vault pas moyen d'injecter secrets dans k8s avec agent sidecar

Question

yo la team j'essaie de faire marcher vault avec un sidecar agent dans k8s pour injecter des secrets mais ça veut rien savoir. le pod démarre bien le sidecar aussi mais les fichiers dans /vault/secrets sont vides. j'ai check les logs de l'agent il dit rien de spécial genre "fetching secrets" mais après bah rien

# config simplifiée de l'annotation sur le pod
vault.hashicorp.com/agent-inject: "true"
vault.hashicorp.com/role: "my-app-role"
vault.hashicorp.com/agent-inject-template-db-creds.txt: |
  {{- with secret "kv/data/myapp/db" -}}
  {{ .Data.data.username }}
  {{ .Data.data.password }}
  {{- end -}}

dupre-michel · Answer

salut t'es sûr que le rôle k8s que tu as configuré pour vault a bien les permissions d'accéder au secret kv/data/myapp/db ptete un souci de policy

yves-boulay · Answer

ouais et le service account de ton pod est bien mappé au rôle vault k8s auth method c'est une étape qu'on oublie souvent de lier le k8s sa avec le vault role

hleroy · Answer

ah merde vous avez raison j'avais zappé de vérifier les policies du rôle. j'ai ajouté la permission de lire sur kv/data/myapp/db et maintenant ça marche impeccable. thx les gars

vault pas moyen d'injecter secrets dans k8s avec agent sidecar

3 commentaires

Laisser une réponse

Cours complet d'introduction à la SDL 2

Les bases fondamentales de l'affichage graphique en SDL2

Mettre en place une architecture DRY sur GitLab CI

L'AIOps Révolutionne les Opérations : Vers la Prédictivité et l'Autonomie

Les pratiques SRE sont-elles inadaptées à la complexité moderne ?

Rejoindre la communauté