Vault Agent / Kubernetes : Auto-auth jwt pas ok

Question

yo la team j'ai un souci avec mon vault agent en sidecar dans k8s. il devrait s'auto-authentifier via le mécanisme jwt mais ça foire. j'ai l'erreur failed to login: token not found ou un truc du genre. le rôle est bien configuré côté vault, le sa a les bonnes permissions. une idée de ce qui bloque l'auto-auth ?
# partie auto-auth de ma config vault agent
auto_auth:
  method:
    type: kubernetes
    mount_path: kubernetes
    config:
      role: my-app-role
      token_reviewer_jwt: "" # j'ai essayé avec et sans

zoe60 · Answer

slt ! ton service account est bien annoté avec vault.hashicorp.com/agent-inject: 'true' et tout ça ? et l'image du vault agent c'est bien la bonne version compatible avec ton cluster k8s et vault server

masse-leon · Answer

vérifie aussi si le service account token volume projection est activé dans ton cluster k8s. sans ça le token jwt est pas dispo au bon endroit ou il a pas la bonne durée de vie. et regarde les logs du vault agent en mode debug, ça donne bcp d'infos sur ce qu'il essaie de faire et pourquoi ça rate

foucher-amelie · Answer

souvent c'est un problème de rôle kubernetes mal configuré. le rôle kubernetes côté vault il doit bien pointer vers le service account name et le namespace exacts de ton pod. et le audience dans le rôle est bien celui par défaut de k8s ou t'as un truc custom

bbaudry · Answer

ok les gars merci j'ai creusé les logs et c'était bien un souci de service account token volume projection. c'était pas activé par défaut sur notre vieille version de k8s. après l'avoir activé et redémarré les pods l'auto-auth marche niquel. thx !

Vault Agent / Kubernetes : Auto-auth jwt pas ok

Commentaires

Laisser une réponse

Comprendre, Gérer et Manipuler un cluster Docker Swarm

Gestion des erreurs dans le langage de programmation Go

Zero Trust DevOps : L'Ère de la Confiance Zéro en Cloud Natif

Rejoindre la communauté