Настройка Concourse CI для использования AWS Secrets Manager

Question

Я пытался выяснить, как настроить docker версию Concourse (https://github.com/concourse/concourse-docker) для использования AWS Secrets Manager, и я добавил следующие переменные среды в docker -составить файл, но из журналов не похоже, что он когда-либо достигнет AWS для получения кредитов. Я что-то упустил или это должно произойти автоматически при добавлении этих переменных среды в среду в файле docker -compose? Вот документы, на которые я смотрел https://concourse-ci.org/aws-asm-credential-manager.html

version: '3'

services:
  concourse-db:
    image: postgres
    environment:
      POSTGRES_DB: concourse
      POSTGRES_PASSWORD: concourse_pass
      POSTGRES_USER: concourse_user
      PGDATA: /database

  concourse:
    image: concourse/concourse
    command: quickstart
    privileged: true
    depends_on: [concourse-db]
    ports: ["9090:8080"]
    environment:
      CONCOURSE_POSTGRES_HOST: concourse-db
      CONCOURSE_POSTGRES_USER: concourse_user
      CONCOURSE_POSTGRES_PASSWORD: concourse_pass
      CONCOURSE_POSTGRES_DATABASE: concourse
      CONCOURSE_EXTERNAL_URL: http://XXX.XXX.XXX.XXX:9090
      CONCOURSE_ADD_LOCAL_USER: test: test
      CONCOURSE_MAIN_TEAM_LOCAL_USER: test
      CONCOURSE_WORKER_BAGGAGECLAIM_DRIVER: overlay
      CONCOURSE_AWS_SECRETSMANAGER_REGION: us-east-1
      CONCOURSE_AWS_SECRETSMANAGER_ACCESS_KEY: <XXXX>
      CONCOURSE_AWS_SECRETSMANAGER_SECRET_KEY: <XXXX>
      CONCOURSE_AWS_SECRETSMANAGER_TEAM_SECRET_TEMPLATE: /concourse/{{.Secret}}
      CONCOURSE_AWS_SECRETSMANAGER_PIPELINE_SECRET_TEMPLATE: /concourse/{{.Secret}}

pipeline.yml пример:

jobs:
  - name: build-ui
    plan:
      - get: web-ui
        trigger: true
      - get: resource-ui
      - task: build-task
        file: web-ui/ci/build/task.yml
      - put: resource-ui
        params:
          repository: updated-ui
          force: true
      - task: e2e-task
        file: web-ui/ci/e2e/task.yml
        params:
          UI_USERNAME: ((ui-username))
          UI_PASSWORD: ((ui-password))

resources:
  - name: cf
    type: cf-cli-resource
    source:
      api: https://api.run.pivotal.io
      username: ((cf-username))
      password: ((cf-password))
      org: Blah

  - name: web-ui
    type: git
    source:
      uri: git@github.com:blah/blah.git
      branch: master
      private_key: ((git-private-key))

Answer 1

При хранении параметров для конвейеров конкурса в AWS Secrets Manager, он должен следовать этому синтаксису,

/concourse/TEAM_NAME/PIPELINE_NAME/PARAMETER_NAME`

Если у вас есть общие параметры, которые используются в команде в нескольких конвейерах, используйте этот синтаксис для Избегайте создания избыточных параметров в диспетчере секретов

/concourse/TEAM_NAME/PARAMETER_NAME

Максимальный поддерживаемый уровень - уровень команды участников.

Глобальные параметры невозможны. Таким образом, эти переменные в вашей среде компоновки не будут поддерживаться.

CONCOURSE_AWS_SECRETSMANAGER_TEAM_SECRET_TEMPLATE: /concourse/{{.Secret}}
CONCOURSE_AWS_SECRETSMANAGER_PIPELINE_SECRET_TEMPLATE: /concourse/{{.Secret}}

Если вы не захотите изменить префикс /concourse, эти параметры должны остаться со своими значениями по умолчанию.

И, когда получение этих параметров в конвейере, никаких изменений в шаблоне не требуется. Просто передайте PARAMETER_NAME, зал будет обрабатывать поиск в менеджере секретов в соответствии с именем команды и конвейера.

...
        params:
          UI_USERNAME: ((ui-username))
          UI_PASSWORD: ((ui-password))
...