окей, делаю как здесь
https://learn.hashicorp.com/tutorials/vault/kubernetes-external-vault#configure-kubernetes-authentication

теперь policy
vault policy write internal-app - <<EOF
path "internal/data/database/config" {
 capabilities = ["read"]
}
EOF

потом kubernetes role
vault write auth/kubernetes/role/internal-app \
   bound_service_account_names=internal-app \
   bound_service_account_namespaces=default \
   policies=internal-app \
   ttl=24h

теперь тест:
- деплой сервис аккаунта
- деплоймент
- патч

k logs -f orgchart-547d49c49c-hkglp vault-agent-init
и этот пес не может заинжектить секрет

* permission denied" backoff=2.55636252
2020-12-04T15:53:59.646Z [INFO]  auth.handler: authenticating
2020-12-04T15:53:59.684Z [ERROR] auth.handler: error authenticating: error="Error making API request.

URL: PUT https://vault.org.com/v1/auth/kubernetes/login
Code: 403. Errors:

как это дело можно хотябы подебажить, кто может поделиться советом - буду оч. признателен

тоесть он может попасть в волт, например есть меняю разрешенный неймспейс у роли, то начианет уже 500ки отдавать

2020-12-04T15:56:35.458Z [INFO]  auth.handler: authenticating
2020-12-04T15:56:35.481Z [ERROR] auth.handler: error authenticating: error="Error making API request.

URL: PUT https://vault.org.com/v1/auth/kubernetes/login
Code: 500. Errors:

* namespace not authorized" backoff=1.593288488

k get secret vault-token-zx1tr -n vault

Тут надо понимать, что vault исползует обычный поход в API k8s

jwt - без разницы, откуда но у него должны быть права на обращение в API
kubernetes_host - это URL для обращения в API kubernetes, у нас обычно есть общий адрес для всех нод
ca - это сертификат, который отдаётся на API, чтобы его валидировать при обращении

2020-12-04T15:56:35.458Z [INFO]  auth.handler: authenticating
2020-12-04T15:56:35.481Z [ERROR] auth.handler: error authenticating: error="Error making API request.

URL: PUT https://vault.org.com/v1/auth/kubernetes/login
Code: 500. Errors:

* namespace not authorized" backoff=1.593288488

дебажить можно так: идёшь в под с инжектором, берёшь его сервисаккаунт токен, сам логинишься с этим сервсиаккаунт токеном в волт, смотришь залогинилось или нет и если выдался токен, смотришь привязанную политику

благодарю, где-то появился свет :)

Может кто-то знает можно ли в traefik 2.x в лог бросить содержимое response header'a бекенда? Хочется в  access log лог закинуть полезные данные.

какие данные?

Кастомный кусок json

Приложение что-то на тему запроса хочет в лог подкинуть (чтобы потом аналитика это собрала)

https://github.com/traefik/traefik/blob/326be29568426e4ac8e2bf65fdae3906e8dd58fd/pkg/middlewares/accesslog/logger.go#L106
https://github.com/traefik/traefik/blob/520fcf82aeac6731fb457f64e932e376e9a88c23/pkg/types/logs.go#L40

log:
 fields:
   headers: [X-My-CustomHeader]

походу так

Но скорее всего это request headers, а не backend responce

Для этого кейса обычно используют request-id заголовок и джойнят два лога (tracing)

Нет это как раз response - приложение репортит мета данные в ответ на запрос.

Угу, но это сложно - у меня не расследование инцидентов, а прямо каждый запрос надо былобы джоинить

Как можно в Vault включить логирование (аудит или журналирование) обращений за кредами? Есть что-то из коробки, или нужно доп систему логирования?

Спасибо

тут вроде бы люди пользуются хецнером, хочу предостеречь о возможных проблемах соединения между их клауд инстансами и железными серверами через vSwitch. Сегодня утром 3 cloud instance перестали общаться по внутренней сети с железками, не пингуются в обе стороны. Ресет виртуалки ни к чему не приводит, пришлось завести пачку новых - с ними все ок. т.к. ресет ни к чему не приводит, то проблема скорее всего где-то на уровне хецнера.

было:

6 cloud instances
9 bare metal

3 виртуалки выпали из сети и не вернулись.