使用 Helm 自托管
最后更新于
最后更新于
对应的
本文将指导您使用 Helm 图表在不同的 Kubernetes 部署中安装和部署 Bitwarden。
本文将描述在 Kubernetes 上托管 Bitwarden 的通用步骤。提供了特定于提供商的指南,可帮助您深入了解如何根据每个提供商的特定产品来更改部署:
在继续安装之前,请确保满足以下要求:
已安装 。
已安装 。
您拥有 SSL 证书和密钥,或者可以通过证书提供商创建 SSL 证书和密钥。
您拥有 SMTP 服务器或可以访问云 SMTP 提供商。
一个支持 ReadWriteMany 的。
您有一个从 获取到的安装 ID 和密钥。
使用以下命令将存储库添加到 Helm:
创建一个命名空间来部署 Bitwarden。我们的文档假定名称空间名为 bitwarden,因此如果您选择不同的名称,请务必修改相应的命令。
使用以下命令创建一个 my-values.yaml 配置文件,您将使用该文件来自定义部署:
您必须在 my-values.yaml 文件中至少配置以下值:
general.domain:
指向您群集的公共 IP 地址的域名。
general.ingress.enabled:
general.ingress.className:
general.ingress.annotations:
添加到入口控制器的注释。如果您使用包含的 nginx 控制器,则提供了默认值,您必须取消注释并可以根据需要进行自定义。
general.ingress.paths:
如果您使用默认的 nginx 控制器,则提供了默认值,您可以根据需要进行自定义。
general.ingress.cert.tls.name:
general.ingress.cert.tls.clusterIssuer:
general.email.replyToEmail:
用于邀请的电子邮件地址,通常为 no_reply@smtp_host。
general.email.smtpHost:
您的 SMTP 服务器主机名或 IP 地址。
general.email.smtpPort:
SMTP 服务器使用的 SMTP 端口。
general.email.smtpSsl:
您的 SMTP 服务器是否使用加密协议(true = SSL、false = TLS)。
enableCloudCommunication:
cloudRegion:
sharedStorageClassName:
secrets.secretName:
database.enabled:
是否使用图表中包含的 SQL pod。如果使用外部 SQL 服务器,则只需设置为 false 。
component.scim.enabled
SCIM Pod 默认是禁用的。要启用 SCIM Pod,请设置值 = true 。
component.volume.logs.enabled:
虽然不是必需的,但我们建议出于故障排除的目的将其设置为 true 。
globalSettings__installation__id
globalSettings__installation__key
globalSettings__mail__smtp__username
您的 SMTP 服务器的有效用户名。
globalSettings__mail__smtp__password
输入的 SMTP 服务器用户名的有效密码。
globalSettings__yubico__clientId
globalSettings__yubico__key
globalSettings__hibpApiKey
如果您使用的是 Bitwarden SQL pod,SA_PASSWORD
如果您使用自己的 SQL 服务器,globalSettings__sqlServer__connectionString
连接到 Bitwarden 实例的数据库的凭据。所需内容取决于您使用的是附带的 SQL pod 还是外部 SQL 服务器。
使用 kubectl create secret 命令设置这些值的示例将如下所示:
此示例将命令记录到您的 shell 历史记录中。可以考虑使用其他方法来安全地设置机密。
不要忘记将 secrets.secretName: 中的值设置为 my-values.yaml 中创建的机密的名称,在本例中为 custom-secret。
1、使用以下命令在集群上安装 cert-manager:
2、定义证书颁发者。在您的 DNS 记录指向您的集群之前,Bitwarden 建议在此示例中使用暂存配置。请务必将占位符 email: 替换为有效值:
3、如果还没有的话,请确保在 my-values.yaml 中设置 general.ingress.cert.tls.name: 和 general.ingress.cert.tls.clusterIssuer: 的值。在这个例子中,您需要设置为:
general.ingress.cert.tls.name: tls-secret
general.ingress.cert.tls.clusterIssuer: letsencrypt-staging
要使用 my-values.yaml 中的配置安装 Bitwarden,请运行以下命令:
恭喜!Bitwarden 现已移动并在 https://your.domain.com 正常运行了,正如在 my-values.yaml 中所定义的那样。请在浏览器中访问网页密码库以确认其正在运行。您现在可以注册一个新账户然后登录。
您需要设置 SMTP 配置和相关的机密信息,以便验证您的新账户的电子邮件。
数据库备份和备份策略最终由实施者决定。备份可以在集群之外按照一定的时间间隔进行调度,也可以修改为在 Kubernetes 中创建 CronJob 对象进行调度。
备份工作将为以前的备份创建带有时间戳的版本。当前备份简单地称为 vault.bak 。这些文件放在 MS SQL 备份持久卷中。还原任务将在同一持久卷中查找 vault.bak 。
是否使用图表中定义的 nginx 入口控制器()。
例如,"nginx" 或 "azure-application-gateway"()。设置为 general.ingress.enabled: false 以使用其他入口控制器。
您的 TLS 证书的名称。我们将通过进行演示,如果您已经有,请现在输入,或者稍后再回来修改。
您的 TLS 证书颁发者的名称。稍后我们将通过进行演示,如果您已经有,请现在输入,或者稍后再回来修改。
设置为 true 以允许您的服务器与我们的云系统进行通信。这样做可以。
默认为 US 。如果您的组织是通过启动的,请设置为 EU 。
您需要提供的共享存储类的名称,并且必须支持 (),除非它是单节点集群。
您的 的名称。您将在下一步创建此对象,因此现在确定一个名称,或者稍后再回来修改这个值。
创建一个 ,至少设置以下值:
从 获取到的有效安装 ID 。有关更多信息,请参阅
从 获取到的有效安装密钥 。有关更多信息,请参阅
YubiCloud 验证服务或自托管 Yubico 验证服务器的客户端 ID。如果是 YubiCloud,请在获取您的客户端 ID 和密钥。
YubiCloud 验证服务或自托管 Yubico 验证服务器的密钥。如果是 YubiCloud,请在获取您的客户端 ID 和密钥。
的 HaveIBeenPwned (HIBP) API 密钥,可获取。此密钥允许用户在创账户时运行并检查其主密码是否存在泄露。
部署需要 TLS 证书和密钥,或者通过证书提供商创建一个。以下示例将引导您使用 生成一个由 Let's Encrypt 签发的证书:
Bitwarden 自托管 Helm 图表允许您在安装之前或之后包含其他 Kubernetes 清单文件。为此,请更新图表的 rawManifests 部分()。例如,在您想使用除默认定义的 nginx 控制器以外的其他入口控制器的情况下,这非常有用。
在中,我们提供了两个示例作业,用于在 Bitwarden 数据库 Pod 中备份和恢复数据库。如果您正在使用的是未作为此 Helm 图表的一部分部署的自己的 SQL Server 实例,请遵循您公司的备份和恢复策略。