Vault sur K8S j'arrive pas à lire les secrets depuis un pod

Question

yo la team j'ai un souci avec vault on a setup vault sur k8s avec l'agent injector mais mes pods arrivent pas à lire les secrets j'ai un permission denied même après avoir bien attaché le service account au rôle vault ptete un truc que j'ai loupé dans la config rbac ou policy
# policy vault simplifiée
path "kv/data/myapp/*" {
  capabilities = ["read"]
}

mlucas · Answer

hello t'as bien vérifié que le service account du pod est annoté correctement pour l'injection du vault agent et que la policy attachée au rôle vault est bien la bonne par rapport au chemin du secret

wklein · Answer

et aussi regarde les logs du sidecar vault agent dans le pod des fois il y a des messages plus précis sur la raison du denied genre token expiré ou pas valide

sophie34 · Answer

ok je regarde les logs du sidecar et effectivement j'ai un client token not authorized. c'est bizarre pourtant le role est bien bindé au service account. je vais recheck la config auth method kubernetes sur vault

rjoseph · Answer

un classique ça. souvent c le jwt_reviewer_kubernetes_host qui est mal configuré ou le ca_cert. ou alors le ttl de ton token est trop court. regarde les claims du token jwt que vault reçoit

sophie34 · Answer

bingo c'était bien le jwt_reviewer_kubernetes_host dans la config auth method. on l'avait mis en ip locale au lieu de l'url du cluster k8s quand vault est en dehors du cluster. du coup le token était pas validé. corrigé et ça roule nickel now thx la team

Vault sur K8S j'arrive pas à lire les secrets depuis un pod

5 commentaires

Laisser une réponse

Les fonctions dans le langage de programmation Go

Les Maps dans le langage de programmation Go

Conclusion du cours complet sur la technologie Docker

Configurer votre environnement Ansible

sched_ext : Réécrire l'Ordonnanceur Linux via eBPF

Rejoindre la communauté