Доступно в редакциях: CE, BE, SE, SE+, EE, CSE Lite (1.67), CSE Pro (1.67)
Стадия жизненного цикла модуля: General Availability
У модуля нет обязательных настроек.
Пример конфигурации
apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
name: deckhouse-tools
spec:
enabled: true
version: 1
Модуль включен по умолчанию в наборах модулей: Default, Managed.
Модуль выключен по умолчанию в наборе модулей Minimal.
Как явно включить или отключить модуль…
Явно включить или выключить модуль можно одним из следующих способов:
-
С помощью веб-интерфейса Deckhouse. В разделе «Система» → «Управление системой» → «Deckhouse» → «Модули», откройте модуль
deckhouse-tools, включите (или выключите) переключатель «Модуль включен». Сохраните изменения.Пример:
-
С помощью Deckhouse CLI (d8).
Используйте команду d8 system module enable для включения модуля, или d8 system module disable для выключения модуля (требуется Deckhouse CLI (d8), настроенный на работу с кластером).
Пример включения модуля
deckhouse-tools:d8 system module enable deckhouse-tools -
С помощью ModuleConfig
deckhouse-tools.Установите
spec.enabledвtrueилиfalseв ModuleConfigdeckhouse-tools(создайте его, при необходимости).Пример манифеста для включения модуля
deckhouse-tools:apiVersion: deckhouse.io/v1alpha1 kind: ModuleConfig metadata: name: deckhouse-tools spec: enabled: true
Настроить модуль можно одним из следующих способов:
-
С помощью веб-интерфейса Deckhouse.
В разделе «Система» → «Управление системой» → «Deckhouse» → «Модули», откройте модуль
deckhouse-tools, включите переключатель «Дополнительные настройки». Заполните необходимые поля формы на вкладке «Конфигурация», или укажите настройки модуля в формате YAML на вкладке «YAML», не включая секцию settings. Сохраните изменения.Пример:
Вы также можете отредактировать объект ModuleConfig
deckhouse-toolsна вкладке «YAML» в окне настроек модуля («Система» → «Управление системой» → «Deckhouse» → «Модули», откройте модульdeckhouse-tools), указав версию схемы в параметреspec.versionи необходимые параметры модуля в секцииspec.settings. -
С помощью Deckhouse CLI (d8) (требуется Deckhouse CLI (d8), настроенный на работу с кластером).
Отредактируйте существующий ModuleConfig
deckhouse-tools(подробнее о настройке Deckhouse читайте в документации), выполнив следующую команду:d8 k edit mc deckhouse-toolsВнесите необходимые изменения в секцию
spec.settings. При необходимости укажите версию схемы в параметреspec.version. Сохраните изменения.Вы также можете создать файл манифеста ModuleConfig
deckhouse-tools, используя пример ниже. Заполните секциюspec.settingsнеобходимыми параметрами модуля. При необходимости укажите версию схемы в параметреspec.version.Примените манифест с помощью следующей команды (укажите имя файла манифеста):
d8 k apply -f <FILENAME>Пример файла манифеста ModuleConfig
deckhouse-tools:apiVersion: deckhouse.io/v1alpha1 kind: ModuleConfig metadata: name: deckhouse-tools spec: version: 1 enabled: true settings: # Параметры модуля из раздела "Параметры" ниже.
Параметры
Версия схемы: 1
- объектsettings
- объектsettings.auth
Параметры для аутентификации и авторизации доступа к веб-интерфейсу модуля.
- массив строкsettings.auth.allowedUserEmails
Массив адресов электронной почты, пользователям которых разрешен доступ к веб-интерфейсу.
Используется, если включен модуль
user-authnили задан параметрexternalAuthentication. - массив строкsettings.auth.allowedUserGroups
Массив из групп, пользователи которых имеют доступ к веб-интерфейсу модуля.
Этот параметр используется, если включен модуль
user-authnили установлен параметрexternalAuthentication.Внимание! Эти группы необходимо добавить в соответствующее поле в конфигурации
DexProvider, если этот модуль используется вместе с модулемuser-authn.По умолчанию:
[]Примеры:
allowedUserGroups: - admin - usersallowedUserGroups: [] - объектsettings.auth.externalAuthentication
Параметры для включения внешней аутентификации на основе Ingress NGINX external-auth механизма, использующего Nginx auth_request module.
Внешняя аутентификация включена по умолчанию, если включен модуль user-authn.
- строкаsettings.auth.externalAuthentication.authSignInURL
URL-адрес для перенаправления пользователя на проверку аутентификации (если служба аутентификации вернула код ответа HTTP, отличный от 200).
По умолчанию:
Пример:
authSignInURL: https://$host/dex-authenticator/sign_in - строкаsettings.auth.externalAuthentication.authURL
URL-адрес сервиса аутентификации.
Если пользователь прошел аутентификацию, сервис должен вернуть код ответа HTTP 200.
По умолчанию:
Пример:
authURL: https://deckhouse-tools-dex-authenticator.d8-system.svc.cluster.local/dex-authenticator/auth
- объектsettings.https
Тип используемого сертификата.
При использовании этого параметра полностью переопределяются глобальные настройки
global.modules.https.Примеры:
https: mode: Disabledhttps: mode: OnlyInURIhttps: mode: CustomCertificate customCertificate: secretName: foobarhttps: mode: CertManager certManager: clusterIssuerName: letsencrypt- объектsettings.https.certManager
Настройки для cert-manager.
- строкаsettings.https.certManager.clusterIssuerName
Тип ClusterIssuer’а, используемого для заказа SSL-сертификата (доступны
letsencrypt,letsencrypt-stagingиselfsigned, но возможно определить свои).По умолчанию:
letsencryptПример:
clusterIssuerName: letsencrypt
- объектsettings.https.customCertificate
Настройки для использования пользовательского сертификата.
- строкаsettings.https.customCertificate.secretName
Имя Secret’а в пространстве имен
d8-system, который будет использоваться для веб-интерфейса модуля.Secret должен быть в формате kubernetes.io/tls.
- строкаsettings.https.mode
Режим работы HTTPS:
CertManager— доступ по HTTPS с заказом сертификата согласно ClusterIssuer’у, заданному в параметреcertManager.clusterIssuerName.CustomCertificate— доступ по HTTPS с использованием сертификата из пространства именd8-system.Disabled— доступ только по HTTP.OnlyInURI— доступ по HTTP, подразумевая, что перед веб-интерфейсом стоит внешний HTTPS-балансер, который терминирует HTTPS, и все ссылки вuser-authnбудут генерироваться с HTTPS-схемой. Балансировщик должен обеспечивать перенаправление с HTTP на HTTPS.
По умолчанию:
CertManagerДопустимые значения:
Disabled,CertManager,CustomCertificate,OnlyInURI
- строкаsettings.ingressClass
Класс Ingress-контроллера веб-интерфейса модуля.
Опциональный параметр, по умолчанию используется глобальное значение
modules.ingressClass.Шаблон:
^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$ - объектsettings.nodeSelector
Структура, аналогичная
spec.nodeSelectorпода Kubernetes.Если значение не указано или указано
false,nodeSelectorбудет определяться автоматически.Пример:
nodeSelector: disktype: ssd - массив объектовsettings.tolerations
Структура, аналогичная
spec.tolerationsпода Kubernetes.Если значение не указано или указано
false,tolerationsбудет определяться автоматически.Пример:
tolerations: - key: key1 operator: Equal value: value1 effect: NoSchedule- строкаsettings.tolerations.effect
- строкаsettings.tolerations.key
- строкаsettings.tolerations.operator
- целочисленныйsettings.tolerations.tolerationSeconds
- строкаsettings.tolerations.value