vault ha standby nodes pas synchro

Question

salut
on a une infra Vault en HA avec Consul comme backend
le leader est ok il tourne bien mais les standby nodes ont l'air de rien faire du tout
quand je fais un vault status sur un standby il me dit "sealed" et "replication not active"
j'arrive pas à comprendre pourquoi ils ne suivent pas le leader
le leader est bien initialisé et unsealed

# sur un standby
vault status
key                      value
---                      -----
seal type                shamir
sealed                   true
total shares             3
threshold                2
unseal progress          0/2
unseal nonce             n/a
version                  1.10.3
storage type             consul
ha enabled               true
ha cluster               n/a
ha mode                  standby
active node address      n/a

ufrancois · Answer

hmm "Sealed true" sur un standby c'est pas normal après un startup si le leader est unsealed
t'as bien configuré l'auto-unseal ou tu fais l'unseal manuel
si c'est manuel il faut unseal les standby aussi après chaque redémarrage ou si ils sont sealed

gphilippe · Answer

ah non on n'a pas d'auto-unseal c'est manuel
mais j'avais compris que seul le leader avait besoin d'être unsealed les standbys suivaient automatiquement

jeannine-guyon · Answer

non pas du tout
chaque noeud Vault doit être unsealed indépendamment pour qu'il puisse déchiffrer ses propres données et participer au cluster
le fait qu'il soit "standby" ça veut dire qu'il peut prendre le relais s'il est unsealed
il faut faire un vault operator unseal sur chaque standby avec les clés

henriette-moulin · Answer

oui exactement et vérifie tes logs Vault sur les standbys après l'unseal
tu devrais voir des messages indiquant qu'ils rejoignent le cluster et qu'ils sont prêts à répliquer
aussi check la connectivité entre tous les noeuds Vault et Consul
les ports 8200 (Vault) et 8300-8302 (Consul) doivent être ouverts

gphilippe · Answer

ok je tente l'unseal manuel sur les standbys
j'ai fait l'unseal sur les deux standbys
maintenant le status dit "sealed false" mais toujours "replication not active" et "Active Node Address n/a"
les logs disent "core: vault is in standby mode" et rien de plus inquiétant

ufrancois · Answer

étrange
ça pourrait être un problème de configuration de l'adresse du leader ou des noeuds dans la config Vault
t'as bien mis l'adresse api_addr et cluster_addr qui sont accessibles par tous les noeuds
genre pas localhost ou une IP interne qui serait pas routable depuis les autres

jeannine-guyon · Answer

vérifie le retry_join ou leader_api_addr si tu utilises pas consul pour la découverte
et assure-toi que l'horloge des serveurs est synchronisée
des fois un petit décalage peut faire des misères surtout avec les systèmes distribués

henriette-moulin · Answer

un truc con aussi : la version de Vault
si t'as un mix de versions mineures ça peut créer des soucis de communication HA
tous les noeuds devraient être sur la même version

gphilippe · Answer

putain c'était l'horloge
un des serveurs standbys avait un décalage de 3 minutes avec le leader et l'autre
j'ai resynchronisé avec NTP et BAM ils sont passés en "replication active"
merci pour le coup de main je suis un boulet

vault ha standby nodes pas synchro

Commentaires

Laisser une réponse

NetworkPolicy (Firewall interne des pods kubernetes)

Comprendre et manipuler le scheduler Kubernetes

Améliorer la productivité du modèle DevOps (DORA)

Rejoindre la communauté