michael/michaelschiemer
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

fix: ensure redis secrets flow from vault

Browse Source
This commit is contained in:
Michael Schiemer
2025-11-02 04:27:12 +01:00
parent e598309c48
commit 871c5b842b
5 changed files with 67 additions and 3 deletions
Download Patch File Download Diff File Expand all files Collapse all files

16
deployment/docs/reference/application-stack.md
View File

@@ -24,6 +24,22 @@ CI/CD Pipeline (Gitea Actions)
4. Application Stack aktualisieren
```
### Secret Handling für Redis
- Die Redis-Zugangsdaten liegen verschlüsselt in `deployment/ansible/secrets/production.vault.yml`
unter dem Schlüssel `vault_redis_password`.
- Die Application-Rolle (`roles/application/tasks/sync.yml`) bricht den Deploy ab,
wenn kein Passwort aus dem Vault oder via `-e redis_password=...` vorhanden ist.
- Während des Deployments wird das Passwort in `stacks/application/.env` geschrieben
und steht damit allen PHP-Containern über `REDIS_PASSWORD` zur Verfügung.
- Docker Secrets mit `REDIS_PASSWORD_FILE` werden weiterhin unterstützt, da der
Entry-Point das Secret lädt bevor PHP-FPM startet.
- Das `APP_KEY` stammt ebenfalls aus dem Vault (`vault_app_key`); der Deploy
stoppt, falls kein Schlüssel hinterlegt ist.
- Weitere sicherheitskritische Variablen (z.B. `VAULT_ENCRYPTION_KEY`) werden
aus dem Vault übernommen und in die generierte `.env` geschrieben, damit die
Container-Konfiguration 1:1 mit dem Projekt-Template übereinstimmt.
---
## Detaillierter Ablauf