Vault unseal prend 3 plombes après redémarrage

Question

yo la team vault j'ai un souci nos instances vault prennent une éternité à faire leur unseal après un redémarrage c'est insupportable en prod on parle de 5-10 minutes à chaque fois j'ai l'impression qu'il galère avec le stockage backend ou quoi mais les logs sont pas super clairs
# exemple de config vault server
storage "consul" {
  address = "127.0.0.1:8500"
  path    = "vault/"
}

listener "tcp" {
  address     = "0.0.0.0:8200"
  tls_disable = "true"
}

seal "awskms" {
  region     = "eu-west-3"
  kms_key_id = "arn:aws:kms:eu-west-3:123456789012:key/..."
}

rene-courtois · Answer

salut avec un KMS auto-unseal normalement ça devrait être rapide le souci c ptete ton storage backend le consul derrière il est sur ssd ou c de l'ebs lent

blanc-sabine · Answer

c'est clair le storage c'est critique pour vault surtout au démarrage et l'unseal. t'as check la latence i/o sur le serveur consul pendant l'unseal

ines68 · Answer

le consul il tourne sur du gp2 standard sur aws c'est pas dingue mais pas non plus atroce. je pensais que kms gérait juste la clé maitre et que le reste c'était rapide

rene-courtois · Answer

kms gère le déchiffrement de la master key mais vault doit quand même charger tous les secrets du storage backend quand il démarre et il les déchiffre ça prend du temps. si ton consul est lent ou sature ça va ramer

vbernier · Answer

t'as combien de secrets stockés dans vault et combien de shards pour la master key ? plus t'as de shards plus l'unseal est complexe même avec auto-unseal

blanc-sabine · Answer

aussi check les métriques cpu/ram du serveur vault pendant l'unseal des fois c'est juste vault lui-même qui travaille beaucoup à tout charger et déchiffrer

ines68 · Answer

on a genre des centaines de milliers de secrets et 5 shards 3 threshold. le cpu monte à 80% pendant l'unseal c'est vrai. j'avais pas pensé aux shards qui impactent même l'auto-unseal

rene-courtois · Answer

5 shards c'est beaucoup pour de l'auto-unseal si t'as pas besoin de ce niveau de sécurité pousse pour 1 shard pour le master key. ça devrait accélérer de ouf le processus

vbernier · Answer

c'est ça moins de shards moins de travail crypto au démarrage. et si ton consul est sur ebs gp2 booste le iops ou passe sur io1 ou io2. gp2 c'est pas fait pour du traffic très soutenu et constant comme un backend vault

ines68 · Answer

ok je vais voir avec la sécu pour réduire les shards si possible et je vais benchmarker le consul. merci pour les infos c'est beaucoup plus clair

Vault unseal prend 3 plombes après redémarrage

10 commentaires

Laisser une réponse

Lire et écrire dans un fichier dans le langage de programmation Go

Documentation technique sur la mise en place d'un serveur IPBX Issabel

Installation et manipulation d'un cluster Kubernetes avec Minikube

Introduction au cours Gitlab

L'Ère du DevOps par Intentions : Quand l'IA Réinvente l'Opération

Rejoindre la communauté