使用 Helm 自托管
对应的官方文档地址
本文将指导您使用 Helm 图表在不同的 Kubernetes 部署中安装和部署 Bitwarden。
本文将描述在 Kubernetes 上托管 Bitwarden 的通用步骤。提供了特定于提供商的指南,可帮助您深入了解如何根据每个提供商的特定产品来更改部署:
要求
在继续安装之前,请确保满足以下要求:
-
已安装 kubectl 。
-
已安装 Helm 3 。
-
您拥有 SSL 证书和密钥,或者可以通过证书提供商创建 SSL 证书和密钥。
-
您拥有 SMTP 服务器或可以访问云 SMTP 提供商。
-
一个支持 ReadWriteMany 的存储类 。
-
您有一个从 https://bitwarden.com/host 获取到的安装 ID 和密钥。
无根模式要求
Bitwarden 会在启动时检测您的环境是否限制了用户容器的运行身份,并在检测到限制时自动以无根模式启动部署。要成功以无根模式部署,需满足以下两个选项之一:
-
部署外部 MSSQL 数据库,而不是 Helm 图表中默认包含的 SQL 容器。
-
使用服务账户、pod 安全上下文或其他方法为包含的 SQL 容器分配高级权限。
准备图表
将存储库添加到 Helm
使用以下命令将存储库添加到 Helm:
helm repo add bitwarden https://charts.bitwarden.com/
helm repo update
创建命名空间
创建一个命名空间来部署 Bitwarden。我们的文档假定名称空间名为 bitwarden,因此如果您选择不同的名称,请务必修改相应的命令。
kubectl create namespace bitwarden
创建配置
使用以下命令创建一个 my-values.yaml 配置文件,您将使用该文件来自定义部署:
helm show values bitwarden/self-host --devel > my-values.yaml您必须在 my-values.yaml 文件中至少配置以下值:
general.domain:
指向您群集的公共 IP 地址的域名。
general.ingress.enabled:
是否使用图表中定义的 nginx 入口控制器(请参阅使用未包含的入口控制器的示例)。
general.ingress.className:
例如,"nginx" 或 "azure-application-gateway"(示例)。设置为 general.ingress.enabled: false 以使用其他入口控制器。
general.ingress.annotations:
添加到入口控制器的注释。如果您使用包含的 nginx 控制器,则提供了默认值,您必须取消注释并可以根据需要进行自定义。
general.ingress.paths:
如果您使用默认的 nginx 控制器,则提供了默认值,您可以根据需要进行自定义。
general.ingress.cert.tls.name:
您的 TLS 证书的名称。我们将通过一个示例进行演示,如果您已经有,请现在输入,或者稍后再回来修改。
general.ingress.cert.tls.clusterIssuer:
您的 TLS 证书颁发者的名称。稍后我们将通过一个示例进行演示,如果您已经有,请现在输入,或者稍后再回来修改。
general.email.replyToEmail:
用于邀请的电子邮件地址,通常为 no_reply@smtp_host。
general.email.smtpHost:
您的 SMTP 服务器主机名或 IP 地址。
general.email.smtpPort:
SMTP 服务器使用的 SMTP 端口。
general.email.smtpSsl:
您的 SMTP 服务器是否使用加密协议(true = SSL、false = TLS)。
enableCloudCommunication:
设置为 true 以允许您的服务器与我们的云系统进行通信。这样做可以启用计费和许可证同步。
cloudRegion:
默认为 US 。如果您的组织是通过欧盟云服务器启动的,请设置为 EU 。
sharedStorageClassName:
您需要提供的共享存储类的名称,并且必须支持 ReadWriteMany (请参阅使用 Azure 文件存储的示例),除非它是单节点集群。
secrets.secretName:
您的 Kubernetes 机密对象 的名称。您将在下一步创建此对象,因此现在确定一个名称,或者稍后再回来修改这个值。
database.enabled:
是否使用图表中包含的 SQL pod。如果使用外部 SQL 服务器,则只需设置为 false 。
component.scim.enabled
SCIM Pod 默认是禁用的。要启用 SCIM Pod,请设置值 = true 。
component.volume.logs.enabled:
虽然不是必需的,但我们建议出于故障排除的目的将其设置为 true 。
创建机密对象
创建一个 Kubernetes 机密对象 ,至少设置以下值:
globalSettings__installation__id
从 https://bitwarden.com/host 获取到的有效安装 ID 。有关更多信息,请参阅我的安装 ID 和安装密钥是用来干什么的?
globalSettings__installation__key
从 https://bitwarden.com/host 获取到的有效安装密钥 。有关更多信息,请参阅我的安装 ID 和安装密钥是用来干什么的?
globalSettings__mail__smtp__username
您的 SMTP 服务器的有效用户名。
globalSettings__mail__smtp__password
输入的 SMTP 服务器用户名的有效密码。
globalSettings__yubico__clientId
YubiCloud 验证服务或自托管 Yubico 验证服务器的客户端 ID。如果是 YubiCloud,请在这里 获取您的客户端 ID 和密钥。
globalSettings__yubico__key
YubiCloud 验证服务或自托管 Yubico 验证服务器的密钥。如果是 YubiCloud,请在这里 获取您的客户端 ID 和密钥。
globalSettings__hibpApiKey
如果您使用的是 Bitwarden SQL pod,SA_PASSWORD
如果您使用自己的 SQL 服务器,globalSettings__sqlServer__connectionString
连接到 Bitwarden 实例的数据库的凭据。所需内容取决于您使用的是附带的 SQL pod 还是外部 SQL 服务器。
使用 kubectl create secret 命令设置这些值的示例将如下所示:
此示例将命令记录到您的 shell 历史记录中。可以考虑使用其他方法来安全地设置机密。
kubectl create secret generic custom-secret -n bitwarden \
--from-literal=globalSettings__installation__id="REPLACE" \
--from-literal=globalSettings__installation__key="REPLACE" \
--from-literal=globalSettings__mail__smtp__username="REPLACE" \
--from-literal=globalSettings__mail__smtp__password="REPLACE" \
--from-literal=globalSettings__yubico__clientId="REPLACE" \
--from-literal=globalSettings__yubico__key="REPLACE" \
--from-literal=globalSettings__hibpApiKey="REPLACE" \
--from-literal=SA_PASSWORD="REPLACE"不要忘记将 secrets.secretName: 中的值设置为 my-values.yaml 中创建的机密的名称,在本例中为 custom-secret。
证书设置示例
部署需要 TLS 证书和密钥,或者通过证书提供商创建一个。以下示例将引导您使用 cert-manager 生成一个由 Let's Encrypt 签发的证书:
1、使用以下命令在集群上安装 cert-manager:
kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.11.0/cert-manager.yaml2、定义证书颁发者。在您的 DNS 记录指向您的集群之前,Bitwarden 建议在此示例中使用暂存配置。请务必将占位符 email: 替换为有效值:
cat <<EOF | kubectl apply -n bitwarden -f -
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
name: letsencrypt-staging
spec:
acme:
server: https://acme-staging-v02.api.letsencrypt.org/directory
email: [email protected]
privateKeySecretRef:
name: tls-secret
solvers:
- http01:
ingress:
class: nginx #use "azure/application-gateway" for Application Gateway ingress
EOFcat <<EOF | kubectl apply -n bitwarden -f -
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
name: letsencrypt-production
spec:
acme:
server: https://acme-v02.api.letsencrypt.org/directory
email: [email protected]
privateKeySecretRef:
name: tls-secret
solvers:
- http01:
ingress:
class: nginx #use "azure/application-gateway" for Application Gateway ingress
EOF3、如果还没有的话,请确保在 my-values.yaml 中设置 general.ingress.cert.tls.name: 和 general.ingress.cert.tls.clusterIssuer: 的值。在这个例子中,您需要设置为:
-
general.ingress.cert.tls.name: tls-secret -
general.ingress.cert.tls.clusterIssuer: letsencrypt-staging
添加 rawManifest 文件
Bitwarden 自托管 Helm 图表允许您在安装之前或之后包含其他 Kubernetes 清单文件。为此,请更新图表的 rawManifests 部分(了解更多)。例如,在您想使用除默认定义的 nginx 控制器以外的其他入口控制器的情况下,这非常有用。
安装图表
要使用 my-values.yaml 中的配置安装 Bitwarden,请运行以下命令:
helm upgrade bitwarden bitwarden/self-host --install --namespace bitwarden --values my-values.yaml恭喜!Bitwarden 现已启动并在 https://your.domain.com 上正常运行了,如在 my-values.yaml 中所定义的那样。请在浏览器中访问网页密码库以确认其正在运行。您现在可以注册一个新账户然后登录。
您需要设置 SMTP 配置和相关的机密信息,以便验证您的新账户的电子邮箱。
下一步
数据库备份与恢复
在此存储库 中,我们提供了两个示例作业,用于在 Bitwarden 数据库 Pod 中备份和恢复数据库。如果您正在使用的是未作为此 Helm 图表的一部分部署的自己的 SQL Server 实例,请遵循您公司的备份和恢复策略。
数据库备份和备份策略最终由实施者决定。备份可以在集群之外按照一定的时间间隔进行调度,也可以修改为在 Kubernetes 中创建 CronJob 对象进行调度。
备份工作将为以前的备份创建带有时间戳的版本。当前备份简单地称为 vault.bak 。这些文件放在 MS SQL 备份持久卷中。还原任务将在同一持久卷中查找 vault.bak 。
最后更新于