SecOps : Vault K8s et le sidecar qui s'authentifie pas

Posté par chevalier-david le 08/05/2024
RÉSOLU
Retour Répondre Créer

Avatar de chevalier-david

chevalier-david

Membre depuis le 25/03/2024

actif

yo la team j'ai un souci avec notre déploiement vault sur k8s les pods vault sont up healthy pas de souci mais les agents sidecar qui sont censés s'injecter dans nos applis n'arrivent pas à s'authentifier auprès de vault

j'ai le message permission denied: no handler for current token type dans les logs du sidecar

# exemple de role k8s auth path
path "auth/kubernetes/role/mon-app" {
  bound_service_account_names = ["mon-app-sa"]
  bound_service_account_namespaces = ["default"]
  policies = ["mon-app-policy"]
  ttl = "1h"
}

le service account mon-app-sa existe bien dans default

Commentaires

Avatar de claudine60

claudine60

Membre depuis le 08/03/2019

actif

hello t'as bien activé l'auth method kubernetes dans vault et configuré le chemin du service account token ? souvent c'est un problème de rôle k8s mal défini ou le service account token review qui est pas vu par vault

Avatar de henri-aubert

henri-aubert

Membre depuis le 31/12/2020

actif secouriste

vérifie aussi que t'as pas une network policy un peu trop zélée qui bloquerait le trafic entre ton pod sidecar et le pod vault le port 8200 de vault doit être joignable

Avatar de chevalier-david

chevalier-david

Membre depuis le 25/03/2024

actif

c'était bien ça une network policy qui empêchait le sidecar de pinger le service vault même si le service était dans le même namespace. thx à vous les gars pour le coup de main je vais revoir mes policies

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire