系统重启后无法解开hashicorp保管库

Question

我在本地安装了保管库，然后启动，启封并初始化了保管库并添加了一些秘密。重新启动后，我无法使用这些密钥来打开保管库。前两个解封密钥被接受，没有任何问题，但是在提交了第三个密钥之后，我收到了错误响应：

Error unsealing: Error making API request.

URL: PUT https://127.0.0.1:28200/v1/sys/unseal
Code: 500. Errors:

* failed to decrypt encrypted stored keys: cipher: message authentication failed

有什么想法吗？我正在运行保管库版本1.4.2。我使用的命令是vault operator unseal。服务器配置为：

vault_server.hcl

listener "tcp" {
  address = "127.0.0.1:28200"
  tls_cert_file = "/etc/vault/certs/vault_cert.crt"
  tls_key_file = "/etc/vault/certs/vault_cert.key"
}
storage "file" {
  path = "/etc/vault/mnt/data"
}

api_addr = "https://127.0.0.1:28200" # my $VAULT_ADDR is https://127.0.0.1:28200
disable_mlock = true

相关日志输出：

Jun 12 21:26:24 lambda vault[1147]: 2020-06-12T21:26:24.537-0500 [DEBUG] core: unseal key supplied
Jun 12 21:26:24 lambda vault[1147]: 2020-06-12T21:26:24.537-0500 [DEBUG] core: cannot unseal, not enough keys: keys=1 threshold=3 nonce=920f7d80-fdcc-3bc3-149e-8b069ef23acb
Jun 12 21:26:38 lambda vault[1147]: 2020-06-12T21:26:38.069-0500 [DEBUG] core: unseal key supplied
Jun 12 21:26:38 lambda vault[1147]: 2020-06-12T21:26:38.069-0500 [DEBUG] core: cannot unseal, not enough keys: keys=2 threshold=3 nonce=920f7d80-fdcc-3bc3-149e-8b069ef23acb
Jun 12 21:26:51 lambda vault[1147]: 2020-06-12T21:26:51.984-0500 [DEBUG] core: unseal key supplied

我在网络搜索中发现的最相关的问题是针对那些无意中破坏了其存储空间的人：

• https://github.com/hashicorp/vault/issues/5498
• https://groups.google.com/forum/#!msg/vault-tool/N9fc_dUejJw/OfovdNNHBwAJ
• https://discuss.hashicorp.com/t/move-vault-installation-between-servers/6990/2

我不确定这里是否适用。我正在使用文件系统存储，Vault是/etc/vault中所有内容的所有者，并且我无法确定任何数据已丢失或损坏。

Answer 1

我使用他们官方的vault-k8s掌舵表在GKE上以HA模式在HA模式下新安装的vault 1.4.2遇到了相同的问题。我在2个环境中部署了它。第一个可以，但是第二个失败的方式与您尝试将第二个保管库实例加入HA群集时所描述的完全相同。我只是删除了几次，然后重新安装了几次，最终它起作用了。