Доступно с ограничениями в редакциях CE, BE

Доступно без ограничений в редакциях:  SE, SE+, EE, CSE Pro (1.67)

параметры

Версия схемы: 1

  • settings
    объект
    • allowAnyoneToRuleTheCluster
      Параметр устарел
      булевый
      Этот параметр ни на что не влияет и в будущих релизах будет удален. Раньше он отключал проверку токена пользователя, за счет чего права пользователя игнорировались, и в интерфейсе console был доступен максимум привелегий.

      По умолчанию: false

    • auth
      объект
      Доступ к web-интерфейсу

      По умолчанию: {}

      • auth.allowedUserGroups
        массив строк

        Массив групп, пользователям которых разрешен доступ к веб-интерфейсу.

        Используется, если включен модуль user-authn или задан параметр externalAuthentication.

        Внимание! При использовании совместно с модулем user-authn необходимо также добавить разрешенные группы в соответствующее поле в настройках DexProvider.

      • auth.externalAuthentication
        объект

        Параметры для подключения внешней аутентификации (используется механизм Nginx Ingress external-auth, работающий на основе модуля Nginx auth_request.

        Внешняя аутентификация включается автоматически, если включен модуль user-authn.

        • auth.externalAuthentication.authSignInURL
          строка
          URL, куда будет перенаправлен пользователь для прохождения аутентификации (если сервис аутентификации вернул код ответа HTTP, отличный от 200).
        • auth.externalAuthentication.authURL
          строка
          URL сервиса аутентификации. Если пользователь прошел аутентификацию, сервис должен возвращать код ответа HTTP 200.
        • auth.externalAuthentication.useBearerTokens
          булевый

          Токены авторизации. Консоль должна работать с Kubernetes API от имени пользователя (сервис аутентификации при этом должен обязательно возвращать в своих ответах HTTP-заголовок Authorization, в котором должен быть bearer-token – именно под этим токеном консоль будет производить запросы к API-серверу Kubernetes).

          • Значение по умолчанию: true.

          Важно! Из соображений безопасности этот режим работает только если https.mode (глобальный или в модуле) не установлен в значение Disabled.

      • auth.password
        строка

        Password for http authorization of the admin user. It is generated automatically, but you can change it.

        This parameter is used if the externalAuthentication is not enabled.

      • auth.sessionTTL
        строка

        Время сессии пользователя, через которое он будет разлогинен.

        Задается с окончанием s для секунд, m для минут или h для часов.

        По умолчанию: 24h

      • auth.whitelistSourceRanges
        массив строк

        Список адресов в формате CIDR, которым разрешено проходить аутентификацию.

        Если параметр не указан, аутентификацию разрешено проходить без ограничения по IP-адресу.

        Пример:


        whitelistSourceRanges:
        - 1.1.1.1/32
        
    • externalWebsocketPort
      целочисленный
      Внешний порт для запросов по протоколу Websocket. Если WebSocket трафик проходит через прокси-сервер перед достижением бэкенда. Фронтенд-приложение будет использовать это для подключения к прокси-серверу.

      Допустимые значения: 1 <= X <= 65535

    • highAvailability
      булевый

      Ручное управление режимом отказоустойчивости.

      По умолчанию режим отказоустойчивости определяется автоматически. Подробнее про режим отказоустойчивости.

      Примеры:


      highAvailability: true
      
      highAvailability: false
      
    • https
      объект

      Тип сертификата используемого для веб-интерфейса.

      При использовании этого параметра полностью переопределяются глобальные настройки global.modules.https.

      Примеры:


      customCertificate:
        secretName: foobar
      mode: CustomCertificate
      
      certManager:
        clusterIssuerName: letsencrypt
      mode: CertManager
      
      • https.certManager
        объект
        • https.certManager.clusterIssuerName
          строка

          Тип ClusterIssuer’а, используемого для заказа SSL-сертификата.

          В данный момент доступны letsencrypt, letsencrypt-staging, selfsigned, но возможно определить свои.

          По умолчанию: letsencrypt

      • https.customCertificate
        объект

        По умолчанию: {}

        • https.customCertificate.secretName
          строка

          Имя Secret’а в пространстве имен d8-system, который будет использоваться для веб-интерфейса.

          Secret должен быть в формате kubernetes.io/tls.

          По умолчанию: false

      • https.mode
        строка

        Режим работы HTTPS:

        • Disabled — доступ только по HTTP.
        • CertManager — доступ по HTTPS с заказом сертификата согласно ClusterIssuer’у, заданному в параметре certManager.clusterIssuerName. Подробнее.
        • CustomCertificate — доступ по HTTPS с использованием сертификата из пространства имен d8-system.
        • OnlyInURI — доступ по HTTP, подразумевая, что перед веб-интерфейсом стоит внешний HTTPS-балансер, который терминирует HTTPS, и все ссылки в user-authn будут генерироваться с HTTPS-схемой. Балансировщик должен обеспечивать перенаправление с HTTP на HTTPS.

        По умолчанию: Disabled

        Допустимые значения: Disabled, CertManager, CustomCertificate, OnlyInURI

    • ingressClass
      строка

      Класс Ingress-контроллера, который используется для веб-интерфейса.

      Опциональный параметр, по умолчанию используется глобальное значение modules.ingressClass.

      Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

      Пример:


      ingressClass: nginx
      
    • nodeSelector
      объект

      Структура, аналогичная spec.nodeSelector пода Kubernetes.

      Если ничего не указано или указано false, будет использоваться автоматика.

      Пример:


      disktype: ssd
      
    • tolerations
      массив объектов

      Структура, аналогичная spec.tolerations пода Kubernetes.

      Если ничего не указано или указано false, будет использоваться автоматика.

      Пример:


      tolerations:
      - effect: NoSchedule
        key: key1
        operator: Equal
        value: value1
      
      • tolerations.effect
        строка
      • tolerations.key
        строка
      • tolerations.operator
        строка
      • tolerations.tolerationSeconds
        целочисленный
      • tolerations.value
        строка