СОДЕРЖАНИЕ
1 Аутентификация 6
1.1 Как подключить внешний сервис аутентификации 6
1.1.1 Подготовка к настройке подключения внешнего сервиса 6
1.1.2 Keycloak 9
1.1.3 Подключение Blitz 15
1.1.4 Доступ в Комплекс при неработающем внешнем сервисе 20
1.2 Как получить доступ к кластеру из консоли 21
1.2.1 Установка модуля kubectl-shturval-plugin 21
1.2.2 Подготовка конфигурационного файла и аутентификация 29
1.2.3 Порядок действий для аутентификации без конфигурационного файла 32
1.2.4 Аутентификация с kubeconfig кластера 34
1.3 Аутентификация в приватном registry 38
1.3.1 Преимущества и недостатки 38
1.3.2 Изменение конфигурации ContainerD 39
1.3.3 Использование ImagePullSecrets 40
1.4 Как увеличить тайм-аут аутентификации 40
1.5 Как изменить время жизни токена 42
2 Приложения кластера 46
2.1 Как назначить IP-адрес для внешнего трафика приложения 46
2.1.1 В графическом интерфейсе Комплекса 46
2.1.2 Проверка внешнего трафика 47
2.2 Как подписать образы контейнеров 50
2.2.1 Как настроить подпись образов 50
2.2.2 Как настроить проверку подписи 51
2.3 Как развернуть приложения в кластерах с выделением доступа разработчикам 54
3 Решение проблем 56
3.1 Как выделить роль для отладки 56
3.1.1 Полномочия на примере системного набора доступов dev-debugger 56
3.1.2 Назначение роли (набора доступов) на примере dev-debugger 61
3.1.3 Пример создания и назначения кастомного набора доступов 62
3.2 Как восстановить потерянный кластер 66
3.2.1 Восстановление доступа к клиентским кластерам при потере кластера управления 69
3.2.2 Восстановление при потере клиентского кластера 71
3.2.3 Восстановление при удалении клиентского кластера 74
4 Управление сертификатами 81
4.1 Как установить доверенный сертификат 81
4.1.1 Создание доверенного сертификата 81
4.2 Как прописать сертификаты в зеркало 83
4.2.1 Требования к сертификату 84
4.2.2 Получение сертификата с Acme-сервера (step-ca) 84
4.3 Как добавить в кластер промежуточный и ACME сертификаты 86
4.3.1 Сценарий установки сертификата 86
4.3.2 Создание бэкапа 87
4.3.3 Создание сертификата 87
4.3.4 Настройка ClusterIssuer 92
4.3.5 Обновление корневого сертификата 94
4.3.6 Добавление сертификатов в системные сервисы 95
5 Узлы кластера 101
5.1 Как обновить версию Kubernetes 101
5.1.1 В платформе виртуализации 101
5.1.2 В графическом интерфейсе Комплекса 101
5.2 Как добавить и удалить хосты в кластер с провайдером Shturval v2 105
5.2.1 Как добавить хосты в кластер 105
5.2.2 Как исключить хосты из кластера 107
5.2.3 Решение проблем 111
5.3 Как защитить узлы от автоматического перезапуска 111
5.4 Как управлять количеством узлов в кластере 113
5.4.1 Масштабирование узлов в кластере 114
6 ETCD 118
6.1 Резервирование CPU в кластере 118
6.1.1 Резервирование CPU в графическом интерфейсе 118
6.1.2 Резервирование CPU в программном интерфейсе 120
6.1.3 Проверка состояния резервирования CPU 121
6.1.4 Условия использования зарезервированных ресурсов для подов 122
6.2 Дефрагментация etcd 123
6.2.1 Определение лидера etcd в кластере 123
6.2.2 Дефрагментация участников etcd кластера. 124
6.2.3 Проверка и очистка сработавших сигналов тревоги по сигналу NOSPACE. 125
6.3 Резервное копирование и восстановление работы etcd 125
6.3.1 Создание резервной копии etcd 125
6.3.2 Восстановить резервную копию etcd 134
6.3.3 Восстановление работы кластера etcd с помощью etcd-helper 136
6.4 Как создать кластер с внешним etcd 139
7 Прочие 140
7.1 Как настроить алертинг в кластере 140
7.1.1 Локальный алертинг в клиентском кластере 140
7.1.2 Алертинг заполненности пространства Opensearch 145
7.1.3 Проверка локального алертинга 149
7.2 Как подключить Hashicorp Vault для секретов 153
7.2.1 Установка чарта 153
7.2.2 Настройка интеграции 155
7.3 Как встроить запросы в pipeline Git 158
7.3.1 Создание неймспейса из pipeline GitLab 158
7.3.2 Создание неймспейса с помощью API 163
Перечень терминов и сокращений 165