Vault agent inject pas d'auto-auth dans k8s

RSS
vleduc 26/09/2025
RÉSOLU
Retour Répondre
Avatar de vleduc
vleduc
Auteur Actif
Avatar de vleduc
vleduc
Auteur Actif

salut la team

on essaie de faire marcher vault agent injector dans notre cluster k8s pour de l'auto-auth avec des configs via filesystems mais j'ai un souci. les pods sont bien injectés mais l'agent démarre pas l'auto-auth. les logs sont pas super clairs.

# annotation sur le pod
annotations:
  vault.hashicorp.com/agent-inject: "true"
  vault.hashicorp.com/agent-inject-template-config.ctmpl: |
    {{- with secret "kv/data/my-app/config" -}}
    db_password={{ .Data.data.db_password }}
    {{- end -}}

ça donne l'impression que le process vault-agent est bien là mais qu'il initie rien. des idées sur les vérifs à faire ?

26/09/2025 à 12:11

3 commentaires

Avatar de nmonnier
nmonnier
Membre
Avatar de nmonnier
nmonnier
Membre

yo t'as bien configuré un auth method kubernetes dans vault avec le service account token review set up ? souvent c'est ça qui coince si vault peut pas valider le token du pod.

27/09/2025 à 08:21
Avatar de sebastien-thibault
sebastien-thibault
Membre Actif Secouriste
Avatar de sebastien-thibault
sebastien-thibault
Membre Actif Secouriste

ouais et check les policies vault associées à ton role k8s. si l'agent a pas les droits pour lire le secret kv/data/my-app/config il va rien faire d'utile. genre un vault token capabilities vault-agent-k8s-role kv/data/my-app/config pour voir

28/09/2025 à 06:47
Avatar de vleduc
vleduc
Auteur Actif
Avatar de vleduc
vleduc
Auteur Actif

c'est bon les gars ! c'était une faute de frappe dans la policy attachée au role k8s. au lieu de kv/data/my-app/config j'avais mis kv/my-app/config. une fois corrigé l'agent auto-auth direct ! thx pour le coup de main

29/09/2025 à 03:12

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire