【发布时间】:2020-04-29 01:49:17
【问题描述】:
所以基本上,我已经在 AWS 的 kubernetes 集群中建立了一个带有 Consul/Vault 的架构。当 Pod 启动时,我的保管库会使用 AWS KMS 自动解封。
最近我做了一些关于使用 consul 快照备份 vault 的测试。
我测试的场景是:
- 首先拍摄 Vault consul snapshot save vault.prod.snap 的快照
- 然后删除 vault 执行 consul kv delete -recurse vault/
- 删除保管库状态集和 pod
- consul 快照恢复 vault.prod.snap
- 最后重新创建保险库状态集
结果:
在自动开封期间,我在第三个键上收到错误 500,上面写着: 正文 {“错误”:[“无法解密加密的存储密钥:密码:消息身份验证失败”]}
我尝试了另一个不使用命令 kv delete -recurse vault/ 清理保管库的测试 我基本上只是删除了 UI 和恢复中的几个策略。这种情况似乎可以正常工作,只是当我从“零”恢复时,我的保险库无法再开封。
有人可以给我一些提示吗?
【问题讨论】:
-
执行 consul restore 后,提供的未密封密钥不再有效