boundary
v0.18.2
边界是一种身份意识的代理,它提供了一种简单,安全的方法来访问网络上的主机和关键系统。
有了边界,您可以:
边界设计为简单地理解,可扩展和弹性。它可以在云,本地,安全的飞地等中运行,并且不需要在每个端主机上安装代理,因此除了传统的主机系统和服务外,它也适用于访问托管/云服务和基于容器的工作流程。
有关更多信息,请参阅“什么是边界?”在边界网站上。
边界由两个服务器组件组成:
实际的边界安装可能由一个或多个控制器与一个或多个工人配对。单个边界二进制可以在这两种模式中或两者中作用。
此外,边界为最终用户提供了桌面客户端和CLI,以要求并建立跨网络资源的授权会议。
边界不需要在主机和服务上安装软件。
边界有两个外部依赖性:
该数据库包含边界的配置和会话信息。控制器节点必须能够访问数据库。
数据库中加密为秘密的值(例如凭据)。当前,PostgreSQL被支持为数据库,并已通过Postgres 12及更高版本进行了测试。
边界仅使用通用扩展,并且支持托管和自我管理的实例。在大多数情况下,您需要的只是数据库端点和适当的凭据。
边界将KMS键用于各种目的,例如保护秘密,身份验证工人,恢复数据,在边界配置中加密值等等。边界广泛使用密钥推导,以避免这些高价值密钥的密钥蔓延。
您可以使用任何云KM或Vault的Transit Secret引擎来满足KMS要求。
在更永久的上下文中运行边界需要更多步骤,例如编写一些简单的配置文件来告诉节点如何到达其数据库和KMS。我们的安装指南中详细介绍了下面的步骤以及永久安装所需的额外信息。
配x 除开发案例或测试用例外,请勿使用main分支。边界0.10引入的释放分支应该可以安全地跟踪,但是,如果需要,可能会重新main。如果main在迁移断裂或其他错误中,边界团队将无法提供帮助。
从我们的下载页面下载服务器二进制和适当桌面客户端的最新版本
边界具有dev模式,您可以使用该模式进行测试。在dev模式下,您可以使用一个命令同时启动控制器和工作人员,并且它们具有以下属性:
如果满足以下本地要求,则可以快速启动并以边界运行:
只需运行:
make install
这将建立边界。 (这是第一次运行,它将获取和编译UI资产;这将需要额外几分钟。)一旦完成,以dev模式运行边界:
$GOPATH/bin/boundary dev
请注意,开发可能需要其他工具;要在边界团队使用的版本上安装一组工具,请运行:
make tools
如果不这样做,则在运行make install时可能会遇到错误。还必须注意的是,使用make tools将安装用于边界开发的各种工具,用于正常的GO二进制目录;这可能覆盖或优先于系统上可能已安装的工具。
使用以下方式启动服务器二进制
boundary dev
这将在http://127.0.0.1:9200上启动控制器服务,以获取进入API请求,并在http://127.0.0.1:9202 9202上侦听来源会话请求。它还将创建各种默认资源并显示各种有用的信息,例如可用于身份验证的登录名和密码。
对于dev模式下边界的简单测试,您通常根本不需要配置任何资源!但是了解dev模式为您做了什么是有用的,这样您就可以采取进一步的步骤。默认情况下, dev模式将创建:
global范围,包含密码类型auth方法以及登录帐户。global范围,以及组织内部的项目范围。127.0.0.1 )22 (例如SSH)您可以进入边界的Web UI或使用其API更改这些默认值,例如,如果要连接到另一个主机或需要修改要连接的端口。
接下来,让我们通过边界与您的本地SSH守护程序建立连接:
dev值,这将是boundary authenticate password -auth-method-id ampw_1234567890 -login-name admin -password password 。 (请注意,如果您不包含password标志,则会提示它。)boundary connect ssh -target-id ttcp_1234567890 。如果要调整用户名,请将-username <name>传递到命令。查看目标配置测试限制(或增加)每个会话的连接数或设置最大时间限制的可能性;尝试从“会话”页面或通过boundary sessions取消活动会话,使用boundary connect -exec进行自己的命令,等等。
这个示例是一种开始的简单方法,但省略了可以在生产环境中采取的几个关键步骤:
请注意:我们非常重视边界的安全性和用户的信任。如果您认为自己在边界中找到了安全问题,请通过[email protected]与我们联系,以负责任地披露。
感谢您对贡献的兴趣!请参阅贡献.md以获取指导。
