Deploy-Laboratory/scripts/.env.verify.example

# 验证矩阵 / 编排脚本用环境变量模板
# ---------------------------------------------------------------------------
# 使用：复制为本目录下的 .env.verify（勿提交 Git），在仓库根执行：
#   set -a && source scripts/.env.verify && set +a
# 或在 bash 中：source scripts/.env.verify
# 仅示例占位，请把 YOUR_* 换成真实值；密钥只留在本机 .env.verify。
# ---------------------------------------------------------------------------

# --- 集群与 kubectl ---
# 在控制节点本机跑 kubectl 时常用：
# export KUBECONFIG="${KUBECONFIG:-/etc/rancher/k3s/k3s.yaml}"
# 若在办公机通过 SSH 在远端执行 kubectl，可设为：
# export K3S_CONTROL_SSH="ssh -o BatchMode=yes ylc61"
# export REMOTE_KUBECONFIG="/etc/rancher/k3s/k3s.yaml"
# 在控制节点本机执行 kubectl 时，避免再次经 SSH 自环（可按需保留）：
# export VERIFY_FORCE_LOCAL_KUBECTL=1
# 经 SSH 在控制节点执行 kubectl 时：若 PATH 中无 kubectl，可设 REMOTE_KUBECTL="k3s kubectl"
# export REMOTE_KUBECTL="k3s kubectl"
# 控制节点短主机名（与 inventory 一致；编排里拼 URL/SSH 用）
export K3S_SERVER_HOSTNAME="${K3S_SERVER_HOSTNAME:-ylc61}"
# 与 ansible group_vars 一致，验证磁盘/文档 00-04 时引用
export K3S_DATA_DIR="${K3S_DATA_DIR:-/storage}"

# --- Ansible（安装/复验 k3s；对应 docs/00-05 §2 步骤 3）---
export ANSIBLE_INVENTORY="${ANSIBLE_INVENTORY:-$(pwd)/ansible/inventory.ini}"
# deploy-lab.sh k3s / ssh/run-phase2-k3s-on-ylc61-as-jack.sh：
# 为 true 时先跑 k3s-prepare-storage.yml（传 -e k3s_prepare_storage=true；磁盘变量见 group_vars）
export K3S_PREPARE_STORAGE="${K3S_PREPARE_STORAGE:-false}"
# 建议在控制节点或 Linux 工作机执行 deploy-lab.sh；办公机可用 run-phase2-k3s-on-ylc61-as-jack.sh 触发远端

# --- SSH 密钥命名（与 scripts/ssh/test-ssh.sh 默认一致；脚本内尚为硬编码路径）---
# test-ssh 使用：$K3S_SSH_KEY_DIR/${K3S_SSH_KEY_PREFIX}<inventory主机名>
# 若你改用其他前缀，需同步改 test-ssh.sh 或仅用手工 ssh -i。
export K3S_SSH_KEY_DIR="${K3S_SSH_KEY_DIR:-$HOME/.ssh}"
export K3S_SSH_KEY_PREFIX="${K3S_SSH_KEY_PREFIX:-id_ed25519_k3s_}"
# setup-k3s-workers-ssh.sh 首次登录的非 root 用户名（交互默认 jack）
export SSH_USER="${SSH_USER:-jack}"
# test-ssh.sh：连接超时秒数（脚本已支持环境变量 TIMEOUT_SEC）
export TIMEOUT_SEC="${TIMEOUT_SEC:-5}"

# --- 矩阵验证（docs/00-05 §2 步骤 4～6）---
# ./scripts/verify.sh run | run-all | preflight | flow
# VERIFY_TEARDOWN（默认 1）、VERIFY_PREFLIGHT_CLUSTER（为 1 时 preflight 额外 kubectl get nodes）

# --- SSH：第三方验证机 onecloud（不忽略：矩阵里多处依赖「集群外」curl/探测）---
# 用途示例：02-xx nginx 矩阵从第三方访问 Ingress；01-07 经 onecloud 对 OpenWrt:18080/18443 发 curl；
# 与 K3s 节点 SSH 无关，但必须能免交互登录（建议 BatchMode + 已知的 IdentityFile）。
# 编排脚本应始终引用 ONECLOUD_SSH，不要用「本机直接 curl」代替，除非你明确改成本机。
export ONECLOUD_SSH="${ONECLOUD_SSH:-ssh -o BatchMode=yes onecloud}"
# 若需显式密钥，可写完整一行，例如：
# export ONECLOUD_SSH="ssh -o BatchMode=yes -i ~/.ssh/id_ed25519_onecloud onecloud"

# --- NFS（03-06）：verify playbook 使用 NFS_SERVER_IP / NFS_EXPORT_PATH ---
export NFS_SERVER_HOST="${NFS_SERVER_HOST:-YOUR_NFS_IP_OR_HOSTNAME}"
export NFS_SERVER_IP="${NFS_SERVER_IP:-$NFS_SERVER_HOST}"
export NFS_EXPORT_PATH="${NFS_EXPORT_PATH:-/export/k3s}"
# export NFS_SSH="ssh -o BatchMode=yes root@${NFS_SERVER_HOST}"

# --- Cloudflare（API / Tunnel；与 scripts/cloudflare-delete-acme-challenge-dns.sh 等一致）---
# DNS 脚本使用：CF_API_TOKEN、ZONE_NAME 或 ZONE_ID
export CF_API_TOKEN="${CF_API_TOKEN:-}"
export ZONE_NAME="${ZONE_NAME:-jackadam.top}"
export ZONE_ID="${ZONE_ID:-}"
# Tunnel / Dashboard 等若需单独 token，按需增加（勿提交真实值）：
# export CF_TUNNEL_TOKEN=""
# export CF_ACCOUNT_ID=""

# --- ACME / Traefik（03-02、03-03）：Let's Encrypt 注册邮箱 ---
# 与 HelmChartConfig / traefik-acme.yaml 中 <YOUR_REAL_EMAIL> 一致；编排或 sed 替换时引用 ACME_EMAIL。
export ACME_EMAIL="${ACME_EMAIL:-}"
# 文档中 traefik-acme 曾用 staging CA 调试；1=使用测试 CA（与 yaml 中 caserver 是否一致自行核对）
export ACME_CA_STAGING="${ACME_CA_STAGING:-0}"
export TRAEFIK_NAMESPACE="${TRAEFIK_NAMESPACE:-kube-system}"

# --- TLS 验证域名（02-05 / 03-02 矩阵 curl、openssl s_client）---
# 逗号分隔，与 ZONE_NAME 下实际 DNS 记录一致；勿提交敏感子域若需可只写本机
export VERIFY_TLS_HOSTS="${VERIFY_TLS_HOSTS:-test01.jackadam.top,test02.jackadam.top,test03.jackadam.top,test04.jackadam.top}"

# --- Longhorn（03-07 / ansible longhorn-install）---
export LONGHORN_NAMESPACE="${LONGHORN_NAMESPACE:-longhorn-system}"

# --- 可选跳过（仅下列项；ONECLOUD 与 ARMV7 实机路径不在此列——见下方）---
export SKIP_HA="${SKIP_HA:-1}"
# 跑 01-03 / 01-05 时设为 0，并填写 ARMV7_*；编排脚本不得在无设备时假装通过
export SKIP_ARMV7="${SKIP_ARMV7:-1}"
export SKIP_GITOPS="${SKIP_GITOPS:-1}"

# --- armv7（01-03 Docker、01-05 NFS）：不忽略；与 ONECLOUD 一样，编排须显式走 ARMV7_*，不得跳过 ---
# 跑 01-03 / 01-05 时：SKIP_ARMV7=0，并填写 ARMV7_SSH（可与 onecloud 同主机、或直连 arm；按你环境二选一）。
# ARMV7_NFS_SSH 默认同 ARMV7_SSH；若 NFS 在另一台 arm 上再单独覆盖。
export ARMV7_SSH="${ARMV7_SSH:-}"
export ARMV7_NFS_SSH="${ARMV7_NFS_SSH:-$ARMV7_SSH}"

# --- OpenWrt / 01-07（与 K3s 四节点无关时单独用）---
# export OPENWRT_SSH="ssh -o BatchMode=yes root@192.168.x.x"
# export OPENWRT_HAPROXY_HTTP_PORT="18080"
# export OPENWRT_HAPROXY_HTTPS_PORT="18443"
# 01-07 文档中第三方 curl 用 --https-hosts 时的主机列表（逗号分隔，与 VERIFY_TLS_HOSTS 可相同）
# export OPENWRT_VERIFY_HTTPS_HOSTS="test01.jackadam.top,..."

# --- 与 scripts/*.sh 对照 ---
# verify.sh                           → VERIFY_TEARDOWN, VERIFY_PREFLIGHT_CLUSTER, nginx_entry_base, ANSIBLE_INVENTORY
# deploy-lab.sh                       → ANSIBLE_INVENTORY, K3S_PREPARE_STORAGE
# ssh/run-phase2-k3s-on-ylc61-as-jack.sh → LAB_REPO_ROOT, K3S_PREPARE_STORAGE（传远端）
# ssh/smoke-verify-matrix-on-ylc61.sh   → VERIFY_REPO_ROOT, VERIFY_TEARDOWN, nginx_entry_base
# cloudflare-delete-acme-challenge-dns.sh → CF_API_TOKEN, ZONE_NAME, ZONE_ID
# k3s-delete-lab-stacks.sh            → KUBECONFIG
# ssh/test-ssh.sh                     → TIMEOUT_SEC；密钥路径当前固定为 $HOME/.ssh/id_ed25519_k3s_<host>
# ssh/setup-k3s-workers-ssh.sh        → 交互 inventory + SSH_USER；可选一次性密码勿写入本文件