437d0cce34
Организация плейбуков: - все .yml плейбуки перенесены из корня в playbooks/ - Makefile и entrypoint.sh обновлены — все пути с playbooks/ префиксом - k8s-user.yml переработан: include_tasks → include_role (корректная работа из подкаталога) Сохранение ключей и kubeconfig локально: - k8s-user.yml: новый play сохраняет k8s SSH ключи в ./keys/ на машине запуска - переменная k8s_local_keys_dir: "./keys" (настраивается в group_vars) - .gitignore: keys/k8s_id_rsa исключён (публичный ключ можно коммитить) - kubeconfig уже сохранялся роль k3s (k3s_kubeconfig_local_path: "./kubeconfig") Автоматическая ротация сертификатов K3S (роль k3s-certs): - K3S выпускает сертификаты на 1 год (hardcoded), таймер обеспечивает их обновление - скрипт k3s-cert-check.sh: проверяет срок через openssl, ротирует при k3s_cert_rotate_before_days - systemd service + timer: запуск по расписанию k3s_cert_check_schedule (по умолчанию monthly) - RandomizedDelaySec: снижает нагрузку при одновременном запуске на нескольких нодах - переменные: k3s_cert_validity_years: 5, k3s_cert_rotate_before_days: 90 - добавлен в site.yml (тег certs) и отдельный плейбук playbooks/k3s-certs.yml - make k3s-certs и команда k3s-certs в entrypoint.sh
45 lines
673 B
Plaintext
45 lines
673 B
Plaintext
# Секреты — НИКОГДА не коммитить!
|
|
.env
|
|
.vault_pass
|
|
group_vars/all/vault.yml
|
|
host_vars/*/vault.yml
|
|
*.retry
|
|
|
|
# Kubeconfig — содержит токены доступа к кластеру
|
|
kubeconfig
|
|
*.kubeconfig
|
|
|
|
# SSH ключи
|
|
*.pem
|
|
*.key
|
|
id_rsa
|
|
id_ed25519
|
|
id_ecdsa
|
|
|
|
# Локально сохранённые ключи k8s пользователя (публичный ключ — ок коммитить)
|
|
keys/k8s_id_rsa
|
|
|
|
# Docker артефакты
|
|
.docker/
|
|
.claude/
|
|
|
|
# Python
|
|
__pycache__/
|
|
*.py[cod]
|
|
*.egg-info/
|
|
.venv/
|
|
venv/
|
|
|
|
# Редакторы
|
|
.idea/
|
|
.vscode/
|
|
*.swp
|
|
*.swo
|
|
*~
|
|
.DS_Store
|
|
|
|
# Временные файлы
|
|
/tmp/
|
|
*.tmp
|
|
*.bak
|