Чтобы подготовиться к установке решения в закрытом контуре корпоративной сети:
export CHART_URL="xxxxxx"
export CHART_USERNAME="xxxxxx"export CHART_PASSWORD="xxxxxx"
export VERSION="xxxxxx"
Значения CHART_URL, CHART_USERNAME, CHART_PASSWORD, VERSION предоставляются производителем.
Пример подключения репозитория с Helm Chart:
helm registry login \
--username $CHART_USERNAME \
--password $CHART_PASSWORD \
$CHART_URL
helm pull oci://$CHART_URL/charts/kcs --version $VERSION
tar xvf kcs-$VERSION.tgz
Мы не рекомендуем указывать данные учетных записей в файле values.yaml для использования при запуске пакета Helm Chart.
Для управления секретами вы можете воспользоваться одним из следующих безопасных способов:
Значения pull-secret для Docker Registry не могут полностью сохраняться в HashiCorp Vault. Мы рекомендуем указывать pull-secret вручную в разделе с параметрами кластера Kubernetes и ссылаться на него из Helm Chart.
В файле values.yaml необходимо указать следующие основные параметры установки:
helm upgrade --install kcs . \
--create-namespace \
--namespace kcs \
--values values.yaml \
--set default.domain="kcs.example.domain.ru" \
При включенных сетевых политиках необходимо указать минимум одно пространство имен ингресс-контроллера кластера.
--set default.networkPolicies.ingressControllerNamespaces="{ingress-nginx}" \
По умолчанию сетевые политики включены.
--set secret.infracreds.envs.POSTGRES_USER="user" \
--set-string secret.infracreds.envs.POSTGRES_PASSWORD="pass" \
--set secret.infracreds.envs.MINIO_ROOT_USER="user" \
--set-string secret.infracreds.envs.MINIO_ROOT_PASSWORD="password" \
--set-string secret.infracreds.envs.CLICKHOUSE_ADMIN_PASSWORD="pass" \
--set secret.infracreds.envs.MCHD_USER="user" \
--set-string secret.infracreds.envs.MCHD_PASS="pass" \
Для обеспечения безопасности компонентам решения требуется использовать учетные данные, сгенерированные администратором системы самостоятельно в соответствии с корпоративными политиками безопасности. При развертывании целевого компонента в составе решения, указанные пользователь и пароль создаются автоматически. При использовании стороннего сервиса необходимо указать учетные данные пользователя и пароль, созданные администратором в этом стороннем сервисе.
--set pullSecret.kcs-pullsecret.username="user" \
--set pullSecret.kcs-pullsecret.password="pass"
Если вы планируете развертывание системы с использованием реестра "Лаборатории Касперского", необходимо указать учетные данные, переданные вам при покупке Kaspersky Security для контейнеров. Если вы планируете использовать частный реестр или прокси-реестр, требуется указать учетные данные вашего реестра.
enabled – флаг включения интеграции с хранилищем. Значение переменной vault.enabled = true указывает на то, что интеграция с HashiCorp Vault осуществлена, значения переменных окружения получаются из хранилища.mountPath – путь до директории с секретами в хранилище.role – роль, под которой будет осуществляться аутентификация в хранилище.Мы рекомендуем не менять состав основных параметров установки.