Shared-Secrets Job 사용
Tier: Free, Premium, Ultimate
Offering: Self-Managed
shared-secrets
작업은 설치 전체에 사용되는 다양한 시크릿을 프로비저닝하는 역할을 합니다. 그렇지 않은 경우 매뉴얼으로 지정한 경우를 제외하고 다음을 포함합니다.
- 초기 루트 암호
- GitLab, MinIO 및 레지스트리를 위한 자체 서명된 TLS 인증서
- 레지스트리 인증 인증서
- MinIO, 레지스트리, GitLab 셸 및 Gitaly 시크릿
- Redis 및 PostgreSQL 암호
- SSH 호스트 키
- 암호화된 자격 증명을 위한 GitLab Rails 시크릿
설치 명령줄 옵션
아래 테이블은 helm install
명령에 --set
플래그를 사용하여 제공할 수 있는 모든 구성을 포함합니다.
매개변수 | 기본값 | 설명 |
---|---|---|
enabled
| true
| 아래 참조 |
env
| production
| Rails 환경 |
podLabels
| 보조 Pod 라벨. 선택기에는 사용되지 않습니다. | |
annotations
| 보조 Pod 주석. | |
image.pullPolicy
| Always
|
사용 중지됨: 대신 global.kubectl.image.pullPolicy 을 사용하세요.
|
image.pullSecrets
|
사용 중지됨: 대신 global.kubectl.image.pullSecrets 을 사용하세요.
| |
image.repository
| registry.gitlab.com/gitlab-org/build/cng/kubectl
|
사용 중지됨: 대신 global.kubectl.image.repository 을 사용하세요.
|
image.tag
| 1f8690f03f7aeef27e727396927ab3cc96ac89e7
|
사용 중지됨: 대신 global.kubectl.image.tag 을 사용하세요.
|
priorityClassName
| pod에 할당된 우선 순위 클래스 | |
rbac.create
| true
| RBAC 역할 및 바인딩 생성 |
resources
| 리소스 요청, 제한 | |
securitContext.fsGroup
| 65534
| 파일 시스템을 마운트하는 사용자 ID |
securitContext.runAsUser
| 65534
| 컨테이너를 실행하는 사용자 ID |
selfsign.caSubject
| GitLab Helm Chart
| 자체 서명 CA 주제 |
selfsign.image.repository
| registry.gitlab.com/gitlab-org/build/cnf/cfssl-self-sign
| 자체 서명 이미지 리포지터리 |
selfsign.image.pullSecrets
| 이미지 리포지터리의 비밀 | |
selfsign.image.tag
| 자체 서명 이미지 태그 | |
selfsign.keyAlgorithm
| rsa
| 자체 서명 인증서 키 알고리즘 |
selfsign.keySize
| 4096
| 자체 서명 인증서 키 크기 |
serviceAccount.enabled
| true
| 작업에 대한 serviceAccountName 정의 |
serviceAccount.create
| true
| ServiceAccount 생성 |
serviceAccount.name
| RELEASE_NAME-shared-secrets
| 작업에 지정할 Service 계정 이름(및 serviceAccount.create=true인 경우 service Account 자체에도) |
tolerations
| []
| pod 할당을 위한 허용 레이블 |
작업 구성 예
Tolerations
tolarations
을 사용하면 오염된 worker 노드에 pod을 예약할 수 있습니다.
아래는 tolerations
의 사용 예입니다:
tolerations:
- key: "node_label"
operator: "Equal"
value: "true"
effect: "NoSchedule"
- key: "node_label"
operator: "Equal"
value: "true"
effect: "NoExecute"
기능 사용 중지
일부 사용자는 본 작업에 의해 제공되는 기능을 명시적으로 비활성화하기를 원할 수 있습니다.
이를 위해 enabled
플래그를 boolean으로 제공하며, 기본값은 true
입니다.
작업을 비활성화하려면 --set shared-secrets.enabled=false
를 전달하거나 다음을 helm
의 -f
플래그를 통해 YAML로 전달하십시오:
shared-secrets:
enabled: false
이 작업을 비활성화하는 경우 모든 시크릿을 매뉴얼으로 생성하고 모든 필요한 시크릿 콘텐츠를 제공해야 합니다.
자세한 내용은 installation/secrets를 참조하십시오.