Vault pas d'auto-unseal en kubernetes apres un redemarrage violent

hello ! vérifie les permissions du service account k8s que vault utilise pour gcp kms. des fois après un redémarrage ou une maj de config le token du sa change ou les policies sont pas réappliquées correctement. regarde si vault a bien le droit de decrypt via kms

j'ai vérifié le service account et le rôle iam associé il a bien le kms.decrypt. je peux même faire un gcloud kms decrypt en ligne de commande depuis le pod vault avec le token du sa ça marche.

hmm bizarre si les permissions sont ok. t'as vérifié que la config vault utilise bien le bon key ring et key name kms ? une typo dans la config ou un env var écrasé ça arrive. le configmap vault a été recréé ptete

la config est la bonne j'ai rechecké le configmap et le déploiement. keyring et keyname sont corrects. pas d'écrasement apparent.

est-ce que ton vault storage backend est en bonne santé ? si le backend type consul ou etcd est corrompu ou a perdu des données suite au reboot même si kms est ok vault peut pas récupérer les clés master fragmentées pour faire l'unseal

ah ouais le backend ! on est sur consul. je vais checker les logs de consul et son état de santé. le consul server a aussi redémarré pendant la panne. ptete un souci de quorum

ouais si consul est pas ok vault va pas pouvoir lire ses données d'unseal. vérifie si tous les consul servers sont up et ont retrouvé leur quorum. si un seul pod consul est en mode stand-alone il peut pas servir vault

vous aviez raison ! un de nos trois consul servers était bloqué sur "waiting for leader". j'ai forcé son redémarrage il a rejoint le quorum et vault s'est auto-unsealed direct. merci beaucoup ! putain j'ai perdu 2h là-dessus