我正在尝试设置一个由 Spring Cloud Vault secret 管理支持的 Spring Cloud Config Server。我对 Spring 比较陌生，但我已经尝试按照此处的说明和示例进行操作:-

http://cloud.spring.io/spring-cloud-vault-config/

如果您遵循默认设置，例如 vault 端点的 http、localhost 和 8200 以及 tls_disable = 1 以关闭 SSL，则一切正常。然而，这些不是任何真实环境的实用设置，而且几乎没有任何例子可以帮助解决这个问题。谁能帮忙举个例子？

我已成功设置启用 TLS 的保管库。我已经成功设置了一个使用自签名证书连接的配置服务器。我什至可以将一个 secret 值注入(inject)配置服务器并通过 @Value 和 @PostConstruct 公开它。

所有这一切都在起作用。但是，当我尝试利用 Spring Conig 端点访问保险库时，我得到以下信息:-

{
  "timestamp": 1486413850574,
  "status": 500,
  "error": "Internal Server Error",
  "exception": "org.springframework.web.client.ResourceAccessException",
  "message": "I/O error on GET request for \"http://127.0.0.1:8200/v1/secret/myapp\": Connection refused: connect; nested exception is java.net.ConnectException: Connection refused: connect",
  "path": "/myapp/default"
}

即使我在 bootstrap.yml 中设置了覆盖，配置服务器仍使用默认值。:-

server:
    port: 8888

spring:
    profiles:
        active: vault

spring.cloud.vault:
    host: myhost.mydomain.com
    port: 8200
    scheme: https
    authentication: TOKEN
    token: 0f1887c3-d8a8-befd-a5a2-01e4e066c50
    ssl:
        trust-store: configTrustStore.jks
        trust-store-password: changeit

如您所见，它应该指向 myhost.mydomain.com 而不是 127.0.0.1 并且它应该使用 https，而不是 http 作为协议(protocol)方案。

我不确定为什么它对配置服务器端点使用这些默认值，但在 spring cloud vault 启动期间使用正确的设置。我正在使用 Spring Dalsten.M1 和 Spring Cloud Vault 1.0.0.M1 的所有最新稳定版本。我意识到这些是里程碑版本。我也尝试过 Camden 和 Brixton 组合，但没有成功。如果需要，我可以提供代码。

非常感谢任何帮助。

最佳答案

正如我在对 spensergibb 的回复中提到的，我自己已经成功地解决了这个问题。根据他的评论，我将阐明我的意图，因为这将有助于对问题达成共识。我正在尝试做两件事:-

1. 建立一个使用 Vault 作为后端(与默认 GIT 后端相对)的配置服务器，并将 Vault API 公开给客户端应用程序(通过 TLS)，以便它们可以检索自己的 secret 。我不希望我所有的客户端应用程序都直接连接到 Vault。我希望他们通过让配置服务器连接到 Vault 从配置服务器获取配置。直到昨晚，我才能够实现这个目标，除非我将所有内容都设置为默认设置，禁用 TLS 并使用环回地址，Vault 软件的端口 8200 等。显然，默认设置对于我们部署的任何环境都不实用。我会提到 spencergibb 发布的链接确实帮助我理解了为什么这不起作用，但原因的微妙之处在于我之前错过它的原因。请继续阅读我的解释。

2. 我希望配置服务器直接从 Vault 配置自身。即通过 Spring Cloud Vault Config 连接到 Vault。如文档中所述，这对我立即起作用。然而，这个目标有点微不足道，因为我目前没有真正的用例。但我想知道这是否可以完成，因为我没有看到不这样做的真正原因，而且这似乎是集成 Vault 的良好开端。

这两种功能之间的区别帮助我理解了问题源于 Spring Cloud Config Server 和 Spring Cloud Vault 似乎使用两种不同的 bean 来注入(inject) Vault 配置属性这一事实。 Spring Cloud Config Server 使用带有 @ConfigurationProperties("spring.cloud.config.server.vault") 注释的 VaultEnvironmentRepository，而 Spring Cloud Vault 使用带有 @ConfigurationProperties("spring.cloud.vault") 注释的 VaultProperties。

这导致我向 Bootstrap yml 添加了两个不同的配置。

server:
    port: 8888

spring:
    profiles:
        active: local, vault

    application:
        name: quoting-domain-configuration-server

    cloud:
        vault:
            host: VDDP03P-49A26EF.lm.lmig.com
            port: 8200
            scheme: https
            authentication: TOKEN
            token: 0f1997c3-d8a8-befd-a5a2-01e4e066c50a
            ssl:
                trust-store: configTrustStore.jks
                trust-store-password: changeit

        config:
            server:
                vault:
                    host: VDDP03P-49A26EF.lm.lmig.com
                    port: 8200
                    scheme: https
                    authentication: TOKEN
                    token: 0f1997c3-d8a8-befd-a5a2-01e4e066c50a

注意相同的配置细节。只是不同的 yml 路径。这是我错过的微妙之处，因为我首先让目标 1 开始工作，并假设相同的配置适用于两个目标。 (注意: token 和密码是人为设计的)。

除了 SSL 握手错误外，这几乎可以正常工作。如您所见，在 spring.cloud.config.server.vault 路径上没有设置 SSL 属性。 VaultProperties bean 不支持它们。我不确定如何处理这个问题(也许是我找不到的另一个非 vault 特定的 bean)。我的解决方案是像这样简单地强制自己进行证书配置:-

@SpringBootApplication
@EnableConfigServer
public class Application
{
    public static void main(String[] args)
    {
        System.setProperty("javax.net.ssl.trustStore",
            Application.class.getResource("/configTrustStore.jks").getFile());
        System.setProperty("javax.net.ssl.trustStorePassword", "changeit");
        SpringApplication.run(Application.class, args);
    }
}

这个 SSL 解决方案非常丑陋。我确信必须有更好的方法来完成这一部分。所以我愿意接受其他建议。但是，一旦我完成了上述所有步骤，现在一切正常。

关于java - 为生产环境配置 Spring Cloud Config Server 和 Spring Cloud Vault，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/42077583/