Vault : Problème de rotation de clés auto sur k8s

Question

Salut la team on a déployé vault agent sur k8s pour gérer les secrets des pods mais on a un souci avec la rotation automatique des tokens/secrets. les pods reçoivent bien les creds au démarrage mais ensuite ça tourne pas et les logs de vault agent dans les containers montrent rien d'anormal
# exemple de config vault agent injector sur le pod
annotations:
  vault.hashicorp.com/agent-inject: "true"
  vault.hashicorp.com/role: "my-app-role"
  vault.hashicorp.com/agent-inject-template-db-creds.txt: |
    {{- with secret "database/creds/my-app" -}}
    username="{{ .Data.username }}"
    password="{{ .Data.password }}"
    {{- end -}}

jules-gregoire · Answer

yo t'as vérifié les permissions de ton app role ? souvent c un problème de politique vault qui n'autorise pas la lecture sur le chemin des secrets ou la capacité à renouveler un token. regarde les logs d'audit vault si t'en as

gabriel-etienne · Answer

un autre truc à checker c'est l'annotation vault.hashicorp.com/agent-inject-auto-auth: "true" si t'utilises auto-auth et aussi vault.hashicorp.com/renew-interval pour forcer un intervalle de renouvellement sinon ça se base sur la durée de vie du token

christophe-deschamps · Answer

et le cpu/mémoire de tes pods vault agent ? si le sidecar est OOMKilled ou throttled il peut pas faire son taf. aussi la connectivité entre le pod et le serveur vault est stable ? un souci réseau temporaire peut perturber la rotation

camille07 · Answer

c'était bien la politique vault qui était trop restrictive mon app-role n'avait pas les droits read et update sur le chemin auth/token/renew-self. j'ai ajusté et maintenant ça tourne impec merci les gars !

Vault : Problème de rotation de clés auto sur k8s

Commentaires

Laisser une réponse

Fonctionnement et manipulation des volumes dans Docker

Le Futur Immersif du DevOps : Visualisation 3D & Interactions Spatiales

Comment se préparer à la certification AWS Solution Architecte Associate + Cheat Sheet

Rejoindre la communauté