5 commentaires
yo. t'as vérifié que le mutating webhook admission control est bien activé sur ton kube-apiserver ? et que le webhook config pour vault est bien présent et pointe vers le bon service vault-agent-injector ? souvent c'est le webhook qui est pas bien registered ou qui a foiré
ouais et check les logs du pod vault-agent-injector lui-même tu dois voir si il reçoit des requêtes d'admission. si y'a rien c'est que le webhook est pas bien branché. regarde aussi si y'a un souci de certificat entre l'apiserver et le webhook
ok je vais checker ça. pour le webhook config j'ai bien un vault-agent-injector-cfg. et les logs de l'injector sont vides je vais voir les certificats
le plus simple c'est de redéployer le helm chart de vault agent injector en mode debug et de regarder les événements. des fois le certificat expire ou est mal généré. et t'as bien tes tls certs pour le webhook montés dans le pod injector ?
bien vu ! c'était un certificat qui avait expiré j'avais pas fait gaffe à la rotation. après un redéploiement du chart avec renouvellement du cert ça marche nickel l'injection se fait correctement. thx la team !
Laisser une réponse
Vous devez être connecté pour poster un message !
Salut la tech team j'ai un souci avec vault agent injector sur notre cluster k8s. J'ai un déploiement qui a la bonne annotation pour l'injection mais le sidecar vault-agent est pas créé. Y'a rien dans les logs du pod parent ni du pod injector. C'est comme si l'annotation était ignorée. Des idées où regarder ptete ?