Sujet :

Vault HA unseal galère sur K8s

RÉSOLU

Liste des sujets Répondre Créer un sujet

Avatar de laurence85

laurence85

Membre depuis le 15/04/2024

Salut la team j'ai un souci avec notre déploiement Vault HA sur Kubernetes. après un redémarrage complet du cluster (maintenance sur l'infra physique) Vault est up mais il est sealed. j'essaye de l'unseal avec mes clés mais ça bloque. j'ai l'impression qu'il voit pas tous les réplicas ou que le Raft est corrompu

kubectl get pods -n vault
vault-0   1/1     Running
vault-1   1/1     Running
vault-2   1/1     Running

vault status
Key                      Value
---                      -----
Seal Type                shamir
Sealed                   true
Total Shares             5
Threshold                3
Unseal Progress          0/3
Unseal Nonce             n/a
Version                  1.10.3
Storage Type             raft
Cluster Name             vault-cluster
Cluster ID               xxxxx
HA Enabled               true
HA Cluster               n/a
HA Mode                  sealed

Avatar de mchevallier

mchevallier

Membre depuis le 21/07/2024

yo t'as vérifié les logs du pod leader (s'il y en a un de désigné) pour voir si y'a des erreurs de communication Raft ? souvent c'est un souci de connectivité inter-pods ou des pbs de persistance sur le PVC après un redémarrage si le storage n'est pas résilient

Avatar de juliette-david

juliette-david

Membre depuis le 08/12/2024

c'est clair les logs sont ta meilleure amie. regarde aussi si le service DNS de k8s fonctionne bien parce que raft il dépend de ça pour trouver ses peers. un kubectl exec dans un pod vault et un ping vers les autres pods peut aider

Avatar de renee49

renee49

Membre depuis le 21/07/2024

ptete un souci de clock skew entre tes nodes k8s aussi ? raft est super sensible à ça. ou alors t'as pas assez de quorum genre si t'as 3 replicas et qu'un est down même si les pods sont "Running" si le process vault est pas ok ou qu'il peut pas écrire sur son storage tu galères

Avatar de laurence85

laurence85

Membre depuis le 15/04/2024

ok je check les logs et la connectivité. putain c'était bien un souci de dns interne. le service coreDNS avait eu un pépin et certains endpoints étaient pas à jour. après un redéploiement de coreDNS et un redémarrage des pods vault ça a redémarré et j'ai pu unseal. thx les gars

Répondre

vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire