Vault k8s et rotation de secrets pas opti

RSS
franck06 10/11/2025
RÉSOLU
Retour Répondre
Avatar de franck06
franck06
Auteur Actif
Avatar de franck06
franck06
Auteur Actif

salut l'équipe on gère nos secrets avec vault sur k8s via le vault agent injector pour injecter les secrets directement dans les pods mais la rotation c'est un enfer quand un secret tourne faut relancer tout le pod et c'est lent on a genre 50 microservices qui utilisent ça il doit y avoir mieux non

10/11/2025 à 06:10

4 commentaires

Avatar de zblot
zblot
Membre Actif
Avatar de zblot
zblot
Membre Actif

yo au lieu de relancer le pod entier tu peux configurer le vault agent en mode sidecar pour qu'il rende dispo le secret dans un volume c'est plus clean le service peut le recharger sans reboot s'il est designé pour ça

11/11/2025 à 05:56
Avatar de dominique62
dominique62
Membre Actif
Avatar de dominique62
dominique62
Membre Actif

ouais ou sinon regarde l'opérateur external-secrets ça permet de sync des secrets vault vers des secrets k8s natifs et après c'est juste le controller k8s qui gère la maj en direct mais ça dépend de ton niveau de parano sur les secrets k8s

12/11/2025 à 05:19
Avatar de devrard
devrard
Membre
Avatar de devrard
devrard
Membre

faut aussi gérer les probes liveness/readiness de tes apps si elles dépendent du secret la rotation peut les faire échouer temporairement si le service a pas eu le temps de recharger faut ptete mettre des delays ou des retry

13/11/2025 à 04:54
Avatar de franck06
franck06
Auteur Actif
Avatar de franck06
franck06
Auteur Actif

j'aime bien l'idée du sidecar pour les trucs qui peuvent reload à chaud et external-secrets pour les config moins critiques ou y a pas de reload direct à faire merci les gars ça me donne des pistes pour optimiser ça

14/11/2025 à 02:45

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire