有人知道 Rancher RKE2 集群出了什么问题吗?我在部署带有 Vault 发行者的 Cert-manager 时遇到了一些奇怪的问题,Vault 被“拒绝访问”(或更确切地说是kubectl describe clusterissuers vault-issuer显示Error initializing issuer: while requesting a Vault token using the Kubernetes auth: error calling Vault server: Error making API request.; URL:...
希望你做得很好。 我有一个关于 ansible inventory 插件非常基本的问题,特别是 proxmox 插件: https://docs.ansible.com/ansible/latest/collections/community/general/proxmox_inventory.html 我得到了这个插件设置: # More complete example demonstrating the use of 'want_facts' and the constructed options # Note that using facts ret...
希望你做得很好。 我有这个设计难题 我在这里最基本的询问是:如何ansible-pull用吻原则实现一种“安全”的方式? 例如我用来ansible-pull管理工作站: 在某些时候,我需要首先将保管的东西传输给客户become_password。 为了给你提供更多背景信息,请看以下信息local.yml: - hosts: localhost become: true gather_facts: true vars_files: - vars/all_vars.yml pre_tasks: # task for testing...
我创建了一个密钥库并添加了一些密钥,在创建过程中,使用 azure bicep 模板提供了对服务主体的访问权限。 var permissionContributorId = 'f25e0fa2-a7c8-4377-a976-54943a77a395' resource popKeyVault 'Microsoft.KeyVault/vaults@2021-06-01-preview' = { name: keyvaultname location: location properties: { createMode: 'defa...
我们需要在托管于我们的 EKS 集群中的 vault 中启用 JWT 身份验证,以准备使用 K8s 1.24 OIDC 并使用 Vault 测试令牌更新。我正在关注几个地方的文档: https://banzaicloud.com/blog/kubernetes-oidc/ https://www.vaultproject.io/docs/auth/jwt/oidc-providers/kubernetes https://www.vaultproject.io/docs/auth/kubernetes#discovering-the-service-acco...
我们正在寻求一种解决方案,使我们能够审核我们的 HashiCorp Vault 实例,以获得以下命名空间细分: 对于每个 Vault 用户,他们的实体所属的角色或组。 审查了 Vault API 浏览器命令后,似乎该实用程序无法提供此功能。有人建议 HashiCorp Vault API 客户端 (HVAC) for Python 可能是一个可行的解决方案,但我的初步研究似乎也没有表明这一点。 例如,像 Postman 这样的 API 客户端是否是可能的答案?对于我们如何执行此任务,有什么建议或建议吗? ...
现在,如果我想使用 TLS 证书向 Vault 进行身份验证,我需要在客户端的文件系统中有一个包含证书的文件和一个包含私钥的文件。 在 Windows 上,我可以使用操作系统安全地存储证书和私钥。我知道 MacOS 上有 Keychain,我猜 Linux 也有一个或多个类似的系统。 我询问了支持人员,他们说目前没有办法做到这一点。有人知道在 Windows 上使用操作系统安装的证书的任何解决方法或其他方法吗? 这是供应商提供的 vault 客户端 vault.exe。我们的用例是在代理模式下使用供应商提供的 EXE 进行自动身份验证 - 请不要试图教我如何...
TL;DR:使用 Kubernetes Pod 从 Vault CLI 登录的正确方法是什么Kubernetes 身份验证方法。 我想从我的 HashiCorp Vault Raft 存储中创建定期快照。因此,我创建了一个 Kubernetes CronJob,运行与我的 Vault 集群相同的映像,并按计划执行以下命令: vault operator raft snapshot save /backups/daily-$(date +"%Y-%m-%d-%H-%M").snap /backups是挂载到 Pod 的持久卷。 当然,Pod 需要通过 Vau...
例如,给定一个在 Gitlab 上运行的 Docker 容器中的 Bash Shell,我如何获取要传递的密码? 当我用这个登录时: $ vault login -method=ldap username=myusername 它要求我输入密码。 如何让提示不停止并将密码作为变量传递? 我计划使用 Gitlab 变量来传递我的密码。 ...
我正在尝试在 Apache Forward Proxy(httpd v2.4;在容器中运行以进行测试)后面的 Docker 容器中运行 hashicorp vault 服务器。Vault 设置为使用 AWS KMS 进行自动解封。但是,vault 出现以下错误。代理未生成任何日志信息。 vault_1 | Error parsing Seal configuration: error fetching AWS KMS wrapping key information: RequestError: send request failed vault_1 |...
我正在使用 Hashicorp Vault PKI 设置 OLCNE 环境,我成功安装了代理、设置了保管库,生成了证书,但在模块创建过程中,我收到主机名与证书不匹配的错误。我做错了什么?检查证书显示 SAN 仅设置为 127.0.0.1,但没有选项将自定义 DNS 名称设置为 SAN,只能设置 ip,但在设置模块期间,我为节点提供了 fqdn 而不是 ip,这不起作用。 ...
大多数配置都支持来自环境的内联变量。Vault 配置是否支持环境变量?例如: ui = true listener "tcp" { tls_disable = 1 address = "[::]:8200" cluster_address = "[::]:8201" } storage "postgresql" { connection_url = $PG_URL // where PG_URL is an environment variable...
我正在寻求将从自定义根 CA 生成客户端证书的过程迁移到 hashicorp Vault 中。 根已经受到许多应用程序的信任,因此我想将其(或中间)导入保险库并从那里发出客户端证书。 教程很简单,但总是展示如何生成新的根证书和中间证书。 如何通过命令行(例如vault write pki/root/???)使用预先存在的根证书初始化 PKI 秘密引擎? ...
Vault 是否是存储用户敏感信息(例如他们的工资率或个人身份)的正确工具? “普通”员工/用户只能访问自己的数据,但具有会计角色的用户必须访问所有人的数据。用户通过 ldap 进行身份验证,因此我认为 Vault 是一个不错的选择,因为它可以与 ldap 集成,我可以使用其策略来限制访问。 我无法使用秘密环境变量进行加密,因为即使 DevOps 也不应该访问用户的敏感数据。 ...
是否可以仅将 Hashicorp Vault 集群安装到 EC2 或者是否需要 EKS,并且其中一个是否比另一个有很大优势? ...