S
Коллеги добрый день ) подскажите плиз.
А можно как то сказал консул агенту чтобы при регистрации ноды он использовал hostname short а не fqdn
А можно как то сказал консул агенту чтобы при регистрации ноды он использовал hostname short а не fqdn
Size: a a a
2021 November 23
S
А то если в системе по умолчанию hostname указан как fqdn то он пытается зарегать ноду fqdn-hostname.node.consul
F
Всем привет! Сталкивались ли с таким, что Vault на K8s , не удается настроить bound_cidrs для клиентов, потому как виден всегда адрес балансировщика, а не клиента? как сделать чтобы адрес клиента был виден в логах тоже, и работал bound_cdirs в кубере?
L
Что за балансировщик ?
Vault наружу из куба как выставлен ?
Vault наружу из куба как выставлен ?
С
По-моему мы ровно этот же вопрос уже обсуждали с месяц назад. На волте это не порешать, надо разбираться, что с балансировщиком и почему он NAT-ит исходящий трафик из подов.
F
бплансировшик k8s внутренний, я так понимаю это haproxy/nginx
F
понял, тут вопрос больше к куберу получается, со стороны vault не настраивается
L
в кубе нет никаких внутренних haproxy и nginx в качестве балансировщиков.
L
начнем с простых вопросов.
где клиенты волта находятся - снаружи куба ?, а где сам волт - запущен в кубе ?
кто запускал волт ? кто настраивал куб ?
каким образом запросы от клиентов попадают в куб ?
через ingress controller ?
через сервисы типа LoadBalancer/Nodeport ?
где клиенты волта находятся - снаружи куба ?, а где сам волт - запущен в кубе ?
кто запускал волт ? кто настраивал куб ?
каким образом запросы от клиентов попадают в куб ?
через ingress controller ?
через сервисы типа LoadBalancer/Nodeport ?
F
так надо будет собрать инфу, спасибо!
L
Если там ингресс контроллер, надо в listener vault прописать
https://www.vaultproject.io/docs/configuration/listener/tcp#x_forwarded_for_authorized_addrs
https://www.vaultproject.io/docs/configuration/listener/tcp#x_forwarded_for_authorized_addrs
L
если сервисы LB/NP - то добавить в манифест сервиса
externalTrafficPolicy: LocalF
круто, а сталкивались ли ещё с опеншифт? у него route используется
L
нет
F
спасибо, за варианты!!
JR
В роуте haproxy под копотом в режиме tcp собственно со всеми вытекающими
SD
как разрешить регистрацию в консуле только легитимным сервисам? acl и использовать токен в http запросе в апи?
PS
Да.
2021 November 24
G
hashicorp/nomad tagged: v1.2.1
Link: https://github.com/hashicorp/nomad/releases/tag/v1.2.1
Release notes:
Link: https://github.com/hashicorp/nomad/releases/tag/v1.2.1
Release notes:
## 1.2.1 (November 19, 2021)More
SECURITY:
* Allow limiting QEMU arguments to reduce access to host resources. [CVE-2021-43415](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-43415) [[GH-11542](https://github.com/hashicorp/nomad/issues/11542...
G
hashicorp/nomad tagged: v1.2.2
Link: https://github.com/hashicorp/nomad/releases/tag/v1.2.2
Release notes:
Link: https://github.com/hashicorp/nomad/releases/tag/v1.2.2
Release notes:
Version 1.2.2
