此版本仍在开发中，尚未被视为稳定版本。对于最新的稳定版本，请使用 Spring Cloud Config 4.1.4！spring-doc.cn

Vault 后端

Spring Cloud Config Server 还支持将 Vault 作为后端。spring-doc.cn

Vault 是一种用于安全访问 secret 的工具。密钥是您想要严格控制访问的任何内容，例如 API 密钥、密码、证书和其他敏感信息。Vault 为任何密钥提供统一的接口，同时提供严格的访问控制并记录详细的审计日志。spring-doc.cn

有关 Vault 的更多信息，请参阅 Vault 快速入门指南。spring-doc.cn

要使配置服务器能够使用 Vault 后端，您可以使用配置文件运行配置服务器。例如，在 config server 的中，您可以添加 .vaultapplication.propertiesspring.profiles.active=vaultspring-doc.cn

默认情况下，Spring Cloud Config Server 使用基于令牌的身份验证从 Vault 中获取配置。 Vault 还支持其他身份验证方法，如 AppRole、LDAP、JWT、CloudFoundry、Kubernetes Auth。为了使用除TOKEN或X-Config-Token头之外的任何身份验证方法，我们需要在 Classpath 上具有 Spring Vault Core，以便 Config Server 可以将身份验证委托给该库。请将以下依赖项添加到您的 Config Server 应用程序。spring-doc.cn

Maven (pom.xml)spring-doc.cn

<dependencies>
	<dependency>
		<groupId>org.springframework.vault</groupId>
		<artifactId>spring-vault-core</artifactId>
	</dependency>
</dependencies>

Gradle (build.gradle)spring-doc.cn

dependencies {
    implementation "org.springframework.vault:spring-vault-core"
}

默认情况下，配置服务器假定您的 Vault 服务器在上运行。它还假定后端的名称为，键为。所有这些默认值都可以在 config server 的 . 下表描述了可配置的 Vault 属性：127.0.0.1:8200secretapplicationapplication.propertiesspring-doc.cn

名字默认值

名字	默认值
主机spring-doc.cn	127.0.0.1spring-doc.cn
港口spring-doc.cn	8200spring-doc.cn
方案spring-doc.cn	httpspring-doc.cn
后端spring-doc.cn	秘密spring-doc.cn
defaultKeyspring-doc.cn	应用spring-doc.cn
defaultLabelspring-doc.cn	main （仅在设置为`enableLabeltrue`)spring-doc.cn
启用标签spring-doc.cn	假spring-doc.cn
profileSeparator 的spring-doc.cn	,spring-doc.cn
kvVersionspring-doc.cn	1spring-doc.cn
skipSslValidationspring-doc.cn	假spring-doc.cn
超时spring-doc.cn	5spring-doc.cn
Namespacespring-doc.cn	零spring-doc.cn

主机spring-doc.cn

127.0.0.1spring-doc.cn

港口spring-doc.cn

8200spring-doc.cn

方案spring-doc.cn

httpspring-doc.cn

后端spring-doc.cn

秘密spring-doc.cn

defaultKeyspring-doc.cn

应用spring-doc.cn

defaultLabelspring-doc.cn

main （仅在设置为enableLabeltrue)spring-doc.cn

启用标签spring-doc.cn

假spring-doc.cn

profileSeparator 的spring-doc.cn

,spring-doc.cn

kvVersionspring-doc.cn

1spring-doc.cn

skipSslValidationspring-doc.cn

假spring-doc.cn

超时spring-doc.cn

5spring-doc.cn

Namespacespring-doc.cn

零spring-doc.cn

上表中的所有属性都必须以复合配置的正确 Vault 部分为前缀或放置在正确的 Vault 部分中。spring.cloud.config.server.vault

所有可配置属性都可以在中找到。org.springframework.cloud.config.server.environment.VaultEnvironmentPropertiesspring-doc.cn

Vault 0.10.0 引入了一个版本化的键值后端（k/v 后端版本 2），它公开了与早期版本不同的 API，它现在需要在挂载路径和实际上下文路径之间有一个，并将密钥包装在一个对象中。设置将考虑这一点。data/dataspring.cloud.config.server.vault.kv-version=2

（可选）支持 Vault Enterprise 标头。要将其发送到 Vault，请设置该特性。X-Vault-Namespacenamespacespring-doc.cn

在您的配置服务器运行的情况下，您可以向服务器发出 HTTP 请求以检索值。为此，您需要 Vault 服务器的令牌。spring-doc.cn

首先，将一些数据放入 Vault 中，如以下示例所示：spring-doc.cn

$ vault kv put secret/application foo=bar baz=bam
$ vault kv put secret/myapp foo=myappsbar

其次，向配置服务器发出 HTTP 请求以检索值，如以下示例所示：spring-doc.cn

$ curl -X "GET" "http://localhost:8888/myapp/default" -H "X-Config-Token: yourtoken"spring-doc.cn

您应该会看到类似于以下内容的响应：spring-doc.cn

{
   "name":"myapp",
   "profiles":[
      "default"
   ],
   "label":null,
   "version":null,
   "state":null,
   "propertySources":[
      {
         "name":"vault:myapp",
         "source":{
            "foo":"myappsbar"
         }
      },
      {
         "name":"vault:application",
         "source":{
            "baz":"bam",
            "foo":"bar"
         }
      }
   ]
}

Client 端提供必要的身份验证以让 Config Server 与 Vault 通信的默认方法是设置 X-Config-Token 标头。但是，您可以通过设置与 Spring Cloud Vault 相同的配置属性来省略 Headers 并在服务器中配置身份验证。要设置的属性为。它应设置为受支持的身份验证方法之一。您可能还需要设置特定于您使用的身份验证方法的其他属性，方法是使用与记录的相同的属性名称，但使用前缀。有关更多详细信息，请参阅 Spring Cloud Vault 参考指南。spring.cloud.config.server.vault.authenticationspring.cloud.vaultspring.cloud.config.server.vaultspring-doc.cn

如果省略X-Config-Token标头并使用服务器属性来设置身份验证，则 Config Server 应用程序需要对 Spring Vault 的额外依赖才能启用其他身份验证选项。有关如何添加该依赖项，请参见 Spring Vault 参考指南。

多个属性源

使用 Vault 时，您可以为应用程序提供多个属性源。例如，假设您已将数据写入 Vault 中的以下路径：spring-doc.cn

secret/myApp,dev
secret/myApp
secret/application,dev
secret/application

写入的属性可用于使用 Config Server 的所有应用程序。名称为的应用程序将具有写入和可用的任何属性。启用配置文件后，写入上述所有路径的属性将可供其使用，列表中第一个路径中的属性优先于其他路径。secret/applicationmyAppsecret/myAppsecret/applicationmyAppdevspring-doc.cn

启用按标签搜索

默认情况下，Vault 后端在搜索 secret 时不使用标签。您可以通过以下方式更改此设置将 Feature 标志设置为，并可选择将 . 如果未提供时，将使用。enableLabeltruedefaultLabeldefaultLabelmainspring-doc.cn

当 feature flag 打开时，Vault 中的 secret 的路径中应始终包含所有三个段（应用程序名称、配置文件和标签）。因此，上一节中启用了功能标志的示例将如下所示：enableLabelspring-doc.cn

secret/myApp,dev,myLabel
secret/myApp,default,myLabel       # default profile
secret/application,dev,myLabel     # default application name
secret/application,default,myLabel # default application name and default profile.

解密 Property Sources 中的 Vault Secret

Spring Cloud Config Server 支持使用特殊的 placeholder prefix 从 Vault 解密属性。此功能允许在运行时直接从 Vault 动态解析敏感的配置属性。{vault}spring-doc.cn

配置步骤

与 Vault 集成的所有配置设置都应放在或中。以下是激活 Vault 配置文件、连接到 Vault 服务器以及使用前缀设置属性格式所需的特定配置。application.ymlapplication.properties{vault}spring-doc.cn

启用 Vault 配置文件

为您的 Spring Cloud Config Server 激活 Vault 配置文件：spring-doc.cn

spring:
  profiles:
    active: vault

Vault 配置

使用必要的身份验证详细信息设置与 Vault 服务器的连接：spring-doc.cn

spring:
  cloud:
    config:
      server:
        vault:
          host: vault.example.com
          port: 8200
          scheme: https
          backend: secret
          defaultKey: application
          kvVersion: 2
          authentication: TOKEN
          token: ${VAULT_TOKEN}
          skipSslValidation: true

这些设置指定 Vault 服务器地址、身份验证方法和访问 Vault 所需的令牌。spring-doc.cn

属性格式

使用前缀定义属性，以指定用于检索密钥的 Vault 路径和密钥：{vault}spring-doc.cn

some:
  sensitive:
    value: '{vault}:path/to/secret#key'

此格式直接映射到 Vault 中存储密钥的位置（）和要检索的特定密钥（）。path/to/secretkeyspring-doc.cn

错误处理

如果 Config Server 在解密过程中遇到任何问题，例如路径不正确、访问问题或缺少密钥，则受影响的属性将带有前缀，其值将设置为。此方法类似于处理前缀为的属性，但它是专门为与 Vault 集成而定制的，在解密失败时提供明确的反馈。invalid.<n/a>{cipher}spring-doc.cn