Vault et K8s: pas moyen de faire injecter les secrets par le mutating webhook

Question

salut la team
gros souci avec vault dans mon cluster k8s. j'ai installé l'agent injector, les pods se lancent mais les secrets vault sont pas injectés. le sidecar vault-agent il apparait bien mais j'ai des erreurs partout. j'ai mis les annotations qui vont bien sur mon déploiement.
# annotations sur le pod
vault.hashicorp.com/agent-inject: "true"
vault.hashicorp.com/role: "mon-app-role"
vault.hashicorp.com/secret-volume-path: "/vault/secrets"
vault.hashicorp.com/agent-inject-template-configmap-name: "mon-template"

une idée de ce qui cloche j'ai l'impression d'avoir tout checké

paulette-simon · Answer

yo. déjà vérifie bien que ton role "mon-app-role" existe dans vault et qu'il a les bonnes policies. ensuite regarde les logs du mutating webhook controller si il a pas de souci pour intercepter ton pod ou si il y a une erreur de validation

christophe-blanchet · Answer

ouais et un truc bête mais souvent oublié le service account de ton pod k8s il a bien les permissions nécessaires pour authentifier l'agent vault auprès de vault ? genre l'annotation vault.hashicorp.com/serviceaccount.name si tu utilises pas le default SA

franck20 · Answer

c'était bien un souci de policy sur le role en fait. j'avais mis un chemin "/secret/data/..." au lieu de "/kv/data/..." et vault refusait d'injecter. un grand thx pour l'aide les gars ça fonctionne nickel maintenant

Vault et K8s: pas moyen de faire injecter les secrets par le mutating webhook

3 commentaires

Laisser une réponse

Installation et manipulation d'un cluster Kubernetes avec Minikube

Créez vos propres modules ansible

Pipeline et outils DevOps

Maîtriser les permissions GitLab CI/CD pour la sécurité

Terraform ou Crossplane : Quel outil contrôle réellement votre cloud ?

Rejoindre la communauté