vault ha en k8s impossible d'unseal les pods

Question

slt la commu ! on a monté un cluster vault en ha sur k8s avec consul comme backend de storage. tout est deployé via helm. le souci c qu'après un redémarrage des pods vault (suite à une maj ou un truc du genre), ils restent tous sealed et impossible de les unseal. j'ai mes clés root mais je dois les rentrer manuellement sur chaque pod à chaque fois c relou
# exemple de pod vault status
kubectl exec -it vault-0 -- vault status
Key             Value
---             -----
Seal Type       shamir
Initialized     true
Sealed          true
Total Shares    5
Threshold       3
Unseal Progress 0/3
Version         1.11.3
Cluster Name    vault-cluster
Cluster ID      xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

carnaud · Answer

yep le classique vault sealed. t'utilises quoi pour l'auto-unseal ? aws kms gcp ckm azure key vault ? si t'as pas ça c'est normal que tu doives unseal à la main. c'est la feature auto-unseal qu'il te faut

christelle-leger · Answer

ah ok je pensais que le helm chart gérait ça par défaut. on est sur aws. on utilise pas kms directement pour l'unseal. faut que je l'active comment ?

alain-laporte · Answer

le chart helm a des valeurs pour ça. tu dois configurer le bloc aws.kms avec la bonne région et la key id. et donner les permissions nécessaires au rôle iam de tes pods vault pour accéder à cette clé kms

christelle-leger · Answer

d'acc je vois. j'ai regardé le values.yaml du chart. il y a un bloc kms.key_id et kms.region. je vais le décommenter et mettre ma clé. pour les permissions iam j'ai un rôle attaché au service account des pods vault. faut que je vérifie les policy

carnaud · Answer

exact. la policy iam doit autoriser vault à utiliser la clé kms pour encrypt et decrypt. vérifie aussi que ton rôle est bien assumé par le service account via l'annotation eks.amazonaws.com/role-arn si tu es sur eks

gabriel-renaud · Answer

et gaffe aussi à la latence kms. si t'as des soucis avec tes pods qui démarrent trop vite ou avec des timeouts la clé peut ne pas être dispo tout de suite et ça peut faire ramer l'unseal

christelle-leger · Answer

c'était bien ça ! j'avais oublié d'activer les params kms dans le values et les permissions sur la clé étaient pas suffisantes. j'ai update la policy iam et redéployé le chart avec les bonnes valeurs. maintenant les pods s'unseal tout seuls au démarrage c'est nickel. merci à tous pour le coup de main !

vault ha en k8s impossible d'unseal les pods

7 commentaires

Laisser une réponse

TP créer une application de chat dans le langage de programmation Go

Fonctionnement et manipulation des Volumes

Découverte de pipenv

Zero Trust DevOps : L'Ère de la Confiance Zéro en Cloud Natif

AF_XDP : L'Anatomie du Networking Zero-Copy

Rejoindre la communauté