kes server
概觀
kes server 命令會啟動 MinIO 金鑰加密伺服器 (KES) 伺服器。kes server 會處理從支援的金鑰管理系統 (KMS) 建立和擷取密碼編譯金鑰的要求。KES 是在 MinIO 部署中啟用伺服器端物件加密的必要元件。
預設為使用 0.0.0.0:7373,除非在設定檔或 --addr 參數中指定。
語法
kes server \
--addr <IP:PORT> \
--config <path> \
[--dev]
參數
--addr
伺服器要使用的 IP 位址和埠。
如果未指定,預設值為 0.0.0.0:7373。
--config
KES 伺服器要使用的 YAML 格式設定檔路徑。
--dev
建立開發伺服器,以便在 127.0.0.1:7373 上進行快速測試。此旗標不需要設定檔、TLS 憑證產生或其他設定。
金鑰是暫時性的,並儲存在記憶體中。
當程序重新啟動時,暫時性資料會遺失。這包括儲存在 KES 上的所有加密金鑰,導致任何加密資料永久無法讀取。
如果您不希望遺失資料,請勿使用暫時性金鑰來加密資料。
切勿將開發模式用於生產環境。
此旗標的輸出包含在測試期間 KES 用戶端上使用的 API 金鑰。輸出類似如下
Version 2023-11-09T17-35-47Z commit=53b74e38697bc68fd88dff7a3cf431db692db9ef
Runtime go1.21.4 darwin/arm64 compiler=gc
License AGPLv3 https://gnu.dev.org.tw/licenses/agpl-3.0.html
Copyright MinIO, Inc. 2015-2023 https://minio.dev.org.tw/
KMS In Memory
API · https://127.0.0.1:7373/
· https://192.168.188.79:7373/
Docs https://minio.dev.org.tw/docs/kes
API Key kes:v1:ADsGCjJoWziQ82wPUG6oHbqhhlbkajaRGP+3+JSfx5Wq
Admin 7bbffa635fc160ef8048a344a53aab54e472e5c654c6339a9cec9223301808c7
Logs error=stderr level=INFO
audit=stdout level=INFO
=> Server is up and running...
請在您的 KES 用戶端上將 API 位址和 API 金鑰設定為環境變數。
$ export KES_SERVER=https://127.0.0.1:7373/
$ export KES_API_KEY=kes:v1:ADsGCjJoWziQ82wPUG6oHbqhhlbkajaRGP+3+JSfx5Wq
$ kes key ls -k
範例
啟動 KES 伺服器
使用設定檔在 127.0.0.1:7000 上啟動新的 KES 伺服器。
kes server --addr :7000 --config ./kes/config.yml
建立用於測試的開發 KES 伺服器
在開發模式下於 127.0.0.1:7373 上啟動新的 KES 伺服器。金鑰為揮發性並儲存在記憶體中。
kes server --dev
已棄用的參數
--auth
2023-11-09T17-35-47Z 版本起,此旗標已棄用。請使用設定檔來指定憑證。控制伺服器如何處理 mTLS 身份驗證。
預設情況下,伺服器需要客戶端憑證,並驗證該憑證是否由受信任的憑證授權單位簽發。
- 要求憑證並驗證其有效性:
--auth=on(預設) - 要求憑證,但不驗證其有效性
--auth=off
如果關閉,客戶端會接受任意憑證,但會繼續將它們映射到策略。這會禁用身份驗證,但並不會禁用授權。
auth。
--cert
2023-11-09T17-35-47Z 版本起,此旗標已棄用。請使用設定檔來指定憑證。TLS 憑證的路徑。
如果指定的設定檔中也存在,則此處輸入的 cert 會優先採用。
--key
2023-11-09T17-35-47Z 版本起,此旗標已棄用。請使用設定檔來指定憑證。與 X.509 伺服器憑證對應的 KES 伺服器私鑰的路徑。
如果指定的設定檔中也存在,則此處輸入的 key 會優先採用。