我们很高兴地宣布HashiCorp vault1.4正式上市。Vault是一种为任何基础设施上的任何应用程序提供机密管理、数据加密和身份管理的工具。Vault 1.4侧重于增强Vault在新类型的生产环境中的本机操作能力，并在Vault Enterprise中首次推出一个主要的新功能：Transform Secrets引擎。此版本包含以下功能：集成存储：从beta版升级为开放源代码和企业工作负载的通用可用性。Transform Secrets Engine（仅限Vault Enterprise）：Transform Secrets Engine执行安全数据转换，以保护位于Vault外部不受信任或半可信系统中的机密。保险库头盔图表：通过库伯内特斯上的头盔图表运行保险库企业。OpenLDAP机密引擎：支持OpenLDAP中静态实体的管理。Kerberos身份验证方法：支持通过Kerberos对用户和应用程序进行身份验证。NetApp企业密钥管理支持（仅限Vault Enterprise）：通过KMIP Secrets引擎支持NetApp完整磁盘加密（FDE）和卷级加密的企业密钥管理。改进的灾难恢复（DR）工作流（仅限Vault Enterprise）：支持在灾难恢复主服务器丢失时升级辅助灾难恢复的工作流。此版本还包括其他新功能、安全工作流增强、常规改进和错误修复。Vault 1.4更改日志提供了功能、增强功能和错误修复的完整列表。»集成存储集成存储是一个内置于Vault中的存储引擎，无需配置和管理其他存储后端或服务，并大大简化了生产Vault群集的部署和操作。集成存储后端已经从beta版转移到开放源代码和企业工作负载的全面可用性。我们还发布了集成存储参考体系结构、迁移到集成存储的飞行前检查表，以及从HashiCorp consuv迁移到集成存储的迁移指南。有关集成存储后端的更多信息，请参阅我们专用的"通用可用性"发布公告和文档。»转换机密引擎注意：这是ADP模块中的Vault Enterprise功能Transform Secrets Engine是Vault Enterprise Advanced Data Protection（ADP）模块的一个重要新增功能，允许Vault保护位于Vault外部不受信任或半可信系统中的机密。这包括诸如社会保险号码、信用卡号码和其他类型的合规监管数据，这些数据必须驻留在文件系统或数据库等系统中以实现性能，但必须在其住所系统受损时加以保护。Transform Secrets Engine支持通过数据类型保护进行的单向（掩蔽）和双向转换，使Vault能够利用高性能密码和Vault平台的全套高可用性和安全功能来解决通常通过标记化处理的用例。有关Transform Secrets引擎的更多信息，请参阅我们的专用发布公告、文档和详细的学习指南。»穹顶舵参悟图Vault的官方helmchart已经过增强，可以同时支持开源和企业工作负载。使用Helm图表，您可以在几分钟内启动一个运行在Kubernetes上的保险库集群。这张舵图也将是建立未来金库和库伯内特斯特征的主要机制。通过使用Helm图表，您可以大大降低在Kubernetes上运行Vault的复杂性，并且可以在更短的时间内实现可重复的部署过程（与创建自己的部署过程相比）。有关保险库头盔图表的详细信息，请参阅此处。»OpenLDAP机密引擎OpenLDAP Secrets引擎是一个新的机密引擎，它允许Vault管理现有的OpenLDAP实体进行活动，例如在许多特权访问管理（PAM）工作流的OpenLDAP目录之间旋转凭证。OpenLDAP机密引擎与OpenLDAP v.2.4兼容，确保基于OpenLDAP v.2.4+的身份平台可以使用OpenLDAP Secrets引擎进行检测。有关OpenLDAP机密引擎的更多信息，请参阅此处。此外，请访问学习指南以了解分步教程。»Kerberos身份验证方法Kerberos身份验证方法是Vault中的一个新功能，允许Vault通过现有Kerberos或SPNEGO环境验证应用程序和用户。在Kerberos身份验证中，保险库与外部Kerberos系统通信，以验证Kerberos票证中的声明。有关Kerberos身份验证方法的更多信息，请参阅此处。»NetApp企业密钥管理支持注意：这是ADP模块中的Vault Enterprise功能Vault Enterprise现已通过认证，可以自动管理NetApp Data ONTAP系统的密钥。这使Vault可以充当Data ONTAP的外部密钥管理器，从而允许Vault通过NetApp存储加密在卷级别保护密钥以进行完整磁盘加密（或FDE）。有关KMIP机密引擎的更多信息，请参阅此处。您可能还对我们的工程博客感兴趣，该博客介绍了将Vault用作NetApp加密的外部密钥管理器。»改进的灾难恢复（DR）工作流注意：这是Vault Enterprise功能在Vault 1.4之前的版本中，在灾难恢复（DR）主群集发生故障时，升级DR辅助群集需要生成DR操作令牌，该令牌由恢复/解封密钥的仲裁创建。在关键停机时间要求达到这一法定人数可能会导致纠正情况的延迟。Vault现在支持创建DR批处理令牌，创建该令牌后，将允许升级DR辅助令牌，而不需要仲裁密钥持有者，从而在关键停机期间节省了宝贵的时间。有关灾难恢复（DR）工作流的详细信息，请参阅此处。此外，请访问学习指南以了解分步教程。»其他特性Vault 1.4中有许多新功能是在1.3.x版本中开发的。我们总结了以下几个较大的特性，并一如既往地参考变更日志以获取完整的详细信息：MongoDB Atlas Secrets：为MongoDB Atlas数据库和Atlas编程接口生成动态凭证。Redshift数据库机密引擎：Redshift数据库机密引擎现在支持amazonweb服务（AWS）Redshift服务的静态和动态机密。Venafi Secrets Engine：动态生成SSL/TLS证书作为机器标识的能力。有关更多信息，请参阅文档。服务注册配置：新引入的服务注册配置节，允许从存储后端单独配置服务注册。有关更多信息，请参见#7887。Kubernetes服务发现：Kubernetes服务发现功能，如果配置了，Vault将用当前状态标记Vault pods。更多信息，请参见#8249。使用情况监视：UI控件添加到web界面，用于监视Vault中HTTP请求、实体和令牌的运行计数指标。»升级详细信息Vault 1.4引入了重要的新功能。因此，我们提供了一般升级说明和Vault 1.4特定的升级页面。一如既往，我们建议在隔离环境中升级和测试此版本。如果您遇到任何问题，请在Vault GitHub问题跟踪器上报告或发布到Vault讨论论坛。作为提醒，如果您认为您在保险库中发现了安全问题，请通过电子邮件负责任地披露security@hashicorp.com也不要使用公共问题追踪系统。我们的安全策略和PGP密钥可以在这里找到。有关Vault Enterprise的详细信息，请访问https://www.hashicorp.com/products/vault。用户可以从以下位置下载Vault的开放源代码版本：https://www.vaultproject.io。我们希望您喜欢Vault 1.4。