Конфигурация

параметры

Версия схемы: 1

• settings

  объект
  • allowAnyoneToRuleTheCluster

    Параметр устарел

    булевый

    Этот параметр ни на что не влияет и в будущих релизах будет удален. Раньше он отключал проверку токена пользователя, за счет чего права пользователя игнорировались, и в интерфейсе console был доступен максимум привелегий.

    По умолчанию: false

  • auth

    объект

    Доступ к web-интерфейсу

    По умолчанию: {}

    • auth.allowedUserGroups

      массив строк

      Массив групп, пользователям которых разрешен доступ к веб-интерфейсу.

      Используется, если включен модуль user-authn или задан параметр externalAuthentication.

      Внимание! При использовании совместно с модулем user-authn необходимо также добавить разрешенные группы в соответствующее поле в настройках DexProvider.

    • auth.externalAuthentication

      объект

      Параметры для подключения внешней аутентификации (используется механизм Nginx Ingress external-auth, работающий на основе модуля Nginx auth_request.

      Внешняя аутентификация включается автоматически, если включен модуль user-authn.

      • auth.externalAuthentication.authSignInURL

        строка

        URL, куда будет перенаправлен пользователь для прохождения аутентификации (если сервис аутентификации вернул код ответа HTTP, отличный от 200).
      • auth.externalAuthentication.authURL

        строка

        URL сервиса аутентификации. Если пользователь прошел аутентификацию, сервис должен возвращать код ответа HTTP 200.
      • auth.externalAuthentication.useBearerTokens

        булевый

        Токены авторизации. Консоль должна работать с Kubernetes API от имени пользователя (сервис аутентификации при этом должен обязательно возвращать в своих ответах HTTP-заголовок Authorization, в котором должен быть bearer-token – именно под этим токеном консоль будет производить запросы к API-серверу Kubernetes).

        • Значение по умолчанию: true.

        Важно! Из соображений безопасности этот режим работает только если https.mode (глобальный или в модуле) не установлен в значение Disabled.

    • auth.password

      строка

      Password for http authorization of the admin user. It is generated automatically, but you can change it.

      This parameter is used if the externalAuthentication is not enabled.

    • auth.sessionTTL

      строка

      Время сессии пользователя, через которое он будет разлогинен.

      Задается с окончанием s для секунд, m для минут или h для часов.

      По умолчанию: 24h

    • auth.whitelistSourceRanges

      массив строк

      Список адресов в формате CIDR, которым разрешено проходить аутентификацию.

      Если параметр не указан, аутентификацию разрешено проходить без ограничения по IP-адресу.

      Пример:

      
      

      whitelistSourceRanges:
      - 1.1.1.1/32
      

  • externalWebsocketPort

    целочисленный

    Внешний порт для запросов по протоколу Websocket. Если WebSocket трафик проходит через прокси-сервер перед достижением бэкенда. Фронтенд-приложение будет использовать это для подключения к прокси-серверу.

    Допустимые значения: 1 <= X <= 65535

  • highAvailability

    булевый

    Ручное управление режимом отказоустойчивости.

    По умолчанию режим отказоустойчивости определяется автоматически. Подробнее про режим отказоустойчивости.

    Примеры:

    
    

    highAvailability: true
    

    highAvailability: false
    

  • https

    объект

    Тип сертификата используемого для веб-интерфейса.

    При использовании этого параметра полностью переопределяются глобальные настройки global.modules.https.

    Примеры:

    
    

    customCertificate:
      secretName: foobar
    mode: CustomCertificate
    

    certManager:
      clusterIssuerName: letsencrypt
    mode: CertManager
    

    • https.certManager

      объект
      • https.certManager.clusterIssuerName

        строка

        Тип ClusterIssuer’а, используемого для заказа SSL-сертификата.

        В данный момент доступны letsencrypt, letsencrypt-staging, selfsigned, но возможно определить свои.

        По умолчанию: letsencrypt

    • https.customCertificate

      объект

      По умолчанию: {}

      • https.customCertificate.secretName

        строка

        Имя Secret’а в пространстве имен d8-system, который будет использоваться для веб-интерфейса.

        Secret должен быть в формате kubernetes.io/tls.

        По умолчанию: false

    • https.mode

      строка

      Режим работы HTTPS:

      • Disabled — доступ только по HTTP.
      • CertManager — доступ по HTTPS с заказом сертификата согласно ClusterIssuer’у, заданному в параметре certManager.clusterIssuerName. Подробнее.
      • CustomCertificate — доступ по HTTPS с использованием сертификата из пространства имен d8-system.
      • OnlyInURI — доступ по HTTP, подразумевая, что перед веб-интерфейсом стоит внешний HTTPS-балансер, который терминирует HTTPS, и все ссылки в user-authn будут генерироваться с HTTPS-схемой. Балансировщик должен обеспечивать перенаправление с HTTP на HTTPS.

      По умолчанию: Disabled

      Допустимые значения: Disabled, CertManager, CustomCertificate, OnlyInURI

  • ingressClass

    строка

    Класс Ingress-контроллера, который используется для веб-интерфейса.

    Опциональный параметр, по умолчанию используется глобальное значение modules.ingressClass.

    Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

    Пример:

    
    

    ingressClass: nginx
    

  • nodeSelector

    объект

    Структура, аналогичная spec.nodeSelector пода Kubernetes.

    Если ничего не указано или указано false, будет использоваться автоматика.

    Пример:

    
    

    disktype: ssd
    

  • tolerations

    массив объектов

    Структура, аналогичная spec.tolerations пода Kubernetes.

    Если ничего не указано или указано false, будет использоваться автоматика.

    Пример:

    
    

    tolerations:
    - effect: NoSchedule
      key: key1
      operator: Equal
      value: value1
    

    • tolerations.effect

      строка
    • tolerations.key

      строка
    • tolerations.operator

      строка
    • tolerations.tolerationSeconds

      целочисленный
    • tolerations.value

      строка