HashiCorp Vault 定价全指南
- infisical
- 发布于 2026-03-25 11:44
- 阅读 5
文章系统梳理了 HashiCorp Vault 现有产品线及其价格体系,重点对比了 Community Edition、Vault Enterprise、HCP Vault Dedicated 和已停止销售的 HCP Vault Secrets。
HashiCorp Vault 是什么?
HashiCorp Vault 是一种 secrets management 解决方案,用于在云基础设施中存储和控制对密码、API keys、加密密钥和证书的访问。
自 Vault 最初流行以来,发生了一些变化:
- 不再开源。 2023 年 8 月,HashiCorp 从 MPL 2.0 切换到了 Business Source License (BSL 1.1)。源代码可查看,但其商业使用受到限制。
- 现在归 IBM 所有。 IBM 于 2025 年 2 月完成了对 HashiCorp 价值 64 亿美元的收购。此后,随着 Vault 成为 IBM 更广泛混合云战略的一部分,社区参与度和支持响应时间都放缓了。
- 产品线正在缩减。 HCP Vault Secrets(仅 SaaS 产品)已于 2025 年年中停止服务。HCP Vault Dedicated Starter 层级也已停用。使用这些产品的组织正被推动迁移到 Vault Community Edition、HCP Vault Dedicated(Standard 或 Plus)或 Vault Enterprise,而这些方案都伴随着更高的复杂度和成本。
HashiCorp 目前剩余的 Vault 产品包括 HCP Vault Dedicated(托管式、单租户云)、Vault Enterprise(自托管,与 Dedicated 使用相同二进制文件)以及 Vault Community Edition(免费、功能受限)。Vault Enterprise 的定价完全不透明,需要与销售沟通。
下面,我们将从价格和功能两方面比较这些解决方案。
注意:如果你在寻找 Vault 的替代方案,可以阅读这篇关于 HashiCorp Vault alternatives 的文章,或者这篇关于 the best secrets management tools 的文章。无论你需要本地部署还是云端 SaaS 产品,Infisical 都可能是适合你的解决方案。
Vault Community Edition
Vault Community Edition 是 Vault 的免费自托管版本。它在 2023 年 HashiCorp 切换到 BSL 许可并重新命名之前,曾被称为 “Vault OSS”。
Community Edition 覆盖了核心 secrets management 使用场景:KV secrets 存储、dynamic secrets、transit encryption,以及广泛的 auth 方法(AWS、Azure、LDAP、OIDC、Kubernetes、AppRole 等)。它还包含完整的 HTTP API 和 CLI。
不过,它缺少许多大多数生产级组织所需的功能:
- 没有 namespaces。 你无法在单个 Vault cluster 内为团队或项目创建逻辑隔离。
- 没有 disaster recovery 或 performance replication。 Community Edition 只在单个 cluster 内运行,没有内置的跨区域复制。
- 没有 Sentinel policies 或 control groups。 细粒度的 policy-as-code 治理是 Enterprise 才有的功能。
- 不支持 HSM。 通过 hardware security modules 的 auto-unseal 和 seal wrapping 不可用。
- 没有 SLA 或高级支持。 你只能依赖社区论坛和文档。
Community Edition 适合开发环境、概念验证,或 secrets management 需求简单的小团队。对于大规模生产负载,大多数组织都需要迁移到 HCP Vault Dedicated 或 Vault Enterprise。
Vault Enterprise
Vault Enterprise 是 HashiCorp 面向受监管行业组织的自托管解决方案,这类组织对安全、合规和运营有特定要求。它运行与 HCP Vault Dedicated 相同的二进制文件,但完全由你的团队部署和管理。
它分为三个层级:Standard、Plus 和 Premium。
| 功能 | Standard | Plus | Premium |
|---|---|---|---|
| Disaster recovery | 是 | 是 | 是 |
| Multi-datacenter replication | 是 | 是 | 是 |
| Namespaces | 是 | 是 | 是 |
| HSM auto-unseal and seal wrap | 是 | 是 | 是 |
| Multi-factor authentication | 否 | 是 | 是 |
| Sentinel policies | 否 | 是 | 是 |
| Control groups | 否 | 是 | 是 |
| Secret sync | 否 | 否 | 是 |
| Support level | Premium | Premium | Premium |
Vault Enterprise 定价
HashiCorp 不公开 Enterprise 定价。你必须联系他们的销售团队获取报价,最终价格取决于你的部署规模、客户端数量以及合规要求。
尽管如此,社区论坛、评测网站和议价平台上的信息仍然勾勒出了一个相对清晰的预期:
- 六位数低位是基线。 Hacker News 上多位工程师报告称,对于相对较小的部署,他们拿到的报价就是每年六位数合同。某位用户 描述自己拿到了一份 100-token 协议的报价,金额“落在六位数低位某处”。
- 按客户端计费很快就会累加。 Vault Enterprise 使用基于身份的计费模式,每个认证到 Vault 的 pod、container、user 或 service 都算作一个 “client”。在包含数百个 microservices 的 Kubernetes 环境中,这会迅速变得昂贵。HashiCorp 的一名前销售员工 证实,这种定价模式是内部成交最大的障碍。
- 成本可能超过你的云账单。 一位工程师 报告称他们的 Vault Enterprise 报价 高于其整个云支出,包括通过 marketplace 计费的其他第三方企业工具。
- 续约涨价已有大量记录。 HashiCorp 以 在合同续约时提价 而闻名。这一点已在 Reddit 和其他社区论坛中被讨论,而在 IBM 接管后,这种模式可能会继续或加速。
- 隐藏成本会在基础报价上增加 25-60%。 根据 Vendr 上的 HashiCorp procurement data,合同中通常包含支持层级升级和 professional services 等隐藏成本,这会显著抬高初始报价。
“Client” 定义问题
工程师对 Vault Enterprise 定价最强烈的不满之一,是 对什么算作 “client” 的定义含糊不清。
- 任何认证到 Vault 的 pod 或运行中的 container 都算作一个单独的 client。
- 一旦 client token 被占用,在整个计费周期内(通常是一年)就不能被其他 client 复用。
- 这意味着即使这些工作负载已经不再运行,你仍可能会在测试环境、短生命周期部署或架构变更中耗尽 client 配额。
对于大规模运行 Kubernetes 的组织来说,这种模式会带来不可预测的成本,并使准确预算变得极其困难。正如 PeerSpot 上的一位评论者指出:“他们有些术语很混乱……他们所说的 client 定义相当宽泛。”
HCP Vault Dedicated
HCP Vault Dedicated 是 Vault Enterprise 的完全托管云版本。它提供一个部署在 AWS 或 Azure 上的单租户环境,具备自动备份、可扩展选项以及来自 HashiCorp 的直接支持。你可以选择偏好的数据存储区域,这有助于满足 data residency 合规要求。
自 IBM 收购以来,层级名称和结构已经发生变化。旧的 “Starter” 层级已于 2025 年 8 月停用,而旧的 “Standard/Plus” 命名已被替换为 Development、Essentials 和 Standard。
Cluster 定价
所有 HCP Vault Dedicated cluster 都按 小时计费。以下是 IBM HashiCorp 官方定价页面上当前的按需付费价格:
| Cluster Size | Development | Essentials | Standard |
|---|---|---|---|
| Extra Small | $0.62/hr (~$450/mo) | N/A | N/A |
| Small | N/A | $1.58/hr (~$1,152/mo) | $1.84/hr (~$1,345/mo) |
| Medium | N/A | $3.16/hr (~$2,307/mo) | $3.69/hr (~$2,694/mo) |
| Large | N/A | $7.49/hr (~$5,468/mo) | $9.41/hr (~$6,870/mo) |
除了 cluster 成本之外,Essentials 和 Standard 层级还会按每个 client 每月收取 $72.92/month(任何认证到 Vault 的唯一 application、service 或 user)。
层级对比
下表基于 HashiCorp 的 官方层级对比。这不是全部功能的完整列表。
| 功能 | Development | Essentials | Standard |
|---|---|---|---|
| 所有 Vault community 功能 | 是 | 是 | 是 |
| Enterprise namespaces | 是 | 是 | 是 |
| Terraform providers (HCP and Vault) | 是 | 是 | 是 |
| Audit log and metric streaming | 否 | 是 | 是 |
| Cross-region disaster recovery | 否 | 是 | 是 |
| Version upgrade management | 否 | 是 | 是 |
| No client limits | 否(最多 25) | 是 | 是 |
| Performance replication | 否 | 否 | 是 |
| Secrets sync | 否 | 否 | 是 |
| Secrets import | 否 | 否 | 是 |
| Sentinel policy support | 否 | 否 | 是 |
HashiCorp 的层级说明中还有一些未出现在功能表中的额外细节,但也值得了解:
- Development 是单节点实例。它不包含高可用、audit log 下载或快照恢复。它不受 HashiCorp Cloud SLA 覆盖,并且仅限 Silver support,不包含 Sev-1 覆盖。
- Essentials 具备生产级能力,提供 99.9% SLA 和 Silver support。它包含 audit log streaming、备份与恢复以及版本管理。
- Standard 包含 Essentials 的全部功能,外加 performance replication、Sentinel policies、control groups 和 advanced data protection。它提供 Gold support。
这在规模化后到底要花多少钱
从表面上看,cluster 定价似乎还算可控,但真正让成本迅速上升的是 per-client 费用。
例如,一个 Standard 层级的 small cluster,外加 50 个 client,大约会花费:
- Cluster: ~$1,345/mo
- Clients: 50 x $72.92 = ~$3,646/mo
- Total: ~ $4,991/mo (~ $59,892/yr)
这与 Vendr 的 procurement data 相符,该数据报告称一个典型的 50-client HCP Vault 部署年标价约为 $51,241,不过公司通常会根据交易规模协商出 28-74% 的折扣。
还有几点值得注意:
- Clients 按月计数。 一旦 client 完成认证,它就会在整个计费月内计入,即使工作负载是短生命周期的。你 不能在周期中删除或减少 client 数量。
- 可以获得合同价格。 Essentials 和 Standard 层级可通过销售提供基于合同的定价,这对于可预测的工作负载来说,可能比按需付费更具成本效益。
- 没有从 Vault Secrets 迁移的升级路径。 如果你之前使用的是 HCP Vault Secrets,迁移到 Vault Dedicated 是 一次完整迁移,不是升级。它们本质上是不同的产品。
HCP Vault Secrets
重要提示:HCP Vault Secrets 已停止销售。 HashiCorp 已宣布于 2025 年 6 月 30 日停止销售,最终 EOL 日期为 2026 年 7 月 1 日。现有客户正被引导迁移到 HCP Vault Dedicated 或 Vault Community Edition。
我们在此保留定价细节作为参考,因为许多团队在迁移窗口期间仍在评估替代方案。
HashiCorp 于 2023 年 6 月推出 Vault Secrets,作为其首个仅 SaaS 的 secrets management 产品。它提供三个层级:Free、Essentials 和 Standard。
| 功能 | Free | Essentials | Standard |
|---|---|---|---|
| Static secrets | 25 | 2,500 | 25,000 |
| Applications | 25 | 1,000 | 10,000 |
| Versions per secret | 5 | 50 | 50 |
| Secret sync destinations | 5 | 200 | 2,000 |
| Auto-rotating secrets | 否 | 否 | 最多 5,000 |
| Dynamic secrets | 否 | 否 | 最多 5,000 |
| Support level | Bronze | Silver | Silver |
Vault Secrets 的限制
即使在产品尚未停止服务之前,Vault Secrets 也存在显著限制,使其对更大的组织来说并不适合:
- 所有层级都有 rate limits: 每分钟 6,000 次 secret access requests,以及 2,000 次其他 API operations 请求。
- 每个 app 的硬资源上限: 每个 app 只能管理 300 个 secrets、10 个 dynamic secrets 和 15 个 syncs。每个 project 最多限制 100 个 app。
- 低层级不支持 auto-rotation 或 dynamic secrets。 这些功能仅限于 Standard 层级。
这些 资源限制 迫使团队采用架构变通方案,或者创建多个 project 来容纳即使是中等规模的部署。对于企业级基础设施来说,Vault Secrets 从来都不是一个现实可行的选择。
HashiCorp Vault 产品一览
随着 HCP Vault Secrets 和 Starter 层级的停止服务,下面是 HashiCorp 现有 Vault 产品线中仍然保留的产品,以及它们之间的对比。
| Vault Community | HCP Vault Dedicated (Essentials) | HCP Vault Dedicated (Standard) | Vault Enterprise | |
|---|---|---|---|---|
| Deployment | Self-hosted | Managed cloud (AWS/Azure) | Managed cloud (AWS/Azure) | Self-hosted |
| Relative cost | Free | $$ | $$$ | $$$$ (sales only) |
| Starting price | $0 | ~$1,152/mo + $72.92/client/mo | ~$1,345/mo + $72.92/client/mo | Contact sales |
| High availability | Manual setup | Managed by HCP | Managed by HCP | Manual setup |
| Namespaces | No | Yes | Yes | Yes |
| Disaster recovery | No | Cross-region | Cross-region | Yes |
| Performance replication | No | No | Yes | Tier-dependent |
| Sentinel policies | No | No | Yes | Tier-dependent |
| Secrets sync | No | No | Yes | Tier-dependent |
| HSM support | No | No | No | Yes |
| SLA | None | 99.9% | 99.9% | N/A (self-managed) |
| Support | Community only | Silver | Gold | Premium |
| Best for | Dev/test, small teams | Production workloads needing managed infra | Orgs needing replication, governance, compliance | Regulated industries with strict on-prem requirements |
你应该使用 HashiCorp Vault 吗?
Vault 是一款能力强大的产品,也有着长期积累,但也存在一些现实中的权衡,尤其是在 IBM 收购以及近期产品变化之后。下面是你在决定之前需要权衡的几点。
- 它是市场上最成熟的 secrets management 工具之一。 Vault 拥有广泛的社区采用、详尽的文档,以及对各种 auth methods、secrets engines 和集成的支持。
- 没有免费且适合生产的层级。 Vault Community Edition 是免费的,但缺少 namespaces、disaster recovery 和 performance replication 等企业功能。最便宜的生产级选项(HCP Vault Dedicated Essentials,小 cluster)起价大约为 每月 $1,152,还不包括每个已认证 identity 每月 $72.92 的 client 费用。
- 按 client 计费使大规模下成本不可预测。 每个认证到 Vault 的 pod、container、service 和 user 都算作一个 client,每个每月 $72.92。对于运行数百个 microservices 的 Kubernetes 组织来说,这会迅速累积并使预算变得困难。
- Enterprise 定价需要与销售沟通。 Vault Enterprise(自托管)没有公开价格。HashiCorp 以 在合同续约时提价 而闻名,而且 隐藏成本会在初始报价基础上增加 25-60%。
- 运营复杂度很高。 Vault 使用专有的 Raft consensus 进行 replication,部署和维护需要专门知识,并且通常需要 专职工程人员。多家企业报告过长达数月的 onboarding 时间。
- 产品方向现在由 IBM 主导。 自 收购于 2025 年 2 月完成 以来,HCP Vault Secrets 已停止服务,Starter 层级已停用,社区渠道的响应时间也变慢了。长期路线图正由 IBM 的混合云战略驱动。
HashiCorp Vault 替代方案:Infisical
Infisical 是一个用于 secrets、证书和 privileged access management 的开源平台,拥有 25,000+ GitHub stars。它最初只是一个 secrets management 工具,如今已扩展为一个一体化平台,涵盖 secrets management、certificate lifecycle management (PKI)、privileged access management (PAM)、secrets scanning 以及 AI agent security。
Infisical 构建于 Postgres 之上(不是专有的 Raft),可部署在任何地方(云端、自托管或多云),并且旨在无需数月的 onboarding 或专门认证,就能在第一天交付价值。
对于 platform 和 DevOps 工程师来说,与 Vault 的关键差异包括:
- 开箱即用的集成。 与 Kubernetes、Terraform、Docker、Ansible、GitHub Actions 等工具有 60+ 原生集成,不需要自定义编排。
- 内置工作流。 审批工作流、临时访问控制、secret rotation 和 dynamic secrets 开箱即用,而不是需要你在其上自行构建的框架。
- 直观的 UI 和 CLI。 面向开发者和安全团队设计。你不需要仅靠 CLI 的专业能力,也不需要自建 dashboard 来管理 secrets。
- 透明定价。 免费版最多支持 5 个 identity,包含最多 10 个 integration。Pro plan 起价为每个 identity 每月 $18,最多 50 个 integration。没有按 client 计费的意外情况。
- 真正的开源。 采用 MIT license,社区可以审计、贡献和验证其代码库,而不是 BSL 下的 source-available 模式。
Infisical 受到包括 Hugging Face、LG、Volkswagen、Hinge Health 和 HeyGen 在内的组织信任,同时也被银行、制药公司和政府机构采用,这些机构对严格合规标准有要求。
如需逐项的详细对比,请参见 Infisical vs HashiCorp Vault。
Infisical 定价
Infisical 免费版最多支持 5 个 identity,并包含最多 10 个 integration,覆盖 GitHub Actions、Vercel、CircleCI、Docker、Kubernetes 和 Terraform 等平台。
对于 SAML SSO、point-in-time recovery、SCIM、temporary access controls、HSM integration、更多集成,或更大的团队规模,Pro plan 起价为每个 identity 每月 $18。如果你需要帮助确定合适的选项,可以 预约与我们团队演示。
FAQ
HashiCorp Vault 可以免费使用吗?
可以,但有明显限制。Vault Community Edition 是免费且自托管的。它覆盖了核心 secrets management 功能,例如 KV 存储、dynamic secrets、transit encryption,以及广泛的 auth methods。
不过,Community Edition 缺少 namespaces、disaster recovery、performance replication、Sentinel policies 和 HSM support 等企业功能。它也没有 SLA,且除了社区论坛外没有官方支持。
HCP Vault Secrets 之前提供过免费的 SaaS 层级,但该产品已于 2025 年年中停止服务,并且不再向新客户提供。
HashiCorp Vault 贵吗?
对于大多数组织来说,是的。最便宜的生产级托管选项是 HCP Vault Dedicated Essentials small cluster,大约 每月 $1,152,此外还要为每个已认证 identity 额外支付每月 $72.92 的 per-client 费用。
Vault Enterprise(自托管)没有公开定价,需要与销售沟通。社区报告一直将相对较小部署的报价描述为 每年六位数低位,并且 隐藏成本会在初始报价基础上增加 25-60%。HashiCorp 也 以续约时涨价而闻名。
除了许可费用之外,还有显著的运营成本。Vault 的部署、维护和升级都需要专门知识。许多组织报告称,他们需要专职工程人员来管理 Vault 基础设施。
Vault Community 和 Enterprise 有什么区别?
Vault Community Edition 是免费的,覆盖核心 secrets management 使用场景。Vault Enterprise 是一款自托管、付费产品,面向对安全、合规和运营有严格要求的组织。
Enterprise 增加了 Community Edition 不包含的能力:
- Namespaces 用于在单个 cluster 内进行多租户隔离。
- Disaster recovery replication 用于在系统故障期间防止数据丢失。
- Performance replication 用于在多个区域分散读取负载并降低延迟。
- Sentinel policies 用于细粒度的 policy-as-code 访问控制。
- HSM auto-unseal and seal wrap 用于基于硬件的密钥管理。
- Control groups 用于在访问敏感数据前要求多个审批。
Enterprise 分为三个层级(Standard、Plus 和 Premium),某些功能只在更高层级开放。定价完全定制,需要 联系销售。
- 原文链接: infisical.com/blog/hashi...
- 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~
