Cada empresa tem seus próprios segredos. Talvez qualquer aplicativo e serviço possua informações confidenciais, como nomes de usuário e senhas, chaves de licença, credenciais de login de banco de dados, etc. - que deve ser escondido de pessoas não autorizadas.
Uma das categorias mais importantes de dados armazenados por aplicativos modernos são os certificados TLS , que permitem a transmissão criptografada por HTTPS. A boa notícia para os usuários do Traefik Enterprise é que agora é mais fácil do que nunca gerenciar dados confidenciais graças ao suporte do Vault no Traefik Enterprise 2.3.
Vault é uma ferramenta de código abertodesenvolvido e mantido pela HashiCorp, oferecendo um repositório central seguro e criptografado para informações confidenciais. O Vault no Traefik Enterprise 2.3 pode ser usado para gerenciar certificados de duas maneiras. Primeiro, o Vault pode ser usado como um armazenamento de chaves para certificados. Em segundo lugar, o Vault pode ser um resolvedor de certificados, o que permite gerar certificados dinamicamente em tempo real. Vejamos os dois casos de uso.
Usando o Vault como um armazenamento de chaves para certificados
Traefik há muito oferece suporte a armazenamentos de valores-chave como Consul, etcd e ZooKeeper. O provedor do Vault para Traefik Enterprise 2.3 e posterior pode se conectar ao Vault da mesma maneira, usando-o como um armazenamento de dados de valor-chave para armazenar e recuperar certificados TLS.
A primeira etapa é configurar o mecanismo de segredos do Vault para uso com o Traefik Enterprise. O Traefik Enterprise atualmente suporta o KV Secrets Engine - Versão 2 , que atualmente é o mecanismo padrão e é facilmente habilitado na linha de comando. É recomendado usar um armazenamento KV separado para certificados TLS e lembre-se de que todos os certificados devem ser codificados em base64 e armazenados na raiz do mecanismo de segredos KV.
Além disso, resta apenas incluir o Vault Provider na configuração estática do Traefik Enterprise. Leva apenas algumas linhas de código, e um exemplo típico (em YAML) pode ser assim:
Este snippet aponta para a URL do servidor Vault e define o token necessário para autenticar com ele. (Atualmente, o Vault só oferece suporte à autenticação de token.) Ele também especifica com que freqüência o provedor irá buscar dados do KV do Vault.
Isso é tudo! Uma vez configurado, o Traefik Enterprise reconhece certificados na loja para processamento. E como de costume com o Traefik Enterprise, a configuração é atualizada automaticamente sempre que você adiciona ou remove certificados do Vault.
Se quiser saber mais sobre como configurar o Vault Provider para Traefik Enterprise, verifique a documentação .
Usando o Vault como um resolvedor de certificado PKI
Usuários experientes do Traefik estão cientes do suporte para geração automática de certificados usando o protocolo ACME e provedores de serviços compatíveis, como o Let's Encrypt . O Traefik Enterprise 2.3 adiciona novas ferramentas adicionais para automatizar o processo de geração de certificados na forma de suporte para infraestrutura de chave pública - Vault Public Key Infrastructure (PKI) .
O mecanismo de segredos Vault PKI inclui recursos integrados de autenticação e autorização que permitem que os certificados sejam gerados em tempo real, sem o processo tradicional de gerar chaves manualmente e enviá-las a uma autoridade de certificação.
Essa automação é especialmente valiosa em ambientes dinâmicos baseados em microsserviços, onde os serviços tendem a ter vida curta e os contêineres são criados e destruídos rapidamente sob demanda.
Configurar o Vault como um resolvedor de certificados é quase tão fácil quanto configurar o Vault Provider discutido anteriormente. Depois de instalar o Vault com PKI Secrets Engine habilitado, configurar o recurso requer adicionar apenas algumas linhas à configuração estática do Traefik Enterprise. Por exemplo:
Depois de completar as configurações do resolvedor de certificados e atribuí-lo a Rotas no Traefik Enterprise, o Vault começará a gerar certificados para solicitações que correspondam aos padrões. Para saber mais sobre como funciona, consulte documentação .
Também há um guia do usuário útil que percorre o processo de implantação de um serviço compatível com TLS simples do Vault para o Kubernetes.
Mantenha seus dados protegidos com Traefik Enterprise
O Traefik Labs tem o orgulho de oferecer suporte Vault no Traefik Enterprise como mais uma prova do nosso compromisso em fornecer os melhores recursos da categoria que as organizações preocupadas com a segurança precisam. Usar o Vault para gerenciar informações confidenciais é um passo adiante na proteção de sua rede; usar o Vault com o Traefik Enterprise torna essa etapa ainda mais fácil. Usar o Vault para gerenciar dados confidenciais é um passo à frente na proteção de sua rede; usar o Vault com o Traefik Enterprise torna essa etapa ainda mais fácil. Comece seu teste gratuito de 30 dias e veja como o Traefik Enterprise pode ajudar a tornar sua infraestrutura mais flexível, confiável e segura.