Gitea 부트스트랩 강화
이 페이지는 2026년 4월 12~15일 Gitea 경화 순서에 대한 사고 회고입니다. 안정적인 상태의 서비스 계약은 인프라 GitOps Gitea 참조 페이지에 있습니다.
달라진 점
| 커밋 | 변경 | 지속효과 |
|---|---|---|
6571494f | Gitea를 SQLite 시대 가정에서 infra-db PostgreSQL로 이동하고 bootstrap/gitea/common-values.yaml에 gitea-db-vss를 추가했습니다. 현재 저장소에 남아 있습니다. | |
dff411ef | 웹후크가 클러스터 내 ClusterIP 대상에 도달할 수 있도록 gitea.config.webhook.ALLOWED_HOST_LIST: "*" 설정 | 현재 저장소에 남아 있습니다. |
c0c14df0 | SSH를 비활성화하고 NodePort SSH 서비스를 제거하고 직접 git.lumie-infra.com 수신 및 헤더 스트리핑 미들웨어를 추가했습니다. SSH 비활성화만 살아 남았습니다. 직접 수신 경로는 나중에 되돌려졌습니다. |
살아남은 것
현재 정보의 출처는 bootstrap/gitea/common-values.yaml, bootstrap/gitea/helm-values.yaml 및 bootstrap/gitea/argocd.yaml입니다.
이러한 파일은 사고 창 이후에도 여전히 가치 있는 강화를 시행합니다.
common-values.yaml는 Vault 지원VaultStaticSecret리소스에서gitea-admin및gitea-db-secret를 모두 프로젝트합니다.helm-values.yaml는HOST: infra-db-rw.infra-db.svc.cluster.local:5432와 함께gitea.config.database.DB_TYPE: postgres를 사용합니다.helm-values.yaml는DISABLE_SSH: true를 유지하므로 Git 트래픽은 HTTPS 전용입니다.helm-values.yaml는X-Teleport-*헤더를 통해 텔레포트 역방향 프록시 인증을 활성화합니다.helm-values.yaml는 여전히 내부 웹훅 전달을 위해webhook.ALLOWED_HOST_LIST: "*"를 설정합니다.
나중에 되돌린 내용
3e4e0ae4는 bootstrap/gitea/manifests/**와 c0c14df0가 git.lumie-infra.com에 추가한 추가 Argo CD 소스를 제거했습니다. 이는 직접 노출 수신 및 해당 Traefik 미들웨어가 현재 저장소에 더 이상 존재하지 않는 경로에 대한 단기 강화 단계라는 것을 의미합니다.
오늘날에는 더 작은 계약이 실제 계약입니다.
bootstrap/gitea/argocd.yaml는 더 이상bootstrap/gitea/manifests를 참조하지 않습니다.- 체크인된 앱 소스는 차트,
charts/common값 소스, 테마 ConfigMap 소스입니다. - 공개 액세스는 두 번째 직접 호스트 이름 대신 Teleport 지원
github.lumie-infra.com경로를 통해 이루어질 것으로 예상됩니다.
명시적으로 호출하는 드리프트
현재 bootstrap/gitea/helm-values.yaml의 상단 주석 블록이 오래되었습니다. 여전히 SQLite 백엔드와 git.lumie-infra.com 수신이 언급되어 있지만 아래의 활성 구성은 PostgreSQL을 사용하며 체크 인된 직접 수신 소스가 없습니다. 주석 헤더가 아닌 런타임 키를 정보 소스로 취급하십시오.
지속적인 불변성
- Gitea가
X-Teleport-*ID 헤더를 신뢰하는 경우 Teleport가 아닌 모든 경로는 해당 헤더를 제거하거나 제거해야 합니다. - 데이터베이스 및 관리자 자격 증명은 인라인 차트 값이 아닌 Vault에 투영된 비밀에 속합니다.
- 이 저장소의 경우
bootstrap/gitea/helm-values.yaml의 주석은 실제gitea.config.*블록 및 현재 Argo CD 소스보다 신뢰성이 떨어집니다.
확인
cd lumie-infra
rg -n "DB_TYPE|DISABLE_SSH|ALLOWED_HOST_LIST|ENABLE_REVERSE_PROXY_AUTHENTICATION|REVERSE_PROXY_AUTHENTICATION_USER" \
bootstrap/gitea/common-values.yaml \
bootstrap/gitea/helm-values.yaml
rg -n "bootstrap/gitea/manifests" bootstrap/gitea/argocd.yaml
성공은 런타임 구성에 여전히 PostgreSQL, HTTPS 전용 Git, Teleport 헤더 인증 및 허용되는 웹후크 전달이 표시되는 반면 Argo CD 앱은 더 이상 되돌린 직접 수신 매니페스트 소스를 전달하지 않음을 의미합니다.