5 commentaires
yo t'as bien configuré le ttl et max_ttl sur ton rôle RDS dans Vault ? et côté k8s est-ce que ton sidecar a bien les permissions pour écrire le token dans le volume partagé pour le pod principal ? des fois c'est juste un souci de sync entre le sidecar et l'app
ouais les ttl sont là genre 1h/24h. les perms du sidecar ont l'air bonnes on monte un volume emptyDir et il écrit dedans. l'app lit du même volume. je vois rien d'évident. par contre quand je restart le pod ça remarche direct. c'est ça qui est chelou
check les logs du sidecar vault-agent-init et vault-agent à l'intérieur du pod. des fois l'agent arrive pas à se ré-authentifier auprès de Vault pour renouveler le token. ça peut être un souci avec le service account du pod si l'authent K8s est configurée pour expirer ses tokens
ah ok je vais regarder les logs internes du sidecar. j'avais juste checké les logs stdout. thx pour le tips j'vous tiens au jus
c'était bien ça ! le service account du pod expirait et l'agent Vault ne pouvait plus s'authentifier. j'ai ajusté le ttl du service account token via l'api-server pour qu'il soit plus long que le max_ttl de vault. ça tourne depuis 12h sans souci. merci la team !
Laisser une réponse
Vous devez être connecté pour poster un message !
Salut la team ! J'ai un souci avec Vault sur notre cluster K8s. On utilise le sidecar injecteur pour récupérer des creds RDS dynamiques, ça marche nickel au début mais après quelques heures, le pod n'arrive plus à se connecter à la DB. J'ai l'impression que le token n'est pas renouvelé ou que le pod ne le récupère pas bien. Les logs Vault côté serveur sont propres. Côté pod j'ai des erreurs d'authentification à la DB. Une idée de où regarder ?