带TLS HA和Raft的k8s上的Vault

我一直试图让Vault在OpenShift 3.11中使用Raft存储以HA模式运行，但在尝试将第二个节点加入集群时，我总是遇到以下错误：

无法加入raft集群：引导初始化调用期间出错：Puthttps://vault3.vault3.svc:8200/v1/sys/storage/raft/bootstrap/challenge:x509：由未知权威机构签署的证书

我按照这个例子创建了一个证书和密钥，并将它们与Kubernetes CA一起存储为Kubernete机密(命名为vault服务器tls(。

Helm图表values.yaml有一个部分引用了这个秘密：

extraVolumes:
- type: secret
name: vault-server-tls

我相信这是正确的，因为我可以进入吊舱，保险库服务器tls机密正在安装，3个文件如预期显示：

/ $ ls -l /vault/userconfig/vault-server-tls
total 0
lrwxrwxrwx    1 root     root            15 Apr  7 19:26 vault.ca -> ..data/vault.ca
lrwxrwxrwx    1 root     root            16 Apr  7 19:26 vault.crt -> ..data/vault.crt
lrwxrwxrwx    1 root     root            16 Apr  7 19:26 vault.key -> ..data/vault.key

Helm chart values.yaml侦听器配置引用了cert、key和ca文件：

raft:
# Enables Raft integrated storage
enabled: false
config: |
ui = true
cluster_addr = "https://POD_IP:8201"
listener "tcp" {
tls_disable = 0
address = "[::]:8200"
cluster_address = "[::]:8201"
tls_cert_file = "/vault/userconfig/vault-server-tls/vault.crt"
tls_key_file  = "/vault/userconfig/vault-server-tls/vault.key"
tls_client_ca_file = "/vault/userconfig/vault-server-tls/vault.ca"
}
storage "raft" {
path = "/vault/data"
}

第一个吊舱开启良好：

oc exec -ti vault3-0 -- vault operator unseal -tls-skip-verify 
Key                    Value
---                    -----
Seal Type              shamir
Initialized            true
Sealed                 false
Total Shares           1
Threshold              1
Version                1.3.4
Cluster Name           vault-cluster-945d1fc5
Cluster ID             2ac97997-b596-4dcc-4926-2d8acec56ed5
HA Enabled             true
HA Cluster             n/a
HA Mode                standby
Active Node Address    <none>

但是，当我尝试将第二个pod加入集群时，我得到了一个x509：由未知权威机构消息签名的证书：

oc exec -ti vault3-1 -- vault operator raft join -tls-skip-verify https://vault3.vault3.svc:8200
Error joining the node to the raft cluster: Error making API request.
URL: POST https://127.0.0.1:8200/v1/sys/storage/raft/join
Code: 500. Errors:
* failed to join raft cluster: error during bootstrap init call: Put https://vault3.vault3.svc:8200/v1/sys/storage/raft/bootstrap/challenge: x509: certificate signed by unknown authority

在第二个pod中，我可以看到VAULT_CACERT环境值存在并且设置正确(如上所述，3个文件已按预期就位(：

/ $ printenv VAULT_CACERT
/vault/userconfig/vault-server-tls/vault.ca
/ $ printenv VAULT_ADDR
https://127.0.0.1:8200
/ $

这是我的CA:

这是我的证书：

这是我的钥匙：

我遵循了Helm TLS示例中的示例(在本文的顶部(，可能有10次不同的错误，但仍然会得到相同的错误。

我不确定我做错了什么，但如果能提供任何帮助，我将不胜感激。

我在加入集群时遇到了与您类似的错误，但问题是我试图加入https://IP:8200证书在SAN上没有IP，只有DNS。

关于您的错误：* failed to join raft cluster: error during bootstrap init call: Put https://vault3.vault3.svc:8200/v1/sys/storage/raft/bootstrap/challenge: x509: certificate signed by unknown authority我建议通过操作系统对CA的实际信任进行故障排除。I

这两个命令中的一个命令的输出应该会使实际错误和openssl s_client -showcerts -connect vault3.vault3.svc:8200/

和

curl -v https://vault3.vault3.svc:8200

请参阅一个示例，该示例显示正在使用哪个CA证书存储

curl -v https://vault01:8200
* Rebuilt URL to: https://vault01:8200/
*   Trying 192.168.1.151...
* TCP_NODELAY set
* Connected to vault01 (192.168.1.151) port 8200 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, [no content] (0):

相关内容

最新更新

热门标签：