Доступно в редакциях: EE
Экспериментальная версия. Функциональность может сильно измениться. Совместимость с будущими версиями не гарантируется.
Включение модуля
Для включения модуля воспользуйтесь веб-интерфейсом или следующей командой:
d8 platform module enable neuvector
Аутентификация
Аутентификация зависит от конфигурации:
-
Если включён модуль user-authn, NeuVector использует централизованную систему аутентификации Deckhouse Kubernetes Platform и поддерживает всех настроенных OAuth-провайдеров.
-
Если модуль
user-authn
отключён, используется локальная аутентификация NeuVector. В этом случае действует только встроенный пользовательadmin
, пароль которого можно получить с помощью команды:d8 k -n d8-neuvector get secret admin -o jsonpath='{.data.password}' | base64 -d
параметры
Версия схемы: 1
-
-
settings.controller
Конфигурация компонента контроллера NeuVector.
Контроллер управляет политиками, организует сканирование и предоставляет REST API.
-
settings.controller.nodeSelector
Структура, аналогичная
spec.nodeSelector
пода Kubernetes.Если параметр не указан, будет определяться автоматически.
Пример:
disktype: ssd
-
settings.controller.storageClass
Имя StorageClass, которое будет использоваться в кластере по умолчанию.
Если значение не указано, будет использоваться StorageClass, определённый в глобальном параметре storageClass.
Глобальный параметр
storageClass
учитывается только при включённом модуле. Изменение глобального параметраstorageClass
во время работы модуля не приведёт к переподключению дисков.Внимание. Указание значения, отличного от текущего (используемого в существующем PVC), приведёт к переподключению дисков и удалению всех данных.
Если указано
false
, будет принудительно использоватьсяemptyDir
.Примеры:
storageClass: false
storageClass: nfs-storage-class
-
settings.controller.tolerations
Структура, аналогичная
spec.tolerations
пода контроллера.Если ничего не указано или указано
false
, то Deckhouse попытается вычислить значениеtolerations
автоматически.-
settings.controller.tolerations.effect
-
settings.controller.tolerations.key
-
settings.controller.tolerations.operator
-
settings.controller.tolerations.tolerationSeconds
-
settings.controller.tolerations.value
-
-
-
settings.highAvailability
Ручное управление режимом отказоустойчивости.
По умолчанию режим отказоустойчивости определяется автоматически. Подробнее про режим отказоустойчивости.
Пример:
highAvailability: true
-
settings.https
Определяет тип сертификата, используемого с NeuVector.
Этот параметр полностью переопределяет настройки
global.modules.https
.Примеры:
customCertificate: secretName: foobar mode: CustomCertificate
certManager: clusterIssuerName: letsencrypt mode: CertManager
-
settings.https.certManager
-
settings.https.certManager.clusterIssuerNameКакой ClusterIssuer использовать для NeuVector. В настоящее время доступны
letsencrypt
,letsencrypt-staging
,selfsigned
; также можно определить собственный.По умолчанию:
letsencrypt
-
-
settings.https.customCertificate
-
settings.https.customCertificate.secretNameИмя Secret в namespace
d8-system
, используемого с NeuVector (этот Secret должен иметь формат kubernetes.io/tls).По умолчанию:
false
-
-
settings.https.mode
Режим использования HTTPS:
CertManager
— NeuVector будет использовать HTTPS и получать сертификат от ClusterIssuer, заданного в параметреcertManager.clusterIssuerName
;CustomCertificate
— NeuVector будет использовать сертификат из namespaced8-system
для HTTPS;Disabled
— NeuVector не будет работать в этом режиме;OnlyInURI
— NeuVector будет работать по HTTP (предполагается, что внешний HTTPS load balancer завершает HTTPS-трафик). Все ссылки в user-authn будут сгенерированы с использованием схемы HTTPS. Load balancer должен обеспечивать редирект с HTTP на HTTPS.
Допустимые значения:
Disabled
,CertManager
,CustomCertificate
,OnlyInURI
-
-
settings.manager
Конфигурация компонента менеджера NeuVector (веб-интерфейс).
Менеджер предоставляет веб-интерфейс пользователя для NeuVector.
-
settings.manager.nodeSelector
Структура, аналогичная
spec.nodeSelector
пода Kubernetes.Если параметр не указан, он будет определён автоматически.
Пример:
disktype: ssd
-
settings.manager.tolerations
Структура, аналогичная
spec.tolerations
пода Kubernetes.Если параметр не указан или
false
, он будет определён автоматически.-
settings.manager.tolerations.effect
-
settings.manager.tolerations.key
-
settings.manager.tolerations.operator
-
settings.manager.tolerations.tolerationSeconds
-
settings.manager.tolerations.value
-
-
-
settings.scanner
Конфигурация компонента сканера NeuVector.
Сканер выполняет проверку контейнерных образов и реестров на уязвимости.
-
settings.scanner.nodeSelector
Структура, аналогичная
spec.nodeSelector
пода Kubernetes.Если параметр не указан, будет определяться автоматически.
Пример:
disktype: ssd
-
settings.scanner.tolerations
Структура, аналогичная
spec.tolerations
пода Kubernetes.Если параметр не указан или
false
, он будет определён автоматически.-
settings.scanner.tolerations.effect
-
settings.scanner.tolerations.key
-
settings.scanner.tolerations.operator
-
settings.scanner.tolerations.tolerationSeconds
-
settings.scanner.tolerations.value
-
-
-