kes server
概述
Thekes servercommand starts a MinIO Key Encryption Server (KES) server.
该kes server处理来自支持的密钥管理系统(KMS)的加密密钥创建和检索请求。
KES是在MinIO部署中启用服务器端对象加密的必要组件。
默认使用0.0.0.0:7373除非另有规定config文件或--addrparameter.
语法
kes server \
--addr <IP:PORT> \
--config <path> \
[--dev]
参数
--addr
服务器使用的IP地址和端口。
如果未指定,默认值为0.0.0.0:7373.
--config
用于 KES 服务器的 YAML 格式配置文件路径。
--dev
创建一个用于快速测试的开发服务器127.0.0.1:7373此标志不需要配置文件、TLS证书生成或其他设置。
密钥是临时的,并且存储在内存中。
临时数据在进程重启时会丢失。 这包括存储在KES上的所有加密密钥,导致任何加密数据永久无法读取。
如果您不介意丢失这些数据,请不要使用临时密钥加密数据。
切勿在生产环境中使用开发模式。
flag 的输出包含在测试期间 KES 客户端需要使用的 API 密钥。 输出类似于以下内容:
Version 2023-11-09T17-35-47Z commit=53b74e38697bc68fd88dff7a3cf431db692db9ef
Runtime go1.21.4 darwin/arm64 compiler=gc
License AGPLv3 https://www.gnu.org/licenses/agpl-3.0.html
Copyright MinIO, Inc. 2015-2023 https://min.io/
KMS In Memory
API · https://127.0.0.1:7373/
· https://192.168.188.79:7373/
Docs https://docs.min.io/community/minio-kes/
API Key kes:v1:ADsGCjJoWziQ82wPUG6oHbqhhlbkajaRGP+3+JSfx5Wq
Admin 7bbffa635fc160ef8048a344a53aab54e472e5c654c6339a9cec9223301808c7
Logs error=stderr level=INFO
audit=stdout level=INFO
=> Server is up and running...
将API地址和API密钥作为环境变量配置到您的KES客户端:
$ export KES_SERVER=https://127.0.0.1:7373/
$ export KES_API_KEY=kes:v1:ADsGCjJoWziQ82wPUG6oHbqhhlbkajaRGP+3+JSfx5Wq
$ kes key ls -k
示例
启动 KES 服务器
使用配置文件启动一个新的 KES 服务器127.0.0.1:7000.
kes server --addr :7000 --config ./kes/config.yml
创建一个用于测试的开发 KES 服务器
启动一个新的 KES 服务器127.0.0.1:7373在开发模式下。
密钥是易失性的,存储在内存中。
kes server --dev
已弃用参数
--auth
2023-11-09T17-35-47Z这个标志已弃用。
请使用配置文件改为指定证书。控制服务器如何处理mTLS身份验证。
默认情况下,服务器要求客户端提供证书,并验证该证书是否由受信任的证书颁发机构签发。
- 需要证书并验证其有效性:
--auth=on(default) - 需要证书,但不验证其有效性
--auth=off
如果关闭,客户端接受任意证书,但继续将它们映射到策略。 这将禁用认证但是,不禁用授权.
auth仅在测试环境中。
--cert
2023-11-09T17-35-47Z这个标志已弃用。
请使用配置文件改为指定证书。TLS 证书的路径。
如果在指定的配置文件中也存在,cert此处输入的内容具有优先权。
--key
2023-11-09T17-35-47Z这个标志已弃用。
请使用配置文件改为指定证书。KES 服务器私钥的路径,该私钥与 X.509 服务器证书相对应。
如果在指定的配置文件中也存在,key此处输入的内容具有优先权。