vault agent injection pas dispo dans mon namespace k8s

RSS
lramos 12/06/2024
RÉSOLU
Retour Répondre
Avatar de lramos
lramos
Auteur
Avatar de lramos
lramos
Auteur

Salut la tech team j'essaye de faire injecter des secrets via vault agent dans un pod k8s mais le sidecar apparait pas. j'ai activé l'admission controller pour le ns et mis les annotations qu'il faut sur mon déploiement.

apiversion: apps/v1
kind: deployment
metadata:
  name: my-app
  namespace: dev-secrets
  annotations:
    vault.hashicorp.com/agent-inject: "true"
    vault.hashicorp.com/role: "my-app-role"
    vault.hashicorp.com/secret-volume-path: "/vault/secrets"
    vault.hashicorp.com/agent-inject-template-db-creds.ctmpl: |
      {{- with secret "kv/data/db/creds" -}}
      user="{{ .data.data.username }}"
      password="{{ .data.data.password }}"
      {{- end -}}
spec:
  # ...

quand je décris le pod y a rien sur le sidecar. le logs du webhook disent rien de spécial non plus. des pistes ?

12/06/2024 à 18:34

7 commentaires

Avatar de paul-duval
paul-duval
Membre Actif Secouriste
Avatar de paul-duval
paul-duval
Membre Actif Secouriste

yo check si ton serviceaccount a bien les permissions pour parler à vault avec le jwt. et aussi le role que t'as mis my-app-role faut qu'il existe et qu'il soit bien mappé avec une policy qui donne accès au chemin kv/data/db/creds

Modifié le 23/05/2026 à 16:20
Avatar de julien61
julien61
Membre
Avatar de julien61
julien61
Membre

ouais et des fois c'est tout bête mais le certificat du webhook de vault qui est pas à jour ou pas confiance par le kube-apiserver. t'as redémarré le webhook ou vérifié ses logs après maj ?

14/06/2024 à 08:34
Avatar de lramos
lramos
Auteur
Avatar de lramos
lramos
Auteur

le serviceaccount a un role binding et une policy d'accès j'ai revérifié. et le role existe bien. pour les certs j'ai pas touché au déploiement de vault depuis l'install et ça marchait avant sur d'autres ns.

15/06/2024 à 04:24
Avatar de paul-duval
paul-duval
Membre Actif Secouriste
Avatar de paul-duval
paul-duval
Membre Actif Secouriste

hmm as-tu des network policies qui bloquent le trafic vers le webhook ou vers vault même ? j'ai déjà eu ça, une rule trop restrictive qui bloquait l'init container ou l'injection.

16/06/2024 à 01:00
Avatar de ogomez
ogomez
Membre Actif
Avatar de ogomez
ogomez
Membre Actif

vérifie le statut du pod webhook lui-même. des fois il est en crashloop ou pending à cause d'un manque de ressources ou d'une mauvaise config. si l'api server peut pas l'appeler pour valider la requête de création de pod bah rien ne se passe.

16/06/2024 à 23:01
Avatar de lramos
lramos
Auteur
Avatar de lramos
lramos
Auteur

ok je vais checker les network policies et le pod du webhook. bonne idée pour le statut, je l'ai pas regardé de près. thx les gars je vous redis

17/06/2024 à 22:48
Avatar de lramos
lramos
Auteur
Avatar de lramos
lramos
Auteur

BINGO ! c'était une network policy trop agressive sur le ns. j'ai ouvert les ports nécessaires vers le webhook et l'injection fonctionne nickel. merci beaucoup !

18/06/2024 à 18:13

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire