С одним бинарем в прод?

Это не совсем прод, поэтому некритично. Кстати, если сломается волт, а к его стореджу подцепить другой, то данные уже не вернуть?  Там же мастер ключ не импортнешь в новый?

Почитай доку, там очень подробно про готовку волта

Окей, посмотрю

А терраформ какой-то свой резолвео использует? У меня в макос сделан сплит-днс, определенные зоны резолвятся через определенные серверы.
Но в провайдере постгреса это не работает - он пытается зарезолвить имя из основного днс

hashicorp/terraform tagged: v0.13.1
Link: https://github.com/hashicorp/terraform/releases/tag/v0.13.1
Release notes:

## 0.13.1 (August 26, 2020)

ENHANCEMENTS:

*   config: `cidrsubnet` and `cidrhost` now support address extensions of more than 32 bits ([#25517](https://github.com/hashicorp/terraform/issues/25517))
*   cli: The directories that Terraform searches b...

More

Народ, а кто-то пробовал консул-кластер на амазон-фаргейтах поднимать? как их забутсрапить между собой при поднятии?

как на EC2 его поднимать я знаю… мне надо именно чтобы все на fargate бежало

типа такого ? https://www.hashicorp.com/resources/managing-microservice-deployments-aws-hashicorp-consul/

У консула есть автодискавери на тегах авс. Попробуй, может подойдёт

у фаргейтов нет тегов 🙂

ох. там автоскейл группа для бастиона. я так себе в aws. это так принято там делать ?

автоскейл делают для того чтоб если сдохнит один регион бастион перебежал на другой .. но копий там вроде бы 1 штука должна быть

ну кому как надо… я обычно делаю бастион в АС группе, но один… и когда он не нужен - меняю на ноль

именно

а ну ок. а то выглядит будто их там три

hashicorp/packer tagged: v1.6.2
Link: https://github.com/hashicorp/packer/releases/tag/v1.6.2
Release notes:

Version 1.6.2

Всем привет. пытаюсь понять как работает монтирование секретов из vault в  kubernetes  через CSI драйвер.
в результате страданий у меня получилось замонтировать с  вольта пустой файл (хотя в vault секрет на самом деле хранится с данными. )

попытка дебага  драйвера и его провайдера для интеграции с  vault   показала, что драйвер  делает  exec исполняемого файла provider-vault ( который и  является самим драйвером). Этот драйвер должен монтировать папку, которая потом пробрасывается в кубер  volume для отображения в под

так вот у меня проблема, что файл монтируемый provider-vault получается пустым (я запрашивал его через api вольта и у меня  он отдался без проблем). как раздебажить это? Все что у меня есть так это логи secrets-store-csi-providers  который говорит мне что сделал exec  с частично скрытыми параметрами  и  монтирование прошло успешно.
вот эти логи:

time="2020-08-27T22:30:36Z" level=debug msg="GRPC request: {\"readonly\":true,\"target_path\":\"/var/lib/kubelet/pods/a306c62b-e750-4839-a84e-61c984f80a6a/volumes/kubernetes.io~csi/secrets-store-inline/mount\",\"volume_capability\":{\"AccessType\":{\"Mount\":{}},\"access_mode\":{\"mode\":1}},\"volume_context\":{\"csi.storage.k8s.io/ephemeral\":\"true\",\"csi.storage.k8s.io/pod.name\":\"webapp\",\"csi.storage.k8s.io/pod.namespace\":\"consul\",\"csi.storage.k8s.io/pod.uid\":\"a306c62b-e750-4839-a84e-61c984f80a6a\",\"csi.storage.k8s.io/serviceAccount.name\":\"default\",\"secretProviderClass\":\"vault-database\"},\"volume_id\":\"csi-983084f4579edcc67c5955a87595a180b15a7dd2861b651574601c9bfcf0f0b9\"}"
time="2020-08-27T22:30:36Z" level=debug msg="target /var/lib/kubelet/pods/a306c62b-e750-4839-a84e-61c984f80a6a/volumes/kubernetes.io~csi/secrets-store-inline/mount, volumeId csi-983084f4579edcc67c5955a87595a180b15a7dd2861b651574601c9bfcf0f0b9, attributes map[csi.storage.k8s.io/ephemeral:true csi.storage.k8s.io/pod.name:webapp csi.storage.k8s.io/pod.namespace:consul csi.storage.k8s.io/pod.uid:a306c62b-e750-4839-a84e-61c984f80a6a csi.storage.k8s.io/serviceAccount.name:default secretProviderClass:vault-database], mountflags []"
time="2020-08-27T22:30:36Z" level=debug msg="Calling provider: vault for pod: consul/webapp"
time="2020-08-27T22:30:36Z" level=warning msg="minimum compatible vault provider version not set for pod: a306c62b-e750-4839-a84e-61c984f80a6a, ns: consul"
time="2020-08-27T22:30:36Z" level=info msg="provider command invoked: /etc/kubernetes/secrets-store-csi-providers/vault/provider-vault --attributes [REDACTED] --secrets [REDACTED] [--targetPath /var/lib/kubelet/pods/a306c62b-e750-4839-a84e-61c984f80a6a/volumes/kubernetes.io~csi/secrets-store-inline/mount --permission 420]"
time="2020-08-27T22:30:37Z" level=info msg="time=\"2020-08-27T22:30:36Z\" level=debug msg=NewVaultProvider\ntime=\"2020-08-27T22:30:36Z\" level=debug msg=\"vault: roleName database204\"\ntime=\"2020-08-27T22:30:36Z\" level=debug msg=\"vault: vault address http://10.104.241.116:8200\"\nobjectsStrings: [array:\n  - |\n    objectPath: \"/db-pass\"\n    objectName: \"password\"\n    objectVersion: \"\"\n]\nobjects: [[objectPath: \"/db-pass\"\nobjectName: \"password\"\nobjectVersion: \"\"\n]]unmarshal object: [objectPath: \"/db-pass\"\nobjectName: \"password\"\nobjectVersion: \"\"\n]\ntime=\"2020-08-27T22:30:36Z\" level=debug msg=\"vault: reading jwt token.....\"\ntime=\"2020-08-27T22:30:36Z\" level=debug msg=\"vault: performing vault login.....\"\ntime=\"2020-08-27T22:30:36Z\" level=debug msg=\"vault: vault address: http://10.104.241.116:8200/v1/auth/kubernetes/login\\n\"\ntime=\"2020-08-27T22:30:37Z\" level=debug msg=\"vault: getting secrets from vault.....\"\ntime=\"2020-08-27T22:30:37Z\" level=info msg=\"secrets-store csi driver wrote /db-pass at /var/lib/kubelet/pods/a306c62b-e750-4839-a84e-61c984f80a6a/volumes/kubernetes.io~csi/secrets-store-inline/mount\"\n"
time="2020-08-27T22:30:37Z" level=debug msg="GRPC response: {}"
time="2020-08-27T22:30:37Z" level=info msg="reconcile started" node=kuber-aws-11 secretproviderclasspodstatus=consul/webapp-consul-vault-database

time="2020-08-27T22:30:37Z" level=info msg="no secret objects defined for spc, nothing to reconcile" node=kuber-aws-11 secretproviderclasspodstatus=consul/webapp-consul-vault-database

в общем ищу любую помощь по этому вопросу потому что зашел в тупик)