Vault Agent / Kubernetes : Auto-auth jwt pas ok

Membre depuis le 06/12/2024

yo la team j'ai un souci avec mon vault agent en sidecar dans k8s. il devrait s'auto-authentifier via le mécanisme jwt mais ça foire. j'ai l'erreur failed to login: token not found ou un truc du genre. le rôle est bien configuré côté vault, le sa a les bonnes permissions. une idée de ce qui bloque l'auto-auth ?

# partie auto-auth de ma config vault agent
auto_auth:
  method:
    type: kubernetes
    mount_path: kubernetes
    config:
      role: my-app-role
      token_reviewer_jwt: "" # j'ai essayé avec et sans

16/07/25 à 06:10

Commentaires

zoe60

Membre depuis le 27/04/2024

slt ! ton service account est bien annoté avec vault.hashicorp.com/agent-inject: 'true' et tout ça ? et l'image du vault agent c'est bien la bonne version compatible avec ton cluster k8s et vault server

17/07/25 à 00:20

masse-leon

Membre depuis le 03/09/2024

vérifie aussi si le service account token volume projection est activé dans ton cluster k8s. sans ça le token jwt est pas dispo au bon endroit ou il a pas la bonne durée de vie. et regarde les logs du vault agent en mode debug, ça donne bcp d'infos sur ce qu'il essaie de faire et pourquoi ça rate

17/07/25 à 21:22

foucher-amelie

Membre depuis le 03/09/2024

souvent c'est un problème de rôle kubernetes mal configuré. le rôle kubernetes côté vault il doit bien pointer vers le service account name et le namespace exacts de ton pod. et le audience dans le rôle est bien celui par défaut de k8s ou t'as un truc custom

18/07/25 à 19:39

bbaudry

Membre depuis le 06/12/2024

ok les gars merci j'ai creusé les logs et c'était bien un souci de service account token volume projection. c'était pas activé par défaut sur notre vieille version de k8s. après l'avoir activé et redémarré les pods l'auto-auth marche niquel. thx !

19/07/25 à 19:13