Для первичной установки системы необходимо скопировать предзаполненный файл конфигурации из директориии ~/install_co/contrib/co. Порядок подготовки файла main.yml определен в разделе Порядок размещения и заполнения файлов конфигурации.
При повторной установке необходимо открыть с помощью текстового редактора файл main.yml, расположенный в директории ~/install_co/group_vars/co_setup и изменить значения для обязательных переменных.
Для обеспечения совместной работы CO и PGS необходимо указать одинаковые значения для переменных, перечисленных в разделе Общие переменные.
Для генерации паролей и salt рекомендуется использовать утилиту pwgen. Для установки pwgen на ОС Astra Linux следует выполнить команду:
apt install -y pwgen
Безопасный пароль необходимо генерировать с помощью команды:
pwgen <длина пароля> 1
где <длина пароля> — должна быть не меньше 20 символов.
Для генерации хешей паролей необходимо использовать утилиту htpasswd. Для установки htpasswd на ОС Astra Linux следует выполнить команду:
apt install -y apache2-utils
Хеш генерируется с помощью команды:
htpasswd -bnBC 12 "" <пароль> | tr -d ':\n'
Автоматическая генерация паролей описана в разделе «Автоматическое создание паролей».
Наименование |
Заполнение |
Описание |
|---|---|---|
ansible_user |
- |
Имя пользователя, с которым Ansible подключается к хостам по ssh Необходимо учитывать привилегии пользователя для подключения к хостам, у пользователя должны быть права sudo и возможность выполнять sudo без пароля |
domain_env |
- |
Элемент доменного имени установки, предназначеный для разграничения доступа к сервисам. Устанавливается в соответствии с разделом Создание DNS-записей |
domain_name |
+ |
Зарегистрированный домен установки CO |
ca_main_config.auth_keys.services.key |
+ |
Ключ для настройки внутреннего центра сертификации, для генерации сертификатов межсервисного взаимодействия CO. Сгенерировать ключ для доступа к CFSSL API с помощью команды: |
clickhouse_user_default_password |
+ |
Пароль пользователя default для Clickhouse стека мониторинга |
clickhouse_user_otel_password |
+ |
Пароль пользователя otel для Clickhouse |
co_observability_logs_retention_days |
- |
Время хранения логов в стеке observability, значение в днях |
co_observability_metrics_retention_days |
- |
Время хранения метрик, значение в днях. Формат записи — "120d" |
operator_host_fqdn |
- |
FQDN сервера с ролью operator при изменении места размещения контейнера docker-registry (см. Развертывание docker-registry в кластере установки) |
remote_registry_enable
|
- |
Указать значение true при изменении места размещения контейнера docker-registry (см. Развертывание docker-registry в кластере установки) |
Конфигурация Docker-registry |
||
docker_registry_username |
- |
Имя пользователя для доступа к docker_registry. |
docker_registry_password |
+ |
Пароль для доступа к docker_registry. Длина пароля не менее 8 симовлов |
Конфигурация document units |
||
du_pool_size |
- |
Количество document units |
Конфигурация ETCD |
||
etcd_browser_password |
+ |
Пароль для веб-доступа к etcd |
etcd_browser_username |
- |
Имя пользователя для веб-доступа к etcd. Значение по умолчанию "couser" |
Конфигурация Grafana |
||
grafana_admin_password |
+ |
Пароль администратора grafana |
Конфигурация ELK |
||
elasticsearch_admin_password |
+ |
Пароль администратора elasticsearch |
elasticsearch_admin_password_hash |
+ |
Хеш пароля администратора elasticsearch |
elasticsearch_kibana_password_hash |
+ |
Хеш пароля пользователя elasticsearch Kibana |
gateway_identity_provider_issuer |
- |
Ссылка на внешнюю SSO-систему Переменная используется для настройки интеграции с SSO |
gateway_identity_provider_jwk_url |
- |
Ссылка на информацию о JWK во внешней SSO-системе Переменная используется для настройки интеграции с SSO |
kibana_elasticsearch_password |
+ |
Пароль для подключения к Kibana |
Конфигурация KEEPALIVED |
||
keepalived_openresty_enabled |
- |
Включает использование внутреннего балансировщика нагрузки HAProxy совместно с сервисом Keepalived для обеспечения отказоустойчивости и высокой доступности lb-core-auth компонента (значение: true или false) |
keepalived_openresty_virtual_ip |
- |
Свободный IP-адрес в подсети серверов кластерной установки. При использовании переменной keepalived_openresty_enabled со значеним true. Пример значения: "valid_virtual_ip" |
Конфигурация LCS |
||
lcs_license_key |
- |
Ключ сервера лицензирования |
lcs_server_base_url |
- |
Ссылка для сервера лицензирования |
Конфигурация Openresty |
||
openresty_api_password |
+ |
Пароль пользователя для доступа к CO Manage API |
Конфигурация RabbitMQ |
||
rabbitmq_federation_enabled |
- |
Включение федерации RabbitMQ (значение: true или false) |
rabbitmq_users.root.password |
+ |
Пароль для root пользователя RabbitMQ |
rabbitmq_users.couser.password |
+ |
Пароль для couser пользователя RabbitMQ |
Конфигурация REDIS |
||
redis_password |
+ |
Пароль для Redis команды AUTH |
Конфигурация TLS |
||
tls_ca_filename |
- |
Сертификат центра сертификации. Имя сертификата по умолчанию: "ca.pem" |
tls_cert_filename |
- |
Сертификат сервера. Имя сертификата по умолчанию: "ca.pem" |
tls_key_filename |
- |
Имя файла закрытого ключа сертификата сервера. Имя файла ключа по умолчанию: "server.nopass.key" |
Настройки доступа к PGS |
||
fs_api_url |
+ |
HTTP ссылка доступа к PGS WebAPI |
fs_app_login |
+ |
Логин пользователя для подключения |
fs_app_password |
+ |
Пароль пользователя для подключения (должен совпадать с аналогичной переменной PGS) |
Настройки шифрования (общие для CO и PGS) |
||
fs_app_encryption_key |
+ |
Секретный ключ алгоритма AES-256-GCM, используемый для шифрования настроек тенантов, получаемых от PGS. Команда для генерации значения: |
fs_app_encryption_iv |
+ |
Вектор инициализации алгоритма AES-256-GCM, используемого для шифрования настроек тенантов, получаемых от PGS. Команда для генерации значения: |
fs_app_encryption_salt |
+ |
Salt для данных, передаваемых в алгоритм AES-256-GCM, используемый для шифрования настроек тенантов, получаемых от PGS. Команда для генерации значения: |
fs_token_salt_ext |
+ |
Salt токена |
Настройка PGS |
||
pgs_rabbitmq_amqp_uri |
+ |
Полное доменное имя сервера PGS для получения уведомлений от PGS (или сервера-балансировщика PGS) |
pgs_rabbitmq_password |
+ |
Пароль для RabbitMQ в PGS |
pgs_rabbitmq_user |
+ |
Имя пользователя для RabbitMQ в PGS |
Настройка victoria_metrics |
||
victoria_metrics_alerts_enabled |
- |
Значение по умолчанию: false |