Para entrar a la sesión en la aplicación Web de la consola, dirija el explorador a su dirección URL, incluido el número de puerto. Para localizar su dirección, ejecute:

cephadm@adm > ceph mgr services | grep dashboard
"dashboard": "https://ses-dash-node.example.com:8443/",

Figura 22.1: Pantalla de entrada a Ceph Dashboard #

Necesita una cuenta de usuario para poder entrar en la aplicación Web de la consola. DeepSea crea automáticamente un usuario "admin" por defecto con privilegios de administrador. Si decide entrar con el usuario "admin" por defecto, para recuperar la contraseña correspondiente, ejecute:

root@master # salt-call grains.get dashboard_creds

Sugerencia: cuenta de usuario personalizada

Si no desea utilizar la cuenta "admin" por defecto para acceder a Ceph Dashboard, cree una cuenta de usuario personalizada con privilegios de administrador. Consulte la Sección 22.10, “Gestión de usuarios y funciones en la línea de comandos” para obtener más información.

La interfaz de usuario de la consola se divide gráficamente en varios bloques: el menú de utilidades, el menú principal y el panel de contenidos principal.

Figura 22.2: Página de inicio de Ceph Dashboard #

La parte superior derecha de la pantalla contiene un menú de utilidades. Incluye tareas generales relacionadas más con la consola que con el clúster de Ceph. Al hacer clic en sus elementos, puede acceder a los siguientes temas:

El menú principal de la consola ocupa la parte superior izquierda de la pantalla. Abarca los siguientes contenidos:

El panel de contenidos ocupa gran parte de la pantalla de la consola. La página de inicio de la consola muestra numerosos widgets útiles para informar brevemente sobre el estado actual del clúster, su capacidad y el rendimiento.

En Ceph Dashboard se suele trabajar con listas; por ejemplo, listas de repositorios, nodos OSD o dispositivos RBD. Todas las listas se actualizan automáticamente por defecto cada 5 segundos. Los widgets comunes siguientes ayudan a gestionar o a ajustar estas listas:

Haga clic en para activar una actualización manual de la lista.

Haga clic en para mostrar u ocultar columnas individuales.

Haga clic en y seleccione el número de filas que desea mostrar en cada página.

Haga clic dentro de y filtre las filas escribiendo una cadena de búsqueda.

Use para cambiar la página que se muestra si la lista se extiende por varias páginas.

Cada widget de consola muestra información de estado específica relacionada con un aspecto específico de un clúster de Ceph en ejecución. Algunos widgets son enlaces activos y, después de hacer clic en ellos, le redirigirán a una página con detalles sobre el tema que representan.

Sugerencia: obtener más información al pasar el ratón

Algunos widgets gráficos muestran más detalles al mover el ratón sobre ellos.

22.1.6.1 Widgets de estado #Edit source

Los widgets de estado ofrecen una breve descripción general sobre el estado actual del clúster.

Figura 22.3: Widgets de estado #

Estado del clúster

Presenta información básica sobre el estado del clúster.

Monitores

Muestra el número de monitores en ejecución y su quórum.

OSDs

Muestra el número total de OSD, así como el número de OSD con los estados "up" e "in".

Daemons de gestor

Muestra el número de daemons de Ceph Manager activos y en espera.

Hosts

Muestra el número total de nodos del clúster.

Pasarelas Object Gateway

Muestra el número de pasarelas Object Gateway en ejecución.

Servidores de metadatos

Muestra el número de servidores de metadatos.

Pasarelas iSCSI Gateway

Muestra el número de pasarelas iSCSI Gateway configuradas.

22.1.6.2 Widgets de rendimiento #Edit source

Los widgets de rendimiento muestran datos básicos de rendimiento de los clientes de Ceph.

Figura 22.4: Widgets de rendimiento #

IOPS de cliente

Rendimiento del cliente

Lectura/escritura de cliente

Rendimiento de recuperación

Depuración

22.1.6.3 Widgets de capacidad #Edit source

Los widgets de capacidad muestran información breve sobre la capacidad de almacenamiento.

Figura 22.5: Widgets de capacidad #

Repositorios

Muestra el número de repositorios del clúster.

Capacidad en bruto

Muestra la proporción de capacidad de almacenamiento en bruto utilizada y disponible.

Objetos

Muestra el número de objetos de datos almacenados en el clúster.

Grupos de colocación por OSD

Muestra el número de grupos de colocación por OSD.

Estado del grupo de colocación

Muestra un gráfico de los grupos de colocación según su estado.

Haga clic en en el menú de utilidades y seleccione Gestión de usuarios.

La lista contiene el nombre de usuario, el nombre completo, el correo electrónico y la lista de funciones asignadas de cada usuario.

Figura 22.6: Gestión de usuarios #

Haga clic en Añadir en la parte superior izquierda del encabezado de la tabla para añadir un nuevo usuario. Introduzca su nombre de usuario, contraseña y, opcionalmente, un nombre completo y un correo electrónico.

Figura 22.7: Adición de un usuario #

Haga clic en el icono de lápiz pequeño para asignar funciones predefinidas al usuario. Para confirmar, haga clic en Crear usuario.

Haga clic en la fila de un usuario y seleccione Editar para modificar los detalles del usuario. Para confirmar, haga clic en Actualizar usuario.

Para suprimir la cuenta del usuario, haga clic en la fila de un usuario y seleccione Suprimir. Active la casilla de verificación Sí, seguro y haga clic en Suprimir usuario para confirmar.

Haga clic en en el menú de utilidades y seleccione Gestión de usuarios. A continuación, haga clic en la pestaña Funciones.

La lista contiene el nombre y la descripción de cada función e indica si se trata de una función del sistema.

Figura 22.8: Funciones del usuario #

Haga clic en Añadir en la parte superior izquierda del encabezado de la tabla para añadir una nueva función personalizada. Escriba su nombre y descripción y establezca los permisos necesarios para cada tema individual.

Sugerencia: limpieza de funciones personalizadas

Si crea funciones de usuario personalizadas y tiene previsto eliminar el clúster de Ceph con el runner ceph.purge más adelante, primero debe limpiar las funciones personalizadas. Más detalles en Sección 2.16, “Eliminación de un clúster de Ceph completo”

Figura 22.9: Adición de una función #

Sugerencia: activación múltiple

Al activar la casilla de verificación que precede al nombre del tema, se activan todos los permisos para ese tema. Al activar la casilla de verificación Todos se activan todos los permisos para todos los temas.

Para confirmar, haga clic en Crear función.

Haga clic en la fila de una función personalizada y seleccione Editar en la parte superior izquierda del encabezado de la tabla para editar una descripción y los permisos de la función personalizada. Para confirmar, haga clic en Actualizar función.

Para suprimir la función, haga clic en la fila de una función y seleccione Suprimir. Active la casilla de verificación Sí, seguro y haga clic en Suprimir función para confirmar.

Haga clic en Clúster › Hosts para ver una lista de nodos de clúster.

Figura 22.10: Hosts #

Haga clic en un nombre de nodo en la columna Nombre de host para ver los detalles de rendimiento del nodo.

La columna Servicios muestra todos los daemons que se ejecutan en cada nodo relacionado. Haga clic en un nombre de daemon para ver su configuración detallada.

Haga clic en Clúster › Monitores para ver una lista de nodos de clúster con monitores de Ceph en ejecución. La lista incluye el número de clasificación de cada monitor, la dirección IP pública y el número de sesiones abiertas.

La lista se divide en dos tablas: una para los monitores Ceph Monitor que cumplen el quórum y la segunda para los que no lo hacen.

Haga clic en un nombre de nodo en la columna Nombre para ver la configuración relacionada de Ceph Monitor.

La tabla Estado muestra estadísticas generales sobre los monitores Ceph Monitor en ejecución.

Figura 22.11: Monitores Ceph Monitor #

Haga clic en Clúster › OSDs para ver una lista de nodos con daemons/discos OSD en ejecución. La lista incluye el nombre de cada nodo, su estado, el número de grupos de colocación, el tamaño, el uso, el gráfico de lecturas/escrituras en el tiempo y la tasa de operaciones de lectura/escritura por segundo.

Figura 22.12: Daemons Ceph OSD #

Haga clic en Establecer indicadores de todo el clúster en el encabezado de la tabla para abrir una ventana emergente con una lista de indicadores que se aplican a todo el clúster. Puede activar o desactivar indicadores individuales. Para confirmar, haga clic en Enviar.

Figura 22.13: Indicadores OSD #

Haga clic en Establecer prioridad de recuperación de todo el clúster en el encabezado de la tabla para abrir una ventana emergente con una lista de prioridades de recuperación de OSD que se aplican a todo el clúster. Puede activar el perfil de prioridad preferido y ajustar los valores individuales a continuación. Para confirmar, haga clic en Enviar.

Figura 22.14: Prioridad de recuperación de OSD #

Haga clic en un nombre de nodo en la columna Host para ver una tabla extendida con detalles sobre la configuración y el rendimiento de OSD. En las distintas pestañas, es posible ver listas de atributos, metadatos, contadores de rendimiento y un histograma gráfico de lecturas y escrituras.

Figura 22.15: Detalles de OSD #

Sugerencia: realización de tareas específicas en OSD

Después de hacer clic en un nombre de nodo de OSD, su fila cambia ligeramente de color en la tabla, lo que significa que ahora puede realizar una tarea en el nodo. Haga clic en la flecha hacia abajo en la parte superior izquierda del encabezado de la tabla y seleccione una tarea para realizarla, por ejemplo, Borrado seguro profundo. Opcionalmente, puede introducir un valor necesario para la tarea y confirmar para ejecutarla en el nodo.

Haga clic en Clúster › Configuración para ver una lista completa de las opciones de configuración del clúster de Ceph. La lista contiene el nombre de la opción, una descripción breve y sus valores actuales y por defecto.

Figura 22.16: Configuración del clúster #

Haga clic en una fila de opciones específica para resaltar y ver información detallada sobre la opción, como su tipo de valor, los valores mínimos y máximos permitidos, si se puede actualizar en el tiempo de ejecución y mucho más.

Después de resaltar una opción específica, puede editar sus valores haciendo clic en el botón Editar en la parte superior izquierda del encabezado de la tabla. Para confirmar los cambios, haga clic en Guardar.

Haga clic en Clúster › Mapa de CRUSH para ver un mapa de CRUSH del clúster. Para obtener información general sobre los mapas de CRUSH, consulte la Sección 9.5, “Manipulación del mapa de CRUSH”.

Haga clic en la raíz, los nodos o los OSD individuales para ver información más detallada, como el peso de CRUSH, la profundidad del árbol de mapa, la clase de dispositivo del OSD y mucho más.

Figura 22.17: Mapa de CRUSH #

Haga clic en Clúster › Módulos de gestor para ver una lista de los módulos de Ceph Manager disponibles. Cada línea está formada por nombre de módulo e información sobre si está habilitado actualmente.

Figura 22.18: Módulos de gestor #

Después de resaltar un módulo específico, puede ver su configuración detallada en la tabla Detalles. Para editar los detalles, haciendo clic en Editar en la parte superior izquierda del encabezado de la tabla. Para confirmar los cambios, haga clic en Actualizar.

Haga clic en Clúster › Registros para ver una lista de las entradas de registro recientes del clúster. Cada línea está formada por una marca de tiempo, el tipo de la entrada de registro y el propio mensaje registrado.

Haga clic en la pestaña Registros de auditoría para ver las entradas de registro del subsistema de auditoría. Consulte en la Sección 22.10.4, “Auditoría” los comandos necesarios para habilitar o inhabilitar la auditoría.

Figura 22.19: Registros #

Para añadir un nuevo repositorio, haga clic en Añadir en la parte superior izquierda de la tabla de repositorios. En el formulario del repositorio puede escribir el nombre y el tipo del repositorio, el número de grupos de colocación e información adicional, como las aplicaciones del repositorio y el modo y el algoritmo de compresión. El propio formulario calcula el número de grupos de colocación que mejor se adapta a este repositorio específico. El cálculo se basa en la cantidad de OSD del clúster y el tipo de repositorio seleccionado con su configuración específica. Si se define manualmente el número de grupos de colocación, el número calculado se sustituirá. Para confirmar, haga clic en Crear repositorio.

Figura 22.21: Adición de un repositorio nuevo #

Para suprimir un repositorio, haga clic en su fila en la tabla y haga clic en Suprimir en la parte superior izquierda de la tabla de repositorios.

Para editar las opciones de un repositorio, haga clic en su fila en la tabla y seleccione Editar en la parte superior izquierda de la tabla de repositorios.

Puede cambiar el nombre del repositorio, aumentar el número de grupos de colocación, cambiar la lista de aplicaciones del repositorio y la configuración de compresión. Para confirmar, haga clic en Editar repositorio.

Para ver información más detallada sobre un dispositivo, haga clic en su fila en la tabla:

Figura 22.23: Detalles de RBD #

Para ver la configuración detallada de un dispositivo, haga clic en su fila en la tabla y, a continuación, en la pestaña Configuración de la tabla inferior:

Figura 22.24: Configuración de RBD #

Para añadir un dispositivo nuevo, haga clic en Añadir en la parte superior izquierda del encabezado de la tabla y haga lo siguiente en la pantalla Crear RBD:

Figura 22.25: Adición de un RBD nuevo #

Para suprimir un dispositivo, haga clic en su fila en la tabla y haga clic en Suprimir en la parte superior izquierda del encabezado de la tabla. Para confirmar, haga clic en Suprimir RBD.

Sugerencia: traslado de los RBD al depósito

Suprimir un RBD es una acción irreversible. Si en su lugar, usa la opción Mover al depósito, podrá restaurar el dispositivo más adelante seleccionándolo en la pestaña Papelera de la tabla principal y haciendo clic en Restaurar en la parte superior izquierda del encabezado de la tabla.

Para crear una instantánea de dispositivo de bloque RADOS, haga clic en la fila del dispositivo en la tabla y, en la pestaña Instantáneas situada bajo la tabla principal, haga clic en Crear en la parte superior izquierda del encabezado de la tabla. Escriba el nombre de la instantánea y haga clic en Crear instantánea para confirmar.

Después de seleccionar una instantánea, puede realizar acciones adicionales en el dispositivo, como cambiar su nombre, protegerlo, clonarlo, copiarlo o suprimirlo. La opción Rollback (Deshacer) restaura el estado del dispositivo de la instantánea actual.

Figura 22.26: Instantáneas RBD #

Sugerencia: más información sobre las pasarelas iSCSI Gateway

Para obtener información general sobre las pasarelas iSCSI Gateway, consulte el Capítulo 10, Instalación de iSCSI Gateway y el Capítulo 18, Ceph iSCSI Gateway.

Para mostrar todas las pasarelas disponibles y las imágenes asignadas, haga clic en Bloque › iSCSI en el menú principal. Se abre una pestaña Resumen, que muestra las pasarelas iSCSI Gateway configuradas actualmente y las imágenes de RBD asignadas.

La tabla Puertas de enlace iSCSI muestra el estado de cada pasarela, el número de destinos iSCSI y el número de sesiones. La tabla Imágenes muestra el nombre de cada imagen asignada, el nombre del repositorio relacionado, el tipo de almacén y otros detalles estadísticos.

La pestaña Destinos muestra los destinos iSCSI configurados actualmente.

Figura 22.27: Lista de destinos iSCSI #

Para ver información más detallada sobre un destino, haga clic en su fila en la tabla. Se abre un esquema estructurado en forma de árbol con los discos, los portales, los iniciadores y los grupos incluidos. Haga clic en un elemento para expandirlo y ver su contenido detallado, opcionalmente con la configuración relacionada en la tabla de la derecha.

Figura 22.28: Detalles de destino iSCSI #

22.5.6.1 Adición de destinos iSCSI #Edit source

Para añadir un destino iSCSI nuevo, haga clic en Añadir en la parte superior izquierda de la tabla Destinos e introduzca la información necesaria.

Figura 22.29: Adición de un destino nuevo #

1. Escriba la dirección de destino de la nueva pasarela.

2. Haga clic en Añadir portal y seleccione uno o varios portales iSCSI de la lista.

3. Haga clic en Añadir imagen y seleccione una o varias imágenes RBD para la pasarela.

4. Si necesita utilizar autenticación para acceder a la pasarela, marque la casilla de verificación Autenticación e introduzca las credenciales. Encontrará opciones de autenticación más avanzadas después de activar Autenticación mutua y Autenticación de descubrimiento.

5. Para confirmar, haga clic en Crear destino.

Sugerencia: información adicional

Para obtener información general y una descripción de las opciones de configuración de QoS de un RDB, consulte la Sección 12.6, “Configuración de QoS”.

Las opciones de QoS se pueden configurar en diferentes niveles.

La configuración global se encuentra en la parte superior de la lista y se utiliza para todas las imágenes de RBD recién creadas y para aquellas imágenes que no sustituyen estos valores en la capa del repositorio o de la imagen de RBD. Un valor especificado globalmente se puede sustituir en cada repositorio o imagen. Las opciones especificadas en un repositorio se aplicarán a todas las imágenes de RBD de ese repositorio a menos que se sustituyan por una opción de configuración definida en una imagen. Las opciones especificadas en una imagen sustituyen a las opciones especificadas en un repositorio y a las especificadas globalmente.

De esta manera, es posible definir valores por defecto globalmente, adaptarlos para todas las imágenes de RBD de un repositorio específico y sustituir la configuración del repositorio para imágenes de RBD individuales.

22.5.7.2 Configuración de opciones en un nuevo repositorio #Edit source

Para crear un nuevo repositorio y configurar las opciones de configuración de RBD en él, haga clic en Repositorios › Crear. Seleccione replicado como tipo de repositorio. A continuación, deberá añadir la etiqueta de aplicación rbd al repositorio para poder configurar las opciones de QoS de RBD.

Nota

No es posible configurar las opciones de configuración de QoS de RBD en un repositorio codificado de borrado. Para configurar las opciones de QoS de RBD para los repositorios codificados de borrado, debe editar el repositorio de metadatos replicados de una imagen RBD. A continuación, la configuración se aplicará al repositorio codificado de borrado de esa imagen.

22.5.7.3 Configuración de opciones en un repositorio existente #Edit source

Para configurar las opciones de QoS de RBD en un repositorio existente, haga clic en Repositorios, haga clic en la fila del repositorio en la tabla y seleccione Editar en la parte superior izquierda de la tabla.

Debería ver la sección Configuración de RBD en el recuadro de diálogo, seguida de una sección Calidad del servicio.

Nota

Si no ve las secciones Configuración de RBD ni Calidad del servicio, es probable que esté editando un repositorio codificado de borrado, que no se puede usar para establecer opciones de configuración de RBD, o bien que el repositorio no esté configurado para que las imágenes RBD lo puedan usar. En este último caso, asigne la etiqueta de aplicación rbd al repositorio y aparecerán las secciones de configuración correspondientes.

Sugerencia: información general

Para obtener información general y el enfoque de la línea de comandos para duplicar un dispositivo de bloques RADOS, consulte la Sección 12.4, “Duplicación”.

Puede usar Ceph Dashboard para configurar la réplica de imágenes RBD entre dos o más clústeres.

22.5.8.1 Clúster primario y clústeres secundarios #Edit source

El clúster primario es aquél donde se crea el repositorio original con imágenes. Los clústeres secundarios son aquellos donde se replican el repositorio o las imágenes desde el clúster primario.

Nota: nomenclatura relativa

Los términos primario y secundario pueden ser relativos en el contexto de la réplica, ya que están más relacionados con los repositorios individuales que con los clústeres. Por ejemplo, en la réplica bidireccional, un repositorio se puede duplicar desde el clúster primario al secundario, mientras que otro repositorio se puede duplicar desde el clúster secundario al primario.

Para añadir una exportación NFS nueva, haga clic en Add (Añadir) en la esquina superior izquierda de la tabla de exportaciones e introduzca la información necesaria.

Figura 22.40: Adición de una exportación NFS nueva #

Para suprimir una exportación, haga clic en su fila en la tabla y seleccione Suprimir en la parte superior izquierda de la tabla de exportaciones.

Para editar una exportación existente, haga clic en su fila en la tabla y haga clic en Editar en la parte superior izquierda de la tabla de exportaciones.

A continuación, puede ajustar todos los detalles de la exportación NFS.

Figura 22.41: Edición de una exportación NFS #

Haga clic en Sistemas de archivos en el menú principal para ver un resumen de los sistemas de archivos configurados. La tabla principal muestra el nombre de cada sistema de archivos, la fecha de creación y si está habilitado o no.

Al hacer clic en una fila de sistema de archivos de la tabla, se muestran detalles sobre su rango y los repositorios añadidos al sistema de archivos.

Figura 22.42: Detalles de CephFS #

En la parte inferior de la pantalla, se muestran estadísticas con el número de inodos MDS relacionados y las peticiones del cliente, recopiladas en tiempo real.

Para ver una lista de pasarelas Object Gateway configuradas, haga clic en Object Gateway › Daemons. La lista incluye el ID de la pasarela, el nombre de host del nodo del clúster donde se ejecuta el daemon de la pasarela y el número de versión de la pasarela.

Haga clic en la fila de una pasarela en la tabla para ver información detallada. La pestaña Contadores de rendimiento muestra detalles sobre las operaciones de lectura y escritura y las estadísticas de caché.

Figura 22.43: Detalles de la pasarela #

Haga clic en Object Gateway › Usuarios para ver una lista de los usuarios existentes de Object Gateway.

Haga clic en la fila de un usuario en la tabla para ver detalles sobre la cuenta del usuario; por ejemplo, la información de estado o detalles sobre la cuota de usuario y depósito.

Figura 22.44: Usuarios de Gateway #

22.8.2.1 Adición de un nuevo usuario de Gateway #Edit source

Para añadir un nuevo usuario de Gateway, haga clic en Añadir en la parte superior izquierda del encabezado de la tabla. Rellene sus credenciales, los detalles sobre la clave de S3 y la cuota de usuario/depósito y, a continuación, haga clic en Añadir para confirmar.

Figura 22.45: Adición de un nuevo usuario de Gateway #

Los depósitos de Object Gateway (OGW) implementan la funcionalidad de los contenedores de OpenStack Swift. Los depósitos de Object Gateway sirven como contenedores para almacenar objetos de datos.

Haga clic en Object Gateway  › Papeleras para ver una lista de depósitos de OGW.

22.8.3.2 Visualización de detalles del depósito #Edit source

Para ver información detallada sobre un depósito de OGW, haga clic en su fila en la tabla.

Figura 22.46: Detalles del depósito de Gateway #

Sugerencia: cuota de depósito

Debajo de la tabla Detalles, puede encontrar detalles sobre la configuración de la cuota de depósito.

Todas las conexiones HTTP a la consola están protegidas por defecto con SSL/TLS. Una conexión segura requiere un certificado SSL. Puede usar un certificado autofirmado o generar un certificado y hacer que una entidad de certificación (CA) conocida lo firme.

Sugerencia: inhabilitación de SSL

A veces puede ser necesario inhabilitar SSL por algún motivo. Por ejemplo, si la consola se ejecuta mediante un proxy que no admite SSL.

Tenga cuidado al inhabilitar SSL, ya que los nombres de usuario y las contraseñas se enviarán a la consola sin cifrar.

Para inhabilitar SSL, ejecute:

cephadm@adm > ceph config set mgr mgr/dashboard/ssl false

Sugerencia: reinicio de los procesos de Ceph Manager

Debe reiniciar los procesos de Ceph Manager manualmente después de cambiar el certificado SSL y la clave. Puede hacerlo ejecutando:

cephadm@adm > ceph mgr failACTIVE-MANAGER-NAME

o inhabilitando y volviendo a habilitar el módulo de consola, lo que también activa que el gestor se vuelva a reproducir a sí mismo:

cephadm@adm > ceph mgr module disable dashboard
cephadm@adm > ceph mgr module enable dashboard

22.9.1.1 Certificados autofirmados #Edit source

Crear un certificado autofirmado para establecer comunicaciones seguras es sencillo. Es una manera rápida de conseguir poner en funcionamiento la consola.

Nota: advertencias de los navegadores Web

La mayoría de los navegadores Web producen una advertencia sobre los certificados autofirmados y requerirán que se confirmen explícitamente antes de establecer una conexión segura con la consola.

Para generar e instalar un certificado autofirmado, utilice el siguiente comando integrado:

cephadm@adm > ceph dashboard create-self-signed-cert

22.9.1.2 Certificados firmados por una CA #Edit source

Para proteger correctamente la conexión a la consola y eliminar las advertencias de los navegadores Web sobre los certificados autofirmados, se recomienda usar un certificado firmado por una CA.

Puede generar un par de claves de certificado con un comando similar al siguiente:

root # openssl req -new -nodes -x509 \
  -subj "/O=IT/CN=ceph-mgr-dashboard" -days 3650 \
  -keyout dashboard.key -out dashboard.crt -extensions v3_ca

El comando anterior genera los archivos dashboard.key y dashboard.crt. Después de que una CA haya firmado el archivo dashboard.crt, habilítelo para todas las instancias de Ceph Manager ejecutando los comandos siguientes:

cephadm@adm > ceph config-key set mgr/dashboard/crt -i dashboard.crt
cephadm@adm > ceph config-key set mgr/dashboard/key -i dashboard.key

Sugerencia: certificados diferentes para cada instancia de Manager

Si necesita certificados diferentes para cada instancia de Ceph Manager, modifique los comandos e incluya el nombre de la instancia de la siguiente manera. Sustituya NAME por el nombre de la instancia de Ceph Manager (normalmente es el nombre de host relacionado):

cephadm@adm > ceph config-key set mgr/dashboard/NAME/crt -i dashboard.crt
cephadm@adm > ceph config-key set mgr/dashboard/NAME/key -i dashboard.key

La aplicación Web de Ceph Dashboard se vincula a una dirección TCP/IP y a un puerto TCP específicos. Por defecto, la instancia de Ceph Manager activa actualmente donde se aloja la consola se vincula al puerto TCP 8443 (o al 8080 si SSL está inhabilitado).

La aplicación Web de la consola se vincula por defecto a "::", que corresponde a todas las direcciones IPv4 e IPv6 disponibles. Es posible cambiar la dirección IP y el número de puerto de la aplicación Web para que se apliquen a todas las instancias de Ceph Manager mediante los siguientes comandos:

cephadm@adm > ceph config set mgr mgr/dashboard/server_addr IP_ADDRESS
cephadm@adm > ceph config set mgr mgr/dashboard/server_port PORT_NUMBER

Sugerencia: configuración por separado de instancias de Ceph Manager

Dado que cada daemon ceph-mgr aloja su propia instancia de la consola, es posible que deba configurarlos por separado. Cambie la dirección IP y el número de puerto de una instancia específica del gestor mediante los comandos siguientes (sustituya NAME por el ID de la instancia de ceph-mgr):

cephadm@adm > ceph config set mgr mgr/dashboard/NAME/server_addr IP_ADDRESS
cephadm@adm > ceph config set mgr mgr/dashboard/NAME/server_port PORT_NUMBER

Sugerencia: lista de puestos finales configurados

El comando ceph mgr services muestra todos los puestos finales que están configurados actualmente. Busque la clave "dashboard" para obtener la dirección URL con la que acceder a la consola.

Si no desea utilizar la cuenta de administrador por defecto, cree una cuenta de usuario diferente y asóciela con al menos una función. Proporcionamos un conjunto de funciones de sistema predefinidos que puede usar. Para obtener más información, consulte la Sección 22.10, “Gestión de usuarios y funciones en la línea de comandos”.

Para crear un usuario con privilegios de administrador, utilice el comando siguiente:

cephadm@adm > ceph dashboard ac-user-create USER_NAME PASSWORD administrator

Para utilizar la funcionalidad de gestión de Object Gateway de la consola, debe proporcionar las credenciales de entrada de un usuario con el indicador "system" habilitado:

Se deben tener en cuenta varios puntos:

Single Sign-On (SSO) es un método de control de acceso que permite a los usuarios entrar a la sesión mediante un único identificador y una contraseña en varias aplicaciones simultáneamente.

Ceph Dashboard admite la autenticación externa de usuarios a través del protocolo SAML 2.0. Dado que la autorización la sigue realizando la consola, primero debe crear cuentas de usuario y asociarlas a las funciones deseadas. Sin embargo, el proceso de autenticación lo puede realizar un proveedor de identidades (IdP) existente.

Para configurar Single Sign-On, utilice el siguiente comando:

cephadm@adm > ceph dashboard sso setup saml2 CEPH_DASHBOARD_BASE_URL \
 IDP_METADATA IDP_USERNAME_ATTRIBUTE \
 IDP_ENTITY_ID SP_X_509_CERT \
 SP_PRIVATE_KEY

Parámetros:

Nota: peticiones SAML

Este patrón irá seguido del valor del emisor de las peticiones SAML:

CEPH_DASHBOARD_BASE_URL/auth/saml2/metadata

Para mostrar la configuración actual de SAML 2.0, ejecute:

cephadm@adm > ceph dashboard sso show saml2

Para inhabilitar Single Sign-On, ejecute:

cephadm@adm > ceph dashboard sso disable

Para comprobar si SSO está habilitado, ejecute:

cephadm@adm > ceph dashboard sso status

Para habilitar SSO, ejecute:

cephadm@adm > ceph dashboard sso enable saml2

Ceph Dashboard admite la gestión de varias cuentas de usuario. Cada cuenta de usuario está formada por un nombre de usuario, una contraseña (almacenada cifrada mediante bcrypt), un nombre opcional y una dirección de correo electrónico opcional.

Las cuentas de usuario se almacenan en la base de datos de configuración de Ceph Monitor y se comparten de forma global entre todas las instancias de Ceph Manager.

Utilice los comandos siguientes para gestionar cuentas de usuario:

En esta sección se describen los ámbitos de seguridad que puede asignar a una función de usuario, y se explica cómo gestionar funciones de usuario y cómo asignarlas a cuentas de usuario.

22.10.2.2 Funciones del usuario #Edit source

Una función especifica un conjunto de asignaciones entre un ámbito de seguridad y un conjunto de permisos. Hay cuatro tipos de permisos: "leer", "crear", "actualizar" y "suprimir".

En el ejemplo siguiente se especifica una función en la que un usuario tiene los permisos "leer" y "crear" para las características relacionadas con la gestión de repositorios, y tiene permisos completos para las características relacionadas con la gestión de imágenes de RBD:

{
  'role': 'my_new_role',
  'description': 'My new role',
  'scopes_permissions': {
    'pool': ['read', 'create'],
    'rbd-image': ['read', 'create', 'update', 'delete']
  }
}

La consola ya proporciona un conjunto de funciones predefinidas que llamamos funciones del sistema. Puede usarlas de inmediato después de instalar la Ceph Dashboard:

administrator

Proporciona permisos completos para todos los ámbitos de seguridad.

read-only

Proporciona permiso de lectura para todos los ámbitos de seguridad, excepto para la configuración de la consola.

block-manager

Proporciona permisos completos para los ámbitos "rbd-image", "rbd-mirroring" e "iscsi".

rgw-manager

Proporciona permisos completos para el ámbito "rgw".

cluster-manager

Proporciona permisos completos para los ámbitos "hosts", "osd", "monitor", "manager" y "config-opt".

pool-manager

Proporciona permisos completos para el ámbito "pool".

cephfs-manager

Proporciona permisos completos para el ámbito "cephfs".

22.10.2.2.1 Gestión de funciones personalizadas #Edit source

Puede crear nuevas funciones de usuario mediante los siguientes comandos:

Crear una función:

cephadm@adm > ceph dashboard ac-role-create ROLENAME [DESCRIPTION]

Suprimir una función:

cephadm@adm > ceph dashboard ac-role-delete ROLENAME

Añadir permisos de ámbito a una función:

cephadm@adm > ceph dashboard ac-role-add-scope-perms ROLENAME SCOPENAME PERMISSION [PERMISSION...]

Suprimir permisos de ámbito de una función:

cephadm@adm > ceph dashboard ac-role-del-perms ROLENAME SCOPENAME

22.10.2.2.2 Asignación de funciones a cuentas de usuario #Edit source

Utilice los comandos siguientes para asignar funciones a los usuarios:

Definir funciones de usuario:

cephadm@adm > ceph dashboard ac-user-set-roles USERNAME ROLENAME [ROLENAME ...]

Añadir funciones adicionales a un usuario:

cephadm@adm > ceph dashboard ac-user-add-roles USERNAME ROLENAME [ROLENAME ...]

Suprimir funciones de un usuario:

cephadm@adm > ceph dashboard ac-user-del-roles USERNAME ROLENAME [ROLENAME ...]

Sugerencia: limpieza de funciones personalizadas

Si crea funciones de usuario personalizadas y tiene previsto eliminar el clúster de Ceph con el runner ceph.purge más adelante, primero debe limpiar las funciones personalizadas. Más detalles en la Sección 2.16, “Eliminación de un clúster de Ceph completo”

22.10.2.2.3 Ejemplo: Creación de un usuario y una función personalizada #Edit source

En esta sección se describe un procedimiento para crear una cuenta de usuario capaz de gestionar imágenes RBD, ver y crear repositorios de Ceph y tener acceso de solo lectura a cualquier otro ámbito.

1. Cree un usuario llamado "tux":

    cephadm@adm > ceph dashboard ac-user-create tux PASSWORD

2. Cree una función y especifique los permisos de ámbito:

   cephadm@adm > ceph dashboard ac-role-create rbd/pool-manager
   cephadm@adm > ceph dashboard ac-role-add-scope-perms rbd/pool-manager \
    rbd-image read create update delete
   cephadm@adm > ceph dashboard ac-role-add-scope-perms rbd/pool-manager pool read create

3. Asocie las funciones con el usuario "tux":

   cephadm@adm > ceph dashboard ac-user-set-roles tux rbd/pool-manager read-only

Si accede a la consola a través de una configuración de proxy inverso, es posible que deba darle servicio mediante un prefijo de URL. Para que la consola pueda usar hipervínculos que incluyan el prefijo, puede definir el valor de url_prefix:

cephadm@adm > ceph config set mgr mgr/dashboard/url_prefix URL_PREFIX

A continuación, podrá acceder a la consola en http://NOMBRE_HOST:NÚMERO_PUERTO/PREFIJO_URL/.

La API REST de Ceph Dashboard puede registrar peticiones PUT, POST y DELETE en el registro de auditoría de Ceph. El registro está inhabilitado por defecto, pero es posible habilitarlo con el siguiente comando:

cephadm@adm > ceph dashboard set-audit-api-enabled true

Si está habilitado, se registran los parámetros siguientes por cada petición:

Una entrada de registro de ejemplo tiene este aspecto:

2019-02-06 10:33:01.302514 mgr.x [INF] [DASHBOARD] \
 from='https://[::ffff:127.0.0.1]:37022' path='/api/rgw/user/exu' method='PUT' \
 user='admin' params='{"max_buckets": "1000", "display_name": "Example User", "uid": "exu", "suspended": "0", "email": "user@example.com"}'

Sugerencia: inhabilitación del registro de la carga útil de la petición

El registro de la carga útil de la petición (la lista de argumentos y sus valores) está habilitado por defecto. Puede inhabilitarlo de la siguiente manera:

cephadm@adm > ceph dashboard set-audit-api-log-payload false