Настройки

Включение модуля

Для включения модуля воспользуйтесь веб-интерфейсом или следующей командой:

d8 platform module enable neuvector

Аутентификация

Аутентификация зависит от конфигурации:

• Если включён модуль user-authn, NeuVector использует централизованную систему аутентификации Deckhouse Kubernetes Platform и поддерживает всех настроенных OAuth-провайдеров.

• Если модуль user-authn отключён, используется локальная аутентификация NeuVector. В этом случае действует только встроенный пользователь admin, пароль которого можно получить с помощью команды:

  d8 k -n d8-neuvector get secret admin -o jsonpath='{.data.password}' | base64 -d
  

параметры

Версия схемы: 1

• settings

  объект
  • settings.controller

    объект

    Конфигурация компонента контроллера NeuVector.

    Контроллер управляет политиками, организует сканирование и предоставляет REST API.

    • settings.controller.nodeSelector

      объект

      Структура, аналогичная spec.nodeSelector пода Kubernetes.

      Если параметр не указан, будет определяться автоматически.

      Пример:

      
      

      disktype: ssd
      

    • settings.controller.storageClass

      Имя StorageClass, которое будет использоваться в кластере по умолчанию.

      Если значение не указано, будет использоваться StorageClass, определённый в глобальном параметре storageClass.

      Глобальный параметр storageClass учитывается только при включённом модуле. Изменение глобального параметра storageClass во время работы модуля не приведёт к переподключению дисков.

      Внимание. Указание значения, отличного от текущего (используемого в существующем PVC), приведёт к переподключению дисков и удалению всех данных.

      Если указано false, будет принудительно использоваться emptyDir.

      Примеры:

      
      

      storageClass: false
      

      storageClass: nfs-storage-class
      

    • settings.controller.tolerations

      массив объектов

      Структура, аналогичная spec.tolerations пода контроллера.

      Если ничего не указано или указано false, то Deckhouse попытается вычислить значение tolerations автоматически.

      • settings.controller.tolerations.effect

        строка
      • settings.controller.tolerations.key

        строка
      • settings.controller.tolerations.operator

        строка
      • settings.controller.tolerations.tolerationSeconds

        целочисленный
      • settings.controller.tolerations.value

        строка
  • settings.highAvailability

    булевый

    Ручное управление режимом отказоустойчивости.

    По умолчанию режим отказоустойчивости определяется автоматически. Подробнее про режим отказоустойчивости.

    Пример:

    
    

    highAvailability: true
    

  • settings.https

    объект

    Определяет тип сертификата, используемого с NeuVector.

    Этот параметр полностью переопределяет настройки global.modules.https.

    Примеры:

    
    

    customCertificate:
      secretName: foobar
    mode: CustomCertificate
    

    certManager:
      clusterIssuerName: letsencrypt
    mode: CertManager
    

    • settings.https.certManager

      объект
      • settings.https.certManager.clusterIssuerName

        строка

        Какой ClusterIssuer использовать для NeuVector. В настоящее время доступны letsencrypt, letsencrypt-staging, selfsigned; также можно определить собственный.

        По умолчанию: letsencrypt

    • settings.https.customCertificate

      объект
      • settings.https.customCertificate.secretName

        строка

        Имя Secret в namespace d8-system, используемого с NeuVector (этот Secret должен иметь формат kubernetes.io/tls).

        По умолчанию: false

    • settings.https.mode

      строка

      Режим использования HTTPS:

      • CertManager — NeuVector будет использовать HTTPS и получать сертификат от ClusterIssuer, заданного в параметре certManager.clusterIssuerName;
      • CustomCertificate — NeuVector будет использовать сертификат из namespace d8-system для HTTPS;
      • Disabled — NeuVector не будет работать в этом режиме;
      • OnlyInURI — NeuVector будет работать по HTTP (предполагается, что внешний HTTPS load balancer завершает HTTPS-трафик). Все ссылки в user-authn будут сгенерированы с использованием схемы HTTPS. Load balancer должен обеспечивать редирект с HTTP на HTTPS.

      Допустимые значения: Disabled, CertManager, CustomCertificate, OnlyInURI

  • settings.manager

    объект

    Конфигурация компонента менеджера NeuVector (веб-интерфейс).

    Менеджер предоставляет веб-интерфейс пользователя для NeuVector.

    • settings.manager.nodeSelector

      объект

      Структура, аналогичная spec.nodeSelector пода Kubernetes.

      Если параметр не указан, он будет определён автоматически.

      Пример:

      
      

      disktype: ssd
      

    • settings.manager.tolerations

      массив объектов

      Структура, аналогичная spec.tolerations пода Kubernetes.

      Если параметр не указан или false, он будет определён автоматически.

      • settings.manager.tolerations.effect

        строка
      • settings.manager.tolerations.key

        строка
      • settings.manager.tolerations.operator

        строка
      • settings.manager.tolerations.tolerationSeconds

        целочисленный
      • settings.manager.tolerations.value

        строка
  • settings.scanner

    объект

    Конфигурация компонента сканера NeuVector.

    Сканер выполняет проверку контейнерных образов и реестров на уязвимости.

    • settings.scanner.nodeSelector

      объект

      Структура, аналогичная spec.nodeSelector пода Kubernetes.

      Если параметр не указан, будет определяться автоматически.

      Пример:

      
      

      disktype: ssd
      

    • settings.scanner.tolerations

      массив объектов

      Структура, аналогичная spec.tolerations пода Kubernetes.

      Если параметр не указан или false, он будет определён автоматически.

      • settings.scanner.tolerations.effect

        строка
      • settings.scanner.tolerations.key

        строка
      • settings.scanner.tolerations.operator

        строка
      • settings.scanner.tolerations.tolerationSeconds

        целочисленный
      • settings.scanner.tolerations.value

        строка