我将自己托管的Gitlab与Hashicorp保险库集成在一起。我已按照https://docs.gitlab.com/ee/ci/examples/authenticating-with-hashicorp-vault/的步骤进行操作,并尝试运行管道。
我在运行管道时收到证书错误。
Error writing data to auth/jwt/login: Put "https://vault.systems:8200/v1/auth/jwt/login": x509: certificate signed by unknown authority
我的.gitlab yml文件-
Vault Client:
image:
name: vault:latest
entrypoint:
- '/usr/bin/env'
- 'PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin'
before_script:
script:
- export VAULT_ADDR=https:/vault.systems:8200/
- export VAULT_TOKEN="$(vault write -field=token auth/jwt/login role=staging jwt=$CI_JOB_JWT)"
- export PASSWORD="$(vault kv get -field=password kv/project/staging/db)"
- echo $PASSWORD
如果我使用-tls-skip-verify标志,那么它将正常工作。
我是否需要将自签名服务器证书放在Vault服务器或gitlab服务器上的某个位置? 请让我知道是否有人对此有任何想法吗?
答案 0 :(得分:1)
必须将由docker / kube执行器管理的容器配置为信任自签名证书。您可以编辑config.toml以便运行程序将受信任的证书/ CA根目录安装到GitLab CI作业容器中
例如,在基于Linux的Docker执行程序上:
[[runners]]
name = "docker"
url = "https://example.com/"
token = "TOKEN"
executor = "docker"
[runners.docker]
image = "ubuntu:latest"
# Add path to your ca.crt file in the volumes list
volumes = ["/cache", "/path/to-ca-cert-dir/ca.crt:/etc/gitlab-runner/certs/ca.crt:ro"]
有关更多信息,请参见docs。
答案 1 :(得分:0)
Error writing data to auth/jwt/login: Put "https://vault.systems:8200/v1/auth/jwt/login": x509: certificate signed by unknown authority
您收到的错误是从保险柜返回的,因此您需要接受该证书的保险柜。 the Deployment Guide中有关于如何执行此操作的说明。 (我曾经在HashiCorp Vault工作,所以我知道在哪里进行挖掘。)
答案 2 :(得分:0)
我能够通过在gitlab.yml文件中使用此变量VAULT_CACERT来解决此问题:
- export VAULT_CACERT=/etc/gitlab-runner/certs/ca.crt。证书路径是我们在容器启动期间指定的已安装容器的路径。
发布此信息,以便任何人寻找它时,这就是解决方案。 :)
答案 3 :(得分:0)
您可以在 vault 命令 vault kv get -tls-skip-verify -field=password kv/project/staging/db 中使用 -tls-skip-verify,或者如果您有 vault 的 ca-cert,则必须通过将 VAULT_CACERT 设置为正确路径来导出 CA CERT 路径。