Cada empresa tiene sus propios secretos. Quizás cualquier aplicación y servicio posea información confidencial como nombres de usuario y contraseñas, claves de licencia, credenciales de inicio de sesión de la base de datos, etc. - que debe estar oculto a personas no autorizadas.
Una de las categorías más importantes de datos almacenados por las aplicaciones modernas son los certificados TLS , que permiten la transmisión cifrada a través de HTTPS. La buena noticia para los usuarios de Traefik Enterprise es que tratar con datos confidenciales ahora es más fácil que nunca con el soporte de Vault en Traefik Enterprise 2.3.
Vault es una herramienta de código abiertodesarrollado y mantenido por HashiCorp, que ofrece un repositorio central seguro y cifrado para información confidencial. Vault en Traefik Enterprise 2.3 se puede utilizar para administrar certificados de dos formas. Primero, Vault se puede usar como un almacén de claves para certificados. En segundo lugar, Vault puede ser un solucionador de certificados, lo que le permite generar certificados dinámicamente sobre la marcha. Veamos ambos casos de uso.
Uso de Vault como almacén de claves para certificados
Traefik ha soportado durante mucho tiempo almacenes de valores clave como Consul, etcd y ZooKeeper. El proveedor de Vault para Traefik Enterprise 2.3 y versiones posteriores se puede conectar a Vault de la misma manera, usándolo como un almacén de datos de valor clave para almacenar y recuperar certificados TLS.
El primer paso es configurar el mecanismo de secretos de Vault para su uso con Traefik Enterprise. Actualmente, Traefik Enterprise es compatible con KV Secrets Engine - Versión 2 , que actualmente es el motor predeterminado y se habilita fácilmente desde la línea de comandos. Se recomienda utilizar un almacén de KV separado para los certificados TLS y recuerde que todos los certificados deben estar codificados en base64 y almacenados en la raíz del motor de secretos de KV.
Además, solo queda incluir el proveedor de Vault en la configuración estática de Traefik Enterprise. Solo se necesitan unas pocas líneas de código, y un ejemplo típico (en YAML) podría verse así:
este fragmento apunta a la URL del servidor de Vault y establece el token necesario para autenticarse con él. (Actualmente, Vault solo admite la autenticación basada en tokens). También especifica la frecuencia con la que el proveedor obtendrá datos del KV de Vault.
¡Eso es todo! Una vez configurado, Traefik Enterprise reconocerá los certificados en la tienda para su procesamiento. Y, como es habitual con Traefik Enterprise, la configuración se actualiza automáticamente cada vez que agrega o elimina certificados de Vault.
Si desea obtener más información sobre cómo configurar Vault Provider para Traefik Enterprise, consulte la documentación .
Uso de Vault como solucionador de certificados PKI
Los usuarios experimentados de Traefik son conscientes de la compatibilidad con la generación automática de certificados utilizando el protocolo ACME y proveedores de servicios compatibles como Let's Encrypt . Traefik Enterprise 2.3 agrega nuevas herramientas adicionales para automatizar el proceso de generación de certificados en forma de soporte para la infraestructura de clave pública: Vault Public Key Infrastructure (PKI) .
El mecanismo de secretos de Vault PKI incluye funciones de autenticación y autorización integradas que permiten que los certificados se generen sobre la marcha, sin el proceso tradicional de generar claves manualmente y enviarlas a una autoridad de certificación.
Esta automatización es especialmente valiosa en entornos dinámicos basados en microservicios, donde los servicios tienden a ser de corta duración y los contenedores se crean y destruyen rápidamente a pedido.
Configurar Vault como solucionador de certificados es casi tan fácil como configurar el proveedor de Vault mencionado anteriormente. Después de instalar Vault con PKI Secrets Engine habilitado, la configuración de la función requiere agregar unas pocas líneas a la configuración estática de Traefik Enterprise. Por ejemplo:
después de completar la configuración del solucionador de certificados y asignarlo a Rutas en Traefik Enterprise, Vault comenzará a generar certificados para solicitudes que coincidan con los patrones. Para obtener más información sobre cómo funciona, consulte documentación .
También hay una práctica guía del usuario que explica el proceso de implementación de un servicio simple compatible con TLS de Vault a Kubernetes.
Mantenga sus datos seguros con Traefik Enterprise
Traefik Labs se enorgullece de ofrecer soporte de Vault en Traefik Enterprise como una prueba más de nuestro compromiso de ofrecer las mejores características de su clase que las organizaciones conscientes de la seguridad necesitan. Usar Vault para administrar información confidencial es un paso adelante en la protección de su red; El uso de Vault con Traefik Enterprise facilita aún más este paso. Usar Vault para administrar datos confidenciales es un paso adelante en la protección de su red; el uso de Vault con Traefik Enterprise facilita aún más este paso. Comience su prueba gratuita de 30 días y vea cómo Traefik Enterprise puede ayudar a que su infraestructura sea más flexible, confiable y segura.