Vault pas moyen de renouveler les leases aws trop vite
Commentaires
hello. t'as vérifié la config de ton rôle aws dans vault. y a un paramètre max_ttl qui peut overrider le ttl de ton lease. si ton max_ttl est plus court que ton lease initial ça peut causer des soucis à la tentative de renouvellement
aussi check le clock skew entre ton serveur vault et les serveurs aws. une différence d'horloge de quelques minutes peut faire planter l'authentification et les renouvellements
regarde bien les logs de vault au niveau debug si tu peux augmenter le log_level. ptete tu vas voir des erreurs plus précises liées à l'api aws ou à la connexion sous-jacente. un proxy ou un firewall qui coupe les connexions après un certain temps
et t'as pas des soucis de rate limiting sur l'api aws de ton côté. si vault fait trop d'appels à aws en peu de temps aws peut te jeter et ça bloque les renewals
putain mais oui ! c'était une combinaison de deux trucs. le max_ttl sur le rôle était plus court que le ttl que j'avais en tête et en plus y avait un léger clock skew. j'ai corrigé les deux et les renouvellements passent nickel maintenant. thx la team !
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
alexandria36
Membre depuis le 06/07/2019actif
yo la team j'ai un souci avec vault. on utilise le secrets engine aws pour générer des creds dynamiques pour nos apps. le problème c'est que le renouvellement des leases prend des plombes ou même échoue carrément avant la fin de vie du lease ce qui pète nos services. lease duration configurée à 1h mais des fois ça pète au bout de 30min déjà. les logs vault sont pas super clairs j'ai des timeout.