Accéder au contenuNavigation Accéder à la page : page précédente [raccourci clavier p] / page suivante [raccourci clavier n]
documentation.suse.com / Documentation de SUSE Enterprise Storage 7.1 / Guide d'opérations et d'administration / Ceph Dashboard / Configuration manuelle
S'applique à SUSE Enterprise Storage 7.1

10 Configuration manuelle

 

Cette section présente des informations avancées pour les utilisateurs qui préfèrent configurer manuellement les paramètres du tableau de bord via la ligne de commande.

10.1 Configuration de la prise en charge de TLS/SSL

 

Par défaut, toutes les connexions HTTP vers le tableau de bord sont sécurisées via TLS/SSL. Une connexion sécurisée nécessite un certificat SSL. Vous pouvez soit utiliser un certificat auto-signé, soit générer un certificat à faire signer par une autorité de certification bien connue.

Astuce
Astuce : désactivation de SSL

Vous pouvez souhaiter désactiver le support SSL pour une raison spécifique, par exemple, si le tableau de bord s'exécute derrière un proxy qui ne prend pas en charge SSL.

Soyez toutefois prudent lorsque vous désactivez SSL, car les noms d'utilisateur et les mots de passe seront envoyés au tableau de bord non chiffrés.

Pour désactiver SSL, exécutez la commande suivante : 

cephuser@adm > ceph config set mgr mgr/dashboard/ssl false
Astuce
Astuce : redémarrage des processus Ceph Manager

Vous devez redémarrer manuellement les processus Ceph Manager après avoir modifié le certificat et la clé SSL. Pour ce faire, vous pouvez exécuter la commande 

cephuser@adm > ceph mgr fail ACTIVE-MANAGER-NAME

ou désactiver, puis réactiver le module de tableau de bord, ce qui déclenche une régénération du gestionnaire : 

cephuser@adm > ceph mgr module disable dashboard
cephuser@adm > ceph mgr module enable dashboard

10.1.1 Création de certificats auto-signés

 

La création d'un certificat auto-signé pour une communication sécurisée est simple. Elle vous permet d'exécuter rapidement le tableau de bord.

Note
Note : exigence des navigateurs Web

En cas de certificat auto-signé, la plupart des navigateurs Web exigent une confirmation explicite avant d'établir une connexion sécurisée au tableau de bord.

Pour générer et installer un certificat auto-signé, utilisez la commande intégrée suivante : 

cephuser@adm > ceph dashboard create-self-signed-cert

10.1.2 Utilisation de certificats signés par une autorité de certification

 

Pour sécuriser correctement la connexion au tableau de bord et pour éviter l'exigence de confirmation explicite imposée par les navigateurs Web en cas de certificat auto-signé, nous vous recommandons d'utiliser un certificat signé par une autorité de certification.

Vous pouvez générer une paire de clés de certificat avec une commande similaire à la suivante : 

# openssl req -new -nodes -x509 \
  -subj "/O=IT/CN=ceph-mgr-dashboard" -days 3650 \
  -keyout dashboard.key -out dashboard.crt -extensions v3_ca

La commande ci-dessus produit les fichiers dashboard.key et dashboard.crt. Une fois le fichier dashboard.crt signé par une autorité de certification, activez-le pour toutes les instances Ceph Manager en exécutant les commandes suivantes : 

cephuser@adm > ceph dashboard set-ssl-certificate -i dashboard.crt
cephuser@adm > ceph dashboard set-ssl-certificate-key -i dashboard.key
Astuce
Astuce : des certificats différents pour chaque instance du gestionnaire

Si vous avez besoin de certificats différents pour chaque instance Ceph Manager, modifiez les commandes et incluez le nom de l'instance comme suit. Remplacez NAME par le nom de l'instance Ceph Manager (généralement le nom d'hôte associé) : 

cephuser@adm > ceph dashboard set-ssl-certificate NAME -i dashboard.crt
cephuser@adm > ceph dashboard set-ssl-certificate-key NAME -i dashboard.key

10.2 Modification du nom d’hôte et du numéro de port

 

Ceph Dashboard se lie à une adresse TCP/IP et à un port TCP spécifiques. Par défaut, l'instance Ceph Manager actuellement active qui héberge le tableau de bord se lie au port TCP 8443 (ou 8080 lorsque SSL est désactivé).

Note
Note

Si un pare-feu est activé sur les hôtes qui exécutent Ceph Manager (et donc Ceph Dashboard), vous devrez peut-être modifier la configuration pour autoriser l'accès à ces ports. Pour plus d'informations sur les paramètres de pare-feu pour Ceph, reportez-vous au Section 13.7, “Firewall settings for Ceph”.

Ceph Dashboard se lie par défaut à « :: », ce qui correspond à toutes les adresses IPv4 et IPv6 disponibles. Vous pouvez modifier l'adresse IP et le numéro de port de l'application Web afin qu'ils s'appliquent à toutes les instances Ceph Manager en utilisant les commandes suivantes : 

cephuser@adm > ceph config set mgr mgr/dashboard/server_addr IP_ADDRESS
cephuser@adm > ceph config set mgr mgr/dashboard/server_port PORT_NUMBER
Astuce
Astuce : configuration séparée des instances Ceph Manager

Étant donné que chaque daemon ceph-mgr héberge sa propre instance du tableau de bord, vous devrez peut-être les configurer séparément. Pour changer l'adresse IP et le numéro de port pour une instance spécifique du gestionnaire, utilisez les commandes suivantes (remplacez NAME par l'ID de l'instance ceph-mgr) : 

cephuser@adm > ceph config set mgr mgr/dashboard/NAME/server_addr IP_ADDRESS
cephuser@adm > ceph config set mgr mgr/dashboard/NAME/server_port PORT_NUMBER
Astuce
Astuce : liste des noeuds d'extrémité configurés

La commande ceph mgr services affiche tous les noeuds d'extrémité actuellement configurés. Recherchez la clé dashboard pour obtenir l'URL d'accès au tableau de bord.

10.3 Modification des noms d'utilisateur et des mots de passe

 

Si vous ne souhaitez pas utiliser le compte d'administrateur par défaut, créez un compte utilisateur différent et associez-le à au moins un rôle. Nous fournissons un ensemble de rôles système prédéfinis que vous pouvez utiliser. Pour plus d'informations, reportez-vous au Chapitre 11, Gestion des utilisateurs et des rôles via la ligne de commande.

Pour créer un utilisateur avec des privilèges d'administrateur, utilisez la commande suivante : 

cephuser@adm > ceph dashboard ac-user-create USER_NAME PASSWORD administrator

10.4 Activation de l'interface client de gestion d'Object Gateway

 

Pour utiliser la fonctionnalité de gestion d'Object Gateway du tableau de bord, vous devez fournir les informations d'identification de connexion d'un utilisateur avec le drapeau system activé :

  1. Si vous n'avez pas d'utilisateur avec le drapeau system, créez-en un : 

    cephuser@adm > radosgw-admin user create --uid=USER_ID --display-name=DISPLAY_NAME --system

    Prenez note des clés clé_accès et clé_secrète dans la sortie de la commande.

  2. Vous pouvez également obtenir les informations d'identification d'un utilisateur existant à l'aide de la commande radosgw-admin : 

    cephuser@adm > radosgw-admin user info --uid=USER_ID

  3. Fournissez les informations d'identification reçues au tableau de bord dans des fichiers distincts : 

    cephuser@adm > ceph dashboard set-rgw-api-access-key ACCESS_KEY_FILE
cephuser@adm > ceph dashboard set-rgw-api-secret-key SECRET_KEY_FILE
Note
Note

Par défaut, le pare-feu est activé dans SUSE Linux Enterprise Server 15 SP3. Pour plus d'informations sur la configuration du pare-feu, reportez-vous au Section 13.7, “Firewall settings for Ceph”.

Plusieurs points sont à prendre en considération :

  • Le nom de l'hôte et le numéro de port d'Object Gateway sont déterminés automatiquement.

  • Si plusieurs zones sont utilisées, le système détermine automatiquement l'hôte dans le groupe de zones maître et la zone maître. Cela est suffisant pour la plupart des configurations, mais dans certaines circonstances, vous pouvez souhaiter définir le nom de l'hôte et le port manuellement : 

    cephuser@adm > ceph dashboard set-rgw-api-host HOST
cephuser@adm > ceph dashboard set-rgw-api-port PORT

  • Voici d'autres paramètres dont vous pouvez avoir besoin : 

    cephuser@adm > ceph dashboard set-rgw-api-scheme SCHEME  # http or https
cephuser@adm > ceph dashboard set-rgw-api-admin-resource ADMIN_RESOURCE
cephuser@adm > ceph dashboard set-rgw-api-user-id USER_ID

  • Si vous utilisez un certificat auto-signé (Section 10.1, « Configuration de la prise en charge de TLS/SSL ») dans votre configuration Object Gateway, désactivez la vérification du certificat dans le tableau de bord pour éviter les refus de connexions dus à des certificats signés par une autorité de certification inconnue ou ne correspondant pas au nom d'hôte : 

    cephuser@adm > ceph dashboard set-rgw-api-ssl-verify False

  • Si Object Gateway prend trop de temps pour traiter les requêtes et que le tableau de bord s'exécute selon des timeouts, la valeur de ces derniers peut être ajustée (elle est par défaut de 45 secondes) : 

    cephuser@adm > ceph dashboard set-rest-requests-timeout SECONDS

10.5 Activation de la gestion iSCSI

 

Ceph Dashboard gère les cibles iSCSI à l'aide de l'API REST fournie par le service rbd-target-api de la passerelle Ceph iSCSI. Assurez-vous qu'elle est installée et activée sur les passerelles iSCSI.

Note
Note

La fonctionnalité de gestion iSCSI de Ceph Dashboard dépend de la dernière version 3 du projet ceph-iscsi. Vérifiez que votre système d'exploitation fournit la version correcte, sinon Ceph Dashboard n'activera pas les fonctions de gestion.

Si l'API REST ceph-iscsi est configurée en mode HTTPS et qu'elle utilise un certificat auto-signé, configurez le tableau de bord pour éviter la vérification du certificat SSL lors de l'accès à l'API ceph-iscsi.

Désactivez la vérification SSL de l'API : 

cephuser@adm > ceph dashboard set-iscsi-api-ssl-verification false

Définissez les passerelles iSCSI disponibles : 

cephuser@adm > ceph dashboard iscsi-gateway-list
cephuser@adm > ceph dashboard iscsi-gateway-add scheme://username:password@host[:port]
cephuser@adm > ceph dashboard iscsi-gateway-rm gateway_name

10.6 Activation de Single Sign-On

 

Single Sign-on (SSO) est une méthode de contrôle d'accès qui permet aux utilisateurs de se connecter avec un seul ID et mot de passe à plusieurs applications simultanément.

Ceph Dashboard prend en charge l'authentification externe des utilisateurs via le protocole SAML 2.0. Étant donné que l'autorisation passe toujours par le tableau de bord, vous devez d'abord créer des comptes utilisateur et les associer aux rôles souhaités. En revanche, le processus d'authentification peut être exécuté par un fournisseur d'identité (IdP) existant.

Pour configurer Single Sign-on, utilisez la commande suivante : 

cephuser@adm > ceph dashboard sso setup saml2 CEPH_DASHBOARD_BASE_URL \
 IDP_METADATA IDP_USERNAME_ATTRIBUTE \
 IDP_ENTITY_ID SP_X_509_CERT \
 SP_PRIVATE_KEY

Paramètres :

CEPH_DASHBOARD_BASE_URL

URL de base à laquelle Ceph Dashboard est accessible (par exemple, « https://cephdashboard.local »).

IDP_METADATA

URL, chemin ou contenu du fichier XML de métadonnées IdP (par exemple, « https://myidp/metadata »).

IDP_USERNAME_ATTRIBUTE

Facultatif. Attribut qui sera utilisé pour obtenir le nom d'utilisateur à partir de la réponse d'authentification. Sa valeur par défaut est « uid ».

IDP_ENTITY_ID

Facultatif. Utilisez ce paramètre lorsqu'il existe plusieurs ID d'entité pour les métadonnées IdP.

SP_X_509_CERT / SP_PRIVATE_KEY

Facultatif. Chemin du fichier ou contenu du certificat qui sera utilisé par Ceph Dashboard (Fournisseur de service) pour la signature et le codage. Ces chemins de fichiers doivent être accessibles à partir de l'instance Ceph Manager active.

Note
Note : requêtes SAML

La valeur de l'émetteur des requêtes SAML suivra ce modèle : 

CEPH_DASHBOARD_BASE_URL/auth/saml2/metadata

Pour afficher la configuration SAML 2.0 actuelle, exécutez : 

cephuser@adm > ceph dashboard sso show saml2

Pour désactiver Single Sign-on, exécutez : 

cephuser@adm > ceph dashboard sso disable

Pour vérifier si SSO est activé, exécutez : 

cephuser@adm > ceph dashboard sso status

Pour activer SSO, exécutez : 

cephuser@adm > ceph dashboard sso enable saml2