HashiCorp: Neue Namen und Funktionen für Terraform, Packer und Vault

Inhaltsverzeichnis

Im Rahmen seiner europäischen Konferenztage Hashidays hat das auf Cloud- und Infrastrukturwerkzeuge spezialisierte Unternehmen HashiCorp neue Funktionen für seine Produkte angekündigt und verraten, wie es sein Produktportfolio künftig übersichtlicher sortiert. Hinzu kommt eine verbesserte Integration zwischen Produkten. Zum Beispiel Nomad und Consul: Dort beklagten Nutzer es immer wieder Lücken, in denen ein Produkt bereits Funktionen hatte, die sich im anderen nicht ansteuern ließen. Das hat Hashicorp nun behoben; Consul ist nun quasi eine natürliche Laufzeitumgebung für Nomad. Das gilt auch in der anderen Richtung: Über Cron-ähnliche Ausdrücke lassen sich Consul-Aktionen zeitgesteuert ausführen.

Ebenfalls angekündigt wurden neue Namen für bekannte Produkte. Neu ist, dass HashiCorp diese in zwei große Kategorien einsortiert. Auf der einen Seite Infrastruktur mit Terraform, Packer, Waypoint und Nomad. Kategorie zwei heißt Security und umfasst Vault, Boundary und Consul.

Unter einem Dach

Alle Produkte zusammen gehören zur "HashiCorp (HCP) Cloud Plattform". Die einstige "Terraform Cloud" nennt sich nun "HCP Terraform" gleiches gilt für HCP Vagrant. Beide gehören zur "HCP Cloud Plattform". Generell ist die Namensgebung mit dem vorangestellten "HCP" jetzt konsistent. Die "HCP Cloud Plattform" gibt es nun auch in einer europäischen Version. HashiCorp erfüllt vielen Kunden damit den Wunsch, die Daten möglichst in Europa zu halten. Das primäre Rechenzentrum steht in Dublin in Irland. Falls es ausfällt, laufen die Dienste in Frankfurt/Main. Zum gegenwärtigen Zeitpunkt steht nur "HCP Terraform" zur Verfügung. Das Vagrant-Pendant folgt noch.

Neuerungen bei der Infrastruktur

Die Mehrzahl der neuen Funktionen liegt im Bereich Infrastruktur. Den Anfang macht "HCP Packer". Das Werkzeug kennt nun Webhooks. So lässt sich das Lifecycle-Management für Abbilder auf einfache und bekannte Weise in Arbeitsabläufe integrieren und automatisieren. Außerdem sind die Metadaten für den Benutzer besser einsehbar. So lässt leicht feststellen, welche Bestandteile und in welcher Version zur Anwendung kamen. Unter den Änderungen an Terraform ist der "AWS Cloud Control Provider" hervorzuheben. Er ist das Resultat der strategischen Partnerschaft von HashiCorp und dem Internet-Giganten AWS. Über das Cloud-Control-API lassen sich nun neue AWS-Funktionen und -Dienste sofort auch für Terraform nutzen. Dazu kommen Erweiterungen des "HCP Terraform Agent" und des Explorers. Zu Letzterem gehören bessere Suchfilter und präzisere Berichte über die verwalteten Ressourcen. Die Agenterweiterungen erlauben nun die Benutzung von selbst verwalteten Versionskontrolle- oder Richtlinien-Systemen. Benutzer von "HCP Terraform" können nun auch eigene Konfigurationsfunktionen implementieren.

Den Abschluss im Infrastruktur-Teil bilden "HCP Waypoint Actions". Diese erlauben nun die Integration von Operationen und Arbeitsabläufen aus dem Tagesbetrieb über Github Actions, Jenkins oder anderer Dritthersteller-Dienste. Im persönlichen Gespräch mit heise online nannte Field CTO Sarah Polan die "HCP Waypoint Actions" als eine ihrer Lieblingsfunktionen.

Im Bereich Security kommt der Großteil der Ankündigungen aus dem Bereich Verwaltung von Geheimnissen. Lieblingsfunktion von Sarah Polan ist hier "HCP Vault Radar". Damit lassen sich Passwörter und andere Geheimnisse im Quelltext finden und sogar mit Vault korrelieren. In einer Betaversion können sogar Confluence und Jira als Datenquelle dienen. Ansonsten mit dabei sind GitHub, Gitlab und Bitbucket. So lässt sich jetzt auf einfache Weise das unerwünschte Veröffentlichen von Passwörtern und anderen Geheimnissen eindämmen. Auch lassen sich diese nun mit anderen Secret-Managern synchronisieren. Das erlaubt eine zentrale Verwaltung und Kontrolle der Geheimnisse über mehrere Werkzeuge und Plattformen hinweg. Ein einfaches Beispiel ist die Integration von Vault mit GitHub Actions. Damit lassen sich alle Vorteile der Passwort-Verwaltung mit dem Hashicorp-Werkzeug auch für Arbeitsabläufe dieses Versionskontrollsystems benutzen, wenn diese auf Geheimnissen beruht. Ebenfalls dabei ist auch die Integration der großen Cloud-Anbieter beziehungsweise deren hauseigenen Systemen zur Kontrolle und Steuerung von Geheimnisen.

Rotierende Geheimnisse

HashiCorp will mit Vault die Verwendung von dynamischen, also kurzlebigen, Passwörtern nicht nur ermöglichen, sondern zum Standard machen. Ein wichtiger Meilenstein dahin ist das regelmäßige Rotieren. Das kann Vault nun für einige Anwendungen automatisch erledigen – für den Anfang nur in MongoDB und Twilio. Der Zeitraum für die erzwungene Rotation lässt sich vom Administrator festlegen und auch vorzeitig auslösen. Im Normalfall gibt es einen Überlappungszeitraum von altem und neuem Passwort. Das soll Betriebsausfälle in Grenzfällen minimieren.

Gute Nachrichten für die Openshift-Welt: Der Vault-Secrets-Operator unterstützt nun auch Openshift. Eigentlich nun ein Muss, da HashiCorp und RedHat beide IBM-Tochterfirmen und damit Teil einer Familie sind.

HCP unterstützt nun auch die sogenannte "Workload Identity Federation" für Anwendungen und Dienste in den Clouds von Amazon, Google und Microsoft. Damit entfallen Passwörter dort komplett. Mit der Funktion kann man ein Vault-Identitätstoken auf die Anmeldefuntkionen eines entsprechenden IdP (Identity Providers) abbilden. Eine Neuerung gibt es auch für Boundary, ein Werkzeug, um Admins Zugänge auf Dienste und Server zu verschaffen. Konkret geht es um das Aufzeichen von SSH-Sitzungen. Bislang konnte man diese nur in AWS S3 abspeichern. Nun geht das auch in MinIO, sodass man die Daten auch komplett außerhalb der Wolke in den eigenen vier Wänden ablegen kann.

Insgesamt hat HashiCorp sein Ökosystem gründlich neu strukturiert und das Zusammenspiel verbessert. Das beginnt bei den Namen, reicht über die verschiedenen Integrationsfunktionen bis hin zur sauberen Kategorisierung und Einteilung.

(jam)