Vault : Perte de scellage automatique après redémarrage
Commentaires
Membre depuis le 15/07/2024
salut
première chose t'as vérifié les permissions iam de l'instance qui host vault ? il faut que le rôle attaché à l'instance ait les droits pour utiliser la clé kms et aussi les droits sur le bucket s3. un vault operator init pour voir les clés root est pas la même chose qu'un auto-unseal derrière
Membre depuis le 02/04/2019
ouais les perms c'est la base. mais aussi check les logs de vault au démarrage y a ptete un indice sur pourquoi il arrive pas à l'unseal. est-ce qu'il y a un souci de connectivité vers kms ou s3 au moment du boot ? des fois un startup script qui attend pas la dispo réseau complète
Membre depuis le 16/01/2020
yo
j'ai eu un cas similaire où c'était le fichier de config vault qui était mal chargé au redémarrage ou alors un systemd unit qui démarrait vault trop tôt avant que tout l'env aws soit bien prêt. t'as un After=network-online.target ou équivalent dans ton service file
Membre depuis le 22/12/2020
bingo ! c'était les logs effectivement un message "could not initialize seal configuration" et ça venait d'un systemd service qui démarrait avant l'init du rôle IAM complet sur l'instance. j'ai mis un ExecStartPre=/usr/bin/timeout 30 /bin/bash -c "while ! curl -s http://169.254.169.254/latest/meta-data/iam/security-credentials/ > /dev/null; do sleep 1; done" et ça marche nickel maintenant
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
dominique-delahaye
Membre depuis le 22/12/2020
yo les pros du secops
on a un cluster vault hcl vault avec un backend s3 et kms pour l'auto-unseal mais régulièrement après un redémarrage de la vm vault se retrouve scellé et je dois le désopérer manuellement. ça me rend fou, la config de
sealest ok normalement. des idées ?