Problème de rotation de secrets Vault avec Kubernetes

Question

Salut la team j'ai un souci avec la rotation auto des secrets Vault via le sidecar injector sur k8s. J'ai des pods qui ne rechargent pas les nouveaux creds après rotation du secret dans Vault. J'utilise le rôle k8s auth et tout est censé être auto

# annotations sur le pod
vault.hashicorp.com/agent-inject: "true"
vault.hashicorp.com/role: "my-app-role"
vault.hashicorp.com/agent-inject-template-db-creds.txt: |
  {{- with secret "database/creds/my-app" -}}
  {{ .Data.username }}
  {{ .Data.password }}
  {{- end -}}

gmichel · Answer

yo. t'as vérifié que ton agent sidecar est bien à jour ? des fois avec les vieilles versions y a des bugs de refresh. et check les logs du sidecar dans le pod voir s'il y a pas une erreur de permission ou un truc du genre quand il essaie de relire le secret

stephane07 · Answer

ouais l'agent est à jour 1.7.0. les logs sont clean il dit qu'il a reload le secret mais les apps dans le pod continuent de choper les vieux creds. j'ai un service golang qui lit un fichier on startup et après plus rien

bmoulin · Answer

c'est peut-être ton app qui a un souci. si elle lit le fichier une fois au démarrage elle verra jamais les updates. Vault injecte le secret dans un volume qui est monté et mis à jour, mais si l'app ne re-lit pas le fichier ou ne réagit pas aux changements de l'inotify, elle aura toujours les anciens. faut que ton app ait une logique de reload ou de redémarrage

gmichel · Answer

exactement. y a des lib pour ça ou des frameworks qui gèrent ça direct. sinon le plus simple pour débugger c de exec dans le pod et de faire un cat sur le fichier des secrets pour voir si le contenu change bien coté fs

stephane07 · Answer

ah ok je vois l'idée. mon app golang n'a aucune logique de reload. elle prend le fichier au boot et c'est tout. du coup la seule solution c'est de redémarrer le pod à chaque rotation c'est ça ?

zacharie17 · Answer

pas forcément. tu peux utiliser un reloader controller k8s qui surveille les configmaps ou secrets et redémarre les deployments si ils changent. dans ton cas ça serait la configmap du secret Vault monté. ça t'évite de modifier le code de l'app si c'est pas possible

stephane07 · Answer

un reloader controller bonne idée ça ! je vais regarder ça. ça m'éviterait de toucher au code legacy qui est un peu une boite noire. thx pour le tips

gmichel · Answer

de rien. c'est un pattern courant avec vault et les apps qui ont pas de hot reload

stephane07 · Answer

ok le reloader controller c'est parfait ça fonctionne nickel. les pods redémarrent propre et prennent les nouveaux creds. merci à tous pour l'aide !

Problème de rotation de secrets Vault avec Kubernetes

Commentaires

Laisser une réponse

Cours complet d'introduction à la SDL 2

Veille technologique 2018 Docker et les Microservices

Fonctionnement et manipulation des conteneurs Docker

Rejoindre la communauté