Доступно в редакциях:  EE

Экспериментальная версия. Функциональность может сильно измениться. Совместимость с будущими версиями не гарантируется.

Включение модуля

Для включения модуля воспользуйтесь веб-интерфейсом или следующей командой:

d8 platform module enable neuvector

Аутентификация

Аутентификация зависит от конфигурации:

  • Если включён модуль user-authn, NeuVector использует централизованную систему аутентификации Deckhouse Kubernetes Platform и поддерживает всех настроенных OAuth-провайдеров.

  • Если модуль user-authn отключён, используется локальная аутентификация NeuVector. В этом случае действует только встроенный пользователь admin, пароль которого можно получить с помощью команды:

    d8 k -n d8-neuvector get secret admin -o jsonpath='{.data.password}' | base64 -d
    

параметры

Версия схемы: 1

  • settings
    объект
    • settings.controller
      объект

      Конфигурация компонента контроллера NeuVector.

      Контроллер управляет политиками, организует сканирование и предоставляет REST API.

      • settings.controller.nodeSelector
        объект

        Структура, аналогичная spec.nodeSelector пода Kubernetes.

        Если параметр не указан, будет определяться автоматически.

        Пример:


        disktype: ssd
        
      • settings.controller.storageClass

        Имя StorageClass, которое будет использоваться в кластере по умолчанию.

        Если значение не указано, будет использоваться StorageClass, определённый в глобальном параметре storageClass.

        Глобальный параметр storageClass учитывается только при включённом модуле. Изменение глобального параметра storageClass во время работы модуля не приведёт к переподключению дисков.

        Внимание. Указание значения, отличного от текущего (используемого в существующем PVC), приведёт к переподключению дисков и удалению всех данных.

        Если указано false, будет принудительно использоваться emptyDir.

        Примеры:


        storageClass: false
        
        storageClass: nfs-storage-class
        
      • settings.controller.tolerations
        массив объектов

        Структура, аналогичная spec.tolerations пода контроллера.

        Если ничего не указано или указано false, то Deckhouse попытается вычислить значение tolerations автоматически.

        • settings.controller.tolerations.effect
          строка
        • settings.controller.tolerations.key
          строка
        • settings.controller.tolerations.operator
          строка
        • settings.controller.tolerations.tolerationSeconds
          целочисленный
        • settings.controller.tolerations.value
          строка
    • settings.highAvailability
      булевый

      Ручное управление режимом отказоустойчивости.

      По умолчанию режим отказоустойчивости определяется автоматически. Подробнее про режим отказоустойчивости.

      Пример:


      highAvailability: true
      
    • settings.https
      объект

      Определяет тип сертификата, используемого с NeuVector.

      Этот параметр полностью переопределяет настройки global.modules.https.

      Примеры:


      customCertificate:
        secretName: foobar
      mode: CustomCertificate
      
      certManager:
        clusterIssuerName: letsencrypt
      mode: CertManager
      
      • settings.https.certManager
        объект
        • settings.https.certManager.clusterIssuerName
          строка
          Какой ClusterIssuer использовать для NeuVector. В настоящее время доступны letsencrypt, letsencrypt-staging, selfsigned; также можно определить собственный.

          По умолчанию: letsencrypt

      • settings.https.customCertificate
        объект
        • settings.https.customCertificate.secretName
          строка
          Имя Secret в namespace d8-system, используемого с NeuVector (этот Secret должен иметь формат kubernetes.io/tls).

          По умолчанию: false

      • settings.https.mode
        строка

        Режим использования HTTPS:

        • CertManager — NeuVector будет использовать HTTPS и получать сертификат от ClusterIssuer, заданного в параметре certManager.clusterIssuerName;
        • CustomCertificate — NeuVector будет использовать сертификат из namespace d8-system для HTTPS;
        • Disabled — NeuVector не будет работать в этом режиме;
        • OnlyInURI — NeuVector будет работать по HTTP (предполагается, что внешний HTTPS load balancer завершает HTTPS-трафик). Все ссылки в user-authn будут сгенерированы с использованием схемы HTTPS. Load balancer должен обеспечивать редирект с HTTP на HTTPS.

        Допустимые значения: Disabled, CertManager, CustomCertificate, OnlyInURI

    • settings.manager
      объект

      Конфигурация компонента менеджера NeuVector (веб-интерфейс).

      Менеджер предоставляет веб-интерфейс пользователя для NeuVector.

      • settings.manager.nodeSelector
        объект

        Структура, аналогичная spec.nodeSelector пода Kubernetes.

        Если параметр не указан, он будет определён автоматически.

        Пример:


        disktype: ssd
        
      • settings.manager.tolerations
        массив объектов

        Структура, аналогичная spec.tolerations пода Kubernetes.

        Если параметр не указан или false, он будет определён автоматически.

        • settings.manager.tolerations.effect
          строка
        • settings.manager.tolerations.key
          строка
        • settings.manager.tolerations.operator
          строка
        • settings.manager.tolerations.tolerationSeconds
          целочисленный
        • settings.manager.tolerations.value
          строка
    • settings.scanner
      объект

      Конфигурация компонента сканера NeuVector.

      Сканер выполняет проверку контейнерных образов и реестров на уязвимости.

      • settings.scanner.nodeSelector
        объект

        Структура, аналогичная spec.nodeSelector пода Kubernetes.

        Если параметр не указан, будет определяться автоматически.

        Пример:


        disktype: ssd
        
      • settings.scanner.tolerations
        массив объектов

        Структура, аналогичная spec.tolerations пода Kubernetes.

        Если параметр не указан или false, он будет определён автоматически.

        • settings.scanner.tolerations.effect
          строка
        • settings.scanner.tolerations.key
          строка
        • settings.scanner.tolerations.operator
          строка
        • settings.scanner.tolerations.tolerationSeconds
          целочисленный
        • settings.scanner.tolerations.value
          строка