vault ha en k8s impossible d'unseal les pods

Posté par christelle-leger le 09/08/2025
RÉSOLU
Retour Répondre Créer

Avatar de christelle-leger

christelle-leger

Membre depuis le 15/03/2019

actif rédacteur secouriste

slt la commu ! on a monté un cluster vault en ha sur k8s avec consul comme backend de storage. tout est deployé via helm. le souci c qu'après un redémarrage des pods vault (suite à une maj ou un truc du genre), ils restent tous sealed et impossible de les unseal. j'ai mes clés root mais je dois les rentrer manuellement sur chaque pod à chaque fois c relou

# exemple de pod vault status
kubectl exec -it vault-0 -- vault status
Key             Value
---             -----
Seal Type       shamir
Initialized     true
Sealed          true
Total Shares    5
Threshold       3
Unseal Progress 0/3
Version         1.11.3
Cluster Name    vault-cluster
Cluster ID      xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Commentaires

Avatar de carnaud

carnaud

Membre depuis le 04/04/2019

actif

yep le classique vault sealed. t'utilises quoi pour l'auto-unseal ? aws kms gcp ckm azure key vault ? si t'as pas ça c'est normal que tu doives unseal à la main. c'est la feature auto-unseal qu'il te faut

Avatar de christelle-leger

christelle-leger

Membre depuis le 15/03/2019

actif rédacteur secouriste

ah ok je pensais que le helm chart gérait ça par défaut. on est sur aws. on utilise pas kms directement pour l'unseal. faut que je l'active comment ?

Avatar de alain-laporte

alain-laporte

Membre depuis le 31/03/2019

actif

le chart helm a des valeurs pour ça. tu dois configurer le bloc aws.kms avec la bonne région et la key id. et donner les permissions nécessaires au rôle iam de tes pods vault pour accéder à cette clé kms

Avatar de christelle-leger

christelle-leger

Membre depuis le 15/03/2019

actif rédacteur secouriste

d'acc je vois. j'ai regardé le values.yaml du chart. il y a un bloc kms.key_id et kms.region. je vais le décommenter et mettre ma clé. pour les permissions iam j'ai un rôle attaché au service account des pods vault. faut que je vérifie les policy

Avatar de carnaud

carnaud

Membre depuis le 04/04/2019

actif

exact. la policy iam doit autoriser vault à utiliser la clé kms pour encrypt et decrypt. vérifie aussi que ton rôle est bien assumé par le service account via l'annotation eks.amazonaws.com/role-arn si tu es sur eks

Avatar de gabriel-renaud

gabriel-renaud

Membre depuis le 19/07/2024

actif secouriste

et gaffe aussi à la latence kms. si t'as des soucis avec tes pods qui démarrent trop vite ou avec des timeouts la clé peut ne pas être dispo tout de suite et ça peut faire ramer l'unseal

Avatar de christelle-leger

christelle-leger

Membre depuis le 15/03/2019

actif rédacteur secouriste

c'était bien ça ! j'avais oublié d'activer les params kms dans le values et les permissions sur la clé étaient pas suffisantes. j'ai update la policy iam et redéployé le chart avec les bonnes valeurs. maintenant les pods s'unseal tout seuls au démarrage c'est nickel. merci à tous pour le coup de main !

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire