Vault unseal galère en k8s après reboot du cluster

Question

salut les pros j'ai vault sur k8s avec auto-unseal via s3. on a eu un reboot de cluster pour maintenance. maintenant vault reste en sealed. le pod est up mais le statut vault health indique sealed et les init containers de mes apps qui dépendent de vault sont deadlocked.

# statut du pod vault
kubectl get pod -l app.kubernetes.io/name=vault
vault-0   1/1     running   0          30m

# statut vault
kubectl exec -it vault-0 -- vault status
sealed: true

roger15 · Answer

t'as vérifié les logs du pod vault ? des fois l'auto-unseal fail parce que vault n'arrive pas à communiquer avec son backend s3. permissions s3 bucket policy ou ptete network policy k8s qui bloque l'accès externe

chevalier-matthieu · Answer

regarde les événements k8s pour le pod vault et le pvc si t'en utilises. des fois le storage backend est pas dispo direct après un reboot du cluster. et vérifie si le service account de vault a bien les bonnes permissions iam pour s3

madeleine-maury · Answer

vous aviez raison les gars c'était la policy iam du service account de vault qui était trop restrictive. un dev avait mis à jour un truc global et ça avait viré une permission s3. une fois remise tout est reparti nickel auto-unseal a marché direct. merci !

Vault unseal galère en k8s après reboot du cluster

3 commentaires

Laisser une réponse

eBPF : Le Superpouvoir DevOps pour l'Observabilité et la Sécurité

Progressive Delivery : L'Ère des Déploiements Dynamiques et Sûrs

InnerSource : Démultipliez l'Innovation et la Collaboration DevOps

Cyber-Immunity Autonome : Quand l'Infra DevOps s'Auto-Défend

Déployez vos microservices Rust en Unikernels avec NanoVMs

Rejoindre la communauté