4 commentaires
salut
première chose t'as vérifié les permissions iam de l'instance qui host vault ? il faut que le rôle attaché à l'instance ait les droits pour utiliser la clé kms et aussi les droits sur le bucket s3. un vault operator init pour voir les clés root est pas la même chose qu'un auto-unseal derrière
ouais les perms c'est la base. mais aussi check les logs de vault au démarrage y a ptete un indice sur pourquoi il arrive pas à l'unseal. est-ce qu'il y a un souci de connectivité vers kms ou s3 au moment du boot ? des fois un startup script qui attend pas la dispo réseau complète
yo
j'ai eu un cas similaire où c'était le fichier de config vault qui était mal chargé au redémarrage ou alors un systemd unit qui démarrait vault trop tôt avant que tout l'env aws soit bien prêt. t'as un After=network-online.target ou équivalent dans ton service file
bingo ! c'était les logs effectivement un message "could not initialize seal configuration" et ça venait d'un systemd service qui démarrait avant l'init du rôle IAM complet sur l'instance. j'ai mis un ExecStartPre=/usr/bin/timeout 30 /bin/bash -c "while ! curl -s http://169.254.169.254/latest/meta-data/iam/security-credentials/ > /dev/null; do sleep 1; done" et ça marche nickel maintenant
Laisser une réponse
Vous devez être connecté pour poster un message !
yo les pros du secops
on a un cluster vault hcl vault avec un backend s3 et kms pour l'auto-unseal mais régulièrement après un redémarrage de la vm vault se retrouve scellé et je dois le désopérer manuellement. ça me rend fou, la config de
sealest ok normalement. des idées ?