18 lines
1.6 KiB
Markdown
18 lines
1.6 KiB
Markdown
# grafana-terraform
|
||
Конфигурация Grafana
|
||
## Интеграция с Hashicorp Vault
|
||
В кластере **vault.pyn.ru** создана **approle infraservice-iac** с правами на чтение секретов из хранилища `app/data/groups/infraservice/*`.
|
||
Все члены группы **/vault-infraservice** могут посмотреть role-id с помощью `vault read auth/approle/role/infraservice-iac/role-id`, а также создать secret-id командой cli `vault write -f auth/approle/role/infraservice-iac/secret-id`.
|
||
Для успешной авторизации в Vault перед запуском нужно установить переменную окружения `VAULT_TOKEN` с токеном авторизации в значении.
|
||
## Запуск
|
||
Запуск осуществляется из директории окружения, например `environments/test`. Перед запуском необходимо задать переменные окружения из файла с переменными `.env` со следующим содержимым:
|
||
```bash
|
||
set -a
|
||
# ключи для s3 backend'ов можно найти в Vault
|
||
AWS_ACCESS_KEY_ID="<ключ для доступа к s3 бэкэнду>"
|
||
AWS_SECRET_ACCESS_KEY="<секретный ключ для доступа к s3 бэкэнду>"
|
||
VAULT_ROLE_ID="<role_id для approle vault>"
|
||
VAULT_SECRET_ID="<secret_id для approle vault>"
|
||
VAULT_TOKEN=$(curl -s -X POST -d "{\"role_id\":\"$VAULT_ROLE_ID\",\"secret_id\":\"$VAULT_SECRET_ID\"}" \
|
||
https://vault.pyn.ru/v1/auth/approle/login | jq -r .auth.client_token)
|
||
``` |