10 Manuelle Konfiguration #
In diesem Abschnitt erhalten Sie erweiterte Informationen für Benutzer, die die Dashboard-Einstellungen manuell über die Kommandozeile konfigurieren möchten.
10.1 Konfigurieren der TLS/SSL-Unterstützung #
Alle HTTP-Verbindungen zum Dashboard werden standardmäßig mit TLS/SSL gesichert. Für eine sichere Verbindung ist ein SSL-Zertifikat erforderlich. Sie können entweder ein eigensigniertes Zertifikat verwenden oder ein Zertifikat erzeugen und durch eine bekannte Zertifizierungsstelle (CA) signieren lassen.
Unter Umständen muss die SSL-Unterstützung deaktiviert werden. Dies ist beispielsweise der Fall, wenn das Dashboard hinter einem Proxy ausgeführt wird, der SSL nicht unterstützt.
Deaktivieren Sie SSL nur mit Bedacht, da die Benutzernamen und Passwörter damit unverschlüsselt an das Dashboard gesendet werden.
Mit folgendem Kommando deaktivieren Sie SSL:
cephuser@adm >
ceph config set mgr mgr/dashboard/ssl false
Die Ceph-Manager-Prozesse müssen nach einer Änderung des SSL-Zertifikats und des Schlüssels manuell neu gestartet werden. Führen Sie hierzu entweder das folgende Kommando aus:
cephuser@adm >
ceph mgr fail ACTIVE-MANAGER-NAME
oder deaktivieren Sie das Dashboard-Modul und aktivieren Sie es wieder, wodurch auch der Manager sich selbst wieder neu erzeugt:
cephuser@adm >
ceph mgr module disable dashboardcephuser@adm >
ceph mgr module enable dashboard
10.1.1 Erstellen von eigensignierten Zertifikaten #
Ein eigensigniertes Zertifikat für die sichere Kommunikation lässt sich schnell und einfach erstellen. So bringen Sie das Dashboard rasch in Gang.
Die meisten Webbrowser geben bei selbstsignierten Zertifikaten eine Fehlermeldung aus und fordern eine explizite Bestätigung, bevor eine sichere Verbindung zum Dashboard hergestellt wird.
Mit dem folgenden integrierten Kommando erzeugen und installieren Sie ein selbstsigniertes Zertifikat:
cephuser@adm >
ceph dashboard create-self-signed-cert
10.1.2 Verwenden von Zertifikaten, die von einer Zertifizierungsstelle signiert wurden #
Damit die Verbindung zum Dashboard ordnungsgemäß gesichert wird und Webbrowser-Fehlermeldungen zu selbstsignierten Zertifikaten unterbunden werden, wird empfohlen, ein Zertifikat zu verwenden, das von einer CA signiert ist.
Mit einem Kommando wie im folgenden Beispiel erzeugen Sie ein Zertifikat-Schlüsselpaar:
#
openssl req -new -nodes -x509 \
-subj "/O=IT/CN=ceph-mgr-dashboard" -days 3650 \
-keyout dashboard.key -out dashboard.crt -extensions v3_ca
Das obige Kommando gibt die Dateien dashboard.key
und dashboard.crt
aus. Sobald die Datei dashboard.crt
von einer CA signiert wurde, aktivieren Sie es mit dem folgenden Kommando für alle Ceph-Manager-Instanzen:
cephuser@adm >
ceph dashboard set-ssl-certificate -i dashboard.crtcephuser@adm >
ceph dashboard set-ssl-certificate-key -i dashboard.key
Wenn Sie unterschiedliche Zertifikate für die einzelnen Ceph-Manager-Instanzen benötigen, bearbeiten Sie die Kommandos und geben Sie den Namen der Instanz wie folgt an. Ersetzen Sie NAME durch den Namen der Ceph-Manager-Instanz (in der Regel der zugehörige Hostname):
cephuser@adm >
ceph dashboard set-ssl-certificate NAME -i dashboard.crtcephuser@adm >
ceph dashboard set-ssl-certificate-key NAME -i dashboard.key
10.2 Ändern des Hostnamens und der Portnummer #
Ceph Dashboard bindet an eine bestimmte TCP/IP-Adresse und an einen bestimmten TCP-Port. Standardmäßig bindet der derzeit aktive Ceph Manager, auf dem das Dashboard gehostet wird, an den TCP-Port 8443 (oder 8080, wenn SSL deaktiviert ist).
Wenn auf den Hosts, auf denen Ceph Manager (und damit Ceph Dashboard) ausgeführt wird, eine Firewall aktiviert ist, müssen Sie möglicherweise die Konfiguration ändern, um den Zugriff auf diese Ports zu ermöglichen. Weitere Informationen zu den Firewall-Einstellungen für Ceph finden Sie im Section 13.7, “Firewall settings for Ceph”.
Ceph Dashboard bindet standardmäßig an „::“, was allen verfügbaren IPv4- und IPv6-Adressen entspricht. Mit folgenden Kommandos können Sie die IP-Adresse und die Portnummer der Webanwendung ändern, sodass sie für alle Ceph-Manager-Instanzen gelten:
cephuser@adm >
ceph config set mgr mgr/dashboard/server_addr IP_ADDRESScephuser@adm >
ceph config set mgr mgr/dashboard/server_port PORT_NUMBER
Auf jedem ceph-mgr
-Daemon wird eine eigene Dashboard-Instanz gehostet; unter Umständen müssen diese Instanzen daher separat konfiguriert werden. Mit folgenden Kommandos ändern Sie die IP-Adresse und die Portnummer für eine bestimmte Manager-Instanz (ersetzen Sie NAME mit der ID der ceph-mgr
-Instanz):
cephuser@adm >
ceph config set mgr mgr/dashboard/NAME/server_addr IP_ADDRESScephuser@adm >
ceph config set mgr mgr/dashboard/NAME/server_port PORT_NUMBER
Das Kommando ceph mgr services
gibt alle derzeit konfigurierten Endpunkte zurück. Über den Schlüssel dashboard
erhalten Sie die URL für den Zugriff auf das Dashboard.
10.3 Anpassen der Benutzernamen und Passwörter #
Wenn Sie nicht das standardmäßige Administratorkonto verwenden möchten, erstellen Sie ein anderes Benutzerkonto und weisen Sie diesem Konto mindestens eine Rolle zu. Es steht eine Reihe vordefinierter Systemrollen zur Auswahl. Weitere Einzelheiten finden Sie im Kapitel 11, Verwalten von Benutzern und Rollen über die Kommandozeile.
Mit folgendem Kommando erstellen Sie einen Benutzer mit Administratorrechten:
cephuser@adm >
ceph dashboard ac-user-create USER_NAME PASSWORD administrator
10.4 Aktivieren des Verwaltungs-Frontends für das Object Gateway #
Sollen die Object-Gateway-Verwaltungsfunktionen des Dashboards genutzt werden, müssen Sie die Anmeldeberechtigung eines Benutzers mit dem aktivierten system
-Flag angeben:
Falls kein Benutzer mit dem
system
-Flag vorhanden ist, müssen Sie einen erstellen:cephuser@adm >
radosgw-admin user create --uid=USER_ID --display-name=DISPLAY_NAME --systemBeachten Sie die Schlüssel access_key und secret_key in der Ausgabe des Kommandos.
Sie können die Berechtigungsnachweise eines vorhandenen Benutzers auch mit dem Kommando
radosgw-admin
abrufen:cephuser@adm >
radosgw-admin user info --uid=USER_IDÜbermitteln Sie die erhaltenen Berechtigungsnachweise in separaten Dateien an das Dashboard:
cephuser@adm >
ceph dashboard set-rgw-api-access-key ACCESS_KEY_FILEcephuser@adm >
ceph dashboard set-rgw-api-secret-key SECRET_KEY_FILE
Standardmäßig ist die Firewall in SUSE Linux Enterprise Server 15 SP3 aktiviert. Weitere Informationen zur Firewall-Konfiguration finden Sie im Section 13.7, “Firewall settings for Ceph”.
Es sind mehrere Punkte zu beachten:
Der Hostname und die Portnummer des Object Gateways werden automatisch ermittelt.
Wenn mehrere Zonen verwendet werden, wird automatisch der Host in der Master-Zonengruppe und der Master-Zone ermittelt. Bei den meisten Einrichtungen reicht dies aus, doch unter bestimmten Umständen müssen Sie den Hostnamen und den Port manuell festlegen:
cephuser@adm >
ceph dashboard set-rgw-api-host HOSTcephuser@adm >
ceph dashboard set-rgw-api-port PORTSie benötigen ggf. die folgenden zusätzlichen Einstellungen:
cephuser@adm >
ceph dashboard set-rgw-api-scheme SCHEME # http or httpscephuser@adm >
ceph dashboard set-rgw-api-admin-resource ADMIN_RESOURCEcephuser@adm >
ceph dashboard set-rgw-api-user-id USER_IDWenn die Object-Gateway-Einrichtung ein selbstsigniertes Zertifikat umfasst (Abschnitt 10.1, „Konfigurieren der TLS/SSL-Unterstützung“), deaktivieren Sie die Zertifikatsprüfung im Dashboard, sodass keine Verbindungen aufgrund von Zertifikaten, die von einer unbekannten CA signiert wurden oder nicht mit dem Hostnamen übereinstimmen, verweigert werden:
cephuser@adm >
ceph dashboard set-rgw-api-ssl-verify FalseWenn die Verarbeitung von Anforderungen im Object Gateway zu lange dauert und eine Zeitüberschreitung im Dashboard auftritt, können Sie den Zeitüberschreitungswert anpassen (Standardwert 45 Sekunden):
cephuser@adm >
ceph dashboard set-rest-requests-timeout SECONDS
10.5 Aktivieren der iSCSI-Verwaltung #
Das Ceph Dashboard verwaltet iSCSI-Ziele mithilfe der REST-API, die vom Service rbd-target-api
des Ceph-iSCSI-Gateways bereitgestellt wird. Stellen Sie sicher, dass es auf iSCSI-Gateways installiert und aktiviert ist.
Die iSCSI-Verwaltungsfunktion des Ceph Dashboards hängt von der neuesten Version 3 des ceph-iscsi
-Projekts ab. Stellen Sie sicher, dass Ihr Betriebssystem die richtige Version bereitstellt, da das Ceph Dashboard die Verwaltungsfunktionen andernfalls nicht aktiviert.
Wenn die ceph-iscsi
-REST-API im HTTPS-Modus konfiguriert ist und ein eigensigniertes Zertifikat verwendet, konfigurieren Sie das Dashboard so, dass die Überprüfung des SSL-Zertifikats beim Zugriff auf die ceph-iscsi-API vermieden wird.
Deaktivieren Sie die API-SSL-Überprüfung:
cephuser@adm >
ceph dashboard set-iscsi-api-ssl-verification false
Definieren Sie die verfügbaren iSCSI-Gateways:
cephuser@adm >
ceph dashboard iscsi-gateway-listcephuser@adm >
ceph dashboard iscsi-gateway-add scheme://username:password@host[:port]cephuser@adm >
ceph dashboard iscsi-gateway-rm gateway_name
10.6 Aktivieren von Single Sign-on #
Mit der Zugriffskontrollmethode Single Sign-on (SSO) können die Benutzer sich mit einer einzigen ID und einem einzigen Passwort bei mehreren Anwendungen gleichzeitig anmelden.
Das Ceph Dashboard unterstützt die externe Authentifizierung von Benutzern über das SAML-2.0-Protokoll. Da die Autorisierung weiterhin durch das Dashboard vorgenommen wird, müssen Sie zunächst Benutzerkonten erstellen und ihnen die gewünschten Rollen zuweisen. Der Authentifizierungsprozess kann jedoch von einem vorhandenen Identitätsanbieter (IdP) durchgeführt werden.
Mit folgendem Kommando konfigurieren Sie das Single Sign-on:
cephuser@adm >
ceph dashboard sso setup saml2 CEPH_DASHBOARD_BASE_URL \
IDP_METADATA IDP_USERNAME_ATTRIBUTE \
IDP_ENTITY_ID SP_X_509_CERT \
SP_PRIVATE_KEY
Parameter:
- CEPH_DASHBOARD_BASE_URL
Basis-URL für den Zugriff auf Ceph Dashboard (z. B. „https://cephdashboard.local“).
- IDP_METADATA
URL, Dateipfad oder Inhalt der IdP-Metadaten-XML (z. B. „https://myidp/metadata“).
- IDP_USERNAME_ATTRIBUTE
Optional. Attribut, mit dem der Benutzername aus der Authentifizierungsantwort ermittelt wird. Der Standardwert lautet „uid“.
- IDP_ENTITY_ID
Optional. Für den Fall, dass die IdP-Metadaten mehrere Entitäts-IDs umfassen.
- SP_X_509_CERT / SP_PRIVATE_KEY
Optional. Dateipfad oder Inhalt des Zertifikats, mit dem das Ceph Dashboard (Service-Anbieter) die Signierung und Verschlüsselung vornimmt. Diese Dateipfade müssen von der aktiven Ceph-Manager-Instanz aus zugänglich sein.
Für den Ausstellerwert der SAML-Anforderungen gilt folgende Syntax:
CEPH_DASHBOARD_BASE_URL/auth/saml2/metadata
Mit folgendem Kommando rufen Sie die aktuelle SAML-2.0-Konfiguration ab:
cephuser@adm >
ceph dashboard sso show saml2
Mit folgendem Kommando deaktivieren Sie Single Sign-on:
cephuser@adm >
ceph dashboard sso disable
Mit folgendem Kommando prüfen Sie, ob SSO aktiviert ist:
cephuser@adm >
ceph dashboard sso status
Mit folgendem Kommando aktivieren Sie SSO:
cephuser@adm >
ceph dashboard sso enable saml2