18 lines
1.6 KiB
Markdown
18 lines
1.6 KiB
Markdown
|
# grafana-terraform
|
|||
|
|
Конфигурация Grafana
|
|||
|
|
## Интеграция с Hashicorp Vault
|
|||
|
|
В кластере **vault.pyn.ru** создана **approle infraservice-iac** с правами на чтение секретов из хранилища `app/data/groups/infraservice/*`.
|
|||
|
|
Все члены группы **/vault-infraservice** могут посмотреть role-id с помощью `vault read auth/approle/role/infraservice-iac/role-id`, а также создать secret-id командой cli `vault write -f auth/approle/role/infraservice-iac/secret-id`.
|
|||
|
|
Для успешной авторизации в Vault перед запуском нужно установить переменную окружения `VAULT_TOKEN` с токеном авторизации в значении.
|
|||
|
|
## Запуск
|
|||
|
|
Запуск осуществляется из директории окружения, например `environments/test`. Перед запуском необходимо задать переменные окружения из файла с переменными `.env` со следующим содержимым:
|
|||
|
|
```bash
|
|||
|
|
set -a
|
|||
|
|
# ключи для s3 backend'ов можно найти в Vault
|
|||
|
|
AWS_ACCESS_KEY_ID="<ключ для доступа к s3 бэкэнду>"
|
|||
|
|
AWS_SECRET_ACCESS_KEY="<секретный ключ для доступа к s3 бэкэнду>"
|
|||
|
|
VAULT_ROLE_ID="<role_id для approle vault>"
|
|||
|
|
VAULT_SECRET_ID="<secret_id для approle vault>"
|
|||
|
|
VAULT_TOKEN=$(curl -s -X POST -d "{\"role_id\":\"$VAULT_ROLE_ID\",\"secret_id\":\"$VAULT_SECRET_ID\"}" \
|
|||
|
|
https://vault.pyn.ru/v1/auth/approle/login | jq -r .auth.client_token)
|
|||
|
|
```
|