vault agent inject ne marche plus après update k8s

Question

Salut la team
on vient d'upgrader notre cluster K8s de 1.25 à 1.27 et depuis l'injection du vault agent ne marche plus du tout. les pods démarrent mais y'a pas le sidecar qui se lance. dans les logs du controller d'admission vault j'ai rien de flagrant juste des timeout
# exemple de config de pod
apiVersion: v1
kind: Pod
metadata:
  name: myapp
  annotations:
    vault.hashicorp.com/agent-inject: "true"
    vault.hashicorp.com/role: "myapp-role"
spec:
  containers:
  - name: myapp
    image: myapp:latest

une idée de ce qui peut merdouiller ?

ppotier · Answer

yo check les webhook configurations dans k8s. souvent après un upgrade si t'as des webhooks custom (comme vault agent inject) faut ptete les recréer ou vérifier que leurs certificats sont tjrs valides. des fois le Kube-APIserver rejette les webhooks avec des certs périmés

lamy-nath · Answer

ouais et même plus simple t'as regardé les MutatingWebhookConfiguration et ValidatingWebhookConfiguration avec kubectl get mutatingwebhookconfigurations vault-agent-injector -o yaml ? regarde si le failurePolicy est bien sur Fail pour voir les erreurs direct si ça échoue

margaret68 · Answer

aussi une piste : t'as checké les rbac ? les permissions du service account du vault injector ont ptete changé avec la nouvelle version de k8s ou l'upgrade a écrasé un rôle. sans les bonnes perms il peut pas injecter le sidecar

fournier-philippe · Answer

merci pour les pistes ! c'était bien un souci de rbac en fait. l'upgrade de k8s a viré un clusterrolebinding pour le service account du vault injector. j'ai remis ça propre et bim ça injecte de nouveau. merci les gars !

vault agent inject ne marche plus après update k8s

Commentaires

Laisser une réponse

Votre plateforme interne est-elle prête pour le développement accéléré par l'IA ?

Maîtrisez les Commandes Linux pour les Ingénieurs DevOps

Introduction au cours complet sur Ansible

Rejoindre la communauté