0

我正在使用 Vault 进行机密管理以生成短期 Nomad ACL 令牌,我的部署代理 (GoCD) 可以使用这些令牌对 Nomad 进行身份验证:

vault read -field=secret_id nomad/creds/gocd

我的 ACL 政策gocd是:

namespace "default" {
  policy = "write"
}

我正在使用 GoCD 提交 Nomad 作业以进行部署:

nomad job run {{ temp_directory.path }}/{{ service_name }}.nomad

上述两个步骤都按预期工作。但是,当我尝试使用

nomad alloc logs -token {{ nomad_token.stdout }} -job {{ service_name }} {{ task_name }}

我正进入(状态

"Error reading file: Unexpected response code: 403 (Permission denied)"

根据 Nomad文档,该"write"策略包括该"read-logs"功能。

4

1 回答 1

0

我发现在我的 ACL 策略中添加"read"策略可以解决问题:node

namespace "default" {
  policy = "write"
}

node {
  policy = "read"
}

我面临的问题在现有的 GitHub问题中得到了很好的解释。

于 2019-08-08T15:30:44.920 回答