Question

Я пытался запустить Vault в режиме высокой доступности с хранилищем Raft в OpenShift 3.11, но всегда получаю следующую ошибку при попытке присоединить 2-й узел к кластеру:

не удалось присоединиться к кластеру raft: ошибка во время bootstrap вызова инициализации: Put https://vault3.vault3.svc: 8200 / v1 / sys / storage / raft / bootstrap / challenge : x509: сертификат подписан неизвестным органом

Я следовал этому примеру, чтобы создать сертификат и ключ и сохранить их вместе с CA Kubernetes как секрет Kubernetes (названный vault-server-tls).

В диаграмме Helm values.yaml есть раздел, который ссылается на секрет:

  extraVolumes:
  - type: secret
    name: vault-server-tls

Я считаю, что это работает правильно, потому что я могу залезть в модули и секретный ключ vault-server-tls монтируется, и 3 файла отображаются должным образом:

/ $ ls -l /vault/userconfig/vault-server-tls
total 0
lrwxrwxrwx    1 root     root            15 Apr  7 19:26 vault.ca -> ..data/vault.ca
lrwxrwxrwx    1 root     root            16 Apr  7 19:26 vault.crt -> ..data/vault.crt
lrwxrwxrwx    1 root     root            16 Apr  7 19:26 vault.key -> ..data/vault.key

Конфигурация прослушивателя схемы Helm values.yaml ссылается на файлы сертификатов, ключей и ca:

    raft:

      # Enables Raft integrated storage
      enabled: false
      config: |
        ui = true
        cluster_addr = "https://POD_IP:8201"

        listener "tcp" {
          tls_disable = 0
          address = "[::]:8200"
          cluster_address = "[::]:8201"
          tls_cert_file = "/vault/userconfig/vault-server-tls/vault.crt"
          tls_key_file  = "/vault/userconfig/vault-server-tls/vault.key"
          tls_client_ca_file = "/vault/userconfig/vault-server-tls/vault.ca"
        }

        storage "raft" {
          path = "/vault/data"
        }

Первый pod unseals fine:

oc exec -ti vault3-0 -- vault operator unseal -tls-skip-verify 
Key                    Value
---                    -----
Seal Type              shamir
Initialized            true
Sealed                 false
Total Shares           1
Threshold              1
Version                1.3.4
Cluster Name           vault-cluster-945d1fc5
Cluster ID             2ac97997-b596-4dcc-4926-2d8acec56ed5
HA Enabled             true
HA Cluster             n/a
HA Mode                standby
Active Node Address    <none>

Но когда я пытаюсь присоединить второй модуль к кластеру, я получаю сертификат x509:, подписанный неизвестным сообщением:

oc exec -ti vault3-1 -- vault operator raft join -tls-skip-verify https://vault3.vault3.svc:8200
Error joining the node to the raft cluster: Error making API request.

URL: POST https://127.0.0.1:8200/v1/sys/storage/raft/join
Code: 500. Errors:

* failed to join raft cluster: error during bootstrap init call: Put https://vault3.vault3.svc:8200/v1/sys/storage/raft/bootstrap/challenge: x509: certificate signed by unknown authority

Обстрел в 2-й модуль, я вижу, что значение среды VAULT_CACERT существует и установлено правильно (и, как отмечено выше, 3 файла на месте, как и ожидалось):

/ $ printenv VAULT_CACERT
/vault/userconfig/vault-server-tls/vault.ca
/ $ printenv VAULT_ADDR
https://127.0.0.1:8200
/ $

Вот мой CA:

Вот мой сертификат:

Вот мой ключ:

Я следовал примеру из примера Helm TLS (вверху этого сообщение), вероятно, в 10 разных раз и до сих пор получают ту же ошибку.

Я не уверен, что делаю неправильно, но любая помощь будет принята с благодарностью.

krizio · Answer 1 · 11 апреля 2020

У меня была ошибка, аналогичная вашей при присоединении к кластеру, но проблема в том, что я пытался присоединиться к https://IP: 8200 , и у сертификата не было IP в SAN, только DNS.

Относительно вашей ошибки: * failed to join raft cluster: error during bootstrap init call: Put https://vault3.vault3.svc:8200/v1/sys/storage/raft/bootstrap/challenge: x509: certificate signed by unknown authority Я предлагаю устранить неполадки, связанные с фактическим доверием к CA со стороны системы запуска. I

Вывод одной из этих 2 команд должен пролить свет на фактическую ошибку, а openssl s_client -showcerts -connect vault3.vault3.svc:8200/

и

curl -v https://vault3.vault3.svc:8200

См. один пример, показывающий, какое хранилище сертификатов CA используется

curl -v https://vault01:8200
* Rebuilt URL to: https://vault01:8200/
*   Trying 192.168.1.151...
* TCP_NODELAY set
* Connected to vault01 (192.168.1.151) port 8200 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, [no content] (0):

Убежище на k8s с TLS HA и Плотом

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Убежище на k8s с TLS HA и Плотом

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы