Vault agent inject k8s secrets mais pods en CrashLoopBackOff

Posté par nicole-dubois le 19/09/2024

RÉSOLU

Membre depuis le 01/06/2024

yo la team ! j'ai un truc qui me rend fou. je suis en train de configurer vault agent pour injecter des secrets dans nos pods k8s mais les pods démarrent pas. ils restent en CrashLoopBackOff et les logs disent que les secrets sont pas trouvés ou qu'il y a une erreur de mount. j'ai bien mis les annotations et le service account a les droits. je sèche grave

# annotations exemple sur le pod
annotations:
  agent.vaultproject.io/inject: "true"
  agent.vaultproject.io/template: |
    {{- with secret "kv/data/my-app/config" -}}
    DB_PASSWORD="{{ .Data.data.db_password }}"
    {{- end -}}

19/09/24 à 05:30

Commentaires

vrenaud

Membre depuis le 25/08/2024

hello ! verifie ta policy vault pour le role k8s. faut que le service account du pod ait les bons droits pour lire le chemin kv/data/my-app/config. et assure-toi que ton agent sidecar se lance bien avant l'app principale. des fois l'app essaie de lire avant que l'agent ait eu le temps d'écrire

19/09/24 à 23:57

sallain

Membre depuis le 24/08/2024

ouais et t'as regardé les logs du vault agent lui-même dans le sidecar ? pas juste ceux de l'app. des fois l'agent arrive pas à contacter le serveur vault ou il a des erreurs d'auth. un proxy ou un firewall pourrait bloquer l'accès

20/09/24 à 21:49

frederique-valette

Membre depuis le 15/08/2024

vérifie aussi la version de vault agent. y'a eu des breaking changes avec des versions de k8s ou de vault. des fois un mismatch et ça casse tout. et ton rôle k8s est bien mappé au service account que le pod utilise ?

21/09/24 à 21:40

nicole-dubois

Membre depuis le 01/06/2024

bon j'ai revérifié tout ça. les policies vault sont bonnes. l'annotation et le service account aussi. les logs du sidecar, après avoir augmenté le niveau de debug, montrent un souci de connexion réseau au serveur vault. on a un proxy http en place et il bloquait les requêtes https de l'agent vers vault. j'ai ajouté l'ip de vault aux exceptions du proxy et bam les secrets sont injectés et les pods démarrent. merci à tous pour les pistes !

22/09/24 à 19:48

Retour