Vault HA 模式 (OSS) 与 Vault Enterprise
Vault HA mode(OSS) vs Vault Enterprise
Hashcorp Vault Enterprise 提供三个主要功能,性能副本、灾难恢复和命名空间。好吧,我的用例不需要进行灾难恢复和性能副本,我可以使用 consul 后端和 运行 许多活动集群设置 Vault OSS,这将等同于性能副本,我的理解是否正确,是否可行不使用许可证并且仍然具有相同的 Vault Enterprise
Hashicorp 在 Vault Enterprise 中包含更多内容:
- 命名空间
- 灾难恢复复制
- 高级遥测
- 性能复制
- 复制过滤器
- 性能备用节点
- HSMAuto-Unseal
- Seal Wrap FIPS-140-2 支持
- 对照组
- 熵增
- 哨兵政策即代码
- 租赁计数配额
- 集成存储快照
- 转换引擎
- KMIP 和云密钥管理引擎
...但是所有这些功能都分为多个等级,因此您不会以一个价格获得所有这些功能,这些东西通常是协商 based on your client count。但是,我不会将命名空间和复制集群称为企业的“主要”功能,您公司的用例将决定您的需求。
性能复制集群之所以重要是因为写入分歧。本质上,如果您 运行 两个独立的集群离开同一个存储,两个集群将拥有领导节点,这两个节点都将尝试写入存储,这可能会导致数据丢失。 (在一个集群中,任何节点都可以响应读请求,但是如果一个non-leader节点收到一个写请求,它会被转发到leader节点去管理和执行,响应被转发回non-leader 节点。这是可以接受的,因为写入操作的频率远低于读取操作。)因此,为了防止数据丢失,但仍然有能力在不同区域建立多个数据中心,这些数据中心都可以访问相同的信息,Hashicorp Performance Replication 通过企业提供。
Performance Secondary 集群维护自己的租约,这大大减轻了写入流量,并且读取操作始终能够由 non-primary 个节点处理,所以这并不是什么新鲜事。但是,仍然有一些写操作需要由主集群上的领导节点管理。 Performance Secondary 和 Performance Replication 功能旨在了解要转发哪些请求以及将哪些请求保留在本地。还有 filters 的概念,它允许 Vault 管理员定义规则,将 GDPR 数据保存在他们的欧洲数据中心,将美国政府数据保存在他们的美国数据中心,并防止这些数据存储在不应该存储的地方,同时仍然提供来自任何地方的大部分数据。
那么,这可以在 Vault OSS 中复制吗?并不真地。您可能会通过人为的网络欺骗 Vault,使其认为其某些 HA 节点位于不同的数据中心,可能会使用一些 VPN 隧道来连接集群网络。我当然不能推荐这个;除了我从未测试过之外,我还担心网络延迟会干扰应用程序功能和存储访问,租约管理无法扩展,Hashicorp 建议集群最多有五个节点,写入节点会大规模超载,而这只是我的头脑。这是个坏主意,而且肯定与 Enterprise 提供的“不一样”。
TL;DR: 你不能这样做,解决方法会有很大的问题,而且肯定不会与性能复制辅助集群相同。
Hashcorp Vault Enterprise 提供三个主要功能,性能副本、灾难恢复和命名空间。好吧,我的用例不需要进行灾难恢复和性能副本,我可以使用 consul 后端和 运行 许多活动集群设置 Vault OSS,这将等同于性能副本,我的理解是否正确,是否可行不使用许可证并且仍然具有相同的 Vault Enterprise
Hashicorp 在 Vault Enterprise 中包含更多内容:
- 命名空间
- 灾难恢复复制
- 高级遥测
- 性能复制
- 复制过滤器
- 性能备用节点
- HSMAuto-Unseal
- Seal Wrap FIPS-140-2 支持
- 对照组
- 熵增
- 哨兵政策即代码
- 租赁计数配额
- 集成存储快照
- 转换引擎
- KMIP 和云密钥管理引擎
...但是所有这些功能都分为多个等级,因此您不会以一个价格获得所有这些功能,这些东西通常是协商 based on your client count。但是,我不会将命名空间和复制集群称为企业的“主要”功能,您公司的用例将决定您的需求。
性能复制集群之所以重要是因为写入分歧。本质上,如果您 运行 两个独立的集群离开同一个存储,两个集群将拥有领导节点,这两个节点都将尝试写入存储,这可能会导致数据丢失。 (在一个集群中,任何节点都可以响应读请求,但是如果一个non-leader节点收到一个写请求,它会被转发到leader节点去管理和执行,响应被转发回non-leader 节点。这是可以接受的,因为写入操作的频率远低于读取操作。)因此,为了防止数据丢失,但仍然有能力在不同区域建立多个数据中心,这些数据中心都可以访问相同的信息,Hashicorp Performance Replication 通过企业提供。
Performance Secondary 集群维护自己的租约,这大大减轻了写入流量,并且读取操作始终能够由 non-primary 个节点处理,所以这并不是什么新鲜事。但是,仍然有一些写操作需要由主集群上的领导节点管理。 Performance Secondary 和 Performance Replication 功能旨在了解要转发哪些请求以及将哪些请求保留在本地。还有 filters 的概念,它允许 Vault 管理员定义规则,将 GDPR 数据保存在他们的欧洲数据中心,将美国政府数据保存在他们的美国数据中心,并防止这些数据存储在不应该存储的地方,同时仍然提供来自任何地方的大部分数据。
那么,这可以在 Vault OSS 中复制吗?并不真地。您可能会通过人为的网络欺骗 Vault,使其认为其某些 HA 节点位于不同的数据中心,可能会使用一些 VPN 隧道来连接集群网络。我当然不能推荐这个;除了我从未测试过之外,我还担心网络延迟会干扰应用程序功能和存储访问,租约管理无法扩展,Hashicorp 建议集群最多有五个节点,写入节点会大规模超载,而这只是我的头脑。这是个坏主意,而且肯定与 Enterprise 提供的“不一样”。
TL;DR: 你不能这样做,解决方法会有很大的问题,而且肯定不会与性能复制辅助集群相同。