У каждой компании есть свои секреты. Пожалуй, любое приложение и сервис владеет конфиденциальной информацией, такой как имена пользователей и пароли, лицензионные ключи, учетные данные для входа в базы данных и т.д. — которая должна быть скрыта от посторонних лиц.
Одной из самых важных категорий данных, которые хранятся современными приложениями, являются TLS сертификаты, позволяющие осуществлять зашифрованную передачу через HTTPS. Хорошей новостью для пользователей Traefik Enterprise является то, что теперь работать с конфиденциальными данными стало проще, чем когда-либо, благодаря поддержке Vault в Traefik Enterprise 2.3.
Vault — это инструмент с открытым исходным кодом, разработанный и поддерживаемый компанией HashiCorp, предлагающий безопасное и зашифрованное центральное хранилище данных для конфиденциальной информации. Vault в Traefik Enterprise 2.3 может использоваться для управления сертификатами двумя способами. Во-первых, Vault можно использовать в качестве хранилища ключей для сертификатов. Во-вторых, Vault может быть резолвером (resolver) сертификатов, что позволяет ему динамически генерировать сертификаты «на лету». Давайте рассмотрим оба варианта использования.
Использование Vault в качестве хранилища ключей для сертификатов
Traefik уже давно поддерживает работу с такими key-value хранилищами, как Consul, etcd, и ZooKeeper. Vault провайдер для Traefik Enterprise 2.3 и более поздних версий может подключаться к Vault аналогичным образом, используя его в качестве хранилища key-value данных для хранения и извлечения TLS-сертификатов.
Первым шагом является настройка механизма Vault secrets для использования с Traefik Enterprise. На данный момент Traefik Enterprise поддерживает движок KV Secrets Engine — Version 2, который в настоящее время является движком по умолчанию и легко включается из командной строки. Рекомендуется использовать отдельно KV хранилище для TLS сертификатов, и помните, что все сертификаты должны быть закодированы в base64 и храниться в корне KV secrets engine.
Далее, остается только включить Vault Provider в статическую конфигурацию Traefik Enterprise. На это потребуется всего несколько строк кода, и типичный пример (на языке YAML) может выглядеть именно так:
Этот фрагмент указывает на URL сервера Vault и устанавливает token, необходимый для аутентификации с ним. (В настоящее время провайдер Vault поддерживает только аутентификацию через токены.) Он также указывает, как часто провайдер будет извлекать данные из KV-хранилища Vault.
Вот и все! После настройки Traefik Enterprise распознает сертификаты в хранилище для их обработки. И, как обычно для Traefik Enterprise, конфигурация обновляется автоматически всякий раз, когда вы добавляете или удаляете сертификаты из хранилища Vault.
Если вы хотите узнать больше о том, как настроить Vault Provider для Traefik Enterprise, ознакомьтесь с документацией.
Использование Vault в качестве резолвера сертификатов для PKI
Опытные пользователи Traefik знают о поддержке автоматической генерации сертификатов с использованием ACME-протокола и совместимых сервисных провайдеров, таких как Let's Encrypt. В Traefik Enterprise 2.3 добавлены новые, дополнительные средства автоматизации процесса генерации сертификатов в виде поддержки инфраструктуры открытых ключей — Vault Public Key Infrastructure (PKI).
Механизм Vault PKI secrets включает в себя встроенные функции аутентификации и авторизации, которые позволяют генерировать сертификаты «на лету», не погружаясь в традиционный процесс генерации ключей вручную и их передаче в центр сертификации (Certificate Authority).
Такая автоматизация особенно ценна в динамических, основанных на микросервисах средах, где сервисы, как правило, недолговечны, а контейнеры быстро создаются и уничтожаются по запросу.
Настройка Vault в качестве резолвера сертификатов почти так же проста, как и настройка Vault Provider, который обсуждался ранее. После установки Vault с включенным движком PKI Secrets Engine настройка функции требует добавления всего нескольких строк в статическую конфигурацию Traefik Enterprise. Например:
После завершения настроек резолвера сертификатов и назначения его в Routes в Traefik Enterprise, Vault начнет генерацию сертификатов для запросов, которые соответствуют шаблонам. Чтобы узнать больше о том, как это работает, обратитесь к документации.
Существует также удобное руководство пользователя, которое описывает процесс развертывания простого TLS-совместимого сервиса с Vault на Kubernetes.
Обеспечьте безопасность данных с помощью Traefik Enterprise
Traefik Labs рада предложить поддержку Vault в Traefik Enterprise как еще одно доказательство нашего стремления предоставлять лучшие в своем классе функции, которые необходимы организациям, заботящимся о безопасности. Использование Vault для управления конфиденциальной информацией — это шаг вперед в обеспечении безопасности вашей сети; использование Vault с Traefik Enterprise делает этот шаг еще проще. Использование Vault для управления конфиденциальными данными — это шаг вперед в обеспечении безопасности вашей сети; использование Vault с Traefik Enterprise делает этот шаг еще более легким. Начните 30-дневную бесплатную пробную версию и узнайте, как Traefik Enterprise может помочь сделать вашу инфраструктуру более гибкой, надежной и безопасной.
