Vault agent inject k8s secrets mais pods en CrashLoopBackOff

RSS
nicole-dubois 19/09/2024
RÉSOLU
Retour Répondre
Avatar de nicole-dubois
nicole-dubois
Auteur
Avatar de nicole-dubois
nicole-dubois
Auteur

yo la team ! j'ai un truc qui me rend fou. je suis en train de configurer vault agent pour injecter des secrets dans nos pods k8s mais les pods démarrent pas. ils restent en CrashLoopBackOff et les logs disent que les secrets sont pas trouvés ou qu'il y a une erreur de mount. j'ai bien mis les annotations et le service account a les droits. je sèche grave

# annotations exemple sur le pod
annotations:
  agent.vaultproject.io/inject: "true"
  agent.vaultproject.io/template: |
    {{- with secret "kv/data/my-app/config" -}}
    DB_PASSWORD="{{ .Data.data.db_password }}"
    {{- end -}}
19/09/2024 à 05:30

4 commentaires

Avatar de vrenaud
vrenaud
Membre Actif
Avatar de vrenaud
vrenaud
Membre Actif

hello ! verifie ta policy vault pour le role k8s. faut que le service account du pod ait les bons droits pour lire le chemin kv/data/my-app/config. et assure-toi que ton agent sidecar se lance bien avant l'app principale. des fois l'app essaie de lire avant que l'agent ait eu le temps d'écrire

19/09/2024 à 23:57
Avatar de sallain
sallain
Membre
Avatar de sallain
sallain
Membre

ouais et t'as regardé les logs du vault agent lui-même dans le sidecar ? pas juste ceux de l'app. des fois l'agent arrive pas à contacter le serveur vault ou il a des erreurs d'auth. un proxy ou un firewall pourrait bloquer l'accès

20/09/2024 à 21:49
Avatar de frederique-valette
frederique-valette
Membre Actif
Avatar de frederique-valette
frederique-valette
Membre Actif

vérifie aussi la version de vault agent. y'a eu des breaking changes avec des versions de k8s ou de vault. des fois un mismatch et ça casse tout. et ton rôle k8s est bien mappé au service account que le pod utilise ?

21/09/2024 à 21:40
Avatar de nicole-dubois
nicole-dubois
Auteur
Avatar de nicole-dubois
nicole-dubois
Auteur

bon j'ai revérifié tout ça. les policies vault sont bonnes. l'annotation et le service account aussi. les logs du sidecar, après avoir augmenté le niveau de debug, montrent un souci de connexion réseau au serveur vault. on a un proxy http en place et il bloquait les requêtes https de l'agent vers vault. j'ai ajouté l'ip de vault aux exceptions du proxy et bam les secrets sont injectés et les pods démarrent. merci à tous pour les pistes !

22/09/2024 à 19:48

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire