我错过了什么来建立一个使用筏子和自动密封和运输引擎的HA保险库集群？

Question

我正在用筏子后端设置Vault，并且我尝试使用这个指南https://learn.hashicorp.com/tutorials/vault/raft-storage来建立一个集群

我让它在没有TLS的情况下工作，但是当我尝试执行TLS时，我遇到了错误。设置中转引擎和第一个筏节点是可以的，但是当试图设置第三个节点(集群中的第二个节点)时，我会得到以下错误。

2022-07-21T11:08:41.407Z信息核心:支持存储的解封密钥，>尝试获取2022-07-21T11:08:41.407Z警告未打开>error=：存储的解封键是支持的，但没有发现“> 2022-07-21T11:08:41.407Z信息核心:安全屏障不>初始化的2022-07-21T11:08:41.408Z信息核心:试图加入>可能的筏头节点: leader_addr=https://10.20.30.42:8200 > 2022-07-21T11:08:41.462Z警告核心:连接尝试失败：>error=”在raft引导调用过程中的错误: Put > "https://10.20.30.42:8200/v1/sys/storage/raft/bootstrap/challenge"：> x509:由未知权威签署的证书“> 2022-07-21T11:08:41.462Z信息核心:安全屏障不> 2022- 2022-07-21T11:08:41.462Z信息核心:试图加入>可能的筏领导节点: leader_addr=https://10.20.30.43:8200 > 2022-07-21T11:08:41.477Z警告核心:连接尝试失败：>error=“raft引导过程中的错误: Put > "https://10.20.30.43:8200/v1/sys/storage/raft/bootstrap/challenge"：> x509:证书由未知权威机构签署”> 2022-07-21T11:08:41.477Z错误核心:未能重试连接筏>群集: retry=2s 2022-07-21T11:08:41.477Z信息http: TLS握手>错误来自172.17.0。1:56062:远程错误: tls:坏证书> 2022-07-21T11:08:43.477Z信息核心:安全屏障不>初始化的

我认为用正确的证书设置VAULT_CACERT env变量就足以阻止未知的权限错误，这已经成功地设置了原始节点，但由于某些原因，无法设置传输群集。

Answer 1

Raft协商一致发生在群集端口上，并使用自定义的Vault托管证书。调用join API需要一个有效的TLS连接。我不知道Vault (作为服务器运行时)是否尊重the VAULT_SKIP_VERIFY environment variable，但即使是这样，设置也会降低安装的安全性。

错误日志显示，Vault试图通过其IP地址到达领导者：

> error="error during raft bootstrap init call: Put
> "https://10.20.30.43:8200/v1/sys/storage/raft/bootstrap/challenge":
> x509: certificate signed by an unknown authority"

确保配置文件将api_addr parameter设置为与所使用的证书匹配的名称。

Answer 2

问题是我需要通过

leader_ca_cert_file =“路由/到/pem/file”

到配置文件中的retry_join块中。我认为将其声明为env变量就足够了，但显然还不够。