Kubernetes - cert-manager - ошибка при создании эмитента, использующего Hashicorp Vault

Я создал кластер хранилища, который использует самозаверяющие сертификаты OpenSSL, сгенерированные модуль terraform-aws-vault

Я получаю следующую ошибку, когда пытаюсь создать ресурс эмитента в Kubernetes, который использует этот кластер Vault.

validation failure list:
spec.vault.caBundle in body must be of type byte: "../certs/vault-cabundle.pem"

Это yaml-файл моего эмитента

apiVersion: certmanager.k8s.io/v1alpha1
kind: ClusterIssuer
metadata:
  name: vault-clusterissuer
spec:
  vault:
    path: pki_int/sign/cert-manager
    server: https://vault-cluster.example.com:8200
    caBundle: /etc/ssl/certs/istio-ingress/vault-cabundle.pem
    auth:
      appRole:
        path: approle
        roleId: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" 
        secretRef:
          name: cert-manager-vault-approle
          key: secretId

Я использовал эту команду для base64 шифрования файла caBundle -

openssl base64 -in cabundle.pem -out vault-cabundle.pem

Любая помощь по этому поводу приветствуется.


kubernetes cert-manager hashicorp-vault
person Devesh mehta    schedule 21.04.2020    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Похоже, это связано с ожидаемым форматом в файле yaml для атрибута caBundle. Я не смог найти для него задокументированную схему. Но я нашел пример https://github.com/kubernetes/kubernetes/issues/61171 < / а>. Кажется, что caBundle принимает одну строку строки, которая является base64. Я проверил это, и у меня это работает.

Он должен работать, если вы поместите весь файл в кодировке base64 в одну строку и поместите его против caBundle. См. Ссылку для примера.

person Technoshaft    schedule 22.04.2020
comment
Поле caBundle должно быть значением base64 того, что находится в файле pem. cert-manager не может читать файлы из файловой системы - person Devesh mehta; 22.04.2020