Google Cloud和HashiCorp扩展合作

语言开发 Google

摘要： 作为与开源社区更深入结合工作的一部分，Google宣布增进与HashiCorp的合作，合作成果包括用于Treeaform的增强GCP（Google Cloud Platform）功能、基础设施即代码（IaC）云配置工具以及安全管理工具Vault。

作者： Andrew Morgan

正文：

作为与开源社区更深入结合工作的一部分，Google宣布增进与HashiCorp的合作，合作成果包括用于Treeaform的增强GCP（Google Cloud Platform）功能、基础设施即代码（IaC）云配置工具以及安全管理工具Vault。Google对此解释是：

Google和Hashicorp都有专门的工程团队专注于提高并扩展HashiCorp产品对GCP的支持。我们关注技术的相关事宜，并且在多个重要架构领域上分享围绕HashiCorp产品上市所做的努力。

当前，这一合作所关注的两个重要领域是：

1. 云配置（Cloud Provisioning）：开发用于Terraform的Google Cloud Provider，使用户可以定义自己的GCP基础设施即代码。
2. 云安全和安全管理（Cloud Security and Secret Management）：提高HashiCorp Valut和GCP间的集成。

在Terraform方面，当前其工具中给出了一个专门针对GCP实现的Google Cloud Provider，开发人员可以用编程的方式管理IAM策略、Compute Engine资源及更多配置。

Google也发布了众多用于Terraform的GCP模块，并给出了一种方式可组成并重用各种使用GCP资源的架构模式。这些可以在Terraform Module Registry中看到。

现在HashiCorp Vault具有两种专用于GCP的认证后端。认证后端在本质上是用于向令牌交换凭证，这些凭证进而可用于访问Vault中保密内容。两种后端分别为：

1. GCP IAM Service Accounts：使用Identify & Access Management (IAM) Service Account Credentials的用户可以使用这些信息区生成一个JWT（Json Web Token），进而在Vault访问令牌时可以交换该JWT。
2. Google Compute Engine Instance Identity：Google Compute Engine（GCE）实例可以使用自身的实例元数据生成一个JWT，进而在Vault访问令牌时可以交换该JWT。

对GCP的直接支持意在尽可能地简化GCP服务的认证过程。“使用这些认证后端，运行在Google Cloud上的特定服务更易于访问构建中所需的保密内容，或是访问运行时存储在Vault中的保密内容。

Google还发布了一种在GCP上运行Vault的解决方案，并给出了如何部署应用及使用新后台做认证的指导。

HashiCorp和Google均鼓励社区对Vault和Terraform做出贡献。

查看英文原文： Google Cloud and HashiCorp Expand Collaboration