Zum Inhalt springenZur Seitennavigation springen: vorherige Seite [Zugriffstaste p]/nächste Seite [Zugriffstaste n]
documentation.suse.com / Dokumentation zu SUSE Enterprise Storage 7.1 / Betriebs- und Verwaltungshandbuch / Ceph Dashboard / Manuelle Konfiguration
Gilt für SUSE Enterprise Storage 7.1

10 Manuelle Konfiguration

In diesem Abschnitt erhalten Sie erweiterte Informationen für Benutzer, die die Dashboard-Einstellungen manuell über die Kommandozeile konfigurieren möchten.

10.1 Konfigurieren der TLS/SSL-Unterstützung

Alle HTTP-Verbindungen zum Dashboard werden standardmäßig mit TLS/SSL gesichert. Für eine sichere Verbindung ist ein SSL-Zertifikat erforderlich. Sie können entweder ein eigensigniertes Zertifikat verwenden oder ein Zertifikat erzeugen und durch eine bekannte Zertifizierungsstelle (CA) signieren lassen.

Tipp
Tipp: Deaktivieren von SSL

Unter Umständen muss die SSL-Unterstützung deaktiviert werden. Dies ist beispielsweise der Fall, wenn das Dashboard hinter einem Proxy ausgeführt wird, der SSL nicht unterstützt.

Deaktivieren Sie SSL nur mit Bedacht, da die Benutzernamen und Passwörter damit unverschlüsselt an das Dashboard gesendet werden.

Mit folgendem Kommando deaktivieren Sie SSL:

cephuser@adm > ceph config set mgr mgr/dashboard/ssl false
Tipp
Tipp: Neustarten der Ceph-Manager-Prozesse

Die Ceph-Manager-Prozesse müssen nach einer Änderung des SSL-Zertifikats und des Schlüssels manuell neu gestartet werden. Führen Sie hierzu entweder das folgende Kommando aus:

cephuser@adm > ceph mgr fail ACTIVE-MANAGER-NAME

oder deaktivieren Sie das Dashboard-Modul und aktivieren Sie es wieder, wodurch auch der Manager sich selbst wieder neu erzeugt:

cephuser@adm > ceph mgr module disable dashboard
cephuser@adm > ceph mgr module enable dashboard

10.1.1 Erstellen von eigensignierten Zertifikaten

Ein eigensigniertes Zertifikat für die sichere Kommunikation lässt sich schnell und einfach erstellen. So bringen Sie das Dashboard rasch in Gang.

Anmerkung
Anmerkung: Fehlermeldungen bei Webbrowsern

Die meisten Webbrowser geben bei selbstsignierten Zertifikaten eine Fehlermeldung aus und fordern eine explizite Bestätigung, bevor eine sichere Verbindung zum Dashboard hergestellt wird.

Mit dem folgenden integrierten Kommando erzeugen und installieren Sie ein selbstsigniertes Zertifikat:

cephuser@adm > ceph dashboard create-self-signed-cert

10.1.2 Verwenden von Zertifikaten, die von einer Zertifizierungsstelle signiert wurden

Damit die Verbindung zum Dashboard ordnungsgemäß gesichert wird und Webbrowser-Fehlermeldungen zu selbstsignierten Zertifikaten unterbunden werden, wird empfohlen, ein Zertifikat zu verwenden, das von einer CA signiert ist.

Mit einem Kommando wie im folgenden Beispiel erzeugen Sie ein Zertifikat-Schlüsselpaar:

# openssl req -new -nodes -x509 \
  -subj "/O=IT/CN=ceph-mgr-dashboard" -days 3650 \
  -keyout dashboard.key -out dashboard.crt -extensions v3_ca

Das obige Kommando gibt die Dateien dashboard.key und dashboard.crt aus. Sobald die Datei dashboard.crt von einer CA signiert wurde, aktivieren Sie es mit dem folgenden Kommando für alle Ceph-Manager-Instanzen:

cephuser@adm > ceph dashboard set-ssl-certificate -i dashboard.crt
cephuser@adm > ceph dashboard set-ssl-certificate-key -i dashboard.key
Tipp
Tipp: Unterschiedliche Zertifikate für die einzelnen Manager-Instanzen

Wenn Sie unterschiedliche Zertifikate für die einzelnen Ceph-Manager-Instanzen benötigen, bearbeiten Sie die Kommandos und geben Sie den Namen der Instanz wie folgt an. Ersetzen Sie NAME durch den Namen der Ceph-Manager-Instanz (in der Regel der zugehörige Hostname):

cephuser@adm > ceph dashboard set-ssl-certificate NAME -i dashboard.crt
cephuser@adm > ceph dashboard set-ssl-certificate-key NAME -i dashboard.key

10.2 Ändern des Hostnamens und der Portnummer

Ceph Dashboard bindet an eine bestimmte TCP/IP-Adresse und an einen bestimmten TCP-Port. Standardmäßig bindet der derzeit aktive Ceph Manager, auf dem das Dashboard gehostet wird, an den TCP-Port 8443 (oder 8080, wenn SSL deaktiviert ist).

Anmerkung
Anmerkung

Wenn auf den Hosts, auf denen Ceph Manager (und damit Ceph Dashboard) ausgeführt wird, eine Firewall aktiviert ist, müssen Sie möglicherweise die Konfiguration ändern, um den Zugriff auf diese Ports zu ermöglichen. Weitere Informationen zu den Firewall-Einstellungen für Ceph finden Sie im Section 13.7, “Firewall settings for Ceph”.

Ceph Dashboard bindet standardmäßig an „::“, was allen verfügbaren IPv4- und IPv6-Adressen entspricht. Mit folgenden Kommandos können Sie die IP-Adresse und die Portnummer der Webanwendung ändern, sodass sie für alle Ceph-Manager-Instanzen gelten:

cephuser@adm > ceph config set mgr mgr/dashboard/server_addr IP_ADDRESS
cephuser@adm > ceph config set mgr mgr/dashboard/server_port PORT_NUMBER
Tipp
Tipp: Separate Konfiguration der Ceph-Manager-Instanzen

Auf jedem ceph-mgr-Daemon wird eine eigene Dashboard-Instanz gehostet; unter Umständen müssen diese Instanzen daher separat konfiguriert werden. Mit folgenden Kommandos ändern Sie die IP-Adresse und die Portnummer für eine bestimmte Manager-Instanz (ersetzen Sie NAME mit der ID der ceph-mgr-Instanz):

cephuser@adm > ceph config set mgr mgr/dashboard/NAME/server_addr IP_ADDRESS
cephuser@adm > ceph config set mgr mgr/dashboard/NAME/server_port PORT_NUMBER
Tipp
Tipp: Auflisten der konfigurierten Endpunkte

Das Kommando ceph mgr services gibt alle derzeit konfigurierten Endpunkte zurück. Über den Schlüssel dashboard erhalten Sie die URL für den Zugriff auf das Dashboard.

10.3 Anpassen der Benutzernamen und Passwörter

Wenn Sie nicht das standardmäßige Administratorkonto verwenden möchten, erstellen Sie ein anderes Benutzerkonto und weisen Sie diesem Konto mindestens eine Rolle zu. Es steht eine Reihe vordefinierter Systemrollen zur Auswahl. Weitere Einzelheiten finden Sie im Kapitel 11, Verwalten von Benutzern und Rollen über die Kommandozeile.

Mit folgendem Kommando erstellen Sie einen Benutzer mit Administratorrechten:

cephuser@adm > ceph dashboard ac-user-create USER_NAME PASSWORD administrator

10.4 Aktivieren des Verwaltungs-Frontends für das Object Gateway

Sollen die Object-Gateway-Verwaltungsfunktionen des Dashboards genutzt werden, müssen Sie die Anmeldeberechtigung eines Benutzers mit dem aktivierten system-Flag angeben:

  1. Falls kein Benutzer mit dem system-Flag vorhanden ist, müssen Sie einen erstellen:

    cephuser@adm > radosgw-admin user create --uid=USER_ID --display-name=DISPLAY_NAME --system

    Beachten Sie die Schlüssel access_key und secret_key in der Ausgabe des Kommandos.

  2. Sie können die Berechtigungsnachweise eines vorhandenen Benutzers auch mit dem Kommando radosgw-admin abrufen:

    cephuser@adm > radosgw-admin user info --uid=USER_ID
  3. Übermitteln Sie die erhaltenen Berechtigungsnachweise in separaten Dateien an das Dashboard:

    cephuser@adm > ceph dashboard set-rgw-api-access-key ACCESS_KEY_FILE
    cephuser@adm > ceph dashboard set-rgw-api-secret-key SECRET_KEY_FILE
Anmerkung
Anmerkung

Standardmäßig ist die Firewall in SUSE Linux Enterprise Server 15 SP3 aktiviert. Weitere Informationen zur Firewall-Konfiguration finden Sie im Section 13.7, “Firewall settings for Ceph”.

Es sind mehrere Punkte zu beachten:

  • Der Hostname und die Portnummer des Object Gateways werden automatisch ermittelt.

  • Wenn mehrere Zonen verwendet werden, wird automatisch der Host in der Master-Zonengruppe und der Master-Zone ermittelt. Bei den meisten Einrichtungen reicht dies aus, doch unter bestimmten Umständen müssen Sie den Hostnamen und den Port manuell festlegen:

    cephuser@adm > ceph dashboard set-rgw-api-host HOST
    cephuser@adm > ceph dashboard set-rgw-api-port PORT
  • Sie benötigen ggf. die folgenden zusätzlichen Einstellungen:

    cephuser@adm > ceph dashboard set-rgw-api-scheme SCHEME  # http or https
    cephuser@adm > ceph dashboard set-rgw-api-admin-resource ADMIN_RESOURCE
    cephuser@adm > ceph dashboard set-rgw-api-user-id USER_ID
  • Wenn die Object-Gateway-Einrichtung ein selbstsigniertes Zertifikat umfasst (Abschnitt 10.1, „Konfigurieren der TLS/SSL-Unterstützung“), deaktivieren Sie die Zertifikatsprüfung im Dashboard, sodass keine Verbindungen aufgrund von Zertifikaten, die von einer unbekannten CA signiert wurden oder nicht mit dem Hostnamen übereinstimmen, verweigert werden:

    cephuser@adm > ceph dashboard set-rgw-api-ssl-verify False
  • Wenn die Verarbeitung von Anforderungen im Object Gateway zu lange dauert und eine Zeitüberschreitung im Dashboard auftritt, können Sie den Zeitüberschreitungswert anpassen (Standardwert 45 Sekunden):

    cephuser@adm > ceph dashboard set-rest-requests-timeout SECONDS

10.5 Aktivieren der iSCSI-Verwaltung

Das Ceph Dashboard verwaltet iSCSI-Ziele mithilfe der REST-API, die vom Service rbd-target-api des Ceph-iSCSI-Gateways bereitgestellt wird. Stellen Sie sicher, dass es auf iSCSI-Gateways installiert und aktiviert ist.

Anmerkung
Anmerkung

Die iSCSI-Verwaltungsfunktion des Ceph Dashboards hängt von der neuesten Version 3 des ceph-iscsi-Projekts ab. Stellen Sie sicher, dass Ihr Betriebssystem die richtige Version bereitstellt, da das Ceph Dashboard die Verwaltungsfunktionen andernfalls nicht aktiviert.

Wenn die ceph-iscsi-REST-API im HTTPS-Modus konfiguriert ist und ein eigensigniertes Zertifikat verwendet, konfigurieren Sie das Dashboard so, dass die Überprüfung des SSL-Zertifikats beim Zugriff auf die ceph-iscsi-API vermieden wird.

Deaktivieren Sie die API-SSL-Überprüfung:

cephuser@adm > ceph dashboard set-iscsi-api-ssl-verification false

Definieren Sie die verfügbaren iSCSI-Gateways:

cephuser@adm > ceph dashboard iscsi-gateway-list
cephuser@adm > ceph dashboard iscsi-gateway-add scheme://username:password@host[:port]
cephuser@adm > ceph dashboard iscsi-gateway-rm gateway_name

10.6 Aktivieren von Single Sign-on

Mit der Zugriffskontrollmethode Single Sign-on (SSO) können die Benutzer sich mit einer einzigen ID und einem einzigen Passwort bei mehreren Anwendungen gleichzeitig anmelden.

Das Ceph Dashboard unterstützt die externe Authentifizierung von Benutzern über das SAML-2.0-Protokoll. Da die Autorisierung weiterhin durch das Dashboard vorgenommen wird, müssen Sie zunächst Benutzerkonten erstellen und ihnen die gewünschten Rollen zuweisen. Der Authentifizierungsprozess kann jedoch von einem vorhandenen Identitätsanbieter (IdP) durchgeführt werden.

Mit folgendem Kommando konfigurieren Sie das Single Sign-on:

cephuser@adm > ceph dashboard sso setup saml2 CEPH_DASHBOARD_BASE_URL \
 IDP_METADATA IDP_USERNAME_ATTRIBUTE \
 IDP_ENTITY_ID SP_X_509_CERT \
 SP_PRIVATE_KEY

Parameter:

CEPH_DASHBOARD_BASE_URL

Basis-URL für den Zugriff auf Ceph Dashboard (z. B. „https://cephdashboard.local“).

IDP_METADATA

URL, Dateipfad oder Inhalt der IdP-Metadaten-XML (z. B. „https://myidp/metadata“).

IDP_USERNAME_ATTRIBUTE

Optional. Attribut, mit dem der Benutzername aus der Authentifizierungsantwort ermittelt wird. Der Standardwert lautet „uid“.

IDP_ENTITY_ID

Optional. Für den Fall, dass die IdP-Metadaten mehrere Entitäts-IDs umfassen.

SP_X_509_CERT / SP_PRIVATE_KEY

Optional. Dateipfad oder Inhalt des Zertifikats, mit dem das Ceph Dashboard (Service-Anbieter) die Signierung und Verschlüsselung vornimmt. Diese Dateipfade müssen von der aktiven Ceph-Manager-Instanz aus zugänglich sein.

Anmerkung
Anmerkung: SAML-Anforderungen

Für den Ausstellerwert der SAML-Anforderungen gilt folgende Syntax:

CEPH_DASHBOARD_BASE_URL/auth/saml2/metadata

Mit folgendem Kommando rufen Sie die aktuelle SAML-2.0-Konfiguration ab:

cephuser@adm > ceph dashboard sso show saml2

Mit folgendem Kommando deaktivieren Sie Single Sign-on:

cephuser@adm > ceph dashboard sso disable

Mit folgendem Kommando prüfen Sie, ob SSO aktiviert ist:

cephuser@adm > ceph dashboard sso status

Mit folgendem Kommando aktivieren Sie SSO:

cephuser@adm > ceph dashboard sso enable saml2