Как сменить пароль сервисной учётной записи?
Платформа «Штурвал» подключается к инфраструктуре (vCenter, oVirt, OpenStack и т.д.) и к хранилищу (при использовании CSI) с помощью сервисных учётных записей. Если пароль или логин сервисной УЗ изменился в самой системе (vCenter, Engine, облаке), их нужно обновить в платформе. Учётные данные могут задаваться в двух местах: в экземпляре провайдера (инфраструктура и часто CSI) и отдельно для CSI Provisioner, если он использует свои секреты.
Где хранятся учётные данные
| Что использует учётные данные | Где задаются | Где менять пароль / логин |
|---|---|---|
| Провайдер инфраструктуры (Cluster API: создание ВМ, узлов) | Экземпляр провайдера в платформе | Редактирование экземпляра провайдера (см. ниже) |
| CSI Provisioner, если использует те же учётные данные, что и провайдер | Те же, что у провайдера (платформа подставляет их в CSI) | Достаточно сменить в экземпляре провайдера |
| CSI Provisioner, если использует отдельные учётные данные | Secret или параметры в кластере (например, Ceph, NFS) | Редактирование Secret / параметров в том кластере, где работает CSI |
Ниже — как менять пароль в каждом случае.
Смена пароля в экземпляре провайдера
Учётные данные провайдера (логин, пароль, при необходимости токен или ключ) задаются при создании и редактировании экземпляра провайдера. Смена пароля выполняется через интерфейс платформы.
Шаги
- Перейдите в Провайдеры → Конфигурация провайдеров.
- Найдите нужный экземпляр провайдера (vCenter, oVirt, OpenStack и т.д.) и откройте его для редактирования (кнопка редактирования или «Конфигурация»).
- В форме измените поле Пароль (и при необходимости Имя пользователя или другие поля учётной записи — в зависимости от типа провайдера).
- Нажмите Проверить подключение, чтобы убедиться, что новые учётные данные принимаются API провайдера.
- Нажмите Сохранить.
После сохранения платформа обновит хранимые учётные данные. Контроллеры (в том числе Cluster API и при включённом CSI — компоненты, использующие те же данные из экземпляра провайдера) при следующих операциях будут использовать новый пароль. Дополнительно предпринимать другие действия не требуется.
По типам провайдеров
- VMware vSphere: поля «Имя пользователя» и «Пароль» в форме экземпляра. Формат логина:
username@domain. См. VMware vSphere. - oVirt и подобные: «URL Engine», «Имя пользователя», «Пароль». См. oVirt и подобные провайдеры.
- OpenStack: при типе «Сервисный пользователь» — «Name (username)» и «Пароль»; при «Токен» — обновляется токен. См. OpenStack.
- Yandex Cloud: при использовании сервисного аккаунта — обновляется JSON-ключ (Service Account key). См. Yandex Cloud.
- vCloud Director, Basis Dynamix, Shturval v2: учётные данные задаются в форме экземпляра; пароль (или ключ для Shturval v2) меняется там же.
CSI Provisioner: когда учётные данные общие с провайдером
Если в платформе для кластеров используется CSI на базе того же провайдера (например, VMware vSphere CSI или oVirt CSI), и при создании кластера была включена опция интеграции CSI, учётные данные для CSI обычно берутся из того же экземпляра провайдера. В этом случае достаточно сменить пароль (и при необходимости логин) в экземпляре провайдера — как описано выше. Отдельно настраивать CSI после смены пароля не нужно.
Убедитесь после смены пароля, что в vCenter/oVirt у сервисной УЗ по-прежнему назначены права, необходимые для CSI (например, для vSphere — сервисная роль №2). См. VMware vSphere, oVirt и подобные провайдеры.
CSI Provisioner: когда учётные данные отдельные
Некоторые CSI-драйверы используют не учётные данные провайдера инфраструктуры, а отдельные секреты в кластере (логин/пароль или ключи доступа к хранилищу). Например:
- Ceph RBD / CephFS — в StorageClass или в параметрах CSI указываются имена Secret с ключами Ceph (admin, user). Эти секреты создаются в неймспейсе кластера и заполняются ключами из
ceph auth getи т.п. - NFS — в зависимости от реализации могут использоваться свои параметры подключения и при необходимости секреты.
В таких случаях пароль или ключ нужно менять там, где они хранятся — в кластере, в котором развёрнут соответствующий CSI:
- Определите, какой Secret (или какой параметр конфигурации) использует CSI-модуль для доступа к хранилищу. Это может быть указано в StorageClass (например,
provisionerSecret,nodeStageSecret) или в описании системного сервиса CSI. - Откройте кластер → Хранилище (или Администрирование → Хранилище) → Secrets (или соответствующий неймспейс, где создан секрет).
- Отредактируйте нужный Secret: обновите поле с паролем или ключом (значения в Secret обычно хранятся в base64; при редактировании через GUI платформа может принимать уже готовое значение или кодировать его сама).
- После сохранения Secret поды CSI (node plugin, controller) при следующем обращении к хранилищу начнут использовать новые данные. При необходимости перезапустите поды CSI по документации модуля.
Подробнее о параметрах StorageClass и секретах для Ceph см. StorageClasses (классы хранилища) — разделы по типу Ceph RBD / CephFS.