6 commentaires
hmm et le rôle vault en question il a quoi comme policy attachée ? et la policy a bien les permissions de renouvellement sur les tokens générés ? genre sys/leases/renew/:token_accessor pour le token principal et sys/leases/renew/my-app-role-secret- et tout ça
les logs du vault-agent disent juste token expired et qu'il n'a pas pu le renouveler. pas plus de détails. la policy attachée au rôle a bien sys/leases/renew sur le path spécifique et aussi sur sys/token/renew-self
ok alors c'est pas les permissions de renewal du token. est-ce que ton service account k8s (my-service-account) est bien mappé au bon cluster id ou jwt issuer sur la config de ton auth method kubernetes dans vault ? si l'issuer url a changé ou est mal configurée vault peut pas valider le jwt et donc pas renouveler
autre piste est-ce que tes worker nodes ont accès à l'api server k8s sans proxy ni firewall qui bloquerait le trafic vers le ca cert du cluster ? vault-agent doit pouvoir joindre l'api server pour valider les jwt et ça des fois c'est un piège vicieux
vous êtes des cracks ! c'était bien le jwt issuer url dans la config de l'auth method kubernetes qui était outdated on avait migré le cluster et j'avais pas mis à jour cette partie. vault pouvait pas valider le jwt du service account donc pas de renouvellement. j'ai corrigé et ça a l'air de tenir maintenant. un grand merci
Laisser une réponse
Vous devez être connecté pour poster un message !
salut la team
j'ai un truc chelou avec vault et k8s nos pods qui utilisent le sidecar vault-agent pour récupérer des secrets ont des tokens qui expirent après 24h au lieu d'être renouvelés automatiquement. le pod finit par crasher parce qu'il arrive plus à authentifier le sidecar. on a le k8s auth method d'activé et tout mais ça pète. des idées ?