Хранение секретов

В целях безопасности в Визионе организовано безопасное хранение секретов (паролей, токенов и т. п.) в защищённом виде. Данная информация хранится в Ansible Vault и считывается в момент старта компонента vision-core. Расположение файла хранилища — /opt/skala-r/vision/.secrets_vault.

Для оперирования содержимым хранилища требуется ключ, выдаваемый разработчиком Визиона.

Работа с хранилищем секретов

Для работы с хранилищем секретов используйте команды утилиты ansible-vault.

Просмотр содержимого хранилища
ansible-vault view /opt/skala-r/vision/.secrets_vault
Редактирование содержимого хранилища
ansible-vault edit /opt/skala-r/vision/.secrets_vault

В обоих случаях потребуется ввести пароль от хранилища.

Описание хранимых секретов

В хранилище Ansible Vault хранятся следующие секреты:

vault.alertcollector.basic_auth_password

Пароль BasicAuth для подключения к AlertCollector.

vault.alertmanager.basic_auth_password

Пароль BasicAuth для подключения к AlertManager.

vault.auth.client_secret

Секрет, используемый для подключения сервера Визиона к IAM.

vault.auth.tech_auth_client_secret

Секрет технического клиента Avanpost для использования в синхронизации пользователей в качестве получателей рассылки.

vault.auth.tech_auth_password

Пароль технической учётной записи IAM для использования в синхронизации пользователей в качестве получателей рассылки.

vault.database.dsn

Строка подключения к служебной БД PostgreSQL в следующем формате:

postgresql://<username>:<password>@<host>:<port>/<database>

Здесь:

  • <username> — имя пользователя;

  • <password> — пароль пользователя;

  • <host> — IP-адрес или доменное имя мастера PostgreSQL;

  • <port> — порт для подключения к PostgreSQL.

  • <database> — название служебной БД в кластере PostgreSQL.

vault.general.cookie_secret_key

Ключ, используемый для работы с cookie.

vault.grafana.metrics.basic_auth_password

Пароль BasicAuth для получения метрик Grafana.

vault.grafana.security.admin_password

Пароль администратора Grafana по умолчанию.

Его можно изменить перед первым запуском Grafana или в настройках профиля.

vault.plagent.token

Токен для подключения к агенту Платформы.

vault.smtp_config.smtp_auth_password

Пароль для подключения к SMTP-серверу для отправки сообщений о сработавших правилах оповещений.

vault.snmp_notifier.basic_auth_password

Пароль BasicAuth для подключения к SNMP-шлюзу.

vault.snmp_notifier.snmp_authentication_password

Пароль аутентификации для подключения к SNMP-шлюзу.

vault.snmp_notifier.snmp_private_password

Пароль для защиты подключения к SNMP-шлюзу.

vault.victorialogs.basic_auth_password

Пароль BasicAuth для подключения к VictoriaLogs.

vault.victoriametrics.basic_auth_password

Пароль BasicAuth для подключения к VictoriaMetrics.

vault.vision_backup.basic_auth_password

Пароль BasicAuth для подключения к службе резервного копирования конфигурации Визион.

vault.vision_iamsyncer.basic_auth_password

Пароль BasicAuth для подключения к iamsyncer.

vault.vision_utilizer.basic_auth_password

Пароль BasicAuth для подключения к vision_utilizer.

vault.vlagent_agent.basic_auth_password

Пароль BasicAuth для подключения к агенту логов.

vault.vlagent_proxy.basic_auth_password

Пароль BasicAuth для подключения к прокси логов.

vault.vmagent_agent.basic_auth_password

Пароль BasicAuth для подключения к агенту метрик.

vault.vmagent_proxy.basic_auth_password

Пароль BasicAuth для подключения к прокси метрик.

vault.vmalert.basic_auth_password

Пароль BasicAuth для подключения к vmalert.

vault.vmalert_external_integration.auth.basic_auth.password

Пароль Basic Auth для внешней интеграции alertmanager.

vault.vmalert_external_integration.auth.bearer_token.token

Bearer token для внешней интеграции alertmanager.

vault.vmalert_external_integration.auth.oauth2.client_secret

Секрет клиента OAuth2 для внешней интеграции alertmanager.

vault.vmalert_vl.basic_auth_password

Пароль BasicAuth для подключения к vmalert_vl.