10 Configuración manual #
En esta sección se presenta información avanzada para los usuarios que prefieren configurar manualmente los valores de la consola en la línea de comandos.
10.1 Configuración de la compatibilidad con TLS/SSL #
Todas las conexiones HTTP a la consola están protegidas por defecto con TLS/SSL. Una conexión segura requiere un certificado SSL. Puede usar un certificado autofirmado o generar un certificado y hacer que una entidad de certificación (CA) conocida lo firme.
A veces puede ser necesario inhabilitar SSL por algún motivo. Por ejemplo, si la consola se ejecuta mediante un proxy que no admite SSL.
Tenga cuidado al inhabilitar SSL, ya que los nombres de usuario y las contraseñas se enviarán a la consola sin cifrar.
Para inhabilitar SSL, ejecute:
cephuser@adm >
ceph config set mgr mgr/dashboard/ssl false
Debe reiniciar los procesos de Ceph Manager manualmente después de cambiar el certificado SSL y la clave. Puede hacerlo ejecutando:
cephuser@adm >
ceph mgr fail ACTIVE-MANAGER-NAME
o inhabilitando y volviendo a habilitar el módulo de consola, lo que también activa que el gestor se vuelva a reproducir a sí mismo:
cephuser@adm >
ceph mgr module disable dashboardcephuser@adm >
ceph mgr module enable dashboard
10.1.1 Creación de certificados autofirmados #
Crear un certificado autofirmado para establecer comunicaciones seguras es sencillo. Es una manera rápida de conseguir poner en funcionamiento la consola.
La mayoría de los navegadores Web producen una advertencia sobre los certificados autofirmados y requerirán que se confirmen explícitamente antes de establecer una conexión segura con la consola.
Para generar e instalar un certificado autofirmado, utilice el siguiente comando integrado:
cephuser@adm >
ceph dashboard create-self-signed-cert
10.1.2 Uso de certificados firmados por una CA #
Para proteger correctamente la conexión a la consola y eliminar las advertencias de los navegadores Web sobre los certificados autofirmados, se recomienda usar un certificado firmado por una CA.
Puede generar un par de claves de certificado con un comando similar al siguiente:
root #
openssl req -new -nodes -x509 \
-subj "/O=IT/CN=ceph-mgr-dashboard" -days 3650 \
-keyout dashboard.key -out dashboard.crt -extensions v3_ca
El comando anterior genera los archivos dashboard.key
y dashboard.crt
. Después de que una CA haya firmado el archivo dashboard.crt
, habilítelo para todas las instancias de Ceph Manager ejecutando los comandos siguientes:
cephuser@adm >
ceph config-key set mgr/dashboard/crt -i dashboard.crtcephuser@adm >
ceph config-key set mgr/dashboard/key -i dashboard.key
Si necesita certificados diferentes para cada instancia de Ceph Manager, modifique los comandos e incluya el nombre de la instancia de la siguiente manera. Sustituya NAME por el nombre de la instancia de Ceph Manager (normalmente es el nombre de host relacionado):
cephuser@adm >
ceph config-key set mgr/dashboard/NAME/crt -i dashboard.crtcephuser@adm >
ceph config-key set mgr/dashboard/NAME/key -i dashboard.key
10.2 Cambio del nombre del host y el número del puerto #
Ceph Dashboard se asocia con una dirección TCP/IP y un puerto TCP específicos. Por defecto, la instancia de Ceph Manager activa actualmente donde se aloja la consola se vincula al puerto TCP 8443 (o al 8080 si SSL está inhabilitado).
Si hay un cortafuegos habilitado en los hosts en los que se ejecuta Ceph Manager (y, por lo tanto, Ceph Dashboard), es posible que deba cambiar la configuración para habilitar el acceso a estos puertos. Para obtener más información sobre la configuración del cortafuegos para Ceph, consulte el Sección 13.7, “Firewall settings for Ceph”.
Ceph Dashboard se asocia por defecto con "::", que corresponde a todas las direcciones IPv4 e IPv6 disponibles. Es posible cambiar la dirección IP y el número de puerto de la aplicación Web para que se apliquen a todas las instancias de Ceph Manager mediante los siguientes comandos:
cephuser@adm >
ceph config set mgr mgr/dashboard/server_addr IP_ADDRESScephuser@adm >
ceph config set mgr mgr/dashboard/server_port PORT_NUMBER
Dado que cada daemon ceph-mgr
aloja su propia instancia de la consola, es posible que deba configurarlos por separado. Cambie la dirección IP y el número de puerto de una instancia específica del gestor mediante los comandos siguientes (sustituya NAME por el ID de la instancia de ceph-mgr
):
cephuser@adm >
ceph config set mgr mgr/dashboard/NAME/server_addr IP_ADDRESScephuser@adm >
ceph config set mgr mgr/dashboard/NAME/server_port PORT_NUMBER
El comando ceph mgr services
muestra todos los puestos finales que están configurados actualmente. Busque la clave dashboard
para obtener la dirección URL con la que acceder a la consola.
10.3 Ajuste de nombres de usuario y contraseñas #
Si no desea utilizar la cuenta de administrador por defecto, cree una cuenta de usuario diferente y asóciela con al menos una función. Proporcionamos un conjunto de funciones de sistema predefinidos que puede usar. Para obtener más información, consulte el Capítulo 11, Gestión de usuarios y funciones en la línea de comandos.
Para crear un usuario con privilegios de administrador, utilice el comando siguiente:
cephuser@adm >
ceph dashboard ac-user-create USER_NAME PASSWORD administrator
10.4 Habilitación del procesador frontal de gestión de Object Gateway #
Para utilizar la funcionalidad de gestión de Object Gateway de la consola, debe proporcionar las credenciales de entrada de un usuario con el indicador system
habilitado:
Si no tiene ningún usuario con el indicador
system
, cree uno:cephuser@adm >
radosgw-admin user create --uid=USER_ID --display-name=DISPLAY_NAME --systemTome nota de las claves access_key y secret_key del resultado del comando.
También puede obtener las credenciales de un usuario existente mediante el comando
radosgw-admin
:cephuser@adm >
radosgw-admin user info --uid=USER_IDProporcione las credenciales recibidas a la consola:
cephuser@adm >
ceph dashboard set-rgw-api-access-key ACCESS_KEYcephuser@adm >
ceph dashboard set-rgw-api-secret-key SECRET_KEY
Por defecto, el cortafuegos está habilitado en SUSE Linux Enterprise Server 15 SP2. Para obtener más información acerca de la configuración del cortafuegos, consulte Sección 13.7, “Firewall settings for Ceph”.
Se deben tener en cuenta varios puntos:
El nombre de host y el número de puerto de Object Gateway se determinan automáticamente.
Si se utilizan varias zonas, el host se determinará automáticamente dentro del grupo de zonas maestras y la zona maestra. Esto es suficiente para la mayoría de configuraciones, pero en algunas circunstancias es posible que sea necesario definir el nombre de host y el puerto manualmente:
cephuser@adm >
ceph dashboard set-rgw-api-host HOSTcephuser@adm >
ceph dashboard set-rgw-api-port PORTPodría necesitar estos ajustes adicionales:
cephuser@adm >
ceph dashboard set-rgw-api-scheme SCHEME # http or httpscephuser@adm >
ceph dashboard set-rgw-api-admin-resource ADMIN_RESOURCEcephuser@adm >
ceph dashboard set-rgw-api-user-id USER_IDSi utiliza un certificado autofirmado (Sección 10.1, “Configuración de la compatibilidad con TLS/SSL”) en la configuración de Object Gateway, inhabilite la verificación del certificado en la consola para evitar que se rechacen conexiones debido a que haya certificados firmados por una CA desconocida o a que no coincidan con el nombre de host:
cephuser@adm >
ceph dashboard set-rgw-api-ssl-verify FalseSi Object Gateway tarda demasiado en procesar las peticiones y se agota el tiempo de espera en la consola, el valor del tiempo de espera se puede ajustar (por defecto es de 45 segundos):
cephuser@adm >
ceph dashboard set-rest-requests-timeout SECONDS
10.5 Habilitación de la gestión de iSCSI #
Ceph Dashboard gestiona los destinos iSCSI mediante la API REST proporcionada por el servicio rbd-target-api
de Ceph iSCSI Gateway. Asegúrese de que está instalado y habilitado en las pasarelas iSCSI.
La funcionalidad de gestión de iSCSI de Ceph Dashboard depende de la última versión 3 del proyecto ceph-iscsi
. Asegúrese de que el sistema operativo proporciona la versión correcta; de lo contrario, Ceph Dashboard no habilitará las funciones de gestión.
Si la API REST ceph-iscsi
está configurada en modo HTTPS y utiliza un certificado autofirmado, configure la consola para evitar la verificación del certificado SSL al acceder a la API ceph-iscsi.
Inhabilite la verificación SSL de la API:
cephuser@adm >
ceph dashboard set-iscsi-api-ssl-verification false
Defina las pasarelas iSCSI disponibles:
cephuser@adm >
ceph dashboard iscsi-gateway-listcephuser@adm >
ceph dashboard iscsi-gateway-add scheme://username:password@host[:port]cephuser@adm >
ceph dashboard iscsi-gateway-rm gateway_name
10.6 Habilitación de Single Sign-On #
Single Sign-On (SSO) es un método de control de acceso que permite a los usuarios entrar a la sesión mediante un único identificador y una contraseña en varias aplicaciones simultáneamente.
Ceph Dashboard admite la autenticación externa de usuarios a través del protocolo SAML 2.0. Dado que la autorización la sigue realizando la consola, primero debe crear cuentas de usuario y asociarlas a las funciones deseadas. Sin embargo, el proceso de autenticación lo puede realizar un proveedor de identidades (IdP) existente.
Para configurar Single Sign-On, utilice el siguiente comando:
cephuser@adm >
ceph dashboard sso setup saml2 CEPH_DASHBOARD_BASE_URL \
IDP_METADATA IDP_USERNAME_ATTRIBUTE \
IDP_ENTITY_ID SP_X_509_CERT \
SP_PRIVATE_KEY
Parámetros:
- CEPH_DASHBOARD_BASE_URL
La URL base desde la que se puede acceder a la Ceph Dashboard (por ejemplo, "https://consolaceph.local").
- IDP_METADATA
La URL, la vía o el contenido del XML de metadatos del IdP (por ejemplo, "https://miidp/metadatos").
- IDP_USERNAME_ATTRIBUTE
Opcional. El atributo que se usará para obtener el nombre de usuario de la respuesta de autenticación. El valor por defecto es "uid".
- IDP_ENTITY_ID
Opcional. Se usa cuando existe más de un ID de entidad en los metadatos del IdP.
- SP_X_509_CERT / SP_PRIVATE_KEY
Opcional. Vía o contenido del certificado que usará la Ceph Dashboard (el proveedor de servicios) para la firma y el cifrado.
Este patrón irá seguido del valor del emisor de las peticiones SAML:
CEPH_DASHBOARD_BASE_URL/auth/saml2/metadata
Para mostrar la configuración actual de SAML 2.0, ejecute:
cephuser@adm >
ceph dashboard sso show saml2
Para inhabilitar Single Sign-On, ejecute:
cephuser@adm >
ceph dashboard sso disable
Para comprobar si SSO está habilitado, ejecute:
cephuser@adm >
ceph dashboard sso status
Para habilitar SSO, ejecute:
cephuser@adm >
ceph dashboard sso enable saml2