boundary

• Apa itu batas: https://developer.hashicorp.com/boundary/docs/overview/what-is-boundary
• Situs web: https://www.boundaryproject.io/
• Forum: Diskusi Hashicorp
• Dokumentasi: https://boundaryproject.io/docs
• Tutorial: Platform Belajar Hashicorp

Boundary adalah proxy sadar identitas yang menyediakan cara sederhana dan aman untuk mengakses host dan sistem kritis di jaringan Anda.

Dengan batas Anda bisa:

• Integrasi dengan IDP pilihan Anda menggunakan OpenID Connect, memungkinkan pengguna untuk masuk dengan aman ke lingkungan batas mereka
• Menyediakan akses jaringan tepat waktu ke sumber daya jaringan, di mana pun mereka tinggal
• Kelola kredensial sesi melalui toko kredensial statis asli, atau secara dinamis menghasilkan kredensial per sesi yang unik dengan mengintegrasikan dengan Hashicorp Vault
• Otomatis penemuan titik akhir baru
• Kelola Sesi Privileged Menggunakan Kontrol Sesi Batas
• Standarisasi alur kerja akses tim Anda dengan pengalaman yang konsisten untuk semua jenis infrastruktur di seluruh penyedia mana pun

Batas dirancang agar mudah dipahami, sangat terukur, dan tangguh. Ini dapat berjalan di awan, di-prem, kantong yang aman dan banyak lagi, dan tidak memerlukan agen untuk diinstal pada setiap host akhir, membuatnya cocok untuk akses ke layanan yang dikelola/cloud dan alur kerja berbasis kontainer di samping sistem dan layanan host tradisional.

Untuk informasi lebih lanjut, lihat "Apa itu Batas?" di situs web Boundary.

Batas terdiri dari dua komponen server:

• Pengontrol , yang melayani API dan koordinat permintaan sesi
• Pekerja , yang melakukan penanganan sesi

Instalasi batas dunia nyata kemungkinan akan terdiri dari satu atau lebih pengontrol yang dipasangkan dengan satu atau lebih pekerja. Biner batas tunggal dapat bertindak di salah satu, atau keduanya, dari dua mode ini.

Selain itu, Boundary menyediakan klien desktop dan CLI untuk pengguna akhir untuk meminta dan membuat sesi resmi untuk sumber daya di seluruh jaringan.

Batas tidak memerlukan perangkat lunak untuk diinstal pada host dan layanan Anda.

Batas memiliki dua dependensi eksternal:

• Database SQL
• Setidaknya satu km

Basis data berisi konfigurasi dan informasi sesi batas. Node pengontrol harus dapat mengakses database.

Nilai yang merupakan rahasia (misalnya kredensial) dienkripsi dalam database. Saat ini, PostgreSQL didukung sebagai database dan telah diuji dengan Postgres 12 ke atas.

Boundary hanya menggunakan ekstensi umum dan contoh yang di-host dan dikelola sendiri didukung. Dalam kebanyakan kasus, semua yang Anda butuhkan adalah titik akhir database dan kredensial yang sesuai.

Boundary menggunakan kunci KMS untuk berbagai tujuan, seperti melindungi rahasia, mengautentikasi pekerja, memulihkan data, enkripsi nilai dalam konfigurasi Boundary, dan banyak lagi. Boundary menggunakan derivasi kunci secara luas untuk menghindari genggaman kunci dari kunci bernilai tinggi ini.

Anda dapat menggunakan mesin Cloud KMS atau Vault's Transit Secrets untuk memenuhi persyaratan KMS.

Menjalankan batas dalam konteks yang lebih permanen membutuhkan beberapa langkah lagi, seperti menulis beberapa file konfigurasi sederhana untuk memberi tahu node bagaimana mencapai basis data dan KMS mereka. Langkah -langkah di bawah ini, bersama dengan informasi tambahan yang diperlukan untuk instalasi permanen, dirinci dalam panduan instalasi kami.

️ Jangan gunakan cabang main kecuali untuk kasus dev atau uji. Batas 0.10 Cabang rilis yang diperkenalkan yang harus aman untuk dilacak, namun, migrasi di main dapat dinomori ulang jika diperlukan. Tim batas tidak akan dapat memberikan bantuan jika menjalankan main dalam hasil jangka panjang dalam kerusakan migrasi atau bug lainnya.

Unduh rilis terbaru dari Binary Server dan Klien Desktop yang sesuai dari halaman Unduhan kami

Batas memiliki mode dev yang dapat Anda gunakan untuk pengujian. Dalam mode dev , Anda dapat memulai pengontrol dan pekerja dengan perintah tunggal, dan mereka memiliki properti berikut:

• Pengontrol memulai wadah Docker PostgreSQL untuk digunakan sebagai penyimpanan. Wadah ini akan ditutup dan dilepas, jika memungkinkan, ketika pengontrol ditutup dengan anggun.
• Pengontrol menggunakan KMS internal dengan kunci fana

Jika Anda memenuhi persyaratan lokal berikut, Anda dapat dengan cepat bangun dan berjalan dengan batas:

• Pergi v1.21 atau lebih
• Buruh pelabuhan
• Entah dependensi batas UI untuk membangun aset UI secara lokal atau GH CLI untuk mengunduh aset UI yang sudah dibangun.

Cukup jalankan:

make install

Ini akan membangun batas. (Pertama kali ini dijalankan, ini akan mengambil dan menyusun aset UI; yang akan memakan waktu beberapa menit tambahan.) Setelah lengkap, jalankan batas dalam mode dev :

$GOPATH/bin/boundary dev

Harap dicatat bahwa pengembangan mungkin memerlukan alat lain; Untuk menginstal set alat di versi yang digunakan oleh tim batas, jalankan:

make tools

Tanpa melakukannya, Anda mungkin mengalami kesalahan saat menjalankan make install . Penting untuk juga dicatat bahwa menggunakan make tools akan menginstal berbagai alat yang digunakan untuk pengembangan batas ke Direktori Biner GO Normal; Ini dapat menimpa atau diutamakan daripada alat yang mungkin sudah diinstal pada sistem.

Mulai biner server dengan:

boundary dev

Ini akan memulai layanan pengontrol mendengarkan di http://127.0.0.1:9200 untuk permintaan API yang masuk dan layanan pekerja mendengarkan di http://127.0.0.1:9202 untuk permintaan sesi yang masuk. Ini juga akan membuat berbagai sumber daya default dan menampilkan berbagai informasi yang berguna, seperti nama login dan kata sandi yang dapat digunakan untuk mengotentikasi.

Untuk tes Batas yang sederhana dalam mode dev , Anda biasanya tidak perlu mengonfigurasi sumber daya apa pun! Tetapi berguna untuk memahami apa yang dilakukan mode dev untuk Anda sehingga Anda kemudian dapat mengambil langkah lebih lanjut. Secara default, mode dev akan membuat:

• Lingkup global untuk otentikasi awal, berisi metode auth tipe kata sandi, bersama dengan akun untuk login.
• Ruang lingkup organisasi di bawah global , dan ruang lingkup proyek di dalam organisasi.
• Katalog host dengan set host default, yang dengan sendirinya berisi host dengan alamat mesin lokal ( 127.0.0.1 )
• Pemetaan target Host set ke satu set parameter koneksi, dengan port default 22 (misalnya SSH)

Anda dapat masuk ke UI Web Boundary atau menggunakan API -nya untuk mengubah nilai -nilai default ini, misalnya jika Anda ingin terhubung ke host yang berbeda atau perlu memodifikasi port yang akan terhubung.

Selanjutnya, mari kita benar -benar membuat koneksi ke daemon ssh lokal Anda melalui batas:

1. Otentikasi ke batas; Menggunakan nilai dev default, ini akan menjadi boundary authenticate password -auth-method-id ampw_1234567890 -login-name admin -password password . (Perhatikan bahwa jika Anda tidak menyertakan bendera password Anda akan diminta untuk itu.)
2. Jalankan boundary connect ssh -target-id ttcp_1234567890 . Jika Anda ingin menyesuaikan nama pengguna, lulus -username <name> ke perintah.

Lihat kemungkinan konfigurasi target untuk menguji membatasi (atau meningkatkan) jumlah koneksi per sesi atau menetapkan batas waktu maksimum; Coba membatalkan sesi aktif dari halaman sesi atau melalui boundary sessions , buat perintah Anda sendiri dengan boundary connect -exec , dan sebagainya.

Contoh ini adalah cara sederhana untuk memulai tetapi menghilangkan beberapa langkah kunci yang dapat diambil dalam konteks produksi:

• Menggunakan firewall atau cara lain untuk membatasi set host yang diizinkan untuk terhubung ke layanan lokal ke hanya node pekerja batas, sehingga menjadikan batas satu -satunya sarana masuk ke host
• Menggunakan Batas Penyedia Terraform untuk dengan mudah mengintegrasikan Batas dengan infrastruktur berbasis kode yang ada
• Menunjuk alat BI (Powerbi, Tableau, dll.) Di gudang data Boundary untuk menghasilkan wawasan dan mencari anomali sehubungan dengan akses sesi

Harap dicatat : Kami mengambil keamanan Boundary dan kepercayaan pengguna kami dengan sangat serius. Jika Anda yakin telah menemukan masalah keamanan dalam batas, silakan ungkapkan dengan bertanggung jawab dengan menghubungi kami di [email protected].

Terima kasih atas minat Anda untuk berkontribusi! Silakan merujuk ke Contributing.md untuk panduan.