Надёжное хранение паролей

Хранение паролей сервисов в Vault

По умолчанию в продукте включено скрытие паролей в конфигурационных файлах сервисов с помощью Vault.

При этом пароли в конфигурационных файлах заменяются на конструкцию $(vault://secret_v2/data/deployments/<LCM FQDN>/passwords_yml#libvirt_sasl_password).

Для выключения хранения паролей сервисов в Vault выполните следующие действия:

  1. Откройте веб-интерфейс GitLab.

  2. Откройте файл globals.d/REGION.yml в репозитории региона и определите параметр enable_config_vault для выключения хранения паролей в Vault.

    enable_config_vault: "no"

  3. Создайте новый пайплайн: Build > Pipelines > New pipeline.

  4. Запустите пайплайн, нажав кнопку New pipeline.

  5. Дождитесь завершения задач на этапе setup.

  6. Запустите задачу deploy на этапе deploy и дождитесь её завершения.

Сокрытие паролей в конфигурационных файлах и пайплайнах

Механизм enable_config_vault позволяет скрыть пароли в конфигурационных файлах на узлах региона и в логах пайплайнов. После включения этого механизма пароли в открытом виде не отображаются в конфигурационных файлах сервисов.

Предупреждение

Этот механизм не предназначен для использования в продуктивных средах. Все остальные механизмы сокрытия паролей (Vault, хеширование) должны быть отключены перед включением enable_config_vault.

Для включения сокрытия паролей выполните следующие действия:

  1. Зайдите в веб-интерфейс GitLab.

  2. Перейдите в репозиторий вашего региона project_k / deployments / <имя региона>.

  3. Нажмите Edit и выберите Web IDE.

    Открытие Web IDE в репозитории региона

    Открытие Web IDE в репозитории региона

  4. Откройте файл globals.d/REGION.yml и добавьте параметр:

    enable_config_vault: "yes"
    Добавление параметра enable_config_vault в файл REGION.yml

    Добавление параметра enable_config_vault в файл REGION.yml

  5. Сохраните изменения и выполните коммит в репозиторий.

  6. Перейдите в репозиторий региона и создайте новый пайплайн: Build > Pipelines > New Pipeline.

  7. Запустите пайплайн, нажав кнопку New pipeline.

  8. Дождитесь завершения задач на этапе setup.

  9. Запустите задачу deploy на этапе deploy и дождитесь её завершения.

После завершения пайплайна откройте конфигурационные файлы сервисов на узлах региона. Пароли в открытом виде в них отображаться не должны.