4 commentaires
yo check les webhook configurations dans k8s. souvent après un upgrade si t'as des webhooks custom (comme vault agent inject) faut ptete les recréer ou vérifier que leurs certificats sont tjrs valides. des fois le Kube-APIserver rejette les webhooks avec des certs périmés
ouais et même plus simple t'as regardé les MutatingWebhookConfiguration et ValidatingWebhookConfiguration avec kubectl get mutatingwebhookconfigurations vault-agent-injector -o yaml ? regarde si le failurePolicy est bien sur Fail pour voir les erreurs direct si ça échoue
aussi une piste : t'as checké les rbac ? les permissions du service account du vault injector ont ptete changé avec la nouvelle version de k8s ou l'upgrade a écrasé un rôle. sans les bonnes perms il peut pas injecter le sidecar
merci pour les pistes ! c'était bien un souci de rbac en fait. l'upgrade de k8s a viré un clusterrolebinding pour le service account du vault injector. j'ai remis ça propre et bim ça injecte de nouveau. merci les gars !
Laisser une réponse
Vous devez être connecté pour poster un message !
Salut la team
on vient d'upgrader notre cluster K8s de 1.25 à 1.27 et depuis l'injection du
vault agentne marche plus du tout. les pods démarrent mais y'a pas le sidecar qui se lance. dans les logs du controller d'admission vault j'ai rien de flagrant juste des timeoutune idée de ce qui peut merdouiller ?