Vault sur K8s tokens qui expirent trop vite j'y pige rien

Posté par patrick-hubert le 06/05/2025
RÉSOLU
Retour Répondre Créer

Avatar de patrick-hubert

patrick-hubert

Membre depuis le 09/05/2024

yo la team j'ai un souci avec vault sur k8s mes applications récupèrent bien leurs secrets mais les tokens générés pour les pods expirent genre en 5 minutes. c'est ingérable faut qu'elles re-authentifient tout le temps

# policy vault simplifiée
path "secret/data/myapp/*" {
  capabilities = ["read"]
}

j'ai bien mis un role avec un ttl plus long pour les k8s auth method mais ça change rien

Commentaires

Avatar de xguillaume

xguillaume

Membre depuis le 18/11/2024

salut ! le ttl sur le rôle c'est pour le token initial mais le problème c'est souvent le lease_duration des secrets ou la durée de validité du token k8s lui-même. t'as configuré un max_ttl pour le secrets engine ou sur le mount point de l'auth method ?

Avatar de wbonnin

wbonnin

Membre depuis le 28/07/2024

ouais et n'oublie pas le service account token de ton pod par défaut il expire au bout d'une heure. si vault utilise ce token pour l'auth k8s il est lié à ça. faut que tu montes un projected volume avec un token d'une durée plus longue via le champ serviceAccount.automountServiceAccountToken: false et puis token.expirationSeconds

Avatar de patrick-hubert

patrick-hubert

Membre depuis le 09/05/2024

ha ok donc le ttl du rôle c'est le token vault le service account token c'est celui de k8s. j'ai regardé mon rôle vault et le max_ttl était à 5m aussi c'est ça le souci ptete

Avatar de xguillaume

xguillaume

Membre depuis le 18/11/2024

possible vérifie aussi si le mount point k8s auth n'a pas un max_ttl global qui écrase tout. un vault read auth/kubernetes/config te donnera ça. si c'est le cas tu peux le modifier avec vault write auth/kubernetes/config default_lease_ttl="24h" max_lease_ttl="72h"

Avatar de wbonnin

wbonnin

Membre depuis le 28/07/2024

exact et si tu as des proxys ou load balancers entre tes pods et vault assure-toi qu'ils ne coupent pas les connexions avant l'expiration du token. des fois ça simule un problème de ttl

Avatar de patrick-hubert

patrick-hubert

Membre depuis le 09/05/2024

bingo ! c'était bien le max_ttl sur le rôle de l'auth method k8s qui était trop court je l'ai mis à 24h et ça roule nickel maintenant. le service account token de k8s était déjà bon. merci les gars ça m'a sauvé la journée

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire