1

私はまだサービス検出とクラウド プログラミングの概念に慣れていないため、いくつかの基本的な概念を理解しようとしています (決まり文句を言います)。しばらく頭に浮かんだ質問は、Consul、etcd、Zookeeper などのサービス ディスカバリ ソリューションは、サービス資格情報も提供する責任があるのか​​ということです。

たとえば、データベース サーバーの場所に関する情報を照会する Web アプリケーションがある場合、それに接続するための資格情報 (ユーザー名、パスワード) を提供する責任があるのは誰でしょうか? これはおそらく主観的なものであることは承知していますが、それに関連するベスト プラクティスについて詳しく知りたいと思います。

4

2 に答える 2

1

実際、Consul と Vault を参照してください。さて、理由としては、サービスレジストリには通常、秘密を保護するための完全なACLなどのセットが付属していないことに加えて、ネットワーク上で秘密をゴシップし、ディスクに左右にダンプします-これはセキュリティの悪夢です. 知る必要がある場合にのみ、アクセスをできる限り制限する必要があります。したがって、ハードウェア セキュリティ モジュール、Vault、Chef 暗号化データバッグなどの特定のツールを使用してください。

于 2016-01-14T19:59:44.223 に答える
1

ツール Consul と Vault は、あなたが提案した分割を正確に実行します。Consulはサービス ディスカバリ用、Vaultは秘密を共有するため (およびリースや動的秘密のようなものを実装します)。

これら 2 つのツールについて読んで、この概念があなたに当てはまるかどうかを確認してください。

于 2016-01-14T14:03:39.833 に答える