Аутентификация

По умолчанию используется модуль user-authn. Также можно настроить аутентификацию через externalAuthentication.

Если ни один из этих способов не включен, модуль dashboard будет отключен.

Параметры auth.password и accessLevel больше не поддерживаются.

Настройки

У модуля нет обязательных настроек.

Как явно включить или отключить модуль…

Явно включить или выключить модуль можно одним из следующих способов:

  • С помощью веб-интерфейса Deckhouse. В разделе «Система» → «Управление системой» → «Deckhouse» → «Модули», откройте модуль dashboard, включите (или выключите) переключатель «Модуль включен». Сохраните изменения.

    Пример:

    Интерфейс включения и выключения модуля

  • С помощью Deckhouse CLI (d8).

    Используйте команду d8 system module enable для включения модуля, или d8 system module disable для выключения модуля (требуется Deckhouse CLI (d8), настроенный на работу с кластером).

    Пример включения модуля dashboard:

    d8 system module enable dashboard

  • С помощью ModuleConfig dashboard.

    Установите spec.enabled в true или false в ModuleConfig dashboard (создайте его, при необходимости).

    Пример манифеста для включения модуля dashboard:

    apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
  name: dashboard
spec:
  enabled: true

Как настроить модуль…

Настроить модуль можно одним из следующих способов:

  • С помощью веб-интерфейса Deckhouse.

    В разделе «Система» → «Управление системой» → «Deckhouse» → «Модули», откройте модуль dashboard, включите переключатель «Дополнительные настройки». Заполните необходимые поля формы на вкладке «Конфигурация», или укажите настройки модуля в формате YAML на вкладке «YAML», не включая секцию settings. Сохраните изменения.

    Пример:

    Интерфейс настройки модуля

    Вы также можете отредактировать объект ModuleConfig dashboard на вкладке «YAML» в окне настроек модуля («Система» → «Управление системой» → «Deckhouse» → «Модули», откройте модуль dashboard), указав версию схемы в параметре spec.version и необходимые параметры модуля в секции spec.settings.

  • С помощью Deckhouse CLI (d8) (требуется Deckhouse CLI (d8), настроенный на работу с кластером).

    Отредактируйте существующий ModuleConfig dashboard (подробнее о настройке Deckhouse читайте в документации), выполнив следующую команду:

    d8 k edit mc dashboard

    Внесите необходимые изменения в секцию spec.settings. При необходимости укажите версию схемы в параметре spec.version. Сохраните изменения.

    Вы также можете создать файл манифеста ModuleConfig dashboard, используя пример ниже. Заполните секцию spec.settings необходимыми параметрами модуля. При необходимости укажите версию схемы в параметре spec.version.

    Примените манифест с помощью следующей команды (укажите имя файла манифеста):

    d8 k apply -f <FILENAME>

    Пример файла манифеста ModuleConfig dashboard:

    apiVersion: deckhouse.io/v1alpha1
kind: ModuleConfig
metadata:
  name: dashboard
spec:
  version: 1
  enabled: true
  settings: # Параметры модуля из раздела "Параметры" ниже.

Как сменить канал обновлений модуля…

Для смены канала обновлений модуля воспользуйтесь инструкцией.

Требования

К версии Deckhouse: 1.72 и выше.

Параметры

Версия схемы: 1

  • settings
    объект
    • settings.auth
      объект
      Опции, связанные с аутентификацией или авторизацией в приложении.

      По умолчанию: {}

      • settings.auth.allowedUserEmails
        массив строк

        Массив адресов электронной почты, пользователям которых разрешен доступ к веб-интерфейсу.

        Используется, если включен модуль user-authn или задан параметр externalAuthentication.

      • settings.auth.allowedUserGroups
        массив строк

        Массив групп пользователей, которые могут иметь доступ к дашборду.

        Этот параметр используется, если модуль user-authn включён или настроен параметр externalAuthentication.

        Внимание. Если модуль используется вместе с user-authn, не забудьте добавить эти группы в соответствующее поле конфигурации DexProvider.

      • settings.auth.externalAuthentication
        объект

        Параметры для подключения внешней аутентификации (используется механизм Ingress NGINX external-auth, работающий на основе модуля Nginx auth_request.

        Внешняя аутентификация включается автоматически, если включен модуль user-authn.

        Внимание. Из соображений безопасности этот режим работает только при условии, что параметр https.mode (глобальный или в модуле) не установлен в значение Disabled.

        • settings.auth.externalAuthentication.authSignInURL
          строка
          URL, куда будет перенаправлен пользователь для прохождения аутентификации (если сервис аутентификации вернул код ответа HTTP, отличный от HTTP 200).
        • settings.auth.externalAuthentication.authURL
          строка
          URL сервиса аутентификации. Если пользователь прошел аутентификацию, сервис должен возвращать код ответа HTTP 200.
        • settings.auth.externalAuthentication.useBearerTokens
          булевый
          Токены авторизации. Дашборд должен взаимодействовать с Kubernetes API от имени пользователя. Для этого сервис аутентификации обязан возвращать HTTP-заголовок Authorization в своих ответах, содержащий bearer-token. Этот токен будет использоваться дашбордом для выполнения запросов к API-серверу Kubernetes.

          По умолчанию: false

      • settings.auth.whitelistSourceRanges
        массив строк
        Список адресов в формате CIDR, которым разрешено проходить аутентификацию для доступа в дашборд.

        Пример: 


        whitelistSourceRanges:
- 1.1.1.1/32
    • settings.highAvailability
      булевый

      Ручное управление режимом отказоустойчивости.

      По умолчанию режим отказоустойчивости определяется автоматически.

      Пример: 


      highAvailability: true
    • settings.https
      объект

      Тип сертификата, используемого для дашборда.

      Этот параметр переопределяет глобальные настройки global.modules.https.

      Примеры: 


      customCertificate:
  secretName: foobar
mode: CustomCertificate

      certManager:
  clusterIssuerName: letsencrypt
mode: CertManager
      • settings.https.certManager
        объект
        • settings.https.certManager.clusterIssuerName
          строка
          Тип используемого ClusterIssuer. Доступны letsencrypt, letsencrypt-staging, selfsigned, но вы можете определить свои значения.

          По умолчанию: letsencrypt

      • settings.https.customCertificate
        объект
        • settings.https.customCertificate.secretName
          строка
          Имя секрета (Secret) в пространстве имен d8-system, которое будет использоваться дашборд. Cекрет должен быть в формате tls).

          По умолчанию: false

      • settings.https.mode
        строка

        Режим работы HTTPS:

        • CertManager — дашборд работает по HTTPS и заказывать сертификат с помощью ClusterIssuer, заданного в параметре certManager.clusterIssuerName;
        • CustomCertificate — дашборд работает по HTTPS, используя сертификат из пространства имен d8-system;
        • Disabled — в данном режиме дашборд не будет работать;
        • OnlyInURI — это режим, при котором дашборд работает через HTTP (с учетом того, что перед ним настроен внешний HTTPS-балансировщик, который завершает HTTPS-соединение). В этом случае все ссылки в user-authn будут генерироваться с использованием схемы HTTPS. Балансировщик должен обеспечивать автоматическое перенаправление с HTTP на HTTPS.

        Допустимые значения: Disabled, CertManager, CustomCertificate, OnlyInURI

    • settings.ingressClass
      строка

      Класс Ingress-контроллера, который используется для дашборда.

      Опциональный параметр, по умолчанию используется глобальное значение modules.ingressClass.

      Шаблон: ^[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*$

    • settings.nodeSelector
      объект

      Аналогично параметру Kubernetes spec.nodeSelector у подов.

      Если значение не указано или указано false, то Deckhouse попытается вычислить значение nodeSelector автоматически.

    • settings.tolerations
      массив объектов

      Аналогично параметру Kubernetes spec.tolerations у подов.

      Если ничего не указано или указано false, то Deckhouse попытается вычислить значение tolerations автоматически.

      • settings.tolerations.effect
        строка
      • settings.tolerations.key
        строка
      • settings.tolerations.operator
        строка
      • settings.tolerations.tolerationSeconds
        целочисленный
      • settings.tolerations.value
        строка