使用helm将Vault和consul agent部署在与TLS相同的pod中

Question

我计划使用vault服务作为HA与领事后端与TLS使用helm部署的领事和保险库。

我已经在我的EKS集群中使用helm deployment部署了consul。当使用helm部署vault时，这会将consul client部署为守护程序，并将consul server部署为pod，我的vault服务器必须与consul client而不是consul server交互。我面临的挑战是，我不能在下面的vault配置文件中提供存储管理地址127.0.0.1:8501，因为vault作为单独的pod运行，而consul client作为单独的pod运行。如此不同的ips。

storage "consul" {
address = "<WHAT_SHOULD_I_PROVIDE?>:8501"
path = "vault/"
scheme = "https"
tls_ca_file = ""
tls_cert_file = ""
tls_key_file = ""
token = "<CONSUL_TOKEN>""
}

我也通过使用HOST_IP:8501对它进行了调整，但它在错误警告下面抛出了迁移检查错误: error="Get "https://10.15.0.7:8501/v1/kv/vault/core/migration"：x509: certificate signed by unknown authority“

这是因为TLS证书应该包括IP地址的使用者备用名称(SAN)，当然，它还应该由您作为ca_file参数一部分包含在Consul中的受信任CA签名。但在我的领事舵表配置中，我使用的是enableAutoEncrypt: true。所以我不能使用自定义证书。

如果我在同一个pod中部署vault和consul，这个问题就会得到解决。在vault helm图表配置中，我找不到用于同时部署vault和consul代理的consulAgent配置。请帮助我，让我知道如何解决这个问题

Answer 1

你试过consul.service.consul吗？