Хранение секретов

В целях безопасности в Визионе организовано безопасное хранение секретов (паролей, токенов и т. п.) в защищённом виде. Данная информация защищается с помощью Ansible Vault и считывается в момент старта компонента vision_core.

Если ядро мониторинга развёрнуто на одном узле, хранилище секретов размещается в файле /opt/skala-r/vision/.secrets_vault.

Если ядро мониторинга развёрнуто в отказоустойчивой конфигурации, хранилище секретов размещается в ключе /vision/secrets.

Для доступа к хранилищу секретов требуется пароль, выдаваемый разработчиком Визиона.

Работа с хранилищем секретов

Для работы с файлом хранилища секретов используйте команды утилиты ansible-vault.

  1. Если хранилище секретов размещается в etcd, сохраните значение ключа /vision/secrets на локальный компьютер, например:

    etcdctl \
   --user <etcduser>:<etcdpassword> \
   --key /path/to/etcd.key \
   --cert /path/to/etcd.crt \
   --cacert /path/to/cacert.crt \
   get /vision/secrets > /opt/skala-r/vision/.secrets_vault

  2. Выполните нужную команду:

    • Просмотр содержимого хранилища:

      ansible-vault view /opt/skala-r/vision/.secrets_vault

    • Редактирование содержимого хранилища:

      ansible-vault edit /opt/skala-r/vision/.secrets_vault

    В обоих случаях потребуется ввести пароль.

  3. Если хранилище секретов размещается в etcd, разместите изменённый файл в ключе /vision/secrets, например:

    etcdctl \
   --user <etcduser>:<etcdpassword> \
   --key /path/to/etcd.key \
   --cert /path/to/etcd.crt \
   --cacert /path/to/cacert.crt \
   put /vision/secrets < /opt/skala-r/vision/.secrets_vault

Описание хранимых секретов

В хранилище Ansible Vault хранятся следующие секреты:

vault.alertcollector.basic_auth_password

Пароль BasicAuth для подключения к AlertCollector.

vault.alertmanager.basic_auth_password

Пароль BasicAuth для подключения к AlertManager.

vault.auth.client_secret

Секрет, используемый для подключения сервера Визиона к IAM.

vault.auth.tech_auth_client_secret

Секрет технического клиента Avanpost для использования в синхронизации пользователей в качестве получателей рассылки.

vault.auth.tech_auth_password

Пароль технической учётной записи IAM для использования в синхронизации пользователей в качестве получателей рассылки.

vault.database.dsn

Строка подключения к служебной БД PostgreSQL в следующем формате:

postgresql://<username>:<password>@<host>:<port>/<database>

Здесь:

  • <username> — имя пользователя;

  • <password> — пароль пользователя;

  • <host> — IP-адрес или доменное имя мастера PostgreSQL;

  • <port> — порт для подключения к PostgreSQL.

  • <database> — название служебной БД в кластере PostgreSQL.

vault.general.cookie_secret_key

Ключ, используемый для работы с cookie.

vault.grafana.metrics.basic_auth_password

Пароль BasicAuth для получения метрик Grafana.

vault.grafana.security.admin_password

Пароль администратора Grafana по умолчанию.

Его можно изменить перед первым запуском Grafana или в настройках профиля.

vault.plagent.token

Токен для подключения к агенту Платформы.

vault.smtp_config.smtp_auth_password

Пароль для подключения к SMTP-серверу для отправки сообщений о сработавших правилах оповещений.

vault.snmp_notifier.basic_auth_password

Пароль BasicAuth для подключения к SNMP-шлюзу.

vault.snmp_notifier.snmp_authentication_password

Пароль аутентификации для подключения к SNMP-шлюзу.

vault.snmp_notifier.snmp_private_password

Пароль для защиты подключения к SNMP-шлюзу.

vault.victorialogs.basic_auth_password

Пароль BasicAuth для подключения к VictoriaLogs.

vault.victoriametrics.basic_auth_password

Пароль BasicAuth для подключения к VictoriaMetrics.

vault.vision_backup.basic_auth_password

Пароль BasicAuth для подключения к службе резервного копирования конфигурации Визион.

vault.vision_iamsyncer.basic_auth_password

Пароль BasicAuth для подключения к iamsyncer.

vault.vision_utilizer.basic_auth_password

Пароль BasicAuth для подключения к vision_utilizer.

vault.vlagent_agent.basic_auth_password

Пароль BasicAuth для подключения к агенту логов.

vault.vlagent_proxy.basic_auth_password

Пароль BasicAuth для подключения к прокси логов.

vault.vmagent_agent.basic_auth_password

Пароль BasicAuth для подключения к агенту метрик.

vault.vmagent_proxy.basic_auth_password

Пароль BasicAuth для подключения к прокси метрик.

vault.vmalert.basic_auth_password

Пароль BasicAuth для подключения к vmalert.

vault.vmalert_external_integration.auth.basic_auth.password

Пароль Basic Auth для внешней интеграции alertmanager.

vault.vmalert_external_integration.auth.bearer_token.token

Bearer token для внешней интеграции alertmanager.

vault.vmalert_external_integration.auth.oauth2.client_secret

Секрет клиента OAuth2 для внешней интеграции alertmanager.

vault.vmalert_vl.basic_auth_password

Пароль BasicAuth для подключения к vmalert_vl.