Vault : Problème de rotation de clés auto sur k8s

RSS
camille07 01/06/2025
RÉSOLU
Retour Répondre
Avatar de camille07
camille07
Auteur Actif
Avatar de camille07
camille07
Auteur Actif

Salut la team on a déployé vault agent sur k8s pour gérer les secrets des pods mais on a un souci avec la rotation automatique des tokens/secrets. les pods reçoivent bien les creds au démarrage mais ensuite ça tourne pas et les logs de vault agent dans les containers montrent rien d'anormal

# exemple de config vault agent injector sur le pod
annotations:
  vault.hashicorp.com/agent-inject: "true"
  vault.hashicorp.com/role: "my-app-role"
  vault.hashicorp.com/agent-inject-template-db-creds.txt: |
    {{- with secret "database/creds/my-app" -}}
    username="{{ .Data.username }}"
    password="{{ .Data.password }}"
    {{- end -}}
01/06/2025 à 03:09

4 commentaires

Avatar de jules-gregoire
jules-gregoire
Membre Actif
Avatar de jules-gregoire
jules-gregoire
Membre Actif

yo t'as vérifié les permissions de ton app role ? souvent c un problème de politique vault qui n'autorise pas la lecture sur le chemin des secrets ou la capacité à renouveler un token. regarde les logs d'audit vault si t'en as

02/06/2025 à 02:00
Avatar de gabriel-etienne
gabriel-etienne
Membre Actif
Avatar de gabriel-etienne
gabriel-etienne
Membre Actif

un autre truc à checker c'est l'annotation vault.hashicorp.com/agent-inject-auto-auth: "true" si t'utilises auto-auth et aussi vault.hashicorp.com/renew-interval pour forcer un intervalle de renouvellement sinon ça se base sur la durée de vie du token

03/06/2025 à 01:30
Avatar de christophe-deschamps
christophe-deschamps
Membre
Avatar de christophe-deschamps
christophe-deschamps
Membre

et le cpu/mémoire de tes pods vault agent ? si le sidecar est OOMKilled ou throttled il peut pas faire son taf. aussi la connectivité entre le pod et le serveur vault est stable ? un souci réseau temporaire peut perturber la rotation

04/06/2025 à 00:56
Avatar de camille07
camille07
Auteur Actif
Avatar de camille07
camille07
Auteur Actif

c'était bien la politique vault qui était trop restrictive mon app-role n'avait pas les droits read et update sur le chemin auth/token/renew-self. j'ai ajusté et maintenant ça tourne impec merci les gars !

04/06/2025 à 20:17

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire