Kubernetes 上跨多个数据中心的 Vault 复制

大多数企业遵循不同的复制策略来提供可扩展且高可用性的服务。分布式应用程序的一种常见复制/灾难恢复策略是  在辅助数据中心中设置已设置的完全相同部署的热备用副本。当主数据中心发生灾难性事件时，所有流量都会重定向到辅助数据中心。 热备用是一种冗余方法，其中主实例和辅助实例（即备份实例）同时运行。所有数据都会实时镜像到辅助实例（使用事务更新），因此两个实例都包含相同的数据。通常，边缘服务器（负载均衡器）部署在两个数据中心前面，因此客户端不知道哪个实例正在服务其请求。 Vault 最近在 1.2 版本中引入了Raft 存储后端，它有助于在不使用外部存储后端的情况下创建高可用性（多节点）Vault 集群。这简化了 HA/复制 Vault 集群的设置，并消除了维护存储后端的负担。例如，在云中，您不依赖 GCS、S3 等云提供商服务。 我们一直计划为 Vault 创建多数据中心设置，并且银行-Vaults社区中也经常出现此请求。

有了 Raft 存储，我们决定尝试一下，并将跨多个数据中心的 Vault 复制添加到我们的Bank-Vaults Kubernetes Operator中。 Kubernetes 的多个数据中心和 Vault Operator 自 0.6.0 版本以来， Bank-Vaults已自动创建 Raft Vault 集群。PR 820中完成的工作 电话号码列表 增加了对使用 Banzai Cloud Vault 运算符Bank-Vaults跨多个 Kubernetes 集群运行 Vault 的支持，并且从 0.8.0 版本开始可用。 此更改包含自动加入另一个 Kubernetes 集群的 Raft 集群的CRD 更改，并以分布式方式将解封密钥存储在使用 KMS 加密的 AWS S3 中。然后，操作员将解封密钥分发到跨越不同 AWS 区域的多个存储桶。 Google Cloud 也支持此功能。然而，当使用 Google 时，运营商不必分发解封密钥，因为 GCS 和 KMS 支持多区域/全球跨越。 如果您有兴趣在Azure或阿里巴巴上运行多区域 Vault 集群，请告诉我们。 你需要什么 本文中的示例将帮助您将 Vault 安装到 AWS 中。因此，您将需要一个 AWS 帐户和相应的访问密钥。您还需要在计算机上安装并配置aws-cli 。



在我们的示例中，我们使用banzai-cli命令行工具在 AWS 上创建和管理 Kubernetes 集群。该工具是我们Banzai Cloud Pipeline 平台的命令行界面。注册后，该平台可免费使用。请注意，使用Pipeline和 banzai-cli 并不是绝对必要的，您可以创建所需的集群并将 banzai-cli 命令替换为本机 aws-cli 或 kubectl 命令。Bank-Vaults和本文中描述的功能不需要 Banzai Cloud Pipeline，但我们为了方便而使用它。 Banzai Cloud Pipeline是一个面向解决方案的应用程序平台，允许企业在多云和混合云环境中开发、部署和安全地扩展基于容器的应用程序。Pipeline 可以在 5 个云提供商（AWS、Azure、阿里巴巴、Google）和本地（VMware、裸机）上创建 Kubernetes 集群。