Vault: rotation de clés Kubernetes qui galère

Posté par william40 le 16/12/2025
RÉSOLU
Retour Répondre Créer

Avatar de william40

william40

Membre depuis le 14/02/2020

actif

salut la team

on a mis en place vault avec le backend kubernetes pour la gestion des secrets. le truc c'est que la rotation des service account tokens generés par vault est super erratique. des fois ça tourne bien des fois non et on a des applis qui se retrouvent bloquées parce que le token a expiré et pas été renouvelé. logs vault disent rien de spécial juste lease expired. vous avez déjà vu ça ?

# exemple de notre role vault
path "kubernetes/roles/my-app" {
  bound_service_account_names = ["my-service-account"]
  bound_service_account_namespaces = ["default"]
  ttl = "1h"
  max_ttl = "2h"
}

Commentaires

Avatar de marguerite15

marguerite15

Membre depuis le 21/06/2019

actif secouriste

yo check les logs kubernetes controller manager. des fois c'est la connexion entre vault et k8s qui flanche ou le sa de vault a pas les bonnes permissions pour patcher les secrets

Avatar de guy-bonneau

guy-bonneau

Membre depuis le 17/02/2020

actif

ouais et assure-toi que ton bound_service_account_names est bien le bon. si tu fais des rollouts de déploiement des fois le nom change un peu avec les hash et ça peut casser la rotation

Avatar de emile16

emile16

Membre depuis le 28/06/2019

actif

verifie aussi si tu as des contraintes réseau style network policies qui bloquent le trafic entre le pod vault et l'api k8s pour les opérations de rotation. ca m'est arrivé c'etait une politique trop restrictive

Avatar de william40

william40

Membre depuis le 14/02/2020

actif

ok je vais checker tout ça. les network policies j'y avais pas pensé bonne piste. thx les gars je vous tiens au jus

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire