kubernetes/platform/components/oauth2-proxy/components/oauth2-proxy/values.yaml

   1 global:
   2   quayRepository: quay.io
   3
   4 # Force the target Kubernetes version (it uses Helm `.Capabilities` if not set).
   5 # This is especially useful for `helm template` as capabilities are always empty
   6 # due to the fact that it doesn't query an actual cluster
   7 kubeVersion:
   8
   9 # Oauth client configuration specifics
  10 config:
  11   # Add config annotations
  12   annotations: {}
  13   # OAuth client ID
  14   clientID: "XXXXXXX"
  15   # OAuth client secret
  16   clientSecret: "XXXXXXXX"
  17   # Create a new secret with the following command
  18   # openssl rand -base64 32 | head -c 32 | base64
  19   # Use an existing secret for OAuth2 credentials (see secret.yaml for required fields)
  20   # Example:
  21   # existingSecret: secret
  22   cookieSecret: "XXXXXXXXXXXXXXXX"
  23   # The name of the cookie that oauth2-proxy will create
  24   # If left empty, it will default to the release name
  25   cookieName: ""
  26   google: {}
  27     # adminEmail: xxxx
  28     # useApplicationDefaultCredentials: true
  29     # targetPrincipal: xxxx
  30     # serviceAccountJson: xxxx
  31     # Alternatively, use an existing secret (see google-secret.yaml for required fields)
  32     # Example:
  33     # existingSecret: google-secret
  34     # groups: []
  35     # Example:
  36     #  - group1@example.com
  37     #  - group2@example.com
  38   # Default configuration, to be overridden
  39   configFile: |-
  40     email_domains = [ "*" ]
  41     upstreams = [ "file:///dev/null" ]
  42   # Custom configuration file: oauth2_proxy.cfg
  43   # configFile: |-
  44   #   pass_basic_auth = false
  45   #   pass_access_token = true
  46   # Use an existing config map (see configmap.yaml for required fields)
  47   # Example:
  48   # existingConfig: config
  49
  50 alphaConfig:
  51   enabled: false
  52   # Add config annotations
  53   annotations: {}
  54   # Arbitrary configuration data to append to the server section
  55   serverConfigData: {}
  56   # Arbitrary configuration data to append to the metrics section
  57   metricsConfigData: {}
  58   # Arbitrary configuration data to append
  59   configData: {}
  60   # Use an existing config map (see configmap-alpha.yaml for required fields)
  61   existingConfig: ~
  62
  63 image:
  64   #repository: "quay.io/oauth2-proxy/oauth2-proxy"
  65   repository: "oauth2-proxy/oauth2-proxy"
  66   # appVersion is used by default
  67   tag: ""
  68   pullPolicy: "IfNotPresent"
  69
  70 # Optionally specify an array of imagePullSecrets.
  71 # Secrets must be manually created in the namespace.
  72 # ref: https://kubernetes.io/docs/concepts/containers/images/#specifying-imagepullsecrets-on-a-pod
  73 # imagePullSecrets:
  74   # - name: myRegistryKeySecretName
  75
  76 # Set a custom containerPort if required.
  77 # This will default to 4180 if this value is not set and the httpScheme set to http
  78 # This will default to 4443 if this value is not set and the httpScheme set to https
  79 # containerPort: 4180
  80
  81 extraArgs: {}
  82 extraEnv: []
  83
  84 # -- Custom labels to add into metadata
  85 customLabels: {}
  86
  87 # To authorize individual email addresses
  88 # That is part of extraArgs but since this needs special treatment we need to do a separate section
  89 authenticatedEmailsFile:
  90   enabled: false
  91   # Defines how the email addresses file will be projected, via a configmap or secret
  92   persistence: configmap
  93   # template is the name of the configmap what contains the email user list but has been configured without this chart.
  94   # It's a simpler way to maintain only one configmap (user list) instead changing it for each oauth2-proxy service.
  95   # Be aware the value name in the extern config map in data needs to be named to "restricted_user_access" or to the
  96   # provided value in restrictedUserAccessKey field.
  97   template: ""
  98   # The configmap/secret key under which the list of email access is stored
  99   # Defaults to "restricted_user_access" if not filled-in, but can be overridden to allow flexibility
 100   restrictedUserAccessKey: ""
 101   # One email per line
 102   # example:
 103   # restricted_access: |-
 104   #   name1@domain
 105   #   name2@domain
 106   # If you override the config with restricted_access it will configure a user list within this chart what takes care of the
 107   # config map resource.
 108   restricted_access: ""
 109   annotations: {}
 110   # helm.sh/resource-policy: keep
 111
 112 service:
 113   type: ClusterIP
 114   # when service.type is ClusterIP ...
 115   # clusterIP: 192.0.2.20
 116   # when service.type is LoadBalancer ...
 117   # loadBalancerIP: 198.51.100.40
 118   # loadBalancerSourceRanges: 203.0.113.0/24
 119   # when service.type is NodePort ...
 120   # nodePort: 80
 121   portNumber: 80
 122   # Protocol set on the service
 123   appProtocol: http
 124   annotations: {}
 125   # foo.io/bar: "true"
 126
 127 ## Create or use ServiceAccount
 128 serviceAccount:
 129   ## Specifies whether a ServiceAccount should be created
 130   enabled: true
 131   ## The name of the ServiceAccount to use.
 132   ## If not set and create is true, a name is generated using the fullname template
 133   name:
 134   automountServiceAccountToken: true
 135   annotations: {}
 136
 137 ingress:
 138   enabled: false
 139   # className: nginx
 140   path: /
 141   # Only used if API capabilities (networking.k8s.io/v1) allow it
 142   pathType: ImplementationSpecific
 143   # Used to create an Ingress record.
 144   # hosts:
 145     # - chart-example.local
 146   # Extra paths to prepend to every host configuration. This is useful when working with annotation based services.
 147   # Warning! The configuration is dependant on your current k8s API version capabilities (networking.k8s.io/v1)
 148   # extraPaths:
 149   # - path: /*
 150   #   pathType: ImplementationSpecific
 151   #   backend:
 152   #     service:
 153   #       name: ssl-redirect
 154   #       port:
 155   #         name: use-annotation
 156   # annotations:
 157   #   kubernetes.io/ingress.class: nginx
 158   #   kubernetes.io/tls-acme: "true"
 159   # tls:
 160     # Secrets must be manually created in the namespace.
 161     # - secretName: chart-example-tls
 162     #   hosts:
 163     #     - chart-example.local
 164
 165 resources: {}
 166   # limits:
 167   #   cpu: "100m"
 168   #   memory: "300Mi"
 169   # requests:
 170   #   cpu: "100m"
 171   #   memory: "300Mi"
 172
 173 extraVolumes: []
 174   # - name: ca-bundle-cert
 175   #   secret:
 176   #     secretName: <secret-name>
 177
 178 extraVolumeMounts: []
 179   # - mountPath: /etc/ssl/certs/
 180   #   name: ca-bundle-cert
 181
 182 # Additional containers to be added to the pod.
 183 extraContainers: []
 184   #  - name: my-sidecar
 185   #    image: nginx:latest
 186
 187 priorityClassName: ""
 188
 189 # Host aliases, useful when working "on premise" where (public) DNS resolver does not know about my hosts.
 190 hostAlias:
 191   enabled: false
 192   # ip: "10.xxx.xxx.xxx"
 193   # hostname: "auth.example.com"
 194
 195 # [TopologySpreadConstraints](https://kubernetes.io/docs/concepts/workloads/pods/pod-topology-spread-constraints/) configuration.
 196 # Ref: https://kubernetes.io/docs/reference/kubernetes-api/workload-resources/pod-v1/#scheduling
 197 # topologySpreadConstraints: []
 198
 199 # Affinity for pod assignment
 200 # Ref: https://kubernetes.io/docs/concepts/configuration/assign-pod-node/#affinity-and-anti-affinity
 201 # affinity: {}
 202
 203 # Tolerations for pod assignment
 204 # Ref: https://kubernetes.io/docs/concepts/configuration/taint-and-toleration/
 205 tolerations: []
 206
 207 # Node labels for pod assignment
 208 # Ref: https://kubernetes.io/docs/user-guide/node-selection/
 209 nodeSelector: {}
 210
 211 # Whether to use secrets instead of environment values for setting up OAUTH2_PROXY variables
 212 proxyVarsAsSecrets: true
 213
 214 # Configure Kubernetes liveness and readiness probes.
 215 # Ref: https://kubernetes.io/docs/tasks/configure-pod-container/configure-liveness-readiness-probes/
 216 # Disable both when deploying with Istio 1.0 mTLS. https://istio.io/help/faq/security/#k8s-health-checks
 217 livenessProbe:
 218   enabled: true
 219   initialDelaySeconds: 0
 220   timeoutSeconds: 1
 221
 222 readinessProbe:
 223   enabled: true
 224   initialDelaySeconds: 0
 225   timeoutSeconds: 5
 226   periodSeconds: 10
 227   successThreshold: 1
 228
 229 # Configure Kubernetes security context for container
 230 # Ref: https://kubernetes.io/docs/tasks/configure-pod-container/security-context/
 231 securityContext:
 232   enabled: false
 233   runAsNonRoot: true
 234   # allowPrivilegeEscalation: false
 235   # runAsUser: 2000
 236
 237 deploymentAnnotations: {}
 238 podAnnotations: {}
 239 podLabels: {}
 240 replicaCount: 1
 241 revisionHistoryLimit: 10
 242
 243 ## PodDisruptionBudget settings
 244 ## ref: https://kubernetes.io/docs/concepts/workloads/pods/disruptions/
 245 podDisruptionBudget:
 246   enabled: true
 247   minAvailable: 1
 248
 249 # Configure Kubernetes security context for pod
 250 # Ref: https://kubernetes.io/docs/tasks/configure-pod-container/security-context/
 251 podSecurityContext: {}
 252
 253 # whether to use http or https
 254 httpScheme: http
 255
 256 # Additionally authenticate against a htpasswd file. Entries must be created with "htpasswd -B" for bcrypt encryption.
 257 # Alternatively supply an existing secret which contains the required information.
 258 htpasswdFile:
 259   enabled: false
 260   existingSecret: ""
 261   entries: {}
 262   # One row for each user
 263   # example:
 264   # entries:
 265   #  - testuser:$2y$05$gY6dgXqjuzFhwdhsiFe7seM9q9Tile4Y3E.CBpAZJffkeiLaC21Gy
 266
 267 # Configure the session storage type, between cookie and redis
 268 sessionStorage:
 269   # Can be one of the supported session storage cookie|redis
 270   type: cookie
 271   redis:
 272     # Name of the Kubernetes secret containing the redis & redis sentinel password values (see also `sessionStorage.redis.passwordKey`)
 273     existingSecret: ""
 274     # Redis password value. Applicable for all Redis configurations. Taken from redis subchart secret if not set. `sessionStorage.redis.existingSecret` takes precedence
 275     password: ""
 276     # Key of the Kubernetes secret data containing the redis password value
 277     passwordKey: "redis-password"
 278     # Can be one of standalone|cluster|sentinel
 279     clientType: "standalone"
 280     standalone:
 281       # URL of redis standalone server for redis session storage (e.g. `redis://HOST[:PORT]`). Automatically generated if not set
 282       connectionUrl: ""
 283     cluster:
 284       # List of Redis cluster connection URLs (e.g. `["redis://127.0.0.1:8000", "redis://127.0.0.1:8000"]`)
 285       connectionUrls: []
 286     sentinel:
 287       # Name of the Kubernetes secret containing the redis sentinel password value (see also `sessionStorage.redis.sentinel.passwordKey`). Default: `sessionStorage.redis.existingSecret`
 288       existingSecret: ""
 289       # Redis sentinel password. Used only for sentinel connection; any redis node passwords need to use `sessionStorage.redis.password`
 290       password: ""
 291       # Key of the Kubernetes secret data containing the redis sentinel password value
 292       passwordKey: "redis-sentinel-password"
 293       # Redis sentinel master name
 294       masterName: ""
 295       # List of Redis sentinel connection URLs (e.g. `["redis://127.0.0.1:8000", "redis://127.0.0.1:8000"]`)
 296       connectionUrls: []
 297
 298 # Enables and configure the automatic deployment of the redis subchart
 299 redis:
 300   # provision an instance of the redis sub-chart
 301   enabled: false
 302   # Redis specific helm chart settings, please see:
 303   # https://github.com/bitnami/charts/tree/master/bitnami/redis#parameters
 304   # redisPort: 6379
 305   # cluster:
 306   #   enabled: false
 307   #   slaveCount: 1
 308
 309 # Enables apiVersion deprecation checks
 310 checkDeprecation: true
 311
 312 metrics:
 313   # Enable Prometheus metrics endpoint
 314   enabled: true
 315   # Serve Prometheus metrics on this port
 316   port: 44180
 317   # when service.type is NodePort ...
 318   # nodePort: 44180
 319   # Protocol set on the service for the metrics port
 320   service:
 321     appProtocol: http
 322   servicemonitor:
 323     # Enable Prometheus Operator ServiceMonitor
 324     enabled: false
 325     # Define the namespace where to deploy the ServiceMonitor resource
 326     namespace: ""
 327     # Prometheus Instance definition
 328     prometheusInstance: default
 329     # Prometheus scrape interval
 330     interval: 60s
 331     # Prometheus scrape timeout
 332     scrapeTimeout: 30s
 333     # Add custom labels to the ServiceMonitor resource
 334     labels: {}
 335
 336 # Extra K8s manifests to deploy
 337 extraObjects: []
 338   # - apiVersion: secrets-store.csi.x-k8s.io/v1
 339   #   kind: SecretProviderClass
 340   #   metadata:
 341   #     name: oauth2-proxy-secrets-store
 342   #   spec:
 343   #     provider: aws
 344   #     parameters:
 345   #       objects: |
 346   #         - objectName: "oauth2-proxy"
 347   #           objectType: "secretsmanager"
 348   #           jmesPath:
 349   #               - path: "client_id"
 350   #                 objectAlias: "client-id"
 351   #               - path: "client_secret"
 352   #                 objectAlias: "client-secret"
 353   #               - path: "cookie_secret"
 354   #                 objectAlias: "cookie-secret"
 355   #     secretObjects:
 356   #     - data:
 357   #       - key: client-id
 358   #         objectName: client-id
 359   #         - key: client-secret
 360   #           objectName: client-secret
 361   #         - key: cookie-secret
 362   #         objectName: cookie-secret
 363   #       secretName: oauth2-proxy-secrets-store
 364   #       type: Opaque