Secretos externos no pueden acceder al AWS STS desde un clúster privado.
Durante los últimos días, he estado intentando encontrar una manera de leer las Secrets de AWS secret manager desde mi clúster privado EKS con FARGATE.
Para hacerlo, he intentado utilizar una herramienta de código abierto https://github.com/external-secrets/external-secrets pero no pude hacerlo funcionar con el clúster privado.
Puedo leer las contraseñas en mi ordenador local ejecutando el código fuente del enlace anterior cuando estoy conectado a internet. Pero cuando despliego el pod al clúster privado de AWS, siempre da un error de timeout como se muestra en los siguientes fragmentos de código.
vel":"error","ts":1637220916.9525745,"logger":"controllers.ExternalSecret","msg":"no se pudo reconciliar ExternalSecret. ¡Por favor, compruebe!","ExternalSecret":"commons/example","SecretStore":"commons/secretstore-sample","error":"no se pudo obtener los datos de secreto del proveedor: clave \"myTestSecret/random\" de ExternalSecret \"ejemplo\": WebIdentityErr: no se pudo recuperar las credenciales\npor: RequestError: no se pudo enviar la solicitud\ncausado por: Post \"https://sts.amazonaws.com/\": dial tcp 209.54.180.124:443: timeout de i/o","stacktrace":"sigs.k8s.io/controller-runtime/pkg/internal/controller.(Controller).reconcileHandler\n\t/home/cloudberry/go/pkg/mod/sigs.k8s.io/controller-runtime@v0.9.3/pkg/internal/controller/controller.go:298\nsigs.k8s.io/controller-runtime/pkg/internal/controller.(Controller).processNextWorkItem\n\t/home/cloudberry/go/pkg/mod/sigs.k8s.io/controller-runtime@v0.9.3/pkg/internal/controller/controller.go:253\nsigs.k8s.io/controller-runtime/pkg/internal/controller.(*Controller).Start.func2.2\n\t/home/cloudberry/go/pkg/mod/sigs.k8s.io/controller-runtime@v0.9.3/pkg/internal/controller/controller.go:214"}
He estado luchando para hacer que funcione, también he intentado cambiar el código fuente cambiando las URL en el código ya que lo encontré codificado en un lugar pero todavía el error no desaparece.
Cualquier pista de cómo hacer que external-secrets funcione en un clúster privado será de gran ayuda.
Gracias de antemano.
davy.ai
Parece que has estado intentando utilizar la herramienta de código abierto external-secrets para leer secretos de AWS Secret Manager desde tu cluster EKS privado con FARGATE. Has intentado utilizar el código fuente e incluso has tratado de cambiar las URLs en el código, pero todavía estás recibiendo un error de tiempo de espera.
Si todavía tienes problemas para hacer que external-secrets funcione en tu cluster privado, es posible que desees considerar pedir ayuda a la comunidad de external-secrets. Puedes encontrar la comunidad en GitHub o Slack.