во

будет. потому что вагрант потом еще и монтирует папки и  после вагранта работает  vagrant ssh, а если зайти на машину и сделать sudo reboot now - то ничего этого нет
а мне надо добавить пользователя дженкинс в группу докера, но почему то без перезагрузки он не добавляется.. и так написано в доке докера, что если это на вм - то надо перегрузить

я тебе говорю про то что разницы не будет с точки зрения виртуальной машины а не вагранта.   Не моню чтобы я перезагружал машину при добавление пользователя в группу для докера достаточно перезапустить сессию. в любом случае добавь провиженер после установки дженкинса сделай релоад вм или используй плагин

ребят, всем ку, кто может подсказать, как настроить мультикластер kubernetes auth

условно, есть два кластера
clusterA - там vault и vault-agent-injector
clusterB - там просто инжектор, который знает адрес external волта


на clusterA делал след шаги:
vault auth enable kubernetes

vault write auth/kubernetes/config \
   token_reviewer_jwt="$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" \
   kubernetes_host="https://$KUBERNETES_PORT_443_TCP_ADDR:443" \
   kubernetes_ca_cert=@/var/run/secrets/kubernetes.io/serviceaccount/ca.crt

vault write auth/kubernetes/role/internal-app \
   bound_service_account_names=internal-app \
   bound_service_account_namespaces=default \
   policies=internal-app \
   ttl=24h
там все ок

теперь конфигаю clusterB, точно таким же способ, просто указываю другой путь

vault auth enable kubernetes -path=clusterB

2020-12-02T09:35:13.913Z [INFO]  auth.handler: authenticating
2020-12-02T09:35:13.947Z [ERROR] auth.handler: error authenticating: error="Error making API request.

URL: PUT https://vault.example.com/v1/auth/kubernetes/login
Code: 403. Errors:

* permission denied" backoff=1.575527856

в какую сторону начать дебажить посоветуете?)
т.е. он смог авторизироваться, но роль неправильно задана?

ты ведь в настройки для clusterB приносишь все данные от clusterB - JWT, адреса API и т.д.?

нет, запускаю под в clusterB и из пода уже беру куберовые jwt, серты и пр

Я не об этом. clusterB - это же совсем другой кубер, правильно?  Значит когда ты прописываешь auth/clusterB/config, туда надо приносить JWT и URL от второго кластера.

да, в контейнере docker.io/vault
vault write auth/clusterB/config \
   token_reviewer_jwt="$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" \
   kubernetes_host="https://$KUBERNETES_PORT_443_TCP_ADDR:443" \
   kubernetes_ca_cert=@/var/run/secrets/kubernetes.io/serviceaccount/ca.crt

Это скорее всего неправильно. Ты это прописываешь, чтобы vault сходил в clusterB и проверил serviceaccount пода. Поэтому ему надо приносить параметры из clusterB

Добрый день. В cli vault 1.5.3 недоступна опция vault patch для обновления секрета (se v.2) кто-нибудь сталкивался?

hashicorp/terraform tagged: v0.14.0
Link: https://github.com/hashicorp/terraform/releases/tag/v0.14.0
Release notes:

## 0.14.0 (December 02, 2020)

NEW FEATURES:

*

Terraform now supports marking input variables as sensitive, and will propagate that sensitivity through expressions that derive from sensitive input variables.

*

`terraform init` will now generate a...

More

hashicorp/consul tagged: v1.8.7-beta1
Link: https://github.com/hashicorp/consul/releases/tag/v1.8.7-beta1
Release notes:

## 1.8.7-beta1 (December 03, 2020)

BUG FIXES:

*   connect: fixes a case when updating the CA config in a secondary datacenter to correctly trigger the creation of a new intermediate certificate [[GH-9009](https://github.com/hashicorp/consul/issues/...

More

hashicorp/nomad tagged: v1.0.0-rc1
Link: https://github.com/hashicorp/nomad/releases/tag/v1.0.0-rc1
Release notes:

Version 1.0.0-rc1

hashicorp/nomad description changed: v1.0.0-rc1
Link: https://github.com/hashicorp/nomad/releases/tag/v1.0.0-rc1
Release notes:

FEATURES:

*   **Event Stream**: Subscribe to change events as they occur in real time. [[GH-9013](https://github.com/hashicorp/nomad/issues/9013)]
*   **Namespaces OSS**: Namespaces are now available in open source Nomad. [[GH-9135](https://github.c...

More

все равно не могу настроить kubernetes external auth, можно я прям тут в чатике протранслирую алгоритм действий

если сетап такой сложный, эксплуатация заставит поседеть))

- есть externalVault
- есть kubernetes cluster, для которого необходимо настроить kubernetes auth в Vault

инжектор настроен, в ns с волтом, есть секрет, который судя по всему содержить токен

vault-token-zs1tr   kubernetes.io/service-account-token   3      2d6h

делаю след шаги (с локальной тачки):
vault secrets enable -path=internal kv-v2

vault auth enable kubernetes

дальше мне нобходимо подкинуть конфиг:
learn.hashicorp.com советует сделать это следующим образом:
vault write auth/kubernetes/config \
   token_reviewer_jwt="$(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" \
   kubernetes_host="https://$KUBERNETES_PORT_443_TCP_ADDR:443" \
   kubernetes_ca_cert=@/var/run/secrets/kubernetes.io/serviceaccount/ca.crt

vault-token-zs1tr   kubernetes.io/service-account-token   3      2d6h

- в token_reviewer_jwt кладу токен, который создал мне чарт, когда деплоил инжектор, верно?

k get secret vault-token-zx1tr -n vault

- kubernetes_host сюда ipшник мастера или же url, который дает k cluster-info ?

- kubernetes_ca_cert cюда кладу серт, который находится в секрете в ns vault или свой кастомный tls?