Vault 离岸 VPS - 私密密钥与凭据管理

集中式密钥管理是现代基础设施的命脉，但托管在大型云厂商的 Vault Cloud 或 KMS 上意味着所有密钥的访问审计、解封历史与策略变更都会留下供商业或法律调查的痕迹。在 Anubiz Host 的离岸 VPS 上自托管 Vault，可以让 unseal key、recovery key、audit log 全部存储在你完全可控的磁盘上，并通过 WireGuard 网络与防火墙白名单严格限制访问来源。即便面对突发的法律请求，你也保留对密钥销毁与转移的最终决定权。

生产环境建议至少在两个不同地理位置部署三节点 Raft 集群，例如冰岛主节点搭配罗马尼亚和乌克兰副本节点，每节点至少 4 vCPU、8 GB 内存与 80 GB NVMe。集群间通信通过 mTLS 加密的 WireGuard 隧道完成，并使用 HSM 或离线智能卡作为 unseal key 持有方。所有客户端访问应配置短期 token 与 AppRole，避免长期凭据出现在配置文件中。结合 Consul 作为存储后端时，需要单独评估二者的备份频率。

Vault 的解封流程必须由多名独立持有者按 Shamir 秘密共享门限完成，建议将密钥分散保管在不同国家或司法区。审计日志应实时推送到自托管 Loki 或 Elasticsearch，并通过 hash chain 防止篡改。备份方面，使用 borg 或 restic 每日加密快照 Raft 数据库与配置文件，并在异地副本上每周验证恢复流程。当面对监管压力时，可以通过预先设计的 break glass 流程在数分钟内吊销所有 token、撤销证书并销毁主节点磁盘，让密钥根彻底从原节点消失。