В некоторых параметрах необходимо указать пути до файлов и папок, например до картинок заставки. Чтобы их использовать:

1.Создайте общее хранилище (sharedVolume) и примонтируйте его во все контейнеры.

2.В созданное хранилище скопируйте нужные файлы с помощью инструмента командной строки kubectl:

kubectl cp <Путь до папки с файлами> some-namespace/some-pod:<Конечный путь на поде>

3.Укажите путь до файлов в параметрах нужного сервиса.

Чтобы в параметре SPLASH_SCREENS_PATHS задать путь до картинок для заставки:

1.Из конфигурационного файла values.yaml скопируйте в config.yml секцию k8s.sharedVolume и укажите значения параметров storageClass и storageSize.

Путь до values.yaml:

<Папка с DirectumLauncher>/etc/plugins/platform_plugin/helm_chart/services-up/values.yaml

Пример настройки:

k8s:

    sharedVolume:
        storageClass: "longhorn-storage"
        storageSize: "10Mi"

2.Примените настройки, чтобы создать хранилище и подключить его к сервисам:

helm upgrade <ReleaseName> --install -f < Путь до config.yml> <Путь до Helm Chart>

3.В созданное хранилище скопируйте файлы:

kubectl cp <Путь до папки с файлами> some-namespace/some-pod:<Конечный путь на поде>

Пример команды:

kubectl cp /tmp/foo some-namespace/some-pod:/tmp/bar

4.В секции нужного сервиса укажите путь до папки с настройками.

Пример настройки:

SungeroWebClient:

    SPLASH_SCREENS_PATHS:
        path:
         - '@value': '/tmp/bar'

5.Выполните команду helm upgrade и проверьте, что настройки применились.

При необходимости количество ресурсов, выделенных для развертывания Directum RX в Kubernetes, можно изменить и задать свои ограничения по конкретному сервису. Для этого в секцию сервиса нужно добавить секцию resources и указать значения параметров:

•limits – ограничения на потребление памяти и занятость процессора;

•requests – выделяемые ресурсы по потреблению памяти и занятости процессора.

Если параметры не заданы, используются значения по умолчанию.

Пример настройки в config.yml:

k8s:

  services:
    SungeroWebServer:
      resources:
        limits:
          cpu: "2000m"
          memory: "14Gi"
        requests:
          cpu: "300m"
          memory: "10Gi"

Подробнее о настройках ограничений см. в документации Kubernetes статью Resource Management for Pods and Containers.

По умолчанию сервис ключей отключен. Чтобы его запустить:

1.Из values.yaml скопируйте секцию KeyDerivationService и добавьте ее в конфигурационный файл config.yml в секцию services_config. Затем задайте значения параметров:

services_config:

    KeyDerivationService:
        <<: *base
        PORT: 15672
        SECRET_CERTIFICATE_THUMBPRINT: 'd91c6db6158213a8dc249afbdf304115fa9a8591'
        BACKUP_SECRET_CERTIFICATE_THUMBPRINT: 'd91c6db6158213a8dc249afbdf304115fa9a8591'
        SECRET_AUTOMATIC_GENERATION: 'true'
        SECRETS_PATH: '/app/secrets'

2.В секцию k8s в services скопируйте секцию KeyDerivationService и укажите настройки:

•secrets – сертификаты для работы сервиса;

•runScript – скрипт, в котором вызываются команды регистрации сертификатов перед запуском сервиса.

Пример настройки в config.yml:

k8s:

    services:
        KeyDerivationService:
            storageClass: "longhorn-storage"
            storageSize: "10Mi"
            runScript: |-
                #!/bin/bash
                certtool="/app/certificate-tool"
                value=`cat /app/certs/password`
            "$certtool" add -s Root -c /app/certs/root_gost.crt
                "$certtool" add -s CertificateAuthority -c /app/certs/chain_gost.crt
                "$certtool" add -c /app/certs/public_gost.crt
                "$certtool" add -f /app/certs/private.pfx -p "$value"
                certmgr -inst -file /app/certs/private_gost.pfx -pfx -store uMy -silent -keep_exportable -pin "$value"
                /app/Sungero.KeyDerivationService.Host
            secrets:
                private.pfx: |-
                    BASE64CERT
                ## private key of the GOST certificate for data encryption
                private_gost.pfx: |-
                    BASE64CERT
                ## chain certificate
                chain_gost.crt: |-
                    BASE64CERT
                ## root certificate
                root_gost.crt: |-
                    BASE64CERT
                public_gost.crt: |-
                    BASE64CERT
                password: |-

2.Примените настройки с помощью команды helm upgrade.

3.Через командную оболочку shell подключитесь к поду с сервисом ключей и сгенерируйте новый секрет:

/app/Sungero.KeyDerivationService.Host gen-new-secret

4.Удалите старый автосгенерированный секрет сервиса:

rm <Отпечаток старого сертификата>_service_secret

Примечание. Путь до папки с секретами указан в секции KeyDerivationService в параметре SECRETS_PATH.

5.Отключите автоматическое создание секрета сервиса. Для этого в конфигурационном файле config.yml в секции KeyDerivationService в параметре SECRET_AUTOMATIC_GENERATION укажите значение false.

6.Примените настройки с помощью команды helm upgrade.

7.Проверьте, что сервис ключей запущен.

Чтобы настроить ГОСТ-сертификаты для подписания документов, нужно зарегистрировать корневые и промежуточные сертификаты в контейнерах сервисов: SungeroWebServer, ReportService, SungeroWorker, WorkflowBlockService. Для этого в секции k8s:

1.В секции secrets в параметре bundle_certs укажите корневые и промежуточные сертификаты в кодировке base64.

2.В секции services для нужного сервиса добавьте скрипт установки сертификатов с помощью утилиты certificate-tool. Скрипты можно указывать в секциях: IntegrationService, KeyDerivationService, PreviewStorage, ReportService, StorageService, SungeroWebServer, SungeroWidgets, SungeroWorker, WorkflowBlockService.

Например, чтобы зарегистрировать корневой сертификат root.crt и промежуточные сертификаты uc1.crt и uc2.crt, укажите настройки:

k8s:

  services:
    SungeroWebServer:
      runScript: |-
        #!/bin/bash
        certtool="/app/certificate-tool"
        "$certtool" add -s Root -c /etc/ssl/certs/root.crt
        "$certtool" add -s CertificateAuthority -c /etc/ssl/certs/uc1.crt
        "$certtool" add -s CertificateAuthority -c /etc/ssl/certs/uc2.crt
        /app/Sungero.WebServer.Host