vault auto-unseal fail avec gcp kms sur des instances gce

RSS
laure90 29/07/2024
RÉSOLU
Retour Répondre
Avatar de laure90
laure90
Auteur Actif
Avatar de laure90
laure90
Auteur Actif

salut la gang on a un souci avec vault et l'auto-unseal. on a déployé un nouveau cluster vault sur gce et configuré l'auto-unseal avec gcp kms. le vault démarre mais il reste en état scellé (sealed) et l'unseal automatique ne se fait pas. les instances ont bien le service account avec les permissions kms

# sortie de 'vault status'
Key              Value
---              -----
Seal Type        gcpckms
Initialized      true
Sealed           true
Total Shares     1
Threshold        1
29/07/2024 à 14:18

8 commentaires

Avatar de gabrielle26
gabrielle26
Membre
Avatar de gabrielle26
gabrielle26
Membre

t'as checké les logs de vault au démarrage ? souvent ça crache une erreur claire sur le pourquoi ça fail. genre un souci de key ring ou de key id

30/07/2024 à 13:31
Avatar de laure90
laure90
Auteur Actif
Avatar de laure90
laure90
Auteur Actif

oui dans les logs j'ai un "error fetching kms client: google: could not find default credentials. see https://cloud.google.com/docs/authentication/getting-started for more information."

31/07/2024 à 12:07
Avatar de alexandria06
alexandria06
Membre Rédacteur
Avatar de alexandria06
alexandria06
Membre Rédacteur

ok ça sent le coup du service account pas bien attaché à l'instance ou un scope manquant. t'as créé les instances avec le flag --service-account et --scopes bien définis ?

01/08/2024 à 09:11
Avatar de gabrielle26
gabrielle26
Membre
Avatar de gabrielle26
gabrielle26
Membre

et la config vault dans ton hcl elle pointe bien sur le bon keyring et la bonne key ? des fois c'est juste une typo dans le nom

02/08/2024 à 07:06
Avatar de laure90
laure90
Auteur Actif
Avatar de laure90
laure90
Auteur Actif

j'ai revérifié les scopes et le service account. ils sont bons. par contre j'ai découvert que j'avais pas installé le gcloud sdk sur les instances... est-ce que vault en a besoin pour l'auth ?

03/08/2024 à 03:50
Avatar de alexandria06
alexandria06
Membre Rédacteur
Avatar de alexandria06
alexandria06
Membre Rédacteur

normalement non vault utilise les api gcp directement avec les metadata de l'instance pour l'auth du service account. le sdk c'est plus pour les outils cli. l'erreur "could not find default credentials" c'est typique d'un souci d'environnement ou de service account pas détecté par l'appli

04/08/2024 à 03:13
Avatar de laure90
laure90
Auteur Actif
Avatar de laure90
laure90
Auteur Actif

bordel c'était la région du keyring kms ! j'avais mis us-east1 au lieu de europe-west3 dans ma config vault. je l'ai fixé et boom il est unsealed. quelle connerie merci pour l'aide

05/08/2024 à 01:04
Avatar de gabrielle26
gabrielle26
Membre
Avatar de gabrielle26
gabrielle26
Membre

ha la région classique ! bien joué d'avoir trouvé. ça me rappelle des sueurs froides

05/08/2024 à 21:11

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire