Настройка параметров внешней СУБД ClickHouse
Чтобы настроить параметры Kaspersky Security для контейнеров для использования внешней СУБД ClickHouse:
- В конфигурационном файле values.yaml укажите, что решение использует внешнюю СУБД ClickHouse:
default:
kcs-clickhouse:
external: true
- Укажите значения переменных для использования внешней СУБД ClickHouse:
configmap:infraconfig:type: fromEnvsenvs:...<переменные для использования внешней СУБД ClickHouse>В этом разделе необходимо указать следующие переменные:
EXT_CLICKHOUSE_PROTOCOL– протокол подключения к внешней СУБД ClickHouse.EXT_CLICKHOUSE_HOST– хост подключения к внешней СУБД ClickHouse.EXT_CLICKHOUSE_PORT– порт для подключения к внешней СУБД ClickHouse.EXT_CLICKHOUSE_DB_NAME– имя базы данных, подготовленной для использования с Kaspersky Security для контейнеров.EXT_CLICKHOUSE_COLD_STORAGE_NAME– имя диска, на котором ClickHouse будет долгосрочно хранить данные об инцидентах.EXT_CLICKHOUSE_STORAGE_POLICY_NAME– название политики хранения данных, согласно которой ClickHouse будет переносить данные об инцидентах на диск для долгосрочного хранения.Если используется один диск для краткосрочного и долгосрочного хранения данных значения
EXT_CLICKHOUSE_COLD_STORAGE_NAMEиEXT_CLICKHOUSE_STORAGE_POLICY_NAMEне указываются.EXT_CLICKHOUSE_SSL_AUTH– переменная для авторизации пользователей ClickHouse с использованием ssl. Если указано значениеtrue, авторизация осуществляется с использованием клиентских сертификатов и без паролей.Если переменная
TLS_INTERNALимеет значениеfalse, значениеEXT_CLICKHOUSE_SSL_AUTHтакже должно бытьfalse.EXT_CLICKHOUSE_ROOT_CA_PATH– путь до CA-сертификата, который указывается в случае использования протокола https (EXT_CLICKHOUSE_PROTOCOL: https) для подключения к ClickHouse. Вы можете указать путь одним из следующих способов:- Разместить CA-сертификат ClickHouse по указанному пути. В этом случае нужно раскомментировать блок
secret.cert-kcs-clickhouse-ca. - Использовать Vault для хранения данных сертификата. В этом случае нужно раскомментировать блок
cert-kcs-clickhouse-caв разделеvault.certificate.
- Разместить CA-сертификат ClickHouse по указанному пути. В этом случае нужно раскомментировать блок
- Укажите значения секретов для использования внешней СУБД ClickHouse:
configmap:secret:infracreds:type: fromEnvsenvs:...<секреты для использования внешней СУБД ClickHouse>В этом разделе необходимо указать следующее:
EXT_CLICKHOUSE_WRITE_USER– имя пользователя с правами на запись, подготовленного для использования с Kaspersky Security для контейнеров.CLICKHOUSE_WRITE_PASSWORD– пароль пользователя с правами на запись, подготовленного для использования с Kaspersky Security для контейнеров.EXT_CLICKHOUSE_READ_USER– имя пользователя с правами на чтение, подготовленного для использования с Kaspersky Security для контейнеров.CLICKHOUSE_READ_PASSWORD– пароль пользователя с правами на чтение, подготовленного для использования с Kaspersky Security для контейнеров.CLICKHOUSE_READ_PASSWORDиCLICKHOUSE_WRITE_PASSWORDне используются, если для переменнойEXT_CLICKHOUSE_SSL_AUTHуказано значенииtrue.
Имена пользователей и пароли к ним также можно указать с помощью хранилища секретов Vault.