Sujet :
Vault et K8s: pas moyen de faire injecter les secrets par le mutating webhook
RÉSOLU
Liste des sujets Répondre Créer un sujet
Membre depuis le 20/06/2024
salut la team
gros souci avec vault dans mon cluster k8s. j'ai installé l'agent injector, les pods se lancent mais les secrets vault sont pas injectés. le sidecar vault-agent il apparait bien mais j'ai des erreurs partout. j'ai mis les annotations qui vont bien sur mon déploiement.
# annotations sur le pod
vault.hashicorp.com/agent-inject: "true"
vault.hashicorp.com/role: "mon-app-role"
vault.hashicorp.com/secret-volume-path: "/vault/secrets"
vault.hashicorp.com/agent-inject-template-configmap-name: "mon-template"
une idée de ce qui cloche j'ai l'impression d'avoir tout checké
Répondre
vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
paulette-simon
Membre depuis le 21/07/2024
yo. déjà vérifie bien que ton role "mon-app-role" existe dans vault et qu'il a les bonnes policies. ensuite regarde les logs du mutating webhook controller si il a pas de souci pour intercepter ton pod ou si il y a une erreur de validation
christophe-blanchet
Membre depuis le 16/09/2024
ouais et un truc bête mais souvent oublié le service account de ton pod k8s il a bien les permissions nécessaires pour authentifier l'agent vault auprès de vault ? genre l'annotation vault.hashicorp.com/serviceaccount.name si tu utilises pas le default SA
franck20
Membre depuis le 20/06/2024
c'était bien un souci de policy sur le role en fait. j'avais mis un chemin "/secret/data/..." au lieu de "/kv/data/..." et vault refusait d'injecter. un grand thx pour l'aide les gars ça fonctionne nickel maintenant