boundary
v0.18.2
邊界是一種身份意識的代理,它提供了一種簡單,安全的方法來訪問網絡上的主機和關鍵系統。
有了邊界,您可以:
邊界設計為簡單地理解,可擴展和彈性。它可以在雲,本地,安全的飛地等中運行,並且不需要在每個端主機上安裝代理,因此除了傳統的主機系統和服務外,它也適用於訪問託管/雲服務和基於容器的工作流程。
有關更多信息,請參閱“什麼是邊界?”在邊界網站上。
邊界由兩個服務器組件組成:
實際的邊界安裝可能由一個或多個控制器與一個或多個工人配對。單個邊界二進制可以在這兩種模式中或兩者中作用。
此外,邊界為最終用戶提供了桌面客戶端和CLI,以要求並建立跨網絡資源的授權會議。
邊界不需要在主機和服務上安裝軟件。
邊界有兩個外部依賴性:
該數據庫包含邊界的配置和會話信息。控制器節點必須能夠訪問數據庫。
數據庫中加密為秘密的值(例如憑據)。當前,PostgreSQL被支持為數據庫,並已通過Postgres 12及更高版本進行了測試。
邊界僅使用通用擴展,並且支持託管和自我管理的實例。在大多數情況下,您需要的只是數據庫端點和適當的憑據。
邊界將KMS鍵用於各種目的,例如保護秘密,身份驗證工人,恢復數據,在邊界配置中加密值等等。邊界廣泛使用密鑰推導,以避免這些高價值密鑰的密鑰蔓延。
您可以使用任何云KM或Vault的Transit Secret引擎來滿足KMS要求。
在更永久的上下文中運行邊界需要更多步驟,例如編寫一些簡單的配置文件來告訴節點如何到達其數據庫和KMS。我們的安裝指南中詳細介紹了下面的步驟以及永久安裝所需的額外信息。
配x 除開發案例或測試用例外,請勿使用main分支。邊界0.10引入的釋放分支應該可以安全地跟踪,但是,如果需要,可能會重新main。如果main在遷移斷裂或其他錯誤中,邊界團隊將無法提供幫助。
從我們的下載頁面下載服務器二進制和適當桌面客戶端的最新版本
邊界具有dev模式,您可以使用該模式進行測試。在dev模式下,您可以使用一個命令同時啟動控制器和工作人員,並且它們具有以下屬性:
如果滿足以下本地要求,則可以快速啟動並以邊界運行:
只需運行:
make install
這將建立邊界。 (這是第一次運行,它將獲取和編譯UI資產;這將需要額外幾分鐘。)一旦完成,以dev模式運行邊界:
$GOPATH/bin/boundary dev
請注意,開發可能需要其他工具;要在邊界團隊使用的版本上安裝一組工具,請運行:
make tools
如果不這樣做,則在運行make install時可能會遇到錯誤。還必須注意的是,使用make tools將安裝用於邊界開發的各種工具,用於正常的GO二進制目錄;這可能覆蓋或優先於系統上可能已安裝的工具。
使用以下方式啟動服務器二進制
boundary dev
這將在http://127.0.0.1:9200上啟動控制器服務,以獲取進入API請求,並在http://127.0.0.1:9202 9202上偵聽來源會話請求。它還將創建各種默認資源並顯示各種有用的信息,例如可用於身份驗證的登錄名和密碼。
對於dev模式下邊界的簡單測試,您通常根本不需要配置任何資源!但是了解dev模式為您做了什麼是有用的,這樣您就可以採取進一步的步驟。默認情況下, dev模式將創建:
global範圍,包含密碼類型auth方法以及登錄帳戶。global範圍,以及組織內部的項目範圍。127.0.0.1 )22 (例如SSH)您可以進入邊界的Web UI或使用其API更改這些默認值,例如,如果要連接到另一個主機或需要修改要連接的端口。
接下來,讓我們通過邊界與您的本地SSH守護程序建立連接:
dev值,這將是boundary authenticate password -auth-method-id ampw_1234567890 -login-name admin -password password 。 (請注意,如果您不包含password標誌,則會提示它。)boundary connect ssh -target-id ttcp_1234567890 。如果要調整用戶名,請將-username <name>傳遞到命令。查看目標配置測試限制(或增加)每個會話的連接數或設置最大時間限制的可能性;嘗試從“會話”頁面或通過boundary sessions取消活動會話,使用boundary connect -exec進行自己的命令,等等。
這個示例是一種開始的簡單方法,但省略了可以在生產環境中採取的幾個關鍵步驟:
請注意:我們非常重視邊界的安全性和用戶的信任。如果您認為自己在邊界中找到了安全問題,請通過[email protected]與我們聯繫,以負責任地披露。
感謝您對貢獻的興趣!請參閱貢獻.md以獲取指導。
