feat(grafana): bascule sur le domaine public HTTPS (grafana.funklab.online)

- IngressRoute websecure + Let's Encrypt
- OIDC : root_url + auth_url sur le domaine (token/api restent internes)

Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
This commit is contained in:
alkatrazz 2026-07-07 16:38:54 +02:00
parent cd0dacbc9a
commit c37adb4709
2 changed files with 23 additions and 5 deletions

View file

@ -11,11 +11,11 @@ grafana:
name: grafana
user: grafana
server:
# Requis pour construire le redirect_uri OAuth (LAN : grafana.lab.local)
root_url: http://grafana.lab.local
# URL canonique publique HTTPS (construit le redirect_uri OAuth)
root_url: https://grafana.funklab.online
# SSO OIDC via Authentik (app « grafana » dans l'UI Authentik).
# auth_url = navigateur (auth.lab.local) ; token/api = serveur→serveur (Service
# interne, les pods ne résolvent pas lab.local). Le login local reste actif
# auth_url = navigateur (domaine public) ; token/api = serveur→serveur (Service
# interne, les pods ne résolvent pas le domaine). Le login local reste actif
# (break-glass : admin / adminPassword ci-dessous) — ne pas mettre disable_login_form.
auth.generic_oauth:
enabled: true
@ -23,7 +23,7 @@ grafana:
client_id: grafana
client_secret: $__env{GF_AUTH_GENERIC_OAUTH_CLIENT_SECRET}
scopes: openid profile email
auth_url: http://auth.lab.local/application/o/authorize/
auth_url: https://auth.funklab.online/application/o/authorize/
token_url: http://authentik.auth.svc.cluster.local:9000/application/o/token/
api_url: http://authentik.auth.svc.cluster.local:9000/application/o/userinfo/
# Repli si l'utilisateur Authentik n'a pas d'email : sans ça Grafana tente un