Installer en airgap avec KOTS sur un cluster existant

Introduction

Avis de dépréciation

Cette méthode d'installation sera dépréciée et non prise en charge après la release de juin 2026 (version 2026.6.0). Utilisez plutôt l'installation Helm sur un cluster existant.

⚠️ Utilisez l'installation Helm sur un cluster existant sauf indication contraire.

Ce guide couvre l'installation de GitGuardian en environnement airgap via KOTS (Kubernetes Off-The-Shelf) sur un cluster Kubernetes existant. En environnement airgap, il n'y a pas de connectivité Internet directe ; cette méthode d'installation nécessite donc de télécharger les bundles GitGuardian depuis Internet sur une machine séparée, puis de les transférer dans votre environnement isolé.

Prérequis

Infrastructure requise

1. Cluster Kubernetes : un cluster Kubernetes opérationnel dans votre environnement isolé. Voir les prérequis système. Pour les clusters OpenShift, consultez les recommandations d'installation OpenShift.

2. Base PostgreSQL : une instance PostgreSQL externe avec les extensions requises. Voir Configurer votre base de données.

3. Instance Redis : une instance Redis dédiée. Voir les prérequis système.

4. Registre d'images privé : un registre de conteneurs privé accessible depuis votre cluster Kubernetes pour héberger les images GitGuardian.

Prérequis supplémentaires

1. Fichier de licence (pour l'installation KOTS) : téléchargez votre licence GitGuardian depuis le portail. Voir Gestion de la licence.

2. Accès réseau : assurez-vous que votre environnement isolé respecte les prérequis réseau.

3. Nom de domaine : un Fully Qualified Domain Name (FQDN). Voir les prérequis système.

Prérequis

Avant de commencer, examinez les prérequis système et réseau, et téléchargez votre licence.

Installation

Télécharger et installer la console d'administration KOTS

Installez d'abord le plugin KOTS pour kubectl sur votre machine :

curl https://kots.io/install | bash

Ensuite, téléchargez le dernier bundle pour la console d'administration KOTS. Il y a deux endroits pour le télécharger. Le premier et recommandé est le portail de téléchargement où vous pouvez aussi télécharger votre licence et le bundle de l'application. Le second est les release assets sur GitHub. Dans les deux cas, veillez à correspondre à la version du plugin KOTS installée localement. Vérifiez-la via :

kubectl kots version

RBAC de l'application Kubernetes

La console d'administration KOTS aura un contrôle total sur toutes les ressources de tous les namespaces du cluster. Plus d'informations dans la documentation Replicated.

Si vous n'êtes pas cluster-admin dans votre cluster Kubernetes ou que vous ne souhaitez pas accorder à la console d'administration KOTS de telles permissions étendues, vous devrez appliquer la configuration ci-dessous dans votre namespace cible <gitguardian_namespace> :

Rôles RBAC pour l'installation KOTS

---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: kotsadm
  namespace: <gitguardian_namespace>
  labels:
    kots.io/backup: velero
    kots.io/kotsadm: 'true'

---
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  name: kotsadm-role
  namespace: <gitguardian_namespace>
  labels:
    kots.io/backup: velero
    kots.io/kotsadm: 'true'
rules:
  - apiGroups: ['']
    resources:
      [
        'configmaps',
        'persistentvolumeclaims',
        'pods',
        'secrets',
        'services',
        'limitranges',
        'serviceaccounts',
      ]
    verbs: ['get', 'list', 'watch', 'create', 'update', 'patch', 'delete']
  - apiGroups: ['apps']
    resources:
      [
        'daemonsets',
        'deployments',
        'deployments/scale',
        'replicasets',
        'statefulsets',
      ]
    verbs: ['get', 'list', 'watch', 'create', 'update', 'patch', 'delete']
  - apiGroups: ['batch']
    resources: ['jobs', 'cronjobs']
    verbs: ['get', 'list', 'watch', 'create', 'update', 'patch', 'delete']
  - apiGroups: ['networking.k8s.io', 'extensions']
    resources: ['ingresses', 'networkpolicies']
    verbs: ['get', 'list', 'watch', 'create', 'update', 'patch', 'delete']
  - apiGroups: ['policy']
    resources: ['poddisruptionbudgets']
    verbs: ['get', 'list', 'watch', 'create', 'update', 'patch', 'delete']
  - apiGroups: ['']
    resources: ['namespaces', 'endpoints']
    verbs: ['get']
  - apiGroups: ['authorization.k8s.io']
    resources: ['selfsubjectaccessreviews', 'selfsubjectrulesreviews']
    verbs: ['create']
  - apiGroups: ['rbac.authorization.k8s.io']
    resources: ['roles', 'rolebindings']
    verbs: ['get', 'list', 'watch', 'create', 'update', 'patch', 'delete']
  - apiGroups: ['']
    resources: ['pods/log', 'pods/exec']
    verbs: ['get', 'list', 'watch', 'create']
  - apiGroups: ['batch']
    resources: ['jobs/status']
    verbs: ['get', 'list', 'watch']
  - apiGroups: ['monitoring.coreos.com']
    resources: ['servicemonitors']
    verbs: ['get', 'list', 'watch', 'create', 'update', 'patch', 'delete']
  - apiGroups: ['']
    resources: ['events']
    verbs: ['list']

---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: kotsadm-rolebinding
  namespace: <gitguardian_namespace>
  labels:
    kots.io/backup: velero
    kots.io/kotsadm: 'true'
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: Role
  name: kotsadm-role
subjects:
  - kind: ServiceAccount
    name: kotsadm

Téléverser les images de la console d'administration vers le registre privé

Vous devez maintenant téléverser ces images vers votre registre via un utilisateur disposant d'un accès en écriture à votre registre interne :

kubectl kots admin-console push-images ./kotsadm.tar.gz \
  ${private.registry.host}/gitguardian \
  --registry-username ${rw-username} \
  --registry-password ${rw-password}

Le nom d'utilisateur et le mot de passe du registre ne sont stockés nulle part.

Installer la console d'administration KOTS

Vous pouvez enfin exécuter la commande d'installation de la console d'administration KOTS.

Si vous êtes cluster-admin :

kubectl kots install gitguardian \
  --kotsadm-namespace gitguardian \
  --kotsadm-registry ${private.registry.host} \
  --registry-username ${ro-username} \
  --registry-password ${ro-password}

Si vous n'êtes pas cluster-admin (et que vous avez appliqué la configuration RBAC ci-dessus) :

kubectl kots install --ensure-rbac=false gitguardian \
  --kotsadm-namespace gitguardian \
  --kotsadm-registry ${private.registry.host} \
  --registry-username ${ro-username} \
  --registry-password ${ro-password}

Un secret Kubernetes sera utilisé pour stocker ces identifiants.

Vous serez invité à choisir un mot de passe pour accéder à la console d'administration KOTS s'il n'a pas été fourni à l'installation.

Un port-forward automatique est lancé ; vous pouvez maintenant accéder à la console d'administration KOTS sur http://localhost:8800.

astuce

Console d'administration KOTS

Par défaut, on y accède sur http://localhost:8800 via cette commande kubectl kots admin-console --namespace=<namespace>, qui est un wrapper autour de kubectl port-forward. Vous pouvez configurer un ingress si vous voulez un endpoint public.

Télécharger le bundle de l'application

Vous devrez d'abord télécharger la licence et le bundle de l'application depuis le portail de téléchargement. Le nom de fichier du bundle de l'application doit se terminer par .airgap.

Transférez à la fois le fichier de licence et le bundle de l'application vers votre environnement airgap où vous pouvez accéder à la console d'administration KOTS.

Configuration de l'application

Une fois la console d'administration KOTS en cours d'exécution et le bundle de la console téléversé, vous pouvez procéder à la configuration de l'application :

1. Saisissez le mot de passe fourni à la fin de l'installation du cluster.

2. Téléversez la licence téléchargée depuis le portail (voir les instructions pour télécharger le fichier de licence).

3. Configurez l'application. Vous devez remplir tous les champs obligatoires :

   • Application Hostname : saisissez le Fully Qualified Domain Name (FQDN) de l'application GitGuardian.
   • Champs administrateur : ces champs servent à créer le premier utilisateur GitGuardian. Vous devrez changer le mot de passe lors de la première connexion.
   • Bases de données : vous devez sélectionner un PostgreSQL et un Redis externes ; voir Configurer votre base de données. Lors de l'utilisation de Redis Sentinel pour la haute disponibilité, vérifiez que le mot de passe master de Redis correspond à celui du sentinel et que vous utilisez le bon port Sentinel (par défaut : 26379).

Les options de configuration supplémentaires incluent :

• Scaling : ajustez le nombre de réplicas pour chaque composant. Voir la page Scaling.
• Prometheus : activez un exporter pour Prometheus.
• Certificat TLS Ingress : pour l'application GitGuardian. Vous pouvez utiliser des certificats auto-signés générés automatiquement ou téléverser les vôtres. Pour les certificats auto-signés ou de CA privée, désactivez la vérification SSL pour le webhook GitHub. En savoir plus sur la page Configurer les certificats TLS.
• Load Balancer : le type de Service peut être changé de ClusterIP à LoadBalancer si nécessaire.
• Custom Certificate Authority : fournissez une CA personnalisée si nécessaire.
• Proxy HTTP(S) : référez-vous à la section proxy si nécessaire.

4. Vérifiez que les preflight checks passent.

Prérequis

Les preflight checks sont essentiels pour une installation réussie. Les règles suivantes s'appliquent :

• ❌ Échec des preflight checks : si les preflight checks échouent, l'installation ne doit pas continuer tant que l'environnement cible ne satisfait pas tous les prérequis. Contactez notre équipe support si nécessaire.
• ⚠️ Avertissements des preflight checks : si les preflight checks renvoient des avertissements, l'installation peut continuer, mais il est recommandé de les traiter pour respecter nos recommandations.

5. Lancez

La première installation de l'application nécessite quelques minutes pour créer tous les objets de base de données. Une fois le processus terminé, vous pourrez vous connecter au tableau de bord en utilisant l'utilisateur administrateur que vous avez défini.

Conserver la clé de chiffrement des données

attention

GitGuardian chiffre toutes les informations sensibles dans la base à l'aide d'une clé de chiffrement (aussi appelée Django Secret Key). En cas de reprise après sinistre, cette clé sera nécessaire pour restaurer vos données.

Vous devriez la sauvegarder et la conserver dans un emplacement sûr. Utilisez la commande suivante pour afficher la clé :

kubectl get secrets gim-secrets --namespace=<namespace> -o jsonpath='{.data.DJANGO_SECRET_KEY}' | base64 -d

Si nécessaire, précisez le namespace Kubernetes avec --namespace (le namespace par défaut est utilisé sinon).

Dépannage

Si vous rencontrez des problèmes durant l'installation, vous pouvez générer un support bundle pour permettre à l'équipe GitGuardian de diagnostiquer et résoudre les problèmes plus efficacement. Consultez la documentation du support bundle pour des instructions détaillées.

Prochaines étapes

Après une installation réussie :

• Accédez à votre instance GitGuardian via le hostname configuré
• Connectez-vous avec les identifiants administrateur que vous avez définis (changez le mot de passe temporaire à la première connexion)
• Configurez les paramètres d'e-mail pour les notifications
• Mettez en place l'intégration SSO et SCIM (optionnel)
• Intégrez vos premiers dépôts pour démarrer la détection des secrets