Модуль доступен только в Deckhouse Enterprise Edition.
Версия схемы: 1
-
allowAnyoneToRuleTheCluster
булевый
Turn off token authentification in HTTP requests
По умолчанию:
false
-
auth
объект
Доступ к web-интерфейсу
По умолчанию:
{}
-
auth.allowedUserGroups
массив строк
Группы доступа к просмотру интерфейса приложения.
- Используется, если включен модуль
user-authn
или параметрexternalAuthentication
. - Внимание! При использовании совместно с модулем user-authn необходимо также добавить разрешенные группы в соответствующее поле в настройках DexProvider.
- Используется, если включен модуль
-
auth.externalAuthentication
объект
Параметры для подключения внешней аутентификации (используется механизм Nginx Ingress external-auth, работающий на основе модуля Nginx auth_request.
Внешняя аутентификация включается автоматически, если включен модуль user-authn.
-
auth.externalAuthentication.authSignInURL
строка
URL, куда будет перенаправлен пользователь для прохождения аутентификации (если сервис аутентификации вернул код ответа HTTP, отличный от 200).
-
auth.externalAuthentication.authURL
строка
URL сервиса аутентификации. Если пользователь прошел аутентификацию, сервис должен возвращать код ответа HTTP 200.
-
auth.externalAuthentication.useBearerTokens
булевый
Токены авторизации. dashboard должен работать с Kubernetes API от имени пользователя (сервис аутентификации при этом должен обязательно возвращать в своих ответах HTTP-заголовок Authorization, в котором должен быть bearer-token – именно под этим токеном dashboard будет производить запросы к API-серверу Kubernetes).
- Значение по умолчанию:
false
.
Важно! Из соображений безопасности этот режим работает только если
https.mode
(глобальный или в модуле) не установлен в значениеDisabled
. - Значение по умолчанию:
-
auth.externalAuthentication.authSignInURL
строка
-
auth.password
строка
Password for http authorization of the
admin
user. It is generated automatically, but you can change it.This parameter is used if the
externalAuthentication
is not enabled. -
auth.sessionTTL
строка
Время сессии пользователя, через которое он будет разлогинен.
Задается с окончанием
s
для секунд,m
для минут илиh
для часов.По умолчанию:
24h
-
auth.whitelistSourceRanges
массив строк
Список CIDR, которым разрешено проходить аутентификацию. Если параметр не указан, аутентификацию разрешено проходить без ограничения по IP-адресу.
Пример:
whitelistSourceRanges: - 1.1.1.1/32
-
auth.allowedUserGroups
массив строк
-
debug
объект
Debug configuration
По умолчанию:
{}
-
debug.backendLogLevel
строка
Log level
По умолчанию:
info
Допустимые значения:
debug
,info
,warn
,error
-
debug.backendPprof
булевый
Enables pprof on /debug/pprof/
По умолчанию:
false
-
debug.backendLogLevel
строка
-
https
объект
Тип сертификата используемого для веб-интерфейса.
При использовании этого параметра полностью переопределяются глобальные настройки
global.modules.https
.Примеры:
customCertificate: secretName: foobar mode: CustomCertificate
certManager: clusterIssuerName: letsencrypt mode: CertManager
-
https.certManager
объект
-
https.certManager.clusterIssuerName
строка
ClusterIssuer, используемый для fontend.
Доступны
letsencrypt
,letsencrypt-staging
,selfsigned
, но вы можете определить свои.По умолчанию:
letsencrypt
-
https.certManager.clusterIssuerName
строка
-
https.customCertificate
объект
По умолчанию:
{}
-
https.customCertificate.secretName
строка
Имя secret’а в namespace
d8-system
, который будет использоваться для fontend.Секрет должен быть в формате kubernetes.io/tls.
По умолчанию:
false
-
https.customCertificate.secretName
строка
-
https.mode
строка
Режим работы HTTPS:
Disabled
— fontend будут работать только по HTTP.CertManager
— fontend будут работать по https и заказывать сертификат с помощью clusterissuer заданном в параметреcertManager.clusterIssuerName
.CustomCertificate
— fontend будут работать по https используя сертификат из namespaced8-system
.OnlyInURI
— fontend будет работать по HTTP (подразумевая, что перед ними стоит внешний балансер, который терминирует HTTPS) и все ссылки в user-authn будут генерироваться с HTTPS-схемой.
По умолчанию:
Disabled
Допустимые значения:
Disabled
,CertManager
,CustomCertificate
,OnlyInURI
-
https.certManager
объект
-
nodeSelector
объект
Структура, аналогичная
spec.nodeSelector
Kubernetes Pod.Если ничего не указано или указано
false
— будет использоваться автоматика.Пример:
disktype: ssd
-
tolerations
массив объектов
Структура, аналогичная
spec.tolerations
в Kubernetes Pod.Если ничего не указано или указано
false
— будет использоваться автоматика.Пример:
tolerations: - effect: NoSchedule key: key1 operator: Equal value: value1
- tolerations.effect строка
- tolerations.key строка
- tolerations.operator строка
- tolerations.tolerationSeconds целочисленный
- tolerations.value строка