vault agent injection pas dispo dans mon namespace k8s

Posté par lramos le 12/06/2024
RÉSOLU
Retour Répondre Créer

Avatar de lramos

lramos

Membre depuis le 16/11/2022

Salut la tech team j'essaye de faire injecter des secrets via vault agent dans un pod k8s mais le sidecar apparait pas. j'ai activé l'admission controller pour le ns et mis les annotations qu'il faut sur mon déploiement.

apiversion: apps/v1
kind: deployment
metadata:
  name: my-app
  namespace: dev-secrets
  annotations:
    vault.hashicorp.com/agent-inject: "true"
    vault.hashicorp.com/role: "my-app-role"
    vault.hashicorp.com/secret-volume-path: "/vault/secrets"
    vault.hashicorp.com/agent-inject-template-db-creds.ctmpl: |
      {{- with secret "kv/data/db/creds" -}}
      user="{{ .data.data.username }}"
      password="{{ .data.data.password }}"
      {{- end -}}
spec:
  # ...

quand je décris le pod y a rien sur le sidecar. le logs du webhook disent rien de spécial non plus. des pistes ?

Commentaires

Avatar de paul-duval

paul-duval

Membre depuis le 28/07/2019

yo check si ton serviceaccount a bien les permissions pour parler à vault avec le jwt. et aussi le role que t'as mis `my-app-role` faut qu'il existe et qu'il soit bien mappé avec une policy qui donne accès au chemin kv/data/db/creds

Avatar de julien61

julien61

Membre depuis le 23/05/2019

ouais et des fois c'est tout bête mais le certificat du webhook de vault qui est pas à jour ou pas confiance par le kube-apiserver. t'as redémarré le webhook ou vérifié ses logs après maj ?

Avatar de lramos

lramos

Membre depuis le 16/11/2022

le serviceaccount a un role binding et une policy d'accès j'ai revérifié. et le role existe bien. pour les certs j'ai pas touché au déploiement de vault depuis l'install et ça marchait avant sur d'autres ns.

Avatar de paul-duval

paul-duval

Membre depuis le 28/07/2019

hmm as-tu des network policies qui bloquent le trafic vers le webhook ou vers vault même ? j'ai déjà eu ça, une rule trop restrictive qui bloquait l'init container ou l'injection.

Avatar de ogomez

ogomez

Membre depuis le 24/05/2024

vérifie le statut du pod webhook lui-même. des fois il est en crashloop ou pending à cause d'un manque de ressources ou d'une mauvaise config. si l'api server peut pas l'appeler pour valider la requête de création de pod bah rien ne se passe.

Avatar de lramos

lramos

Membre depuis le 16/11/2022

ok je vais checker les network policies et le pod du webhook. bonne idée pour le statut, je l'ai pas regardé de près. thx les gars je vous redis

Avatar de lramos

lramos

Membre depuis le 16/11/2022

BINGO ! c'était une network policy trop agressive sur le ns. j'ai ouvert les ports nécessaires vers le webhook et l'injection fonctionne nickel. merci beaucoup !

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire