Deckhouse Kubernetes Platform устанавливает CRD, но не удаляет их при отключении модуля. Если вам больше не нужны созданные CRD, удалите их.

Стадия жизненного цикла модуля: General Availability

IngressNginxController

Scope: Cluster

v1v1alpha1
  • spec
    объект

    Обязательный параметр

    • spec.acceptRequestsFrom
      массив строк

      Список адресов в формате CIDR, которым разрешен доступ к контроллеру.

      Независимо от инлета всегда проверяется непосредственный адрес (поле original_address в логах), с которого производится подключение, а не адрес клиента, который может передаваться в некоторых инлетах через заголовки или с использованием proxy protocol.

      Параметр реализован с помощью map module. Если адрес, с которого производится подключение, не разрешен, nginx закрывает соединение, отправляя код 444).

      По умолчанию к контроллеру можно подключаться с любых адресов.

      • Элемент массива
        строка

        Шаблон: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(3[0-2]|[1-2][0-9]|[0-9]))$

    • spec.additionalHeaders
      объект

      Дополнительные заголовки, которые будут добавлены к каждому запросу. Указываются в формате ключ: значение(строка).

    • spec.additionalLogFields
      объект

      Дополнительные поля, которые будут добавлены в логи nginx. Указываются в формате ключ: значение(строка).

    • spec.annotationValidationEnabled
      булевый

      Включает валидацию аннотаций Ingress-правил.

      По умолчанию: false

    • spec.chaosMonkey
      булевый

      Инструмент, позволяющий систематически вызывать случайные прерывания работы подов контроллера.

      Предназначен для проверки Ingress-контроллера на реальную работу отказоустойчивости.

      По умолчанию: false

    • spec.config
      объект

      Секция настроек Ingress-контроллера, в которую в формате ключ: значение(строка) можно записать любые возможные опции.

      Ошибка в опциях может привести к неработоспособности Ingress-контроллера.

      Используйте опцию с осторожностью, поскольку обратная совместимость и работоспособность Ingress-контроллера не гарантируются.

    • spec.controllerLogLevel
      строка

      Определяет уровень логирования для журналов Ingress-контроллера.

      По умолчанию: Info

      Допустимые значения: Error — в журнал будут записываться только критические ошибки.
      Warn — в журнал будут записываться предупреждения и ошибки.
      Info — информационные сообщения, включая базовые сведения для отладки.
      Extended — расширенная информация об изменениях в состоянии системы.
      Debug — подробный отладочный вывод, может включать избыточные данные.
      Trace — журналы на уровне трассировки с подробным пошаговым контекстом.

    • spec.controllerPodsAdditionalAnnotations
      объект

      Дополнительные пользовательские аннотации для подов Ingress-контроллера.

      Используйте параметр с осторожностью, поскольку обратная совместимость и работоспособность Ingress-контроллера при использовании параметра не гарантируются.

    • spec.controllerVersion
      строка

      Версия Ingress NGINX Controller.

      По умолчанию используется версия из настроек модуля. Поддерживаемые версии: 1.10, 1.12, 1.14.

      Допустимые значения: 1.10, 1.12, 1.14

    • spec.customErrors
      объект

      Секция с настройкой кастомизации HTTP-ошибок.

      Если секция указана в настройках, все параметры в ней являются обязательными.

      Изменение любого параметра приводит к перезапуску всех Ingress-контроллеров.

      • spec.customErrors.codes
        массив строк

        Обязательный параметр

        Список кодов ответа (массив), при которых запрос будет перенаправляться на кастомный бэкенд.

        • Элемент массива
          строка

          Шаблон: ^[1-5][0-9][0-9]$

      • spec.customErrors.namespace
        строка

        Обязательный параметр

        Название пространства имён, в котором будет находиться сервис, используемый в качестве кастомного бэкенда по умолчанию.

        Пример:

        namespace: default
      • spec.customErrors.serviceName
        строка

        Обязательный параметр

        Имя сервиса, который будет использоваться в качестве кастомного бэкенда по умолчанию.

        Пример:

        serviceName: custom-errors-backend-service
    • spec.defaultSSLCertificate
      объект

      Сертификат, который используется:

      • при запросах на catch-all-сервер (подразумевается директива server nginx). На catch-all-сервер попадают запросы, для которых нет соответствующего Ingress-ресурса;
      • для Ingress–ресурсов, в которых не задан secretName в секции tls.

      По умолчанию используется самоподписанный сертификат.

      Внимание. Параметр не влияет на сертификаты, используемые в Ingress-ресурсах модулей Deckhouse. Чтобы указать сертификат для Ingress-ресурсов модулей Deckhouse, используйте глобальный параметр modules.https.customCertificate.

      • spec.defaultSSLCertificate.secretRef
        объект

        Ссылка на Secret для передачи Ingress-контроллеру.

        • spec.defaultSSLCertificate.secretRef.name
          строка

          Имя Secret, содержащего SSL–сертификат.

          Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

        • spec.defaultSSLCertificate.secretRef.namespace
          строка

          Название пространства имён, в котором находится Secret с SSL-сертификатом.

          По умолчанию: d8-ingress-nginx

          Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?$

    • spec.disableHTTP2
      булевый

      Выключает HTTP/2.

      По умолчанию: false

    • spec.enableHTTP3
      булевый

      Включает HTTP/3.

      HTTP/3 нельзя включить, если выбран инлет HostPortWithProxyProtocol или LoadBalancerWithProxyProtocol.

      В случае инлета HostWithFailover HTTP/3 включается только для основного контроллера; резервный контроллер всегда работает без HTTP/3.

      По умолчанию: false

    • spec.enableIstioSidecar
      булевый

      Добавляет к подам контроллера аннотации для автоматического инжекта сайдкаров Istio.

      При включении этого параметра к подам Ingress-контроллера добавляются аннотации sidecar.istio.io/inject: "true" и traffic.sidecar.istio.io/includeOutboundIPRanges: "<Service CIDR>". При создании таких подов к ним автоматически будут добавлены сайдкары Istio с помощью mutating webhook. После этого весь трафик в сторону Service CIDR будет перехватываться сайдкаром.

      Чтобы воспользоваться этой функцией, добавьте аннотации в прикладные Ingress-ресурсы:

      • nginx.ingress.kubernetes.io/service-upstream: "true" — с этой аннотацией Ingress-контроллер будет отправлять запросы на ClusterIP сервиса (из диапазона Service CIDR) вместо того, чтобы слать их напрямую в поды приложения. Сайдкар istio-proxy перехватывает трафик только в сторону диапазона Service CIDR, остальные запросы отправляются напрямую;
      • nginx.ingress.kubernetes.io/upstream-vhost: myservice.myns.svc — с данной аннотацией сайдкар сможет идентифицировать прикладной сервис, для которого предназначен запрос.

      Внимание. Данный параметр не может быть включен, если инлет Ingress-контроллера установлен в значение HostWithFailover.

    • spec.geoIP2
      объект

      Опции для включения GeoIP2.

      • spec.geoIP2.maxmindAccountID
        целочисленный

        Идентификатор учетной записи MaxMind, используемый для аутентификации загрузки базы данных GeoIP2.

        Требуется, когда указан maxmindLicenseKey. Если задан maxmindAccountID, загрузка выполняется официальной библиотекой geoipupdate, что позволяет пропускать неизменённые обновления и экономить лимит лицензии.

        Допустимые значения: 1 <= X

      • spec.geoIP2.maxmindEditionIDs
        массив строк

        Список ревизий баз данных, которые будут скачаны при старте.

        Подробнее о базах данных GeoLite — в статье в блоге MaxMind.

        По умолчанию: ["GeoLite2-City","GeoLite2-ASN"]

        • Элемент массива
          строка

          Допустимые значения: GeoIP2-Anonymous-IP, GeoIP2-Country, GeoIP2-City, GeoIP2-Connection-Type, GeoIP2-Domain, GeoIP2-ISP, GeoIP2-ASN, GeoLite2-ASN, GeoLite2-Country, GeoLite2-City

      • spec.geoIP2.maxmindLicenseKey
        строка

        Лицензионный ключ для скачивания базы данных GeoIP2.

        При наличии ключа в конфигурации база GeoIP2 скачивается при каждом старте контроллера. Подробнее о получении ключа — в статье в блоге MaxMind.

      • spec.geoIP2.maxmindMirror
        объект

        Настройки зеркала для скачивания баз GeoIP. Если параметр не указан или имеет пустое значение, то по умолчанию будет использоваться https://download.maxmind.com.

        Пример корректного URL: https://mirror.local/GeoLite2-City.tar.gz.

        Если зеркало используется для хранения предзагруженных архивов, параметр licenseKey можно не указывать.

        • spec.geoIP2.maxmindMirror.ca
          строка

          Пользовательский корневой сертификат в формате PEM для проверки TLS-соединения с зеркалом.

          Пример: —–BEGIN CERTIFICATE—– … —–END CERTIFICATE—–

        • spec.geoIP2.maxmindMirror.insecureSkipVerify
          булевый

          Отключает проверку TLS сертификатов зеркала, например, если используется самоподписанный сертификат.

        • spec.geoIP2.maxmindMirror.url
          строка

          Обязательный параметр

          URL для скачивания баз GeoIP.

          Шаблон: ^https?://.+$

          Примеры:

          url: https://mirror.local

          url: absolute path https://mirror.local/GeoLite2-City.tar.gz
    • spec.hostPort
      объект

      Секция настроек инлета HostPort.

      • spec.hostPort.acceptClientIPHeadersFrom
        массив строк

        Определяет список доверенных подсетей в формате CIDR, запросы от которых содержат корректные заголовки X-Forwarded-*/ProxyProtocol.

        По умолчанию: ["0.0.0.0/0"]

        Пример:

        acceptClientIPHeadersFrom:
- 192.168.0.0/24
        • Элемент массива
          строка

          Шаблон: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(3[0-2]|[1-2][0-9]|[0-9]))$

      • spec.hostPort.behindL7Proxy
        булевый

        Включает обработку и передачу заголовков X-Forwarded-*.

        Внимание. Перед использованием этой опции убедитесь, что запросы к Ingress направляются только от доверенных источников. Для настройки ограничений воспользуйтесь параметром acceptRequestsFrom.

      • spec.hostPort.httpPort
        целочисленный

        Порт для небезопасного подключения по HTTP.

        Если параметр не указан, подключение по HTTP невозможно.

        Параметр обязателен в случае, если не задан httpsPort.

        Пример:

        httpPort: 80
      • spec.hostPort.httpsPort
        целочисленный

        Порт для безопасного подключения по HTTPS.

        Если параметр не указан, подключение по HTTPS невозможно.

        Параметр обязателен в случае, если не задан httpPort.

        Пример:

        httpsPort: 443
      • spec.hostPort.realIPHeader
        строка

        Заголовок, из которого будет получен настоящий IP-адрес клиента.

        Работает только при включенной опции behindL7Proxy.

        По умолчанию: X-Forwarded-For

        Пример:

        realIPHeader: CF-Connecting-IP
    • spec.hostPortWithProxyProtocol
      объект

      Секция настроек инлета HostPortWithProxyProtocol.

      • spec.hostPortWithProxyProtocol.acceptClientIPHeadersFrom
        массив строк

        Определяет список доверенных подсетей в формате CIDR, запросы от которых содержат корректные заголовки X-Forwarded-*/ProxyProtocol.

        По умолчанию: ["0.0.0.0/0"]

        Пример:

        acceptClientIPHeadersFrom:
- 192.168.0.0/24
        • Элемент массива
          строка

          Шаблон: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(3[0-2]|[1-2][0-9]|[0-9]))$

      • spec.hostPortWithProxyProtocol.httpPort
        целочисленный

        Порт для небезопасного подключения по HTTP.

        Если параметр не указан, подключение по HTTP невозможно.

        Параметр обязателен в случае, если не задан httpsPort.

        Пример:

        httpPort: 80
      • spec.hostPortWithProxyProtocol.httpsPort
        целочисленный

        Порт для безопасного подключения по HTTPS.

        Если параметр не указан, подключение по HTTPS невозможно.

        Параметр обязателен в случае, если не задан httpPort.

        Пример:

        httpsPort: 443
    • spec.hostPortWithSSLPassthrough
      объект

      Секция настроек инлета HostPortWithSSLPassthrough.

      • spec.hostPortWithSSLPassthrough.httpPort
        целочисленный

        Порт для небезопасного подключения по HTTP.

        Если параметр не указан, подключение по HTTP невозможно.

        Параметр обязателен в случае, если не задан httpsPort.

        Пример:

        httpPort: 80
      • spec.hostPortWithSSLPassthrough.httpsPort
        целочисленный

        Порт для безопасного подключения по HTTPS.

        Если параметр не указан, подключение по HTTPS невозможно.

        Параметр обязателен в случае, если не задан httpPort.

        Пример:

        httpsPort: 443
    • spec.hsts
      булевый

      Включает использование заголовков ответа HTTP Strict-Transport-Security (HSTS). Подробнее о заголовках HSTS — в статье на портале MDN Web Docs.

      По умолчанию: false

    • spec.hstsOptions
      объект

      Параметры HSTS.

      • spec.hstsOptions.includeSubDomains
        булевый

        Применяет настройки HSTS ко всем поддоменам сайта.

        По умолчанию: false

      • spec.hstsOptions.maxAge
        строка

        Время в секундах, в течение которого браузер помнит, что сайт доступен только с помощью HTTPS.

        По умолчанию: 31536000

        Шаблон: ^[1-9][0-9]*$

        Пример:

        maxAge: '31536000'
      • spec.hstsOptions.preload
        булевый

        Добавляет сайт в список предзагрузки.

        Список указывает браузерам, что подключение к перечисленным сайтам должно осуществляться только по HTTPS.

        По умолчанию: false

    • spec.ingressClass
      строка

      Имя Ingress-класса для обслуживания Ingress NGINX Controller.

      Позволяет создать несколько контроллеров для обслуживания одного Ingress-класса.

      Если указать значение nginx, дополнительно будут обрабатываться Ingress-ресурсы без аннотации kubernetes.io/ingress.class или поля spec.ingressClassName.

      По умолчанию: nginx

      Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

      Пример:

      ingressClass: nginx
    • spec.inlet
      строка

      Обязательный параметр

      Способ приема трафика из внешней сети. Изменение установленного способа невозможно.

      Возможные значения:

      • LoadBalancer — устанавливается Ingress-контроллер, и заказывается сервис с типом LoadBalancer;
      • LoadBalancerWithProxyProtocol — устанавливается Ingress-контроллер, и заказывается сервис с типом LoadBalancer. Ingress-контроллер использует proxy-protocol для получения настоящего IP-адреса клиента;

        Важно. HTTP/3 (enableHTTP3) нельзя включать с этим инлетом, так как QUIC несовместим с PROXY protocol.

      • LoadBalancerWithSSLPassthrough — устанавливается Ingress-контроллер, и заказывается сервис с типом LoadBalancer. Этот инлет включает функцию SSL Passthrough, которая позволяет настроить бэкенды на приём SSL-трафика напрямую, без терминации на Ingress-контроллере.

        Функция SSL Passthrough реализована путем перехвата всего трафика на настроенном HTTPS-порту (по умолчанию: 443) и передачи его локальному TCP-прокси. Это полностью обходит NGINX и приводит к существенному снижению производительности.

        Протокол SSL Passthrough использует Server Name Indication (SNI) и считывает данные о виртуальном домене из протокола согласования TLS, для чего требуется подходящий клиент.

        Если имя хоста не совпадает с запрошенным именем хоста, запрос передается в NGINX на настроенный SSL Passthrough прокси-порт (по умолчанию: 442), который затем передает запрос серверу по умолчанию.

        В отличие от HTTP-бэкендов, трафик для SSL Passthrough бэкендов отправляется на ClusterIP, а не на отдельные эндпоинты.

        Поскольку SSL Passthrough работает на 4 уровне модели OSI (TCP), а не на уровне 7 (HTTP), использование SSL Passthrough делает невозможным использование всех остальных аннотаций, установленных для Ingress.

      • HostPort — устанавливается Ingress-контроллер, который доступен на портах узлов через hostPort;

      • HostPortWithProxyProtocol — устанавливается Ingress-контроллер, который доступен на портах узлов через hostPort и использует proxy-protocol для получения настоящего IP-адреса клиента.

        Важно. Перед использованием этого инлета убедитесь, что запросы к Ingress будут направляться только от доверенных источников. Для настройки ограничений воспользуйтесь параметром acceptRequestsFrom.

        Важно. HTTP/3 (enableHTTP3) нельзя включать с этим инлетом, так как QUIC несовместим с PROXY protocol.

      • HostPortWithSSLPassthrough — устанавливается Ingress-контроллер, который доступен на портах узлов через hostPort. Этот инлет включает функцию SSL Passthrough, которая позволяет настроить бэкенды на приём SSL-трафика напрямую, без терминации на Ingress-контроллере.

        Укажите параметры работы инлета в секции spec.HostPortWithSSLPassthrough.

        Протокол SSL Passthrough использует SNI и считывает данные о виртуальном домене из протокола согласования TLS, для чего требуется подходящий клиент.

        Если имя хоста не совпадает с запрошенным именем хоста, запрос передается в NGINX на настроенный SSL Passthrough прокси-порт (по умолчанию: 442), который затем передает запрос серверу по умолчанию.

        Функция SSL Passthrough реализована путем перехвата всего трафика на настроенном HTTPS-порту (по умолчанию: 443) и передачи его локальному TCP-прокси. Это полностью обходит NGINX и приводит к существенному снижению производительности.

        В отличие от HTTP-бэкендов, трафик для SSL Passthrough бэкендов отправляется на ClusterIP, а не на отдельные эндпоинты.

        Поскольку SSL Passthrough работает на 4 уровне модели OSI (TCP), а не на уровне 7 (HTTP), использование SSL Passthrough делает невозможным использование всех остальных аннотаций, установленных для Ingress.

      • HostWithFailover — устанавливаются два Ingress-контроллера — основной и резервный. Основной контроллер запускается в hostNetwork. Если поды основного контроллера недоступны, трафик уходит в резервный контроллер.

        На одном хосте может быть только один контроллер с данным типом инлета.

        Убедитесь, что на узле свободны следующие порты: 80, 81, 443, 444, 4207, 4208.

        Чтобы поменять инлет, удалите правила iptables и перезапустите поды kube-proxy или перезагрузите узлы, на которых размещались Ingress-контроллеры.

        Данный инлет не может быть использован, если параметр enableIstioSidecar включен.

        Замечание. При включении HTTP/3 (enableHTTP3) он применяется только к основному контроллеру; резервный контроллер всегда работает без HTTP/3.

      Допустимые значения: LoadBalancer, LoadBalancerWithSSLPassthrough, LoadBalancerWithProxyProtocol, HostPort, HostPortWithSSLPassthrough, HostPortWithProxyProtocol, HostWithFailover

    • spec.legacySSL
      булевый

      Определяет, разрешены ли устаревшие версии протокола TLS и алгоритмов шифрования (cipher suites).

      Работа разрешена для следующих версий протокола TLS: TLSv1, TLSv1.1, TLSv1.2, TLSv1.3.

      Допустимые комбинации алгоритмов шифрования, расположенные в порядке от наиболее надёжной к наименее надёжной: ECDHE-ECDSA-AES256-GCM-SHA384, ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-CHACHA20-POLY1305, ECDHE-RSA-CHACHA20-POLY1305, ECDHE-ECDSA-AES128-GCM-SHA256, ECDHE-RSA-AES128-GCM-SHA256, ECDHE-ECDSA-AES256-SHA384, ECDHE-RSA-AES256-SHA384, ECDHE-ECDSA-AES128-SHA256, ECDHE-RSA-AES128-SHA256, ECDHE-ECDSA-AES256-SHA, ECDHE-RSA-AES256-SHA, ECDHE-ECDSA-AES128-SHA, ECDHE-RSA-AES128-SHA, AES256-GCM-SHA384, AES128-GCM-SHA256, AES256-SHA256, AES128-SHA256, AES256-SHA, AES128-SHA.

      По умолчанию включены только TLSv1.2, TLSv1.3 и самые новые алгоритмы шифрования.

    • spec.loadBalancer
      объект

      Необязательный параметр.

      Секция настроек инлета LoadBalancer.

      • spec.loadBalancer.acceptClientIPHeadersFrom
        массив строк

        Определяет список доверенных подсетей в формате CIDR, запросы от которых содержат корректные заголовки X-Forwarded-*/ProxyProtocol.

        По умолчанию: ["0.0.0.0/0"]

        Пример:

        acceptClientIPHeadersFrom:
- 192.168.0.0/24
        • Элемент массива
          строка

          Шаблон: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(3[0-2]|[1-2][0-9]|[0-9]))$

      • spec.loadBalancer.annotations
        объект

        Аннотации, которые будут назначены сервису для гибкой настройки балансировщика.

        Модуль не учитывает особенности указания аннотаций в различных облаках.

        Если аннотации для заказа балансировщика применяются только при создании сервиса, для обновления подобных параметров пересоздайте ресурс IngressNginxController (или создайте новый и удалите старый).

      • spec.loadBalancer.behindL7Proxy
        булевый

        Включает обработку и передачу заголовков X-Forwarded-*.

        Внимание. Перед использованием этой опции убедитесь, что запросы к Ingress направляются только от доверенных источников.

      • spec.loadBalancer.httpPort
        целочисленный

        Внешний порт для небезопасного подключения по HTTP на балансировщике, создаваемом через сервис типа LoadBalancer.

        Если не заданы оба параметра httpPort и httpsPort, сервис будет слушать стандартные порты 80 и 443. Если задан хотя бы один из этих параметров, для соответствующего типа подключения сервис будет слушать только явно указанные порты. Для типа подключения, для которого не задан параметр, ничего не меняется: прослушивается стандартный порт.

        Внимание. Поведение при смене портов зависит от облачного провайдера и может приводить к специфичным для каждого провайдера побочным эффектам (например, к пересозданию балансировщика или смене его публичного IP-адреса). Эти эффекты могут быть не документированы; перед использованием в production-среде протестируйте обновление сервиса.

        Внимание. ACME HTTP-01 (например, Let’s Encrypt через cert-manager) всегда проверяет доступность домена по TCP-порту 80. Если задать httpsPort без httpPort или изменить httpPort на значение отличное от 80, выпуск/продление сертификатов может перестать работать, если не используется DNS-01 или не настроен проброс порта 80 до контроллера на уровне внешнего балансировщика.

        Внимание. Многие приложения (включая некоторые компоненты модулей Deckhouse) формируют абсолютные ссылки и редиректы без явного указания порта (подразумевая стандартные порты 80/443). Если Ingress-контроллер доступен снаружи на нестандартных портах, редиректы могут вести на неправильный порт, а ссылки могут формироваться некорректно; рекомендуется использовать стандартные порты снаружи или настраивать внешний проброс/проксирование портов.

        По умолчанию: 80

        Допустимые значения: 1 <= X <= 65535

      • spec.loadBalancer.httpsPort
        целочисленный

        Внешний порт для безопасного подключения по HTTPS на балансировщике, создаваемом через сервис типа LoadBalancer.

        Если не заданы оба параметра httpPort и httpsPort, сервис будет слушать стандартные порты 80 и 443. Если задан хотя бы один из этих параметров, для соответствующего типа подключения сервис будет слушать только явно указанные порты. Для типа подключения, для которого не задан параметр, ничего не меняется: прослушивается стандартный порт.

        Внимание. Поведение при смене портов зависит от облачного провайдера и может приводить к специфичным для каждого провайдера побочным эффектам (например, к пересозданию балансировщика или смене его публичного IP-адреса). Эти эффекты могут быть не документированы; перед использованием в production-среде протестируйте обновление сервиса.

        Внимание. Многие приложения (включая некоторые компоненты модулей Deckhouse) формируют абсолютные ссылки и редиректы без явного указания порта (подразумевая стандартные порты 80/443). При нестандартном httpsPort пользователи могут попадать на 443/tcp, а ссылки могут формироваться некорректно; рекомендуется использовать стандартные порты снаружи или настраивать внешний проброс/проксирование портов.

        По умолчанию: 443

        Допустимые значения: 1 <= X <= 65535

      • spec.loadBalancer.loadBalancerClass
        строка

        Класс балансировщика входящих сетевых запросов (пробрасывается в параметр spec.loadBalancerClass заказанного сервиса с типом LoadBalancer).

      • spec.loadBalancer.realIPHeader
        строка

        Заголовок, из которого будет получен настоящий IP-адрес клиента.

        Работает только при включении behindL7Proxy.

        По умолчанию: X-Forwarded-For

        Пример:

        realIPHeader: CF-Connecting-IP
      • spec.loadBalancer.sourceRanges
        массив строк

        Список адресов в формате CIDR, которым разрешен доступ к балансировщику.

        Внимание. Облачный провайдер может не поддерживать данную опцию и игнорировать ее.

        • Провайдеры поддерживающие опцию: AWS, Azure, GCP.
        • Провайдеры игнорирующие опцию: Yandex Cloud.

        Для остальных облачных провайдеров поведение может зависеть от особенностей реализации облака. Протестируйте работу опции перед использованием в production-среде.

        • Элемент массива
          строка

          Шаблон: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(3[0-2]|[1-2][0-9]|[0-9]))$

    • spec.loadBalancerWithProxyProtocol
      объект

      Необязательный параметр.

      Секция настроек инлета LoadBalancerWithProxyProtocol.

      • spec.loadBalancerWithProxyProtocol.acceptClientIPHeadersFrom
        массив строк

        Определяет список доверенных подсетей в формате CIDR, запросы от которых содержат корректные заголовки X-Forwarded-*/ProxyProtocol.

        По умолчанию: ["0.0.0.0/0"]

        Пример:

        acceptClientIPHeadersFrom:
- 192.168.0.0/24
        • Элемент массива
          строка

          Шаблон: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(3[0-2]|[1-2][0-9]|[0-9]))$

      • spec.loadBalancerWithProxyProtocol.annotations
        объект

        Аннотации, которые будут назначены сервису для гибкой настройки балансировщика.

        Модуль не учитывает особенности указания аннотаций в различных облаках.

        Если аннотации для заказа балансировщика применяются только при создании сервиса, для обновления подобных параметров пересоздайте ресурс IngressNginxController (или создайте новый и удалите старый).

      • spec.loadBalancerWithProxyProtocol.httpPort
        целочисленный

        Внешний порт для небезопасного подключения по HTTP на балансировщике, создаваемом через сервис типа LoadBalancer.

        Если не заданы оба параметра httpPort и httpsPort, сервис будет слушать стандартные порты 80 и 443. Если задан хотя бы один из этих параметров, для соответствующего типа подключения сервис будет слушать только явно указанные порты. Для типа подключения, для которого не задан параметр, ничего не меняется: прослушивается стандартный порт.

        Внимание. Поведение при смене портов зависит от облачного провайдера и может приводить к специфичным для каждого провайдера побочным эффектам (например, к пересозданию балансировщика или смене его публичного IP-адреса). Эти эффекты могут быть не документированы; перед использованием в production-среде протестируйте обновление сервиса.

        Внимание. ACME HTTP-01 (например, Let’s Encrypt через cert-manager) всегда проверяет доступность домена по TCP-порту 80. Если задать httpsPort без httpPort или изменить httpPort на значение отличное от 80, выпуск/продление сертификатов может перестать работать, если не используется DNS-01 или не настроен проброс порта 80 до контроллера на уровне внешнего балансировщика.

        Внимание. Многие приложения (включая некоторые компоненты модулей Deckhouse) формируют абсолютные ссылки и редиректы без явного указания порта (подразумевая стандартные порты 80/443). Если Ingress-контроллер доступен снаружи на нестандартных портах, редиректы могут вести на неправильный порт, а ссылки могут формироваться некорректно; рекомендуется использовать стандартные порты снаружи или настраивать внешний проброс/проксирование портов.

        По умолчанию: 80

        Допустимые значения: 1 <= X <= 65535

      • spec.loadBalancerWithProxyProtocol.httpsPort
        целочисленный

        Внешний порт для безопасного подключения по HTTPS на балансировщике, создаваемом через сервис типа LoadBalancer.

        Если не заданы оба параметра httpPort и httpsPort, сервис будет слушать стандартные порты 80 и 443. Если задан хотя бы один из этих параметров, для соответствующего типа подключения сервис будет слушать только явно указанные порты. Для типа подключения, для которого не задан параметр, ничего не меняется: прослушивается стандартный порт.

        Внимание. Поведение при смене портов зависит от облачного провайдера и может приводить к специфичным для каждого провайдера побочным эффектам (например, к пересозданию балансировщика или смене его публичного IP-адреса). Эти эффекты могут быть не документированы; перед использованием в production-среде протестируйте обновление сервиса.

        Внимание. Многие приложения (включая некоторые компоненты модулей Deckhouse) формируют абсолютные ссылки и редиректы без явного указания порта (подразумевая стандартные порты 80/443). При нестандартном httpsPort пользователи могут попадать на 443/tcp, а ссылки могут формироваться некорректно; рекомендуется использовать стандартные порты снаружи или настраивать внешний проброс/проксирование портов.

        По умолчанию: 443

        Допустимые значения: 1 <= X <= 65535

      • spec.loadBalancerWithProxyProtocol.loadBalancerClass
        строка

        Класс балансировщика входящих сетевых запросов (пробрасывается в параметр spec.loadBalancerClass заказанного сервиса с типом LoadBalancer).

      • spec.loadBalancerWithProxyProtocol.sourceRanges
        массив строк

        Список адресов в формате CIDR, которым разрешен доступ к балансировщику.

        Внимание. Облачный провайдер может не поддерживать данную опцию и игнорировать ее.

        Провайдеры поддерживающие опцию: AWS, Azure, GCP. Провайдеры игнорирующие опцию: Yandex Cloud.

        Для остальных облачных провайдеров поведение может зависеть от особенностей реализации облака. Протестируйте работу опции перед использованием в production-среде.

        • Элемент массива
          строка

          Шаблон: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(3[0-2]|[1-2][0-9]|[0-9]))$

    • spec.loadBalancerWithSSLPassthrough
      объект

      Необязательный параметр.

      Секция настроек инлета LoadBalancerWithSSLPassthrough.

      • spec.loadBalancerWithSSLPassthrough.annotations
        объект

        Аннотации, которые будут назначены сервису для гибкой настройки балансировщика.

        Модуль не учитывает особенности указания аннотаций в различных облаках.

        Если аннотации для заказа балансировщика применяются только при создании сервиса, для обновления подобных параметров пересоздайте ресурс IngressNginxController (или создайте новый и удалите старый).

      • spec.loadBalancerWithSSLPassthrough.httpPort
        целочисленный

        Внешний порт для небезопасного подключения по HTTP на балансировщике, создаваемом через сервис типа LoadBalancer.

        Если не заданы оба параметра httpPort и httpsPort, сервис будет слушать стандартные порты 80 и 443. Если задан хотя бы один из этих параметров, для соответствующего типа подключения сервис будет слушать только явно указанные порты. Для типа подключения, для которого не задан параметр, ничего не меняется: прослушивается стандартный порт.

        Внимание. Поведение при смене портов зависит от облачного провайдера и может приводить к провайдер-специфичным побочным эффектам (например, пересозданию балансировщика или смене его публичного IP-адреса). Эти эффекты могут быть не документированы; перед использованием в production-среде протестируйте обновление сервиса.

        Внимание. ACME HTTP-01 (например, Let’s Encrypt через cert-manager) всегда проверяет доступность домена по TCP-порту 80. Если задать httpsPort без httpPort или изменить httpPort на значение отличное от 80, выпуск/продление сертификатов может перестать работать, если не используется DNS-01 или не настроен проброс порта 80 до контроллера на уровне внешнего балансировщика.

        Внимание. Многие приложения (включая некоторые компоненты модулей Deckhouse) формируют абсолютные ссылки и редиректы без явного указания порта (подразумевая стандартные порты 80/443). Если Ingress-контроллер доступен снаружи на нестандартных портах, редиректы могут вести на неправильный порт, а ссылки могут формироваться некорректно; рекомендуется использовать стандартные порты снаружи или настраивать внешний проброс/проксирование портов.

        По умолчанию: 80

        Допустимые значения: 1 <= X <= 65535

      • spec.loadBalancerWithSSLPassthrough.httpsPort
        целочисленный

        Внешний порт для безопасного подключения по HTTPS на балансировщике, создаваемом через сервис типа LoadBalancer.

        Если не заданы оба параметра httpPort и httpsPort, сервис будет слушать стандартные порты 80 и 443. Если задан хотя бы один из этих параметров, для соответствующего типа подключения сервис будет слушать только явно указанные порты. Для типа подключения, для которого не задан параметр, ничего не меняется: прослушивается стандартный порт.

        Внимание. Поведение при смене портов зависит от облачного провайдера и может приводить к провайдер-специфичным побочным эффектам (например, пересозданию балансировщика или смене его публичного IP-адреса). Эти эффекты могут быть не документированы; перед использованием в production-среде протестируйте обновление сервиса.

        Внимание. Многие приложения (включая некоторые компоненты модулей Deckhouse) формируют абсолютные ссылки и редиректы без явного указания порта (подразумевая стандартные порты 80/443). При нестандартном httpsPort пользователи могут попадать на 443/tcp, а ссылки могут формироваться некорректно; рекомендуется использовать стандартные порты снаружи или настраивать внешний проброс/проксирование портов.

        По умолчанию: 443

        Допустимые значения: 1 <= X <= 65535

      • spec.loadBalancerWithSSLPassthrough.loadBalancerClass
        строка

        Класс балансировщика входящих сетевых запросов (пробрасывается в параметр spec.loadBalancerClass заказанного сервиса с типом LoadBalancer).

      • spec.loadBalancerWithSSLPassthrough.sourceRanges
        массив строк

        Список адресов в формате CIDR, которым разрешен доступ к балансировщику.

        Внимание. Облачный провайдер может не поддерживать данную опцию и игнорировать ее.

        Провайдеры поддерживающие опцию: AWS, Azure, GCP. Провайдеры игнорирующие опцию: Yandex Cloud.

        Для остальных облачных провайдеров поведение может зависеть от особенностей реализации облака. Протестируйте работу опции перед использованием в production-среде.

        • Элемент массива
          строка

          Шаблон: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(3[0-2]|[1-2][0-9]|[0-9]))$

    • spec.maxReplicas
      целочисленный

      Максимальное количество реплик LoadBalancer LoadBalancerWithProxyProtocol и LoadBalancerWithSSLPassthrough для HPA.

      По умолчанию: 1

      Допустимые значения: 1 <= X

    • spec.minReplicas
      целочисленный

      Минимальное количество реплик LoadBalancer, LoadBalancerWithProxyProtocol и LoadBalancerWithSSLPassthrough для HPA.

      По умолчанию: 1

      Допустимые значения: 1 <= X

    • spec.nginxProfilingEnabled
      булевый

      Включает профилирование NGINX с помощью Valgrind. Отчет об анализе памяти сохраняется в каталоге /var/log/valgrind на хосте. При включении Valgrind создает файл с именем memcheck.${timestamp}.log.

      После завершения отладки не забудьте отключить режим профилирования!

      Отчет содержит информацию о поведении процесса, включая возможные утечки памяти.

      Внимание. Включение этой опции значительно увеличивает использование памяти и замедляет обработку запросов HTTP/HTTPS процессом NGINX.

      Внимание. Когда включена опция, под контроллера ingress-nginx запускается в привилегированном режиме.

    • spec.nodeSelector
      объект

      Аналогично параметру spec.nodeSelector у подов.

      Если значение не указано или указано false, Deckhouse попытается определить значение автоматически.

      Используйте формат стандартного списка nodeSelector. Поды инстанса унаследуют это поле как есть.

    • spec.resourcesRequests
      объект

      Настройки максимальных значений CPU и памяти (memory), которые может запросить под при выборе узла. Если VPA выключен, максимальные значения становятся значениями по умолчанию.

      • spec.resourcesRequests.mode
        строка

        Обязательный параметр

        Режим управления запросами ресурсов.

        По умолчанию: VPA

        Допустимые значения: VPA, Static

      • spec.resourcesRequests.static
        объект

        Настройки статического режима управления.

        • spec.resourcesRequests.static.cpu
          строка

          Значение для запроса к CPU.

          По умолчанию: 350m

        • spec.resourcesRequests.static.memory
          строка

          Значение для запроса к памяти.

          По умолчанию: 500Mi

      • spec.resourcesRequests.vpa
        объект

        Настройки режима управления Vertical Pod Autoscaler (VPA).

        • spec.resourcesRequests.vpa.cpu
          объект

          Настройки ограничений запросов к CPU.

          • spec.resourcesRequests.vpa.cpu.max
            строка

            Максимальное значение запроса к CPU, которое может выставить VPA.

            По умолчанию: 50m

          • spec.resourcesRequests.vpa.cpu.min
            строка

            Минимальное значение запроса к CPU, которое может выставить VPA.

            По умолчанию: 10m

        • spec.resourcesRequests.vpa.memory
          объект

          Настройки ограничений запросов к памяти.

          • spec.resourcesRequests.vpa.memory.max
            строка

            Максимальное значение запроса к памяти, которое может выставить VPA.

            По умолчанию: 200Mi

          • spec.resourcesRequests.vpa.memory.min
            строка

            Минимальное значение запроса к памяти, которое может выставить VPA.

            По умолчанию: 50Mi

        • spec.resourcesRequests.vpa.mode
          строка

          Режим работы VPA.

          По умолчанию: Initial

          Допустимые значения: Initial, Auto

    • spec.tolerations
      массив объектов

      Аналогично параметру spec.tolerations у подов.

      Если значение не указано или указано false, подам модуля автоматически устанавливаются все возможные tolerations.

      Используйте формат стандартного списка tolerations. Поды инстанса унаследуют это поле как есть.

      • spec.tolerations.effect
        строка

        Допустимые значения: NoSchedule, PreferNoSchedule, NoExecute

      • spec.tolerations.key
        строка
      • spec.tolerations.operator
        строка

        По умолчанию: Equal

        Допустимые значения: Exists, Equal

      • spec.tolerations.tolerationSeconds
        целочисленный
      • spec.tolerations.value
        строка
    • spec.underscoresInHeaders
      булевый

      Разрешает использовать символ нижнего подчеркивания в заголовках.

      Вспомогательные ресурсы:

      По умолчанию: false

    • spec.validationEnabled
      булевый

      Включает валидацию Ingress-правил.

      Внимание. Включение валидации увеличивает нагрузку на master-узлы кластера.

      По умолчанию: true

    • spec.waitLoadBalancerOnTerminating
      целочисленный

      Количество секунд до того момента, когда эндпоинт /healthz начнёт возвращать код 500 после перехода пода в статус Terminating.

Устаревший ресурс. Поддержка ресурса может быть исключена в следующих версиях.

  • spec
    объект

    Обязательный параметр

    • spec.acceptRequestsFrom
      массив строк

      Список адресов в формате CIDR, которым разрешено подключаться к контроллеру.

      Независимо от инлета всегда проверяется непосредственный адрес (в логах содержится в поле original_address), с которого производится подключение, а не «адрес клиента», который может передаваться в некоторых инлетах через заголовки или с использованием proxy protocol.

      Параметр реализован с помощью map module, и если адрес, с которого непосредственно производится подключение, не разрешен – NGINX закрывает соединение (используя return 444).

      По умолчанию к контроллеру можно подключаться с любых адресов.

      • Элемент массива
        строка

        Шаблон: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(3[0-2]|[1-2][0-9]|[0-9]))$

    • spec.additionalHeaders
      объект

      Дополнительные header’ы, которые будут добавлены к каждому запросу. Указываются в формате ключ: значение(строка).

    • spec.additionalLogFields
      объект

      Дополнительные поля, которые будут добавлены в логи nginx. Указываются в формате ключ: значение(строка).

    • spec.annotationValidationEnabled
      булевый

      Включить валидацию аннотаций Ingress-правил.

      По умолчанию: false

    • spec.chaosMonkey
      булевый

      Инструмент, позволяющий систематически вызывать случайные прерывания работы подов контроллера.

      Предназначен для проверки Ingress-контроллера на реальную работу отказоустойчивости.

      По умолчанию: false

    • spec.config
      объект

      Секция настроек Ingress-контроллера, в которую в формате ключ: значение(строка) можно записать любые возможные опции.

      Внимание. Ошибка в указании опций может привести к отказу в работе Ingress-контроллера.

      Внимание. Не рекомендуется использовать данную опцию, так как не гарантируется обратная совместимость или работоспособность Ingress-контроллера.

    • spec.controllerVersion
      строка

      Версия Ingress NGINX Controller.

      По умолчанию используется версия из настроек модуля. Поддерживаемые версии: 1.10, 1.12, 1.14.

      Допустимые значения: 1.10, 1.12, 1.14

    • spec.customErrors
      объект

      Секция с настройкой кастомизации HTTP-ошибок.

      Если секция определена, все параметры в ней являются обязательными, изменение любого параметра приводит к перезапуску всех Ingress-контроллеров.

      • spec.customErrors.codes
        массив строк

        Обязательный параметр

        Список кодов ответа (массив), при которых запрос будет перенаправляться на custom default backend.

        • Элемент массива
          строка

          Шаблон: ^[1-5][0-9][0-9]$

      • spec.customErrors.namespace
        строка

        Обязательный параметр

        Имя namespace, в котором будет находиться сервис, используемый как custom default backend.

        Пример:

        namespace: default
      • spec.customErrors.serviceName
        строка

        Обязательный параметр

        Имя сервиса, который будет использоваться как custom default backend.

        Пример:

        serviceName: custom-errors-backend-service
    • spec.defaultSSLCertificate
      объект

      Сертификат, который используется:

      • при запросах на catch-all-сервер (подразумевается директива server nginx). На catch-all-сервер попадают запросы, для которых нет соответствующего Ingress-ресурса;
      • для Ingress–ресурсов, в которых не задан secretName в секции tls.

      По умолчанию используется самоподписанный сертификат.

      Внимание. Параметр не влияет на сертификаты, используемые в Ingress-ресурсах модулей Deckhouse. Для указания сертификата, который будет использоваться в Ingress-ресурсах модулей Deckhouse, используйте глобальный параметр modules.https.customCertificate.

      • spec.defaultSSLCertificate.secretRef
        объект

        Ссылка на Secret для передачи Ingress-контроллеру.

        • spec.defaultSSLCertificate.secretRef.name
          строка

          Имя Secret’а, содержащего SSL–сертификат.

          Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

        • spec.defaultSSLCertificate.secretRef.namespace
          строка

          Имя namespace, в котором находится Secret с SSL—сертификатом.

          По умолчанию: d8-ingress-nginx

          Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?$

    • spec.disableHTTP2
      булевый

      Выключить ли HTTP/2.

      По умолчанию: false

    • spec.enableIstioSidecar
      булевый

      Добавить к подам контроллера аннотации для автоматического инжекта сайдкаров Istio. При включении этого параметра к подам Ingress-контроллера добавляются аннотации sidecar.istio.io/inject: "true" и traffic.sidecar.istio.io/includeOutboundIPRanges: "<Service CIDR>". При создании таких подов к ним автоматически будут добавлены сайдкары Istio с помощью mutating webhook. После этого весь трафик в сторону Service CIDR будет перехватываться сайдкаром.

      Чтобы воспользоваться этой функцией, необходимо доработать прикладные Ingress-ресурсы, добавив аннотации:

      • nginx.ingress.kubernetes.io/service-upstream: "true" — с этой аннотацией Ingress-контроллер будет отправлять запросы на ClusterIP сервиса (из диапазона Service CIDR) вместо того, чтобы слать их напрямую в поды приложения. Сайдкар istio-proxy перехватывает трафик только в сторону диапазона Service CIDR, остальные запросы отправляются напрямую;
      • nginx.ingress.kubernetes.io/upstream-vhost: myservice.myns.svc — с данной аннотацией сайдкар сможет идентифицировать прикладной сервис, для которого предназначен запрос.

      Внимание. Данный параметр не может быть включен, если инлет Ingress-контроллера установлен в значение HostWithFailover.

    • spec.geoIP2
      объект

      Опции для включения GeoIP2.

      • spec.geoIP2.maxmindEditionIDs
        массив строк

        Список ревизий баз данных, которые будут скачаны при старте.

        Подробнее…

        По умолчанию: ["GeoLite2-City","GeoLite2-ASN"]

        • Элемент массива
          строка

          Допустимые значения: GeoIP2-Anonymous-IP, GeoIP2-Country, GeoIP2-City, GeoIP2-Connection-Type, GeoIP2-Domain, GeoIP2-ISP, GeoIP2-ASN, GeoLite2-ASN, GeoLite2-Country, GeoLite2-City

      • spec.geoIP2.maxmindLicenseKey
        строка

        Лицензионный ключ для скачивания базы данных GeoIP2.

        Указание ключа в конфигурации включает скачивание базы GeoIP2 при каждом старте контроллера. Подробнее о получении ключа.

    • spec.hostPort
      объект

      Секция настроек для инлета HostPort.

      • spec.hostPort.behindL7Proxy
        булевый

        Включает обработку и передачу заголовков X-Forwarded-*.

        Внимание. При использовании этой опции вы должны быть уверены, что запросы к Ingress-контроллеру направляются только от доверенных источников. Одним из способов настройки ограничения может служить опция acceptRequestsFrom.

      • spec.hostPort.httpPort
        целочисленный

        Порт для небезопасного подключения по HTTP.

        Если параметр не указан, возможность подключения по HTTP отсутствует.

        Обязательный параметр, если не указан httpsPort.

        Пример:

        httpPort: 80
      • spec.hostPort.httpsPort
        целочисленный

        Порт для безопасного подключения по HTTPS.

        Если параметр не указан, возможность подключения по HTTPS отсутствует.

        Обязательный параметр, если не указан httpPort.

        Пример:

        httpsPort: 443
      • spec.hostPort.realIPHeader
        строка

        Заголовок, из которого будет получен настоящий IP-адрес клиента.

        Работает только при включении behindL7Proxy.

        По умолчанию: X-Forwarded-For

        Пример:

        realIPHeader: CF-Connecting-IP
    • spec.hostPortWithProxyProtocol
      объект

      Секция настроек для инлета HostPortWithProxyProtocol.

      • spec.hostPortWithProxyProtocol.httpPort
        целочисленный

        Порт для небезопасного подключения по HTTP.

        Если параметр не указан, возможность подключения по HTTP отсутствует.

        Обязательный параметр, если не указан httpsPort.

        Пример:

        httpPort: 80
      • spec.hostPortWithProxyProtocol.httpsPort
        целочисленный

        Порт для безопасного подключения по HTTPS.

        Если параметр не указан, возможность подключения по HTTPS отсутствует.

        Обязательный параметр, если не указан httpPort.

        Пример:

        httpsPort: 443
    • spec.hsts
      булевый

      Включен ли HSTS. Подробнее….

      По умолчанию: false

    • spec.hstsOptions
      объект

      Параметры HTTP Strict Transport Security.

      • spec.hstsOptions.includeSubDomains
        булевый

        Применять ли настройки HSTS ко всем поддоменам сайта.

        По умолчанию: false

      • spec.hstsOptions.maxAge
        строка

        Время в секундах, в течение которого браузер должен помнить, что сайт доступен только с помощью HTTPS.

        По умолчанию: 31536000

        Шаблон: ^[1-9][0-9]*$

        Пример:

        maxAge: '31536000'
      • spec.hstsOptions.preload
        булевый

        Добавлять ли сайт в список предзагрузки.

        Эти списки используются современными браузерами и разрешают подключение к сайту только по HTTPS.

        По умолчанию: false

    • spec.ingressClass
      строка

      Имя Ingress-класса для обслуживания Ingress NGINX Controller.

      Позволяет создать несколько контроллеров для обслуживания одного Ingress-класса.

      Важно. Если указать значение “nginx”, дополнительно будут обрабатываться Ingress-ресурсы без аннотации kubernetes.io/ingress.class или поля spec.ingressClassName.

      По умолчанию: nginx

      Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

      Пример:

      ingressClass: nginx
    • spec.inlet
      строка

      Обязательный параметр

      Способ приема трафика из внешней сети. Изменение установленного способа невозможно.

      • LoadBalancer — устанавливается Ingress-контроллер и заказывается сервис с типом LoadBalancer;
      • LoadBalancerWithProxyProtocol — устанавливается Ingress-контроллер и заказывается сервис с типом LoadBalancer. Ingress-контроллер использует proxy-protocol для получения настоящего IP-адреса клиента;

      • HostPort — устанавливается Ingress-контроллер, который доступен на портах узлов через hostPort;

        Требуется обязательная установка параметров в секции spec.HostPort.

      • HostPortWithProxyProtocol — устанавливается Ingress-контроллер, который доступен на портах узлов через hostPort и использует proxy-protocol для получения настоящего IP-адреса клиента;

        Требуется обязательная установка параметров в секции spec.HostPortWithProxyProtocol.

        Внимание. При использовании этого инлета, убедитесь, что запросы к Ingress-контроллеру направляются только от доверенных источников. Одним из способов настройки ограничения может служить параметр acceptRequestsFrom.

      • HostWithFailover — устанавливаются два Ingress-контроллера — основной и резервный. Основной контроллер запускается в hostNetwork. Если поды основного контроллера недоступны, трафик уходит в резервный контроллер;

        Внимание. На одном хосте может быть только один контроллер с данным типом инлета.

        Внимание. Необходимо, чтобы на узле были свободны следующие порты: 80, 81, 443, 444, 4207, 4208.

        Внимание. Чтобы поменять инлет, удалите правила iptables и перезапустите поды kube-proxy или перезагрузите узлы, на которых размещались Ingress-контроллеры.

        Внимание. Данный инлет не может быть использован, если параметр enableIstioSidecar включен.

      Допустимые значения: LoadBalancer, LoadBalancerWithProxyProtocol, HostPort, HostPortWithProxyProtocol, HostWithFailover

    • spec.legacySSL
      булевый

      Определяет, разрешены ли устаревшие версии протокола TLS и алгоритмов шифрования (cipher suites).

      Работа разрешена для следующих версий протокола TLS: TLSv1, TLSv1.1, TLSv1.2, TLSv1.3.

      Допустимые комбинации алгоритмов шифрования, расположенные в порядке от наиболее надёжной к наименее надёжной: ECDHE-ECDSA-AES256-GCM-SHA384, ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-CHACHA20-POLY1305, ECDHE-RSA-CHACHA20-POLY1305, ECDHE-ECDSA-AES128-GCM-SHA256, ECDHE-RSA-AES128-GCM-SHA256, ECDHE-ECDSA-AES256-SHA384, ECDHE-RSA-AES256-SHA384, ECDHE-ECDSA-AES128-SHA256, ECDHE-RSA-AES128-SHA256, ECDHE-ECDSA-AES256-SHA, ECDHE-RSA-AES256-SHA, ECDHE-ECDSA-AES128-SHA, ECDHE-RSA-AES128-SHA, AES256-GCM-SHA384, AES128-GCM-SHA256, AES256-SHA256, AES128-SHA256, AES256-SHA, AES128-SHA.

      По умолчанию включены только TLSv1.2, TLSv1.3 и самые новые алгоритмы шифрования.

    • spec.loadBalancer
      объект

      Необязательный параметр.

      Секция настроек для инлета LoadBalancer.

      • spec.loadBalancer.annotations
        объект

        Аннотации, которые будут проставлены сервису для гибкой настройки балансировщика.

        Внимание. Модуль не учитывает особенности указания аннотаций в различных облаках. Если аннотации для заказа LoadBalancer’а применяются только при создании сервиса, для обновления подобных параметров необходимо будет пересоздать IngressNginxController (или создать новый, затем удалив старый).

      • spec.loadBalancer.behindL7Proxy
        булевый

        Включает обработку и передачу заголовков X-Forwarded-*.

        Внимание. При использовании этой опции вы должны быть уверены, что запросы к Ingress направляются только от доверенных источников.

      • spec.loadBalancer.loadBalancerClass
        строка

        Класс балансировщика входящих сетевых запросов (пробрасывается в параметр spec.loadBalancerClass заказанного сервиса с типом LoadBalancer).

      • spec.loadBalancer.realIPHeader
        строка

        Заголовок, из которого будет получен настоящий IP-адрес клиента.

        Работает только при включении behindL7Proxy.

        По умолчанию: X-Forwarded-For

        Пример:

        realIPHeader: CF-Connecting-IP
      • spec.loadBalancer.sourceRanges
        массив строк

        Список адресов в формате CIDR, которым разрешен доступ на балансировщик.

        Внимание. Облачный провайдер может не поддерживать данную опцию и игнорировать ее. Провайдеры поддерживающие опцию: AWS, GCP, Azure Провайдеры игнорирующие опцию: YandexCloud Для остальных облачных провайдеров поведение может зависеть от особенностей реализации облака. Перед промышленным использованием опции рекомендуется тестирование.

        • Элемент массива
          строка

          Шаблон: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(3[0-2]|[1-2][0-9]|[0-9]))$

    • spec.loadBalancerWithProxyProtocol
      объект

      Необязательный параметр.

      Секция настроек для инлета LoadBalancerWithProxyProtocol.

      • spec.loadBalancerWithProxyProtocol.annotations
        объект

        Аннотации, которые будут проставлены сервису для гибкой настройки балансировщика.

        Внимание. Модуль не учитывает особенности указания аннотаций в различных облаках. Если аннотации для заказа LoadBalancer’а применяются только при создании сервиса, для обновления подобных параметров необходимо будет пересоздать IngressNginxController (или создать новый, затем удалив старый).

      • spec.loadBalancerWithProxyProtocol.loadBalancerClass
        строка

        Класс балансировщика входящих сетевых запросов (пробрасывается в параметр spec.loadBalancerClass заказанного сервиса с типом LoadBalancer).

      • spec.loadBalancerWithProxyProtocol.sourceRanges
        массив строк

        Список адресов в формате CIDR, которым разрешен доступ на балансировщик.

        Внимание. Облачный провайдер может не поддерживать данную опцию и игнорировать ее. Провайдеры поддерживающие опцию: AWS, GCP, Azure Провайдеры игнорирующие опцию: YandexCloud Для остальных облачных провайдеров поведение может зависеть от особенностей реализации облака. Перед промышленным использованием опции рекомендуется тестирование.

        • Элемент массива
          строка

          Шаблон: ^(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])(\/(3[0-2]|[1-2][0-9]|[0-9]))$

    • spec.maxReplicas
      целочисленный

      Максимально количество реплик LoadBalancer и LoadBalancerWithProxyProtocol для HPA.

      По умолчанию: 1

      Допустимые значения: 1 <= X

    • spec.minReplicas
      целочисленный

      Минимальное количество реплик LoadBalancer и LoadBalancerWithProxyProtocol для HPA.

      По умолчанию: 1

      Допустимые значения: 1 <= X

    • spec.nodeSelector
      объект

      Как в spec.nodeSelector у подов.

      Если значение не указано или указано false, будет использоваться автоматика.

      Формат: стандартный список nodeSelector. Поды инстанса унаследуют это поле как есть.

    • spec.resourcesRequests
      объект

      Настройки максимальных значений CPU и memory, которые может запросить под при выборе узла (если VPA выключен, максимальные значения становятся значениями по умолчанию).

      • spec.resourcesRequests.mode
        строка

        Обязательный параметр

        Режим управления реквестами ресурсов.

        По умолчанию: VPA

        Допустимые значения: VPA, Static

      • spec.resourcesRequests.static
        объект

        Настройки статического режима управления.

        • spec.resourcesRequests.static.cpu
          строка

          Значение для реквеста к CPU.

          По умолчанию: 350m

        • spec.resourcesRequests.static.memory
          строка

          Значение для реквеста к memory.

          По умолчанию: 500Mi

      • spec.resourcesRequests.vpa
        объект

        Настройки VPA режима управления.

        • spec.resourcesRequests.vpa.cpu
          объект

          Настройки для CPU.

          • spec.resourcesRequests.vpa.cpu.max
            строка

            Максимальное значение, которое может выставить VPA для реквеста к CPU.

            По умолчанию: 50m

          • spec.resourcesRequests.vpa.cpu.min
            строка

            Минимальное значение, которое может выставить VPA для реквеста к CPU.

            По умолчанию: 10m

        • spec.resourcesRequests.vpa.memory
          объект

          Значение для запроса memory.

          • spec.resourcesRequests.vpa.memory.max
            строка

            Максимальное значение, которое может выставить VPA для реквеста к memory.

            По умолчанию: 200Mi

          • spec.resourcesRequests.vpa.memory.min
            строка

            Минимальное значение, которое может выставить VPA для реквеста к memory.

            По умолчанию: 50Mi

        • spec.resourcesRequests.vpa.mode
          строка

          Режим работы VPA.

          По умолчанию: Initial

          Допустимые значения: Initial, Auto

    • spec.tolerations
      массив объектов

      Как в spec.tolerations у подов.

      Если значение не указано или указано false, будет использоваться автоматика.

      Формат: стандартный список toleration. Поды инстанса унаследуют это поле как есть.

      • spec.tolerations.effect
        строка

        Допустимые значения: NoSchedule, PreferNoSchedule, NoExecute

      • spec.tolerations.key
        строка
      • spec.tolerations.operator
        строка

        По умолчанию: Equal

        Допустимые значения: Exists, Equal

      • spec.tolerations.tolerationSeconds
        целочисленный
      • spec.tolerations.value
        строка
    • spec.underscoresInHeaders
      булевый

      Разрешены ли нижние подчеркивания в заголовках.

      Подробнее….

      Почему не стоит бездумно это включать.

      По умолчанию: false

    • spec.validationEnabled
      булевый

      Включить валидацию Ingress-правил.

      Внимание. Включение валидации увеличивает нагрузку на master-узлы кластера.

      По умолчанию: true

    • spec.waitLoadBalancerOnTerminating
      целочисленный

      Количество секунд до того, как /healthz начнет возвращать код 500, когда под перейдет в статус Terminating.