HashiCorp發布了其秘密管理工具Vault 的1.0版本，并開源了在發生故障或重啟后繼續使用Vault服務器所需的“自動解封（auto-unseal）”特性。這個版本提供了一種可以用于臨時工作負載的新令牌batch。另一個新特性是，Kubernetes auth現在通過projected卷支持服務帳戶令牌，以便將令牌注入到pod中。HashiCorp還推出了一個名為Vault Advisor的支持工具，幫助用戶在使用Vault時自動去除對某些憑證的不必要訪問。

開源以前只在企業版本中提供的自動開封特性是一個呼聲很高的需求，Kubernetes專家Kelsey Hightower也呼吁過。自動解封是在集群中發生故障或重啟之后使數據解密成為可能的過程。當Vault首次啟動時，它是密封的，存儲的所有數據都是加密的。要解密數據，你需要首先解封。

自動解封過程可以與使用它作為目標的云提供商集成，這使你可以用不變的方式繼續使用Vault。例如，在AWS KMS中，為了使用以前存儲的鍵解封集群，主鍵會被重新構造。所有主要的云提供商都在支持范圍：AWS、Azure、GCP和阿里巴巴。例如，這里有一份Terraform和AWS KMS的指南。

Vault 1.0中另一個重要的新特性是，增加了一種新的令牌類型，稱為batch令牌，而過去稱為簡單令牌的東西現在稱為服務令牌。服務令牌支持所有令牌特性，如更新或撤銷，并存儲在Vault集群中以供跟蹤。Batch令牌不需要在磁盤上存儲，因此，它們很適合用于短時間的突發工作負載，比如無服務器應用程序。

Vault 1.0還實現了與Kubernetes的更好集成。在pod中運行的應用程序將能夠使用Vault管理秘密、加密操作及進行動態訪問。例如，你可以使用動態秘密創建一個pod，動態請求一組臨時數據庫憑據。

HashiCorp還推出了一個名為Vault Advisor的支持工具，它可以指導用戶正確地使用Vault，報告Vault配置是否正確，以及應用程序是否正確地使用了它。通過閱讀Vault的日志，Advisor實用程序可以發現改進Vault使用的機會。例如，確保用戶具有使用其Vault密鑰所需的最小權限集。

根據HashiCorp首席技術官Armon Dadgar的說法，1.0意味著主要用例已經明確、穩定，并廣泛地部署到了許多企業中，如Adobe、Hulu、Splunk、Equinix等。

GitHub中的一些項目，如vault -init、vault -unsealer和vault -unseal，已經為那些沒有使用Vault企業版的用戶復制了自動解封特性。但是，現在不再需要這些項目了，因為僅限于企業客戶的官方特性已經提供給了整個社區。HashiCorp Vault 1.0可以從HashiCorp的網站上下載。

查看英文原文：HashiCorp Vault 1.0 Open Sources Auto-Unseal, Adds Batch Tokens