kes server
概述
kes server 命令启动 MinIO 密钥加密服务器 (KES) 服务器。kes server 处理从受支持的密钥管理系统 (KMS) 创建和检索加密密钥的请求。KES 是在 MinIO 部署中启用服务器端对象加密所需的组件。
默认情况下使用 0.0.0.0:7373,除非在配置文件或 --addr 参数中指定。
语法
kes server \
--addr <IP:PORT> \
--config <path> \
[--dev]
参数
--addr
服务器要使用的 IP 地址和端口。
如果未指定,则默认值为 0.0.0.0:7373。
--config
用于 KES 服务器的 YAML 格式配置文件路径。
--dev
创建一个开发服务器,以便在 127.0.0.1:7373 上进行快速测试。此标志不需要配置文件、TLS 证书生成或其他设置。
密钥是短暂的,并存储在内存中。
进程重启时,短暂数据会丢失。这包括存储在 KES 上的所有加密密钥,导致任何加密数据永久无法读取。
如果您不希望丢失数据,请勿使用短暂密钥加密数据。
切勿在生产环境中使用开发模式。
此标志的输出包括在测试期间在 KES 客户端上使用的 API 密钥。输出类似于以下内容
Version 2023-11-09T17-35-47Z commit=53b74e38697bc68fd88dff7a3cf431db692db9ef
Runtime go1.21.4 darwin/arm64 compiler=gc
License AGPLv3 https://gnu.ac.cn/licenses/agpl-3.0.html
Copyright MinIO, Inc. 2015-2023 https://min-io.cn/
KMS In Memory
API · https://127.0.0.1:7373/
· https://192.168.188.79:7373/
Docs https://min-io.cn/docs/kes
API Key kes:v1:ADsGCjJoWziQ82wPUG6oHbqhhlbkajaRGP+3+JSfx5Wq
Admin 7bbffa635fc160ef8048a344a53aab54e472e5c654c6339a9cec9223301808c7
Logs error=stderr level=INFO
audit=stdout level=INFO
=> Server is up and running...
在您的 KES 客户端上使用 API 地址和 API 密钥作为环境变量
$ export KES_SERVER=https://127.0.0.1:7373/
$ export KES_API_KEY=kes:v1:ADsGCjJoWziQ82wPUG6oHbqhhlbkajaRGP+3+JSfx5Wq
$ kes key ls -k
示例
启动 KES 服务器
使用配置文件在 127.0.0.1:7000 上启动一个新的 KES 服务器。
kes server --addr :7000 --config ./kes/config.yml
创建一个用于测试的开发 KES 服务器
在开发模式下,在 127.0.0.1:7373 上启动一个新的 KES 服务器。密钥是易失性的,并存储在内存中。
kes server --dev
已弃用的参数
--auth
2023-11-09T17-35-47Z 版本开始,此标志已弃用。使用 配置文件 指定证书。控制服务器如何处理 mTLS 身份验证。
默认情况下,服务器需要客户端证书,并验证该证书已由受信任的证书颁发机构颁发。
- 要求证书并验证其有效性:
--auth=on(默认) - 要求证书,但不要验证其有效性
--auth=off
如果关闭,客户端接受任意证书,但继续将其映射到策略。这禁用了身份验证,但不会禁用授权。
auth。
--cert
2023-11-09T17-35-47Z 版本开始,此标志已弃用。使用 配置文件 指定证书。TLS 证书的路径。
如果在指定的配置文件中也存在,则此处输入的cert优先。
--key
2023-11-09T17-35-47Z 版本开始,此标志已弃用。使用 配置文件 指定证书。与 X.509 服务器证书对应的 KES 服务器私钥的路径。
如果在指定的配置文件中也存在,则此处输入的key优先。