공유 비밀 작업 사용하기
Tier: Free, Premium, Ultimate
Offering: Self-managed
shared-secrets 작업은 설치에서 사용되는 다양한 비밀을 프로비저닝하는 역할을 하며, 별도로 수동으로 지정하지 않는 경우에 해당합니다. 여기에는 다음이 포함됩니다:
- 초기 루트 비밀번호
- 모든 공개 서비스에 대한 자체 서명된 TLS 인증서: GitLab, MinIO, Registry
- Registry 인증서
- MinIO, Registry, GitLab Shell, Gitaly 비밀
- Redis 및 PostgreSQL 비밀번호
- SSH 호스트 키
- 암호화된 자격 증명을 위한 GitLab Rails 비밀
설치 명령줄 옵션
아래 표에는 --set 플래그를 사용하여 helm install 명령에 공급될 수 있는 모든 가능한 구성 옵션이 포함되어 있습니다:
| 매개변수 | 기본값 | 설명 |
|---|---|---|
enabled |
true |
아래 보기 |
env |
production |
Rails 환경 |
podLabels |
보조 Pod 레이블. 선택자에는 사용되지 않습니다. | |
annotations |
보조 Pod 주석. | |
image.pullPolicy |
Always |
사용 중단: 대신 global.kubectl.image.pullPolicy를 사용하세요. |
image.pullSecrets |
사용 중단: 대신 global.kubectl.image.pullSecrets를 사용하세요. |
|
image.repository |
registry.gitlab.com/gitlab-org/build/cng/kubectl |
사용 중단: 대신 global.kubectl.image.repository를 사용하세요. |
image.tag |
1f8690f03f7aeef27e727396927ab3cc96ac89e7 |
사용 중단: 대신 global.kubectl.image.tag를 사용하세요. |
priorityClassName |
포드에 할당된 우선 순위 클래스 | |
rbac.create |
true |
RBAC 역할 및 바인딩 생성 |
resources |
리소스 요청 및 한계 | |
securitContext.fsGroup |
65534 |
파일 시스템을 마운트할 사용자 ID |
securitContext.runAsUser |
65534 |
컨테이너를 실행할 사용자 ID |
selfsign.caSubject |
GitLab Helm Chart |
자체 서명 CA 주제 |
selfsign.image.repository |
registry.gitlab.com/gitlab-org/build/cnf/cfssl-self-sign |
자체 서명 이미지 저장소 |
selfsign.image.pullSecrets |
이미지 저장소를 위한 비밀 | |
selfsign.image.tag |
자체 서명 이미지 태그 | |
selfsign.keyAlgorithm |
rsa |
자체 서명 인증서 키 알고리즘 |
selfsign.keySize |
4096 |
자체 서명 인증서 키 크기 |
serviceAccount.enabled |
true |
작업에 대한 serviceAccountName 정의 |
serviceAccount.create |
true |
ServiceAccount 생성 |
serviceAccount.name |
RELEASE_NAME-shared-secrets |
작업에 지정할 서비스 계정 이름 (그리고 serviceAccount.create=true인 경우 서비스 계정 자체에도 해당) |
tolerations |
[] |
포드 할당을 위한 관용 레이블 |
작업 구성 예제
tolerations
tolerations는 오염된 워커 노드에서 포드를 스케줄할 수 있도록 허용합니다.
아래는 tolerations의 사용 예입니다:
tolerations:
- key: "node_label"
operator: "Equal"
value: "true"
effect: "NoSchedule"
- key: "node_label"
operator: "Equal"
value: "true"
effect: "NoExecute"
기능 비활성화
일부 사용자는 이 작업에서 제공하는 기능을 명시적으로 비활성화하고 싶어할 수 있습니다.
이를 위해 우리는 기본값이 true인 boolean인 enabled 플래그를 제공하였습니다.
작업을 비활성화하려면, --set shared-secrets.enabled=false를 전달하거나,
다음과 같이 YAML 파일에서 -f 플래그를 helm에 전달하십시오:
shared-secrets:
enabled: false
참고: 이 작업을 비활성화하면, 모든 시크릿을 수동으로 생성해야 하며, 모든 필요한 시크릿 내용을 제공해야 합니다. 추가 세부정보는 설치/시크릿을 참조하십시오.
도움말