vault agent inject ne marche pas avec ma conf k8s

Posté par obailly le 10/07/2024
RÉSOLU
Retour Répondre Créer

Avatar de obailly

obailly

Membre depuis le 24/01/2023

salut la team j'essaie de faire tourner le vault agent injector sur k8s pour injecter des secrets dans mes pods mais ça veut pas il se passe rien dans les logs du pod init. le pod démarre bien le sidecar injecte pas


apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-app
spec:
  template:
    metadata:
      annotations:
        vault.hashicorp.com/agent-inject: "true"
        vault.hashicorp.com/role: "my-app-role"
        vault.hashicorp.com/secret-volume-path: "/vault/secrets"
        vault.hashicorp.com/agent-inject-secret-db-creds: "database/creds/myapp"
    spec:
      containers:
        - name: my-app
          image: my-app:latest

j'ai bien vérifié que le service account a les droits sur vault le role existe les policies sont là vault server est up je vois bien l'injector sidecar qui tourne mais rien il ne modifie pas les pods j'ai loupé un truc ?

Commentaires

Avatar de adrien-gillet

adrien-gillet

Membre depuis le 22/05/2024

hello t'as bien activé le webhook d'admission sur le cluster ? souvent les gens l'oublient le mutate webhook configuration doit être là sinon l'injector voit pas passer tes créations de pods

Avatar de auguste-delorme

auguste-delorme

Membre depuis le 19/04/2019

et ton injector il est dans quel namespace ? les annotations du deployment doivent être dans un ns que l'injector surveille et a le droit de modifier

Avatar de obailly

obailly

Membre depuis le 24/01/2023

oui le webhook est là j'ai vérifié j'ai fait un kubectl get mutatingwebhookconfigurations il est bien listé et il pointe vers le service de l'injector

l'injector est dans le namespace vault et mes apps sont dans le namespace default. j'ai spécifié le bon service account pour l'injector

Avatar de adrien-gillet

adrien-gillet

Membre depuis le 22/05/2024

ok et les logs de l'injector lui-même t'as regardé ? il devrait y avoir des erreurs ou au moins des traces de requêtes d'admission s'il voit quelque chose passer

Avatar de auguste-delorme

auguste-delorme

Membre depuis le 19/04/2019

des fois c'est un problème de certificat du webhook si vault est en tls interne et que k8s truste pas le ca vault. t'as vérifié les logs du kube-apiserver il peut te dire si y a un souci de connexion au webhook

Avatar de adrien-gillet

adrien-gillet

Membre depuis le 22/05/2024

aussi le secret-volume-path que t'as mis il doit correspondre à où le sidecar vault agent s'attend à écrire les secrets. par défaut c'est /vault/secrets mais si tu l'as changé côté agent ça peut déconner. t'as un vault agent configmap injecté aussi ?

Avatar de obailly

obailly

Membre depuis le 24/01/2023

vous êtes des génies ! c'était le certificat du webhook j'avais un problème de trust store sur le kube-apiserver avec le CA de vault. une fois ça fix le sidecar est apparu direct. thx la team !

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire