Как сменить пароль сервисной учётной записи?

Платформа «Штурвал» подключается к инфраструктуре (vCenter, oVirt, OpenStack и т.д.) и к хранилищу (при использовании CSI) с помощью сервисных учётных записей. Если пароль или логин сервисной УЗ изменился в самой системе (vCenter, Engine, облаке), их нужно обновить в платформе. Учётные данные могут задаваться в двух местах: в экземпляре провайдера (инфраструктура и часто CSI) и отдельно для CSI Provisioner, если он использует свои секреты.

Где хранятся учётные данные

Что использует учётные данные Где задаются Где менять пароль / логин
Провайдер инфраструктуры (Cluster API: создание ВМ, узлов) Экземпляр провайдера в платформе Редактирование экземпляра провайдера (см. ниже)
CSI Provisioner, если использует те же учётные данные, что и провайдер Те же, что у провайдера (платформа подставляет их в CSI) Достаточно сменить в экземпляре провайдера
CSI Provisioner, если использует отдельные учётные данные Secret или параметры в кластере (например, Ceph, NFS) Редактирование Secret / параметров в том кластере, где работает CSI

Ниже — как менять пароль в каждом случае.


Смена пароля в экземпляре провайдера

Учётные данные провайдера (логин, пароль, при необходимости токен или ключ) задаются при создании и редактировании экземпляра провайдера. Смена пароля выполняется через интерфейс платформы.

Шаги

  1. Перейдите в ПровайдерыКонфигурация провайдеров.
  2. Найдите нужный экземпляр провайдера (vCenter, oVirt, OpenStack и т.д.) и откройте его для редактирования (кнопка редактирования или «Конфигурация»).
  3. В форме измените поле Пароль (и при необходимости Имя пользователя или другие поля учётной записи — в зависимости от типа провайдера).
  4. Нажмите Проверить подключение, чтобы убедиться, что новые учётные данные принимаются API провайдера.
  5. Нажмите Сохранить.

После сохранения платформа обновит хранимые учётные данные. Контроллеры (в том числе Cluster API и при включённом CSI — компоненты, использующие те же данные из экземпляра провайдера) при следующих операциях будут использовать новый пароль. Дополнительно предпринимать другие действия не требуется.

По типам провайдеров

  • VMware vSphere: поля «Имя пользователя» и «Пароль» в форме экземпляра. Формат логина: username@domain. См. VMware vSphere.
  • oVirt и подобные: «URL Engine», «Имя пользователя», «Пароль». См. oVirt и подобные провайдеры.
  • OpenStack: при типе «Сервисный пользователь» — «Name (username)» и «Пароль»; при «Токен» — обновляется токен. См. OpenStack.
  • Yandex Cloud: при использовании сервисного аккаунта — обновляется JSON-ключ (Service Account key). См. Yandex Cloud.
  • vCloud Director, Basis Dynamix, Shturval v2: учётные данные задаются в форме экземпляра; пароль (или ключ для Shturval v2) меняется там же.

CSI Provisioner: когда учётные данные общие с провайдером

Если в платформе для кластеров используется CSI на базе того же провайдера (например, VMware vSphere CSI или oVirt CSI), и при создании кластера была включена опция интеграции CSI, учётные данные для CSI обычно берутся из того же экземпляра провайдера. В этом случае достаточно сменить пароль (и при необходимости логин) в экземпляре провайдера — как описано выше. Отдельно настраивать CSI после смены пароля не нужно.

Убедитесь после смены пароля, что в vCenter/oVirt у сервисной УЗ по-прежнему назначены права, необходимые для CSI (например, для vSphere — сервисная роль №2). См. VMware vSphere, oVirt и подобные провайдеры.


CSI Provisioner: когда учётные данные отдельные

Некоторые CSI-драйверы используют не учётные данные провайдера инфраструктуры, а отдельные секреты в кластере (логин/пароль или ключи доступа к хранилищу). Например:

  • Ceph RBD / CephFS — в StorageClass или в параметрах CSI указываются имена Secret с ключами Ceph (admin, user). Эти секреты создаются в неймспейсе кластера и заполняются ключами из ceph auth get и т.п.
  • NFS — в зависимости от реализации могут использоваться свои параметры подключения и при необходимости секреты.

В таких случаях пароль или ключ нужно менять там, где они хранятся — в кластере, в котором развёрнут соответствующий CSI:

  1. Определите, какой Secret (или какой параметр конфигурации) использует CSI-модуль для доступа к хранилищу. Это может быть указано в StorageClass (например, provisionerSecret, nodeStageSecret) или в описании системного сервиса CSI.
  2. Откройте кластерХранилище (или АдминистрированиеХранилище) → Secrets (или соответствующий неймспейс, где создан секрет).
  3. Отредактируйте нужный Secret: обновите поле с паролем или ключом (значения в Secret обычно хранятся в base64; при редактировании через GUI платформа может принимать уже готовое значение или кодировать его сама).
  4. После сохранения Secret поды CSI (node plugin, controller) при следующем обращении к хранилищу начнут использовать новые данные. При необходимости перезапустите поды CSI по документации модуля.

Подробнее о параметрах StorageClass и секретах для Ceph см. StorageClasses (классы хранилища) — разделы по типу Ceph RBD / CephFS.