七、vault - 密封/j解封 Seal/Unseal

本文详细介绍了Vault服务中的Seal与Unseal机制。Vault在启动时默认处于密封状态,此时无法进行大部分操作。解封过程是构建masterkey以获取解密密钥并使Vault可以正常使用。密封则会丢弃masterkey,需要再次解封才能恢复。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Seal/Unseal
当vault服务启动时,它开始是密封(sealed)的状态。在这种状态下,vault被配置为知道如何访问物理存储,但不知道如何解密。

解封(Unsealing )是构建master key,用以获取解密密钥来解密数据、访问vault的过程。

在解封(Unsealing )之前,几乎没有操作可以与vault进行交互。例如认证、管理挂载表等都是不可能的。唯一可能的操作是解封vault和查看解封状态

为什么如此?:

数据存储库是加密存储的。库需要加密密钥(encryption key )来解密数据。的加密密钥也存储在库中,对加密密钥进行加密的秘钥称为主密钥(master key)。主密钥(master key)可存储在任何地方。

因此,解密数据,vault必须使用主秘钥解密加密密钥。开启就是构造主密钥的过程。

Unsealing
解封(unseal)过程可通过vault unseal开启或通过API开启。
这个过程是有状态:一种可行的方式是每个键可以通过多种机制在多个物理终端进行输入。这允许每个主键的碎片在不同的机器上,能够更好地保障安全。

vault启封后,启封状态维持到发生项目两件事:
1、通过API进行resealed操作
2、vault服务重启

* Sealing *

封闭vault可以通过API来操作。这将会丢弃的主密钥,需要使用另一个解封过程来恢复它。使用root特权只需要一个个步骤即可密封vault。
这种是为了,如果检测到入侵,vault数据可以快速锁定尽量减少损失。没有访问主密钥的碎片将不能再访问vault;

有CentOS-Base.repo 内容如下 # CentOS-Base.repo # # The mirror system uses the connecting IP address of the client and the # update status of each mirror to pick mirrors that are updated to and # geographically close to the client. You should use this for CentOS updates # unless you are manually picking other mirrors. # # If the mirrorlist= does not work for you, as a fall back you can try the # remarked out baseurl= line instead. # # [base] name=CentOS-vault-6.10 - Base - mirrors.aliyun.com failovermethod=priority baseurl=http://mirrors.aliyun.com/centos-vault/6.10/os/$basearch/ http://mirrors.aliyuncs.com/centos-vault/6.10/os/$basearch/ http://mirrors.cloud.aliyuncs.com/centos-vault/6.10/os/$basearch/ gpgcheck=1 gpgkey=http://mirrors.aliyun.com/centos-vault/RPM-GPG-KEY-CentOS-6 #released updates [updates] name=CentOS-vault-6.10 - Updates - mirrors.aliyun.com failovermethod=priority baseurl=http://mirrors.aliyun.com/centos-vault/6.10/updates/$basearch/ http://mirrors.aliyuncs.com/centos-vault/6.10/updates/$basearch/ http://mirrors.cloud.aliyuncs.com/centos-vault/6.10/updates/$basearch/ gpgcheck=1 gpgkey=http://mirrors.aliyun.com/centos-vault/RPM-GPG-KEY-CentOS-6 #additional packages that may be useful [extras] name=CentOS-vault-6.10 - Extras - mirrors.aliyun.com failovermethod=priority baseurl=http://mirrors.aliyun.com/centos-vault/6.10/extras/$basearch/ http://mirrors.aliyuncs.com/centos-vault/6.10/extras/$basearch/ http://mirrors.cloud.aliyuncs.com/centos-vault/6.10/extras/$basearch/ gpgcheck=1 gpgkey=http://mirrors.aliyun.com/centos-vault/RPM-GPG-KEY-CentOS-6 #additional packages that extend functionality of existing packages [centosplus] name=CentOS-vault-6.10 - Plus - mirrors.aliyun.com failovermethod=priority baseurl=http://mirrors.aliyun.com/centos-vault/6.10/centosplus/$basearch/ http://mirrors.aliyuncs.com/centos-vault/6.10/centosplus/$basearch/ http://mirrors.cloud.aliyuncs.com/centos-vault/6.10/centosplus/$basearch/ gpgcheck=1 enabled=0 gpgkey=http://mirrors.aliyun.com/centos-vault/RPM-GPG-KEY-CentOS-6 #contrib - packages by Centos Users [contrib] name=CentOS-vault-6.10 - Contrib - mirrors.aliyun.com failovermethod=priority baseurl=http://mirrors.aliyun.com/centos-vault/6.10/contrib/$basearch/ http://mirrors.aliyuncs.com/centos-vault/6.10/contrib/$basearch/ http://mirrors.cloud.aliyuncs.com/centos-vault/6.10/contrib/$basearch/ gpgcheck=1 enabled=0 gpgkey=http://mirrors.aliyun.com/centos-vault/RPM-GPG-KEY-CentOS-6 还需要追加aliyun.repo吗
最新发布
03-08
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值