我创建了hashicorp保管库部署并配置了kubernetes auth。 Vault容器从Pod内部调用kubernetes api进行k8s身份验证,并且该调用失败,并显示500错误代码(连接被拒绝)。我正在将docker用于Windows kubernetes。
我将以下配置添加到库中以进行kubernetes身份验证机制。
payload.json
{
"kubernetes_host": "http://kubernetes",
"kubernetes_ca_cert": <k8s service account token>
}
curl --header "X-Vault-Token: <vault root token>" --request POST --data @payload.json http://127.0.0.1:8200/v1/auth/kubernetes/config
我得到了预期的204响应。
并且我为kubernetes auth创建了一个角色,尝试通过该角色登录Vault:
payload2.json
{
"role": "tanmoy-role",
"jwt": "<k8s service account token>"
}
curl --request POST --data @payload2.json http://127.0.0.1:8200/v1/auth/kubernetes/login
以上卷曲给出以下响应:
{“错误”:[“发布http://kubernetes/apis/authentication.k8s.io/v1/tokenreviews:拨打tcp 10.96.0.1:80:连接:连接被拒绝”]}
下面是我的kubernetes服务正常运行,并且我也可以使用代理访问kubernetes仪表板。
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
kubernetes ClusterIP 10.96.0.1 <none> 443/TCP 13d
我无法弄清为什么无法从容器内部访问'kubernetes'服务。任何帮助将不胜感激。
编辑1。我的保管箱和服务运行正常:
服务
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
vault-elb-int LoadBalancer 10.104.197.76 localhost,192.168.0.10 8200:31650/TCP,8201:31206/TCP 26h
Pod
NAME READY STATUS RESTARTS AGE
vault-84c65db6c9-pj6zw 1/1 Running 0 21h
您的登录请求正在发送到端口80上的tokenreview端点。我认为这是因为您的kubernetes_host指定了http URL。 500的响应是因为它不在端口80上侦听,而是在443上侦听(如您在服务列表输出中所看到的)。
[配置身份验证时尝试更改为https,即
payload.json
{
"kubernetes_host": "https://kubernetes",
"kubernetes_ca_cert": <k8s service account token>
}