Installer sur un cluster Embedded

Introduction

⚠️ Notez que les installations embarquées ne sont pas recommandées pour une utilisation en production et sont plus adaptées aux essais ou aux preuves de concept (PoC). Plus d'informations ici.

GitGuardian peut être installé avec une distribution Kubernetes embarquée et prend en charge le déploiement sur bare metal, clouds privés ou publics.

Prérequis

Infrastructure requise

1. Machine virtuelle Linux : Consultez les exigences système pour les spécifications matérielles et OS détaillées, y compris les niveaux de dimensionnement Small / Medium / Large pour les PoC.

   Dimensionnez la VM en fonction du volume que vous prévoyez de scanner durant votre PoC. Exemples d'instances VM par niveau :

   Niveau	AWS	GCP	Azure
   Small	m7a.4xlarge (16 vCPU / 64 GiB)	n2-standard-16 (16 vCPU / 64 GB)	Standard_D16s_v5 (16 vCPU / 64 GiB)
   Medium	m7a.8xlarge (32 vCPU / 128 GiB)	n2-standard-32 (32 vCPU / 128 GB)	Standard_D32s_v5 (32 vCPU / 128 GiB)
   Large	m7a.16xlarge (64 vCPU / 256 GiB)	n2-standard-64 (64 vCPU / 256 GB)	Standard_D64s_v5 (64 vCPU / 256 GiB)

PoC à volume élevé

Le cluster embarqué à nœud unique ne peut pas évoluer horizontalement. Pour les PoC à volume élevé (nombreux dépôts, ou sources de documents telles que SharePoint et OneDrive), provisionnez une VM Large ou utilisez une installation sur cluster existant. Pour mettre rapidement en place PostgreSQL et Redis sur un cluster existant pour un PoC, vous pouvez utiliser les presets helm-pg-redis-poc, qui fournissent des configurations Small/Medium/Large alignées avec le guide de Scaling.

Exigences supplémentaires

2. Fichier de licence : Téléchargez votre licence GitGuardian depuis le portail. Consultez la gestion des licences pour les instructions.

3. Accès réseau : Assurez-vous que votre cluster satisfait aux exigences réseau.

4. Nom de domaine : Un nom de domaine complet (FQDN) pour accéder à l'application. Consultez les exigences système.

Exigences

Consultez l'intégralité des exigences système et réseau avant de poursuivre.

Installation

Cluster embarqué

Contactez l'équipe GitGuardian à l'adresse support@gitguardian.com pour obtenir votre ID de licence. La licence est intégrée directement dans le bundle d'installation, ce qui évite d'avoir à télécharger un fichier de licence séparé.

Pour commencer l'installation, exécutez les commandes suivantes sur votre système hôte. Le processus d'installation prend environ 5 minutes. Envisagez d'utiliser un multiplexeur de terminal tel que screen ou tmux pour éviter une interruption due à une perte de connexion. Remplacez your_license par l'ID de licence fourni par l'équipe GitGuardian.

LICENSE_ID=your_license
curl -f "https://replicated.app/embedded/gitguardian/stable" -H "Authorization: $LICENSE_ID" -o gitguardian.tgz
tar -xvzf gitguardian.tgz
sudo ./gitguardian install --license license.yaml

info

Airgap

Pour une utilisation en mode airgap, utilisez plutôt ceci :

LICENSE_ID=your_license
curl -f https://replicated.app/embedded/gitguardian/stable?airgap=true -H "Authorization: $LICENSE_ID" -o gitguardian.tgz
tar -xvzf gitguardian.tgz
sudo ./gitguardian install --license license.yaml --airgap-bundle gitguardian.airgap

Proxy HTTP

Pour utiliser un proxy HTTP, utilisez plutôt ceci :

LICENSE_ID=your_license
curl -f https://replicated.app/embedded/gitguardian/stable -H "Authorization: $LICENSE_ID" -o gitguardian.tgz
tar -xvzf gitguardian.tgz
sudo ./gitguardian install --license license.yaml \
  --http-proxy http://proxy.example.com:8080 \
  --https-proxy http://proxy.example.com:8080

Pour les proxys avec authentification, incluez les identifiants dans l'URL :

sudo ./gitguardian install --license license.yaml \
  --http-proxy http://username:password@proxy.example.com:8080 \
  --https-proxy http://username:password@proxy.example.com:8080

Pour des instructions détaillées sur la configuration du proxy, y compris le dépannage des proxys authentifiés, consultez la documentation Proxy HTTP.

Vous serez invité à saisir le mot de passe de la console d'administration. Ce mot de passe est utilisé pour gérer l'application GitGuardian et est différent du mot de passe du dashboard GitGuardian que vous configurerez plus tard.

Si vous êtes invité à sélectionner parmi plusieurs interfaces réseau, choisissez celle qui est connectée à votre réseau privé.

Cela installera un cluster Kubernetes géré à nœud unique avec tout ce dont il a besoin pour exécuter l'application GitGuardian.

Une fois l'installation terminée, des instructions apparaîtront pour expliquer comment accéder à la console d'administration.

remarque

L'espace de noms de déploiement pour KOTS (et GitGuardian) ne peut pas être modifié pour le moment.

Application

Avec le cluster Kubernetes embarqué maintenant configuré, passons à l'installation de l'application GitGuardian.

1. Accédez à la Admin Console avec le lien fourni et configurez TLS. Vous avez la possibilité de téléverser vos certificats TLS ou d'utiliser des certificats auto-signés.

2. Saisissez le mot de passe fourni à la fin de l'installation du cluster.

3. Vous pouvez voir l'état du cluster (avec un seul nœud pour le moment). Cliquez ensuite sur continuer.

4. Configurez l'application en remplissant tous les champs requis :

   • Application Hostname : Saisissez le nom de domaine complet (FQDN) pour l'application GitGuardian.
   • Admin User Fields : Ces champs sont utilisés pour créer le premier utilisateur GitGuardian. Vous devrez changer le mot de passe lors de la première connexion.

Les options de configuration supplémentaires comprennent :

• Scaling : Ajustez le nombre de réplicas pour chaque composant de l'application. Pour plus de détails, consultez la page Scaling.
• Prometheus : Activez un exporter pour Prometheus.
• TLS Certificate : Ceci concerne l'application GitGuardian. Vous pouvez soit utiliser des certificats auto-signés générés automatiquement, soit téléverser les vôtres. Pour les certificats auto-signés ou d'autorité de certification privée, désactivez la vérification SSL pour le webhook GitHub. Apprenez-en plus sur la page Configurer les certificats TLS.
• Custom Certificate Authority : Fournissez une CA personnalisée si nécessaire.
• HTTP(s) Proxy : Reportez-vous à la section proxy si nécessaire.
• Databases/Datastores : Choisissez entre utiliser PostgreSQL/Redis embarqués ou externes. Pour plus d'informations, consultez Configurer votre base de données.
• Considérations sur le load balancer : Pour utiliser le cluster embarqué derrière un load balancer, veuillez lire Configurer votre instance pour fonctionner derrière un load balancer.

5. Vérifiez si les preflight checks passent.

Exigences

Les preflight checks sont essentiels pour une installation réussie. Les règles suivantes s'appliquent :

• ❌ Échecs des Preflight Checks : Si les preflight checks échouent, l'installation ne doit pas continuer tant que l'environnement cible ne satisfait pas à toutes les exigences. Veuillez contacter notre équipe de support si nécessaire.
• ⚠️ Avertissements des Preflight Checks : Si les preflight checks renvoient des avertissements, l'installation peut se poursuivre, mais il est recommandé de traiter ces avertissements pour vous conformer à nos recommandations.

6. Lancement

La première installation de l'application GitGuardian nécessite quelques minutes pour créer tous les objets de la base de données. Une fois le processus terminé, vous pourrez vous connecter au dashboard en utilisant l'utilisateur administrateur que vous avez défini.

Enregistrer la clé de chiffrement des données

attention

GitGuardian chiffre toutes les informations sensibles dans la base de données à l'aide d'une clé de chiffrement (aussi appelée Django Secret Key). En cas de reprise après sinistre, cette clé sera nécessaire pour restaurer vos données.

Vous devez l'enregistrer et la conserver dans un emplacement sécurisé. Utilisez la commande suivante pour afficher la clé :

sudo ./gitguardian shell
kubectl get secrets gim-secrets -o jsonpath='{.data.DJANGO_SECRET_KEY}' | base64 -d

Dépannage

Si vous rencontrez des problèmes durant l'installation, vous pouvez générer un support bundle pour permettre à l'équipe GitGuardian de diagnostiquer et résoudre les problèmes plus efficacement. Consultez la documentation du support bundle pour des instructions détaillées.

Prochaines étapes

Après une installation réussie :

• Accédez à votre instance GitGuardian via le hostname configuré
• Connectez-vous avec les identifiants administrateur que vous avez définis (changez le mot de passe temporaire à la première connexion)
• Configurez les paramètres d'e-mail pour les notifications
• Mettez en place l'intégration SSO et SCIM (optionnel)
• Intégrez vos premiers dépôts pour démarrer la détection des secrets