Vault pas d'auto-unseal en kubernetes apres un redemarrage violent
Posté par
francoise-bonnet
le 22/01/2026
RÉSOLU
Membre depuis le 30/04/2024
Yo la team j'ai un souci avec vault sous k8s. on a eu une coupure de courant et l'infra a redémarré. vault est censé auto-unseal avec gcp kms mais là il reste sealed. j'ai check les logs des pods vault ça dit juste "initialized but sealed". les clés kms sont toujours là je capte pas
# Logs pod Vault
kubectl logs vault-0
...
2023-10-27T10:30:05.123Z [INFO] core: initialized but sealed
...
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
Commentaires
eleonore05
Membre depuis le 03/05/2024
hello ! vérifie les permissions du service account k8s que vault utilise pour gcp kms. des fois après un redémarrage ou une maj de config le token du sa change ou les policies sont pas réappliquées correctement. regarde si vault a bien le droit de decrypt via kms
francoise-bonnet
Membre depuis le 30/04/2024
j'ai vérifié le service account et le rôle iam associé il a bien le kms.decrypt. je peux même faire un gcloud kms decrypt en ligne de commande depuis le pod vault avec le token du sa ça marche.
elise61
Membre depuis le 09/04/2024
hmm bizarre si les permissions sont ok. t'as vérifié que la config vault utilise bien le bon key ring et key name kms ? une typo dans la config ou un env var écrasé ça arrive. le configmap vault a été recréé ptete
francoise-bonnet
Membre depuis le 30/04/2024
la config est la bonne j'ai rechecké le configmap et le déploiement. keyring et keyname sont corrects. pas d'écrasement apparent.
marie-regnier
Membre depuis le 13/12/2024
est-ce que ton vault storage backend est en bonne santé ? si le backend type consul ou etcd est corrompu ou a perdu des données suite au reboot même si kms est ok vault peut pas récupérer les clés master fragmentées pour faire l'unseal
francoise-bonnet
Membre depuis le 30/04/2024
ah ouais le backend ! on est sur consul. je vais checker les logs de consul et son état de santé. le consul server a aussi redémarré pendant la panne. ptete un souci de quorum
elise61
Membre depuis le 09/04/2024
ouais si consul est pas ok vault va pas pouvoir lire ses données d'unseal. vérifie si tous les consul servers sont up et ont retrouvé leur quorum. si un seul pod consul est en mode stand-alone il peut pas servir vault
francoise-bonnet
Membre depuis le 30/04/2024
vous aviez raison ! un de nos trois consul servers était bloqué sur "waiting for leader". j'ai forcé son redémarrage il a rejoint le quorum et vault s'est auto-unsealed direct. merci beaucoup ! putain j'ai perdu 2h là-dessus