晚上好!希望大家一切顺利。我正在尝试将 K8s 与 Vault 集成,但遇到以下错误消息:x509:由未知颁发机构签名的证书
Kubernetes 在 AWS EKS 上运行,Vault 是经典负载均衡器和 Route 53 条目后面的 HA 设置。
我正在关注此链接: https://learn.hashicorp.com/vault/identity-access-management/vault-agent-k8s 我指定我的 Kubernetes 集群而不是 Minikube,我尝试了我能想到的所有可能的方式,但每次都出现相同的错误。
https://:8443/apis/authentication.k8s.io/v1/tokenreviews:x509:由未知颁发机构签名的证书
保险库配置:
{
"listener": [{
"tcp": {
"address" : "0.0.0.0:8200",
"tls_disable" : 1 (Am doing SSL termination at LoadBalacer level)
}
}],
"api_addr": "http://<Instance_IP>:8200",
"storage": {
"dynamodb": {
"ha_enabled" : "true",
"region" : "<region_name>",
"table" : "<table_name>"
}
},
"max_lease_ttl": "10h",
"default_lease_ttl": "10h",
"ui":true
}
尝试使用"vault auth enable -tls-skip-verify kubernetes"和"vault auth enable kubernetes"启用身份验证,但没有运气。
请帮忙。如果您需要我的任何信息,请告诉我。
您无法使用 kubernetes auth 方法禁用 CA 验证。启用身份验证方法时,需要指定kuberetes_host和kubernetes_ca_cert。主机是 Kubernetes 主机(API 服务器(的 FQDN。ca_cert是公共证书颁发机构,用于验证对 API 服务器的请求。
每个云提供商都有自己的公开 CA 的方式,因为它可能属于负载均衡器,而不是直接在集群上。看起来您正在使用 AWS,所以这里是这些文档。您需要拉取certificate-authority-data字段,因为这是 CA,并将其提供给 Vault。