Sujet :
Vault : Problème de rotation de clés auto sur k8s
RÉSOLU
Liste des sujets Répondre Créer un sujet
Membre depuis le 19/02/2025
Salut la team on a déployé vault agent sur k8s pour gérer les secrets des pods mais on a un souci avec la rotation automatique des tokens/secrets. les pods reçoivent bien les creds au démarrage mais ensuite ça tourne pas et les logs de vault agent dans les containers montrent rien d'anormal
# exemple de config vault agent injector sur le pod
annotations:
vault.hashicorp.com/agent-inject: "true"
vault.hashicorp.com/role: "my-app-role"
vault.hashicorp.com/agent-inject-template-db-creds.txt: |
{{- with secret "database/creds/my-app" -}}
username="{{ .Data.username }}"
password="{{ .Data.password }}"
{{- end -}}
Répondre
vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
jules-gregoire
Membre depuis le 05/06/2024
yo t'as vérifié les permissions de ton app role ? souvent c un problème de politique vault qui n'autorise pas la lecture sur le chemin des secrets ou la capacité à renouveler un token. regarde les logs d'audit vault si t'en as
gabriel-etienne
Membre depuis le 20/02/2025
un autre truc à checker c'est l'annotation
vault.hashicorp.com/agent-inject-auto-auth: "true"si t'utilises auto-auth et aussivault.hashicorp.com/renew-intervalpour forcer un intervalle de renouvellement sinon ça se base sur la durée de vie du tokenchristophe-deschamps
Membre depuis le 25/10/2024
et le cpu/mémoire de tes pods vault agent ? si le sidecar est OOMKilled ou throttled il peut pas faire son taf. aussi la connectivité entre le pod et le serveur vault est stable ? un souci réseau temporaire peut perturber la rotation
camille07
Membre depuis le 19/02/2025
c'était bien la politique vault qui était trop restrictive mon
app-rolen'avait pas les droitsreadetupdatesur le cheminauth/token/renew-self. j'ai ajusté et maintenant ça tourne impec merci les gars !