尽管可以提交Nomad作业(使用相同的令牌进行身份验证)，但无法列出Nomad作业/任务日志

Question

我正在使用Vault进行密钥管理，以生成短期的Nomad ACL令牌，我的部署代理(GoCD)可以使用这些令牌对Nomad进行身份验证：

vault read -field=secret_id nomad/creds/gocd

我对gocd的访问控制策略是：

namespace "default" {
  policy = "write"
}

我正在使用GoCD提交Nomad作业进行部署：

nomad job run {{ temp_directory.path }}/{{ service_name }}.nomad

上述两个步骤都按预期工作。但是，当我尝试使用以下命令获取失败的Nomad部署的日志时

nomad alloc logs -token {{ nomad_token.stdout }} -job {{ service_name }} {{ task_name }}

我得到了

"Error reading file: Unexpected response code: 403 (Permission denied)"

根据Nomad documentation的说法，"write"策略包括"read-logs"功能。

Answer 1

我发现在我的"read"策略中为node添加一个ACL策略确实起到了作用：

namespace "default" {
  policy = "write"
}

node {
  policy = "read"
}

我面临的问题已经在现有的GitHub issue中得到了很好的解释。