Важно: Данный раздел актуален для Платформы данных в Публичном облаке и On-Premise.
Примечание: Параметры конфигурации применяются к кластеру при запуске действия Установка или Переконфигурировать.
В таблице ниже представлено описание настроек конфигурации кластера
|
Наименование параметра |
Значение |
Описание |
| endpoints.by_ipv4 | False |
Включение работы эндпойнтов по ip вместо доменных имен. True используется для тестовых стендов, если не настроен DNS. Для продуктивных установок рекомендуем оставлять False. |
| java.package | java-1.8.0-openjdk |
Используемый пакет java (при необходимости, можно использовать liberica - java.package = bellsoft-java8, java.version =1.8.0.302+8). |
| java.version | 1.8.0.302.b08-0.el7_9 | Версия используемого пакета java. |
| ldap_config.tls_cacertdir | /etc/openldap/certs | Определяет путь к доверенному хранилищу ключей, управляемому библиотеками Mozilla NSS или OpenSSL. |
| ldap_config.sasl_secprops | minssf=0, maxssf=0 |
Задает свойства безопасности Cyrus SASL в виде списка элементов, разделённых запятыми. minssf=<коэффициент> указывает минимальный приемлемый фактор надежности безопасности в виде целого числа, приблизительно равного эффективной длине ключа, используемого для шифрования. 0 (ноль) означает отсутствие защиты, 1 подразумевает только защиту целостности, 56 разрешает DES или другие слабые шифры, 112 разрешает тройной DES и другие надежные шифры, 128 разрешает RC4, Blowfish и другие современные надежные шифры. Значение по умолчанию 0. maxssf=<коэффициент> задает максимально допустимый фактор надежности безопасности в виде целого числа (см. описание minssf). |
| ldap_config.sasl_nocanon | true | Отключение выполнения обратного поиска в DNS для канонизации имен узлов SASL. |
| repos.repo_user | ${REPO_USER} | Имя пользователя внешнего репозитория (Логин и пароль совпадают с логином и паролем в личный кабинет https://data.rt.ru/) |
| repos.repo_pass | ******* | Пароль к внешнему репозитроию https://data.rt.ru/ |
| repos.rt-datalake-repo | ${DATALAKE_REPO} |
Адрес репозитория При использовании репозитория, расположенного в интернет, для плагина RT.DataLake по умолчанию загрузка пакетов выполняется для версии 300 плагина из репозитория https://repo.data.rt.ru/repository/rt.datalake_distr3.0.0_rpm_stable/. В случае использования плагина версии 322, необходимо для параметра repos.rt-datalake-repo задать значение: https://repo.data.rt.ru/repository/rt.datalake_distr3.2.2_rpm_stable/. Данный параметр можно изменить заранее до запуска RT.ClusterManager в файле docker-compose.yaml или после запуска во вкладке repos конфигурации кластера. Также можно изменить на адрес локального репозитория если он был развёрнут, подробнее в см. в п. 8.2.1 Руководство администратора RT.ClusterManager). |
| repos.rt-checkagent-repo | ${CHECKERAGENT_REPO} | Адрес rt-checkagent-repo (можно изменить на адрес локального репозитория если он был развёрнут, подробнее в см. в п. 8.2.1 Руководство администратора RT.ClusterManager). |
| repos.rt-redos-os-repo | ${REDOS_OS_REPO} | Адрес rt-checkagent-repo, используется только для “РЕД ОС” (можно изменить на адрес локального репозитория если он был развёрнут, подробнее в см. в п. 8.2.1 Руководство администратора RT.ClusterManager). |
| repos.rt-redos-updates-repo | ${REDOS_UPDATES_REPO} | Адрес rt-redos-updates-repo, используется только для “РЕД ОС” (можно изменить на адрес локального репозитория если он был развёрнут, подробнее в см. в п. 8.2.1 Руководство администратора RT.ClusterManager). |
| repos.rt-redos_kernels-repo | ${REDOS-KERNELS_REPO} | Адрес rt-redos_kernels-repo, используется только для “РЕД ОС” (можно изменить на адрес локального репозитория если он был развёрнут, подробнее в см. в п. 8.2.1 Руководство администратора RT.ClusterManager). |
| haproxy.logs_enable | true | Включение логирования сервиса haproxy (для отображения статистики используется веб-интерфейс). |
| haproxy.logs_patch | /var/log/haproxy3.log | Путь до логов haproxy. |
| haproxy.statics_port | 8778 | Порт для статистики haproxy. |
| cm.cm_url | http://${HOSTNAME} | Адрес RT.ClusterManager (Подставляются автоматически из docker-compose.yaml, можно не менять по умолчанию это http://rtcm порт 8080). |
| cm.cm_port | ${CM_PORT} | Порт RT.ClusterManager. |
| kerberos.kdc_type | active_directory |
Выбор между active_directory и freeipa. Переключение контроллера домена между Active Directory от Microsoft и open-source FreeIPA |
| kerberos.ssl | True | (True/False) Переключает протоколы доступа к RT.ClusterManager с безопасного (https - данные передаются в зашифрованном виде, используется ssl сертификат, подписанный центром сертификации) на небезопасный (http). |
| kerberos.idap_cacert_path | certnew.cer | Файл где хранится сертификат ssl (параметр используется если параметр ssl = true). |
| kerberos.ca_trust_dir | /etc/pki/ca-trust/source/anchors/cacert.pem | Путь к файлу где хранится сертификат ssl (параметр используется если параметр ssl = true). |
| kerberos.admin_password | password | Пароль администратора домена, имеющего доступ к созданию пользователей в службе каталогов Active Directory. |
| kerberos.admin_user | admin | Имя администратора домена. |
| kerberos.kdc_server | vm-dcp-dc-1.dcp.local | Адрес сервера центра распределения ключей Kerberos (KDC). |
| kerberos.ldap_server | ldap://vm-dcp-dc-1.dcp.local | Адрес сервера контроллера домена с установленной службой каталогов (например, Active Directory), обычно совпадает с kdc_server, но с указанием протокола передачи данных (LDAP по умолчанию). |
| kerberos.base | OU=kerberos,OU=main,DC=DCP,DC=LOCAL | Полный путь до Подразделения (Organizational Unit), в котором будут создаваться учётные записи, необходимые для доступа к сервисам Системы. |
| kerberos.default_domain | DCP.LOCAL | Имя домена. |
| kerberos.kvno | 1 | Ключ номера версии, целое положительное число, дополнительный критерий защиты: если в keytab несколько записей для одного и того же принципала с разным KVNO, валидной будет считаться та запись, KVNO которой совпадает с текущим KVNO этого принципала в базе данных безопасности KDC (обычно запись с наибольшим KVNO). |
| kerberos.principal_password | hadoopRocks123! | Пароль, который будет задан всем создаваемым учётным записям, которым разрешена аутентификация в Kerberos. |
| kerberos.keytab_path | /etc/security/keytab | Путь до файла таблицы ключей. |
| kerberos.encryptions |
aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 des-cbc-crc des-cbc-md5 arcfour-hmac … |
Все типы шифрования, которые разрешены к использованию при шифровании сессионного ключа. |
| pki.keystore_pass | password | Пароль keystore |
| pki.keystore_patch | /etc/security/keystore.jks | Путь на диске, где размещено хранилище криптографических публичных и приватных ключей и сертификатов keystore |
| pki.truststore_patch | /etc/security/truststore.jks | Путь на диске, где размещено хранилище криптографических публичных и приватных ключей и сертификатов truststore |
| pki.ca_certificate_path |
root certnew.cer … |
Имя пользователя, от которого был создан сертификат и путь до сертификата. |