AWS 中不同 AZ 中的多个 Hashicorp Vault 服务器
Multiple Hashicorp Vault servers in different AZs in AWS
我的 AWS VPC 中有 3 个可用区,我想 运行 Vault 连接到 S3。我想要 运行 3 个 Vault 服务器(每个区域一个)所有这些服务器都同步到同一个 S3 存储桶。 Vault 的这种 HA 方案是否可行?
我了解到 Vault 不支持使用 S3 作为后端的 HA,可能需要使用 Consul(运行默认有 3 个服务器)。对此有点困惑。我想要的只是 运行 多个 Vault 服务器所有 storing/reading 来自同一个 S3 存储桶的秘密。
感谢您的意见。
阿卜杜勒
Vault 中有几个存储后端,只有其中一些支持 HA,比如 Consul。但是,如果后端不支持 HA,并不意味着它根本不能使用。
因此,如果您需要 运行 多个 Vault istance,每个都独立于其他 Vault,您应该能够使用 S3 作为存储后端。但是如果你需要 HA,你需要使用 Consul,或者任何其他支持 HA 的后端。
希望对您有所帮助
请注意,您可以使用 DynamoDB 来使用 Amazon 托管服务并获得 HA 支持:
High Availability – the DynamoDB storage backend supports high availability. Because DynamoDB uses the time on the Vault node to implement the session lifetimes on its locks, significant clock skew across Vault nodes could cause contention issues on the lock.
https://www.vaultproject.io/docs/configuration/storage/dynamodb.html
我的 AWS VPC 中有 3 个可用区,我想 运行 Vault 连接到 S3。我想要 运行 3 个 Vault 服务器(每个区域一个)所有这些服务器都同步到同一个 S3 存储桶。 Vault 的这种 HA 方案是否可行?
我了解到 Vault 不支持使用 S3 作为后端的 HA,可能需要使用 Consul(运行默认有 3 个服务器)。对此有点困惑。我想要的只是 运行 多个 Vault 服务器所有 storing/reading 来自同一个 S3 存储桶的秘密。
感谢您的意见。
阿卜杜勒
Vault 中有几个存储后端,只有其中一些支持 HA,比如 Consul。但是,如果后端不支持 HA,并不意味着它根本不能使用。
因此,如果您需要 运行 多个 Vault istance,每个都独立于其他 Vault,您应该能够使用 S3 作为存储后端。但是如果你需要 HA,你需要使用 Consul,或者任何其他支持 HA 的后端。
希望对您有所帮助
请注意,您可以使用 DynamoDB 来使用 Amazon 托管服务并获得 HA 支持:
High Availability – the DynamoDB storage backend supports high availability. Because DynamoDB uses the time on the Vault node to implement the session lifetimes on its locks, significant clock skew across Vault nodes could cause contention issues on the lock.
https://www.vaultproject.io/docs/configuration/storage/dynamodb.html