Secrets

极狐GitLab 需要多种 secret 才能运作：

GitLab 组件：

Registry 认证证书
GitLab Shell 的主机密钥和证书
各个 GitLab services 的密码
GitLab Pages 的 TLS 证书

可选外部服务：

SMTP 服务
LDAP
OmniAuth
用于接收电子邮件的 IMAP（通过 mail_room 服务）
用于服务台电子邮件的 IMAP（通过 mail_room 服务）
用于接收电子邮件的带有 OAuth2 的 Microsoft Graph（通过 mail_room 服务）
带有 OAuth2 的 Microsoft Graph 用于服务台电子邮件（通过 mail_room 服务）
S/MIME 认证
Smartcard 身份验证
OAuth 集成

任何未手动提供的 secret 都将使用随机值自动生成。HTTPS 证书的自动生成由 Let’s Encrypt 提供。

要利用自动生成的 secret，请继续下一步。

要指定您自己的 secret，请继续手动创建 secret。

手动创建 secret（可选）

如果您按照本文档中的先前步骤操作，请使用 gitlab 作为版本名称。

TLS 认证
Registry 认证证书
Registry 敏感通知 headers
SSH 主机密钥
密码:
外部服务

Registry 认证证书

GitLab 和 Registry 之间的通信发生在 Ingress 之后，因此在大多数情况下使用自签名证书进行通信即可。如果此流量通过网络公开，您应该生成公开有效的证书。

在下面的示例中，我们假设我们需要自签名证书。

生成证书密钥对：

mkdir -p certs
openssl req -new -newkey rsa:4096 -subj "/CN=gitlab-issuer" -nodes -x509 -keyout certs/registry-example-com.key -out certs/registry-example-com.crt

创建一个包含这些证书的 secret。我们将在 <name>-registry-secret secret 中创建 registry-auth.key 和 registry-auth.crt 键。将 <name> 替换为发行版的名称。

kubectl create secret generic <name>-registry-secret --from-file=registry-auth.key=certs/registry-example-com.key --from-file=registry-auth.crt=certs/registry-example-com.crt

这个 secret 由 global.registry.certificate.secret 设置引用。

Registry 敏感通知 headers

查看有关配置 Registry 通知的文档了解更多详细信息。

Secret 内容应该是一个配置项列表，即使它包含单个配置项。如果内容只是一个字符串，chart 不会根据需要将其转换为列表。

kubectl create secret generic registry-authorization-header --from-literal="value=[RandomFooBar]"

默认情况下，secret 中使用的密钥是“值”。但是，用户可以使用不同的键，但必须确保在 header 映射项下将其指定为“键”。

SSH 主机密钥

生成 OpenSSH 证书密钥对：

mkdir -p hostKeys
ssh-keygen -t rsa  -f hostKeys/ssh_host_rsa_key -N ""
ssh-keygen -t dsa  -f hostKeys/ssh_host_dsa_key -N ""
ssh-keygen -t ecdsa  -f hostKeys/ssh_host_ecdsa_key -N ""
ssh-keygen -t ed25519  -f hostKeys/ssh_host_ed25519_key -N ""

创建包含这些证书的 secret。将 <name> 替换为发行版的名称。

kubectl create secret generic <name>-gitlab-shell-host-keys --from-file hostKeys

此 secret 由global.shell.hostKeys.secret 设置引用。

初始许可证

此方法只会在安装时添加许可证。使用 Web 用户界面中的管理中心来续订或升级许可证。

创建一个 Kubernetes secret，用于存储 GitLab 实例的许可证。将 <name> 替换为发行版的名称。

kubectl create secret generic <name>-gitlab-license --from-file=license=/tmp/license.gitlab

然后使用 --set global.gitlab.license.secret=<name>-gitlab-license 将许可证注入到您的配置中。

您还可以使用 global.gitlab.license.key 选项更改指向许可证 secret 中的许可证的默认 license 键。

初始 root 密码

创建用于存储初始 root 密码的 Kubernetes secret。密码长度至少应为 6 个字符。将 <name> 替换为发行版的名称。

kubectl create secret generic <name>-gitlab-initial-root-password --from-literal=password=$(head -c 512 /dev/urandom | LC_CTYPE=C tr -cd 'a-zA-Z0-9' | head -c 32)

Redis 密码

为 Redis 生成一个随机的 64 个字符的包含字母和数字的密码。将 <name> 替换为发行版的名称。

kubectl create secret generic <name>-redis-secret --from-literal=secret=$(head -c 512 /dev/urandom | LC_CTYPE=C tr -cd 'a-zA-Z0-9' | head -c 64)

如果使用已有的 Redis 集群部署，请使用 base64 编码的 Redis 集群访问密码，不要使用随机生成的密码。

GitLab Shell secret

为 GitLab Shell 生成一个随机的 64 个字符的包含字母和数字的 secret。将 <name> 替换为发行版的名称。

kubectl create secret generic <name>-gitlab-shell-secret --from-literal=secret=$(head -c 512 /dev/urandom | LC_CTYPE=C tr -cd 'a-zA-Z0-9' | head -c 64)

此 secret 由global.shell.authToken.secret 设置引用。

Gitaly secret

为 Gitaly 生成一个随机的 64 个字符的包含字母和数字的令牌。将 <name> 替换为发行版的名称。

kubectl create secret generic <name>-gitaly-secret --from-literal=token=$(head -c 512 /dev/urandom | LC_CTYPE=C tr -cd 'a-zA-Z0-9' | head -c 64)

此 secret 由 global.gitaly.authToken.secret 设置引用。

Praefect secret

为 Praefect 生成一个随机的 64 个字符的包含字母和数字的令牌。将 <name> 替换为发行版的名称：

kubectl create secret generic <name>-praefect-secret --from-literal=token=$(head -c 512 /dev/urandom | LC_CTYPE=C tr -cd 'a-zA-Z0-9' | head -c 64)

此 secret 由global.praefect.authToken.secret 设置引用。

GitLab Rails secret

将 <name> 替换为发行版的名称。

cat << EOF > secrets.yml
production:
  secret_key_base: $(head -c 512 /dev/urandom | LC_CTYPE=C tr -cd 'a-zA-Z0-9' | head -c 128)
  otp_key_base: $(head -c 512 /dev/urandom | LC_CTYPE=C tr -cd 'a-zA-Z0-9' | head -c 128)
  db_key_base: $(head -c 512 /dev/urandom | LC_CTYPE=C tr -cd 'a-zA-Z0-9' | head -c 128)
  encrypted_settings_key_base: $(head -c 512 /dev/urandom | LC_CTYPE=C tr -cd 'a-zA-Z0-9' | head -c 128)
  openid_connect_signing_key: |
$(openssl genrsa 2048 | awk '{print "    " $0}')
  ci_jwt_signing_key: |
$(openssl genrsa 2048 | awk '{print "    " $0}')
EOF

kubectl create secret generic <name>-rails-secret --from-file=secrets.yml

此 secret 被global.railsSecrets.secret 设置引用。

encrypted_settings_key_base 是在 13.7 版本中添加的，并且在 14.0 版本中是必需的。

GitLab Workhorse secret

生成 Workhorse secret。必须有 32 个字符的长度并以 base64 编码。将 <name> 替换为发行版的名称。

kubectl create secret generic <name>-gitlab-workhorse-secret --from-literal=shared_secret=$(head -c 512 /dev/urandom | LC_CTYPE=C tr -cd 'a-zA-Z0-9' | head -c 32 | base64)

此 secret 由 global.workhorse.key 设置引用。

GitLab Runner secret

将 <name> 替换为发行版的名称。

kubectl create secret generic <name>-gitlab-runner-secret --from-literal=runner-registration-token=$(head -c 512 /dev/urandom | LC_CTYPE=C tr -cd 'a-zA-Z0-9' | head -c 64)

GitLab KAS secret

GitLab Rails 将始终要求存在 KAS 的 secret，即使是在未安装 KAS 子 chart 的情况下部署此 chart 时也是如此。不过，您可以按照以下过程手动创建此 secret，或将其留给 chart 以自动生成 secret。

将 <name> 替换为发行版的名称。

kubectl create secret generic <name>-gitlab-kas-secret --from-literal=kas_shared_secret=$(head -c 512 /dev/urandom | LC_CTYPE=C tr -cd 'a-zA-Z0-9' | head -c 32 | base64)

MinIO secret

为 MinIO 生成一组随机的 20 和 64 个字符的包含字母和数字的密钥。将 <name> 替换为发行版的名称。

kubectl create secret generic <name>-minio-secret --from-literal=accesskey=$(head -c 512 /dev/urandom | LC_CTYPE=C tr -cd 'a-zA-Z0-9' | head -c 20) --from-literal=secretkey=$(head -c 512 /dev/urandom | LC_CTYPE=C tr -cd 'a-zA-Z0-9' | head -c 64)

此 secret 由 global.minio.credentials.secret 设置引用。

PostgreSQL 密码

生成一个随机的 64 个字符的包含字母和数字的密码。将 <name> 替换为发行版的名称。

kubectl create secret generic <name>-postgresql-password \
    --from-literal=postgresql-password=$(head -c 512 /dev/urandom | LC_CTYPE=C tr -cd 'a-zA-Z0-9' | head -c 64) \
    --from-literal=postgresql-postgres-password=$(head -c 512 /dev/urandom | LC_CTYPE=C tr -cd 'a-zA-Z0-9' | head -c 64)

Grafana 密码

如果配置 Grafana 集成，则生成一个随机的 64 个字符的包含字母和数字的密码。

generate_secret_if_needed "gitlab-grafana-initial-password" --from-literal=password=$(gen_random 'a-zA-Z0-9' 64)

GitLab Pages secret

生成 GitLab Pages secret。必须有 32 个字符的长度并以 base64 编码。将 <name> 替换为发行版的名称。

kubectl create secret generic <name>-gitlab-pages-secret --from-literal=shared_secret=$(head -c 512 /dev/urandom | LC_CTYPE=C tr -cd 'a-zA-Z0-9' | head -c 32 | base64)

此 secret 由 global.pages.apiSecret.secret 设置引用。

Registry HTTP secret

生成所有 Registry pod 共享的随机 64 个字符的包含字母和数字的密钥。将 <name> 替换为发行版的名称。

kubectl create secret generic <name>-registry-httpsecret --from-literal=secret=$(head -c 512 /dev/urandom | LC_CTYPE=C tr -cd 'a-zA-Z0-9' | head -c 64 | base64)

Registry notification secret

生成由所有 Registry pod 和 GitLab webservice pod 共享的随机 32 个字符的包含字母和数字的密钥。将 <name> 替换为发行版的名称。

kubectl create secret generic <name>-registry-notification --from-literal=secret=[\"$(head -c 512 /dev/urandom | LC_CTYPE=C tr -cd 'a-zA-Z0-9' | head -c 32)\"]

Praefect DB 密码

生成一个随机的 64 个字符的包含字母和数字的密码。将 <name> 替换为发行版的名称：

kubectl create secret generic <name>-praefect-dbsecret \
    --from-literal=secret=$(head -c 512 /dev/urandom | LC_CTYPE=C tr -cd 'a-zA-Z0-9' | head -c 64) \

此 secret 由 global.praefect.dbSecret 设置引用。

外部服务

一些 chart 有更多的 secret 来启用无法自动生成的功能。