vault agent inject ne marche plus après update k8s

Question

Salut la team
on vient d'upgrader notre cluster K8s de 1.25 à 1.27 et depuis l'injection du vault agent ne marche plus du tout. les pods démarrent mais y'a pas le sidecar qui se lance. dans les logs du controller d'admission vault j'ai rien de flagrant juste des timeout
# exemple de config de pod
apiVersion: v1
kind: Pod
metadata:
  name: myapp
  annotations:
    vault.hashicorp.com/agent-inject: "true"
    vault.hashicorp.com/role: "myapp-role"
spec:
  containers:
  - name: myapp
    image: myapp:latest

une idée de ce qui peut merdouiller ?

ppotier · Answer

yo check les webhook configurations dans k8s. souvent après un upgrade si t'as des webhooks custom (comme vault agent inject) faut ptete les recréer ou vérifier que leurs certificats sont tjrs valides. des fois le Kube-APIserver rejette les webhooks avec des certs périmés

lamy-nath · Answer

ouais et même plus simple t'as regardé les MutatingWebhookConfiguration et ValidatingWebhookConfiguration avec kubectl get mutatingwebhookconfigurations vault-agent-injector -o yaml ? regarde si le failurePolicy est bien sur Fail pour voir les erreurs direct si ça échoue

margaret68 · Answer

aussi une piste : t'as checké les rbac ? les permissions du service account du vault injector ont ptete changé avec la nouvelle version de k8s ou l'upgrade a écrasé un rôle. sans les bonnes perms il peut pas injecter le sidecar

fournier-philippe · Answer

merci pour les pistes ! c'était bien un souci de rbac en fait. l'upgrade de k8s a viré un clusterrolebinding pour le service account du vault injector. j'ai remis ça propre et bim ça injecte de nouveau. merci les gars !

vault agent inject ne marche plus après update k8s

Commentaires

Laisser une réponse

Gérer des environnements éphémères sur Kubernetes

Créer un cluster Kubernetes Multi-nœud avec Vagrant et Ansible

Conclusion du cours complet sur la technologie Docker

Rejoindre la communauté