Vault et K8s: pas moyen de faire injecter les secrets par le mutating webhook

Posté par franck20 le 29/11/2024
RÉSOLU
Retour Répondre Créer

Avatar de franck20

franck20

Membre depuis le 16/05/2020

actif secouriste

salut la team

gros souci avec vault dans mon cluster k8s. j'ai installé l'agent injector, les pods se lancent mais les secrets vault sont pas injectés. le sidecar vault-agent il apparait bien mais j'ai des erreurs partout. j'ai mis les annotations qui vont bien sur mon déploiement.

# annotations sur le pod
vault.hashicorp.com/agent-inject: "true"
vault.hashicorp.com/role: "mon-app-role"
vault.hashicorp.com/secret-volume-path: "/vault/secrets"
vault.hashicorp.com/agent-inject-template-configmap-name: "mon-template"

une idée de ce qui cloche j'ai l'impression d'avoir tout checké

Commentaires

Avatar de paulette-simon

paulette-simon

Membre depuis le 29/03/2019

actif rédacteur secouriste

yo. déjà vérifie bien que ton role "mon-app-role" existe dans vault et qu'il a les bonnes policies. ensuite regarde les logs du mutating webhook controller si il a pas de souci pour intercepter ton pod ou si il y a une erreur de validation

Avatar de christophe-blanchet

christophe-blanchet

Membre depuis le 04/04/2019

actif

ouais et un truc bête mais souvent oublié le service account de ton pod k8s il a bien les permissions nécessaires pour authentifier l'agent vault auprès de vault ? genre l'annotation vault.hashicorp.com/serviceaccount.name si tu utilises pas le default SA

Avatar de franck20

franck20

Membre depuis le 16/05/2020

actif secouriste

c'était bien un souci de policy sur le role en fait. j'avais mis un chemin "/secret/data/..." au lieu de "/kv/data/..." et vault refusait d'injecter. un grand thx pour l'aide les gars ça fonctionne nickel maintenant

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire