ну это да понятно что сработает:)) но так в другом месте сыпать будет
можно еще какой нить 65535 порт не валидный))

а я только токен использую

В логах номада не сыпет

При log_level = "INFO"

In this blog post I'll discuss two vulnerabilities in HashiCorp Vault and its integration with Amazon Web Services (AWS) and Google Cloud Platform (GCP). These issues can lead to an authentication bypass in configurations that use the aws and gcp auth methods, and demonstrate the type of issues you can find in modern “cloud-native” software. Both vulnerabilities (CVE-2020-16250/16251) were addressed by HashiCorp and are fixed in Vault versions 1.2.5, 1.3.8, 1.4.4 and 1.5.1 released in August.

может уже постили но на всякий

Это уже вроде пофиксили

Both vulnerabilities (CVE-2020-16250/16251) were addressed by HashiCorp and are fixed in Vault versions 1.2.5, 1.3.8, 1.4.4 and 1.5.1 released in August.

Да, но для тех кто пропустил

а у меня кстати 50\50 результат
в dev режиме всё сработало отлично и запросов не было
в режиме только клиента запрос был , т.к. nomad пошел искать где же его сервера и стукнулся в консул
Вот эта проблема, что не работает отключение auto_advertise https://github.com/hashicorp/nomad/issues/2099
можно по коду еще подробнее по изучать

Прошу совета, возможно кто-то решал подобную задачу - развернут консул кластер, есть 100+ приложений каждое в своей подсети с consul-агентом на хостах, доступы открыты только между конкретной подсетью приложения и подсетью consul-сервер.
Пока было около 20 приложений проблем особых не наблюдалось хотя в логах consul-агентов периодически шла ругань на недоступность соседних нод, при росте количества приложений начали появлятся периодические отвалы нод из кластера с сообщение в логе consul-сервера:

agent.server.memberlist.lan: memberlist: Marking app-node1 as failed, suspect timeout reached (2 peer confirmations)

я так понимаю, что consul-агенты на хостах рядом с приложением проверяют случайным образом соседей и если они продолжительное время недоступны то нода помечается как недоступная во всем кластере.
Есть ли вариант переложить проверки доступности только на consul-сервер (с которого все сетевые доступы есть) или такой опции нет и единственный вариант это открывать сетевые доступы между подсетями приложений?

agent.server.memberlist.lan: memberlist: Marking app-node1 as failed, suspect timeout reached (2 peer confirmations)

Это то как работает gossip протокол. Есть фича в платной версии которая позволяет сказать консулу что вот эти агенты в своем сетевом сегменте

Внутри одного датацентра все агенты должны видеть друг друга

Можно попробовать разбить на датацентры и сделать wan федерацию например

Если нет платной версии

Но для wan федерации будет нужен отдельный кластер в каждой подсети

Ну или как ты написал открывать доступ между сетями для gossip протокола