Sujet :

Vault : Perte de scellage automatique après redémarrage

RÉSOLU

Liste des sujets Répondre Créer un sujet

Avatar de dominique-delahaye

dominique-delahaye

Membre depuis le 17/07/2024

yo les pros du secops

on a un cluster vault hcl vault avec un backend s3 et kms pour l'auto-unseal mais régulièrement après un redémarrage de la vm vault se retrouve scellé et je dois le désopérer manuellement. ça me rend fou, la config de seal est ok normalement. des idées ?


seal "awskms" {
  region     = "eu-west-1"
  kms_key_id = "arn:aws:kms:eu-west-1:123456789012:key/abcdefgh-ijkl-mnop-qrst-uvwxyzabcdef"
}
storage "s3" {
  bucket     = "vault-storage-bucket"
  region     = "eu-west-1"
  endpoint   = "s3.eu-west-1.amazonaws.com"
}

Avatar de chevalier-marcel

chevalier-marcel

Membre depuis le 15/07/2024

salut

première chose t'as vérifié les permissions iam de l'instance qui host vault ? il faut que le rôle attaché à l'instance ait les droits pour utiliser la clé kms et aussi les droits sur le bucket s3. un vault operator init pour voir les clés root est pas la même chose qu'un auto-unseal derrière

Avatar de juliette90

juliette90

Membre depuis le 23/06/2024

ouais les perms c'est la base. mais aussi check les logs de vault au démarrage y a ptete un indice sur pourquoi il arrive pas à l'unseal. est-ce qu'il y a un souci de connectivité vers kms ou s3 au moment du boot ? des fois un startup script qui attend pas la dispo réseau complète

Avatar de martin-catherine

martin-catherine

Membre depuis le 17/07/2024

yo

j'ai eu un cas similaire où c'était le fichier de config vault qui était mal chargé au redémarrage ou alors un systemd unit qui démarrait vault trop tôt avant que tout l'env aws soit bien prêt. t'as un After=network-online.target ou équivalent dans ton service file

Avatar de dominique-delahaye

dominique-delahaye

Membre depuis le 17/07/2024

bingo ! c'était les logs effectivement un message "could not initialize seal configuration" et ça venait d'un systemd service qui démarrait avant l'init du rôle IAM complet sur l'instance. j'ai mis un ExecStartPre=/usr/bin/timeout 30 /bin/bash -c "while ! curl -s http://169.254.169.254/latest/meta-data/iam/security-credentials/ > /dev/null; do sleep 1; done" et ça marche nickel maintenant

Répondre

vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire