Segurança — Superset
Esta secção cobre segredos de aplicação, banco de metadados e integração com PostgreSQL externo no chart tdp-superset. Autenticação avançada (LDAP, OAuth, etc.) depende do Superset upstream e do seu ficheiro de valores — valide sempre com helm show values e com a documentação oficial do Superset antes de aplicar em produção.
SUPERSET_SECRET_KEY
Obrigatória. Usada para criptografar dados sensíveis no Superset.
- Defina em
superset.extraSecretEnv.SUPERSET_SECRET_KEY(referenciando Secret ou ferramenta segura no ficheiro de valores). - Gere com forte entropia (por exemplo
openssl rand -base64 42). - Não commite em repositório em texto claro.
Senha do PostgreSQL do Superset
O chart pode gerenciar um Secret para a senha do usuário de metadados (supersetPostgresqlPassword, superset.postgresqlSecrets.* conforme o pacote). Alinhe nomes de Secret e chaves ao que a sua instalação espera.
PostgreSQL administrativo (bootstrap externo)
Quando TDPConfigurations.externalDatabase.enabled=true, o job de criação de banco/usuário lê a senha admin do PostgreSQL em um Secret construído como <releaseName>-<area>, chave postgres-password. Garanta que esse Secret exista no namespace correto antes do hook, com os valores que o chart documenta para a sua versão.
Boas práticas gerais
- Rotacionar credenciais após o primeiro deploy em produção.
- Restringir
NetworkPolicye exposição do serviço (Ingress apenas quando necessário). - Manter imagem com drivers necessários (Trino, ClickHouse, etc.) sem expuir credenciais em
extraEnvliteral — prefirasecretKeyRef.
Resolução de Problemas
| Problema | O que verificar |
|---|---|
| Pods não sobem | SUPERSET_SECRET_KEY definida |
| Init job falha | Host DB, credenciais e job db-create-job / Secret admin |
| Login após migração | Usuário admin criado pelo superset.init no ficheiro de valores |
Consulte helm show values na versão do chart que implantou.