6 commentaires
yo. le token utilisé par l'agent est ptete un one-shot ou sa ttl max est trop courte non ? vérifie la politique associée au rôle k8s qui délivre le token. regarde le max_ttl et les periodes
ok je regarde les policies. mon rôle k8s a un ttl de 24h et un max_ttl de 72h. la policy est simple elle donne read sur le path secret. je vois pas de mention pour sys/renew
c'est ça ton problème. la permission pour sys/renew ou sys/revoke est implicite pour les tokens self-renewables mais si t'as une config spécifique ou un token root délivré sans ces capabilitees il faut les ajouter. c'est surtout si ton token est pas self-renewing de base
bingo pour la policy ! j'ai ajouté la capability sys/renew-self sur le path sys/leases/renew pour le role k8s et hop les tokens se renouvellent sans souci. thx les gars
Laisser une réponse
Vous devez être connecté pour poster un message !
salut la tech ! j'ai un souci avec vault et k8s. j'utilise l'agent vault sidecar pour injecter des secrets mais après un certain temps genre 24h mes pods perdent l'accès aux secrets vault. le logs de l'agent disent que le lease n'est pas renouvelé. mes pods sont liés à un serviceaccount et ont un rôle qui va bien. des idées sur quoi checker ?