desc

Да

Имя узла.

Значение должно соответствовать следующим правилам:

• Длина имени узла должна быть от 1 до 63 символов.
• Имя узла может содержать следующие символы:
  • символы ASCII верхнего регистра (A–Z);
  • символы ASCII нижнего регистра (a-z);
  • числа (0–9);
  • дефис (-).

Все узлы кластера должны иметь уникальные имена. Это требование является одним из обязательных для установки Kaspersky EDR Expert и проверяется KDT.

type

Да

Тип узла.

Возможные значения параметра:

• primary
• worker
• loadbalancer

   

host

Да

IP-адрес узла.

Все узлы должны быть включены в ту же подсеть, что и шлюз кластера Kubernetes.

Для узлов требуется IPv4-адресация. Если в вашей среде требуется подключение по протоколу IPv6, настройте операционные системы на узлах и шлюзе кластера Kubernetes для маршрутизации трафика IPv6 через шлюз IPv6 (NAT64) или туннель IPv6. Эта конфигурация поддерживает работу кластера на IPv4, обеспечивая взаимодействие с сетями IPv6.

Если у вас несколько первичных узлов, нужен балансировщик нагрузки, чтобы распределять входящие запросы по первичным узлам и обеспечивать равномерную рабочую нагрузку. Если вы хотите использовать внешний балансировщик нагрузки, выделите отдельное устройство вне кластера и укажите его параметры в файле конфигурации. Если вы не хотите использовать внешний балансировщик нагрузки, его роль будут выполнять рабочие узлы.

kind

Нет

Тип узла, задающий компонент Kaspersky EDR Expert, который будет работать на данном узле.

Для корректной работы Kaspersky EDR Expert рекомендуется выбрать узел, на котором будет работать Сервер администрирования. Для этого узла установите для параметра kind значение admsrv. Вы можете выбрать более производительный узел, если ожидается высокая нагрузка на Сервер администрирования. Другие компоненты Kaspersky EDR Expert также могут работать на выбранном узле, но компонент Сервер администрирования будет иметь приоритет. В случае сбоя узла компонент будет запущен на другом узле. Не устанавливайте для параметра kind значение admsrv для других узлов.

kuma_role

Нет

Сервис KUMA, который можно установить на рабочем узле. Можете задать установку одной или нескольких службы KUMA либо не указывать их установку вообще.

Параметр kuma_roles учитывается при установке службы KUMA в кластере Kubernetes с помощью Консоли OSMP. Если узел, на котором вы планируете установить службу KUMA, перегружен, кластер выберет другой, менее загруженный узел для установки службы.

Сервисы KUMA (коллекторы, корреляторы и хранилища) могут быть установлены полностью внутри кластера на рабочих узлах, полностью на отдельных узлах вне кластера Kubernetes или частично внутри и частично вне кластера Kubernetes. Если все службы KUMA будут установлены внутри кластера, установите для параметра inventory значение /dev/null.

KUMA Core и хранилище, созданное из того же ресурса KUMA, не разрешается размещать на одном рабочем узле. Данное правило добавлено для обеспечения необходимого уровня отказоустойчивости.

Если кластер хранилища состоит из нескольких экземпляров, все они должны быть развернуты либо внутри кластера, либо вне его.

Возможные значения параметра:

• core – ядро KUMA
• metrics – метрики KUMA.
• collector – коллектор.
• eventrouter – маршрутизатор событий
• correlator – коррелятор.
• storage – хранилище.

Значение параметра указывается в виде списка строк, включающих в себя роли KUMA. Например:

kuma_roles: ["core","metrics","collector"]

user

Да

Имя пользователя учетной записи, созданной на целевом устройстве и используемой для подключения к узлу с помощью KDT.

Значение должно соответствовать следующим правилам:

• Длина имени пользователя должна быть от 1 до 31 символов.
• Имя пользователя может содержать следующие символы:
  • нижний регистр (a-z);
  • числа (0–9);
  • нижнее подчеркивание (_), дефис (-).

   

password

Нет

Пароль для подключения к узлу, который может быть использован вместо SSH-ключа.

key

Да

Путь к закрытой части SSH-ключа находится на устройстве администратора и используется для подключения к узлу KDT.

Значение параметра должно быть Linux-путем к файлу или содержимым файла в кодировке Base64. Также значение должно совпадать со значением параметра ssh_pk.

Рекомендуется использовать SSH-ключ для установки соединения с узлом.

psql_dsn

Да

Строка подключения для доступа к СУБД, которая установлена и настроена вне кластера Kubernetes.

Укажите этот параметр следующим образом:

psql_dsn=postgres://<dbms_username>:<password>@<fqdn>:<port>

где:

• dbms_username – имя пользователя привилегированной внутренней учетной записи СУБД. Этой учетной записи предоставлены права на создание баз данных и других учетных записей СУБД. С использованием этой привилегированной учетной записи СУБД во время развертывания будут созданы базы данных и другие учетные записи СУБД, необходимые для работы компонентов Kaspersky EDR Expert.
• password – пароль привилегированной внутренней учетной записи СУБД.
• fqdn:port – полное имя домена и порт подключения целевого устройства, на котором установлена СУБД.

Чтобы использовать кластер высокой доступности, укажите этот параметр следующим образом:

psql_dsn=postgres://<dbms_username>:<password>@<fqdn1>:<port>,<fqdn2>:<port>,<fqdn3>:<port>

Чтобы использовать Corosync/Pacemaker, укажите этот параметр с виртуальным IP-адресом следующим образом:

psql_dsn=postgres://postgres:pass!@<virtual ip>:<port>

Значение параметра psql_dsn должно соответствовать URI-формату. Если URI-подключение включает специальные символы в любой из его частей, символы должны быть экранированы с помощью процентной кодировки.

Символы, которые требуется заменить в значении параметра psql_dsn:

• Пробел → %20
• % → %25
• & → %26
• / → %2F
• : → %3A
• = → %3D
• ? → %3F
• @ → %40
• [ → %5B
• ] → %5D

Дополнительную информацию см. в статье Строка подключения PostgreSQL.

Если задан параметр psql_dsn, компоненты Kaspersky EDR Expert используют СУБД, расположенную по указанному FQDN.

nwc-language

Да

Язык интерфейса Консоли OSMP, указанный по умолчанию. После установки вы можете изменить язык Консоли OSMP.

Возможные значения параметра:

• enUS (значение по умолчанию)
• ruRu

Если вы не укажете этот параметр в конфигурационном файле, будет использоваться значение по умолчанию.

ingress_ip

Да

Зарезервированный статический IPv4-адрес шлюза кластера Kubernetes.

Шлюз Kubernetes предназначен для подключения компонентов Kaspersky EDR Expert, установленных внутри кластера Kubernetes. Шлюз кластера должен быть включен в ту же подсеть, что и первичные рабочие узлы кластера.

ssh_pk

Да

Путь к закрытой части SSH-ключа, которая находится на устройстве администратора и используется для подключения к первичному рабочему узлу и к узлам с сервисами KUMA (коллекторам, корреляторам и хранилищам) с помощью утилиты KDT. Значение параметра должно быть Linux-путем к файлу или содержимым файла в кодировке Base64. Также значение должно совпадать со значением параметра key.

admin_password

Да

Параметр admin_password задает пароль Kaspersky EDR Expert, который будет создан утилитой KDT при установке. Имя пользователя по умолчанию для этой учетной записи – "admin".

Этой учетной записи пользователя назначена роль Главного администратора.

Пароль должен соответствовать следующим правилам:

• Пароль пользователя не может содержать менее 8 или более 256 символов.
• Пароль должен содержать символы как минимум трех групп из списка ниже:
  • верхний регистр (A–Z);
  • нижний регистр (a-z);
  • числа (0–9);
  • специальные символы (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;).
• Пароль не должен содержать пробелов или комбинации ".@".

Когда вы указываете значение параметра admin_password вручную (не с помощью мастера настройки), убедитесь, что это значение соответствует требованиям стандарта YAML для значений в строках:

• Значение параметра, содержащего специальные символы, должно быть заключено в одинарные кавычки.
• Любая одинарная кавычка ' внутри значения параметра должна быть удвоена, чтобы избежать этой одинарной кавычки.

Пример: пароль учетной записи пользователя Any_pass%1234'5678"90 для параметра admin_password должен быть указан как 'Any_pass%1234''5678"90'.

low_resources

Нет

Параметр, указывающий на то, что приложение Kaspersky EDR Expert установлено на целевом устройстве с ограниченными вычислительными ресурсами. В случае развертывания на нескольких узлах установите для параметра low_resources значение false.

Возможные значения параметра:

• true – установка с ограниченными вычислительными ресурсами (для развертывания на одном узле).
• false – стандартная установка (значение по умолчанию).

   

core_disk_request

Да

Параметр, который указывает объем дискового пространства для работы Ядра KUMA.

Если вы не укажете параметр core_disk_request, а для параметра low_resources установлено значение false или ничего не указано, для работы Ядра KUMA будет выделен объем дискового пространства 100 ГБ по умолчанию.

Если вы не укажете параметр core_disk_request, а для параметра low_resources установлено значение true, для работы Ядра KUMA будет выделен объем дискового пространства 4 ГБ по умолчанию.

Вы можете изменить параметр core_disk_request позже, после развертывания приложения.

metrics_disk_request

Да

Параметр, задающий объем дискового пространства для работы сервиса Метрики.

Если параметр metrics_disk_request не задан, а для параметра low_resources установлено значение false или не установлено значение, для работы сервиса Метрики будет выделен объем дискового пространства 80 ГБ по умолчанию.

Если параметр metrics_disk_request не задан, а для параметра low_resources установлено значение true, для работы сервиса Метрики будет выделен объем дискового пространства 4 ГБ по умолчанию.

Вы можете изменить параметр metrics_disk_request позже, после развертывания приложения.

inventory

Да

Путь к файлу инвентаря KUMA, находящемуся на устройстве администратора. Файл инвентаря содержит параметры установки для развертывания сервисов KUMA, не входящих в кластер Kubernetes. Значение параметра должно быть Linux-путем к файлу или содержимым файла в кодировке Base64. Если все сервисы KUMA будут установлены внутри кластера, для параметра inventory требуется установить значение /dev/null.

host_inventory

Нет

Путь к файлу инвентаря KUMA, находящемуся на устройстве администратора. Этот файл содержит параметры установки, используемые для частичного добавления или удаления устройств с сервисами KUMA. Значение параметра должно быть Linux-путем к файлу или содержимым файла в кодировке Base64.

Если выполняется первоначальное развертывание Kaspersky EDR Expert или запускается пользовательское действие, для которого требуется конфигурационный файл, оставьте значение параметра по умолчанию (/dev/null).

license

Да

Путь к лицензионному ключу Ядра KUMA. Значение параметра должно быть Linux-путем к файлу или содержимым файла в кодировке Base64.

nwc_host

flow_host

hydra_host

login_host

ksc_host

console_host

api_host

kuma_host

monitoring_host

Да

Имя устройства, которое используется в FQDN публичных служб Kaspersky EDR Expert. Имя устройства службы и доменное имя (значение параметра smp_domain) являются частью FQDN-службы.

Если пользовательские имена устройств не указаны, используются следующие имена устройств по умолчанию:

• nwc_host – "console"
• flow_host – "console"
• hydra_host – "console"
• login_host – "console"
• ksc_host—"admsrv"
• console_host – "console"
• api_host – "api"
• kuma_host – "kuma"
• monitoring_host – "monitoring"

smp_domain

Да

Имя домена, которое используется в FQDN публичных служб Kaspersky EDR Expert. Значение параметра должно соответствовать требованиям назначения имен доменов второго уровня.

Имя устройства службы и доменное имя являются частью FQDN-службы. Например, если значение переменной console_host равно console, а значение переменной smp_domain равно smp.local, тогда полное имя службы, предоставляющей доступ к Консоли OSMP, принимает значение console.smp.local.

pki_host_list

Да

Список имен устройств публичных служб Kaspersky EDR Expert, для которых требуется сформировать самоподписанный или пользовательский сертификат. Значение параметра должно быть списком имен устройств разделенных пробелами.

intermediate_enabled

Нет

Параметр, задающий использование пользовательского промежуточного сертификата вместо самоподписанных сертификатов для публичных служб Kaspersky EDR Expert.

Возможные значения параметра:

• true – использовать пользовательский промежуточный сертификат (значение по умолчанию).
• false – использовать самоподписанные сертификаты.

   

intermediate_bundle

Нет

Путь к пользовательскому промежуточному сертификату, используемому для работы с публичными службами Kaspersky EDR Expert. Укажите этот параметр, если для параметра intermediate_enabled указано значение true. Значение параметра должно быть Linux-путем к файлу или содержимым файла в кодировке Base64. Максимальный срок действия пользовательского промежуточного сертификата должен быть 399 дней или больше.

admsrv_bundle

api_bundle

console_bundle

kuma_bundle

monitoring_bundle

Нет

Пути к пользовательским конечным сертификатам, которые используются для работы с соответствующими публичными службами Kaspersky EDR Expert: <admsrv_host>.<smp_domain>, <api_host>.<smp_domain>, <kuma_host>.<smp_domain>, <monitoring_host>.<smp_domain> и <console_host>.<smp_domain>. Значения параметров должны быть Linux-путем к файлу или содержимым файла в кодировке Base64.

Если вы хотите указать конечные пользовательские сертификаты, установите для параметра intermediate_enabled значение false и не указывайте параметры intermediate_bundle и pki_host_list.

encrypt_secret

sign_secret

Да

Имена секретных файлов, которые хранятся в кластере Kubernetes. Эти имена содержат имя домена, которое должно совпадать со значением параметра smp_domain.

ksc_state_size

Да

Объем свободного места на диске, выделенный для хранения данных Сервера администрирования (обновлений, инсталляционных пакетов и других внутренних служебных данных). Измеряется в гигабайтах, указывается как "<объем>Gi". Требуемый объем свободного места на диске зависит от количества управляемых устройств и других параметров и может быть рассчитан.

Значение по умолчанию – 30 ГБ. Если вы не укажете этот параметр в конфигурационном файле, будет использоваться это значение.

prometheus_size

Да

Объем свободного дискового пространства, выделенного для хранения метрик. Измеряется в гигабайтах, указывается как "<объем>GB".

Минимальное рекомендуемое значение и значение по умолчанию – 5 ГБ. Если вы не укажете этот параметр в конфигурационном файле, будет использоваться значение по умолчанию.

grafana_admin_user

Нет

Имя учетной записи пользователя, используемой для просмотра метрик OSMP с помощью инструмента Grafana.

Значение должно соответствовать следующим правилам:

• Длина имени пользователя должна быть от 1 до 30 символов.
• Имя пользователя может содержать следующие символы:
  • нижний регистр (a-z);
  • числа (0–9);
  • специальные символы (_ - .)
• Имя пользователя должно начинаться с буквы.
• Имя пользователя не должно содержать пробелов или символа "@".

   

grafana_admin_password

Нет

Пароль от учетной записи, используемой для просмотра метрик OSMP с помощью инструмента Grafana.

Пароль должен соответствовать следующим правилам:

• Пароль пользователя не может содержать менее 8 или более 256 символов.
• Пароль должен содержать символы как минимум трех групп из списка ниже:
  • верхний регистр (A–Z);
  • нижний регистр (a-z);
  • числа (0–9);
  • специальные символы (@ # $ % ^ & * - _ ! + = [ ] { } | : ' , . ? / \ ` ~ " ( ) ;).
• Пароль не должен содержать пробелы или сочетания символов ".@".

   

loki_size

Да

Объем свободного дискового пространства, выделенного для хранения журналов событий OSMP. Измеряется в гигабайтах, указывается как "<объем>Gi".

Минимальное рекомендуемое значение и значение по умолчанию – 20 ГБ. Если вы не укажете этот параметр в конфигурационном файле, будет использоваться значение по умолчанию.

loki_retention_period

Да

Период хранения журналов событий OSMP, по истечении которого журналы событий автоматически удаляются. По умолчанию указано значение 72 часа (в конфигурационном файле установите значение параметра – "<time in hours>h". Например, "72h"). Если вы не укажете этот параметр в конфигурационном файле, будет использоваться значение по умолчанию.

file_storage_cp

Нет

Количество свободного дискового пространства, выделенного для хранения данных компонента для работы с действиями по реагированию. Измеряется в гигабайтах, указывается как "<объем>Gi". Минимальное рекомендуемое значение – 20 ГБ.

psql_tls_off

Нет

Параметр, включающий шифрование трафика между компонентами Kaspersky EDR Expert и СУБД по протоколу TLS. Если СУБД установлена за пределами кластера, шифрование TLS выключено по умолчанию (значение по умолчанию true).

Возможные значения параметра:

• true – трафик не шифруется (значение по умолчанию).
• false – трафик шифруется.

   

psql_trusted_cas

Нет

Путь к PEM-файлу, который может содержать TLS-сертификат сервера СУБД или корневой сертификат, из которого может быть выдан сертификат TLS-сервера. Значение параметра должно быть Linux-путем к файлу или содержимым файла в кодировке Base64.

Укажите параметр psql_trusted_cas, если СУБД будет установлена и настроена на отдельном сервере и если включено шифрование трафика (для параметра psql_tls_off указано значение false).

proxy_enabled

Нет

Параметр, включающий или выключающий использование прокси-сервера для подключения компонентов Kaspersky EDR Expert к интернету. Если у устройства, на котором установлен Kaspersky EDR Expert, есть доступ в интернет, также можно предоставить доступ в интернет для работы компонентов Kaspersky EDR Expert (например, Сервера администрирования) и для определенных интеграций – как с решениями "Лаборатории Касперского", так и со сторонними решениями. Для установки прокси-соединения также необходимо указать параметры прокси-сервера в свойствах Сервера администрирования.

Возможные значения параметра:

• true – использовать прокси-сервер.
• false – не использовать прокси-сервер (значение по умолчанию).

proxy_addresses

Нет

IP-адрес прокси-сервера. Если прокси-сервер использует несколько IP-адресов, укажите эти адреса через пробел (например, "0.0.0.0 0.0.0.1 0.0.0.2"). Укажите этот параметр, если для параметра proxy_enabled указано значение true.

proxy_port

Нет

Номер порта, через который будет установлено прокси-подключение. Укажите этот параметр, если для параметра proxy_enabled указано значение true.

trace_level

Нет

Уровень детализации файлов трассировки Сервера администрирования. Трассировка записывается во время работы Сервера администрирования.

Значение по умолчанию – 0, трассировка не записывается.

Возможные значения параметра: 0–5.

Чем выше значение параметра, тем более подробная информация о трассировке записывается.

ansible_extra_flags

Нет

Уровень детальности журнала событий развертывания Ядра KUMA и сервисов KUMA, которое выполняется KDT.

Возможные значения параметра:

• -v
• -vv
• -vvv
• -vvvv

По мере увеличения количества букв "v" в флаге, журналы событий становятся более детальными. Если этот параметр не указан в конфигурационном файле, сохраняются стандартные журналы событий установки компонентов.

incident_attachments_max_count_limit

Нет

Количество файлов, которые вы можете прикрепить к инциденту. По умолчанию указано значение 100.

incident_attachments_max_size_limit

Нет

Общий размер файлов, прикрепленных к инциденту. Измеряется в байтах. Единицы измерения не отображаются. По умолчанию указано значение 26214400.

ignore_precheck

Нет

Параметр, указывающий, следует ли проверить аппаратное и программное обеспечение, а также конфигурацию сети узлов кластера Kubernetes на соответствие требованиям, необходимым для установки решения перед развертыванием.

Возможные значения параметра:

• true – пропустить предварительные проверки.
• false – выполнить предварительные проверки (значение по умолчанию).