6 commentaires
salut. hmm ça sent le problème de ttl par défaut ou max. as-tu vérifié les max_ttl et default_lease_ttl de ton mount path ? si ton app demande un renew mais que le lease est déjà expiré ou non renouvelable parce que son max_ttl est trop court bah ça passe pas
vault read sys/mounts/<your-mount-path>/tune
d'acc avec user2. regarde aussi le token ttl que ton app utilise pour se connecter à vault au départ. si c'est un token pas un secret, son propre ttl peut causer des soucis s'il est pas renouvelé en amont. les sdk clients gèrent ça mais faut s'assurer que c'est bien configuré
est-ce que ton vault est sous pression ? ou y'a eu des coupures réseau entre tes applis et vault ? un lease peut être marqué comme non renouvelable si vault le perd de vue ou s'il y a eu un souci de persistance des données. check les logs de vault côté serveur pour voir si y'a des messages d'erreur liés aux leases
ptete aussi la config de ton rôle database. certains rôles ont des TTL spécifiques plus courts que les mounts. regarde la conf de ton rôle db. et assure-toi que ton app envoie bien le client_token correct quand elle tente de renew. parfois elle envoie le token de session et pas celui du secret
Laisser une réponse
Vous devez être connecté pour poster un message !
yo la team, j'ai un truc chelou avec vault. on a migré nos applis pour choper des secrets dynamiques (genre creds db) via vault et depuis quelques jours c'est la misère. les applis se retrouvent sans accès après un certain temps, les logs montrent des erreurs de token expiré ou de secret invalide. pourtant elles appellent bien le endpoint /sys/leases/renew. je pige pas. c'est quoi le deal ? on est sur vault 1.10 standalone pour l'instant.