В целях безопасности в Визионе организовано безопасное хранение секретов (паролей, токенов и т. п.) в защищённом виде. Данная информация хранится в Ansible Vault и считывается в момент старта компонента vision-core. Расположение файла хранилища — /opt/skala-r/vision/.secrets_vault.
Для оперирования содержимым хранилища требуется ключ, выдаваемый разработчиком Визиона.
Работа с хранилищем секретов#
Для работы с хранилищем секретов используйте команды утилиты ansible-vault .
-
Просмотр содержимого хранилища:
ansible-vault view /opt/skala-r/vision/.secrets_vault -
Редактирование содержимого хранилища:
ansible-vault edit /opt/skala-r/vision/.secrets_vault
В обоих случаях потребуется ввести пароль от хранилища.
Описание хранимых секретов#
В хранилище Ansible Vault хранятся следующие секреты:
-
vault.alertcollector.basic_auth_passwordПароль BasicAuth для подключения к AlertCollector.
-
vault.alertmanager.basic_auth_passwordПароль BasicAuth для подключения к AlertManager.
-
vault.auth.client_secretСекрет, используемый для подключения сервера Визиона к IAM.
-
vault.auth.tech_auth_client_secretСекрет технического клиента Avanpost для использования в синхронизации пользователей в качестве получателей рассылки.
-
vault.auth.tech_auth_passwordПароль технической учётной записи IAM для использования в синхронизации пользователей в качестве получателей рассылки.
-
vault.database.dsnСтрока подключения к служебной БД PostgreSQL в следующем формате:
postgresql://<username>:<password>@<host>:<port>/<database>Здесь:
-
<username>– имя пользователя; -
<password>— пароль пользователя; -
<host>— IP-адрес или доменное имя мастера PostgreSQL; -
<port>— порт для подключения к PostgreSQL. -
<database>— название служебной БД в кластере PostgreSQL.
-
-
vault.general.cookie_secret_keyКлюч, используемый для работы с cookie.
-
vault.grafana.metrics.basic_auth_passwordПароль BasicAuth для получения метрик Grafana.
-
vault.grafana.security.admin_passwordПароль администратора Grafana по умолчанию.
Его можно изменить перед первым запуском Grafana или в настройках профиля.
-
vault.plagent.tokenТокен для подключения к агенту Платформы.
-
vault.smtp_config.smtp_auth_passwordПароль для подключения к SMTP-серверу для отправки сообщений о сработавших правилах оповещений.
-
vault.snmp_notifier.basic_auth_passwordПароль BasicAuth для подключения к SNMP-шлюзу.
-
vault.snmp_notifier.snmp_authentication_passwordПароль аутентификации для подключения к SNMP-шлюзу.
-
vault.snmp_notifier.snmp_private_passwordПароль для защиты подключения к SNMP-шлюзу.
-
vault.victorialogs.basic_auth_passwordПароль BasicAuth для подключения к VictoriaLogs.
-
vault.victoriametrics.basic_auth_passwordПароль BasicAuth для подключения к VictoriaMetrics.
-
vault.vision_backup.basic_auth_passwordПароль BasicAuth для подключения к службе резервного копирования конфигурации Визион.
-
vault.vision_iamsyncer.basic_auth_passwordПароль BasicAuth для подключения к
iamsyncer. -
vault.vision_utilizer.basic_auth_passwordПароль BasicAuth для подключения к
vision_utilizer. -
vault.vlagent_agent.basic_auth_passwordПароль BasicAuth для подключения к агенту логов.
-
vault.vlagent_proxy.basic_auth_passwordПароль BasicAuth для подключения к прокси логов.
-
vault.vmagent_agent.basic_auth_passwordПароль BasicAuth для подключения к агенту метрик.
-
vault.vmagent_proxy.basic_auth_passwordПароль BasicAuth для подключения к прокси метрик.
-
vault.vmalert.basic_auth_passwordПароль BasicAuth для подключения к vmalert.
-
vault.vmalert_external_integration.auth.basic_auth.passwordПароль Basic Auth для внешней интеграции alertmanager.
-
vault.vmalert_external_integration.auth.bearer_token.tokenBearer token для внешней интеграции alertmanager.
-
vault.vmalert_external_integration.auth.oauth2.client_secretСекрет клиента OAuth2 для внешней интеграции alertmanager.
-
vault.vmalert_vl.basic_auth_passwordПароль BasicAuth для подключения к
vmalert_vl.