Les secrets sont des objets Kubernetes qui permettent de stocker des informations confidentielles. Les secrets mentionnés dans cette rubrique sont requis et sont de type Opaque (sauf indication contraire).

Secrets Image Pull

Le dépôt de conteneur NI qui héberge SystemLink Enterprise est privé et requiert un accès par authentification. Les identifiants pour accéder à SystemLink Enterprise vous ont été communiqués. Configurez les secrets Image Pull pour SystemLink Enterprise à l'aide du tableau global.imagePullSecrets dans systemlink-values.yaml et systemlink-admin-values.yaml. Les secrets Image Pull doivent être conformes au format kubernetes.io/dockerconfigjson.

Secret Détails
niartifacts-secret

Secrets d'authentification

Secret Détails
oidc-secret Identification de SystemLink Enterprise avec votre fournisseur d'authentification OpenID Connect. Contient les champs suivants :
  • clientId : identifiant de client OpenID Connect.
  • clientSecret : secret correspondant à clientId.
  • Jwks : ensemble de clés Web JSON. Si aucun n'est requis, laissez la valeur de chaîne vide.

Clés API sur liste d’autorisation

SystemLink Enterprise utilise des clés API Whitelisted pour authentifier les communications service à service entre clusters Les clés API Whitelisted sont utilisées pour les opérations qui ne s'exécutent pas dans le contexte d'un utilisateur spécifique. Ce secret contient un champ unique.
  • apiKey : séquence de chiffres aléatoires 42 octets encodée en base64.
Si vous gérez des secrets avec Helm, utilisez la valeur userservices.secrets.whitelistedApiKeys dans _systemlink-secrets.yaml_ pour définir chaque secret et son hachage associé. Servez-vous du script generate_whitelisted_key.sh pour simplifier la génération de clés.
Secret Détails
alarmservice-apikey
alarmserviceroutineexecutor-apikey
assetservice-apikey
comments-apikey
dashboardhost-apikey
jupyterhub-apikey
nbexec-argo-workflow-apikey
routineeventtrigger-apikey
routineexecutor-apikey
routinescheduletrigger-apikey
saltmaster-init-apikey
sessionmanagerservice-apikey
systemsmanagement-service-apikey
tageventprocessor-apikey
testmonitor-apikey
webserver-apikey
workorder-apikey

Hachages de clés API sur liste d’autorisation

Secret Détails
userservices-apikey-whitelist Permet de gérer la liste des clés API approuvées, sur liste d’autorisation. Ce secret contient un champ unique.
  • whitelistedApiKeyHashes : tableau de hachages héxadécimaux SHA-512, séparés par des virgules, sans espace blanc ni séparateur de fin.

Clés de cryptage

Secret Détails
fileingestionservices-encryption-key

Champ : encryptionKey

Type de clé : AES-256

Encodage : Base64
fileingestionservices-download-encryption-key

Champ : encryptionKey

Type de clé : AES-256

Encodage : Base64
saltmaster-rsa-keys

Champ : saltmaster-private-key

Type : RSA

Format : PKCS

Champ : saltmaster-public-key

Type : RSA

Format : PKCS1
systemsmanagementservice-dataprotection

Champ : aesKey

Type de clé : AES-128

Encodage : Base64
systemsstateservice-dataprotection

Champ : aesKey

Type de clé : AES-128

Encodage : Base64
taghistorian-continuation-token

Champ : encryptionKey

Type de clé : AEAD

Longueur de clé : 32 octets

Encodage : Base64
userservices-continuation-token

Champ : encryptionKey

Type de clé : AEAD

Longueur de clé : 32 octets

Encodage : Base64
webappservices-continuation-token

Champ : encryptionKey

Type de clé : AEAD

Longueur de clé : 32 octets

Encodage : Base64
webserver-session

Champ : encryptionKey

Type de clé : AES-128

Encodage : Base64

Champ : signatureKey

Type de clé : SHA-256

Encodage : Base64

Identifiants Dremio

Secret Détails
nidataframe-dremio-credentials Contient les champs suivants :
  • username : nom d'utilisateur utilisé pour accéder à l'instance Dremio.
  • password : mot de passe pour l'accès à l'instance Dremio.

Identifiants Grafana

Secret Détails
grafana-login Permet de définir un administrateur pour Grafana avec les champs suivants :
  • admin-user : nom d'utilisateur.
  • admin-password : mot de passe pour admin-user.

Identifiants MongoDB

Toutes les instances MongoDB stockent les identifiants dans un secret contenant les champs suivants :
Remarque Si vous avez votre propre instance MongoDB, il vous suffit de remplir mongodb-connection-string.
  • mongodb-root-password : mot de passe octroyant des droits superutilisateur au cluster de base de données.
  • mongodb-passwords : tableau de mots de passe octroyant tous un accès complet à une base de données individuelle. Ces mots de passe ne peuvent pas comprendre de virgules ou autres caractères réservés, comme défini par la spécification URL IETF.
    Remarque Séparez les mots de passe par des virgules. N'utilisez pas d'espace blanc ni de séparateur de fin. Par exemple : motdepasse1,motdepasse2. Tous les secrets correspondant à des identifiants MongoDB, à l'exception de userservices-mongodb-credentials et saltmaster-mongodb-credentials, nécessitent un mot de passe.
  • mongodb-replica-set-key : clé pour l'authentification des nœuds dans un jeu de réplicas MongoDB.
  • mongodb-connection-string: la chaîne de connexion, y compris les informations d'identification, pour l'authentification à la base de données MongoDB.
Secret Détails
assetservice-mongodb-credentials
fileingestionservices-mongodb-credentials
locationservice-mongodb-credentials
nbexecservice-mongodb-credentials
nicomments-mongodb-credentials
nidataframe-mongodb-credentials
nispecificationmanagement-mongodb-credentials Installation facultative
niworkorder-mongodb-credentials Installation facultative
notification-mongodb-credentials
repositoryservice-mongodb-credentials
routines-mongodb-credentials
routinescheduletrigger-mongodb-credentials
systemsmanagementservice-mongodb-credentials
systemsstateservice-mongodb-credentials
saltmaster-mongodb-credentials Nécessite deux mots de passe mongodb-passwords : l'un pour la base de données des minions et l'autre pour la base de données des pillars (dans cet ordre).
taghistoriandb-mongodb-credentials
tags-mongodb-credentials
userdata-mongodb-credentials
userservices-mongodb-credentials Nécessite deux mots de passe mongodb-passwords : l'un pour la base de données des utilisateurs et l'autre pour la base de données des clés (dans cet ordre).
webappservices-mongodb-credentials

Identifiants PostgreSQL

Secret Détails
dashboardhost-postgres-secrets Contient les champs suivants :
  • host : nom d'hôte associé au serveur PostgreSQL.
  • user : nom d'utilisateur PostgreSQL.
  • password : mot de passe pour user.
testmonitorservicedb-connection Présente deux formes avec les champs suivants, selon que la connexion à la base de données a été définie avec une chaîne de connexion ou en tant que paramètres.
La chaîne de connexion comprend le champ suivant :
  • connection-string : chaîne de connexion PostgreSQL.
Les paramètres de connexion comprennent le champ suivant :
  • password : mot de passe pour l'utilisateur défini avec la valeur testmonitorservice.database.connectionInfo.user.

Informations d'identification du serveur proxy

Secret Détails
webserver-proxy-credentials Identifiants pour l'authentification avec un serveur proxy afin d'accéder à un fournisseur OpenID Connect. Ce secret contient les champs suivants :
  • username : nom d'utilisateur du serveur proxy.
  • password : mot de passe associé à username.

Identifiants RabbitMQ

Secret Détails
rabbitmq-user Identifiants pour l'authentification avec l'instance RabbitMQ. Ce secret contient les champs suivants :
  • rabbitmq-user : nom d'utilisateur.
  • rabbitmq-password : mot de passe associé à rabbitmq-user.
rabbitmq-erlang-cookie Valeur de cookie Erlang. Ce secret contient un champ unique :
  • rabbitmq-erlang-cookie : valeur de cookie Erlang.

Identifiants Redis

Secret Détails
webserver-redis-credentials Contient le champ suivant :
  • password : mot de passe pour l'accès à la base de données Redis.

Identifiants S3

Remarque Une configuration de SystemLink Enterprise requiert les secrets suivants lorsque vous utilisez un fournisseur de stockage de fichiers Amazon S3 ou compatible Amazon S3.
Secret Détails
feeds-s3-credentials Contient les champs suivants :
  • aws-access-key-id : nom d'utilisateur ou ID de clé d'accès S3 pour l'accès S3.
  • aws-secret-access-key : mot de passe ou ID de clé d'accès S3 pour l'accès S3.
fileingestion-s3-credentials Contient les champs suivants :
  • aws-access-key-id : nom d'utilisateur ou ID de clé d'accès S3 pour l'accès S3.
  • aws-secret-access-key : mot de passe ou ID de clé d'accès S3 pour l'accès S3.
nbexecservice-s3-credentials Contient les champs suivants :
  • aws-access-key-id : nom d'utilisateur ou ID de clé d'accès S3 pour l'accès S3.
  • aws-secret-access-key : mot de passe ou ID de clé d'accès S3 pour l'accès S3.
nidataframe-s3-credentials Contient les champs suivants :
  • access-key-id : nom d'utilisateur ou ID de clé d'accès S3 pour l'accès S3.
  • secret-access-key : mot de passe ou ID de clé d'accès S3 pour l'accès S3.

Identifiants de stockage Azure

Remarque Une configuration SystemLink Enterprise nécessite les secrets suivants lorsque vous utilisez un fournisseur de stockage de fichiers Azure Storage.
Secret Détails
feeds-azure-credentials Contient les champs suivants :
  • azure-secret-access-key : clé d'accès partagée pour le compte Azure Storage associé au service de flux.
files-azure-credentials Contient les champs suivants :
  • azure-secret-access-key : clé d'accès partagée pour le compte Azure Storage associé au service d'ingestion de fichiers.
nbexecservice-azure-credentials Contient les champs suivants :
  • azure-secret-access-key : clé d'accès partagée pour le compte Azure Storage associé au service d'exécution de notebooks.
nidataframe-azure-credentials Contient les champs suivants :
  • azure-secret-access-key : clé d'accès partagée pour le compte Azure Storage associé au service DataFrame.

Identifiants SMTP

Secret Détails
smtp-server-credentials Contient les champs suivants :
  • username : nom d'utilisateur pour le serveur SMTP.
  • password : mot de passe pour le serveur SMTP.
Requis uniquement si smtp.smtpServer.host est configuré et que smtp.smtpServer.requireAuthentication est défini sur true.