Коляска агента Istio и Hashicorpt Vault не работает должным образом

Question

Коляска агента Istio и Hashicorpt Vault не работает должным образом

Я использую локальную версию k8s v1.19 и Istio с 1.8.0 .. Я застрял, чтобы правильно запускать их вместе, когда я вставляю istio mesh в hub-devгде работают наши микросервисы. Vault работает dev пространство имен.

Первая проблема, с которой я столкнулся, - это Vault и Sidecar Istio, которые каким-то образом не работают должным образом, и приложение не может запуститься, как показано ниже. Я попытался использовать приведенные ниже аннотации для запуска первого хранилища, но это не решило проблему, указанную ниже.

vault.hashicorp.com/agent-init-first: правда
vault.hashicorp.com/agent-inject: правда

Вот выходы статуса модуля и описание

      $ kubectl get pods -n hub-dev
    NAME                                     READY   STATUS     RESTARTS   AGE
    oneapihub-mp-dev-59f7685455-5kmft        0/3     Init:0/2   0          19
    
$ kubectl describe pod oneapihub-mp-dev-59f7685455-5kmft -n hub-dev

Init Containers:
  vault-agent-init:
    Container ID:  
    State:          Running
      Started:      Fri, 15 Jan 2021 13:54:30 +0300
    Ready:          False
  istio-validation:
    Container ID:
    Image:         reg-dhc.app.corpintra.net/i3-mirror/docker.io_istio_proxyv2:1.8.0
    State:          Waiting
     Reason:       PodInitializing
    Ready:          False
Containers:
      oneapihub-mp:
        Container ID:
        State:          Waiting
          Reason:       PodInitializing
        Ready:          False
      istio-proxy:
        Container ID:
        State:          Waiting
          Reason:       PodInitializing
        Ready:          False
  istio-proxy:
    Container ID:
    State:          Waiting
      Reason:       PodInitializing
    Ready:          False

    Normal  Pulled     16m   kubelet, xx-kube-node07  Container image "docker.io_vault:1.5.2" already present on machine
    Normal  Created    16m   kubelet, xx-kube-node07  Created container vault-agent-init
    Normal  Started    16m   kubelet, xx-kube-node07  Started container vault-agent-init

Когда я попробовал аннотацию ниже, она устранила вышеуказанную проблему, но на этот раз, когда модуль начинает работать, он не может найти путь, но каким-то образом после этого его можно прочитать, когда я проверил журналы прокси и приложения и /vault/secrets папка существует внутри модуля.

       - vault.hashicorp.com/agent-pre-populate: "false"

Здесь журналы приложения, даже если папка существует

      $ kubectl get pods -n hub-dev
oneapihub-mp-dev-78449b8cf6-qbqhn        3/3     Running   0          9m31s

$ kubectl logs -f oneapihub-mp-dev-78449b8cf6-qbqhn -n hub-dev -c oneapihub-mp

> market-place@1.0.0 start:docker /usr/src/app
> node app.js

{"message""devMessage":"SECRET_READ_ERROR","data":"","exception":"ENOENT: no such file or directory, open '/vault/secrets/database'","stack":"Error: ENOENT: no such file or directory, open '/vault/secrets/database'->

/ $ cd /vault/secrets
/vault/secrets $ ls
database  jenkins
/vault/secrets $

Здесь у меня есть некоторая ошибка PUT, которая может быть связана с самим Vault, но я не понимаю, как Vault может вводить секреты.

       $ kubectl logs -f oneapihub-mp-dev-78449b8cf6-qbqhn -n hub-dev -c vault-agent

2021-01-15T11:21:13.477Z [ERROR] auth.handler: error authenticating: error="Put "http://vault.dev.svc:8200/v1/auth/kubernetes/login": dial tcp 10.254.30.115:8200: connect: connection refused" backoff=2.464775515
==> Vault agent started! Log data will stream in below:

==> Vault agent configuration:

                     Cgo: disabled
               Log Level: info
                 Version: Vault v1.5.2
             Version Sha: 685fdfa60d607bca069c09d2d52b6958a7a2febd

2021-01-15T11:21:15.942Z [INFO]  auth.handler: authenticating
2021-01-15T11:21:15.966Z [INFO]  auth.handler: authentication successful, sending token to sinks
2021-01-15T11:21:15.966Z [INFO]  sink.file: token written: path=/home/vault/.vault-token

И, наконец, когда я проверил журналы istio-proxy, я увидел, что запрос GET или PUT возвращает 200.

      $ kubectl logs -f oneapihub-mp-dev-78449b8cf6-h8s8j -n hub-dev -c istio-proxy

021-01-15T11:35:04.352221Z  warning envoy filter    mTLS PERMISSIVE mode is used, connection can be either plaintext or TLS, and client cert can be omitted. Please consider to upgrade to mTLS STRICT mode for more secure configuration that only allows TLS connection with client cert. See https://istio.io/docs/tasks/security/mtls-migration/
[2021-01-15T11:35:05.557Z] "PUT /v1/auth/kubernetes/login HTTP/1.1" 200 - "-" 1294 717 8 8 "-" "Go-http-client/1.1" "a082698b-d1f7-4aa5-9db5-01d86d5093ef" "vault.dev.svc:8200" "10.6.24.55:8200" outbound|8200||vault.dev.svc.cluster.local 10.6.19.226:55974 10.254.30.115:8200 10.6.19.226:60478 - default
2021-01-15T11:35:05.724833Z info    Envoy proxy is ready
[2021-010.6.19.226:41888 - default
[2021-01-15T11:35:05.596Z] "GET /v1/secret/data/oneapihub-marketplace/database HTTP/1.1" 200 - "-" 0 400 0 0 "-" "Go-http-client/1.1" "d7d10c1f-c445-44d1-b0e3-bb9ae7bbc2f0" "vault.dev.svc:8200" "10.6.24.55:8200" outbound|8200||vault.dev.svc.cluster.local 10.6.19.226:55974 10.254.30.115:8200 10.6.19.226:41900 - default
[2021-01-15T11:35:05.591Z] "PUT /v1/auth/token/renew-self HTTP/1.1" 200 - "-" 15 717 8 8 "-" "Go-http-client/1.1" "56705e5c-c966-4bc8-8187-7ca5bb2b4abe" "vault.dev.svc:8200" "10.6.24.55:8200" outbound|8200||vault.dev.svc.cluster.local 10.6.19.226:37388 10.254.30.115:8200 10.6.19.226:41890 - default
[2021-01-15T11:35:05.602Z] "GET /v1/secret/data/oneapihub-marketplace/jenkins HTTP/1.1" 200 - "-" 0 284 0 0 "-" "Go-http-client/1.1" "1b6d8601-18df-4f32-8722-162aa785c476" "vault.dev.svc:8200" "10.6.24.55:8200" outbound|8200||vault.dev.svc.cluster.local 10.6.19.226:55974 10.254.30.115:8200 10.6.19.226:41902 - default

2

kubernetes istio hashicorp-vault istio-sidecar

Источник

user12530530 15 янв '21 в 14:42

3 ответа

Другие вопросы по тегам kubernetes istio hashicorp-vault istio-sidecar

user12530530 19 фев '21 в 15:44 2021-02-19 15:44 · Answer 1 · 2021-02-19 15:44

Добавленные ниже аннотации сработали для меня.

        template:
    metadata:
      annotations:
        traffic.sidecar.istio.io/excludeOutboundPorts: "8200"
        vault.hashicorp.com/agent-init-first: "true"
        vault.hashicorp.com/agent-inject: "true"

4

Источник

user12530530 19 фев '21 в 15:44

user10555391 27 дек '21 в 07:16 2021-12-27 07:16 · Answer 2 · 2021-12-27 07:16

Чтобы агент инициализации хранилища работал, вам может потребоваться добавить в развертывание следующее:

vault.hashicorp.com/agent-pre-populate: «false» traffic.sidecar.istio.io/excludeOutboundPorts: «8200»

Наконец, я думаю, что хранилище из сетки - лучшее решение, как и мой документ, просто к вашему сведению https://github.com/johnzheng1975/devops_way/wiki/Expose-vault-with-internal-domain

user9450579 30 июл '21 в 17:47 2021-07-30 17:47 · Answer 3 · 2021-07-30 17:47

Приведенная ниже аннотация также отлично работает со мной. Если мы используем traffic.sidecar.istio.io/excludeOutboundPorts, что означает, что при чтении секрета из хранилища трафик не проходит через sidecar Istio и, скорее всего, не зашифрован.

      template:
    metadata:
      annotations:
        vault.hashicorp.com/agent-init-first: "true"
        vault.hashicorp.com/agent-inject: "true"