問題タブ [vault]

approle に関連付けられたポリシー パスはエンティティ メタデータに基づいているため、approle エンティティにメタデータを追加する必要があります。私が達成しようとしているのは、基本的にvault write identity/entity/id/<entity_id>/ metadata=stage=test、terraform のボールト プロバイダーを使用してこのコマンドを実行することです。誰もそれを行う方法を知っていますか?

Consul と Vault の両方に Helm デプロイメントを使用して、TLS を使用した Consul バックエンドで Vault Service を HA として使用することを計画しています。

EKS クラスターで helm デプロイを使用して、consul を既にデプロイしています。これにより、consul クライアントがデーモンセットとしてデプロイされ、consul サーバーがポッドとしてデプロイされます。Vault が helm を使用してデプロイされると、vault サーバーは、consul サーバーではなく、consul クライアントとやり取りする必要があります。私が直面している課題は、vault が別のポッドとして実行され、consul クライアントが別のポッドとして実行されているため、vault 構成ファイルの下にストレージ コンサル アドレスを 127.0.0.1:8501 として提供できないことです。とても異なるips。

HOST_IP:8501 を使用して微調整しましたが、エラー [WARN] storage migration check error: error="Get "https://10.15.0.7:8501/v1/kv/vault/core/migration": x509 の下にスローされます: 不明な機関によって署名された証明書"

これは、TLS 証明書に IP アドレスのサブジェクト代替名 (SAN) を含める必要があり、もちろん、Consul の ca_file パラメーターの一部として含める信頼できる CA によって署名する必要があるためです。しかし、領事ヘルム チャートの構成では、enableAutoEncrypt: true を使用しています。そのため、カスタム証明書を使用できません。

これは、vault と consul を同じポッドにデプロイすると解決します。Vault の Helm チャート構成で、Vault と Consul Agent を一緒にデプロイするための consulAgent 構成が見つかりませんでした。助けて、これを解決する方法を教えてください

コンピューターに hashicorp ボールトがインストールされています。さらに、ボールトからシークレットをフェッチすることになっている複数の VM がコンピューター上にあります。これに必要なトークンは、x 分ごとにローテーションする必要があります。

ホストから始めて、有効期限が切れたときにトークンを自動的に VM に取り込むにはどうすればよいですか? ここにベストプラクティスはありますか? 仮想フロッピー デバイスは、ここで交換に適したソリューションですか? コンテナのサイドカーと同様のメカニズムはありますか?

ネットワーク インターフェイス (仮想マシン) の IP は固定されていません。