带有 TLS HA 和 Raft 的 k8s 上的 Vault答案

【问题标题】：Vault on k8s with TLS HA and Raft带有 TLS HA 和 Raft 的 k8s 上的 Vault
【发布时间】：2020-07-20 04:33:03
【问题描述】：

我一直试图让 Vault 在 OpenShift 3.11 中使用 Raft 存储在 HA 模式下运行，但在尝试将第二个节点加入集群时总是出现以下错误：

failed to join raft cluster: bootstrap init call during bootstrap init call: Put https://vault3.vault3.svc:8200/v1/sys/storage/raft/bootstrap/challenge: x509: certificate signed by unknown authority

我按照this 示例创建了证书和密钥，并将它们与 Kubernetes CA 一起存储为 Kubernetes 机密（名为 vault-server-tls）。

Helm 图表 values.yaml 有一个引用秘密的部分：

  extraVolumes:
  - type: secret
    name: vault-server-tls

我相信它工作正常，因为我可以进入 pod 并且正在挂载 vault-server-tls 机密，并且 3 个文件按预期显示：

/ $ ls -l /vault/userconfig/vault-server-tls
total 0
lrwxrwxrwx    1 root     root            15 Apr  7 19:26 vault.ca -> ..data/vault.ca
lrwxrwxrwx    1 root     root            16 Apr  7 19:26 vault.crt -> ..data/vault.crt
lrwxrwxrwx    1 root     root            16 Apr  7 19:26 vault.key -> ..data/vault.key

Helm 图表 values.yaml 监听器配置引用了 cert、key 和 ca 文件：

    raft:

      # Enables Raft integrated storage
      enabled: false
      config: |
        ui = true
        cluster_addr = "https://POD_IP:8201"

        listener "tcp" {
          tls_disable = 0
          address = "[::]:8200"
          cluster_address = "[::]:8201"
          tls_cert_file = "/vault/userconfig/vault-server-tls/vault.crt"
          tls_key_file  = "/vault/userconfig/vault-server-tls/vault.key"
          tls_client_ca_file = "/vault/userconfig/vault-server-tls/vault.ca"
        }

        storage "raft" {
          path = "/vault/data"
        }

第一个吊舱开封良好：

oc exec -ti vault3-0 -- vault operator unseal -tls-skip-verify 
Key                    Value
---                    -----
Seal Type              shamir
Initialized            true
Sealed                 false
Total Shares           1
Threshold              1
Version                1.3.4
Cluster Name           vault-cluster-945d1fc5
Cluster ID             2ac97997-b596-4dcc-4926-2d8acec56ed5
HA Enabled             true
HA Cluster             n/a
HA Mode                standby
Active Node Address    <none>

但是当我尝试将第二个 pod 加入集群时，我得到一个 x509: certificate signed by unknown authority 消息：

oc exec -ti vault3-1 -- vault operator raft join -tls-skip-verify https://vault3.vault3.svc:8200
Error joining the node to the raft cluster: Error making API request.

URL: POST https://127.0.0.1:8200/v1/sys/storage/raft/join
Code: 500. Errors:

* failed to join raft cluster: error during bootstrap init call: Put https://vault3.vault3.svc:8200/v1/sys/storage/raft/bootstrap/challenge: x509: certificate signed by unknown authority

进入第二个 pod，我可以看到 VAULT_CACERT 环境值存在并且设置正确（如上所述，3 个文件按预期就位）：

/ $ printenv VAULT_CACERT
/vault/userconfig/vault-server-tls/vault.ca
/ $ printenv VAULT_ADDR
https://127.0.0.1:8200
/ $

这是我的 CA：

这是我的证书：

这是我的钥匙：

我已经按照 Helm TLS 示例中的示例（在这篇文章的顶部）进行了操作，可能有 10 次不同的时间，但仍然得到相同的错误。

我不确定我做错了什么，但我们将不胜感激。

【问题讨论】：

您好。我遇到了和你一样的问题。遵循“standalone-tls”文档和几次，总是遇到像你一样的错误。因此，出于调试原因，我从 vault:1.4.0 映像构建了自己的 Docker 映像，并在构建时将 kubernetes ca 证书添加到 alpine 证书存储中。有了这个自定义图像，筏连接就起作用了。所以我猜在 Vault 或 helm 图表中存在某种关于 ca 文件标志的错误。不是真正的解决方案，但至少我现在知道它不是“我”或我的证书。

标签： hashicorp-vault raft

【解决方案1】：

我在加入集群时遇到了与您类似的错误，但问题是我试图加入 https://IP:8200 并且证书在 SAN 上没有 IP，只有 DNS。

关于您的错误：* failed to join raft cluster: error during bootstrap init call: Put https://vault3.vault3.svc:8200/v1/sys/storage/raft/bootstrap/challenge: x509: certificate signed by unknown authority 我建议通过操作系统对 CA 的实际信任进行故障排除。我

这 2 个命令之一的输出应该可以揭示实际错误和 openssl s_client -showcerts -connect vault3.vault3.svc:8200/

和

curl -v https://vault3.vault3.svc:8200

查看一个显示正在使用哪个 CA 证书存储的示例

curl -v https://vault01:8200
* Rebuilt URL to: https://vault01:8200/
*   Trying 192.168.1.151...
* TCP_NODELAY set
* Connected to vault01 (192.168.1.151) port 8200 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, [no content] (0):

【讨论】：