vault auto-unseal hsmavec azure key vault j'y arrive pas

RSS
gregoire35 23/05/2024
RÉSOLU
Retour Répondre
Avatar de gregoire35
gregoire35
Auteur
Avatar de gregoire35
gregoire35
Auteur

salut à tous on essaie de mettre en place l'auto-unseal de vault avec azure key vault mais ça veut pas il reste scellé au démarrage même après plusieurs reboots j'ai l'impression de rater un truc évident

# commande de statut vault
vault status
...
Sealed: true
...
23/05/2024 à 01:47

7 commentaires

Avatar de troux
troux
Membre Actif
Avatar de troux
troux
Membre Actif

t'as bien configuré l'identité managée sur ta vm vault elle a les droits

24/05/2024 à 01:25
Avatar de gaillard-bernadette
gaillard-bernadette
Membre Actif
Avatar de gaillard-bernadette
gaillard-bernadette
Membre Actif

et les permissions sur le key vault elles sont ok get wrap unwrap c'est le minimum requis pour le secret hsm

25/05/2024 à 00:20
Avatar de adrienne-auger
adrienne-auger
Membre
Avatar de adrienne-auger
adrienne-auger
Membre

faut s'assurer que le secret provider class et les rôles rbac kubernetes sont bien configurés si c'est sur aks des fois on oublie les k8s bits ou la liaison avec l'identité managée

25/05/2024 à 18:31
Avatar de gregoire35
gregoire35
Auteur
Avatar de gregoire35
gregoire35
Auteur

oui l'identité managée est là j'ai bien les permissions sur le key vault get wrap unwrap par contre c'est pas sur aks c'est sur des vms classiques ubuntu

26/05/2024 à 12:53
Avatar de troux
troux
Membre Actif
Avatar de troux
troux
Membre Actif

regarde les logs de vault au démarrage c'est là que tu vas voir la raison exacte du blocage tu peux ptete lancer vault en mode debug pour plus de verbosité

# commande pour voir les logs vault
journalctl -u vault --since "5 minutes ago"
27/05/2024 à 12:38
Avatar de gaillard-bernadette
gaillard-bernadette
Membre Actif
Avatar de gaillard-bernadette
gaillard-bernadette
Membre Actif

souvent c'est un problème de network policy ou firewall au niveau du réseau virtuel qui bloque l'accès à l'endpoint azure key vault depuis la vm vérifie les règles de sécurité réseau sortantes

28/05/2024 à 07:37
Avatar de gregoire35
gregoire35
Auteur
Avatar de gregoire35
gregoire35
Auteur

bon j'ai checké les logs et y'avait une erreur de timeout vers akv comme de par hasard j'ai ouvert le port 443 en sortie depuis la vm vault vers les endpoints akv et c'est bon now il s'unseal tout seul thx la team

29/05/2024 à 02:53

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire