Vault K8s - Problème de renouvèlement automatique des tokens RDS
Commentaires
Membre depuis le 19/03/2019
yo t'as bien configuré le ttl et max_ttl sur ton rôle RDS dans Vault ? et côté k8s est-ce que ton sidecar a bien les permissions pour écrire le token dans le volume partagé pour le pod principal ? des fois c'est juste un souci de sync entre le sidecar et l'app
Membre depuis le 03/03/2019
ouais les ttl sont là genre 1h/24h. les perms du sidecar ont l'air bonnes on monte un volume emptyDir et il écrit dedans. l'app lit du même volume. je vois rien d'évident. par contre quand je restart le pod ça remarche direct. c'est ça qui est chelou
Membre depuis le 15/06/2024
check les logs du sidecar vault-agent-init et vault-agent à l'intérieur du pod. des fois l'agent arrive pas à se ré-authentifier auprès de Vault pour renouveler le token. ça peut être un souci avec le service account du pod si l'authent K8s est configurée pour expirer ses tokens
Membre depuis le 03/03/2019
ah ok je vais regarder les logs internes du sidecar. j'avais juste checké les logs stdout. thx pour le tips j'vous tiens au jus
Membre depuis le 03/03/2019
c'était bien ça ! le service account du pod expirait et l'agent Vault ne pouvait plus s'authentifier. j'ai ajusté le ttl du service account token via l'api-server pour qu'il soit plus long que le max_ttl de vault. ça tourne depuis 12h sans souci. merci la team !
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
besson-joseph
Membre depuis le 03/03/2019
Salut la team ! J'ai un souci avec Vault sur notre cluster K8s. On utilise le sidecar injecteur pour récupérer des creds RDS dynamiques, ça marche nickel au début mais après quelques heures, le pod n'arrive plus à se connecter à la DB. J'ai l'impression que le token n'est pas renouvelé ou que le pod ne le récupère pas bien. Les logs Vault côté serveur sont propres. Côté pod j'ai des erreurs d'authentification à la DB. Une idée de où regarder ?