DB
Да. Кред для коннекта к волту
или можно юзать vault agent, и не давать доступ jenkins до его конфигов
тогда у самого jenkins не будет вообще никаких токенов
Size: a a a
2021 July 22
M
u
Нет, ну я ведь правильно понимаю, что используя envconsul например, я смогу из Vault получить переменные среды, и в этот момент они у меня подтянутся в этот yaml?
DB
Наверное. Консул я не юзал в такой связке. Пробуй
u
Просто слишком много телодвижений нужно, чтобы попробовать )) Но я уже почти на финишной прямой, сейчас буду сервис стартовать
u
Спасибо всем за ответы!
DB
Только учти, что к переменным среды дженкинса можно получить доступ несколькими способами. Потому это несекурно
DB
Vault agent я так и не пощупал
u
Ну, вариантов особо нет, да и задачи не стоит, сделать супер безопасно
u
В момент запуска из yaml, чтобы плагины автоматом подтянулись, их просто положить в data каталог Jenkins? Или это делается каким-то другим способом?
DB
мы запекаем ядро вместе с плагинами в докер-имидж
DB
ещё есть вариант с запеканием в war (не юзал)
M
он прям агонь.
ssh ключи на ноду подложить
заполнить креды при старте CASC
без кредов ходить за ключами в пайплайне.
jenkins ваще ничего про волт не знает, кроме 127.0.0.1:8100 )
ssh ключи на ноду подложить
заполнить креды при старте CASC
без кредов ходить за ключами в пайплайне.
jenkins ваще ничего про волт не знает, кроме 127.0.0.1:8100 )
DB
короче, их как-то надо доставить в plugins/
u
Отлично, так и делаю
DB
да я в курсе, но пока только читал.
u
Так как jcasc не умеет сам генерировать пайплайны, то пайплайн, который будет генерировать другие пайплайны тоже надо просто как plugins подкинуть в каталог jobs ?
M
умеет)
M
им seed джобу и создаёшь
u
jobs:
- script: >
job('testJob1') {
Это вот так получается?
- script: >
job('testJob1') {
Это вот так получается?