38aaadbfb1
Обновлена документация под новые аддоны (gitlab, redis, mongodb, kafka, kafka-ui, rabbitmq) и новую модель явного выбора зависимостей. Добавлены и унифицированы описания переключателей *_database_mode и *_redis_mode, обновлена таблица зависимостей аддонов, примеры конфигурации и список vault-секретов.
213 lines
14 KiB
Plaintext
213 lines
14 KiB
Plaintext
---
|
||
# Секретные переменные — копируй в vault.yml и шифруй через ansible-vault!
|
||
#
|
||
# Создание зашифрованного файла:
|
||
# ansible-vault create group_vars/all/vault.yml
|
||
#
|
||
# Редактирование:
|
||
# ansible-vault edit group_vars/all/vault.yml
|
||
#
|
||
# Запуск плейбука с vault:
|
||
# ansible-playbook site.yml --ask-vault-pass
|
||
# ansible-playbook site.yml --vault-password-file ~/.vault_pass
|
||
|
||
# ─── K3S ──────────────────────────────────────────────────────────────────────
|
||
# Общий токен присоединения нод (server/agent); минимум 32 случайных символа
|
||
vault_k3s_token: "ЗАМЕНИ_НА_НАДЁЖНЫЙ_СЕКРЕТНЫЙ_ТОКЕН_МИН_32_СИМВОЛА"
|
||
|
||
# ─── PostgreSQL ────────────────────────────────────────────────────────────────
|
||
# Пароль суперпользователя СУБД postgres (роль/чарт Bitnami)
|
||
vault_postgresql_postgres_password: "changeme-postgres"
|
||
# Пароль прикладного пользователя (postgresql_auth_username) и его БД
|
||
vault_postgresql_password: "changeme-app"
|
||
|
||
# ─── MySQL ─────────────────────────────────────────────────────────────────────
|
||
# Пароль root в MySQL/MariaDB
|
||
vault_mysql_root_password: "changeme-root"
|
||
# Пароль прикладного пользователя (mysql_auth_username)
|
||
vault_mysql_password: "changeme-app"
|
||
|
||
# ─── Prometheus / Grafana ──────────────────────────────────────────────────────
|
||
# Логин веб-интерфейса Grafana
|
||
vault_grafana_user: "admin"
|
||
# Пароль администратора Grafana
|
||
vault_grafana_password: "changeme-grafana"
|
||
|
||
# ─── Istio / Kiali ─────────────────────────────────────────────────────────────
|
||
# Token для входа Kiali (после установки: kubectl -n istio-system create token kiali --duration=8760h)
|
||
vault_kiali_token: ""
|
||
|
||
# ─── MinIO ─────────────────────────────────────────────────────────────────────
|
||
# Access key (логин) root MinIO
|
||
vault_minio_root_user: "admin"
|
||
# Secret key (пароль) root MinIO
|
||
vault_minio_root_password: "changeme-minio"
|
||
|
||
# ─── Velero (S3-совместимый backend, часто тот же MinIO) ───────────────────────
|
||
# S3 key id (обычно = vault_minio_root_user)
|
||
vault_velero_s3_access_key: "admin"
|
||
# S3 secret (обычно = vault_minio_root_password)
|
||
vault_velero_s3_secret_key: "changeme-minio"
|
||
|
||
# ─── Databasus ─────────────────────────────────────────────────────────────────
|
||
# Пароль пользователя/БД Databasus в PostgreSQL
|
||
vault_databasus_db_password: "changeme-databasus"
|
||
|
||
# ─── CrowdSec ──────────────────────────────────────────────────────────────────
|
||
# Ключ энролмента Central API (app.crowdsec.net); пусто = без облачной консоли
|
||
vault_crowdsec_enroll_key: ""
|
||
|
||
# ─── Harbor ────────────────────────────────────────────────────────────────────
|
||
# Пароль веб-админа Harbor (требования чарта: сложность)
|
||
vault_harbor_admin_password: "Harbor12345"
|
||
# Пароль пользователя БД Harbor во внешней PostgreSQL
|
||
vault_harbor_db_password: "changeme-harbor"
|
||
|
||
# ─── Gitea ─────────────────────────────────────────────────────────────────────
|
||
# Пароль первого администратора Gitea
|
||
vault_gitea_admin_password: "changeme-gitea"
|
||
# Пароль пользователя БД gitea при внешнем PostgreSQL
|
||
vault_gitea_db_password: "changeme-gitea-db"
|
||
|
||
# ─── GitLab ────────────────────────────────────────────────────────────────────
|
||
# Пароль пользователя root в GitLab
|
||
vault_gitlab_admin_password: "changeme-gitlab"
|
||
# Пароль пользователя БД gitlab при внешнем PostgreSQL
|
||
vault_gitlab_db_password: "changeme-gitlab-db"
|
||
|
||
# ─── Redis ─────────────────────────────────────────────────────────────────────
|
||
# Пароль Redis (если redis_auth_enabled: true)
|
||
vault_redis_password: "changeme-redis"
|
||
|
||
# ─── MongoDB ───────────────────────────────────────────────────────────────────
|
||
# Пароль root-пользователя MongoDB
|
||
vault_mongodb_root_password: "changeme-mongodb-root"
|
||
# Пароль прикладного пользователя MongoDB
|
||
vault_mongodb_password: "changeme-mongodb-app"
|
||
|
||
# ─── Kafka ─────────────────────────────────────────────────────────────────────
|
||
# Пароль клиентского пользователя Kafka (SASL/SCRAM)
|
||
vault_kafka_client_password: "changeme-kafka-client"
|
||
# Пароль для входа в Kafka UI
|
||
vault_kafka_ui_password: "changeme-kafka-ui"
|
||
|
||
# ─── RabbitMQ ──────────────────────────────────────────────────────────────────
|
||
# Пароль пользователя RabbitMQ
|
||
vault_rabbitmq_password: "changeme-rabbitmq"
|
||
# Erlang cookie для кластеризации RabbitMQ
|
||
vault_rabbitmq_erlang_cookie: "changeme-rabbitmq-cookie"
|
||
|
||
# ─── ownCloud OCIS ─────────────────────────────────────────────────────────────
|
||
# Пароль первого администратора ownCloud
|
||
vault_owncloud_admin_password: "changeme-owncloud"
|
||
|
||
# ─── Nextcloud ─────────────────────────────────────────────────────────────────
|
||
# Пароль админа Nextcloud
|
||
vault_nextcloud_admin_password: "changeme-nextcloud"
|
||
# Пароль пользователя БД nextcloud при внешнем PostgreSQL
|
||
vault_nextcloud_db_password: "changeme-nextcloud-db"
|
||
|
||
# ─── Vaultwarden ───────────────────────────────────────────────────────────────
|
||
# Секретный токен доступа к /admin
|
||
vault_vaultwarden_admin_token: "9R*eQ;G1M#)+Uw(afhoJ"
|
||
# Пароль SMTP для исходящей почты
|
||
vault_vaultwarden_smtp_password: "fntwztnkacanpbwa"
|
||
|
||
# ─── CSI GlusterFS / Heketi ────────────────────────────────────────────────────
|
||
# Пароль/secret для Heketi REST admin
|
||
vault_glusterfs_heketi_secret: "changeme-heketi"
|
||
|
||
# ─── SMTP Relay ────────────────────────────────────────────────────────────────
|
||
# Пароль внешнего SMTP (например Yandex App Password)
|
||
vault_smtp_relay_password: "fntwztnkacanpbwa"
|
||
|
||
# ─── HashiCorp Vault (auto-unseal: AWS KMS) ───────────────────────────────────
|
||
# Access Key ID IAM с правами на KMS
|
||
vault_aws_kms_access_key: ""
|
||
# Secret Access Key
|
||
vault_aws_kms_secret_key: ""
|
||
|
||
# ─── Vault Transit Seal (другой Vault как KMS) ────────────────────────────────
|
||
# Токен с политикой на transit engine
|
||
vault_transit_seal_token: ""
|
||
|
||
# ─── Azure Key Vault unseal ───────────────────────────────────────────────────
|
||
# Client secret приложения Azure AD
|
||
vault_azure_kv_client_secret: ""
|
||
|
||
# ─── External Secrets Operator → HashiCorp Vault (AppRole) ───────────────────
|
||
# Secret ID роли eso-role (см. addons/external-secrets/README.md)
|
||
vault_eso_approle_secret_id: ""
|
||
|
||
# ─── CSI Ceph (ceph-csi) ──────────────────────────────────────────────────────
|
||
# CephX key пользователя client.<csi_ceph_user_id> (например client.kubernetes)
|
||
vault_csi_ceph_user_key: ""
|
||
|
||
# ─── Jenkins ───────────────────────────────────────────────────────────────────
|
||
# Пароль админа Jenkins (JCasC)
|
||
vault_jenkins_admin_password: "changeme-jenkins"
|
||
|
||
# ─── NetBird VPN ───────────────────────────────────────────────────────────────
|
||
# Пароль coturn (TURN) для NetBird
|
||
vault_netbird_coturn_password: "changeme-coturn"
|
||
# Setup key для peer subnet router
|
||
vault_netbird_router_setup_key: ""
|
||
# Setup key для exit node
|
||
vault_netbird_exit_node_setup_key: ""
|
||
|
||
# ─── MediaServer ───────────────────────────────────────────────────────────────
|
||
# Claim-токен Plex (plex.tv/claim, ~4 минуты)
|
||
vault_plex_claim_token: ""
|
||
|
||
# Полный URI hysteria2://... для Prowlarr sidecar
|
||
vault_hysteria2_url: ""
|
||
|
||
# host:port Hysteria2, если не задан vault_hysteria2_url
|
||
vault_hysteria2_server: "your-hysteria2-server.example.com:443"
|
||
# Пароль клиента Hysteria2
|
||
vault_hysteria2_auth: "your-hysteria2-password"
|
||
|
||
# ─── Hysteria2 VPN сервер (VPS) ───────────────────────────────────────────────
|
||
# Пароль для подключения клиентов к серверу
|
||
vault_hysteria2_server_password: "changeme-hysteria2-server"
|
||
# Пароль obfs salamander на сервере
|
||
vault_hysteria2_obfs_password: ""
|
||
|
||
# Пароль пользователя Samba (медиашара)
|
||
vault_samba_password: "changeme-samba"
|
||
# Пароль веб-UI Transmission
|
||
vault_transmission_password: "changeme-transmission"
|
||
|
||
# ─── Yandex 360 DNS Controller ────────────────────────────────────────────────
|
||
# org_id в Yandex 360 и OAuth-токен приложения
|
||
yandex_dns:
|
||
# ID организации (admin.yandex.ru)
|
||
org_id: "3312086"
|
||
# OAuth access token
|
||
token: "y0_ЗАМЕНИ_НА_OAUTH_ТОКЕН"
|
||
|
||
# ── Technitium DNS HA ─────────────────────────────────────────────────────────
|
||
# Пароль веб-админа Technitium (min 8 символов)
|
||
technitium_dns_admin_password: "ЗАМЕНИ_НА_ПАРОЛЬ"
|
||
|
||
# ── Authelia SSO ──────────────────────────────────────────────────────────────
|
||
# Секрет подписи JWT
|
||
authelia_jwt_secret: "ЗАМЕНИ_openssl_rand_-base64_64"
|
||
# Секрет сессий
|
||
authelia_session_secret: "ЗАМЕНИ_openssl_rand_-base64_64"
|
||
# Ключ шифрования storage (БД/файл)
|
||
authelia_storage_encryption_key: "ЗАМЕНИ_openssl_rand_-base64_32"
|
||
# HMAC для OIDC
|
||
authelia_oidc_hmac_secret: "ЗАМЕНИ_openssl_rand_-base64_48"
|
||
# PEM private key для OIDC (пусто = сгенерировать)
|
||
authelia_oidc_private_key: ""
|
||
# Секреты зарегистрированных OIDC clients
|
||
authelia_oidc_secret_gitea: "ЗАМЕНИ_openssl_rand_-hex_32"
|
||
authelia_oidc_secret_grafana: "ЗАМЕНИ_openssl_rand_-hex_32"
|
||
authelia_oidc_secret_argocd: ""
|
||
authelia_oidc_secret_minio: ""
|
||
authelia_oidc_secret_vault: ""
|
||
authelia_oidc_secret_nextcloud: ""
|
||
# Argon2id хэш пароля пользователя admin
|
||
authelia_user_admin_password_hash: "ЗАМЕНИ_НА_ARGON2ID_ХЭШ"
|