vault ha en k8s impossible d'unseal les pods
Posté par
christelle-leger
le 09/08/2025
RÉSOLU
Membre depuis le 11/07/2024
slt la commu ! on a monté un cluster vault en ha sur k8s avec consul comme backend de storage. tout est deployé via helm. le souci c qu'après un redémarrage des pods vault (suite à une maj ou un truc du genre), ils restent tous sealed et impossible de les unseal. j'ai mes clés root mais je dois les rentrer manuellement sur chaque pod à chaque fois c relou
# exemple de pod vault status
kubectl exec -it vault-0 -- vault status
Key Value
--- -----
Seal Type shamir
Initialized true
Sealed true
Total Shares 5
Threshold 3
Unseal Progress 0/3
Version 1.11.3
Cluster Name vault-cluster
Cluster ID xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
Commentaires
carnaud
Membre depuis le 03/11/2024
yep le classique vault sealed. t'utilises quoi pour l'auto-unseal ? aws kms gcp ckm azure key vault ? si t'as pas ça c'est normal que tu doives unseal à la main. c'est la feature auto-unseal qu'il te faut
christelle-leger
Membre depuis le 11/07/2024
ah ok je pensais que le helm chart gérait ça par défaut. on est sur aws. on utilise pas kms directement pour l'unseal. faut que je l'active comment ?
alain-laporte
Membre depuis le 25/10/2024
le chart helm a des valeurs pour ça. tu dois configurer le bloc aws.kms avec la bonne région et la key id. et donner les permissions nécessaires au rôle iam de tes pods vault pour accéder à cette clé kms
christelle-leger
Membre depuis le 11/07/2024
d'acc je vois. j'ai regardé le values.yaml du chart. il y a un bloc kms.key_id et kms.region. je vais le décommenter et mettre ma clé. pour les permissions iam j'ai un rôle attaché au service account des pods vault. faut que je vérifie les policy
carnaud
Membre depuis le 03/11/2024
exact. la policy iam doit autoriser vault à utiliser la clé kms pour encrypt et decrypt. vérifie aussi que ton rôle est bien assumé par le service account via l'annotation eks.amazonaws.com/role-arn si tu es sur eks
gabriel-renaud
Membre depuis le 19/07/2024
et gaffe aussi à la latence kms. si t'as des soucis avec tes pods qui démarrent trop vite ou avec des timeouts la clé peut ne pas être dispo tout de suite et ça peut faire ramer l'unseal
christelle-leger
Membre depuis le 11/07/2024
c'était bien ça ! j'avais oublié d'activer les params kms dans le values et les permissions sur la clé étaient pas suffisantes. j'ai update la policy iam et redéployé le chart avec les bonnes valeurs. maintenant les pods s'unseal tout seuls au démarrage c'est nickel. merci à tous pour le coup de main !