4 commentaires
c un volume monté en effet. un fichier dans le pod qui contient le token. je pensais que k8s était assez rapide pour ça
non ya un délai par défaut de genre 60 secondes pour les mises à jour des secrets montés en volume. si tes apps lisent le fichier au démarrage et qu'elles restent en vie longtemps, elles n'auront jamais le nouveau token tant qu'elles redémarrent pas. la solution c'est soit de forcer un redémarrage après rotation ou d'implémenter un mécanisme de relecture du fichier dans l'app
ah ok je comprends mieux. j'avais pas pensé à ce délai. du coup on va implémenter un watcher de fichier dans l'app pour reload le token à chaud. merci pour la piste c'était ça le problème !
Laisser une réponse
Vous devez être connecté pour poster un message !
salut la compagnie
on a une infra où nos apps (des pods k8s) utilisent des tokens vault pour se connecter et récupérer des secrets. j'ai mis en place une rotation automatique des tokens via une job k8s qui renouvelle le token parent et envoie le nouveau token dans un secret k8s que les pods utilisent au démarrage
le truc c'est qu'après la rotation quelques apps se plaignent de pas pouvoir se connecter à vault. j'ai des erreurs genre
ou . mais les autres apps qui utilisent le meme process marchent très bien. et si je redémarre le pod qui merde ça remarchej'ai check les logs vault pas grand chose d'utile à part les erreurs de token invalide. une idée de pourquoi certains pods auraient l'ancien token meme après mise à jour du secret k8s ?