我计划使用 Vault Service 作为 HA 和 Consul Backend 和 TLS,同时为 consul 和 vault 使用 helm 部署。
我已经在我的 EKS 集群中使用 helm 部署部署了 consul。这会将 consul 客户端部署为 daemonset 并将 consul 服务器部署为 pod 当使用 helm 部署 vault 时,我的 vault 服务器必须与 consul 客户端而不是 consul 服务器进行交互。我面临的挑战是我无法在下面的保险库配置文件中提供存储领事地址作为 127.0.0.1:8501 因为保险库作为单独的 pod 运行,而领事客户端作为单独的 pod 运行。如此不同的ips。
storage "consul" {
address = "<WHAT_SHOULD_I_PROVIDE?>:8501"
path = "vault/"
scheme = "https"
tls_ca_file = ""
tls_cert_file = ""
tls_key_file = ""
token = "<CONSUL_TOKEN>""
}
我还使用 HOST_IP:8501 对其进行了调整,但它抛出错误 [WARN] storage migration check error: error="Get "https://10.15.0.7:8501/v1/kv/vault/core/migration": x509 :由未知机构签署的证书”
这是因为 TLS 证书应该包含 IP 地址的主题备用名称 (SAN),当然,它应该由您作为 ca_file 参数的一部分包含在 Consul 中的受信任 CA 签名。但是在我的领事舵图配置中,我使用的是 enableAutoEncrypt: true。所以我不能使用自定义证书。
如果我在同一个吊舱中部署保险库和领事,这将解决。在 vault helm chart 配置中,我找不到 consulAgent 配置以便将 vault 和 consul 代理一起部署。请帮忙,让我知道如何解决这个问题