5 commentaires
hello ! hmm classique. t'es sûr que le CA de Vault est bien trusted par l'agent-injector et par ton cluster K8S ? souvent faut le mettre dans le trust store du kubelet sur chaque node ou carrément dans la configmap du webhook et redémarrer. aussi checke l'heure de tes machines des fois le ntp est décalé et ça fait des erreurs TLS bizarres
ouais et regarde les logs du vault-agent-injector pod. des fois il a des warnings sur les certificats qu'il génère ou sur la communication avec Vault. et la version de Vault et de l'agent-injector sont compatibles ? on a eu des soucis de versions différentes
attends tu parles de x509: certificate signed by unknown authority ? ça peut aussi venir de la chaîne de certificats. si ton CA Vault est signé par un autre CA intermédaire faut bien fournir toute la chaîne à l'agent-injector pas juste le certificat du CA racine de Vault
Laisser une réponse
Vous devez être connecté pour poster un message !
yo la team. on galère à faire fonctionner Vault avec notre cluster K8S on-prem. on utilise le
agent-injectorpour les secrets mais y a des erreurs TLS. genrex509: certificate signed by unknown authoritymême après avoir injecté le ca. c'est ptete un truc de la config duwebhookou les certificats qui sont pas bien montés dans lepod