Sav*_*oto 5 amazon-dynamodb hashicorp-vault
我在 DynamoDB 后端使用 AWS 上的 Vault。后端支持HA。
storage "dynamodb" {
ha_enabled = "true"
region = "us-west-2"
table = "vault-data"
}
阅读 HA 概念文档:https : //www.vaultproject.io/docs/concepts/ha.html
为了获得高可用性,其中一个 Vault 服务器节点会在数据存储中获取锁。成功的服务器节点随后成为活动节点;所有其他节点成为备用节点。此时,如果备用节点收到请求,它们将根据集群的当前配置和状态转发请求或重定向客户端——有关详细信息,请参阅以下部分。由于这种架构,HA 无法提高可扩展性。
我对在 ELB 后面拥有一组 EC2 实例不感兴趣,其中只有 1 个实例表现得像一个主实例并与 DynamoDB 对话。
我想运行 N 个运行 Vault 的 Ec2 实例,独立于 DynamoDB 进行读写。
因为 DynamoDB 支持从多个 EC2 实例读/写,我希望能够同时从多个实例解封 Vault 并执行读和写操作。即使ha_enabled = "false"不进行领导选举,这也应该适用于。
为什么文档中不建议使用这种架构?为什么它不应该工作?是否有我遗漏的任何加密限制?
谢谢你
这是 Vault Enterprise 的一项功能。有了它,您可以设置一个主集群和尽可能多的“辅助”集群,即性能副本。每个集群都有自己的存储和解封机制。因此,您可以将一个集群放在 Dynamo DB 上,另一个集群放在 Raft 上。如果两者都位于 Dynamo DB 上,则每个都需要一个 Dynamo DB 表。
但请记住,性能副本始终会将写入操作转发到主集群。写入操作会影响 Vault 的全局状态。从这个意义上说,POST/transit不被视为写入操作。
另一种可能性是在本地安装您的 kv 存储(带有标志-local)。然后,即使安装在性能副本上,它也会像主节点一样运行,但代价是无法复制到其他集群。
最后一点:DR 集群是任何集群的精确副本。每个集群,无论是主集群还是副本集群,都可以有其 DR 集群。
| 归档时间: |
|
| 查看次数: |
727 次 |
| 最近记录: |