Question

Gitlab 与 Hashicorp Vault 集成

2020-11-06

2449

gitlab hashicorp-vault

我已将自托管的 Gitlab 与 Hashicorp vault 集成。我已按照此处的步骤 https://docs.gitlab.com/ee/ci/examples/authenticating-with-hashicorp-vault/ 并尝试运行管道。

运行管道时，我收到证书错误。

Error writing data to auth/jwt/login: Put "https://vault.systems:8200/v1/auth/jwt/login": x509: certificate signed by unknown authority

我的 .gitlab yml 文件 -

Vault Client:
  image:
    name: vault:latest
    entrypoint:
        - '/usr/bin/env'
        - 'PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin'
  before_script:

  script:
    - export VAULT_ADDR=https:/vault.systems:8200/
    - export VAULT_TOKEN="$(vault write -field=token auth/jwt/login role=staging jwt=$CI_JOB_JWT)"
    - export PASSWORD="$(vault kv get -field=password kv/project/staging/db)"
    - echo $PASSWORD

如果我使用 -tls-skip-verify 标志，则它可以正常工作。

我需要将自签名服务器证书放在 vault 服务器或 gitlab 服务器上的某个位置吗？如果有人对此有任何想法，请告诉我？

Answer 1

docker/kube 执行程序管理的容器必须配置为信任自签名证书。您可以编辑 config.toml ，以便您的运行器将受信任的证书/CA 根目录挂载到 GitLab CI 作业容器中

例如，在基于 Linux 的 docker 执行程序上：

  [[runners]]
   name = "docker"
   url = "https://example.com/"
   token = "TOKEN"
   executor = "docker"

   [runners.docker]
     image = "ubuntu:latest"

     # Add path to your ca.crt file in the volumes list
     volumes = ["/cache", "/path/to-ca-cert-dir/ca.crt:/etc/gitlab-runner/certs/ca.crt:ro"]

有关更多信息，请参阅文档。

Answer 2

我能够通过在我的 gitlab.yml 文件中使用此变量 VAULT_CACERT 来解决这个问题： - export VAULT_CACERT=/etc/gitlab-runner/certs/ca.crt 。此处的证书路径是已安装容器的路径，我们在启动容器时指定该路径。

发布此内容，以便如果有人正在寻找它，这就是解决方案。:)

Answer 3

Error writing data to auth/jwt/login: Put "https://vault.systems:8200/v1/auth/jwt/login": x509: certificate signed by unknown authority

您收到的错误是由 Vault 返回的，因此您需要让 Vault 接受该证书。部署指南中有一个关于如何执行此操作的详细说明。（我曾经在 HashiCorp Vault 工作，所以我知道在哪里可以找到它。）