Problème d'intégration Vault avec Kubernetes et TLS
Commentaires
Membre depuis le 26/03/2024
hello ! hmm classique. t'es sûr que le CA de Vault est bien trusted par l'agent-injector et par ton cluster K8S ? souvent faut le mettre dans le trust store du kubelet sur chaque node ou carrément dans la configmap du webhook et redémarrer. aussi checke l'heure de tes machines des fois le ntp est décalé et ça fait des erreurs TLS bizarres
Membre depuis le 29/06/2024
ouais et regarde les logs du vault-agent-injector pod. des fois il a des warnings sur les certificats qu'il génère ou sur la communication avec Vault. et la version de Vault et de l'agent-injector sont compatibles ? on a eu des soucis de versions différentes
Membre depuis le 16/06/2024
ah merci je vais checker le trust store du kubelet c'est une bonne piste. pour la version c'est du Vault 1.12 et l'injector est sensé être compatible. les logs sont pas super clairs juste des erreurs TLS pointant vers x509
Membre depuis le 21/09/2019
attends tu parles de x509: certificate signed by unknown authority ? ça peut aussi venir de la chaîne de certificats. si ton CA Vault est signé par un autre CA intermédaire faut bien fournir toute la chaîne à l'agent-injector pas juste le certificat du CA racine de Vault
Membre depuis le 16/06/2024
BINGO c'était ça ! j'avais oublié le certificat intermédiaire. en le rajoutant dans la config de l'injector et en le redéployant ça marche niquel. merci la team vous êtes des chefs
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
henri87
Membre depuis le 16/06/2024
yo la team. on galère à faire fonctionner Vault avec notre cluster K8S on-prem. on utilise le
agent-injectorpour les secrets mais y a des erreurs TLS. genrex509: certificate signed by unknown authoritymême après avoir injecté le ca. c'est ptete un truc de la config duwebhookou les certificats qui sont pas bien montés dans lepod