问题标签 [vault]

无法连接到 Vault Web UI。我使用 docker-compose 创建 Vault 容器。尝试使用 ip 地址从另一台机器连接，但出现错误：

ERR_CONNECTION_REFUSED

码头工人-compose.yml：

Vault.hcl：

我需要在 EC2 实例中将 Hashicorp 保管库作为服务启动，从另一个 ec2 实例访问它，每次启动时都需要解封密钥。如何在 Ec2 实例的每次启动时自动解封密钥？

我参考了这个文档来启动服务，但如果没有不安全 (-k) 模式，我就无法访问它。

我怎样才能做到这一点？

我正在编写一个微服务来存储和获取保险库中的秘密。为此，我需要刷新我的身份验证令牌，所以我使用spring.cloud.vault.config.lifecycle.enabled=true.

问题是，当我将其设置为 时true，似乎spring vault也刷新了我的所有租约（我在微服务启动时使用的配置）。

为什么使用相同的标志来配置身份验证令牌的更新和秘密租约？除了将最小续订设置为非常大之外，还有其他方法可以解决它吗？（因此避免了太多不必要的续租）

我正在使用 Vault 的 SSH PKI 机密引擎并定义了多个角色

我想通过 Web GUI 授予对角色的访问权限。因此，根据我的理解，我必须指定一个列表策略：

分配有此策略的用户可以查看后面的所有已配置角色/ssh/。有没有办法让策略只允许查看一个子集，比如说role1？

我检查了有关政策的文档，但实际上找不到任何东西。我也试过

这没有用。

由于从 spring 2.3.X 升级到 2.4.XI，必须将依赖项 spring-cloud-starter-vault-config 升级到 3.0.1。这对 bootstrap.yml 文件的使用进行了重大更改。（详情 -> https://spring.io/blog/2020/12/22/spring-cloud-2020-0-0-aka-ilford-is-available）

已完成更改并且工作正常，但是我没有任何关于与保险库服务器连接的日志...

例如，如果我设置我的 vault_token = "wrong_pwd" 我曾经有

现在我什么都没有了，当然除了一些缺少的环境变量......

我搜索了很长时间并尝试更改日志记录级别，但找不到解决方案。我不想那样做，因为如果出现问题，我将无法轻易知道根本原因。可能是令牌过期、保管库服务器不可用、缺少密钥等……

你有解决方案/想法吗？

谢谢

我们的保管库集群遇到了一个奇怪的问题，其中保管库没有进入活动模式并引发一些 TLS 错误，我对正在发生的事情有点茫然。该集群使用 AWS dynamodb 作为后端。

错误如下（此处以调试模式显示）：

我们的配置如下所示：

任何帮助将非常感激！谢谢！

我已配置我的保管库并将其与我的本地 Oauth2 和 AD 连接。在创建 grup_claims 作为响应之后，我得到了

身份：刷新外部组成员身份：entity_id=9 group_aliases=["mount_accessor:"auth_oidc_e1998574" name:"group1,group2,group3""]

在保管库中创建外部组并使用 group1 创建别名时，没有附加任何策略。此外，如果我将别名创建为“group1,group2,group3”，则该策略正在为用户更新。

我无法更改来自 AD 或 Oauth2 的响应。如何在保管库中进行更改以解决此问题。

谢谢你。

我目前在通过 Helm 3 安装 Vault 时更新 Vault 服务器 HA（高可用性）存储以使用 PostgreSQL 时遇到问题。

我尝试过的事情：

1. 通过运行以下命令，使用 --set= Helm 标志手动设置 HA（高可用性）所需的值：

如果它有效，那就太好了，但是 storageconfig.hcl 在安装时没有更新。

2. 我尝试创建一个 Helm 覆盖配置文件，并将存储部分从 raft 替换为 postgresql。如此处所述：Kubernetes 上的 Vault 部署指南 | 保险柜 - HashiCorp 学习

3. 尝试编辑直接在 pod 中运行的 storageconfig.hcl。我可以删除该文件，但我不能使用 vim 来编辑/替换我机器上的配置 - 另外，我认为这是不好的做法，因为它没有与 Helm 安装链接。

寻找有关我可能做错了什么的一般信息，或者寻找我可以尝试使其按预期工作的其他一些想法。

我已经按照文档https://docs.armory.io/docs/armory-admin/dynamic-accounts-configure中的说明设置了配置，并将 spinnaker 配置为从保险库动态访问我的 Kubernetes 云提供商帐户。

我能够成功地将 Kubernetes 帐户添加为部署目标。对这些帐户的部署也很成功。

但是，最近我观察到，即使帐户是以相同的方式添加的（也就是说，帐户凭据反映在 gate-endpoint/credentials URL 中。）部署总是发生在运行 Spinnaker 的集群上（而不是选择的目标帐户）。

多次尝试相同的配置，但没有运气。

这些是 clouddriver 日志：

请帮我解决这个问题。提前致谢！:)

我想使用包含微服务的集群部署保险库，并且我的保险库不应具有外部访问权限，并且应使用 terraform 完成所有操作。有谁知道该怎么做？