作为与开源社区更深入结合工作的一部分,Google 宣布增进与 HashiCorp 的合作,合作成果包括用于 Treeaform 的增强 GCP(Google Cloud Platform)功能、基础设施即代码(IaC)云配置工具以及安全管理工具 Vault。Google 对此解释是:
Google 和 Hashicorp 都有专门的工程团队专注于提高并扩展 HashiCorp 产品对 GCP 的支持。我们关注技术的相关事宜,并且在多个重要架构领域上分享围绕 HashiCorp 产品上市所做的努力。
当前,这一合作所关注的两个重要领域是:
- 云配置(Cloud Provisioning):开发用于 Terraform 的 Google Cloud Provider,使用户可以定义自己的 GCP 基础设施即代码。
- 云安全和安全管理(Cloud Security and Secret Management):提高 HashiCorp Valut 和 GCP 间的集成。
在 Terraform 方面,当前其工具中给出了一个专门针对 GCP 实现的 Google Cloud Provider,开发人员可以用编程的方式管理 IAM 策略、Compute Engine 资源及更多配置。
Google 也发布了众多用于 Terraform 的 GCP 模块,并给出了一种方式可组成并重用各种使用 GCP 资源的架构模式。这些可以在Terraform Module Registry中看到。
现在 HashiCorp Vault 具有两种专用于 GCP 的认证后端。认证后端在本质上是用于向令牌交换凭证,这些凭证进而可用于访问 Vault 中保密内容。两种后端分别为:
- GCP IAM Service Accounts:使用 Identify & Access Management (IAM) Service Account Credentials 的用户可以使用这些信息区生成一个 JWT(Json Web Token),进而在 Vault 访问令牌时可以交换该 JWT。
- Google Compute Engine Instance Identity:Google Compute Engine(GCE)实例可以使用自身的实例元数据生成一个 JWT,进而在 Vault 访问令牌时可以交换该 JWT。
对 GCP 的直接支持意在尽可能地简化 GCP 服务的认证过程。“使用这些认证后端,运行在 Google Cloud 上的特定服务更易于访问构建中所需的保密内容,或是访问运行时存储在 Vault 中的保密内容。
Google 还发布了一种在 GCP 上运行 Vault 的解决方案,并给出了如何部署应用及使用新后台做认证的指导。
注册/登录 InfoQ 发表评论