NZ
Мы просто юзаем nfs на всех докер годах и оформляем это в volume nomad job. А кто ещё по другому юзает volume в nomad ? (В пробе)
Самое простое on prem, главное базу не крутить там.
Size: a a a
2020 November 18
J
Самое простое on prem, главное базу не крутить там.
хотелось бы услышать какие другие варианты используются
J
в проде
m
а что ты хочешь ?
m
ааа, волюмы, услышал, не, я не юзаю, слишком медленно получается
J
просто хотелось услышать про другие варианты с стороджами/volume в hashicorp стеке )
m
так оно сырое как по мне еще
JR
кстати на макбуках говорят не работает докер
Неа не работает пока что как и много чего ещё, та же хрень что с павербуками была, вид с боку
MM
кто-нибудь заводил номад на арме?
5 арм девайсов и 10 джоб, полет нормальный. На мастере максимум 150-200 рам уходит на номад
2020 November 19
E
господа, хочу сделать mtls fluentbit -> fluentd
Серты выданные через Hashicorp Vault pki
И походу волт генерирует CA файл с name constraint, которые fluentbitная либа mbedtls не умеет переваривать
Можно как-нибудь сгенерить ca файл без этих констрейнов?
похожая бага:
https://community.openvpn.net/openvpn/ticket/957?__cf_chl_jschl_tk__=974f691a306f5d0f2c949dbe04060751b70ded93-1605785039-0-Af2R4syLAlc3IQ31gilB7Nk9DTQlekGQ9pFDTNZS4_Brge40tBA7uyjxhTw5aOdt9rSl1AzD0HjKBq6xV6TX2m0vSbErtNFClouL6FZlWi9F6bQ0PM40tBlgIV3lGXp2X7BjKy06lp9VnF-3KGmeH_b5sae25d74rlc4iSgqVfMDutXdCt4VY5OlLxs8x2Wjyu9iLSBaHPnkSMIXCqH6INs1cFBdL3bUyTL-ejOLZP1RR-PezwFhOheefRy4qhLG2rvQXllFKrq_HPx0iE7SvDEpC3Fy5J08mrqiH8ci8NEYrg3DIvZTXafz_utcLKwKU5RNE4gAB9yAA6ZaIczXdac
код:
https://github.com/fluent/fluent-bit/blob/master/src/flb_io_tls.c#L157
ошибка:
Серты выданные через Hashicorp Vault pki
И походу волт генерирует CA файл с name constraint, которые fluentbitная либа mbedtls не умеет переваривать
Можно как-нибудь сгенерить ca файл без этих констрейнов?
похожая бага:
https://community.openvpn.net/openvpn/ticket/957?__cf_chl_jschl_tk__=974f691a306f5d0f2c949dbe04060751b70ded93-1605785039-0-Af2R4syLAlc3IQ31gilB7Nk9DTQlekGQ9pFDTNZS4_Brge40tBA7uyjxhTw5aOdt9rSl1AzD0HjKBq6xV6TX2m0vSbErtNFClouL6FZlWi9F6bQ0PM40tBlgIV3lGXp2X7BjKy06lp9VnF-3KGmeH_b5sae25d74rlc4iSgqVfMDutXdCt4VY5OlLxs8x2Wjyu9iLSBaHPnkSMIXCqH6INs1cFBdL3bUyTL-ejOLZP1RR-PezwFhOheefRy4qhLG2rvQXllFKrq_HPx0iE7SvDEpC3Fy5J08mrqiH8ci8NEYrg3DIvZTXafz_utcLKwKU5RNE4gAB9yAA6ZaIczXdac
код:
https://github.com/fluent/fluent-bit/blob/master/src/flb_io_tls.c#L157
ошибка:
[2020/11/19 11:28:15] [error] [io_tls] flb_io_tls.c:159 X509 - The extension tag or value is invalid : ASN1 - ASN1 tag was of a
[2020/11/19 11:28:15] [error] [lib] backend failed
[2020/11/19 11:28:15] [error] [TLS] Invalid CA file: /opt/vault_agent/certificates/fluent_bit.ca
E
генерю через pki/issue
С
господа, хочу сделать mtls fluentbit -> fluentd
Серты выданные через Hashicorp Vault pki
И походу волт генерирует CA файл с name constraint, которые fluentbitная либа mbedtls не умеет переваривать
Можно как-нибудь сгенерить ca файл без этих констрейнов?
похожая бага:
https://community.openvpn.net/openvpn/ticket/957?__cf_chl_jschl_tk__=974f691a306f5d0f2c949dbe04060751b70ded93-1605785039-0-Af2R4syLAlc3IQ31gilB7Nk9DTQlekGQ9pFDTNZS4_Brge40tBA7uyjxhTw5aOdt9rSl1AzD0HjKBq6xV6TX2m0vSbErtNFClouL6FZlWi9F6bQ0PM40tBlgIV3lGXp2X7BjKy06lp9VnF-3KGmeH_b5sae25d74rlc4iSgqVfMDutXdCt4VY5OlLxs8x2Wjyu9iLSBaHPnkSMIXCqH6INs1cFBdL3bUyTL-ejOLZP1RR-PezwFhOheefRy4qhLG2rvQXllFKrq_HPx0iE7SvDEpC3Fy5J08mrqiH8ci8NEYrg3DIvZTXafz_utcLKwKU5RNE4gAB9yAA6ZaIczXdac
код:
https://github.com/fluent/fluent-bit/blob/master/src/flb_io_tls.c#L157
ошибка:
Серты выданные через Hashicorp Vault pki
И походу волт генерирует CA файл с name constraint, которые fluentbitная либа mbedtls не умеет переваривать
Можно как-нибудь сгенерить ca файл без этих констрейнов?
похожая бага:
https://community.openvpn.net/openvpn/ticket/957?__cf_chl_jschl_tk__=974f691a306f5d0f2c949dbe04060751b70ded93-1605785039-0-Af2R4syLAlc3IQ31gilB7Nk9DTQlekGQ9pFDTNZS4_Brge40tBA7uyjxhTw5aOdt9rSl1AzD0HjKBq6xV6TX2m0vSbErtNFClouL6FZlWi9F6bQ0PM40tBlgIV3lGXp2X7BjKy06lp9VnF-3KGmeH_b5sae25d74rlc4iSgqVfMDutXdCt4VY5OlLxs8x2Wjyu9iLSBaHPnkSMIXCqH6INs1cFBdL3bUyTL-ejOLZP1RR-PezwFhOheefRy4qhLG2rvQXllFKrq_HPx0iE7SvDEpC3Fy5J08mrqiH8ci8NEYrg3DIvZTXafz_utcLKwKU5RNE4gAB9yAA6ZaIczXdac
код:
https://github.com/fluent/fluent-bit/blob/master/src/flb_io_tls.c#L157
ошибка:
[2020/11/19 11:28:15] [error] [io_tls] flb_io_tls.c:159 X509 - The extension tag or value is invalid : ASN1 - ASN1 tag was of a
[2020/11/19 11:28:15] [error] [lib] backend failed
[2020/11/19 11:28:15] [error] [TLS] Invalid CA file: /opt/vault_agent/certificates/fluent_bit.ca
А сертификат можете показать?
С
судя по тексту ошибки, не парсится именно CA сертификат, в нём всё правильно?
E
судя по тексту ошибки, не парсится именно CA сертификат, в нём всё правильно?
да. все ок. openssl validate проходит, другие сервисы с этим работают
A
всем привет.
возникла интересная пролема или даже фича consul-template. генерим конфиг для приложения в докере.
хотим просто получить exit code !=0 если такого ключа нет в консуле. но в сам consul-template вшита логика ожидания наличия ключа. в итоге получается что стартует контейнер и ждет ключ. а хотелось бы его скрашить.
мы можем, конечно, скрашить его readiness-проверкой, но хотелось бы чтобы сам consul-template гавкнулся.
может кто сталкивался с такой особенностью?
возникла интересная пролема или даже фича consul-template. генерим конфиг для приложения в докере.
хотим просто получить exit code !=0 если такого ключа нет в консуле. но в сам consul-template вшита логика ожидания наличия ключа. в итоге получается что стартует контейнер и ждет ключ. а хотелось бы его скрашить.
мы можем, конечно, скрашить его readiness-проверкой, но хотелось бы чтобы сам consul-template гавкнулся.
может кто сталкивался с такой особенностью?
С
да. все ок. openssl validate проходит, другие сервисы с этим работают
DER/PEM не перепутаны? Некоторые только в одном формате умеют читать. Что в ошибке про ASN1 тег дальше написано после
of a ?NZ
Привет, странная проблема с consul acl, в логах url=/v1/agent/self from=127.0.0.1:36166 error="ACL not found"
Я делаю consul acl set-agent-token agent $token
Проверяю курлом, что токен работает.
Посмотрел дамп трафика, а consul ломится с каким-то левым токеном, которого у меня вобще нет.
Я делаю consul acl set-agent-token agent $token
Проверяю курлом, что токен работает.
Посмотрел дамп трафика, а consul ломится с каким-то левым токеном, которого у меня вобще нет.
E
DER/PEM не перепутаны? Некоторые только в одном формате умеют читать. Что в ошибке про ASN1 тег дальше написано после
of a ?ASN1 tag was of an unexpected value.В доке нет ничего по форматам, при этом crt и key он ест нормально. Проблема только в CA
G
hashicorp/nomad tagged: v0.12.9
Link: https://github.com/hashicorp/nomad/releases/tag/v0.12.9
Release notes:
Link: https://github.com/hashicorp/nomad/releases/tag/v0.12.9
Release notes:
Version 0.12.9
KP
В номаде encrypt лежит по сути плейнтекстом. Подскажите какие проблемы могут возникнуть если допустим этот ключ получит злоумышленник? Возможность man-in-the-middle для nomad gossip?