各企業には独自の秘密があります。おそらく、どのアプリケーションやサービスも、ユーザー名とパスワード、ライセンスキー、データベースログイン資格情報などの機密情報を所有しています。-許可されていない人から隠す必要があります。
最新のアプリケーションによって保存されるデータの最も重要なカテゴリの1つは、 HTTPSを介した暗号化された送信を可能にするTLS証明書です。 Traefik Enterpriseユーザーにとっての朗報は、Traefik Enterprise 2.3のVaultサポートにより、機密データの管理がこれまでになく簡単になったことです。
Vaultは オープンソースツールですHashiCorpによって開発および保守され、機密情報用の安全で暗号化された中央リポジトリを提供します。Traefik Enterprise 2.3のVaultは、2つの方法で証明書を管理するために使用できます。まず、Vaultを証明書のキーストアとして使用できます。次に、Vaultは証明書リゾルバーになることができ、その場で動的に証明書を生成できます。両方の使用例を見てみましょう。
Vaultを証明書のキーストアとして使用する
Traefikは、ConsulなどのキーバリューリポジトリやZooKeeperを長い間サポートしてきました。 Traefik Enterprise 2.3以降のVaultプロバイダーは、TLS証明書を保存および取得するためのキー値データストアとして使用して、同じ方法でVaultに接続できます。
最初のステップは、TraefikEnterpriseで使用するVaultシークレットメカニズムを構成することです。 Traefik Enterpriseは現在、KVシークレットエンジン-バージョン2をサポートし ています。これは現在デフォルトのエンジンであり、コマンドラインから簡単に有効にできます。 TLS証明書には別のKVストアを使用することをお勧めします。また、すべての証明書はbase64でエンコードされ、KVシークレットエンジンのルートに保存される必要があることに注意してください。
さらに、残っているのは、静的なTraefikEnterprise構成にVaultプロバイダーを含めることだけです。数行のコードしか必要とせず、典型的な例(YAML)は次のようになります。
このスニペットはVaultサーバーのURLを指し、それを使用して認証するために必要なトークンを設定します。 (現在、Vaultはトークン認証のみをサポートしています。)また、プロバイダーがVaultのKVからデータをフェッチする頻度も指定します。
それで全部です!構成が完了すると、TraefikEnterpriseはストア内の証明書を認識して処理します。また、Traefik Enterpriseの場合と同様に、Vaultに証明書を追加または削除するたびに、構成が自動的に更新されます。
Traefik Enterprise用のVaultプロバイダーを設定する方法について詳しく知りたい場合は、ドキュメントを確認してください 。
VaultをPKI証明書リゾルバーとして使用する
経験豊富なTraefikユーザーがACMEプロトコルとの互換性などのサービスプロバイダ使用して証明書の自動生成のためのサポートを認識してい ましょう暗号化を。 Traefik Enterprise 2.3は、公開鍵インフラストラクチャのサポートの形で証明書を生成するプロセスを自動化するための新しい追加ツールであるVault Public Key Infrastructure(PKI)を追加します 。
Vault PKIシークレットメカニズムには、キーを手動で生成して証明書機関に送信する従来のプロセスなしで、証明書をその場で生成できるようにする組み込みの認証および承認機能が含まれています。
この自動化は、サービスが短命である傾向があり、コンテナがオンデマンドで迅速に作成および破棄される、動的なマイクロサービスベースの環境で特に役立ちます。
Vaultを 証明書リゾルバーとして構成することは、前述のVaultプロバイダーを構成するのとほぼ同じくらい簡単です。 PKIシークレットエンジンを有効にしてVaultをインストールした後、機能を構成するには、静的なTraefikEnterprise構成に数行追加するだけです。例:
証明書リゾルバーの設定を完了し、それをTraefik Enterpriseのルートに割り当てた後、Vaultはパターンに一致する要求の証明書の生成を開始します。それがどのように機能するかについての詳細は、を参照してください。 ドキュメント。 VaultからKubernetesに単純なTLS準拠のサービスを展開するプロセスを順を追って説明
する便利なユーザーガイドもあり ます。
TraefikEnterpriseでデータを安全に保つ
Traefik Labsは、セキュリティを重視する組織が必要とするクラス最高の機能を提供するという当社の取り組みのさらなる証拠として、TraefikEnterpriseでVaultサポートを提供できることを誇りに思っています。Vaultを使用して機密情報を管理することは、ネットワークを保護するための一歩です。Traefik EnterpriseでVaultを使用すると、この手順がさらに簡単になります。Vaultを使用して機密データを管理することは、ネットワークを保護する上での一歩です。Traefik EnterpriseでVaultを使用すると、この手順がさらに簡単になります。30日間の無料トライアルを開始し、 Traefik Enterpriseがインフラストラクチャの柔軟性、信頼性、安全性を高めるのにどのように役立つかをご覧ください。