gitops/apps/outline/VAULT_SETUP.md

# Vault Secrets für Outline anlegen

Outline benötigt viele Secrets für DB, Redis, S3 und OIDC.
Hier sind die Befehle, um diese in Vault anzulegen.

**Wichtig:** Du musst die Platzhalter (S3 Keys, OIDC Daten) mit deinen echten Daten ersetzen!

```bash
# Umgebungsvariablen für Vault setzen
export VAULT_ADDR='https://10.100.30.11:8200'
export VAULT_TOKEN='DeinRootToken'
export VAULT_CACERT='./vault-ca.crt' # Pfad anpassen

# 1. Passwörter und Keys generieren
POSTGRES_PASS=$(openssl rand -hex 16)
REDIS_PASS=$(openssl rand -hex 16)
SECRET_KEY=$(openssl rand -hex 32)
UTILS_SECRET=$(openssl rand -hex 32)

# 2. Connection Strings bauen (Interner Cluster DNS)
# Achtung: User ist jetzt 'outline' für die DB!
DB_URL="postgres://outline:$POSTGRES_PASS@outline-postgres.outline.svc.cluster.local:5432/outline"
REDIS_URL="redis://:$REDIS_PASS@outline-redis.outline.svc.cluster.local:6379"

# 3. Externe Credentials (BITTE ANPASSEN!)
# Beispiel für MinIO oder AWS S3
AWS_ACCESS_KEY="dein-access-key"
AWS_SECRET_KEY="dein-secret-key"

# Beispiel für Google/OIDC
OIDC_CLIENT_ID="deine-client-id"
OIDC_CLIENT_SECRET="dein-client-secret"
OIDC_AUTH_URI="https://accounts.google.com/o/oauth2/v2/auth"
OIDC_TOKEN_URI="https://oauth2.googleapis.com/token"
OIDC_USERINFO_URI="https://openidconnect.googleapis.com/v1/userinfo"

# 4. Alles in Vault schreiben
vault kv put secret/apps/outline \
    secret_key="$SECRET_KEY" \
    utils_secret="$UTILS_SECRET" \
    database_url="$DB_URL" \
    redis_url="$REDIS_URL" \
    postgres_password="$POSTGRES_PASS" \
    redis_password="$REDIS_PASS" \
    aws_access_key_id="$AWS_ACCESS_KEY" \
    aws_secret_access_key="$AWS_SECRET_KEY" \
    oidc_client_id="$OIDC_CLIENT_ID" \
    oidc_client_secret="$OIDC_CLIENT_SECRET" \
    oidc_auth_uri="$OIDC_AUTH_URI" \
    oidc_token_uri="$OIDC_TOKEN_URI" \
    oidc_userinfo_uri="$OIDC_USERINFO_URI"
```

Nachdem du das ausgeführt hast, synchronisiert ArgoCD/ExternalSecrets diese Daten in den Cluster.