В некоторых параметрах необходимо указать пути до файлов и папок, например до картинок заставки. Чтобы создать пути автоматически:

1.Создайте общее хранилище (sharedVolume) и примонтируйте его во все контейнеры. Для этого в секцию k8s добавьте секцию sharedVolume и укажите значения параметров storageClass и storageSize:

k8s:

    sharedVolume:
        storageClass: "my storage"
        storageSize: "10Mi"

2.Примените настройки с помощью команды:

./do.sh platform k8s_install services-up

3.В созданное хранилище скопируйте нужные файлы с помощью инструмента командной строки kubectl:

kubectl cp <Путь до папки с файлами> <Имя Namespase>/<Pod сервиса>:/app/settings

ПРИМЕЧАНИЕ. Подробнее о копировании данных в поды (pods) см. в документации Kubernetes статью kubectl cp.

4.Укажите путь до файлов в параметрах нужного сервиса.

Пример. Указание пути до картинок заставки

Чтобы в параметре SPLASH_SCREENS_PATHS задать путь до картинок для заставки:

1.Из конфигурационного файла values.yaml в config.yml в секцию k8s скопируйте секцию sharedVolume и укажите значения параметров storageClass и storageSize.

Путь до values.yaml:

<Папка с DirectumLauncher>/etc/plugins/platform_plugin/helm_chart/services-up/values.yaml

Пример настройки:

k8s:

    sharedVolume:
        storageClass: "my storage"
        storageSize: "10Mi"

2.Примените настройки, чтобы создать хранилище и подключить его к сервисам:

./do.sh platform k8s_install services-up

3.В созданное хранилище скопируйте файлы.

Пример команды:

kubectl cp /tmp/foo some-namespace/sungerowebclient-deployment-latest-7c94f86588-265z6:/app/settings

4.В секции нужного сервиса укажите путь до папки с настройками.

Пример настройки:

SungeroWebClient:

    SPLASH_SCREENS_PATHS:
        path:
         - '@value': '/tmp/foo'

5.Выполните команду:

./do.sh platform k8s_install services-up

Проверьте, что настройки применились.

При необходимости количество ресурсов, выделенных для развертывания Directum RX в Kubernetes, можно изменить и задать свои ограничения по конкретному сервису. Для этого в секцию сервиса нужно добавить секцию resources и указать значения параметров:

•limits – ограничения на потребление памяти и занятость процессора;

•requests – выделяемые ресурсы по потреблению памяти и занятости процессора.

Если параметры не заданы, используются значения по умолчанию.

Пример настройки в config.yml:

k8s:

  services:
    SungeroWebServer:
      resources:
        limits:
          cpu: '2000m'
          memory: '14Gi'
        requests:
          cpu: '300m'
          memory: '10Gi'

Подробнее о настройках ограничений см. в документации Kubernetes статью Resource Management for Pods and Containers.

По умолчанию сервис ключей отключен. Чтобы его запустить:

1.Из values.yaml скопируйте секцию KeyDerivationService и добавьте ее в конфигурационный файл config.yml в секцию services_config. Затем задайте значения параметров:

Пример настройки:

services_config:

    KeyDerivationService:
        <<: *base
        PORT: 15672
        SECRET_CERTIFICATE_THUMBPRINT: 'd91c6db6158213a8dc249afbdf304115fa9a8591'
        BACKUP_SECRET_CERTIFICATE_THUMBPRINT: 'd91c6db6158213a8dc249afbdf304115fa9a8591'
        SECRET_AUTOMATIC_GENERATION: 'false'
        SECRETS_PATH: '/app/secrets'

2.В секцию k8s в services скопируйте секцию KeyDerivationService и укажите настройки:

•secrets – сертификаты для работы сервиса;

•runScript – скрипт, в котором вызываются команды регистрации сертификатов перед запуском сервиса.

Пример настройки в config.yml:

k8s:

    services:
        KeyDerivationService:
            storageClass: 'my storage'
            storageSize: '10Mi'
            runScript: |-
                #!/bin/bash
                certtool="/app/certificate-tool"
                value=`cat /app/certs/password`
            "$certtool" add -s Root -c /app/certs/root_gost.crt
                "$certtool" add -s CertificateAuthority -c /app/certs/chain_gost.crt
                "$certtool" add -c /app/certs/public_gost.crt
                "$certtool" add -f /app/certs/private.pfx -p "$value"
                certmgr -inst -file /app/certs/private_gost.pfx -pfx -store uMy -silent -keep_exportable -pin "$value"
                /app/Sungero.KeyDerivationService.Host
            secrets:
                private.pfx: |-
                    BASE64CERT
                ## private key of the GOST certificate for data encryption
                private_gost.pfx: |-
                    BASE64CERT
                ## chain certificate
                chain_gost.crt: |-
                    BASE64CERT
                ## root certificate
                root_gost.crt: |-
                    BASE64CERT
                public_gost.crt: |-
                    BASE64CERT
                password: |-
                    BASE64PFXPASSWORD

ПРИМЕЧАНИЕ. Для установки ГОСТ-сертификатов используется утилита certmgr. Подробнее см. раздел «Установка ГОСТ-сертификатов». О командах для работы с сертификатами системы см. раздел «Утилита certificate-tool». Чтобы преобразовать сертификат в кодировку base64, используйте команду tools to_base64.

3.Примените настройки с помощью команды:

./do.sh platform k8s_install services-up

4.Через командную оболочку shell подключитесь к поду с сервисом ключей и сгенерируйте новый секрет:

/app/Sungero.KeyDerivationService.Host gen-new-secret

5.Проверьте, что сервис ключей запущен.

Чтобы настроить ГОСТ-сертификаты для подписания документов, нужно зарегистрировать корневые и промежуточные сертификаты в контейнерах сервисов: SungeroWebServer, ReportService, SungeroWorker, WorkflowBlockService. Для этого в секции k8s:

1.В секции secrets в параметре bundle_certs укажите корневые и промежуточные сертификаты в кодировке base64.

Пример настройки:

k8s:

    secrets:
        bundle_certs:
              root.crt: 'BASE64CERT'
              uc1.crt: 'BASE64CERT'
              uc2.crt: 'BASE64CERT'

СОВЕТ. Перевести сертификат в кодировку base64 можно с помощью команды:

./do.sh tools to_base64 root.crt -> root.txt

В результате преобразованный сертификат сохраняется в файл root.txt.

2.В секции services для нужного сервиса добавьте скрипт установки сертификатов с помощью утилиты certificate-tool. Скрипты можно указывать в секциях: IntegrationService, KeyDerivationService, PreviewStorage, ReportService, StorageService, SungeroWebServer, SungeroWidgets, SungeroWorker, WorkflowBlockService.

ВАЖНО. Секция runScript запускается вместо инструкции ENTRYPOINT для контейнера. Поэтому в скрипте нужно явно прописать запуск сервиса, например /app/Sungero.WebServer.Host.

Чтобы зарегистрировать корневой сертификат root.crt и промежуточные сертификаты uc1.crt и uc2.crt, укажите настройки:

k8s:

  services:
    SungeroWebServer:
      runScript: |-
        #!/bin/bash
        certtool="/app/certificate-tool"
        "$certtool" add -s Root -c /etc/ssl/certs/root.crt
        "$certtool" add -s CertificateAuthority -c /etc/ssl/certs/uc1.crt
        "$certtool" add -s CertificateAuthority -c /etc/ssl/certs/uc2.crt
        /app/Sungero.WebServer.Host

ПРИМЕЧАНИЕ. Подробнее о командах утилиты certificate-tool см. в разделе «Утилита certificate-tool».