Problème d'intégration Vault avec Kubernetes: tokens pas renouvelés

Posté par chevalier-marcel le 07/06/2025
RÉSOLU
Retour Répondre Créer

Avatar de chevalier-marcel

chevalier-marcel

Membre depuis le 15/07/2024

salut la team

j'ai un truc chelou avec vault et k8s nos pods qui utilisent le sidecar vault-agent pour récupérer des secrets ont des tokens qui expirent après 24h au lieu d'être renouvelés automatiquement. le pod finit par crasher parce qu'il arrive plus à authentifier le sidecar. on a le k8s auth method d'activé et tout mais ça pète. des idées ?

# extrait de config de notre auth method k8s
path "auth/kubernetes/role/my-app" {
  bound_service_account_names = ["my-service-account"]
  bound_service_account_namespaces = ["default"]
  token_ttl = "24h"
  token_max_ttl = "72h"
  policies = ["my-app-policy"]
}

Commentaires

Avatar de manon31

manon31

Membre depuis le 30/04/2024

yo t'as checké les logs du vault-agent dans le sidecar ? souvent il y a des messages explicites sur pourquoi il n'arrive pas à se renouveler. ptete un souci de permissions sur le k8s service account utilisé par le pod pour se bind au rôle vault

Avatar de dominique-delahaye

dominique-delahaye

Membre depuis le 17/07/2024

hmm et le rôle vault en question il a quoi comme policy attachée ? et la policy a bien les permissions de renouvellement sur les tokens générés ? genre sys/leases/renew/:token_accessor pour le token principal et sys/leases/renew/my-app-role-secret- et tout ça

Avatar de chevalier-marcel

chevalier-marcel

Membre depuis le 15/07/2024

les logs du vault-agent disent juste token expired et qu'il n'a pas pu le renouveler. pas plus de détails. la policy attachée au rôle a bien sys/leases/renew sur le path spécifique et aussi sur sys/token/renew-self

Avatar de manon31

manon31

Membre depuis le 30/04/2024

ok alors c'est pas les permissions de renewal du token. est-ce que ton service account k8s (my-service-account) est bien mappé au bon cluster id ou jwt issuer sur la config de ton auth method kubernetes dans vault ? si l'issuer url a changé ou est mal configurée vault peut pas valider le jwt et donc pas renouveler

Avatar de auguste-delorme

auguste-delorme

Membre depuis le 15/12/2024

autre piste est-ce que tes worker nodes ont accès à l'api server k8s sans proxy ni firewall qui bloquerait le trafic vers le ca cert du cluster ? vault-agent doit pouvoir joindre l'api server pour valider les jwt et ça des fois c'est un piège vicieux

Avatar de chevalier-marcel

chevalier-marcel

Membre depuis le 15/07/2024

vous êtes des cracks ! c'était bien le jwt issuer url dans la config de l'auth method kubernetes qui était outdated on avait migré le cluster et j'avais pas mis à jour cette partie. vault pouvait pas valider le jwt du service account donc pas de renouvellement. j'ai corrigé et ça a l'air de tenir maintenant. un grand merci

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire