8a8-befd-a5a2-01e4e066c50
    ssl:
        trust-store: configTrustStore.jks
        trust-store-password: changeit

正如您所看到的,它应该指向myhost.mydomain.com而不是 127.0.0.1,它应该使用https,而不是http作为协议方案。

我不确定为什么它会在配置服务器端点上使用这些默认设置,但在Spring Cloud Vault启动期间使用正确的设置。我使用了Spring Dalsten.M1和Spring Cloud Vault 1.0.0.M1的所有最新稳定版本。我意识到这些是里程碑版本。我也尝试过Camden和Brixton组合,没有运气。如果需要,我可以提供代码。

非常感谢任何帮助。

3 个答案:

答案 0 :(得分:1)

正如我在回答spensergibb时提到的那样,我自己解决了这个问题。根据他的评论,我将澄清我的意图,因为这将有助于对该问题的共同理解。我试图做两件事: -

  1. 站起来使用Vault作为后端的配置服务器(与默认的GIT后端相对),并将Vault API暴露给客户端应用程序(通过TLS),以便他们可以检索自己的机密。我不希望我的所有客户端应用程序直接连接到Vault。我希望他们通过让配置服务器连接到Vault来从配置服务器获取配置。直到昨晚我都无法实现这一目标,除非我将所有内容设置为默认情况下禁用TLS并使用环回地址,端口8200用于Vault软件等。显然默认设置对于我们任何部署的环境都不实用。我会提到spencergibb发布的链接确实帮助我理解为什么这不起作用,但原因的微妙之处在于我之前错过了它。请继续阅读我的解释。

  2. 我希望配置服务器直接从Vault配置自己。也就是说,通过Spring Cloud Vault Config连接到Vault。如文档中所述,这对我来说很有用。然而,这个目标有点微不足道,因为我目前没有真正的用例。但是我想知道是否可以这样做,因为我没有找到真正的原因,这似乎是整合Vault的第一步。

  3. 这两种功能之间的区别帮助我理解问题源于Spring Cloud Config Server和Spring Cloud Vault似乎使用两个不同的bean来注入Vault配置属性。 Spring Cloud Config Server使用带有@ConfigurationProperties(“spring.cloud.config.server.vault”)注释的VaultEnvironmentRepository,Spring Cloud Vault使用带有@ConfigurationProperties(“spring.cloud.vault”)注释的VaultProperties。

    这导致我为我的bootstrap yml添加了两个不同的配置。

    server:
        port: 8888
    
    spring:
        profiles:
            active: local, vault
    
        application:
            name: quoting-domain-configuration-server
    
        cloud:
            vault:
                host: VDDP03P-49A26EF.lm.lmig.com
                port: 8200
                scheme: https
                authentication: TOKEN
                token: 0f1997c3-d8a8-befd-a5a2-01e4e066c50a
                ssl:
                    trust-store: configTrustStore.jks
                    trust-store-password: changeit
    
            config:
                server:
                    vault:
                        host: VDDP03P-49A26EF.lm.lmig.com
                        port: 8200
                        scheme: https
                        authentication: TOKEN
                        token: 0f1997c3-d8a8-befd-a5a2-01e4e066c50a
    

    请注意相同的配置详细信息。只是不同的yml路径。这是我错过的一个微妙点,因为我首先让目标1号首先工作,并假设相同的配置对两个目标都有效。 (注意:令牌和密码是人为的。)

    除SSL握手错误外,这几乎无效。如您所见,spring.cloud.config.server.vault路径上没有设置SSL属性。 VaultProperties bean不支持它们。我不知道如何处理这个问题(也许是另一个我找不到的非特定于库的特定bean)。我的解决方案是简单地自己强制执行证书配置: -

    @SpringBootApplication
    @EnableConfigServer
    public class Application
    {
        public static void main(String[] args)
        {
            System.setProperty("javax.net.ssl.trustStore",
                Application.class.getResource("/configTrustStore.jks").getFile());
            System.setProperty("javax.net.ssl.trustStorePassword", "changeit");
            SpringApplication.run(Application.class, args);
        }
    }
    

    此SSL解决方案非常难看。我确信必须有更好的方法来完成这一部分。所以我愿意接受其他建议。但是,一旦我完成了上述所有步骤,现在一切正常。

答案 1 :(得分:0)

代替

@SpringBootApplication
@EnableConfigServer
public class Application
{
    public static void main(String[] args)
    {
        System.setProperty("javax.net.ssl.trustStore",
            Application.class.getResource("/configTrustStore.jks").getFile());
        System.setProperty("javax.net.ssl.trustStorePassword", "changeit");
        SpringApplication.run(Application.class, args);
    }
}

bootstrap yml ->
javax.net.ssl.trustStore: /configTrustStore.jks
javax.net.ssl.trustStorePassword: changeit

答案 2 :(得分:0)

尽管我迟到了。但是我能够将Spring Cloud Config Server配置为使用Vault作为通过证书进行CERT身份验证的后端。而且,您不需要在GET请求中发送X-Config-Token。因此,您的配置服务器GET请求将以与GITHUB作为后端相同的方式工作。由于我的实现将动态获取令牌并通过附加标头更改传入的请求。我建议检查一下我的教程和github存储库中的所有步骤。

这是我的教程:https://medium.com/@java.developer.raman/enable-spring-config-server-to-use-cert-authentication-with-vault-as-back-end-ff84e1ef2de7?sk=45a26d7f1277437d91a5cff3d5997287

和GitHub存储库:https://github.com/java-developer-raman/config-server-vault-backend