ssl - 由于 LB 运行状况检查，Vault 节点中的连续 TLS 握手错误日志-6ren

ssl - 由于 LB 运行状况检查，Vault 节点中的连续 TLS 握手错误日志

转载作者：行者123 更新时间：2023-12-04 22:39:25

25

4

由于我的负载平衡器每 5 秒 ping 一次保管库节点，我每 5 秒收到一次连续的 TLS 握手错误。 Kube 负载均衡器正在使用 ping 我的 vault 节点nc -vz podip podPort每 5 秒
我已经在我的 config.hcl 中禁用了客户端证书验证，但仍然在我的 kubectl 日志中看到以下日志以用于保管库

kubectl logs pod-0 -n mynamespace 
[INFO]  http: TLS handshake error from 10.x.x.x:60056: EOF 2020-09-02T01:13:32.957Z 
[INFO]  http: TLS handshake error from 10.x.x.x:23995: EOF 2020-09-02T01:13:37.957Z 
[INFO]  http: TLS handshake error from 10.x.x.x:54165: EOF 2020-09-02T01:13:42.957Z

下面是我通过 kube config map 加载的 config.hcl



apiVersion: v1
kind: ConfigMap
metadata:
  name: raft-config
  labels:
    name: raft-config
data:
  config.hcl: |
    storage "raft" {
      path  = "/vault-data"
      tls_skip_verify = "true"
      retry_join {
        leader_api_addr = "https://vault-cluster-0:8200"
        leader_ca_cert_file = "/opt/ca/vault.crt"
        leader_client_cert_file = "/opt/ca/vault.crt"
        leader_client_key_file = "/opt/ca/vault.key"
      }
      retry_join {
        leader_api_addr = "https://vault-cluster-1:8200"
        leader_ca_cert_file = "/opt/ca/vault.crt"
        leader_client_cert_file = "/opt/ca/vault.crt"
        leader_client_key_file = "/opt/ca/vault.key"
      }
      retry_join {
        leader_api_addr = "https://vault-cluster-2:8200"
        leader_ca_cert_file = "/opt/ca/vault.crt"
        leader_client_cert_file = "/opt/ca/vault.crt"
        leader_client_key_file = "/opt/ca/vault.key"
      }
    }
    seal "transit" {
     address = "https://vaulttransit:8200"
     disable_renewal = "false"
     key_name = "autounseal"
     mount_path = "transit/"
     tls_skip_verify = "true"
    }
    listener "tcp" {
     address = "0.0.0.0:8200"
     tls_cert_file = "/opt/ca/vault.crt"
     tls_key_file = "/opt/ca/vault.key"
     tls_skip_verify = "true"
     tls_disable_client_certs = "true"
    }
    ui=true
    disable_mlock = true

由于我使用的是外部开源库镜像并且我的负载均衡器是内部 LB(具有内部 CA 证书)。我怀疑我的保管库 pod 在尝试 ping 端口 8200 时无法识别负载均衡器提供的 CA 证书(TCP 监听器由保管库在此端口上启动)
这些日志是无害的，不会引起任何问题，但它们是我想避免的不必要的噪音。我的保管库节点正在使用 https，它们的功能似乎没有问题。
有人可以帮助理解为什么 vault TCP 监听器尝试进行 TLS 握手，即使我已明确指定 tls_disable_client_certs = "true"当我的 LB 尝试使用 nc -vz podip podPort 对我的 pod 进行健康检查时，这些日志再次每 5 秒淹没我的 pod。
我的保险库版本是 1.5.3

最佳答案

这些消息与客户端证书或 CA 证书无关，无论客户端是否提供证书，都会发生 TLS 握手。
相反，这是因为创建并建立了 TCP 连接，而 Go 库现在想要启动 TLS 握手。相反，另一端(健康检查器)只是挂断，TLS 握手从未发生。 Go 然后记录此消息。
你说它是无害的是正确的，这纯粹是端口事件健康检查的副作用。然而，它是垃圾邮件和烦人的。
你有两个基本的选择来解决这个问题:

在持久化日志时将消息从日志中过滤掉

更改为不同类型的健康检查

我会推荐第二个选项: 切换到不同的健康检查 .保险柜有一个 /sys/health可与 HTTPS 健康检查一起使用的端点。
除了摆脱 TLS 警告消息之外，健康端点还允许您检查事件和未密封的节点。

关于ssl - 由于 LB 运行状况检查，Vault 节点中的连续 TLS 握手错误日志，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/63729283/

25

4

0

文章推荐： java - 如何解决 : jno_key_entry

文章推荐： perl - IO::Socket::SSL:SSL 连接尝试失败

Jquery检查元素是否隐藏(连续)
如何检查一个元素是否立即隐藏。即如何通知元素的可见性。在我的例子中，该元素是通过 slideUp 函数隐藏的。我应该立即收到有关该元素的可见性的通知。我想到了使用bind()方法。但它没有类似 o
连续 if 语句流程
if (srcbloc == NULL) { fprintf(stderr, "warning!: memrip source is null!\n"); exit(1); } if
SQL - 连续 "ON"语句
当我在数据库的旧 View 中清理一些问题时，我遇到了这个“奇怪”的连接条件: from tblEmails [e] join tblPersonEmails [pe]
css - 如何水平对齐多个图像(连续)？
如何水平对齐多张图像，一张一张地？它们不必适合宽度屏幕:相反，我希望它们超过后者的宽度，如果这有任何意义的话。我已经检查了很多类似问题的答案，但找不到任何可以解决我的问题的答案。 HTML:
Cassandra ttl 连续
我知道 Cassandra 中的列有 TTL。但是也可以在一行上设置 TTL 吗？在每列上设置 TTL 并不能解决我的问题，如下面的用例所示: 在某些时候，一个进程想要删除一个带有 TTL 的完整行(
macos - 连续 NSTextField
我有一个 NSTextField 和 Label，其值绑定(bind)到 View Controller 中的相同 NSString 这里的问题是标签只有在我按 Tab 时才会更新。如何使其连续，以
javascript - 在字符串中插入下划线代替单个或多个空格(连续)
例如。 1."abc"; ===>abc 2."ab c"; ===>ab_c 3."ab c"; ===>ab_c 4."ab c" ===>ab_c 对于多个连续空格也是如此。我怎样
javascript - 如何获取前一天(连续)
大家好，我想获取前一天或最后一天的信息，只有当我按下按钮时，它才会显示最后一天(星期六)的所有信息，如果我再次单击按钮，它将显示最后一天的信息(星期五)如果我再次点击它(星期四)谢谢你们帮助我编辑:
audio - 使用mplayer从音频流中提取冰冷的元数据(连续)
我需要从实时音频流中提取ICY元数据，并正在使用mplayer进行此操作，因为它在播放音频流时会输出元数据。我欢迎其他方式执行此操作，目标是将更新的元数据(歌曲信息)保存到文本文件中，只要歌曲(或数据
web - (连续)网络浏览器中有限单词的语音识别
语音识别有没有解决方案只有几个字(2 个就够了，10 个就不错了。100 个就很棒了。不需要更多) 也在移动浏览器上运行(是否可以为此使用 flash(而不是 java)？) 可以安装在您自己的服务
Python条件连接不以标点符号结尾的*连续*字符串
我有一个单词列表， list1 = ['hello', 'how', 'are', 'you?', 'i', 'am', 'fine', 'thanks.', 'great!'] 我想加入， list
连续 "undefined reference to..."
我正在开发一个程序，但我不断收到“对‘dosell’的 undefined reference ”，我不太明白发生了什么。这是函数的声明: void dosell(int *cash, int *nu
MYSQL - 连接三个表(连续？)
我无法提出执行我要做的事情所需的查询。我有三个这样的表: client_files ----------------------- client_id file_id ---------
javascript - 连续/无限滚动
我一直在寻找一个插件/脚本，当到达底部时，它会从头开始继续滚动网站，就像一个连续的循环。示例:http://unfold.no/和 http://www.aquiesdonde.com.ar/ 我尝
连续 scanf 正在添加字符串
这个问题在这里已经有了答案: How to prevent scanf causing a buffer overflow in C? (6 个答案) 关闭 6 年前。我一直在使用一个非常简单的程
c++ - 子数组中两个数字的相同出现(连续)
给定一个整数数组，找到具有相同数量的 x 和 y 的连续子序列的总数。例如 x=1 和 y=2 的数组 [1,2,1] ans = 2 表示它的两个子数组 [1,2] 和 [2,1]。检查每个连续的子
arrays - 查找总和小于给定值的最大元素(连续)？
所以，我有一个所有正自然数的数组。我得到了一个阈值。我必须找出总和小于给定阈值的数字(连续)的最大计数。 For example, IP: arr = {3,1,2,1} Threshold = 5
java - 如何像内置相机一样实现Android相机对焦(连续)
我制作了像内置相机一样的相机应用。我想实现像内置相机一样的连续对焦功能。(此功能我不触摸屏幕，但相机会尝试自行对焦。) 因此，将其设置为 surfaceCreated : Camera.Pa
r - 连续 block 上的平均
我有这样的数据: f x A 1.1 A 2.2 A 3.3 B 3.5 B 3.7 B 3.9 B 4.1 B 4.5 A 5.1 A 5.2 C 5.4 C 5.5 C 6.1 B 6.2 B
sql - 连续 n 分钟超过阈值
假设我有一个包含一组数据点的表，每个数据点由一个时间戳和一个值组成。如果至少有 N 个连续记录(按时间戳排序)高于给定值 X，我将如何编写返回 true (1) 的查询，否则返回 false (0)？

首页

博学

6Ren·AI

商城

ssl - 由于 LB 运行状况检查，Vault 节点中的连续 TLS 握手错误日志