我的 AWS VPC 中有 3 个可用区,我想运行 Vault 以连接到 S3。我想运行 3 个 Vault 服务器(每个区域一个),所有这些服务器都同步到同一个 S3 存储桶。 Vault 的这种 HA 方案是否可行?
我读到 Vault 不支持使用 S3 作为后端的 HA,可能需要使用 Consul(默认情况下运行 3 个服务器)。对此有点困惑。我想要的只是运行多个 Vault 服务器,所有这些服务器都从同一个 S3 存储桶存储/读取机密。
感谢您的意见。
阿卜杜勒
【问题讨论】:
标签: amazon-web-services amazon-s3 high-availability hashicorp-vault
Vault 中有多个 Storage Backends,其中只有一些支持 HA,例如 Consul。但是,如果后端不支持 HA,并不意味着它根本无法使用。
所以,如果您需要运行多个 Vault istance,每个都独立于其他,您应该能够使用 S3 作为存储后端。但是,如果您需要 HA,则需要使用 Consul,或任何其他支持 HA 的后端。
希望有帮助
【讨论】:
请注意,您可以使用 DynamoDB 来使用 Amazon 托管服务并获得 HA 支持:
高可用性 – DynamoDB 存储后端支持高可用性。由于 DynamoDB 使用 Vault 节点上的时间来实现其锁上的会话生命周期,因此 Vault 节点之间的显着时钟偏差可能会导致锁上的争用问题。
https://www.vaultproject.io/docs/configuration/storage/dynamodb.html
【讨论】: