Конфигурация

Версия схемы: 1

• allowAnyoneToRuleTheCluster

  Параметр устарел

  булевый

  Этот параметр ни на что не влияет и в будущих релизах будет удален. Раньше он отключал проверку токена пользователя, за счет чего права пользователя игнорировались, и в интерфейсе console был доступен максимум привелегий.

  По умолчанию: false

• auth

  объект

  Доступ к web-интерфейсу

  По умолчанию: {}

  • auth.allowedUserGroups

    массив строк

    Массив групп, пользователям которых разрешен доступ к веб-интерфейсу.

    Используется, если включен модуль user-authn или задан параметр externalAuthentication.

    Внимание! При использовании совместно с модулем user-authn необходимо также добавить разрешенные группы в соответствующее поле в настройках DexProvider.

  • auth.externalAuthentication

    объект

    Параметры для подключения внешней аутентификации (используется механизм Nginx Ingress external-auth, работающий на основе модуля Nginx auth_request.

    Внешняя аутентификация включается автоматически, если включен модуль user-authn.

    • auth.externalAuthentication.authSignInURL

      строка

      URL, куда будет перенаправлен пользователь для прохождения аутентификации (если сервис аутентификации вернул код ответа HTTP, отличный от 200).
    • auth.externalAuthentication.authURL

      строка

      URL сервиса аутентификации. Если пользователь прошел аутентификацию, сервис должен возвращать код ответа HTTP 200.
    • auth.externalAuthentication.useBearerTokens

      булевый

      Токены авторизации. Консоль должна работать с Kubernetes API от имени пользователя (сервис аутентификации при этом должен обязательно возвращать в своих ответах HTTP-заголовок Authorization, в котором должен быть bearer-token – именно под этим токеном консоль будет производить запросы к API-серверу Kubernetes).

      • Значение по умолчанию: true.

      Важно! Из соображений безопасности этот режим работает только если https.mode (глобальный или в модуле) не установлен в значение Disabled.

  • auth.password

    строка

    Password for http authorization of the admin user. It is generated automatically, but you can change it.

    This parameter is used if the externalAuthentication is not enabled.

  • auth.sessionTTL

    строка

    Время сессии пользователя, через которое он будет разлогинен.

    Задается с окончанием s для секунд, m для минут или h для часов.

    По умолчанию: 24h

  • auth.whitelistSourceRanges

    массив строк

    Список адресов в формате CIDR, которым разрешено проходить аутентификацию.

    Если параметр не указан, аутентификацию разрешено проходить без ограничения по IP-адресу.

    Пример:

    
    

    whitelistSourceRanges:
    - 1.1.1.1/32
    

• externalWebsocketPort

  целочисленный

  Внешний порт для запросов по протоколу Websocket. Если WebSocket трафик проходит через прокси-сервер перед достижением бэкенда. Фронтенд-приложение будет использовать это для подключения к прокси-серверу.

  Допустимые значения: 1 <= X <= 65535

• highAvailability

  булевый

  Ручное управление режимом отказоустойчивости.

  По умолчанию режим отказоустойчивости определяется автоматически. Подробнее про режим отказоустойчивости.

  Примеры:

  
  

  highAvailability: true
  

  highAvailability: false
  

• https

  объект

  Тип сертификата используемого для веб-интерфейса.

  При использовании этого параметра полностью переопределяются глобальные настройки global.modules.https.

  Примеры:

  
  

  customCertificate:
    secretName: foobar
  mode: CustomCertificate
  

  certManager:
    clusterIssuerName: letsencrypt
  mode: CertManager
  

  • https.certManager

    объект
    • https.certManager.clusterIssuerName

      строка

      Тип ClusterIssuer’а, используемого для заказа SSL-сертификата.

      В данный момент доступны letsencrypt, letsencrypt-staging, selfsigned, но возможно определить свои.

      По умолчанию: letsencrypt

  • https.customCertificate

    объект

    По умолчанию: {}

    • https.customCertificate.secretName

      строка

      Имя Secret’а в пространстве имен d8-system, который будет использоваться для веб-интерфейса.

      Secret должен быть в формате kubernetes.io/tls.

      По умолчанию: false

  • https.mode

    строка

    Режим работы HTTPS:

    • Disabled — доступ только по HTTP.
    • CertManager — доступ по HTTPS с заказом сертификата согласно ClusterIssuer’у, заданному в параметре certManager.clusterIssuerName. Подробнее.
    • CustomCertificate — доступ по HTTPS с использованием сертификата из пространства имен d8-system.
    • OnlyInURI — доступ по HTTP, подразумевая, что перед веб-интерфейсом стоит внешний HTTPS-балансер, который терминирует HTTPS, и все ссылки в user-authn будут генерироваться с HTTPS-схемой. Балансировщик должен обеспечивать перенаправление с HTTP на HTTPS.

    По умолчанию: Disabled

    Допустимые значения: Disabled, CertManager, CustomCertificate, OnlyInURI

• ingressClass

  строка

  Класс Ingress-контроллера, который используется для веб-интерфейса.

  Опциональный параметр, по умолчанию используется глобальное значение modules.ingressClass.

  Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

  Пример:

  
  

  ingressClass: nginx
  

• nodeSelector

  объект

  Структура, аналогичная spec.nodeSelector пода Kubernetes.

  Если ничего не указано или указано false, будет использоваться автоматика.

  Пример:

  
  

  disktype: ssd
  

• tolerations

  массив объектов

  Структура, аналогичная spec.tolerations пода Kubernetes.

  Если ничего не указано или указано false, будет использоваться автоматика.

  Пример:

  
  

  tolerations:
  - effect: NoSchedule
    key: key1
    operator: Equal
    value: value1
  

  • tolerations.effect

    строка
  • tolerations.key

    строка
  • tolerations.operator

    строка
  • tolerations.tolerationSeconds

    целочисленный
  • tolerations.value

    строка