Vault Agent Injector qui injecte pas mon sidecar dans K8s

Question

salut la team ! j'ai un souci avec vault agent injector sur k8s. j'ai un déploiement tout neuf, l'injector est bien up et running, les webhooks sont installés, mais quand je déploie un pod avec les annotations vault.hashicorp.com/agent-inject: "true" et tout le tralala, le sidecar vault agent est jamais injecté. j'ai rien dans les logs de l'injector, ni dans les événements du pod. c le silence radio. une idée d'où regarder ?
# Exemple d'annotations sur mon pod
annotations:
  vault.hashicorp.com/agent-inject: "true"
  vault.hashicorp.com/role: "my-app-role"
  vault.hashicorp.com/agent-inject-secret-config: "path/to/my/secret"

paulette-bouvet · Answer

Salut ! Déjà check si ton MutatingWebhookConfiguration pour Vault est bien en place et pointe vers le bon service de l'injector. Parfois c'est juste un souci de cible ou de certificats. Et regarde les logs du Kube-apiserver, des fois il y a des erreurs de webhook qui ne remontent pas ailleurs

xmichel · Answer

ouais le webhook est bien là, et les certs sont ok je pense l'injector est up et tourne sans erreur. j'ai regardé les logs de l'apiserver avec un

kubectl logs -n kube-system -l component=kube-apiserver | grep -i webhook

mais rien qui saute aux yeux pour Vault

paulette-bouvet · Answer

Hmm ok. T'as testé un truc basique ? Un pod simple avec juste l'annotation inject: true, sans rôle ni secrets pour voir si le sidecar apparaît au moins ? Ça permettrait d'isoler si c'est un souci d'injection de base ou de config spécifique au rôle/secret

hugues98 · Answer

Et est-ce que le namespace où tu déploies ton pod est bien labellisé pour l'injection ?

kubectl label namespace my-namespace vault-agent-inject=enabled

C'est une erreur classique. Sans ce label l'injector ignore le namespace

xmichel · Answer

AH MAIS OUI le namespace ! J'avais complètement zappé ça ! Attends je check...

kubectl get namespace my-app-namespace -o yaml

... Non il est pas labellisé ! OMG c'est ça ! Je le labellise et je redeploie

paulette-bouvet · Answer

Ah le grand classique ! Presque sûr que c ça. On est tous passés par là. Dis-nous si ça résout le truc

nicole46 · Answer

Yep ça arrive souvent. La doc de Vault est parfois un peu cryptique sur les pré-requis du namespace. C'est toujours le premier truc à vérifier après la santé de l'injector lui-même

xmichel · Answer

C'EST BIEN CA !! J'ai labellisé le namespace, redéployé mon pod et BOOM, le sidecar est là. Je vois les logs du vault agent qui essaie de s'authentifier. Putain de label de namespace, ça m'a pris la tête toute la journée. Un grand merci les gars !

hugues98 · Answer

Cool ! Content que ce soit résolu. Maintenant tu peux te concentrer sur la partie authentification et récupération des secrets. Bonne continuation

xmichel · Answer

Thx encore ! J'aurais pu chercher longtemps sans ça

Vault Agent Injector qui injecte pas mon sidecar dans K8s

Commentaires

Laisser une réponse

Déployer et gérer vos hôtes docker avec Docker Machine

Gérer et manipuler les ReplicaSets Kubernetes

Les backends et les workspaces

Rejoindre la communauté