Vault 直接集成或通过微服务

Question

我使用 Hashicorp Vault 在 KV Secrets 引擎中存储多个机密，其中之一是数据库连接字符串 - 用户名、密码、主机 ip 和端口。我有多个微服务，需要使用这个数据库密钥来连接数据库。

请澄清以下哪种集成模式是有效的：

1. 与 Vault 直接集成：每个微服务都将与 Vault 直接连接以获取操作所需的机密。所有微服务都将配置保管库令牌（在 K8s 密钥中）用于访问保管库。
2. 通过另一个微服务检索机密：是否应该有一个抽象层，即用于 Vault 交互的单独微服务，并且所有其他微服务将调用此 Vault 微服务的 API 来获取它们想要的机密。保管库令牌（在 K8s Secrets 中）将仅由一个微服务访问。

Answer 1

另一个微服务是抽象层。这是额外的工作，可能允许您将来更改秘密提供者。

除非您能够证明编写和维护该抽象层的合理性（因为您希望在某些部署中使用 Vault，而在其他部署中使用 AWS Secrets Manager），否则就不要费心了。

另一个问题是，虽然 Vault 的 KV 存储很常见，并且还有其他几种实现，但是如果您想使用 传输、PKI 或 SSH CA？这些服务存在于其他地方（例如在 AWS 中），但它们不具有同等功能。您可能不希望陷入支持抽象层中的这些差异的困境。

一种允许您将实现与代码分离的低成本替代方案是在代码中使用简单的 KVSecrets 类来包装 Vault API 类，即 软件设计模式称为外观。但请记住，除非您使用两项服务测试您的课程，否则您不能保证有一天可以迁移到另一项服务。

因此，考虑到这一切，只需直接调用 API 或使用适合您的编程语言的 Vault 库。