vault pas moyen d'injecter secrets dans k8s avec agent sidecar

Posté par hleroy le 29/08/2025
RÉSOLU
Retour Répondre Créer

Avatar de hleroy

hleroy

Membre depuis le 02/01/2025

yo la team j'essaie de faire marcher vault avec un sidecar agent dans k8s pour injecter des secrets mais ça veut rien savoir. le pod démarre bien le sidecar aussi mais les fichiers dans /vault/secrets sont vides. j'ai check les logs de l'agent il dit rien de spécial genre "fetching secrets" mais après bah rien


# config simplifiée de l'annotation sur le pod
vault.hashicorp.com/agent-inject: "true"
vault.hashicorp.com/role: "my-app-role"
vault.hashicorp.com/agent-inject-template-db-creds.txt: |
  {{- with secret "kv/data/myapp/db" -}}
  {{ .Data.data.username }}
  {{ .Data.data.password }}
  {{- end -}}

Commentaires

Avatar de dupre-michel

dupre-michel

Membre depuis le 15/06/2024

salut t'es sûr que le rôle k8s que tu as configuré pour vault a bien les permissions d'accéder au secret kv/data/myapp/db ptete un souci de policy

Avatar de yves-boulay

yves-boulay

Membre depuis le 14/07/2020

ouais et le service account de ton pod est bien mappé au rôle vault k8s auth method c'est une étape qu'on oublie souvent de lier le k8s sa avec le vault role

Avatar de hleroy

hleroy

Membre depuis le 02/01/2025

ah merde vous avez raison j'avais zappé de vérifier les policies du rôle. j'ai ajouté la permission de lire sur kv/data/myapp/db et maintenant ça marche impeccable. thx les gars

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire