Vault Agent injection qui foire sur Kubernetes

Question

Salut la tech team j'ai un souci avec vault agent injector sur notre cluster k8s. J'ai un déploiement qui a la bonne annotation pour l'injection mais le sidecar vault-agent est pas créé. Y'a rien dans les logs du pod parent ni du pod injector. C'est comme si l'annotation était ignorée. Des idées où regarder ptete ?
# annotations sur le déploiement
annotations:
  vault.hashicorp.com/agent-inject: "true"
  vault.hashicorp.com/role: "my-app-role"
  vault.hashicorp.com/secret-volume-path: "/vault/secrets"

bernier-denis · Answer

yo. t'as vérifié que le mutating webhook admission control est bien activé sur ton kube-apiserver ? et que le webhook config pour vault est bien présent et pointe vers le bon service vault-agent-injector ? souvent c'est le webhook qui est pas bien registered ou qui a foiré

emmanuelle-humbert · Answer

ouais et check les logs du pod vault-agent-injector lui-même tu dois voir si il reçoit des requêtes d'admission. si y'a rien c'est que le webhook est pas bien branché. regarde aussi si y'a un souci de certificat entre l'apiserver et le webhook

colette-jacquet · Answer

ok je vais checker ça. pour le webhook config j'ai bien un vault-agent-injector-cfg. et les logs de l'injector sont vides je vais voir les certificats

bernier-denis · Answer

le plus simple c'est de redéployer le helm chart de vault agent injector en mode debug et de regarder les événements. des fois le certificat expire ou est mal généré. et t'as bien tes tls certs pour le webhook montés dans le pod injector ?

colette-jacquet · Answer

bien vu ! c'était un certificat qui avait expiré j'avais pas fait gaffe à la rotation. après un redéploiement du chart avec renouvellement du cert ça marche nickel l'injection se fait correctement. thx la team !

Vault Agent injection qui foire sur Kubernetes

Commentaires

Laisser une réponse

Conclusion du cours Terraform

Faciliter le déploiements k8s avec Kustomize

C'est quoi exactement un conteneur ?

Rejoindre la communauté