Vault Agent / Kubernetes : Auto-auth jwt pas ok

RSS
bbaudry 16/07/2025
RÉSOLU
Retour Répondre
Avatar de bbaudry
bbaudry
Auteur Secouriste
Avatar de bbaudry
bbaudry
Auteur Secouriste

yo la team j'ai un souci avec mon vault agent en sidecar dans k8s. il devrait s'auto-authentifier via le mécanisme jwt mais ça foire. j'ai l'erreur failed to login: token not found ou un truc du genre. le rôle est bien configuré côté vault, le sa a les bonnes permissions. une idée de ce qui bloque l'auto-auth ?

# partie auto-auth de ma config vault agent
auto_auth:
  method:
    type: kubernetes
    mount_path: kubernetes
    config:
      role: my-app-role
      token_reviewer_jwt: "" # j'ai essayé avec et sans
16/07/2025 à 06:10

4 commentaires

Avatar de zoe60
zoe60
Membre Rédacteur
Avatar de zoe60
zoe60
Membre Rédacteur

slt ! ton service account est bien annoté avec vault.hashicorp.com/agent-inject: 'true' et tout ça ? et l'image du vault agent c'est bien la bonne version compatible avec ton cluster k8s et vault server

17/07/2025 à 00:20
Avatar de masse-leon
masse-leon
Membre Actif Secouriste
Avatar de masse-leon
masse-leon
Membre Actif Secouriste

vérifie aussi si le service account token volume projection est activé dans ton cluster k8s. sans ça le token jwt est pas dispo au bon endroit ou il a pas la bonne durée de vie. et regarde les logs du vault agent en mode debug, ça donne bcp d'infos sur ce qu'il essaie de faire et pourquoi ça rate

17/07/2025 à 21:22
Avatar de foucher-amelie
foucher-amelie
Membre Actif
Avatar de foucher-amelie
foucher-amelie
Membre Actif

souvent c'est un problème de rôle kubernetes mal configuré. le rôle kubernetes côté vault il doit bien pointer vers le service account name et le namespace exacts de ton pod. et le audience dans le rôle est bien celui par défaut de k8s ou t'as un truc custom

18/07/2025 à 19:39
Avatar de bbaudry
bbaudry
Auteur Secouriste
Avatar de bbaudry
bbaudry
Auteur Secouriste

ok les gars merci j'ai creusé les logs et c'était bien un souci de service account token volume projection. c'était pas activé par défaut sur notre vieille version de k8s. après l'avoir activé et redémarré les pods l'auto-auth marche niquel. thx !

19/07/2025 à 19:13

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire