SecOps : Vault auto-unseal via GCP KMS qui refuse de démarrer
Commentaires
salut ! t'as vérifié les logs du pod vault avec kubectl logs <pod-vault> ? des fois y'a plus d'info si tu creuses bien. et t'es sûr que le service account gcp est bien monté et utilisé par le pod ? c'est un classic
en plus de ce que dit le collègue t'as bien configuré l'environnement google_application_credentials pour vault ou tu passes par l'workload identity de k8s avec un sa ? si c'est workload identity faut que le sa k8s soit bien annoté pour mapper au sa gcp
d'acc je regarde les logs plus en détail. pour le sa c'est bien via workload identity j'ai mis l'annotation comme il faut genre iam.gke.io/gcp-service-account: vault-sa@mon-projet-gcp.iam.gserviceaccount.com
ok si le sa est bien mappé ça devrait être bon côté auth gcp. t'as un network policy sur ton cluster k8s qui pourrait bloquer l'accès à l'api kms de gcp ? c'est une piste aussi
bingo ! c'était bien un souci de network policy qui bloquait les requêtes sortantes vers l'api kms. j'avais mis un deny all par défaut et oublié d'autoriser la sortie vers *.googleapis.com. tout roule maintenant merci les gars !
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
buisson-thomas
Membre depuis le 30/05/2024actif
yo la team j'ai une prod qui galère à démarrer. on a mis en place vault avec l'auto-unseal via gcp kms. la config a l'air ok mais vault refuse de s'unsealer au boot. les logs disent juste
failed to unsealsans plus de détails. on est sur k8s, le service account a bien les droits kms decrypt/encrypt. une idée de ce qui cloche ?