我们很高兴地宣布发布HashiCorp Vault 0.11！Vault是用于机密管理、数据加密和基于身份的访问等功能的安全工具。Vault的0.11版本提供了新功能，以简化对尝试访问Vault的应用程序和用户的令牌管理，使用单个Vault安装为多个团队和组织提供安全的多租户，以及其他侧重于增强系统性能和自动化的功能。0.11中的新功能包括：名称空间（企业）：通过独立、自我管理的环境在Vault中提供安全的多租户。性能备用节点（Enterprise）：通过一种新型的以性能为中心的备用节点，使Vault企业基础架构的读取性能倍增。保险库代理：自动管理本地应用程序令牌的安全引入和续订。ACL模板：支持ACL策略中标识组、实体和元数据的模板化。阿里云支持：支持阿里云身份系统，通过金库为阿里云基础设施提供动态凭证创建。Microsoft Azure机密引擎：通过保险库生成对Microsoft Azure基础架构的动态凭据访问。该版本还包括附加的新功能、安全工作流增强、常规改进和错误修复。Vault 0.11更改日志提供了功能、增强功能和错误修复的完整列表。和往常一样，我们向社区致谢，感谢他们的想法、错误报告和拉取请求。»名称空间注意：这是Vault Enterprise Pro功能Vault 0.11引入了名称空间，这是一套功能，允许Vault Enterprise用户创建独立的环境，以支持单个Vault企业基础结构中的安全多租户。这允许多个团队或组织在单独的环境中运行，这些环境可以由中央运营或安全团队集中管理和配置。在命名空间中，用户和应用程序可以创建和管理以下内容的不同版本：秘密引擎身份验证方法标识（实体和标识组）政策代币命名空间还允许将命名空间的成员委派为管理员，允许他们自行管理仅在该命名空间中应用的策略。这大大减轻了Vault Enterprise的管理负担，允许团队（甚至个人）自行管理自己的环境。有关名称空间的更多信息，请参阅我们的深入功能预览。»性能备用节点注意：这是Vault Enterprise功能性能备用节点（或简称"性能备用节点"）是Vault中的一种新节点类型，它使Vault能够在单个群集中执行只读操作（即不修改Vault存储的操作）的能力倍增。Vault Enterprise Premium提供了一系列性能备用节点，这些节点可以添加到Vault Enterprise Pro基础结构中。性能备用节点与传统的高可用性（HA）备用节点类似，但它能够为来自用户或应用程序的只读请求提供服务。这使得Vault能够快速扩展其服务于此类操作的能力，在K/V和Transit等机密引擎的许多常见场景中提供近似线性的每秒请求扩展。通过将流量分散到性能备用节点，客户机可以水平扩展这些IOPS，以处理极高的流量工作负载。»保险库代理Vault Agent是Vault二进制文件的一种新模式，它允许Vault自动管理为系统安全引入和旋转访问令牌的过程。通过使用Vault 0.11+二进制文件配置自动身份验证系统，Vault可以作为代理运行，在系统上提供新的本地访问令牌，以供应用程序和用户在访问机密时使用。有关Vault Agent的详细信息，请参阅我们的深入功能预览。»ACL模板在Vault 0.11中，策略现在可以使用模板显式引用策略中的实体、标识组和元数据。这使得在向Vault中的特定标识授予RBAC时，策略更易于管理，更为明确。例如，现在可以编写一个策略来为特定实体划分存储空间：路径"机密/数据/{{标识.entity.id}}/*" {能力=创建"、"更新"、"读取"、"删除"]}或者，可以编写一个策略来将RBAC分配给标识组，允许组中的任何成员成功执行操作，但不允许其他任何人：路径"机密/数据/组/{{identity.groups.ids.fb036ebc-2f62-4124-9503-42aa7A869741.name}}/*"{能力=创建"、"更新"、"读取"、"删除"]}»阿里云支持Vault现在支持与阿里云集成。Vault 0.11发布了阿里认证方法和阿里云机密引擎，这两种方法都允许用户使用阿里云凭据登录，并生成访问阿里云基础设施的动态凭据。Vault用户还可以将阿里云存储目标配置为Vault 0.11的存储后端，在不久的将来，我们将发布功能，允许Vault Enterprise用户使用阿里云KMS自动解封和封包。»Microsoft Azure秘密引擎vault0.11现在支持Secrets Engine插件，允许Vault用户创建对microsoftazure系统的动态访问凭据。通过使用有时间限制的服务主体，Azure Secrets Engine允许Vault代理用户和应用程序安全访问Azure上的资源。»其他特性Vault 0.11中有许多新功能是在0.10.x版本中开发的。我们总结了下面几个较大的特性，并一如既往地参考变更日志以获得完整的细节。JWT/OIDC Discovery Auth Method：一种新的Auth方法，它接受JWTs并在本地验证签名，或者使用OIDC Discovery获取当前密钥集以进行签名验证。可以指定各种声明以进行验证（除了加密签名外），并且可以使用用户和可选组声明来提供身份信息。UI控制组工作流（企业）：UI现在将检测控制组响应，并提供一个工作流来查看请求的状态和授权请求Active Directory机密引擎：已创建新的ad机密引擎，它允许Vault旋转并为配置的ad帐户提供凭据。此机密引擎还支持其根凭据的自动旋转。Azure密钥保管库支持：支持Microsoft Azure密钥保管库自动解封和密封包装。MySQL存储的HA支持：MySQL存储现在支持HA。Vault UI Browser CLI：UI现在支持在可以从导航栏访问的CLI中使用读/写/列表/删除命令。当前不支持JSON文件等复杂输入。此曲面的功能在Vault的UI中不受支持。FoundationDB存储：现在可以使用FoundationDB存储Vault数据。»升级详细信息Vault 0.11引入了重要的新功能。因此，我们提供了常规升级说明和Vault 0.11特定的升级页面。一如既往，我们建议在隔离环境中升级和测试此版本。如果您遇到任何问题，请在Vault GitHub问题跟踪器上报告这些问题，或发送到Vault邮件列表。有关HashiCorp Vault Enterprise的详细信息，请访问https://www.hashicorp.com/products/vault。用户可以从以下位置下载Vault的开放源代码版本：https://www.vaultproject.io。希望您喜欢Vault 0.11！