Vault HA cluster mode activé mais j'ai des soucis de leader election

RSS
richard13 03/09/2025
RÉSOLU
Retour Répondre
Avatar de richard13
richard13
Auteur Actif
Avatar de richard13
richard13
Auteur Actif

Salut la commu, on essaie de mettre Vault en HA avec Consul comme backend de stockage mais on galère avec la leader election. on a 3 nœuds Vault et 3 nœuds Consul. quand je démarre tout, un nœud est leader puis subitement passe en standby, et un autre prend la main pour quelques secondes avant de faire pareil. les logs montrent souvent "no leader elected". réseau ouvert entre les nœuds. Des idées ?

# partie storage de la config vault
storage "consul" {
  address = "127.0.0.1:8500"
  path    = "vault/"
}

listener "tcp" {
  address     = "0.0.0.0:8200"
  tls_disable = "true"
}

api_addr     = "http://{{oulli_ip}}:8200"
cluster_addr = "http://{{oulli_ip}}:8201"
03/09/2025 à 23:19

6 commentaires

Avatar de obailly
obailly
Membre Actif
Avatar de obailly
obailly
Membre Actif

hello ! ton consul est-il sain ? genre check le statut de ton cluster consul, si y'a des nœuds pas joignables ou si le quorum est pas atteint ça peut foutre le boxon pour vault. aussi regarde si les firewalls entre les nœuds vault ET consul sont bien ouverts sur tous les ports nécessaires

04/09/2025 à 21:57
Avatar de richard13
richard13
Auteur Actif
Avatar de richard13
richard13
Auteur Actif

j'ai checké consul, il est stable et en quorum. les firewalls sont open de partout. les logs vault montrent souvent "failed to acquire lock for leader election". ça arrive même si consul semble ok.

05/09/2025 à 21:04
Avatar de obailly
obailly
Membre Actif
Avatar de obailly
obailly
Membre Actif

ok "failed to acquire lock" ça sent la latence réseau ou le ntp décalé qui rend le bail de leadership invalide trop vite. ou des soucis de perf sur consul lui-même, il est pas surchargé ? regarde les logs consul côté perf/errors. la connectivité dns de vault vers consul est good ?

06/09/2025 à 20:35
Avatar de richard13
richard13
Auteur Actif
Avatar de richard13
richard13
Auteur Actif

putain c'était ça ! la connectivité dns d'un des nœuds vault vers consul était foireuse. le resolveur local avait des soucis. j'ai fixé le dns sur ce nœud, et là vault a élu un leader direct et ça tient. énorme merci, j'aurais jamais pensé au dns à ce stade.

07/09/2025 à 19:31
Avatar de obailly
obailly
Membre Actif
Avatar de obailly
obailly
Membre Actif

ah le dns. toujours lui. bien vu la persistence. content que ça soit réglé !

08/09/2025 à 19:15
Avatar de richard13
richard13
Auteur Actif
Avatar de richard13
richard13
Auteur Actif

clairement ! thx pour le coup de main

09/09/2025 à 15:27

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire