问题标签 [vault]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
devops - 无法连接到 Vault Web ui
无法连接到 Vault Web UI。我使用 docker-compose 创建 Vault 容器。尝试使用 ip 地址从另一台机器连接,但出现错误:
ERR_CONNECTION_REFUSED
码头工人-compose.yml:
Vault.hcl:
amazon-ec2 - 如何启动 Hashocorp 保险库即服务并从另一个 EC2 实例访问?
我需要在 EC2 实例中将 Hashicorp 保管库作为服务启动,从另一个 ec2 实例访问它,每次启动时都需要解封密钥。如何在 Ec2 实例的每次启动时自动解封密钥?
我参考了这个文档来启动服务,但如果没有不安全 (-k) 模式,我就无法访问它。
我怎样才能做到这一点?
java - Spring Vault 身份验证令牌更新
我正在编写一个微服务来存储和获取保险库中的秘密。为此,我需要刷新我的身份验证令牌,所以我使用spring.cloud.vault.config.lifecycle.enabled=true
.
问题是,当我将其设置为 时true
,似乎spring vault
也刷新了我的所有租约(我在微服务启动时使用的配置)。
为什么使用相同的标志来配置身份验证令牌的更新和秘密租约?除了将最小续订设置为非常大之外,还有其他方法可以解决它吗?(因此避免了太多不必要的续租)
hashicorp-vault - 仅允许列出角色子集的策略
我正在使用 Vault 的 SSH PKI 机密引擎并定义了多个角色
我想通过 Web GUI 授予对角色的访问权限。因此,根据我的理解,我必须指定一个列表策略:
分配有此策略的用户可以查看后面的所有已配置角色/ssh/
。有没有办法让策略只允许查看一个子集,比如说role1
?
我检查了有关政策的文档,但实际上找不到任何东西。我也试过
这没有用。
spring - 无法显示来自 Spring Cloud Vault Connection 的日志
由于从 spring 2.3.X 升级到 2.4.XI,必须将依赖项 spring-cloud-starter-vault-config 升级到 3.0.1。这对 bootstrap.yml 文件的使用进行了重大更改。(详情 -> https://spring.io/blog/2020/12/22/spring-cloud-2020-0-0-aka-ilford-is-available)
已完成更改并且工作正常,但是我没有任何关于与保险库服务器连接的日志...
例如,如果我设置我的 vault_token = "wrong_pwd" 我曾经有
现在我什么都没有了,当然除了一些缺少的环境变量......
我搜索了很长时间并尝试更改日志记录级别,但找不到解决方案。我不想那样做,因为如果出现问题,我将无法轻易知道根本原因。可能是令牌过期、保管库服务器不可用、缺少密钥等……
你有解决方案/想法吗?
谢谢
devops - 保险库 TLS 错误阻止保险库进入活动模式
我们的保管库集群遇到了一个奇怪的问题,其中保管库没有进入活动模式并引发一些 TLS 错误,我对正在发生的事情有点茫然。该集群使用 AWS dynamodb 作为后端。
错误如下(此处以调试模式显示):
我们的配置如下所示:
任何帮助将非常感激!谢谢!
oauth-2.0 - 本地 AD Oauth2 Hashicorp Vault 外部组错误的 groups_claim
我已配置我的保管库并将其与我的本地 Oauth2 和 AD 连接。在创建 grup_claims 作为响应之后,我得到了
身份:刷新外部组成员身份:entity_id=9 group_aliases=["mount_accessor:"auth_oidc_e1998574" name:"group1,group2,group3""]
在保管库中创建外部组并使用 group1 创建别名时,没有附加任何策略。此外,如果我将别名创建为“group1,group2,group3”,则该策略正在为用户更新。
我无法更改来自 AD 或 Oauth2 的响应。如何在保管库中进行更改以解决此问题。
谢谢你。
kubernetes - 在安装时通过 Helm 图表编辑 Vault 高可用性配置
我目前在通过 Helm 3 安装 Vault 时更新 Vault 服务器 HA(高可用性)存储以使用 PostgreSQL 时遇到问题。
我尝试过的事情:
- 通过运行以下命令,使用 --set= Helm 标志手动设置 HA(高可用性)所需的值:
如果它有效,那就太好了,但是 storageconfig.hcl 在安装时没有更新。
我尝试创建一个 Helm 覆盖配置文件,并将存储部分从 raft 替换为 postgresql。如此处所述:Kubernetes 上的 Vault 部署指南 | 保险柜 - HashiCorp 学习
尝试编辑直接在 pod 中运行的 storageconfig.hcl。我可以删除该文件,但我不能使用 vim 来编辑/替换我机器上的配置 - 另外,我认为这是不好的做法,因为它没有与 Helm 安装链接。
寻找有关我可能做错了什么的一般信息,或者寻找我可以尝试使其按预期工作的其他一些想法。
kubernetes - 无法在 Spinnaker 中使用 Vault 配置动态 Kubernetes 帐户
我已经按照文档https://docs.armory.io/docs/armory-admin/dynamic-accounts-configure中的说明设置了配置,并将 spinnaker 配置为从保险库动态访问我的 Kubernetes 云提供商帐户。
我能够成功地将 Kubernetes 帐户添加为部署目标。对这些帐户的部署也很成功。
但是,最近我观察到,即使帐户是以相同的方式添加的(也就是说,帐户凭据反映在 gate-endpoint/credentials URL 中。)部署总是发生在运行 Spinnaker 的集群上(而不是选择的目标帐户)。
多次尝试相同的配置,但没有运气。
这些是 clouddriver 日志:
请帮我解决这个问题。提前致谢!:)
kubernetes - 使用 terraform 在活动集群中部署 Vault
我想使用包含微服务的集群部署保险库,并且我的保险库不应具有外部访问权限,并且应使用 terraform 完成所有操作。有谁知道该怎么做?