SecOps : Vault K8s et le sidecar qui s'authentifie pas

RSS
chevalier-david 08/05/2024
RÉSOLU
Retour Répondre
Avatar de chevalier-david
chevalier-david
Auteur
Avatar de chevalier-david
chevalier-david
Auteur

yo la team j'ai un souci avec notre déploiement vault sur k8s les pods vault sont up healthy pas de souci mais les agents sidecar qui sont censés s'injecter dans nos applis n'arrivent pas à s'authentifier auprès de vault

j'ai le message permission denied: no handler for current token type dans les logs du sidecar

# exemple de role k8s auth path
path "auth/kubernetes/role/mon-app" {
  bound_service_account_names = ["mon-app-sa"]
  bound_service_account_namespaces = ["default"]
  policies = ["mon-app-policy"]
  ttl = "1h"
}

le service account mon-app-sa existe bien dans default

08/05/2024 à 14:09

3 commentaires

Avatar de claudine60
claudine60
Membre Actif
Avatar de claudine60
claudine60
Membre Actif

hello t'as bien activé l'auth method kubernetes dans vault et configuré le chemin du service account token ? souvent c'est un problème de rôle k8s mal défini ou le service account token review qui est pas vu par vault

09/05/2024 à 12:36
Avatar de henri-aubert
henri-aubert
Membre Actif Secouriste
Avatar de henri-aubert
henri-aubert
Membre Actif Secouriste

vérifie aussi que t'as pas une network policy un peu trop zélée qui bloquerait le trafic entre ton pod sidecar et le pod vault le port 8200 de vault doit être joignable

10/05/2024 à 08:50
Avatar de chevalier-david
chevalier-david
Auteur
Avatar de chevalier-david
chevalier-david
Auteur

c'était bien ça une network policy qui empêchait le sidecar de pinger le service vault même si le service était dans le même namespace. thx à vous les gars pour le coup de main je vais revoir mes policies

11/05/2024 à 04:23

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire