redirect tls

2026-01-11 23:41:50 +00:00
parent 1ea36f117b
commit 87abe78abd
3 changed files with 38 additions and 13 deletions
--- a/VAULT_RESET.md
+++ b/VAULT_RESET.md
@@ -76,6 +76,37 @@ Nun nutzen wir unser Setup-Skript, um die Secrets aus deiner (hoffentlich noch v

 ---

+## Zusatz: K3s Cluster Secrets verwalten
+
+Für das K3s Deployment werden spezielle Secrets benötigt (`token` und `kubevip_version`). Diese werden **nicht** über `setup_vault_secrets.sh` (aus der tfvars) erstellt, sondern manuell oder per Skript.
+
+### K3s Secrets anlegen
+
+Wenn Ansible meckert, dass `Kein K3s Token in Vault gefunden` wurde:
+
+1.  **Umgebungsvariablen setzen:**
+    ```bash
+    export VAULT_ADDR='http://10.100.30.11:8200'
+    export VAULT_TOKEN='hvs.DeinRootTokenHier'
+    ```
+
+2.  **Secret anlegen:**
+    ```bash
+    # Zufälliges Token generieren
+    K3S_TOKEN=$(openssl rand -base64 48)
+
+    # In Vault schreiben
+    vault kv put secret/infrastructure/k3s token=$K3S_TOKEN kubevip_version="v0.7.0"
+    ```
+
+3.  **Deployment starten:**
+    ```bash
+    cd infrastructure/ansible
+    ansible-playbook -i inventory.ini k3s_deploy.yml
+    ```
+
+---
+
 ## Schritt 5: Clients aktualisieren

 Da wir eine neue CA haben, musst du das Zertifikat ggf. neu verteilen:
@@ -85,4 +116,3 @@ Da wir eine neue CA haben, musst du das Zertifikat ggf. neu verteilen:
 *   **Terraform:** Das Environment (`VAULT_CACERT`) zeigt meist eh auf die Datei im Repo (`./vault-ca.crt`), die wir in Schritt 3 überschrieben haben -> Sollte direkt gehen.

 🎉 **Fertig!** Dein Vault ist frisch aufgesetzt.
-