Vault: rotation de clés Kubernetes qui galère

Question

salut la team
on a mis en place vault avec le backend kubernetes pour la gestion des secrets. le truc c'est que la rotation des service account tokens generés par vault est super erratique. des fois ça tourne bien des fois non et on a des applis qui se retrouvent bloquées parce que le token a expiré et pas été renouvelé. logs vault disent rien de spécial juste lease expired. vous avez déjà vu ça ?
# exemple de notre role vault
path "kubernetes/roles/my-app" {
  bound_service_account_names = ["my-service-account"]
  bound_service_account_namespaces = ["default"]
  ttl = "1h"
  max_ttl = "2h"
}

marguerite15 · Answer

yo check les logs kubernetes controller manager. des fois c'est la connexion entre vault et k8s qui flanche ou le sa de vault a pas les bonnes permissions pour patcher les secrets

guy-bonneau · Answer

ouais et assure-toi que ton bound_service_account_names est bien le bon. si tu fais des rollouts de déploiement des fois le nom change un peu avec les hash et ça peut casser la rotation

emile16 · Answer

verifie aussi si tu as des contraintes réseau style network policies qui bloquent le trafic entre le pod vault et l'api k8s pour les opérations de rotation. ca m'est arrivé c'etait une politique trop restrictive

william40 · Answer

ok je vais checker tout ça. les network policies j'y avais pas pensé bonne piste. thx les gars je vous tiens au jus

Vault: rotation de clés Kubernetes qui galère

4 commentaires

Laisser une réponse

Les fonctions dans le langage de programmation Go

Les channels dans le langage de programmation Go

Maîtriser les permissions GitLab CI/CD pour la sécurité

L'Ère de l'Observabilité Prédictive : Quand l'IA Anticipe les Pannes et Réinvente la Résilience Opérationnelle

L'IA Redéfinit l'Architecture Logicielle : Vers des Systèmes Auto-Conçus en DevOps

Rejoindre la communauté