kes server

概述

Thekes servercommand starts a MinIO Key Encryption Server (KES) server. 该kes server处理来自支持的密钥管理系统(KMS)的加密密钥创建和检索请求。 KES是在MinIO部署中启用服务器端对象加密的必要组件。

默认使用0.0.0.0:7373除非另有规定config文件或--addrparameter.

语法

kes server              \
    --addr <IP:PORT>    \
    --config <path>     \
    [--dev] 

参数

--addr

服务器使用的IP地址和端口。

如果未指定,默认值为0.0.0.0:7373.

--config

用于 KES 服务器的 YAML 格式配置文件路径。

--dev

创建一个用于快速测试的开发服务器127.0.0.1:7373此标志不需要配置文件、TLS证书生成或其他设置。

密钥是临时的,并且存储在内存中。

重启后密钥丢失

临时数据在进程重启时会丢失。 这包括存储在KES上的所有加密密钥,导致任何加密数据永久无法读取。

如果您不介意丢失这些数据,请不要使用临时密钥加密数据。

切勿在生产环境中使用开发模式。

flag 的输出包含在测试期间 KES 客户端需要使用的 API 密钥。 输出类似于以下内容:


Version     2023-11-09T17-35-47Z    commit=53b74e38697bc68fd88dff7a3cf431db692db9ef
Runtime     go1.21.4 darwin/arm64   compiler=gc
License     AGPLv3                  https://www.gnu.org/licenses/agpl-3.0.html
Copyright   MinIO, Inc.  2015-2023  https://min.io/

KMS         In Memory
API         · https://127.0.0.1:7373/
            · https://192.168.188.79:7373/

Docs        https://docs.min.io/community/minio-kes/

API Key     kes:v1:ADsGCjJoWziQ82wPUG6oHbqhhlbkajaRGP+3+JSfx5Wq
Admin       7bbffa635fc160ef8048a344a53aab54e472e5c654c6339a9cec9223301808c7
Logs        error=stderr level=INFO
            audit=stdout level=INFO

=> Server is up and running...

将API地址和API密钥作为环境变量配置到您的KES客户端:

$ export KES_SERVER=https://127.0.0.1:7373/
$ export KES_API_KEY=kes:v1:ADsGCjJoWziQ82wPUG6oHbqhhlbkajaRGP+3+JSfx5Wq

$ kes key ls -k

示例

启动 KES 服务器

使用配置文件启动一个新的 KES 服务器127.0.0.1:7000.

kes server --addr :7000 --config ./kes/config.yml

创建一个用于测试的开发 KES 服务器

启动一个新的 KES 服务器127.0.0.1:7373在开发模式下。 密钥是易失性的,存储在内存中。

kes server --dev

已弃用参数

--auth

已弃用
截至发布2023-11-09T17-35-47Z这个标志已弃用。 请使用配置文件改为指定证书。

控制服务器如何处理mTLS身份验证。

默认情况下,服务器要求客户端提供证书,并验证该证书是否由受信任的证书颁发机构签发。

  • 需要证书并验证其有效性:--auth=on(default)
  • 需要证书,但不验证其有效性--auth=off

如果关闭,客户端接受任意证书,但继续将它们映射到策略。 这将禁用认证但是,禁用授权.

禁用auth仅在测试环境中。

--cert

已弃用
截至发布2023-11-09T17-35-47Z这个标志已弃用。 请使用配置文件改为指定证书。

TLS 证书的路径。

如果在指定的配置文件中也存在,cert此处输入的内容具有优先权。

--key

已弃用
截至发布2023-11-09T17-35-47Z这个标志已弃用。 请使用配置文件改为指定证书。

KES 服务器私钥的路径,该私钥与 X.509 服务器证书相对应。

如果在指定的配置文件中也存在,key此处输入的内容具有优先权。