HashiCorp Vault Secrets 即将关停：迁移至 Infisical 指南

infisical
发布于 2025-07-08 21:50
阅读 91

本文主要介绍 HashiCorp Vault Secrets 宣布停服后，企业应如何迁移到替代方案，并重点对比了托管型、开源自建型和云原生三类选择。

## HashiCorp Vault Secrets 正在关闭：迁移到 Infisical

发表于 2025 年 7 月 6 日，星期日

![Blog image](https://img.learnblockchain.cn/2026/04/24/34880115_image.webp)

HashiCorp Vault Secrets 是 HashiCorp 的托管 secrets 管理服务，为应用程序 secrets 和敏感数据提供中心化存储、访问控制和审计日志。于 [2025 年 6 月 30 日](https://developer.hashicorp.com/hcp/docs/vault-secrets/end-of-sale-announcement)，HashiCorp 决定终止该产品。

HashiCorp Vault Secrets 有许多优势。作为其 Vault 产品的云托管版本，它为组织提供了一种无需承担自托管运维负担即可管理 secrets 的方式，并具备与各种基础设施工具的集成能力，以及诸如细粒度权限和详细审计追踪之类面向合规的功能。

随着 HashiCorp 关闭这项服务，各组织现在必须评估能够提供类似功能的替代方案，同时这些方案也可能解决他们在使用该产品时遇到的一些局限。

这些替代方案通常分为三类：

- **托管 Secrets 平台：** 第三方服务负责处理基础设施和维护，降低运维负担，但在功能复杂度和开发者体验方面各有不同
- **开源与自托管解决方案：** 自主管理的工具，提供完全控制和定制能力，但需要内部专业知识和运维资源
- **云原生解决方案：** 与各自云生态系统深度集成的特定云厂商服务，但可能限制多云灵活性

让我们来看看这三类中的最佳选择。

### 托管 Secrets 平台

托管 secrets 平台之所以是更好的选择，主要有两个原因：由于更易于实施，因此能更快实现价值；并且长期运维复杂度更低。Secrets 管理本身就是一个相当复杂的问题，而对于主要专注于核心产品的工程团队来说，这通常不值得投入精力。因此，托管 secrets 平台往往是更好的选择。当然，使用托管 secrets 平台也需要对这种方式作出承诺，因为它们自然会带来一定程度的供应商锁定。

#### Infisical（托管版本）

我们作为 [Infisical](https://infisical.com/) 平台的开发者，显然会有偏向，但有几个设计决策使 Infisical 相较于 HashiCorp Vault Secrets 更具优势。其中最大的优势之一是 Infisical 的运维成本很低。Infisical 是一个以开发者体验为先的平台——通过 Infisical 直观的 UI、API、CLI、SDKs、Terraform provider 等，可以轻松部署和管理。Infisical 提供了一套端到端工具，涵盖 [secrets 管理](https://learnblockchain.cn/article/25244) 的各个方面：从加密的版本控制 secret 存储，到 [动态 secret 管理](https://infisical.com/docs/documentation/platform/dynamic-secrets/overview)，再到跨基础设施的集成、secret 扫描、泄漏防护以及证书生命周期管理。

此外，[我们的定价透明且对开发者友好](https://infisical.com/pricing)，并且我们与开发者工具保持着强大的第三方集成。我们也是开源的，并将在下一节中进一步讨论我们的开源方案。

#### HCP Vault Dedicated

对于从 HashiCorp Vault Secrets 迁移出来的用户来说，最自然的建议是使用 HashiCorp 的 Vault Dedicated 平台。不过，这主要只是因为该产品出自同一家公司。Vault Dedicated 平台具有较高的运维复杂度，而这继承自 Vault 本身的复杂性。Vault 常被描述为一个易于集成的平台，但[会出现许多边缘情况](https://www.reddit.com/r/devops/comments/usb0ys/lessons_learned_using_vault_as_a_secret_store/)。

此外，HCP Vault 具有基于基础设施的成本，因此会产生[较高的定价](https://www.reddit.com/r/hashicorp/comments/12jtyzq/enterprise_price_increases_for_vault_renewal/)。另一方面，对于 HashiCorp 重度用户来说，这种成本可能是合理的，因为 HashiCorp Vault Dedicated 与 HashiCorp 更广泛的生态系统具有很强的集成能力。

### 开源与自托管解决方案

对于许多团队来说，选择开源是为了保持对基础设施和数据驻留的完全控制。虽然开源本质上比托管解决方案更麻烦，但对于在部署、维护和安全方面有成熟流程的团队来说，它可能是最佳选择。

#### Infisical（开源）

Infisical 是一款基于 [MIT Expat license](https://github.com/Infisical/infisical/blob/main/LICENSE) 的开源软件。虽然它比托管版本具有更高的运维复杂度，但 Infisical Self-hosted 能够提供与托管版本完全一致的功能。因此，Infisical 的开源部署包括跨基础设施的 secrets 管理、私有证书管理、SSH 凭证配置以及一个健壮的密钥管理系统。它还拥有一个活跃的[贡献者社区](https://github.com/Infisical/infisical/graphs/contributors)。

#### SOPS

SOPS，全称为 Secrets OPerationS，是一种更简化、更偏手动的 secrets 管理方式。它是一个以 CLI 为中心的应用，可以轻松使用众多可用密钥之一来解密文件。然而，SOPS _并不是_ HashiCorp Vault Secrets 或 Infisical 这类产品的直接替代品——相反，它更像是一种加密和解密方法，使密钥管理更加灵活。

#### External Secrets Operator

External Secrets Operator 是一种仅面向 Kubernetes 的开源机制，用于将 secrets 注入 Kubernetes。不过，External Secrets Operator _并不是_ 一个独立产品，而是与 AWS、GCP 或 Vault 等工具集成，以存储底层 secrets。相反，它更像是真正的交换层。

### 云原生选项

AWS 和 Azure 等大型云厂商在其云生态系统中内置了 secrets 解决方案。这些云方案在某些情况下可能具有成本效益。然而，它们通常功能有限，因为它们只是云操作之上的基础 secrets 层。因此，HashiCorp Vault Secrets 的用户如果此前对 HashiCorp Vault Secrets 感兴趣，那么相比之下，他们更可能会对前述解决方案感兴趣。

不过，这些云原生选项仍然值得讨论。

#### AWS Secrets Manager

AWS Secrets Managers（或 ASM）是 AWS 原生的静态键值对存储方式。它的功能非常有限。例如，它支持密钥轮换，但仅限于 RDS。除此之外，密钥轮换功能必须自行编写。它按每个 secret 计费，对于拥有庞大技术栈的组织来说可能会相当昂贵。

#### Azure Key Vault

Azure Key Vault 比 AWS 的对应产品更完善一些。它支持管理 SSL 证书，并且能够将 secrets 存储在 HSM 模块中。然而，它并不具备像 Infisical 这样的解决方案所拥有的轮换和动态 secrets 功能。

### 为你选择合适的平台

总结来说，平台大致有以下几种：

- **托管平台：** 最适合优先考虑易用性和快速部署的团队
- **开源：** 适合需要完全控制和定制的组织
- **云原生：** 非常适合与云厂商深度集成的单云环境

如果你正在使用或依赖 HCP Vault Secrets，那么现在就开始迁移至关重要——要在 2025 年 8 月 27 日之前完成。Infisical 提供了一条稳健、对开发者友好的前进路径，并能与现有 Vault 工作流顺畅集成。对于大多数从 HCP Vault Secrets 迁移的组织来说，Infisical 在简洁性、安全性和开发者体验之间提供了最佳平衡，同时避免了传统企业工具的运维复杂度。

如果你需要迁移方面的帮助，请随时联系 [support@infisical.com](mailto:support@infisical.com)。如有任何关于定价选项的问题，请联系 [sales@infisical.com](mailto:sales@infisical.com)。

#### Tony Dang

产品，Infisical

>- 原文链接： [infisical.com/blog/hashi...](https://infisical.com/blog/hashicorp-vault-secrets-shutdown)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

HashiCorp Vault Secrets 正在关闭：迁移到 Infisical

发表于 2025 年 7 月 6 日，星期日

HashiCorp Vault Secrets 是 HashiCorp 的托管 secrets 管理服务，为应用程序 secrets 和敏感数据提供中心化存储、访问控制和审计日志。于 2025 年 6 月 30 日，HashiCorp 决定终止该产品。

随着 HashiCorp 关闭这项服务，各组织现在必须评估能够提供类似功能的替代方案，同时这些方案也可能解决他们在使用该产品时遇到的一些局限。

这些替代方案通常分为三类：

托管 Secrets 平台： 第三方服务负责处理基础设施和维护，降低运维负担，但在功能复杂度和开发者体验方面各有不同
开源与自托管解决方案： 自主管理的工具，提供完全控制和定制能力，但需要内部专业知识和运维资源
云原生解决方案： 与各自云生态系统深度集成的特定云厂商服务，但可能限制多云灵活性

让我们来看看这三类中的最佳选择。

托管 Secrets 平台

Infisical（托管版本）

我们作为 Infisical 平台的开发者，显然会有偏向，但有几个设计决策使 Infisical 相较于 HashiCorp Vault Secrets 更具优势。其中最大的优势之一是 Infisical 的运维成本很低。Infisical 是一个以开发者体验为先的平台——通过 Infisical 直观的 UI、API、CLI、SDKs、Terraform provider 等，可以轻松部署和管理。Infisical 提供了一套端到端工具，涵盖 secrets 管理的各个方面：从加密的版本控制 secret 存储，到动态 secret 管理，再到跨基础设施的集成、secret 扫描、泄漏防护以及证书生命周期管理。

此外，我们的定价透明且对开发者友好，并且我们与开发者工具保持着强大的第三方集成。我们也是开源的，并将在下一节中进一步讨论我们的开源方案。

HCP Vault Dedicated

此外，HCP Vault 具有基于基础设施的成本，因此会产生较高的定价。另一方面，对于 HashiCorp 重度用户来说，这种成本可能是合理的，因为 HashiCorp Vault Dedicated 与 HashiCorp 更广泛的生态系统具有很强的集成能力。

开源与自托管解决方案

Infisical（开源）

Infisical 是一款基于 MIT Expat license 的开源软件。虽然它比托管版本具有更高的运维复杂度，但 Infisical Self-hosted 能够提供与托管版本完全一致的功能。因此，Infisical 的开源部署包括跨基础设施的 secrets 管理、私有证书管理、SSH 凭证配置以及一个健壮的密钥管理系统。它还拥有一个活跃的贡献者社区。

SOPS

SOPS，全称为 Secrets OPerationS，是一种更简化、更偏手动的 secrets 管理方式。它是一个以 CLI 为中心的应用，可以轻松使用众多可用密钥之一来解密文件。然而，SOPS 并不是 HashiCorp Vault Secrets 或 Infisical 这类产品的直接替代品——相反，它更像是一种加密和解密方法，使密钥管理更加灵活。

External Secrets Operator

External Secrets Operator 是一种仅面向 Kubernetes 的开源机制，用于将 secrets 注入 Kubernetes。不过，External Secrets Operator 并不是 一个独立产品，而是与 AWS、GCP 或 Vault 等工具集成，以存储底层 secrets。相反，它更像是真正的交换层。

云原生选项

不过，这些云原生选项仍然值得讨论。

AWS Secrets Manager

Azure Key Vault

为你选择合适的平台