Merge branch '17245-slurm-install-docs'
[arvados.git] / lib / config / config.default.yml
1 # Copyright (C) The Arvados Authors. All rights reserved.
2 #
3 # SPDX-License-Identifier: AGPL-3.0
4
5 # Do not use this file for site configuration. Create
6 # /etc/arvados/config.yml instead.
7 #
8 # The order of precedence (highest to lowest):
9 # 1. Legacy component-specific config files (deprecated)
10 # 2. /etc/arvados/config.yml
11 # 3. config.default.yml
12
13 Clusters:
14   xxxxx:
15     # Token used internally by Arvados components to authenticate to
16     # one another. Use a string of at least 50 random alphanumerics.
17     SystemRootToken: ""
18
19     # Token to be included in all healthcheck requests. Disabled by default.
20     # Server expects request header of the format "Authorization: Bearer xxx"
21     ManagementToken: ""
22
23     Services:
24
25       # In each of the service sections below, the keys under
26       # InternalURLs are the endpoints where the service should be
27       # listening, and reachable from other hosts in the cluster.
28       SAMPLE:
29         InternalURLs:
30           "http://host1.example:12345": {}
31           "http://host2.example:12345":
32             # Rendezvous is normally empty/omitted. When changing the
33             # URL of a Keepstore service, Rendezvous should be set to
34             # the old URL (with trailing slash omitted) to preserve
35             # rendezvous ordering.
36             Rendezvous: ""
37           SAMPLE:
38             Rendezvous: ""
39         ExternalURL: "-"
40
41       RailsAPI:
42         InternalURLs: {}
43         ExternalURL: "-"
44       Controller:
45         InternalURLs: {}
46         ExternalURL: ""
47       Websocket:
48         InternalURLs: {}
49         ExternalURL: ""
50       Keepbalance:
51         InternalURLs: {}
52         ExternalURL: "-"
53       GitHTTP:
54         InternalURLs: {}
55         ExternalURL: ""
56       GitSSH:
57         InternalURLs: {}
58         ExternalURL: ""
59       DispatchCloud:
60         InternalURLs: {}
61         ExternalURL: "-"
62       SSO:
63         InternalURLs: {}
64         ExternalURL: ""
65       Keepproxy:
66         InternalURLs: {}
67         ExternalURL: ""
68       WebDAV:
69         InternalURLs: {}
70         # Base URL for Workbench inline preview.  If blank, use
71         # WebDAVDownload instead, and disable inline preview.
72         # If both are empty, downloading collections from workbench
73         # will be impossible.
74         #
75         # It is important to properly configure the download service
76         # to migitate cross-site-scripting (XSS) attacks.  A HTML page
77         # can be stored in collection.  If an attacker causes a victim
78         # to visit that page through Workbench, it will be rendered by
79         # the browser.  If all collections are served at the same
80         # domain, the browser will consider collections as coming from
81         # the same origin and having access to the same browsing data,
82         # enabling malicious Javascript on that page to access Arvados
83         # on behalf of the victim.
84         #
85         # This is mitigating by having separate domains for each
86         # collection, or limiting preview to circumstances where the
87         # collection is not accessed with the user's regular
88         # full-access token.
89         #
90         # Serve preview links using uuid or pdh in subdomain
91         # (requires wildcard DNS and TLS certificate)
92         #   https://*.collections.uuid_prefix.arvadosapi.com
93         #
94         # Serve preview links using uuid or pdh in main domain
95         # (requires wildcard DNS and TLS certificate)
96         #   https://*--collections.uuid_prefix.arvadosapi.com
97         #
98         # Serve preview links by setting uuid or pdh in the path.
99         # This configuration only allows previews of public data or
100         # collection-sharing links, because these use the anonymous
101         # user token or the token is already embedded in the URL.
102         # Other data must be handled as downloads via WebDAVDownload:
103         #   https://collections.uuid_prefix.arvadosapi.com
104         #
105         ExternalURL: ""
106
107       WebDAVDownload:
108         InternalURLs: {}
109         # Base URL for download links. If blank, serve links to WebDAV
110         # with disposition=attachment query param.  Unlike preview links,
111         # browsers do not render attachments, so there is no risk of XSS.
112         #
113         # If WebDAVDownload is blank, and WebDAV uses a
114         # single-origin form, then Workbench will show an error page
115         #
116         # Serve download links by setting uuid or pdh in the path:
117         #   https://download.uuid_prefix.arvadosapi.com
118         #
119         ExternalURL: ""
120
121       Keepstore:
122         InternalURLs: {}
123         ExternalURL: "-"
124       Composer:
125         InternalURLs: {}
126         ExternalURL: ""
127       WebShell:
128         InternalURLs: {}
129         # ShellInABox service endpoint URL for a given VM.  If empty, do not
130         # offer web shell logins.
131         #
132         # E.g., using a path-based proxy server to forward connections to shell hosts:
133         # https://webshell.uuid_prefix.arvadosapi.com
134         #
135         # E.g., using a name-based proxy server to forward connections to shell hosts:
136         # https://*.webshell.uuid_prefix.arvadosapi.com
137         ExternalURL: ""
138       Workbench1:
139         InternalURLs: {}
140         ExternalURL: ""
141       Workbench2:
142         InternalURLs: {}
143         ExternalURL: ""
144       Health:
145         InternalURLs: {}
146         ExternalURL: "-"
147
148     PostgreSQL:
149       # max concurrent connections per arvados server daemon
150       ConnectionPool: 32
151       Connection:
152         # All parameters here are passed to the PG client library in a connection string;
153         # see https://www.postgresql.org/docs/current/static/libpq-connect.html#LIBPQ-PARAMKEYWORDS
154         host: ""
155         port: ""
156         user: ""
157         password: ""
158         dbname: ""
159         SAMPLE: ""
160     API:
161       # Maximum size (in bytes) allowed for a single API request.  This
162       # limit is published in the discovery document for use by clients.
163       # Note: You must separately configure the upstream web server or
164       # proxy to actually enforce the desired maximum request size on the
165       # server side.
166       MaxRequestSize: 134217728
167
168       # Limit the number of bytes read from the database during an index
169       # request (by retrieving and returning fewer rows than would
170       # normally be returned in a single response).
171       # Note 1: This setting never reduces the number of returned rows to
172       # zero, no matter how big the first data row is.
173       # Note 2: Currently, this is only checked against a specific set of
174       # columns that tend to get large (collections.manifest_text,
175       # containers.mounts, workflows.definition). Other fields (e.g.,
176       # "properties" hashes) are not counted against this limit.
177       MaxIndexDatabaseRead: 134217728
178
179       # Maximum number of items to return when responding to a APIs that
180       # can return partial result sets using limit and offset parameters
181       # (e.g., *.index, groups.contents). If a request specifies a "limit"
182       # parameter higher than this value, this value is used instead.
183       MaxItemsPerResponse: 1000
184
185       # Maximum number of concurrent requests to accept in a single
186       # service process, or 0 for no limit.
187       MaxConcurrentRequests: 0
188
189       # Maximum number of 64MiB memory buffers per Keepstore server process, or
190       # 0 for no limit. When this limit is reached, up to
191       # (MaxConcurrentRequests - MaxKeepBlobBuffers) HTTP requests requiring
192       # buffers (like GET and PUT) will wait for buffer space to be released.
193       # Any HTTP requests beyond MaxConcurrentRequests will receive an
194       # immediate 503 response.
195       #
196       # MaxKeepBlobBuffers should be set such that (MaxKeepBlobBuffers * 64MiB
197       # * 1.1) fits comfortably in memory. On a host dedicated to running
198       # Keepstore, divide total memory by 88MiB to suggest a suitable value.
199       # For example, if grep MemTotal /proc/meminfo reports MemTotal: 7125440
200       # kB, compute 7125440 / (88 * 1024)=79 and configure MaxBuffers: 79
201       MaxKeepBlobBuffers: 128
202
203       # API methods to disable. Disabled methods are not listed in the
204       # discovery document, and respond 404 to all requests.
205       # Example: {"jobs.create":{}, "pipeline_instances.create": {}}
206       DisabledAPIs: {}
207
208       # Interval (seconds) between asynchronous permission view updates. Any
209       # permission-updating API called with the 'async' parameter schedules a an
210       # update on the permission view in the future, if not already scheduled.
211       AsyncPermissionsUpdateInterval: 20s
212
213       # Maximum number of concurrent outgoing requests to make while
214       # serving a single incoming multi-cluster (federated) request.
215       MaxRequestAmplification: 4
216
217       # Maximum wall clock time to spend handling an incoming request.
218       RequestTimeout: 5m
219
220       # Websocket will send a periodic empty event after 'SendTimeout'
221       # if there is no other activity to maintain the connection /
222       # detect dropped connections.
223       SendTimeout: 60s
224
225       WebsocketClientEventQueue: 64
226       WebsocketServerEventQueue: 4
227
228       # Timeout on requests to internal Keep services.
229       KeepServiceRequestTimeout: 15s
230
231     Users:
232       # Config parameters to automatically setup new users.  If enabled,
233       # this users will be able to self-activate.  Enable this if you want
234       # to run an open instance where anyone can create an account and use
235       # the system without requiring manual approval.
236       #
237       # The params AutoSetupNewUsersWith* are meaningful only when AutoSetupNewUsers is turned on.
238       # AutoSetupUsernameBlacklist is a list of usernames to be blacklisted for auto setup.
239       AutoSetupNewUsers: false
240       AutoSetupNewUsersWithVmUUID: ""
241       AutoSetupNewUsersWithRepository: false
242       AutoSetupUsernameBlacklist:
243         arvados: {}
244         git: {}
245         gitolite: {}
246         gitolite-admin: {}
247         root: {}
248         syslog: {}
249         SAMPLE: {}
250
251       # When NewUsersAreActive is set to true, new users will be active
252       # immediately.  This skips the "self-activate" step which enforces
253       # user agreements.  Should only be enabled for development.
254       NewUsersAreActive: false
255
256       # The e-mail address of the user you would like to become marked as an admin
257       # user on their first login.
258       AutoAdminUserWithEmail: ""
259
260       # If AutoAdminFirstUser is set to true, the first user to log in when no
261       # other admin users exist will automatically become an admin user.
262       AutoAdminFirstUser: false
263
264       # Email address to notify whenever a user creates a profile for the
265       # first time
266       UserProfileNotificationAddress: ""
267       AdminNotifierEmailFrom: arvados@example.com
268       EmailSubjectPrefix: "[ARVADOS] "
269       UserNotifierEmailFrom: arvados@example.com
270       NewUserNotificationRecipients: {}
271       NewInactiveUserNotificationRecipients: {}
272
273       # Set AnonymousUserToken to enable anonymous user access. Populate this
274       # field with a long random string. Then run "bundle exec
275       # ./script/get_anonymous_user_token.rb" in the directory where your API
276       # server is running to record the token in the database.
277       AnonymousUserToken: ""
278
279       # If a new user has an alternate email address (local@domain)
280       # with the domain given here, its local part becomes the new
281       # user's default username. Otherwise, the user's primary email
282       # address is used.
283       PreferDomainForUsername: ""
284
285       UserSetupMailText: |
286         <% if not @user.full_name.empty? -%>
287         <%= @user.full_name %>,
288         <% else -%>
289         Hi there,
290         <% end -%>
291
292         Your Arvados account has been set up.  You can log in at
293
294         <%= Rails.configuration.Services.Workbench1.ExternalURL %>
295
296         Thanks,
297         Your Arvados administrator.
298
299     AuditLogs:
300       # Time to keep audit logs, in seconds. (An audit log is a row added
301       # to the "logs" table in the PostgreSQL database each time an
302       # Arvados object is created, modified, or deleted.)
303       #
304       # Currently, websocket event notifications rely on audit logs, so
305       # this should not be set lower than 300 (5 minutes).
306       MaxAge: 336h
307
308       # Maximum number of log rows to delete in a single SQL transaction.
309       #
310       # If MaxDeleteBatch is 0, log entries will never be
311       # deleted by Arvados. Cleanup can be done by an external process
312       # without affecting any Arvados system processes, as long as very
313       # recent (<5 minutes old) logs are not deleted.
314       #
315       # 100000 is a reasonable batch size for most sites.
316       MaxDeleteBatch: 0
317
318       # Attributes to suppress in events and audit logs.  Notably,
319       # specifying {"manifest_text": {}} here typically makes the database
320       # smaller and faster.
321       #
322       # Warning: Using any non-empty value here can have undesirable side
323       # effects for any client or component that relies on event logs.
324       # Use at your own risk.
325       UnloggedAttributes: {}
326
327     SystemLogs:
328
329       # Logging threshold: panic, fatal, error, warn, info, debug, or
330       # trace
331       LogLevel: info
332
333       # Logging format: json or text
334       Format: json
335
336       # Maximum characters of (JSON-encoded) query parameters to include
337       # in each request log entry. When params exceed this size, they will
338       # be JSON-encoded, truncated to this size, and logged as
339       # params_truncated.
340       MaxRequestLogParamsSize: 2000
341
342     Collections:
343
344       # Enable access controls for data stored in Keep. This should
345       # always be set to true on a production cluster.
346       BlobSigning: true
347
348       # BlobSigningKey is a string of alphanumeric characters used to
349       # generate permission signatures for Keep locators. It must be
350       # identical to the permission key given to Keep. IMPORTANT: This
351       # is a site secret. It should be at least 50 characters.
352       #
353       # Modifying BlobSigningKey will invalidate all existing
354       # signatures, which can cause programs to fail (e.g., arv-put,
355       # arv-get, and Crunch jobs).  To avoid errors, rotate keys only
356       # when no such processes are running.
357       BlobSigningKey: ""
358
359       # Enable garbage collection of unreferenced blobs in Keep.
360       BlobTrash: true
361
362       # Time to leave unreferenced blobs in "trashed" state before
363       # deleting them, or 0 to skip the "trashed" state entirely and
364       # delete unreferenced blobs.
365       #
366       # If you use any Amazon S3 buckets as storage volumes, this
367       # must be at least 24h to avoid occasional data loss.
368       BlobTrashLifetime: 336h
369
370       # How often to check for (and delete) trashed blocks whose
371       # BlobTrashLifetime has expired.
372       BlobTrashCheckInterval: 24h
373
374       # Maximum number of concurrent "trash blob" and "delete trashed
375       # blob" operations conducted by a single keepstore process. Each
376       # of these can be set to 0 to disable the respective operation.
377       #
378       # If BlobTrashLifetime is zero, "trash" and "delete trash"
379       # happen at once, so only the lower of these two values is used.
380       BlobTrashConcurrency: 4
381       BlobDeleteConcurrency: 4
382
383       # Maximum number of concurrent "create additional replica of
384       # existing blob" operations conducted by a single keepstore
385       # process.
386       BlobReplicateConcurrency: 4
387
388       # Default replication level for collections. This is used when a
389       # collection's replication_desired attribute is nil.
390       DefaultReplication: 2
391
392       # BlobSigningTTL determines the minimum lifetime of transient
393       # data, i.e., blocks that are not referenced by
394       # collections. Unreferenced blocks exist for two reasons:
395       #
396       # 1) A data block must be written to a disk/cloud backend device
397       # before a collection can be created/updated with a reference to
398       # it.
399       #
400       # 2) Deleting or updating a collection can remove the last
401       # remaining reference to a data block.
402       #
403       # If BlobSigningTTL is too short, long-running
404       # processes/containers will fail when they take too long (a)
405       # between writing blocks and writing collections that reference
406       # them, or (b) between reading collections and reading the
407       # referenced blocks.
408       #
409       # If BlobSigningTTL is too long, data will still be stored long
410       # after the referring collections are deleted, and you will
411       # needlessly fill up disks or waste money on cloud storage.
412       #
413       # Modifying BlobSigningTTL invalidates existing signatures; see
414       # BlobSigningKey note above.
415       #
416       # The default is 2 weeks.
417       BlobSigningTTL: 336h
418
419       # When running keep-balance, this is the destination filename for
420       # the list of lost block hashes if there are any, one per line.
421       # Updated automically during each successful run.
422       BlobMissingReport: ""
423
424       # keep-balance operates periodically, i.e.: do a
425       # scan/balance operation, sleep, repeat.
426       #
427       # BalancePeriod determines the interval between start times of
428       # successive scan/balance operations. If a scan/balance operation
429       # takes longer than RunPeriod, the next one will follow it
430       # immediately.
431       #
432       # If SIGUSR1 is received during an idle period between operations,
433       # the next operation will start immediately.
434       BalancePeriod: 10m
435
436       # Limits the number of collections retrieved by keep-balance per
437       # API transaction. If this is zero, page size is
438       # determined by the API server's own page size limits (see
439       # API.MaxItemsPerResponse and API.MaxIndexDatabaseRead).
440       BalanceCollectionBatch: 0
441
442       # The size of keep-balance's internal queue of
443       # collections. Higher values use more memory and improve throughput
444       # by allowing keep-balance to fetch the next page of collections
445       # while the current page is still being processed. If this is zero
446       # or omitted, pages are processed serially.
447       BalanceCollectionBuffers: 1000
448
449       # Maximum time for a rebalancing run. This ensures keep-balance
450       # eventually gives up and retries if, for example, a network
451       # error causes a hung connection that is never closed by the
452       # OS. It should be long enough that it doesn't interrupt a
453       # long-running balancing operation.
454       BalanceTimeout: 6h
455
456       # Default lifetime for ephemeral collections: 2 weeks. This must not
457       # be less than BlobSigningTTL.
458       DefaultTrashLifetime: 336h
459
460       # Interval (seconds) between trash sweeps. During a trash sweep,
461       # collections are marked as trash if their trash_at time has
462       # arrived, and deleted if their delete_at time has arrived.
463       TrashSweepInterval: 60s
464
465       # If true, enable collection versioning.
466       # When a collection's preserve_version field is true or the current version
467       # is older than the amount of seconds defined on PreserveVersionIfIdle,
468       # a snapshot of the collection's previous state is created and linked to
469       # the current collection.
470       CollectionVersioning: false
471
472       #   0s = auto-create a new version on every update.
473       #  -1s = never auto-create new versions.
474       # > 0s = auto-create a new version when older than the specified number of seconds.
475       PreserveVersionIfIdle: -1s
476
477       # If non-empty, allow project and collection names to contain
478       # the "/" character (slash/stroke/solidus), and replace "/" with
479       # the given string in the filesystem hierarchy presented by
480       # WebDAV. Example values are "%2f" and "{slash}". Names that
481       # contain the substitution string itself may result in confusing
482       # behavior, so a value like "_" is not recommended.
483       #
484       # If the default empty value is used, the server will reject
485       # requests to create or rename a collection when the new name
486       # contains "/".
487       #
488       # If the value "/" is used, project and collection names
489       # containing "/" will be allowed, but they will not be
490       # accessible via WebDAV.
491       #
492       # Use of this feature is not recommended, if it can be avoided.
493       ForwardSlashNameSubstitution: ""
494
495       # Include "folder objects" in S3 ListObjects responses.
496       S3FolderObjects: true
497
498       # Managed collection properties. At creation time, if the client didn't
499       # provide the listed keys, they will be automatically populated following
500       # one of the following behaviors:
501       #
502       # * UUID of the user who owns the containing project.
503       #   responsible_person_uuid: {Function: original_owner, Protected: true}
504       #
505       # * Default concrete value.
506       #   foo_bar: {Value: baz, Protected: false}
507       #
508       # If Protected is true, only an admin user can modify its value.
509       ManagedProperties:
510         SAMPLE: {Function: original_owner, Protected: true}
511
512       # In "trust all content" mode, Workbench will redirect download
513       # requests to WebDAV preview link, even in the cases when
514       # WebDAV would have to expose XSS vulnerabilities in order to
515       # handle the redirect (see discussion on Services.WebDAV).
516       #
517       # This setting has no effect in the recommended configuration,
518       # where the WebDAV is configured to have a separate domain for
519       # every collection; in this case XSS protection is provided by
520       # browsers' same-origin policy.
521       #
522       # The default setting (false) is appropriate for a multi-user site.
523       TrustAllContent: false
524
525       # Cache parameters for WebDAV content serving:
526       # * TTL: Maximum time to cache manifests and permission checks.
527       # * UUIDTTL: Maximum time to cache collection state.
528       # * MaxBlockEntries: Maximum number of block cache entries.
529       # * MaxCollectionEntries: Maximum number of collection cache entries.
530       # * MaxCollectionBytes: Approximate memory limit for collection cache.
531       # * MaxPermissionEntries: Maximum number of permission cache entries.
532       # * MaxUUIDEntries: Maximum number of UUID cache entries.
533       WebDAVCache:
534         TTL: 300s
535         UUIDTTL: 5s
536         MaxBlockEntries:      4
537         MaxCollectionEntries: 1000
538         MaxCollectionBytes:   100000000
539         MaxPermissionEntries: 1000
540         MaxUUIDEntries:       1000
541
542     Login:
543       # One of the following mechanisms (SSO, Google, PAM, LDAP, or
544       # LoginCluster) should be enabled; see
545       # https://doc.arvados.org/install/setup-login.html
546
547       Google:
548         # Authenticate with Google.
549         Enable: false
550
551         # Use the Google Cloud console to enable the People API (APIs
552         # and Services > Enable APIs and services > Google People API
553         # > Enable), generate a Client ID and secret (APIs and
554         # Services > Credentials > Create credentials > OAuth client
555         # ID > Web application) and add your controller's /login URL
556         # (e.g., "https://zzzzz.example.com/login") as an authorized
557         # redirect URL.
558         #
559         # Incompatible with ForceLegacyAPI14. ProviderAppID must be
560         # blank.
561         ClientID: ""
562         ClientSecret: ""
563
564         # Allow users to log in to existing accounts using any verified
565         # email address listed by their Google account. If true, the
566         # Google People API must be enabled in order for Google login to
567         # work. If false, only the primary email address will be used.
568         AlternateEmailAddresses: true
569
570       OpenIDConnect:
571         # Authenticate with an OpenID Connect provider.
572         Enable: false
573
574         # Issuer URL, e.g., "https://login.example.com".
575         #
576         # This must be exactly equal to the URL returned by the issuer
577         # itself in its config response ("isser" key). If the
578         # configured value is "https://example" and the provider
579         # returns "https://example:443" or "https://example/" then
580         # login will fail, even though those URLs are equivalent
581         # (RFC3986).
582         Issuer: ""
583
584         # Your client ID and client secret (supplied by the provider).
585         ClientID: ""
586         ClientSecret: ""
587
588         # OpenID claim field containing the user's email
589         # address. Normally "email"; see
590         # https://openid.net/specs/openid-connect-core-1_0.html#StandardClaims
591         EmailClaim: "email"
592
593         # OpenID claim field containing the email verification
594         # flag. Normally "email_verified".  To accept every returned
595         # email address without checking a "verified" field at all,
596         # use the empty string "".
597         EmailVerifiedClaim: "email_verified"
598
599         # OpenID claim field containing the user's preferred
600         # username. If empty, use the mailbox part of the user's email
601         # address.
602         UsernameClaim: ""
603
604       PAM:
605         # (Experimental) Use PAM to authenticate users.
606         Enable: false
607
608         # PAM service name. PAM will apply the policy in the
609         # corresponding config file (e.g., /etc/pam.d/arvados) or, if
610         # there is none, the default "other" config.
611         Service: arvados
612
613         # Domain name (e.g., "example.com") to use to construct the
614         # user's email address if PAM authentication returns a
615         # username with no "@". If empty, use the PAM username as the
616         # user's email address, whether or not it contains "@".
617         #
618         # Note that the email address is used as the primary key for
619         # user records when logging in. Therefore, if you change
620         # PAMDefaultEmailDomain after the initial installation, you
621         # should also update existing user records to reflect the new
622         # domain. Otherwise, next time those users log in, they will
623         # be given new accounts instead of accessing their existing
624         # accounts.
625         DefaultEmailDomain: ""
626
627       LDAP:
628         # Use an LDAP service to authenticate users.
629         Enable: false
630
631         # Server URL, like "ldap://ldapserver.example.com:389" or
632         # "ldaps://ldapserver.example.com:636".
633         URL: "ldap://ldap:389"
634
635         # Use StartTLS upon connecting to the server.
636         StartTLS: true
637
638         # Skip TLS certificate name verification.
639         InsecureTLS: false
640
641         # Strip the @domain part if a user supplies an email-style
642         # username with this domain. If "*", strip any user-provided
643         # domain. If "", never strip the domain part. Example:
644         # "example.com"
645         StripDomain: ""
646
647         # If, after applying StripDomain, the username contains no "@"
648         # character, append this domain to form an email-style
649         # username. Example: "example.com"
650         AppendDomain: ""
651
652         # The LDAP attribute to filter on when looking up a username
653         # (after applying StripDomain and AppendDomain).
654         SearchAttribute: uid
655
656         # Bind with this username (DN or UPN) and password when
657         # looking up the user record.
658         #
659         # Example user: "cn=admin,dc=example,dc=com"
660         SearchBindUser: ""
661         SearchBindPassword: ""
662
663         # Directory base for username lookup. Example:
664         # "ou=Users,dc=example,dc=com"
665         SearchBase: ""
666
667         # Additional filters to apply when looking up users' LDAP
668         # entries. This can be used to restrict access to a subset of
669         # LDAP users, or to disambiguate users from other directory
670         # entries that have the SearchAttribute present.
671         #
672         # Special characters in assertion values must be escaped (see
673         # RFC4515).
674         #
675         # Example: "(objectClass=person)"
676         SearchFilters: ""
677
678         # LDAP attribute to use as the user's email address.
679         #
680         # Important: This must not be an attribute whose value can be
681         # edited in the directory by the users themselves. Otherwise,
682         # users can take over other users' Arvados accounts trivially
683         # (email address is the primary key for Arvados accounts.)
684         EmailAttribute: mail
685
686         # LDAP attribute to use as the preferred Arvados username. If
687         # no value is found (or this config is empty) the username
688         # originally supplied by the user will be used.
689         UsernameAttribute: uid
690
691       SSO:
692         # Authenticate with a separate SSO server. (Deprecated)
693         Enable: false
694
695         # ProviderAppID and ProviderAppSecret are generated during SSO
696         # setup; see
697         # https://doc.arvados.org/v2.0/install/install-sso.html#update-config
698         ProviderAppID: ""
699         ProviderAppSecret: ""
700
701       Test:
702         # Authenticate users listed here in the config file. This
703         # feature is intended to be used in test environments, and
704         # should not be used in production.
705         Enable: false
706         Users:
707           SAMPLE:
708             Email: alice@example.com
709             Password: xyzzy
710
711       # The cluster ID to delegate the user database.  When set,
712       # logins on this cluster will be redirected to the login cluster
713       # (login cluster must appear in RemoteClusters with Proxy: true)
714       LoginCluster: ""
715
716       # How long a cached token belonging to a remote cluster will
717       # remain valid before it needs to be revalidated.
718       RemoteTokenRefresh: 5m
719
720       # How long a client token created from a login flow will be valid without
721       # asking the user to re-login. Example values: 60m, 8h.
722       # Default value zero means tokens don't have expiration.
723       TokenLifetime: 0s
724
725       # When the token is returned to a client, the token itself may
726       # be restricted from manipulating other tokens based on whether
727       # the client is "trusted" or not.  The local Workbench1 and
728       # Workbench2 are trusted by default, but if this is a
729       # LoginCluster, you probably want to include the other Workbench
730       # instances in the federation in this list.
731       TrustedClients:
732         SAMPLE:
733           "https://workbench.federate1.example": {}
734           "https://workbench.federate2.example": {}
735
736     Git:
737       # Path to git or gitolite-shell executable. Each authenticated
738       # request will execute this program with the single argument "http-backend"
739       GitCommand: /usr/bin/git
740
741       # Path to Gitolite's home directory. If a non-empty path is given,
742       # the CGI environment will be set up to support the use of
743       # gitolite-shell as a GitCommand: for example, if GitoliteHome is
744       # "/gh", then the CGI environment will have GITOLITE_HTTP_HOME=/gh,
745       # PATH=$PATH:/gh/bin, and GL_BYPASS_ACCESS_CHECKS=1.
746       GitoliteHome: ""
747
748       # Git repositories must be readable by api server, or you won't be
749       # able to submit crunch jobs. To pass the test suites, put a clone
750       # of the arvados tree in {git_repositories_dir}/arvados.git or
751       # {git_repositories_dir}/arvados/.git
752       Repositories: /var/lib/arvados/git/repositories
753
754     TLS:
755       Certificate: ""
756       Key: ""
757       Insecure: false
758
759     Containers:
760       # List of supported Docker Registry image formats that compute nodes
761       # are able to use. `arv keep docker` will error out if a user tries
762       # to store an image with an unsupported format. Use an empty array
763       # to skip the compatibility check (and display a warning message to
764       # that effect).
765       #
766       # Example for sites running docker < 1.10: {"v1": {}}
767       # Example for sites running docker >= 1.10: {"v2": {}}
768       # Example for disabling check: {}
769       SupportedDockerImageFormats:
770         "v2": {}
771         SAMPLE: {}
772
773       # Include details about job reuse decisions in the server log. This
774       # causes additional database queries to run, so it should not be
775       # enabled unless you expect to examine the resulting logs for
776       # troubleshooting purposes.
777       LogReuseDecisions: false
778
779       # Default value for keep_cache_ram of a container's runtime_constraints.
780       DefaultKeepCacheRAM: 268435456
781
782       # Number of times a container can be unlocked before being
783       # automatically cancelled.
784       MaxDispatchAttempts: 5
785
786       # Default value for container_count_max for container requests.  This is the
787       # number of times Arvados will create a new container to satisfy a container
788       # request.  If a container is cancelled it will retry a new container if
789       # container_count < container_count_max on any container requests associated
790       # with the cancelled container.
791       MaxRetryAttempts: 3
792
793       # The maximum number of compute nodes that can be in use simultaneously
794       # If this limit is reduced, any existing nodes with slot number >= new limit
795       # will not be counted against the new limit. In other words, the new limit
796       # won't be strictly enforced until those nodes with higher slot numbers
797       # go down.
798       MaxComputeVMs: 64
799
800       # Preemptible instance support (e.g. AWS Spot Instances)
801       # When true, child containers will get created with the preemptible
802       # scheduling parameter parameter set.
803       UsePreemptibleInstances: false
804
805       # PEM encoded SSH key (RSA, DSA, or ECDSA) used by the
806       # (experimental) cloud dispatcher for executing containers on
807       # worker VMs. Begins with "-----BEGIN RSA PRIVATE KEY-----\n"
808       # and ends with "\n-----END RSA PRIVATE KEY-----\n".
809       DispatchPrivateKey: ""
810
811       # Maximum time to wait for workers to come up before abandoning
812       # stale locks from a previous dispatch process.
813       StaleLockTimeout: 1m
814
815       # The crunch-run command to manage the container on a node
816       CrunchRunCommand: "crunch-run"
817
818       # Extra arguments to add to crunch-run invocation
819       # Example: ["--cgroup-parent-subsystem=memory"]
820       CrunchRunArgumentsList: []
821
822       # Extra RAM to reserve on the node, in addition to
823       # the amount specified in the container's RuntimeConstraints
824       ReserveExtraRAM: 256MiB
825
826       # Minimum time between two attempts to run the same container
827       MinRetryPeriod: 0s
828
829       Logging:
830         # When you run the db:delete_old_container_logs task, it will find
831         # containers that have been finished for at least this many seconds,
832         # and delete their stdout, stderr, arv-mount, crunch-run, and
833         # crunchstat logs from the logs table.
834         MaxAge: 720h
835
836         # These two settings control how frequently log events are flushed to the
837         # database.  Log lines are buffered until either crunch_log_bytes_per_event
838         # has been reached or crunch_log_seconds_between_events has elapsed since
839         # the last flush.
840         LogBytesPerEvent: 4096
841         LogSecondsBetweenEvents: 5s
842
843         # The sample period for throttling logs.
844         LogThrottlePeriod: 60s
845
846         # Maximum number of bytes that job can log over crunch_log_throttle_period
847         # before being silenced until the end of the period.
848         LogThrottleBytes: 65536
849
850         # Maximum number of lines that job can log over crunch_log_throttle_period
851         # before being silenced until the end of the period.
852         LogThrottleLines: 1024
853
854         # Maximum bytes that may be logged by a single job.  Log bytes that are
855         # silenced by throttling are not counted against this total.
856         LimitLogBytesPerJob: 67108864
857
858         LogPartialLineThrottlePeriod: 5s
859
860         # Container logs are written to Keep and saved in a
861         # collection, which is updated periodically while the
862         # container runs.  This value sets the interval between
863         # collection updates.
864         LogUpdatePeriod: 30m
865
866         # The log collection is also updated when the specified amount of
867         # log data (given in bytes) is produced in less than one update
868         # period.
869         LogUpdateSize: 32MiB
870
871       SLURM:
872         PrioritySpread: 0
873         SbatchArgumentsList: []
874         SbatchEnvironmentVariables:
875           SAMPLE: ""
876         Managed:
877           # Path to dns server configuration directory
878           # (e.g. /etc/unbound.d/conf.d). If false, do not write any config
879           # files or touch restart.txt (see below).
880           DNSServerConfDir: ""
881
882           # Template file for the dns server host snippets. See
883           # unbound.template in this directory for an example. If false, do
884           # not write any config files.
885           DNSServerConfTemplate: ""
886
887           # String to write to {dns_server_conf_dir}/restart.txt (with a
888           # trailing newline) after updating local data. If false, do not
889           # open or write the restart.txt file.
890           DNSServerReloadCommand: ""
891
892           # Command to run after each DNS update. Template variables will be
893           # substituted; see the "unbound" example below. If false, do not run
894           # a command.
895           DNSServerUpdateCommand: ""
896
897           ComputeNodeDomain: ""
898           ComputeNodeNameservers:
899             "192.168.1.1": {}
900             SAMPLE: {}
901
902           # Hostname to assign to a compute node when it sends a "ping" and the
903           # hostname in its Node record is nil.
904           # During bootstrapping, the "ping" script is expected to notice the
905           # hostname given in the ping response, and update its unix hostname
906           # accordingly.
907           # If false, leave the hostname alone (this is appropriate if your compute
908           # nodes' hostnames are already assigned by some other mechanism).
909           #
910           # One way or another, the hostnames of your node records should agree
911           # with your DNS records and your /etc/slurm-llnl/slurm.conf files.
912           #
913           # Example for compute0000, compute0001, ....:
914           # assign_node_hostname: compute%<slot_number>04d
915           # (See http://ruby-doc.org/core-2.2.2/Kernel.html#method-i-format for more.)
916           AssignNodeHostname: "compute%<slot_number>d"
917
918       JobsAPI:
919         # Enable the legacy 'jobs' API (crunch v1).  This value must be a string.
920         #
921         # Note: this only enables read-only access, creating new
922         # legacy jobs and pipelines is not supported.
923         #
924         # 'auto' -- (default) enable the Jobs API only if it has been used before
925         #         (i.e., there are job records in the database)
926         # 'true' -- enable the Jobs API despite lack of existing records.
927         # 'false' -- disable the Jobs API despite presence of existing records.
928         Enable: 'auto'
929
930         # Git repositories must be readable by api server, or you won't be
931         # able to submit crunch jobs. To pass the test suites, put a clone
932         # of the arvados tree in {git_repositories_dir}/arvados.git or
933         # {git_repositories_dir}/arvados/.git
934         GitInternalDir: /var/lib/arvados/internal.git
935
936       CloudVMs:
937         # Enable the cloud scheduler (experimental).
938         Enable: false
939
940         # Name/number of port where workers' SSH services listen.
941         SSHPort: "22"
942
943         # Interval between queue polls.
944         PollInterval: 10s
945
946         # Shell command to execute on each worker to determine whether
947         # the worker is booted and ready to run containers. It should
948         # exit zero if the worker is ready.
949         BootProbeCommand: "docker ps -q"
950
951         # Minimum interval between consecutive probes to a single
952         # worker.
953         ProbeInterval: 10s
954
955         # Maximum probes per second, across all workers in a pool.
956         MaxProbesPerSecond: 10
957
958         # Time before repeating SIGTERM when killing a container.
959         TimeoutSignal: 5s
960
961         # Time to give up on a process (most likely arv-mount) that
962         # still holds a container lockfile after its main supervisor
963         # process has exited, and declare the instance broken.
964         TimeoutStaleRunLock: 5s
965
966         # Time to give up on SIGTERM and write off the worker.
967         TimeoutTERM: 2m
968
969         # Maximum create/destroy-instance operations per second (0 =
970         # unlimited).
971         MaxCloudOpsPerSecond: 0
972
973         # Maximum concurrent node creation operations (0 = unlimited). This is
974         # recommended by Azure in certain scenarios (see
975         # https://docs.microsoft.com/en-us/azure/virtual-machines/linux/capture-image)
976         # and can be used with other cloud providers too, if desired.
977         MaxConcurrentInstanceCreateOps: 0
978
979         # Interval between cloud provider syncs/updates ("list all
980         # instances").
981         SyncInterval: 1m
982
983         # Time to leave an idle worker running (in case new containers
984         # appear in the queue that it can run) before shutting it
985         # down.
986         TimeoutIdle: 1m
987
988         # Time to wait for a new worker to boot (i.e., pass
989         # BootProbeCommand) before giving up and shutting it down.
990         TimeoutBooting: 10m
991
992         # Maximum time a worker can stay alive with no successful
993         # probes before being automatically shut down.
994         TimeoutProbe: 10m
995
996         # Time after shutting down a worker to retry the
997         # shutdown/destroy operation.
998         TimeoutShutdown: 10s
999
1000         # Worker VM image ID.
1001         # (aws) AMI identifier
1002         # (azure) managed disks: the name of the managed disk image
1003         # (azure) shared image gallery: the name of the image definition. Also
1004         # see the SharedImageGalleryName and SharedImageGalleryImageVersion fields.
1005         # (azure) unmanaged disks (deprecated): the complete URI of the VHD, e.g.
1006         # https://xxxxx.blob.core.windows.net/system/Microsoft.Compute/Images/images/xxxxx.vhd
1007         ImageID: ""
1008
1009         # An executable file (located on the dispatcher host) to be
1010         # copied to cloud instances at runtime and used as the
1011         # container runner/supervisor. The default value is the
1012         # dispatcher program itself.
1013         #
1014         # Use the empty string to disable this step: nothing will be
1015         # copied, and cloud instances are assumed to have a suitable
1016         # version of crunch-run installed.
1017         DeployRunnerBinary: "/proc/self/exe"
1018
1019         # Tags to add on all resources (VMs, NICs, disks) created by
1020         # the container dispatcher. (Arvados's own tags --
1021         # InstanceType, IdleBehavior, and InstanceSecret -- will also
1022         # be added.)
1023         ResourceTags:
1024           SAMPLE: "tag value"
1025
1026         # Prefix for predefined tags used by Arvados (InstanceSetID,
1027         # InstanceType, InstanceSecret, IdleBehavior). With the
1028         # default value "Arvados", tags are "ArvadosInstanceSetID",
1029         # "ArvadosInstanceSecret", etc.
1030         #
1031         # This should only be changed while no cloud resources are in
1032         # use and the cloud dispatcher is not running. Otherwise,
1033         # VMs/resources that were added using the old tag prefix will
1034         # need to be detected and cleaned up manually.
1035         TagKeyPrefix: Arvados
1036
1037         # Cloud driver: "azure" (Microsoft Azure) or "ec2" (Amazon AWS).
1038         Driver: ec2
1039
1040         # Cloud-specific driver parameters.
1041         DriverParameters:
1042
1043           # (ec2) Credentials. Omit or leave blank if using IAM role.
1044           AccessKeyID: ""
1045           SecretAccessKey: ""
1046
1047           # (ec2) Instance configuration.
1048           SecurityGroupIDs:
1049             "SAMPLE": {}
1050           SubnetID: ""
1051           Region: ""
1052           EBSVolumeType: gp2
1053           AdminUsername: debian
1054
1055           # (azure) Credentials.
1056           SubscriptionID: ""
1057           ClientID: ""
1058           ClientSecret: ""
1059           TenantID: ""
1060
1061           # (azure) Instance configuration.
1062           CloudEnvironment: AzurePublicCloud
1063           Location: centralus
1064
1065           # (azure) The resource group where the VM and virtual NIC will be
1066           # created.
1067           ResourceGroup: ""
1068
1069           # (azure) The resource group of the Network to use for the virtual
1070           # NIC (if different from ResourceGroup)
1071           NetworkResourceGroup: ""
1072           Network: ""
1073           Subnet: ""
1074
1075           # (azure) managed disks: The resource group where the managed disk
1076           # image can be found (if different from ResourceGroup).
1077           ImageResourceGroup: ""
1078
1079           # (azure) shared image gallery: the name of the gallery
1080           SharedImageGalleryName: ""
1081           # (azure) shared image gallery: the version of the image definition
1082           SharedImageGalleryImageVersion: ""
1083
1084           # (azure) unmanaged disks (deprecated): Where to store the VM VHD blobs
1085           StorageAccount: ""
1086           BlobContainer: ""
1087
1088           # (azure) How long to wait before deleting VHD and NIC
1089           # objects that are no longer being used.
1090           DeleteDanglingResourcesAfter: 20s
1091
1092           # Account (that already exists in the VM image) that will be
1093           # set up with an ssh authorized key to allow the compute
1094           # dispatcher to connect.
1095           AdminUsername: arvados
1096
1097     InstanceTypes:
1098
1099       # Use the instance type name as the key (in place of "SAMPLE" in
1100       # this sample entry).
1101       SAMPLE:
1102         # Cloud provider's instance type. Defaults to the configured type name.
1103         ProviderType: ""
1104         VCPUs: 1
1105         RAM: 128MiB
1106         IncludedScratch: 16GB
1107         AddedScratch: 0
1108         Price: 0.1
1109         Preemptible: false
1110
1111     Volumes:
1112       SAMPLE:
1113         # AccessViaHosts specifies which keepstore processes can read
1114         # and write data on the volume.
1115         #
1116         # For a local filesystem, AccessViaHosts has one entry,
1117         # indicating which server the filesystem is located on.
1118         #
1119         # For a network-attached backend accessible by all keepstore
1120         # servers, like a cloud storage bucket or an NFS mount,
1121         # AccessViaHosts can be empty/omitted.
1122         #
1123         # Further info/examples:
1124         # https://doc.arvados.org/install/configure-fs-storage.html
1125         # https://doc.arvados.org/install/configure-s3-object-storage.html
1126         # https://doc.arvados.org/install/configure-azure-blob-storage.html
1127         AccessViaHosts:
1128           SAMPLE:
1129             ReadOnly: false
1130           "http://host1.example:25107": {}
1131         ReadOnly: false
1132         Replication: 1
1133         StorageClasses:
1134           default: true
1135           SAMPLE: true
1136         Driver: s3
1137         DriverParameters:
1138           # for s3 driver -- see
1139           # https://doc.arvados.org/install/configure-s3-object-storage.html
1140           IAMRole: aaaaa
1141           AccessKey: aaaaa
1142           SecretKey: aaaaa
1143           Endpoint: ""
1144           Region: us-east-1a
1145           Bucket: aaaaa
1146           LocationConstraint: false
1147           V2Signature: false
1148           IndexPageSize: 1000
1149           ConnectTimeout: 1m
1150           ReadTimeout: 10m
1151           RaceWindow: 24h
1152           # Use aws-s3-go (v2) instead of goamz
1153           UseAWSS3v2Driver: false
1154
1155           # For S3 driver, potentially unsafe tuning parameter,
1156           # intentionally excluded from main documentation.
1157           #
1158           # Enable deletion (garbage collection) even when the
1159           # configured BlobTrashLifetime is zero.  WARNING: eventual
1160           # consistency may result in race conditions that can cause
1161           # data loss.  Do not enable this unless you understand and
1162           # accept the risk.
1163           UnsafeDelete: false
1164
1165           # for azure driver -- see
1166           # https://doc.arvados.org/install/configure-azure-blob-storage.html
1167           StorageAccountName: aaaaa
1168           StorageAccountKey: aaaaa
1169           StorageBaseURL: core.windows.net
1170           ContainerName: aaaaa
1171           RequestTimeout: 30s
1172           ListBlobsRetryDelay: 10s
1173           ListBlobsMaxAttempts: 10
1174           MaxGetBytes: 0
1175           WriteRaceInterval: 15s
1176           WriteRacePollTime: 1s
1177
1178           # for local directory driver -- see
1179           # https://doc.arvados.org/install/configure-fs-storage.html
1180           Root: /var/lib/arvados/keep-data
1181
1182           # For local directory driver, potentially confusing tuning
1183           # parameter, intentionally excluded from main documentation.
1184           #
1185           # When true, read and write operations (for whole 64MiB
1186           # blocks) on an individual volume will queued and issued
1187           # serially.  When false, read and write operations will be
1188           # issued concurrently.
1189           #
1190           # May possibly improve throughput if you have physical spinning disks
1191           # and experience contention when there are multiple requests
1192           # to the same volume.
1193           #
1194           # Otherwise, when using SSDs, RAID, or a shared network filesystem, you
1195           # should leave this alone.
1196           Serialize: false
1197
1198     Mail:
1199       MailchimpAPIKey: ""
1200       MailchimpListID: ""
1201       SendUserSetupNotificationEmail: true
1202
1203       # Bug/issue report notification to and from addresses
1204       IssueReporterEmailFrom: "arvados@example.com"
1205       IssueReporterEmailTo: "arvados@example.com"
1206       SupportEmailAddress: "arvados@example.com"
1207
1208       # Generic issue email from
1209       EmailFrom: "arvados@example.com"
1210     RemoteClusters:
1211       "*":
1212         Host: ""
1213         Proxy: false
1214         Scheme: https
1215         Insecure: false
1216         ActivateUsers: false
1217       SAMPLE:
1218         # API endpoint host or host:port; default is {id}.arvadosapi.com
1219         Host: sample.arvadosapi.com
1220
1221         # Perform a proxy request when a local client requests an
1222         # object belonging to this remote.
1223         Proxy: false
1224
1225         # Default "https". Can be set to "http" for testing.
1226         Scheme: https
1227
1228         # Disable TLS verify. Can be set to true for testing.
1229         Insecure: false
1230
1231         # When users present tokens issued by this remote cluster, and
1232         # their accounts are active on the remote cluster, activate
1233         # them on this cluster too.
1234         ActivateUsers: false
1235
1236     Workbench:
1237       # Workbench1 configs
1238       Theme: default
1239       ActivationContactLink: mailto:info@arvados.org
1240       ArvadosDocsite: https://doc.arvados.org
1241       ArvadosPublicDataDocURL: https://playground.arvados.org/projects/public
1242       ShowUserAgreementInline: false
1243       SecretKeyBase: ""
1244
1245       # Scratch directory used by the remote repository browsing
1246       # feature. If it doesn't exist, it (and any missing parents) will be
1247       # created using mkdir_p.
1248       RepositoryCache: /var/www/arvados-workbench/current/tmp/git
1249
1250       # Below is a sample setting of user_profile_form_fields config parameter.
1251       # This configuration parameter should be set to either false (to disable) or
1252       # to a map as shown below.
1253       # Configure the map of input fields to be displayed in the profile page
1254       # using the attribute "key" for each of the input fields.
1255       # This sample shows configuration with one required and one optional form fields.
1256       # For each of these input fields:
1257       #   You can specify "Type" as "text" or "select".
1258       #   List the "Options" to be displayed for each of the "select" menu.
1259       #   Set "Required" as "true" for any of these fields to make them required.
1260       # If any of the required fields are missing in the user's profile, the user will be
1261       # redirected to the profile page before they can access any Workbench features.
1262       UserProfileFormFields:
1263         SAMPLE:
1264           Type: select
1265           FormFieldTitle: Best color
1266           FormFieldDescription: your favorite color
1267           Required: false
1268           Position: 1
1269           Options:
1270             red: {}
1271             blue: {}
1272             green: {}
1273             SAMPLE: {}
1274
1275         # exampleTextValue:  # key that will be set in properties
1276         #   Type: text  #
1277         #   FormFieldTitle: ""
1278         #   FormFieldDescription: ""
1279         #   Required: true
1280         #   Position: 1
1281         # exampleOptionsValue:
1282         #   Type: select
1283         #   FormFieldTitle: ""
1284         #   FormFieldDescription: ""
1285         #   Required: true
1286         #   Position: 1
1287         #   Options:
1288         #     red: {}
1289         #     blue: {}
1290         #     yellow: {}
1291
1292       # Use "UserProfileFormMessage to configure the message you want
1293       # to display on the profile page.
1294       UserProfileFormMessage: 'Welcome to Arvados. All <span style="color:red">required fields</span> must be completed before you can proceed.'
1295
1296       # Mimetypes of applications for which the view icon
1297       # would be enabled in a collection's show page.
1298       # It is sufficient to list only applications here.
1299       # No need to list text and image types.
1300       ApplicationMimetypesWithViewIcon:
1301         cwl: {}
1302         fasta: {}
1303         go: {}
1304         javascript: {}
1305         json: {}
1306         pdf: {}
1307         python: {}
1308         x-python: {}
1309         r: {}
1310         rtf: {}
1311         sam: {}
1312         x-sh: {}
1313         vnd.realvnc.bed: {}
1314         xml: {}
1315         xsl: {}
1316         SAMPLE: {}
1317
1318       # The maximum number of bytes to load in the log viewer
1319       LogViewerMaxBytes: 1M
1320
1321       # When anonymous_user_token is configured, show public projects page
1322       EnablePublicProjectsPage: true
1323
1324       # By default, disable the "Getting Started" popup which is specific to Arvados playground
1325       EnableGettingStartedPopup: false
1326
1327       # Ask Arvados API server to compress its response payloads.
1328       APIResponseCompression: true
1329
1330       # Timeouts for API requests.
1331       APIClientConnectTimeout: 2m
1332       APIClientReceiveTimeout: 5m
1333
1334       # Maximum number of historic log records of a running job to fetch
1335       # and display in the Log tab, while subscribing to web sockets.
1336       RunningJobLogRecordsToFetch: 2000
1337
1338       # In systems with many shared projects, loading of dashboard and topnav
1339       # can be slow due to collections indexing; use the following parameters
1340       # to suppress these properties
1341       ShowRecentCollectionsOnDashboard: true
1342       ShowUserNotifications: true
1343
1344       # Enable/disable "multi-site search" in top nav ("true"/"false"), or
1345       # a link to the multi-site search page on a "home" Workbench site.
1346       #
1347       # Example:
1348       #   https://workbench.zzzzz.arvadosapi.com/collections/multisite
1349       MultiSiteSearch: ""
1350
1351       # Should workbench allow management of local git repositories? Set to false if
1352       # the jobs api is disabled and there are no local git repositories.
1353       Repositories: true
1354
1355       SiteName: Arvados Workbench
1356       ProfilingEnabled: false
1357
1358       # This is related to obsolete Google OpenID 1.0 login
1359       # but some workbench stuff still expects it to be set.
1360       DefaultOpenIdPrefix: "https://www.google.com/accounts/o8/id"
1361
1362       # Workbench2 configs
1363       VocabularyURL: ""
1364       FileViewersConfigURL: ""
1365
1366       # Idle time after which the user's session will be auto closed.
1367       # This feature is disabled when set to zero.
1368       IdleTimeout: 0s
1369
1370       # Workbench welcome screen, this is HTML text that will be
1371       # incorporated directly onto the page.
1372       WelcomePageHTML: |
1373         <img src="/arvados-logo-big.png" style="width: 20%; float: right; padding: 1em;" />
1374         <h2>Please log in.</h2>
1375
1376         <p>The "Log in" button below will show you a sign-in
1377         page. After you log in, you will be redirected back to
1378         Arvados Workbench.</p>
1379
1380         <p>If you have never used Arvados Workbench before, logging in
1381         for the first time will automatically create a new
1382         account.</p>
1383
1384         <i>Arvados Workbench uses your name and email address only for
1385         identification, and does not retrieve any other personal
1386         information.</i>
1387
1388       # Workbench screen displayed to inactive users.  This is HTML
1389       # text that will be incorporated directly onto the page.
1390       InactivePageHTML: |
1391         <img src="/arvados-logo-big.png" style="width: 20%; float: right; padding: 1em;" />
1392         <h3>Hi! You're logged in, but...</h3>
1393         <p>Your account is inactive.</p>
1394         <p>An administrator must activate your account before you can get
1395         any further.</p>
1396
1397       # Connecting to Arvados shell VMs tends to be site-specific.
1398       # Put any special instructions here. This is HTML text that will
1399       # be incorporated directly onto the Workbench page.
1400       SSHHelpPageHTML: |
1401         <a href="https://doc.arvados.org/user/getting_started/ssh-access-unix.html">Accessing an Arvados VM with SSH</a> (generic instructions).
1402         Site configurations vary.  Contact your local cluster administrator if you have difficulty accessing an Arvados shell node.
1403
1404       # Sample text if you are using a "switchyard" ssh proxy.
1405       # Replace "zzzzz" with your Cluster ID.
1406       #SSHHelpPageHTML: |
1407       # <p>Add a section like this to your SSH configuration file ( <i>~/.ssh/config</i>):</p>
1408       # <pre>Host *.zzzzz
1409       #  TCPKeepAlive yes
1410       #  ServerAliveInterval 60
1411       #  ProxyCommand ssh -p2222 turnout@switchyard.zzzzz.arvadosapi.com -x -a $SSH_PROXY_FLAGS %h
1412       # </pre>
1413
1414       # If you are using a switchyard ssh proxy, shell node hostnames
1415       # may require a special hostname suffix.  In the sample ssh
1416       # configuration above, this would be ".zzzzz"
1417       # This is added to the hostname in the "command line" column
1418       # the Workbench "shell VMs" page.
1419       #
1420       # If your shell nodes are directly accessible by users without a
1421       # proxy and have fully qualified host names, you should leave
1422       # this blank.
1423       SSHHelpHostSuffix: ""
1424
1425     # Bypass new (Arvados 1.5) API implementations, and hand off
1426     # requests directly to Rails instead. This can provide a temporary
1427     # workaround for clients that are incompatible with the new API
1428     # implementation. Note that it also disables some new federation
1429     # features and will be removed in a future release.
1430     ForceLegacyAPI14: false
1431
1432 # (Experimental) Restart services automatically when config file
1433 # changes are detected. Only supported by `arvados-server boot` in
1434 # dev/test mode.
1435 AutoReloadConfig: false