當我在默認路徑 (-path=kubernetes) 啟用 kubernetes auth 方法時,它可以作業。但是,如果在自定義路徑中啟用它,則 vault init 和 sidecar 容器不會啟動。
kubernetes auth 方法在 auth/prod 啟用
vault auth enable -path=prod/ kubernetes
vault write auth/prod/config \
kubernetes_host="https://$KUBERNETES_PORT_443_TCP_ADDR:443" \
token_reviewer_jwt="$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" \
kubernetes_ca_cert=@/var/run/secrets/kubernetes.io/serviceaccount/ca.crt
vault write auth/prod/role/internal-app \
bound_service_account_names=internal-app \
bound_service_account_namespaces=default \
policies=internal-app \
ttl=24h
這些身份驗證配置可能有什么問題?
uj5u.com熱心網友回復:
不確定您是如何部署保險庫的,但如果您的注入器是真的
injector:
enabled: true
vault 將注入 sidecars 和 init 容器。您應該檢查失敗的側車或初始化容器的日志。
如果您使用 K8s 方法進行身份驗證,您應該查看下面的注釋示例并使用它們
annotations:
vault.hashicorp.com/agent-image: registry.gitlab.com/XXXXXXXXXXX/vault-image/vault:1.4.1
vault.hashicorp.com/agent-inject: "true"
vault.hashicorp.com/agent-inject-secret-secrets: kv/secret-path-location
vault.hashicorp.com/auth-path: auth/<K8s-cluster-auth-name>
vault.hashicorp.com/role: app
您也可以為不同的K8s集群保留多個auth-path以使用單個 vault 實體進行身份驗證。
如果 Vault 正在注入 sidecar,您應該檢查它的日志。
https://www.hashicorp.com/blog/injecting-vault-secrets-into-kubernetes-pods-via-a-sidecar
轉載請註明出處,本文鏈接:https://www.uj5u.com/gongcheng/414493.html
標籤: