晚上好!希望大家一切都好。我正在尝试将K8s集成到保险柜中,并停留在以下错误消息中:x509:证书由未知授权机构签名
Kubernetes在AWS EKS上运行,并且Vault在经典负载均衡器和Route 53条目后面进行了HA设置。
我正在关注此链接:https://learn.hashicorp.com/vault/identity-access-management/vault-agent-k8s我不是在指定Minikube,而是在指定Kubernetes集群,而是尝试了所有可以想到的方法,但每次都出现相同的错误。
https://:8443 / apis / authentication.k8s.io / v1 / tokenreviews:x509:未知授权机构签署的证书
库配置:
{
"listener": [{
"tcp": {
"address" : "0.0.0.0:8200",
"tls_disable" : 1 (Am doing SSL termination at LoadBalacer level)
}
}],
"api_addr": "http://<Instance_IP>:8200",
"storage": {
"dynamodb": {
"ha_enabled" : "true",
"region" : "<region_name>",
"table" : "<table_name>"
}
},
"max_lease_ttl": "10h",
"default_lease_ttl": "10h",
"ui":true
}
尝试通过以下方式启用身份验证:“ vault auth enable -tls-skip-verify kubernetes”和“ vault auth enable kubernetes”,但都没有运气。
请帮助。让我知道您是否需要我的任何信息。
答案 0 :(得分:2)
您不能使用kubernetes auth method禁用CA验证。启用auth方法时,需要指定kuberetes_host
和kubernetes_ca_cert
。主机是您的Kubernetes主机(API服务器)的FQDN。 ca_cert是用于验证对API服务器的请求的公共证书颁发机构。
每个云提供商都有其公开CA的方式,因为它可能属于负载平衡器,而不是直接在群集上。看来您正在使用AWS,所以here's those docs。您需要拉certificate-authority-data
字段(因为这是CA),并将其提供给保险柜。