vault auto-unseal fail avec gcp kms sur des instances gce

Posté par laure90 le 29/07/2024
RÉSOLU
Retour Répondre Créer

Avatar de laure90

laure90

Membre depuis le 29/05/2019

salut la gang on a un souci avec vault et l'auto-unseal. on a déployé un nouveau cluster vault sur gce et configuré l'auto-unseal avec gcp kms. le vault démarre mais il reste en état scellé (sealed) et l'unseal automatique ne se fait pas. les instances ont bien le service account avec les permissions kms

# sortie de 'vault status'
Key              Value
---              -----
Seal Type        gcpckms
Initialized      true
Sealed           true
Total Shares     1
Threshold        1

Commentaires

Avatar de gabrielle26

gabrielle26

Membre depuis le 30/06/2024

t'as checké les logs de vault au démarrage ? souvent ça crache une erreur claire sur le pourquoi ça fail. genre un souci de key ring ou de key id

Avatar de laure90

laure90

Membre depuis le 29/05/2019

oui dans les logs j'ai un "error fetching kms client: google: could not find default credentials. see https://cloud.google.com/docs/authentication/getting-started for more information."

Avatar de alexandria06

alexandria06

Membre depuis le 17/03/2019

ok ça sent le coup du service account pas bien attaché à l'instance ou un scope manquant. t'as créé les instances avec le flag --service-account et --scopes bien définis ?

Avatar de gabrielle26

gabrielle26

Membre depuis le 30/06/2024

et la config vault dans ton hcl elle pointe bien sur le bon keyring et la bonne key ? des fois c'est juste une typo dans le nom

Avatar de laure90

laure90

Membre depuis le 29/05/2019

j'ai revérifié les scopes et le service account. ils sont bons. par contre j'ai découvert que j'avais pas installé le gcloud sdk sur les instances... est-ce que vault en a besoin pour l'auth ?

Avatar de alexandria06

alexandria06

Membre depuis le 17/03/2019

normalement non vault utilise les api gcp directement avec les metadata de l'instance pour l'auth du service account. le sdk c'est plus pour les outils cli. l'erreur "could not find default credentials" c'est typique d'un souci d'environnement ou de service account pas détecté par l'appli

Avatar de laure90

laure90

Membre depuis le 29/05/2019

bordel c'était la région du keyring kms ! j'avais mis us-east1 au lieu de europe-west3 dans ma config vault. je l'ai fixé et boom il est unsealed. quelle connerie merci pour l'aide

Avatar de gabrielle26

gabrielle26

Membre depuis le 30/06/2024

ha la région classique ! bien joué d'avoir trouvé. ça me rappelle des sueurs froides

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire