boundary
v0.18.2
Boundaryは、ネットワーク上のホストと重要なシステムにアクセスするためのシンプルで安全な方法を提供するID対象のプロキシです。
境界では:
境界は、理解するために簡単で、高度にスケーラブルで、回復力があるように設計されています。クラウド、オンプレム、セキュアなエンクレーブなどで実行でき、すべてのエンドホストにエージェントをインストールする必要はありません。
詳細については、「境界とは何ですか?」を参照してください。境界ウェブサイトで。
境界は、2つのサーバーコンポーネントで構成されています。
現実世界の境界設備は、おそらく1人以上のワーカーとペアになった1つ以上のコントローラーで構成されます。単一の境界バイナリは、これら2つのモードのいずれかまたはその両方で作用できます。
さらに、Boundaryは、エンドユーザーがネットワーク全体のリソースに承認されたセッションを要求して確立できるデスクトップクライアントとCLIを提供します。
Boundaryでは、ホストとサービスにソフトウェアをインストールする必要はありません。
境界には2つの外部依存関係があります。
データベースには、Boundaryの構成情報とセッション情報が含まれています。コントローラーノードはデータベースにアクセスできる必要があります。
秘密(資格情報など)である値は、データベースで暗号化されます。現在、PostgreSQLはデータベースとしてサポートされており、Postgres 12以降でテストされています。
境界は一般的な拡張のみを使用し、ホストされたインスタンスと自己管理インスタンスの両方がサポートされています。ほとんどの場合、必要なのはデータベースのエンドポイントと適切な資格情報だけです。
境界は、秘密の保護、労働者の認証、データの回復、境界の構成の値の暗号化など、さまざまな目的でKMSキーを使用します。境界は、これらの高価値キーのキースプロールを避けるために、キー派生を広範囲に使用します。
クラウドKMSまたはVaultのTransit Secretエンジンを使用して、KMS要件を満たすことができます。
より永続的なコンテキストで境界を実行するには、データベースとKMSに到達する方法をノードに伝えるためのいくつかの単純な構成ファイルの記述など、さらにいくつかのステップが必要です。以下の手順は、恒久的なインストールに必要な追加情報とともに、インストールガイドに詳述されています。
ショ和 開発またはテストケースを除いて、mainブランチを使用しないでください。境界0.10は、追跡するのに安全なリリースブランチを導入しましたが、必要に応じてmainに移行することができます。境界チームは、移動の破損やその他のバグで長期的にmain実行しても支援を提供できません。
ダウンロードページからサーバーバイナリと適切なデスクトップクライアントの最新リリースをダウンロードする
境界には、テストに使用できるdevモードがあります。 devモードでは、単一のコマンドでコントローラーとワーカーの両方を開始でき、次のプロパティがあります。
次のローカル要件を満たしている場合は、境界ですぐに立ち上がって実行できます。
単純に実行:
make install
これにより、境界が構築されます。 (これが初めて実行されると、UIアセットを取得してコンパイルします。これには数分かかります。)完了したら、 devモードで境界を実行します。
$GOPATH/bin/boundary dev
開発には他のツールが必要になる場合があることに注意してください。境界チームが使用するバージョンにツールのセットをインストールするには、次のことを実行します。
make tools
そうすることなく、実行中にmake install実行中にエラーに遭遇する可能性があります。また、 make toolsを使用すると、境界開発に使用されるさまざまなツールが通常のGOバイナリディレクトリにインストールされることに注意することも重要です。これは、システムにすでにインストールされている可能性のあるツールよりも上書きまたは優先される場合があります。
サーバーのバイナリを開始してください。
boundary dev
これにより、着信APIリクエストのためにhttp://127.0.0.1:9200でコントローラーサービスをリスニングし、 http://127.0.0.1:9202 9202でリスニングするワーカーサービスを開始します。また、さまざまなデフォルトのリソースを作成し、認証に使用できるログイン名とパスワードなど、さまざまな有用な情報を表示します。
devモードでの境界の簡単なテストの場合、通常、リソースを構成する必要はありません!しかし、 dev Modeがあなたのために何をしたかを理解することは便利です。そうすれば、さらなる措置を講じることができます。デフォルトでは、 devモードが作成されます。
global範囲とログインのアカウント。globalの下の組織の範囲と、組織内のプロジェクト範囲。127.0.0.1 )22 (例えばSSH)で、ホストを一連の接続パラメーターにマッピングするターゲットBoundaryのWeb UIに移動するか、APIを使用してこれらのデフォルト値を変更できます。たとえば、別のホストに接続する場合、または接続するポートを変更する必要がある場合。
次に、実際に境界を介して地元のSSHデーモンに接続しましょう。
dev値を使用すると、これはboundary authenticate password -auth-method-id ampw_1234567890 -login-name admin -password passwordになります。 ( passwordフラグが含まれていない場合は、それを求められることに注意してください。)boundary connect ssh -target-id ttcp_1234567890実行します。ユーザー名を調整する場合は、コマンドに-username <name>を渡します。セッションごとの接続数を制限(または増加させる)または最大時間制限を設定する(または増加)テストするターゲット構成の可能性を確認してください。セッションページまたはboundary sessionsを介してアクティブなセッションをキャンセルして、 boundary connect -execなどで独自のコマンドを作成してください。
この例は、開始する簡単な方法ですが、制作のコンテキストで取得できるいくつかの重要なステップを省略します。
注:Boundaryのセキュリティとユーザーの信頼を非常に真剣に受け止めています。境界でセキュリティの問題を見つけたと思われる場合は、[email protected]に連絡して責任を持って開示してください。
貢献してくれてありがとう!ガイダンスについては、converting.mdを参照してください。
