因此,基本上,我已经在AWS内的kubernetes集群中设置了一个带有ConsulVault的架构。当 pods 启动时,我的 vault 会用 AWS KMS 自动解封。
最近我围绕使用consul snapshot备份vault做了一些测试。
我测试的场景是。
结果。
在自动解封过程中,我在第三把钥匙上得到了一个500的错误提示:body {"错误":["未能解密加密存储的钥匙:密码:消息认证失败"]}。
我试过,另一个测试,我不清理金库与命令kv删除-recurse vaultI基本上只是删除几个策略在用户界面和恢复。这种情况似乎是正确的工作,它只是当我从 "从头开始 "恢复,我的金库不能解封了。
有人能给我一些提示吗?
经过3天的时间,我终于解决了这个问题
修正以下问题后,我的金库又可以解封了。
对于第一个问题,我重用了一个ruby脚本,并将其添加到consul docker镜像中,为每个consul生成一个永久的节点id。
关于第二个问题,我对代理的ACL策略没有给代理必要的权限来进行必要的更新。