Модуль доступен только в Deckhouse Enterprise Edition.

Версия схемы: 1

  • allowAnyoneToRuleTheCluster булевый
    Turn off token authentification in HTTP requests

    По умолчанию: false

  • auth объект
    Доступ к web-интерфейсу

    По умолчанию: {}

    • auth.allowedUserGroups массив строк

      Группы доступа к просмотру интерфейса приложения.

      • Используется, если включен модуль user-authn или параметр externalAuthentication.
      • Внимание! При использовании совместно с модулем user-authn необходимо также добавить разрешенные группы в соответствующее поле в настройках DexProvider.
    • auth.externalAuthentication объект

      Параметры для подключения внешней аутентификации (используется механизм Nginx Ingress external-auth, работающий на основе модуля Nginx auth_request.

      Внешняя аутентификация включается автоматически, если включен модуль user-authn.

      • auth.externalAuthentication.authSignInURL строка
        URL, куда будет перенаправлен пользователь для прохождения аутентификации (если сервис аутентификации вернул код ответа HTTP, отличный от 200).
      • auth.externalAuthentication.authURL строка
        URL сервиса аутентификации. Если пользователь прошел аутентификацию, сервис должен возвращать код ответа HTTP 200.
      • auth.externalAuthentication.useBearerTokens булевый

        Токены авторизации. dashboard должен работать с Kubernetes API от имени пользователя (сервис аутентификации при этом должен обязательно возвращать в своих ответах HTTP-заголовок Authorization, в котором должен быть bearer-token – именно под этим токеном dashboard будет производить запросы к API-серверу Kubernetes).

        • Значение по умолчанию: false.

        Важно! Из соображений безопасности этот режим работает только если https.mode (глобальный или в модуле) не установлен в значение Disabled.

    • auth.password строка

      Password for http authorization of the admin user. It is generated automatically, but you can change it.

      This parameter is used if the externalAuthentication is not enabled.

    • auth.sessionTTL строка

      Время сессии пользователя, через которое он будет разлогинен.

      Задается с окончанием s для секунд, m для минут или h для часов.

      По умолчанию: 24h

    • auth.whitelistSourceRanges массив строк
      Список CIDR, которым разрешено проходить аутентификацию. Если параметр не указан, аутентификацию разрешено проходить без ограничения по IP-адресу.

      Пример:

      whitelistSourceRanges:
- 1.1.1.1/32
  • debug объект
    Debug configuration

    По умолчанию: {}

    • debug.backendLogLevel строка
      Log level

      По умолчанию: info

      Допустимые значения: debug, info, warn, error

    • debug.backendPprof булевый
      Enables pprof on /debug/pprof/

      По умолчанию: false

  • https объект

    Тип сертификата используемого для веб-интерфейса.

    При использовании этого параметра полностью переопределяются глобальные настройки global.modules.https.

    Примеры:

    customCertificate:
  secretName: foobar
mode: CustomCertificate

    certManager:
  clusterIssuerName: letsencrypt
mode: CertManager
    • https.certManager объект
      • https.certManager.clusterIssuerName строка

        ClusterIssuer, используемый для fontend.

        Доступны letsencrypt, letsencrypt-staging, selfsigned, но вы можете определить свои.

        По умолчанию: letsencrypt

    • https.customCertificate объект

      По умолчанию: {}

      • https.customCertificate.secretName строка

        Имя secret’а в namespace d8-system, который будет использоваться для fontend.

        Секрет должен быть в формате kubernetes.io/tls.

        По умолчанию: false

    • https.mode строка

      Режим работы HTTPS:

      • Disabled — fontend будут работать только по HTTP.
      • CertManager — fontend будут работать по https и заказывать сертификат с помощью clusterissuer заданном в параметре certManager.clusterIssuerName.
      • CustomCertificate — fontend будут работать по https используя сертификат из namespace d8-system.
      • OnlyInURI — fontend будет работать по HTTP (подразумевая, что перед ними стоит внешний балансер, который терминирует HTTPS) и все ссылки в user-authn будут генерироваться с HTTPS-схемой.

      По умолчанию: Disabled

      Допустимые значения: Disabled, CertManager, CustomCertificate, OnlyInURI

  • nodeSelector объект

    Структура, аналогичная spec.nodeSelector Kubernetes Pod.

    Если ничего не указано или указано false — будет использоваться автоматика.

    Пример:

    disktype: ssd
  • tolerations массив объектов

    Структура, аналогичная spec.tolerations в Kubernetes Pod.

    Если ничего не указано или указано false — будет использоваться автоматика.

    Пример:

    tolerations:
- effect: NoSchedule
  key: key1
  operator: Equal
  value: value1
    • tolerations.effect строка
    • tolerations.key строка
    • tolerations.operator строка
    • tolerations.tolerationSeconds целочисленный
    • tolerations.value строка