База знаний
Войти

СОДЕРЖАНИЕ

1 Аутентификация 6

1.1 Как сменить пароль администратора 6

1.2 Как подключить внешний сервис аутентификации 6

1.2.1 Подготовка к настройке подключения внешнего сервиса 7

1.2.2 Keycloak 10

1.2.3 Подключение Blitz 15

1.2.4 Восстановление доступа при сбое внешнего сервиса 17

1.3 Аутентификация в приватном registry 18

1.3.1 Преимущества и недостатки 18

1.3.2 Изменение конфигурации ContainerD 18

1.3.3 Использование ImagePullSecrets 19

1.4 Как увеличить тайм-аут аутентификации 20

1.5 Как изменить доменное имя в кластере 21

1.5.1 Домен кластера управления 21

1.5.2 Домен клиентского кластера 24

1.6 Как изменить время жизни токена 27

1.7 Как получить доступ к кластеру из консоли 30

1.7.1 Способы доступа 30

1.7.2 Аутентификация с kubeconfig кластера 30

1.7.3 Модуль доступа к кластерам (kubectl-shturval-plugin) 31

1.7.4 Установка и команды модуля 32

1.7.5 Аутентификация с модулем 34

1.7.6 Действия в случае типовых ошибок доступа 46

2 Алертинг 50

2.1 Алертинг по логам кластера 50

2.2 В клиентском кластере (локальный алертинг) 53

2.3 Проверка настройки (решение проблем) 56

2.4 Проверка работы локального алертинга 58

2.5 В кластере управления 63

2.5.1 Локальный алертинг 63

2.5.2 Настройка маршрута и получателя для алертинга 65

3 Приложения кластера 68

3.1 Как назначить IP-адрес для внешнего трафика приложения 68

3.1.1 В графическом интерфейсе Комплекса 68

3.1.2 Проверка внешнего трафика 69

3.2 Как подписать образы контейнеров 72

3.2.1 Как настроить подпись образов 72

3.2.2 Как настроить проверку подписи 73

3.3 Как развернуть приложения в кластерах с выделением доступа разработчикам 77

4 Решение проблем 78

4.1 Как выделить роль для отладки 78

4.1.1 Полномочия на примере системного набора доступов dev-debugger 78

4.1.2 Назначение роли (набора доступов) на примере dev-debugger 83

4.1.3 Пример создания и назначения кастомного набора доступов 84

4.2 Как восстановить потерянный кластер 88

4.2.1 Рекомендации по восстановлению 88

4.2.2 Восстановление доступа к клиентским кластерам при потере кластера управления 91

4.2.3 Восстановление при потере клиентского кластера 93

4.2.4 Восстановление при удалении клиентского кластера 97

5 Управление сертификатами 103

5.1 Как добавить сертификат в кластер 103

5.1.1 Сценарий замены сертификата 103

5.1.2 Создание бэкапа 103

5.1.3 Типы сертификатов 104

5.1.4 Добавление сертификатов в системные сервисы 118

5.2 Как установить доверенный сертификат 123

5.2.1 Создание доверенного сертификата 124

5.3 Как прописать сертификаты в зеркало 126

5.3.1 Требования к сертификату 127

5.3.2 Получение сертификата с ACME-сервера (step-ca) 127

6 Безопасность 130

6.1 Как исключить размеченные уязвимости из отчетов (VulnerabilityReports) 130

6.1.1 Подготовка конфигурации и файла с уязвимостями 130

6.1.2 Создание ConfigMaps 137

6.1.3 Изменение ssc shturval-scanner 139

6.2 Как подключить Hashicorp Vault для секретов 141

6.2.1 Установка чарта 141

6.2.2 Настройка интеграции 144

7 Узлы кластера 148

7.1 Как обновить версию Kubernetes 148

7.1.1 В платформе виртуализации 148

7.1.2 В графическом интерфейсе Комплекса 148

7.2 Как защитить узлы от автоматического перезапуска 152

7.3 Как управлять количеством узлов в кластере 154

7.3.1 Масштабирование узлов в кластере 154

7.4 Управление хостами кластера с провайдером Shturval v2 158

7.4.1 Как добавить хосты и увеличить количество узлов в кластер 158

7.4.2 Как исключить хосты из кластера 160

7.4.3 Решение проблем (очистка хоста) 164

8 Etcd 165 8.1 Резервирование CPU в кластере 165

8.1.1 Резервирование CPU в графическом интерфейсе 165

8.1.2 Резервирование CPU в программном интерфейсе 167

8.1.3 Проверка состояния резервирования CPU 167

8.1.4 Условия использования зарезервированных ресурсов для подов 169

8.2 Дефрагментация etcd 170

8.2.1 Определение лидера etcd в кластере 170

8.2.2 Дефрагментация участников etcd кластера 171

8.2.3 Проверка и очистка сработавших сигналов тревоги по сигналу NOSPACE 172

8.3 Как восстановить работу кластера etcd из резервной копии 172

8.3.1 Создание резервной копии etcd 172

8.3.2 Восстановить резервную копию etcd 182

8.3.3 Восстановление работы кластера etcd с помощью etcd-helper 184

9 Управление кластером через pipeline Git 189

9.1 Создание неймспейса из pipeline GitLab 189

9.1.1 Создание Service Account в кластере 189

9.1.2 Подготовка kubeconfig кластера 192

9.1.3 Добавить job в pipeline 193

9.2 Создание неймспейса с помощью API 194

Перечень терминов и сокращений 196