Модуль dashboard: настройки

Версия схемы: 2

• settings

  объект
  • settings.accessLevel

    строка

    Уровень доступа в dashboard, если отключен модуль user-authn и не включена внешняя аутентификация (externalAuthentication). Возможные значения описаны в user-authz.

    По умолчанию используется уровень User.

    В случае использования модуля user-authn или другой внешней аутентификации (externalAuthentication) права доступа необходимо настраивать с помощью модуля user-authz.

    По умолчанию: "User"

    Допустимые значения: User, PrivilegedUser, Editor, Admin, ClusterEditor, ClusterAdmin, SuperAdmin

  • settings.auth

    объект

    Опции, связанные с аутентификацией или авторизацией в приложении.

    • settings.auth.allowScale

      булевый

      Активация возможности скейлить Deployment и StatefulSet из веб-интерфейса.

      Не используется, если включен параметр externalAuthentication.

    • settings.auth.allowedUserGroups

      массив строк

      An array of user groups that can access the dashboard.

      This parameter is used if the user-authn module is enabled or the externalAuthentication parameter is set.

      Caution! Note that you must add those groups to the appropriate field in the DexProvider config if this module is used together with the user-authn one.

    • settings.auth.externalAuthentication

      объект

      Параметры для подключения внешней аутентификации (используется механизм NGINX Ingress external-auth, работающий на основе модуля Nginx auth_request.

      Внешняя аутентификация включается автоматически, если включен модуль user-authn.

      • settings.auth.externalAuthentication.authSignInURL

        строка

        URL, куда будет перенаправлен пользователь для прохождения аутентификации (если сервис аутентификации вернул код ответа HTTP, отличный от 200).

      • settings.auth.externalAuthentication.authURL

        строка

        URL сервиса аутентификации. Если пользователь прошел аутентификацию, сервис должен возвращать код ответа HTTP 200.

      • settings.auth.externalAuthentication.useBearerTokens

        булевый

        Токены авторизации. dashboard должен работать с Kubernetes API от имени пользователя (сервис аутентификации при этом должен обязательно возвращать в своих ответах HTTP-заголовок Authorization, в котором должен быть bearer-token — именно под этим токеном dashboard будет производить запросы к API-серверу Kubernetes).

        • Значение по умолчанию: false.

        Важно! Из соображений безопасности этот режим работает только если https.mode (глобальный или в модуле) не установлен в значение Disabled.

    • settings.auth.whitelistSourceRanges

      массив строк

      Список адресов в формате CIDR, которым разрешено проходить аутентификацию для доступа в dashboard.

      Пример:

      whitelistSourceRanges:
      - 1.1.1.1/32
      

  • settings.highAvailability

    булевый

    Ручное управление режимом отказоустойчивости.

    По умолчанию режим отказоустойчивости определяется автоматически. Подробнее про режим отказоустойчивости.

    Пример:

    highAvailability: true
    

  • settings.https

    объект

    Тип сертификата, используемого для dashboard.

    Этот параметр переопределяет глобальные настройки global.modules.https.

    Примеры:

    https:
      mode: CustomCertificate
      customCertificate:
        secretName: foobar
    

    https:
      mode: CertManager
      certManager:
        clusterIssuerName: letsencrypt
    

    • settings.https.certManager

      объект
      • settings.https.certManager.clusterIssuerName

        строка

        Тип используемого ClusterIssuer. В данный момент доступны letsencrypt, letsencrypt-staging, selfsigned, но вы можете определить свои.

        По умолчанию: "letsencrypt"

    • settings.https.customCertificate

      объект
      • settings.https.customCertificate.secretName

        строка

        Имя Secret’а в пространстве имен d8-system, который будет использоваться для dashboard (данный Secret должен быть в формате kubernetes.io/tls).

        По умолчанию: "false"

    • settings.https.mode

      строка

      Режим работы HTTPS:

      • CertManager — dashboard будет работать по HTTPS и заказывать сертификат с помощью ClusterIssuer, заданного в параметре certManager.clusterIssuerName;
      • CustomCertificate — dashboard будет работать по HTTPS, используя сертификат из пространства имен d8-system;
      • Disabled — в данном режиме dashboard будет работать только по HTTP;
      • OnlyInURI — dashboard будет работать по HTTP (подразумевая, что перед ними стоит внешний HTTPS-балансировщик, который терминирует HTTPS) и се ссылки в user-authn будут генерироваться с HTTPS-схемой. Балансировщик должен обеспечивать перенаправление с HTTP на HTTPS.

      Допустимые значения: Disabled, CertManager, CustomCertificate, OnlyInURI

  • settings.ingressClass

    строка

    Класс Ingress-контроллера, который используется для dashboard.

    Опциональный параметр, по умолчанию используется глобальное значение modules.ingressClass.

    Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

  • settings.nodeSelector

    объект

    Аналогично параметру Kubernetes spec.nodeSelector у подов.

    Если значение не указано или указано false, будет использоваться автоматика.

  • settings.tolerations

    массив объектов

    Аналогично параметру Kubernetes spec.tolerations у подов.

    Если значение не указано или указано false, будет использоваться автоматика.

    • settings.tolerations.effect

      строка
    • settings.tolerations.key

      строка
    • settings.tolerations.operator

      строка
    • settings.tolerations.tolerationSeconds

      целочисленный
    • settings.tolerations.value

      строка