AWS + Hashicorp Vault拒绝连接错误

Question

我已经在EC2实例上配置了一个Hashicorp服务器。当我试图使用邮递员测试过境秘密引擎API时，我一直被邮递员拒绝了一个错误连接，我进入了完全ape模式，打开了安全组入站规则上的所有端口，但它没有工作，我在实例上附加了一个弹性IP，也没有工作，我只是尝试一个简单的GET，我只是一直得到相同的连接拒绝错误。

但是，当我在ssh连接会话上使用cUrl时，我没有问题。指定的宿主入口为127.0.0.1:8200，在postman中，我将本地主机替换为我在screencap中明显删除的实例的公共入口，在标题中有访问保险库所需的令牌，为了简单起见，我只是使用根令牌。

邮递员尖叫如果有帮助

Answer 1

@艾米利奥·马钱特

我也面临过类似的问题(不是邮递员，而是telnet)，让我们试着理解这里的问题。

问题是127.0.0.1 IP。这是回送IP，当您(或您的计算机)调用IP地址时，通常是试图与internet上的另一台计算机联系。但是，如果您调用IP地址127.0.0.1，那么您正在与本地主机进行通信--原则上，是与您自己的计算机进行通信。

参考链接：https://www.ionos.com/digitalguide/server/know-how/localhost/

你可以尝试的是下面。

1. 使用-- dev -侦听-address参数启动金库开发服务器。

例：

vault server -dev -dev-listen-address="123.456.789.1:8200"

在上面的命令中，将'123.456.789.1:8200‘改为’<您的ec2实例私有IP : 8200'>

1. 下一组VAULT_ADDR和VAULT_TOKEN参数如下

export VAULT_ADDR='http://123.456.789.1:8200'
export VAULT_TOKEN='*****************'

再次将“http://123.456.789.1:8200”替换为“http://[Your ec2实例私有IP]：8200”

对于Vault_token :您应该在控制台中获得根令牌，当您启动保险库服务器时，请使用该令牌

现在尝试从邮递员连接或使用curl命令。应该管用的。

参考问题和解决办法：

如何连接到远程hashicorp保险库服务器

Answer 2

这里值得注意的是，回应是“拒绝连接”。此错误意味着连接正在建立，并且它发现该端口上没有运行任何进程。此错误意味着防火墙没有问题。防火墙将导致连接掉(拒绝)或超时(忽略)，但不会给出“经济拒绝”。

最有可能的问题是金库服务器进程没有绑定到正确的网络接口。必须在hashicorp-保险库中进行配置，以设置要绑定的IP。默认情况下，大多数服务器只绑定只能从127.0.0.1访问的回送地址。您需要将其绑定到“所有”网络接口，方法是将其更改为0.0.0.0。我不知道hashicorp保险库的具体配置选项，但必须有这样的效果。

可能存在的安全问题：

请注意，有些服务器希望您在反向代理之后运行它，以便在需要时可以设置SSL (https)和其他身份验证。在没有SSL的情况下，不能在http上公开访问应用程序(如vault )。