Sujet :
vault agent inject ne marche plus après update k8s
RÉSOLU
Liste des sujets Répondre Créer un sujet
Membre depuis le 08/07/2024
Salut la team
on vient d'upgrader notre cluster K8s de 1.25 à 1.27 et depuis l'injection du vault agent ne marche plus du tout. les pods démarrent mais y'a pas le sidecar qui se lance. dans les logs du controller d'admission vault j'ai rien de flagrant juste des timeout
# exemple de config de pod
apiVersion: v1
kind: Pod
metadata:
name: myapp
annotations:
vault.hashicorp.com/agent-inject: "true"
vault.hashicorp.com/role: "myapp-role"
spec:
containers:
- name: myapp
image: myapp:latest
une idée de ce qui peut merdouiller ?
Répondre
vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
ppotier
Membre depuis le 21/07/2024
yo check les
webhook configurationsdans k8s. souvent après un upgrade si t'as des webhooks custom (comme vault agent inject) faut ptete les recréer ou vérifier que leurs certificats sont tjrs valides. des fois le Kube-APIserver rejette les webhooks avec des certs périméslamy-nath
Membre depuis le 27/05/2024
ouais et même plus simple t'as regardé les
MutatingWebhookConfigurationetValidatingWebhookConfigurationaveckubectl get mutatingwebhookconfigurations vault-agent-injector -o yaml? regarde si lefailurePolicyest bien surFailpour voir les erreurs direct si ça échouemargaret68
Membre depuis le 23/01/2025
aussi une piste : t'as checké les
rbac? les permissions du service account du vault injector ont ptete changé avec la nouvelle version de k8s ou l'upgrade a écrasé un rôle. sans les bonnes perms il peut pas injecter le sidecarfournier-philippe
Membre depuis le 08/07/2024
merci pour les pistes ! c'était bien un souci de rbac en fait. l'upgrade de k8s a viré un clusterrolebinding pour le service account du vault injector. j'ai remis ça propre et bim ça injecte de nouveau. merci les gars !