Membre depuis le 22/05/2024
hello t'as bien activé le webhook d'admission sur le cluster ? souvent les gens l'oublient le mutate webhook configuration doit être là sinon l'injector voit pas passer tes créations de pods
Membre depuis le 19/04/2019
et ton injector il est dans quel namespace ? les annotations du deployment doivent être dans un ns que l'injector surveille et a le droit de modifier
Membre depuis le 24/01/2023
oui le webhook est là j'ai vérifié j'ai fait un kubectl get mutatingwebhookconfigurations il est bien listé et il pointe vers le service de l'injector
l'injector est dans le namespace vault et mes apps sont dans le namespace default. j'ai spécifié le bon service account pour l'injector
Membre depuis le 22/05/2024
ok et les logs de l'injector lui-même t'as regardé ? il devrait y avoir des erreurs ou au moins des traces de requêtes d'admission s'il voit quelque chose passer
Membre depuis le 19/04/2019
des fois c'est un problème de certificat du webhook si vault est en tls interne et que k8s truste pas le ca vault. t'as vérifié les logs du kube-apiserver il peut te dire si y a un souci de connexion au webhook
Membre depuis le 22/05/2024
aussi le secret-volume-path que t'as mis il doit correspondre à où le sidecar vault agent s'attend à écrire les secrets. par défaut c'est /vault/secrets mais si tu l'as changé côté agent ça peut déconner. t'as un vault agent configmap injecté aussi ?
Membre depuis le 24/01/2023
vous êtes des génies ! c'était le certificat du webhook j'avais un problème de trust store sur le kube-apiserver avec le CA de vault. une fois ça fix le sidecar est apparu direct. thx la team !
Vous devez être connecté pour poster un message !
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
obailly
Membre depuis le 24/01/2023
salut la team j'essaie de faire tourner le vault agent injector sur k8s pour injecter des secrets dans mes pods mais ça veut pas il se passe rien dans les logs du pod init. le pod démarre bien le sidecar injecte pas
j'ai bien vérifié que le service account a les droits sur vault le role existe les policies sont là vault server est up je vois bien l'injector sidecar qui tourne mais rien il ne modifie pas les pods j'ai loupé un truc ?