vault pas de lease renouvelé pour mes secrets k8s
Posté par
josephine86
le 28/12/2024
RÉSOLU
Membre depuis le 07/05/2024
salut la tech ! j'ai un souci avec vault et k8s. j'utilise l'agent vault sidecar pour injecter des secrets mais après un certain temps genre 24h mes pods perdent l'accès aux secrets vault. le logs de l'agent disent que le lease n'est pas renouvelé. mes pods sont liés à un serviceaccount et ont un rôle qui va bien. des idées sur quoi checker ?
# Logs exemple du sidecar
vault agent | 2023-10-27T10:30:05.123Z [ERROR] core: lease renewal failed: error="token lease is not renewable"
vault agent | 2023-10-27T10:30:05.123Z [ERROR] core: lease renewal failed: error="failed to renew token"
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
Commentaires
lenoir-astrid
Membre depuis le 20/06/2024
yo. le token utilisé par l'agent est ptete un one-shot ou sa ttl max est trop courte non ? vérifie la politique associée au rôle k8s qui délivre le token. regarde le max_ttl et les periodes
zlambert
Membre depuis le 12/05/2024
ouais et assure-toi que le token a bien la capacité de renouveler. des fois la policy n'a pas la permission pour sys/renew ou sys/revoke sur son propre token
josephine86
Membre depuis le 07/05/2024
ok je regarde les policies. mon rôle k8s a un ttl de 24h et un max_ttl de 72h. la policy est simple elle donne read sur le path secret. je vois pas de mention pour sys/renew
lenoir-astrid
Membre depuis le 20/06/2024
c'est ça ton problème. la permission pour sys/renew ou sys/revoke est implicite pour les tokens self-renewables mais si t'as une config spécifique ou un token root délivré sans ces capabilitees il faut les ajouter. c'est surtout si ton token est pas self-renewing de base
zlambert
Membre depuis le 12/05/2024
et aussi un truc con mais vérifie l'horloge système de ton pod et de ton serveur vault. un skew temporel peut foutre un bordel pas possible avec les leases
josephine86
Membre depuis le 07/05/2024
bingo pour la policy ! j'ai ajouté la capability sys/renew-self sur le path sys/leases/renew pour le role k8s et hop les tokens se renouvellent sans souci. thx les gars