Vault HA cluster mode activé mais j'ai des soucis de leader election

Posté par richard13 le 03/09/2025
RÉSOLU
Retour Répondre Créer

Avatar de richard13

richard13

Membre depuis le 28/11/2024

Salut la commu, on essaie de mettre Vault en HA avec Consul comme backend de stockage mais on galère avec la leader election. on a 3 nœuds Vault et 3 nœuds Consul. quand je démarre tout, un nœud est leader puis subitement passe en standby, et un autre prend la main pour quelques secondes avant de faire pareil. les logs montrent souvent "no leader elected". réseau ouvert entre les nœuds. Des idées ?

# partie storage de la config vault
storage "consul" {
  address = "127.0.0.1:8500"
  path    = "vault/"
}

listener "tcp" {
  address     = "0.0.0.0:8200"
  tls_disable = "true"
}

api_addr     = "http://{{oulli_ip}}:8200"
cluster_addr = "http://{{oulli_ip}}:8201"

Commentaires

Avatar de obailly

obailly

Membre depuis le 24/01/2023

hello ! ton consul est-il sain ? genre check le statut de ton cluster consul, si y'a des nœuds pas joignables ou si le quorum est pas atteint ça peut foutre le boxon pour vault. aussi regarde si les firewalls entre les nœuds vault ET consul sont bien ouverts sur tous les ports nécessaires

Avatar de richard13

richard13

Membre depuis le 28/11/2024

j'ai checké consul, il est stable et en quorum. les firewalls sont open de partout. les logs vault montrent souvent "failed to acquire lock for leader election". ça arrive même si consul semble ok.

Avatar de obailly

obailly

Membre depuis le 24/01/2023

ok "failed to acquire lock" ça sent la latence réseau ou le ntp décalé qui rend le bail de leadership invalide trop vite. ou des soucis de perf sur consul lui-même, il est pas surchargé ? regarde les logs consul côté perf/errors. la connectivité dns de vault vers consul est good ?

Avatar de richard13

richard13

Membre depuis le 28/11/2024

putain c'était ça ! la connectivité dns d'un des nœuds vault vers consul était foireuse. le resolveur local avait des soucis. j'ai fixé le dns sur ce nœud, et là vault a élu un leader direct et ça tient. énorme merci, j'aurais jamais pensé au dns à ce stade.

Avatar de obailly

obailly

Membre depuis le 24/01/2023

ah le dns. toujours lui. bien vu la persistence. content que ça soit réglé !

Avatar de richard13

richard13

Membre depuis le 28/11/2024

clairement ! thx pour le coup de main

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire