共有シークレットジョブの使用
- プラン: Free、Premium、Ultimate
- 提供形態: GitLab Self-Managed
shared-secretsジョブは、特に手動で指定しない限り、インストール全体で使用されるさまざまなシークレットのプロビジョニングを行います。これには次のユーザーが含まれます:
- 初期rootパスワード
- すべてのパブリックサービス用の自己署名TLS証明書: GitLab、MinIO、およびレジストリ
- レジストリ認証証明書
- MinIO、レジストリ、GitLab Shell、およびGitalyのシークレット
- RedisおよびPostgreSQLのパスワード
- SSHホストキー
- 暗号化された認証情報のためのGitLab Railsシークレット
インストールのコマンドラインオプション
次の表に、helm installフラグを使用して--setコマンドに指定できるすべての設定を示します:
| パラメータ | デフォルト | 説明 |
|---|---|---|
enabled | true | 下記参照 |
env | production | Rails環境 |
podLabels | 追加のポッドラベル。セレクターには使用されません。 | |
annotations | 補助ポッド注釈。 | |
image.pullPolicy | Always | DEPRECATED(非推奨): 代わりにglobal.kubectl.image.pullPolicyを使用してください。 |
image.pullSecrets | DEPRECATED(非推奨): 代わりにglobal.kubectl.image.pullSecretsを使用してください。 | |
image.repository | registry.gitlab.com/gitlab-org/build/cng/kubectl | DEPRECATED(非推奨): 代わりにglobal.kubectl.image.repositoryを使用してください。 |
image.tag | 1f8690f03f7aeef27e727396927ab3cc96ac89e7 | DEPRECATED(非推奨): 代わりにglobal.kubectl.image.tagを使用してください。 |
priorityClassName | 優先クラスがポッドに割り当てられます | |
rbac.create | true | RBACロールとバインディングを作成 |
resources | リソースリクエスト、制限 | |
securityContext.fsGroup | 65534 | ファイルシステムをマウントするユーザーID |
securityContext.runAsUser | 65534 | コンテナを実行するユーザーID |
selfsign.caSubject | GitLab Helm Chart | 自己署名CAサブジェクト |
selfsign.image.repository | registry.gitlab.com/gitlab-org/build/cnf/cfssl-self-sign | 自己署名イメージリポジトリ |
selfsign.image.pullSecrets | イメージリポジトリのシークレット | |
selfsign.image.tag | 自己署名イメージタグ | |
selfsign.keyAlgorithm | rsa | 自己署名証明書キーアルゴリズム |
selfsign.keySize | 4096 | 自己署名証明書キーサイズ |
serviceAccount.enabled | true | ジョブでサービスアカウント名を定義 |
serviceAccount.create | true | サービスアカウントを作成 |
serviceAccount.name | RELEASE_NAME-shared-secrets | ジョブ(およびserviceAccount.create=trueの場合、サービスアカウント自体)で指定するサービスアカウント名 |
tolerations | [] | ポッドの割り当てに対するTolerationラベル |
ジョブの設定例
tolerations
tolerationsを使用すると、taintされたワーカーノードでポッドをスケジュールできます
tolerationsの使用例を以下に示します:
tolerations:
- key: "node_label"
operator: "Equal"
value: "true"
effect: "NoSchedule"
- key: "node_label"
operator: "Equal"
value: "true"
effect: "NoExecute"機能の無効化
一部のユーザーは、このジョブによって提供される機能を明示的に無効にしたい場合があります。これを行うために、enabledフラグをブール値として提供し、trueをデフォルトに設定しました。
ジョブを無効にするには、--set shared-secrets.enabled=falseを渡すか、次のYAMLを-fフラグを介してhelmに渡します:
shared-secrets:
enabled: falseこのジョブを無効にする場合は、すべてのシークレットを手動で作成し、必要なすべてのシークレットコンテンツを提供must(する必要があります)。詳細については、installation/secretsを参照してください。