hashicorpVault k8s - 代理容器不会初始化
问题描述 投票:0回答:2
我尝试遵循 Hashicorp Vault 的指南将机密注入应用程序 pod:https://learn.hashicorp.com/tutorials/vault/kubernetes-sidecar#inject-secrets-into-the-pod
问题是,我根本无法让Vault-agent(sidecar)初始化。
我尝试遵循几个指南,但在尝试启动 sidecar 时总是收到此错误。我不知道为什么我一直收到它,因为日志没有显示任何错误:
kubectl logs pod/orgchart-6f88c9f9f4-fzwcf vault-agent -n vault
我不太确定发生了什么事。我完全遵循上述指南。
当我尝试运行部署补丁时发生错误,该补丁用于在应用程序中注入机密。这是补丁的代码:
spec:
template:
metadata:
annotations:
vault.hashicorp.com/agent-inject: 'true'
vault.hashicorp.com/role: 'internal-app'
vault.hashicorp.com/agent-inject-secret-database-config.txt: 'internal/data/database/config'
该指南对部署补丁进行了以下说明:
Vault Agent Injector 仅在包含一组特定注释时修改部署。现有部署可能会对其定义进行修补以包含必要的注释。
因此,我们使用补丁来修改部署并注入所需的秘密,然后像这样应用它:
kubectl patch deployment orgchart --patch "$(cat patch-inject-secrets.yaml)"
正如您在这里看到的,补丁已经 82 分钟没有初始化了:
提前谢谢您!
2个回答
0
投票
投票
该 Pod 中是否有Vault-agent-init 容器?可以分享一下日志吗?通常,vault-agent-init 是有问题的,并且大多数时候日志会显示任何配置问题。
0
投票
投票
通过读取
vault-agent-initkubectl logs pods/orgchart-68cc76597b-vjr2k vault-agent-init
我能够理解这个问题了:
2023-12-23T18:20:51.978Z [WARN] (view) vault.read(internal/data/database/config): vault.read(internal/data/database/config): Error making API request.
URL: GET http://vault.default.svc:8200/v1/internal/data/database/config
Code: 403. Errors:
* 1 error occurred:
* permission denied
(retry attempt 2 after "500ms")
作为临时解决方法,我使用
*internal/data/database/configvault policy write internal-app - <<EOF
path "*" {
capabilities = ["read"]
}
EOF
可以端口转发 Vault UI 以在 UI 中查看机密,而不是在终端中键入 Vault 命令:
kubectl port-forward vault-0 8200:8200
最新问题
- bcp 错误:文本列数据不完整且强制转换规范的字符值无效
- 除了函数之外还有其他理由使用引用变量吗?
- 对数组的每 N 个元素进行排序的排序算法
- Flexbox 布局,无需将项目重新渲染到新父级
- 使用PowerShell方式安装Visual Studio 2022
- 如何让编译器发出有关 switch 和 case 中枚举类型不匹配的警告?
- `AcceleratorState`对象没有属性`distributed_type`
- 仅显示修改日期、修改时间和名称
- Python 可能并行运行 io 任务,这不可避免地需要 for 循环?
- 如何在Python中获取网络接口卡名称?
- 对于刚刚将应用程序移植到较新的 Java 的应用程序,是否有 --add-opens 命令行参数的替代方案?
- webApi 2 中的子域 CORS
- Task.WhenAll 与 Parallel.ForEachAsync - 哪种方法最好,为什么?
- 通过cdn在vue应用程序中进行条带支付
- Docusaurus 从内联 SVG 中剥离了一些属性;需要 ID 才能访问 我正在使用这样的内联 SVG: icon-checkmark.svg的内容: <svg xmlns="http://www.w3.org/2000/svg" xml:space="preserve" viewBox="0 0 46 46"><title id="myTitleID">An accessible title</title><path {…} /></svg> 导入和内联: import CheckmarkSvg from '/img/site-components/icon-checkmark.svg'; <CheckmarkSvg role="image" aria-labelledby="myTitleID" className="myClass" /> 但是 Docusaurus 从渲染的 SVG 中删除了标题的 ID 属性。 有解决方法吗?如果没有它,标题在某些浏览器中将无法访问。 正如 @ccprog 在他们的评论中所述,Docusaurus 依赖于 SVGR,而 SVGR 又依赖于 SVGO。 SVGO 是最终做这件事的图书馆。但是,最新版本的 Docusaurus 不再删除 <title>,因为 Docusaurus 预先配置了 SVGR/SVGO 以忽略该行为。 参考:fix(utils):使SVGO不删除标题 关于一般删除<title>,这确实是 SVGO 的一个缺陷,这种行为将在下一个主要版本中被禁用。 虽然这不再是一个持续存在的问题,但我将给出如何解决此类问题的答案,以防有人想通过 Docusaurus 重新配置其他 SVGO 插件。 我建议通过 Docusaurus 的 Lifecycle API 解决此问题。可以使用 configureWebpack 功能来更改 SVGO 选项。 为此,请在您的存储库中为 Docusaurus 创建一个自定义插件。 src/plugins/configure-svgo.js /** * Docusaurus uses SVGR internally, which in turn uses SVGO. This alters the * SVGO config and merges the changes back into Docusaurus' webpack config. * * @returns {Object} */ function configureSvgo() { return { name: 'configure-svgo', configureWebpack(config) { /** @type {object[]} */ const rules = config.module.rules; const rule = rules.find((rule) => { /** @type {string|undefined} */ const loader = rule.oneOf?.[0]?.use?.[0]?.loader; return loader && loader.includes("/@svgr/"); }); const svgoConfig = rule.oneOf[0].use[0].options.svgoConfig; // alter svgoConfig with whatever changes you need return { mergeStrategy: { "module.rules": "replace" }, module: { rules } }; } }; } module.exports = configureSvgo; 您可以通过将插件附加到插件数组或禁用默认预设中的插件等来更改svgoConfig。在这种情况下,您需要禁用插件。 创建插件后,您需要在 Docusaurus 配置中启用它: docusaurus.config.js // … plugins: [ // … "./src/plugins/configure-svgo.js" ], // … Docusaurus 现在会将您的 SVGO 配置传递到 SVGR/SVGO,因此 SVG 仍将得到优化,但也可以满足您的要求。
- 使用 SMTP.js 发送电子邮件时可能出现的问题
- 文本文档聚类比 tf/idf 和余弦相似度更好?
- 在 Python 中根据输入列表按字母顺序排列名称列表,而无法使用任何排序功能
- 如何在一行中正确循环并打印json记录
- Woocommerce 重置密码不起作用
© www.soinside.com 2019 - 2024. All rights reserved.