сервис deckhouse

Иконка

See merge request common/lk-beecloud/beecloud-docs!17

src/.vitepress/config.mts

@@ -293,7 +293,18 @@ export default defineConfig({
           {text: 'Веб-интерфейс Grafana', link: '/PaaS/PostgreSQL/grafana.md'},
         ],
       },  
-      {text: 'Параметры конфигурации IPSEC', link: '/PaaS/IPSEC.md'},
+      {text: 'IPSEC', link: '/PaaS/IPSEC.md'},
+      
+      {
+        text: 'Deckhouse', link: 'PaaS/Deckhouse/index.md',
+        collapsed: true,
+        items: [
+          {text: 'Обзор сервиса', link: '/PaaS/Deckhouse/about.md'},
+          {text: 'Права и возможности пользователей', link: '/PaaS/Deckhouse/user-permissions.md'},
+          {text: 'Описание технических параметров', link: '/PaaS/Deckhouse/technical-parameters.md'},
+          {text: 'Подключение к сервису', link: '/PaaS/Deckhouse/connection.md'}
+        ]
+      }
     ],
 
     //  '/billing/': [

src/PaaS/Deckhouse/about.md

@@ -0,0 +1,107 @@
+# Cloud Deckhouse Kubernetes
+
+## Назначение сервиса
+
+**Cloud Deckhouse Kubernetes** — это управляемый облачный сервис на базе платформы оркестрации контейнеров Kubernetes.
+
+Сервис автоматизирует настройку:
+- серверов;
+- сети;
+- балансировщиков нагрузки;
+- механизмов отказоустойчивости.
+
+Пользователю не нужно самостоятельно управлять инфраструктурой — кластер работает «из коробки».
+
+> **Kubernetes** - это платформа для оркестрации контейнеров, которая автоматизирует развертывание, масштабирование и управление приложениями.
+
+## Автоматизация сервис
+
+**Cloud Deckhouse Kubernetes** самостоятельно выполняет следующие операции:
+
+| Операция                     | Описание                                              |
+|------------------------------|-------------------------------------------------------|
+| Управление ролями узлов      | Назначает узлам роли master, frontend, system, worker |
+| Мониторинг компонентов       | Отслеживает состояние всех частей платформы           |
+| Восстановление после отказов | Автоматически перезапускает отказавшие узлы и поды    |
+
+## Архитектура и компоненты
+
+Для стабильной работы сервиса используются три ключевых компонента:
+
+- **Deckhouse** — платформа управления. Устанавливает, обновляет и настраивает кластер.
+- **etcd** — распределенное хранилище. Сохраняет состояние кластера и данные конфигурации.
+- **Балансировщики нагрузки** — единая точка входа. Направляют трафик к работающим приложениям.
+
+## Доступ к приложениям
+
+Подключение к приложениям внутри кластера выполняется через единую точку доступа. Подключаться к отдельным узлам не требуется.
+
+## Управление и мониторинг
+
+| Задача                                          | Инструмент            |
+|-------------------------------------------------|-----------------------|
+| Управление кластером и развертывание приложений | Веб-интерфейс Console |
+| Мониторинг состояния системы                    | Grafana               |
+
+## Отказоустойчивость
+
+Кластер поставляется в отказоустойчивой архитектуре, которая обеспечивает:
+
+- высокую доступность плоскости управления (control plane);  
+- автоматическое восстановление узлов при отказах.
+
+### Типы узлов кластера
+
+Кластер состоит из следующих типов виртуальных серверов:
+
+| Тип виртуального сервера        | Количество узлов | Назначение           |
+| ------------------------------- | ---------------- | -------------------- |
+| **Master-узлы (control plane)** | 3                | Обязательные узлы. На них работают управляющие компоненты кластера: API server, etcd, controller manager, scheduler. |
+| **System-узлы**                 | 2                | Служебные узлы. На них размещаются внутренние компоненты платформы Deckhouse, системы мониторинга (Prometheus, Grafana), логирования и другие вспомогательные сервисы, обеспечивающие работу кластера. |
+| **Frontend-узлы**               | 2                | Узлы, предназначенные для обработки входящего трафика. На них работают Ingress-контроллеры и балансировщики нагрузки, которые принимают запросы из внешней сети и распределяют их между приложениями, запущенными на worker-узлах. |
+| **Worker-узлы**                 | от 1 и более     | Узлы, на которых непосредственно выполняются пользовательские приложения в контейнерах. Именно здесь размещаются поды с сервисами и прикладными компонентами. |
+
+::: info Примечание
+По умолчанию кластер работает в высокодоступном режиме. Выход из строя одного или двух master-узлов не приводит к потере управления кластером.
+:::
+
+::: warning Важно
+Для тестовых сред возможна **одноузловая конфигурация control plane**. В этом случае отказ master-узла сделает кластер неуправляемым.
+:::
+
+## Доступ к кластеру
+
+Прямой доступ к серверам кластера (по SSH) не предоставляется.
+
+Управление приложениями и ресурсами кластера возможно через:  
+
+- **kubectl** — командная строка;
+- **веб-интерфейс Console**;
+- **API Kubernetes**.
+
+## Возможности сервиса
+
+**Cloud Deckhouse Kubernetes** предоставляет возможности, позволяющие использовать Kubernetes без самостоятельного администрирования инфраструктуры.
+
+Сервис обеспечивает:
+
+- автоматическое управление кластером (установка, обновление, настройка);  
+- высокую доступность control plane;  
+- единую точку входа в приложения;  
+- автоматическое восстановление при отказах;  
+- веб-доступ к управлению кластером и мониторингу;  
+- совместимость со стандартными инструментами (**kubectl**);  
+- автоматическое масштабирование приложений;  
+- блочные и сетевые хранилища для данных приложений (Persistent Volume).
+
+## Сценарии использования
+
+Сервис подходит для систем, где требуется надежная оркестрация контейнеров и упрощённое управление инфраструктурой.
+
+Примеры использования:
+
+- размещение production-приложений в контейнерах с высокими требованиями к доступности;  
+- микросервисная архитектура с единой точкой управления кластером;  
+- работа stateful-приложений (базы данных, очереди) с сохранением состояния;  
+- быстрое развёртывание Kubernetes-кластера без ручной настройки сети, хранилищ и мониторинга;  
+- администрирование через веб-интерфейс без прямого доступа к серверам.

src/PaaS/Deckhouse/connection.md

@@ -0,0 +1,238 @@
+# Подключение к сервису Deckhouse
+
+В данном разделе описаны способы подключения к кластеру **Cloud Deckhouse Kubernetes**. Рассматривается работа с кластером через веб-интерфейс **Console**, а также управление через командную строку с использованием утилиты **kubectl** после генерации **kubeconfig**.
+
+## Предварительные требования
+
+После предоставления доступа к **сервису Cloud Deckhouse Kubernetes** пользователь получает возможность управлять кластером через веб-интерфейс **Console**.
+
+**Console** - это встроенный веб-интерфейс платформы Deckhouse, предназначенный для упрощения взаимодействия с Kubernetes-кластером.
+
+Он позволяет выполнять большинство операций, доступных в командной строке через **kubectl**, в визуальном режиме:
+- мониторинг состояния кластера;
+- управление узлами и модулями;
+- настройку безопасности и сети.
+
+## Вход в Console
+
+1. Откройте веб-браузер и перейдите по адресу, предоставленному для доступа к Console.
+
+::: info Примечание
+URL-адрес направляется пользователю на электронную почту при предоставлении доступа.
+:::
+
+2. На странице ввода учетных данных выполняется аутентификация при помощи логина и пароля;
+
+![Авторизация](images/authorization.png)
+
+3. После успешной аутентификации откроется главная страница веб-интерфейса Console.
+
+![Главная страница](images/home-page.png)
+
+## Основные разделы Console
+
+В левой боковой панели веб-интерфейса Console расположены основные разделы для управления кластером:
+
+| Раздел             | Назначение                                                                             |
+| ------------------ | -------------------------------------------------------------------------------------- |
+| **Deckhouse**      | Управление платформой Deckhouse: обзор, обновления, модули, глобальные настройки       |
+| **Проекты**        | Управление проектами, шаблонами проектов и namespace (пространствами имён)             |
+| **Узлы**           | Управление узлами кластера: группы узлов, конфигурации, классы машин, статические узлы |
+| **Конфигурация**   | Настройка Deschedulers и Priority Classes                                              |
+| **Доступ**         | Управление аутентификацией, сессиями пользователей, правами доступа (RBAC)             |
+| **Сеть**           | Настройка Egress-шлюзов, балансировки и управление сертификатами                       |
+| **Хранилище**      | Управление Persistent Volume, классами хранилищ и снимками томов                       |
+| **Безопасность**   | Настройка политик безопасности и операционных политик                                  |
+| **Мониторинг**     | Просмотр данных, дашбордов, активных алертов, настройка уведомлений и экспорт метрик   |
+| **Журналирование** | Управление отправкой и сбором логов                                                    |
+
+## Генерация kubeconfig через Console
+
+Помимо управления через веб-интерфейс, Console позволяет сгенерировать файл **kubeconfig** для доступа к кластеру через **kubectl**.
+
+1. На главной странице Console находится раздел «Инструменты» (Tools);  
+2. Необходимо выбрать пункт «Генератор kubeconfig» (Generate kubeconfig);  
+3. Нажимается кнопка генерации - система сгенерирует необходимые команды;  
+4. Далее, нужно скопировать и выполнить в терминале команды, которые сгенерированы для пользовательской учётной записи.
+
+::: info Примечание
+Сгенерированный **kubeconfig** уже содержит все необходимые параметры для подключения к API Kubernetes.
+:::
+
+## Примеры простейших команд kubectl
+
+После настройки **kubeconfig** управление кластером осуществляется через командную строку с помощью утилиты **kubectl**. Ниже приведены основные команды для начала работы.
+
+### Проверка подключения к кластеру
+
+```
+kubectl cluster-info
+```
+
+**Пример вывода:**
+
+```
+Kubernetes control plane is running at https://127.0.0.1:6445
+
+To further debug and diagnose cluster problems, use 'kubectl cluster-info dump'.
+```
+
+### Просмотр узлов кластера
+
+```
+kubectl get nodes
+```
+
+**Пример вывода:**
+
+```
+NAME                                STATUS   ROLES                  AGE   VERSION
+cloud-frontend-0                    Ready    frontend               12d   v1.32.10
+cloud-frontend-1                    Ready    frontend               12d   v1.32.10
+cloud-master-0                      Ready    control-plane,master   12d   v1.32.10
+cloud-master-1                      Ready    control-plane,master   12d   v1.32.10
+cloud-master-2                      Ready    control-plane,master   12d   v1.32.10
+cloud-system-0                      Ready    system                 12d   v1.32.10
+cloud-system-1                      Ready    system                 12d   v1.32.10
+cloud-worker-a374349e-zznfp-nkqr2   Ready    worker                 12d   v1.32.10
+cloud-worker-a374349e-zznfp-rdpdz   Ready    worker                 12d   v1.32.10
+```
+
+### Просмотр пространств имен
+
+```
+kubectl get namespaces
+```
+
+**Пример вывода:**
+
+```
+NAME                         STATUS   AGE
+d8-admission-policy-engine   Active   12d
+d8-cert-manager              Active   12d
+d8-chrony                    Active   12d
+d8-cloud-instance-manager    Active   12d
+d8-cloud-provider-vcd        Active   12d
+d8-cni-cilium                Active   12d
+d8-console                   Active   12d
+d8-dashboard                 Active   12d
+d8-descheduler               Active   12d
+d8-ingress-nginx             Active   12d
+d8-local-path-provisioner    Active   12d
+d8-log-shipper               Active   12d
+d8-metallb                   Active   12d
+d8-monitoring                Active   12d
+d8-multitenancy-manager      Active   12d
+d8-observability             Active   12d
+d8-operator-prometheus       Active   12d
+d8-pod-reloader              Active   12d
+d8-service-accounts          Active   12d
+d8-snapshot-controller       Active   12d
+d8-system                    Active   12d
+d8-upmeter                   Active   12d
+d8-user-authn                Active   12d
+default                      Active   12d
+kube-node-lease              Active   12d
+kube-public                  Active   12d
+kube-system                  Active   12d
+```
+
+### Просмотр подов в конкретном namespace
+
+```
+kubectl get pods -n d8-console
+```
+
+**Пример вывода:**
+
+```
+NAME                                         READY   STATUS    RESTARTS   AGE
+backend-546c7496f8-2nzx2                     1/1     Running   0          3d7h
+backend-546c7496f8-nxqf4                     1/1     Running   0          3d7h
+console-dex-authenticator-6b7d456445-7cg9p   2/2     Running   0          12d
+console-dex-authenticator-6b7d456445-ljjr8   2/2     Running   0          12d
+frontend-79cb59c94d-cf457                    1/1     Running   0          3d7h
+frontend-79cb59c94d-rvlzk                    1/1     Running   0          3d7h
+observability-gw-59c4fb6548-2lcqr            1/1     Running   0          3d7h
+observability-gw-59c4fb6548-9n6nb            1/1     Running   0          3d7h
+```
+
+### Просмотр логов пода
+
+```
+kubectl logs frontend-79cb59c94d-cf457 -n d8-console
+```
+
+### Просмотр сервисов
+
+```
+kubectl get services -n d8-console
+```
+
+**Пример вывода:**
+
+```
+NAME                        TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)             AGE
+backend                     ClusterIP   10.222.4.60      <none>        8999/TCP            12d
+console-dex-authenticator   ClusterIP   10.222.224.82    <none>        443/TCP             12d
+frontend                    ClusterIP   10.222.226.106   <none>        80/TCP              12d
+observability-gw            ClusterIP   None             <none>        3000/TCP,8443/TCP   12d
+```
+
+### Быстрое получение информации о ресурсах
+
+```
+kubectl get all -n d8-console
+```
+
+**Пример вывода:**
+
+```
+NAME                                             READY   STATUS    RESTARTS   AGE
+pod/backend-546c7496f8-2nzx2                     1/1     Running   0          3d7h
+pod/backend-546c7496f8-nxqf4                     1/1     Running   0          3d7h
+pod/console-dex-authenticator-6b7d456445-7cg9p   2/2     Running   0          12d
+pod/console-dex-authenticator-6b7d456445-ljjr8   2/2     Running   0          12d
+pod/frontend-79cb59c94d-cf457                    1/1     Running   0          3d7h
+pod/frontend-79cb59c94d-rvlzk                    1/1     Running   0          3d7h
+pod/observability-gw-59c4fb6548-2lcqr            1/1     Running   0          3d7h
+pod/observability-gw-59c4fb6548-9n6nb            1/1     Running   0          3d7h
+
+NAME                                TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)             AGE
+service/backend                     ClusterIP   10.222.4.60      <none>        8999/TCP            12d
+service/console-dex-authenticator   ClusterIP   10.222.224.82    <none>        443/TCP             12d
+service/frontend                    ClusterIP   10.222.226.106   <none>        80/TCP              12d
+service/observability-gw            ClusterIP   None             <none>        3000/TCP,8443/TCP   12d
+
+NAME                                        READY   UP-TO-DATE   AVAILABLE   AGE
+deployment.apps/backend                     2/2     2            2           12d
+deployment.apps/console-dex-authenticator   2/2     2            2           12d
+deployment.apps/frontend                    2/2     2            2           12d
+deployment.apps/observability-gw            2/2     2            2           12d
+
+NAME                                                   DESIRED   CURRENT   READY   AGE
+replicaset.apps/backend-546c7496f8                     2         2         2       3d7h
+replicaset.apps/backend-69d8c6bd68                     0         0         0       12d
+replicaset.apps/console-dex-authenticator-6b7d456445   2         2         2       12d
+replicaset.apps/console-dex-authenticator-74c97bf4d6   0         0         0       12d
+replicaset.apps/frontend-6b7ffb7bbd                    0         0         0       9d
+replicaset.apps/frontend-79cb59c94d                    2         2         2       3d7h
+replicaset.apps/frontend-79ccdfc56b                    0         0         0       12d
+replicaset.apps/observability-gw-574cdfdd87            0         0         0       12d
+replicaset.apps/observability-gw-59c4fb6548            2         2         2       3d7h
+
+
+```
+### Получение справки
+
+Для получение справки по любой команде используется  флаг **--help**:
+
+```
+kubectl get pods --help
+kubectl describe pod --help
+```
+### Просмотр подробной информации о конкретном ресурсе
+
+```
+kubectl describe pod <имя-пода> -n <namespace>
+```

src/PaaS/Deckhouse/index.md

@@ -0,0 +1,19 @@
+---
+section_links:
+    - title: Обзор сервиса
+      link: /PaaS/Deckhouse/about.md
+      description: Обзор сервиса
+    - title: Права и возможности пользователей
+      link: /PaaS/Deckhouse/user-permissions.md
+      description: Управление доступом и роли пользователей    
+    - title: Описание технических параметров
+      link: /PaaS/Deckhouse/technical-parameters.md
+      description: Параметры конфигурации сервиса Deckhouse
+    - title: Подключение к сервису Deckhouse
+      link: /PaaS/Deckhouse/connection.md
+      description: Подключение и работа с сервисом Deckhouse
+---
+
+# Cloud Deckhouse Kubernetes
+
+В данном разделе представлена документация по управлемому сервису **Cloud Deckhouse Kubernetes** платформы Beeline Cloud.

src/PaaS/Deckhouse/technical-parameters.md

@@ -0,0 +1,120 @@
+# Описание технических параметров
+
+Данный раздел содержит технические параметры **кластера Kubernetes** и порядок их первичной конфигурации.
+
+Настройка параметров выполняется администратором облачного провайдера на этапе развертывания сервиса. Пользователь не может изменять их самостоятельно (исключение — конфигурация worker-узлов).
+
+**Процедура согласования параметров:**
+
+1. Клиент передает менеджеру список требуемых параметров.
+2. Администратор выполняет настройку по согласованным требованиям.
+
+## Дисковое хранилище
+
+Производительность приложений в Kubernetes зависит от скорости чтения и записи данных на диск. Тип хранилища определяет:
+
+- **IOPS** (Input/Output Operations Per Second) — количество операций ввода-вывода в секунду;
+- **время отклика** (латентность).
+
+::: info Примечание
+Чем выше IOPS, тем быстрее работают базы данных и другие диско-интенсивные приложения.
+:::
+
+## Доступные типы хранилищ:
+
+| Тип       | Лимит IOPS         |
+| ---------- | ------------------ |
+| Fast SAS   | до 2 IOPS на 1 ГБ  |
+| SSD        | до 5 IOPS на 1 ГБ  |
+| Fast SSD   | до 10 IOPS на 1 ГБ |
+| Ultra NVMe | до 25 IOPS на 1 ГБ |
+
+::: warning Важно
+После выбора типа диска необходимо указать объем дискового хранилища, который будет выделен под данные приложений (Persistent Volumes). **Минимальный объем - 50 ГБ.**
+:::
+
+## Конфигурация вычислительных ресурсов
+
+Вычислительные мощности кластера включают:
+
+- процессорные ресурсы (vCPU);
+- оперативную память (RAM);
+- количество узлов.
+
+### Узлы в кластере
+
+Количество узлов определяет отказоустойчивость кластера и возможность распределять нагрузку между worker-узлами. 
+
+::: info Примечение
+Чем больше узлов, тем выше надежность и пропускная способность.
+:::
+
+#### 1. Master-узлы (control plane)
+
+Для обеспечения отказоустойчивости кластера **рекомендуется использовать не менее трех master-узлов**.
+
+| Количество узлов | Результат                                                                                     |
+|------------------|-----------------------------------------------------------------------------------------------|
+| 3 и более        | Обеспечивают кворум, безопасное обновление и отказоустойчивость. Большего числа не требуется. |
+| 2                | Недостаточно для кворума при отказе одного узла.                                              |
+| 1                | Отказ узла приводит к полному сбою кластера.                                                  |
+
+#### 2. System-узлы
+
+Предназначены для запуска модулей Deckhouse.
+
+**Рекомендация:** два узла. Это изолирует системные модули от пользовательских приложений.
+
+#### 3. Frontend-узлы
+
+Балансируют входящий трафик, на них работают Ingress-контроллеры.
+
+**Рекомендация:** более одного узла.
+
+**Требования к емкости:**
+
+| Количество узлов | Требование к каждому узлу                         |
+|------------------|---------------------------------------------------|
+| 2                | Должен выдержать 100% нагрузки при отказе второго |
+| 3                | Должен выдержать увеличение нагрузки в 1.5 раза   |
+
+#### 4. Worker-узлы
+
+На них выполняются пользовательские приложения.
+
+- **Рекомендация:** от 1 узла.
+- **Управление:** пользователь может увеличивать максимальное количество узлов самостоятельно.
+
+## Процессор (CPU)
+
+**Процессор** - это вычислительная мощность, выделяемая каждому узлу кластера. Количество vCPU определяет, насколько быстро приложения смогут:
+
+- обрабатывать запросы;  
+- выполнять сложные вычисления;  
+- обслуживать одновременные подключения.
+
+**Диапазон**: от 2 до 24 vCPU на один узел.
+
+## Оперативная память (RAM)
+
+**Оперативная память** - влияет на производительность приложений. Данные в RAM обрабатываются без обращения к диску.
+
+**Диапазон**: от 4 до 768 ГБ RAM на один узел.
+
+## Доступ в интернет
+
+При заказе сервиса выберите пропускную способность канала для доступа к кластеру из интернета.
+
+**Доступные скорости**:
+
+- 50 Мбит/с;  
+- 100 Мбит/с;  
+- 200 Мбит/с;  
+- 300 Мбит/с;  
+- 400 Мбит/с;  
+- 500 Мбит/с;  
+- 1000 Мбит/с (1 Гбит/с).
+
+::: info Примечание
+Для выбранного канала предоставляется **статический белый IP-адрес**.
+:::

src/PaaS/Deckhouse/user-permissions.md

@@ -0,0 +1,83 @@
+# Права и возможности пользователей
+
+При развертывании сервиса Cloud Deckhouse Kubernetes создается учетная запись с уровнем доступа **SuperAdmin**. Этот уровень предоставляет расширенные права на управление кластером Kubernetes.
+
+**SuperAdmin** получает полный контроль над своими приложениями и ресурсами в пределах выделенного кластера или пространства имен (namespace).
+
+## Ограничения доступа SuperAdmin
+
+SuperAdmin **не имеет доступа** к следующим компонентам:
+
+- инфраструктурный уровень (гипервизоры, физические серверы, сетевое оборудование);
+- управление компонентами платформы Deckhouse на уровне всего кластера;
+- master-узлы, system-узлы и frontend-узлы;
+- изменение конфигурации платформы Deckhouse и её глобальных модулей.
+
+## Доступные действия
+
+### Управление пространствами имен (Namespaces)
+
+SuperAdmin может управлять пространствами имен:
+
+- создавать новые namespace;
+- удалять namespace (все ресурсы внутри удаляются);
+- просматривать список всех namespace;
+- устанавливать метки (labels) и аннотации для namespace.
+
+### Управление рабочими нагрузками
+
+SuperAdmin имеет полный контроль над подами, развёртываниями и другими ресурсами приложений:
+
+- создавать, обновлять и удалять Deployment, StatefulSet, DaemonSet;
+- создавать, обновлять и удалять Pod;
+- просматривать логи подов (`kubectl logs`);
+- подключаться к выполняющемуся контейнеру (`kubectl exec`);
+- масштабировать развертывания (увеличивать или уменьшать количество реплик);
+- обновлять версии образов контейнеров;
+- удалять поды (в том числе принудительно);
+- просматривать события (events) в namespace.
+
+### Управление сетевым доступом (Services & Ingress)
+
+SuperAdmin может настраивать способы доступа к приложениям как внутри кластера, так и из внешней сети:
+
+SuperAdmin может настраивать способы доступа к приложениям внутри кластера и из внешней сети:
+
+- создавать, изменять и удалять Service (типы: ClusterIP, NodePort, LoadBalancer);
+- создавать, изменять и удалять Ingress-правила для маршрутизации входящего трафика;
+- настраивать порты и селекторы для сервисов;
+- просматривать список сервисов и их конечных точек (endpoints).
+
+### Управление хранилищем (Storage)
+
+SuperAdmin может создавать и использовать тома для хранения данных приложений:
+
+- создавать Persistent Volume Claim (PVC);
+- удалять PVC (освобождать дисковое пространство);
+- просматривать список PVC и их статусов;
+- использовать PVC в подах (монтировать тома).
+
+### Управление конфигурацией (ConfigMaps & Secrets)
+
+SuperAdmin может создавать и изменять конфигурационные данные и секреты для приложений:
+
+- создавать, изменять и удалять ConfigMap;
+- создавать, изменять и удалять Secrets (например, для хранения токенов, паролей или ключей);
+- монтировать ConfigMap и Secrets в поды в виде переменных окружения или файлов.
+
+### Мониторинг и наблюдаемость
+
+SuperAdmin имеет доступ к метрикам и логам своих приложений:
+
+- просматривать метрики приложений в Grafana;
+- просматривать логи через `kubectl logs` или интерфейс сбора логов (Loki);
+- просматривать дашборды с информацией о потреблении ресурсов (CPU, RAM, Storage) своими приложениями;
+- просматривать события Kubernetes (events) для диагностики проблем.
+
+### Управление доступом (RBAC)
+
+SuperAdmin может управлять правами других пользователей в рамках своего пространства имен:
+
+- создавать и удалять учетные записи (ServiceAccount);
+- назначать роли (Role, RoleBinding) другим пользователям в пределах своего namespace;
+- ограничивать доступ к отдельным ресурсам.

src/PaaS/index.md

@@ -3,10 +3,10 @@ section_links:
   - title: Cloud PostgreSQL
     link: /PaaS/PostgreSQL/PostgreSQL-index.md
     description: Обзор сервиса PostgreSQL
+  - title: Deckhouse
+    link: /PaaS/Deckhouse/index.md
+    description: Обзор сервиса Deckhouse Kubernetes
   - title: IPSEC
     link: /PaaS/IPSEC.md
     description: Параметры конфигурации IPSEC
-
 ---    
-
-# Начало работы в Cloud PostgreSQL

src/index.md

@@ -46,7 +46,7 @@ features:
     icon: headset_help
     link: /platform/support/support-overview
   - title: Юридические документы
-    icon: document
+    icon: handshake
     link: /legal/index
 
 services: