Consul と Vault の両方に Helm デプロイメントを使用して、TLS を使用した Consul バックエンドで Vault Service を HA として使用することを計画しています。
EKS クラスターで helm デプロイを使用して、consul を既にデプロイしています。これにより、consul クライアントがデーモンセットとしてデプロイされ、consul サーバーがポッドとしてデプロイされます。Vault が helm を使用してデプロイされると、vault サーバーは、consul サーバーではなく、consul クライアントとやり取りする必要があります。私が直面している課題は、vault が別のポッドとして実行され、consul クライアントが別のポッドとして実行されているため、vault 構成ファイルの下にストレージ コンサル アドレスを 127.0.0.1:8501 として提供できないことです。とても異なるips。
storage "consul" {
address = "<WHAT_SHOULD_I_PROVIDE?>:8501"
path = "vault/"
scheme = "https"
tls_ca_file = ""
tls_cert_file = ""
tls_key_file = ""
token = "<CONSUL_TOKEN>""
}
HOST_IP:8501 を使用して微調整しましたが、エラー [WARN] storage migration check error: error="Get "https://10.15.0.7:8501/v1/kv/vault/core/migration": x509 の下にスローされます: 不明な機関によって署名された証明書"
これは、TLS 証明書に IP アドレスのサブジェクト代替名 (SAN) を含める必要があり、もちろん、Consul の ca_file パラメーターの一部として含める信頼できる CA によって署名する必要があるためです。しかし、領事ヘルム チャートの構成では、enableAutoEncrypt: true を使用しています。そのため、カスタム証明書を使用できません。
これは、vault と consul を同じポッドにデプロイすると解決します。Vault の Helm チャート構成で、Vault と Consul Agent を一緒にデプロイするための consulAgent 構成が見つかりませんでした。助けて、これを解決する方法を教えてください