Per eseguire il login all'applicazione Web del dashboard, puntare il browser verso il relativo URL includendo il numero di porta. È possibile trovare l'indirizzo eseguendo

cephadm@adm > ceph mgr services | grep dashboard
"dashboard": "https://ses-dash-node.example.com:8443/",

Figura 22.1: Schermata di login del Ceph Dashboard #

Per eseguire il login all'applicazione Web del dashboard, è necessario un account utente. In DeepSea viene creato automaticamente un utente "admin" di default con privilegi di amministratore. Se si decide di eseguire il login con l'utente "admin" di default, recuperare la password corrispondente eseguendo

root@master # salt-call grains.get dashboard_creds

Suggerimento: account utente personalizzato

Se non si desidera utilizzare l'account "admin" di default per accedere al Ceph Dashboard, creare un account utente personalizzato con privilegi di amministratore. Per ulteriori dettagli, fare riferimento alla Sezione 22.10, «Gestione di utenti e ruoli sulla riga di comando».

L'interfaccia utente del dashboard è divisa graficamente in più blocchi: il menu dell'utility, il menu principale e il pannello dei contenuti principale.

Figura 22.2: Home page del Ceph Dashboard #

Il menu dell'utility occupa la parte superiore destra della schermata e include i task generali correlati più al dashboard che al cluster Ceph. Facendo clic sulle voci di questo menu, è possibile:

Il menu principale del dashboard occupa la parte superiore sinistra della schermata e copre gli argomenti seguenti:

Il pannello dei contenuti occupa la parte principale della schermata del dashboard. Nella home page del dashboard sono mostrati molti widget utili con informazioni sintetiche sullo stato corrente del cluster, sulla capacità e sulle prestazioni.

Spesso nel Ceph Dashboard si utilizzano elenchi: ad esempio, elenchi di pool, nodi OSD o dispositivi RBD. Tutti gli elenchi si aggiornano automaticamente per default ogni 5 secondi. I seguenti widget comuni consentono di gestire o regolare tali elenchi:

Fare clic su per attivare un aggiornamento manuale dell'elenco.

Fare clic su per visualizzare o nascondere colonne della tabella individuali.

Fare clic su e selezionare il numero di righe da visualizzare in un'unica pagina.

Fare clic all'interno di e filtrare le righe digitando la stringa da ricercare.

Utilizzare per modificare la pagina attualmente visualizzata se l'elenco è distribuito su più pagine.

Ogni widget del dashboard mostra specifiche informazioni sullo stato relative a un determinato aspetto di un cluster Ceph in esecuzione. Alcuni widget sono collegamenti attivi che, dopo essere stati selezionati, reindirizzano l'utente a una pagina dettagliata dell'argomento a cui fanno riferimento.

Suggerimento: ulteriori dettagli al passaggio del mouse

Passando il mouse sopra alcuni widget grafici, è possibile visualizzare ulteriori dettagli.

22.1.6.1 Widget Stato #

I widget Stato forniscono una breve panoramica sullo stato corrente del cluster.

Figura 22.3: Widget Stato #

Stato del cluster

Mostra le informazioni di base sullo stato del cluster.

Monitor

Mostra il numero di monitor in esecuzione e il relativo quorum.

OSD

Mostra il numero totale di OSD, oltre al numero di OSD negli stati "up" e "in".

Manager Daemon

Mostra il numero di Ceph Manager Daemon attivi e in standby.

Hosts

Mostra il numero totale di nodi del cluster.

Object Gateway

Mostra il numero di Object Gateway in esecuzione.

Metadata Server

Mostra il numero di server di metadati.

iSCSI Gateway

Mostra il numero di iSCSI Gateway configurati.

22.1.6.2 Widget Prestazioni #

I widget Prestazioni fanno riferimento ai dati di base sulle prestazioni dei client Ceph.

Figura 22.4: Widget Prestazioni #

IOPS client

Velocità effettiva client

Lettura/scrittura client

Velocità effettiva di recupero

Pulitura

22.1.6.3 Widget Capacità #

I widget Capacità mostrano brevi informazioni sulla capacità di storage.

Figura 22.5: Widget Capacità #

Pool

Mostra il numero di pool nel cluster.

Capacità di base

Mostra il rapporto tra la capacità di storage nominale disponibile e quella utilizzata.

Oggetti

Mostra il numero di oggetti dati memorizzati nel cluster.

Gruppi di posizionamento per OSD

Mostra il numero di gruppi di posizionamento per OSD.

Stato gruppo di posizionamento

Visualizza un grafico dei gruppi di posizionamento in base al relativo stato.

Fare clic su nel menu dell'utility e selezionare Gestione utenti.

L'elenco contiene il nome utente, il nome completo, l'e-mail e l'elenco dei ruoli assegnati di ciascun utente.

Figura 22.6: Gestione utenti #

Fare clic su Aggiungi in alto a sinistra nell'intestazione della tabella per aggiungere un nuovo utente. Immettere il nome utente e la password e facoltativamente il nome completo e l'e-mail.

Figura 22.7: Aggiunta di un utente #

Selezionare l'icona a forma di penna per assegnare i ruoli predefiniti all'utente. Confermare con Create User (Crea utente).

Fare clic sulla riga di tabella corrispondente a un utente e selezionare Modifica per modificarne i dettagli. Confermare con Aggiorna utente.

Fare clic sulla riga di tabella corrispondente a un utente e selezionare Elimina per eliminare l'account utente. Attivare la casella di controllo Sì e confermare con Delete User (Elimina utente).

Fare clic su nel menu dell'utility e selezionare Gestione utenti. Quindi, fare clic sulla scheda Ruoli.

L'elenco contiene il nome e la descrizione di ciascun ruolo e indica se si tratta di un ruolo di sistema.

Figura 22.8: Ruoli dell'utente #

Fare clic su Aggiungi in alto a sinistra nell'intestazione della tabella per aggiungere un nuovo ruolo personalizzato. Immettere il nome e la descrizione e impostare le autorizzazioni necessarie per i singoli argomenti.

Suggerimento: eliminazione definitiva dei ruoli personalizzati

Se si creano ruoli dell'utente personalizzati e si intende rimuovere il cluster Ceph con lo strumento di esecuzione ceph.purge in un secondo momento, è necessario innanzitutto eliminare definitivamente i ruoli personalizzati. Ulteriori dettagli sono disponibili nella Sezione 2.16, «Rimozione dell'intero cluster Ceph».

Figura 22.9: Aggiunta di un ruolo #

Suggerimento: attivazione multipla

Tramite l'attivazione della casella di controllo accanto al nome dell'argomento, si attivano tutte le autorizzazioni correlate a quest'ultimo. Se si attiva la casella di controllo Tutto, si attivano tutte le autorizzazioni correlate a tutti gli argomenti.

Confermare con Create Role (Crea ruolo).

Fare clic sulla riga di tabella corrispondente a un ruolo e selezionare Modifica in alto a sinistra nell'intestazione della tabella per modificare la descrizione e le autorizzazioni del ruolo personalizzato. Confermare con Update Role (Aggiorna ruolo).

Fare clic sulla riga di tabella corrispondente a un ruolo e selezionare Elimina per eliminare il ruolo. Attivare la casella di controllo Sì e confermare con Delete Role (Elimina ruolo).

Fare clic su Cluster › Host per visualizzare un elenco dei nodi del cluster.

Figura 22.10: Hosts #

Fare clic sul nome di un nodo nella colonna Nome host per visualizzare i dettagli sulle prestazioni del nodo.

Nella colonna Servizi sono elencati tutti i daemon in esecuzione in ogni nodo correlato. Fare clic sul nome di un daemon per visualizzare la relativa configurazione dettagliata.

Fare clic su Cluster › Monitor per visualizzare un elenco dei nodi del cluster con Ceph Monitor in esecuzione. Nell'elenco sono inclusi il numero della classificazione, l'indirizzo IP pubblico e il numero di sessioni aperte di ogni monitor.

L'elenco è diviso in due tabelle: una per i Ceph Monitor che si trovano nel quorum e un'altra per i Ceph Monitor che non si trovano nel quorum.

Fare clic sul nome di un nodo nella colonna Nome per visualizzare la configurazione del Ceph Monitor correlato.

Nella tabella Stato sono riportate le statistiche generali relative ai Ceph Monitor in esecuzione.

Figura 22.11: Ceph Monitor #

Fare clic su Cluster › OSD per visualizzare un elenco dei nodi con dischi/daemon OSD in esecuzione. Nell'elenco sono inclusi il nome, lo stato, il numero di gruppi di posizionamento, le dimensioni, l'utilizzo, il grafico delle operazioni di lettura/scrittura nel tempo e la frequenza delle operazioni di lettura/scrittura al secondo di ogni nodo.

Figura 22.12: Ceph OSD #

Fare clic su Set Cluster-wide Flags (Imposta flag in tutto il cluster) nell'intestazione della tabella per far apparire una finestra con un elenco dei flag che si applicano all'intero cluster. È possibile attivare o disattivare i singoli flag e confermare con Invia.

Figura 22.13: Flag OSD #

Fare clic su Set Cluster-wide Recovery Priority (Imposta priorità di recupero in tutto il cluster) nell'intestazione della tabella per aprire una finestra popup con un elenco delle priorità di recupero degli OSD che si applicano all'intero cluster. È possibile attivare il profilo di priorità preferito e ottimizzare i singoli valori di seguito. Confermare con Invia.

Figura 22.14: Priorità di recupero OSD #

Fare clic sul nome di un nodo nella colonna Host per visualizzare una tabella estesa con i dettagli sulle prestazioni e sull'impostazione dell'OSD. Sfogliando le diverse schede, è possibile visualizzare gli elenchi Attributi, Metadati, Contatore delle prestazioni e un Istogramma delle operazioni di lettura e di scrittura.

Figura 22.15: Dettagli OSD #

Suggerimento: esecuzione di task specifici sugli OSD

Dopo aver fatto clic sul nome di un nodo OSD, la relativa riga di tabella cambia leggermente colore, per indicare che è possibile eseguire un task sul nodo. Fare clic sulla freccia in giù in alto a sinistra nell'intestazione della tabella e selezionare un task da eseguire, ad esempio Pulitura approfondita. Se si desidera, immettere un valore obbligatorio per il task e confermare per eseguirlo sul nodo.

Fare clic su Cluster › Configurazione per visualizzare un elenco completo delle opzioni di configurazione del cluster Ceph. L'elenco contiene il nome dell'opzione, una sua breve descrizione e i valori correnti e di default.

Figura 22.16: Configurazione del cluster #

Fare clic su una specifica riga di opzione per evidenziare e visualizzare le relative informazioni dettagliate, come il tipo di valore, i valori minimo e massimo consentiti, la possibilità di aggiornamento al runtime e molto altro.

Dopo aver evidenziato un'opzione specifica, è possibile modificarne i valori facendo clic sul pulsante Modifica in alto a sinistra nell'intestazione della tabella. Confermare le modifiche con Salva.

Fare clic su Cluster › Mappa CRUSH per visualizzare una mappa CRUSH del cluster. Per ulteriori informazioni generali sulle mappe CRUSH, fare riferimento alla Sezione 9.5, «Modifica della mappa CRUSH».

Fare clic sulla radice, sui nodi o sui singoli OSD per visualizzare altri dettagli, come il peso crush, la profondità nell'albero della mappa, la classe di dispositivi dell'OSD e molto altro.

Figura 22.17: Mappa CRUSH #

Fare clic su Cluster › Moduli Manager per visualizzare un elenco dei moduli Ceph Manager disponibili. Ogni riga contiene il nome del modulo e informazioni sul suo stato di abilitazione o disabilitazione.

Figura 22.18: Moduli Manager #

Dopo aver evidenziato un modulo specifico, è possibile visualizzare le relative impostazioni dettagliate nella tabella Dettagli riportata di seguito. Modificarle facendo clic sul pulsante Modifica in alto a sinistra nell'intestazione della tabella. Confermare le modifiche con Aggiorna.

Fare clic su Cluster › Log per visualizzare un elenco delle voci di log recenti del cluster. Ogni riga contiene la registrazione dell'orario, il tipo di voce del log e il messaggio registrato.

Fare clic sulla scheda Log delle revisioni per visualizzare le voci di log del sottosistema di revisione. Fare riferimento alla Sezione 22.10.4, «Revisione» per i comandi di abilitazione o disabilitazione della revisione.

Figura 22.19: Log #

Per aggiungere un nuovo pool, fare clic su Aggiungi in alto a sinistra nella tabella dei pool. Nel modulo del pool è possibile immettere il nome, il tipo, il numero di gruppi di posizionamento del pool, nonché ulteriori informazioni come le applicazioni, la modalità di compressione e l'algoritmo del pool. Tale modulo calcola in anticipo il numero di gruppi di posizionamento più adatto per il pool specifico. Tale calcolo si basa sul numero di OSD nel cluster e sul tipo di pool selezionato con le relative impostazioni specifiche. Non appena viene impostato manualmente, il numero dei gruppi di posizionamento viene sostituito da un numero calcolato. Confermare con Create pool (Crea pool).

Figura 22.21: Aggiunta di un nuovo pool #

Per eliminare un pool, fare clic sulla relativa riga di tabella e su Elimina in alto a sinistra nella tabella dei pool.

Per modificare le opzioni di un pool, fare clic sulla relativa riga di tabella e selezionare Modifica in alto a sinistra nella tabella dei pool.

È possibile modificare il nome del pool, aumentare il numero di gruppi di posizionamento e modificare l'elenco delle applicazioni e delle impostazioni di compressione del pool. Confermare con Edit pool (Modifica pool).

Per visualizzare altri dettagli su un dispositivo, fare clic sulla relativa riga nella tabella:

Figura 22.23: Dettagli RBD #

Per visualizzare la configurazione dettagliata di un dispositivo, fare clic sulla relativa riga nella tabella e sulla scheda Configurazione nella tabella inferiore:

Figura 22.24: Configurazione RBD #

Per aggiungere un nuovo dispositivo, fare clic su Aggiungi in alto a sinistra nell'intestazione della tabella ed eseguire le operazioni seguenti nella schermata Create RBD (Crea RBD):

Figura 22.25: Aggiunta di un nuovo RBD #

Per eliminare un dispositivo, fare clic sulla relativa riga nella tabella e selezionare Elimina in alto a sinistra nell'intestazione della tabella. Confermare l'eliminazione con Delete RBD (Elimina RBD).

Suggerimento: spostamento degli RBD nel cestino

L'eliminazione di un RBD è un'azione irreversibile. Se invece si seleziona l'opzione Sposta nel cestino, è possibile ripristinare il dispositivo in un secondo momento selezionandolo nella scheda Cestino della tabella principale e facendo clic su Ripristina in alto a sinistra nell'intestazione della tabella.

Per creare una snapshot di un dispositivo di blocco RADOS, fare clic sulla relativa riga di tabella e, nella scheda Snapshot sotto la tabella principale, fare clic su Crea in alto a sinistra nell'intestazione della tabella. Immettere il nome della snapshot e confermare con Create Snapshot (Crea snapshot).

Dopo aver selezionato una snapshot, è possibile eseguire ulteriori azioni sul dispositivo, ad esempio rinominarlo, proteggerlo, clonarlo, copiarlo o eliminarlo. L'opzione Rollback consente di ripristinare lo stato del dispositivo dallo snapshot attuale.

Figura 22.26: Snapshot RBD #

Suggerimento: ulteriori informazioni sugli iSCSI Gateway

Per ulteriori informazioni generali sugli iSCSI Gateway, fare riferimento a Capitolo 10, Installazione di iSCSI Gateway e Capitolo 18, Ceph iSCSI Gateway.

Per visualizzare un elenco di tutti i gateway e le immagini mappate disponibili, fare clic su Blocco › iSCSI nel menu principale. Si apre la scheda Panoramica, in cui vengono elencati gli iSCSI Gateway attualmente configurati e le immagini RBD mappate.

Nella tabella dei gateway sono elencati lo stato, il numero di destinazioni iSCSI e il numero di sessioni di ogni gateway. Nella tabella Immagini sono elencati il nome, il nome del pool correlato, il tipo di backstore e altri dettagli statistici di ciascuna immagine mappata.

Nella scheda Destinazioni sono elencate le destinazioni iSCSI attualmente configurate.

Figura 22.27: Elenco delle destinazioni iSCSI #

Per visualizzare altri dettagli su una destinazione, fare clic sulla relativa riga di tabella. Si apre uno schema con struttura ad albero in cui sono elencati i dischi, i portali, gli iniziatori e i gruppi. Fare clic su un elemento per espanderlo e visualizzare i relativi contenuti dettagliati, facoltativamente insieme alla configurazione correlata, nella tabella a destra.

Figura 22.28: Dettagli sulla destinazione iSCSI #

22.5.6.1 Aggiunta di destinazioni iSCSI #

Per aggiungere una nuova destinazione iSCSI, fare clic su Aggiungi in alto a sinistra nella tabella Destinazioni e immettere le informazioni richieste.

Figura 22.29: Aggiunta di una nuova destinazione #

1. Immettere l'indirizzo di destinazione del nuovo gateway.

2. Fare clic su Add portal (Aggiungi portale) e selezionare uno o più portali iSCSI dall'elenco.

3. Fare clic su Add image (Aggiungi immagine) e selezionare una o più immagini RBD per il gateway.

4. Se è necessario utilizzare l'autenticazione per accedere al gateway, attivare la casella di controllo Authentication (Autenticazione) e immettere le credenziali. Ulteriori opzioni di autenticazione avanzata sono disponibili dopo l'attivazione di Mutual authentication (Autenticazione reciproca) e Discovery authentication (Autenticazione di rilevazione).

5. Confermare con Create Target (Crea destinazione).

Suggerimento: per ulteriori informazioni

Per ulteriori informazioni generali e per una descrizione delle opzioni di configurazione QoS RBD, fare riferimento alla Sezione 12.6, «Impostazioni QoS».

È possibile configurare le opzioni QoS a livelli diversi.

La configurazione globale si trova in cima all'elenco e verrà utilizzata per tutte le immagini RBD di nuova creazione e per quelle immagini che non ignorano tali valori sul livello di pool o di immagine RBD. Un valore di opzione specificato globalmente può essere ignorato per ogni singolo pool o per ogni singola immagine. Le opzioni specificate in un pool verranno applicate a tutte le immagini RBD di tale pool a meno che non siano sostituite da un'opzione di configurazione impostata in un'immagine. Le opzioni specificate in un'immagine sostituiranno quelle specificate globalmente e quelle specificate in un pool.

In questo modo, è possibile definire i valori di default globalmente, adattarli a tutte le immagini RBD di un pool specifico e sostituire la configurazione del pool per le singole immagini RBD.

22.5.7.2 Configurazione delle opzioni in un nuovo pool #

Per creare un nuovo pool e configurarvi le opzioni di configurazione RBD, fare clic su Pool › Crea. Selezionare replicated (replicato) come tipo di pool. Sarà quindi necessario aggiungere il tag applicazione rbd al pool per poter configurare le opzioni QoS RBD.

Nota

Non è possibile configurare le opzioni di configurazione QoS RBD sui pool con codice di cancellazione. A questo scopo, è necessario modificare il pool dei metadati replicato di un'immagine RBD. La configurazione verrà quindi applicata al pool di dati con codice di cancellazione di tale immagine.

22.5.7.3 Configurazione delle opzioni in un pool esistente #

Per configurare le opzioni QoS RBD in un pool esistente, fare clic su Pool, quindi sulla riga di tabella corrispondente al pool e selezionare Modifica in alto a sinistra nella tabella.

Dovrebbe aprirsi la sezione Configurazione RBD nella finestra di dialogo, seguita dalla sezione Qualità di servizio.

Nota

Se le sezioni Configurazione RBD o Qualità di servizio non vengono visualizzate, è possibile che si stia modificando un pool con codice di cancellazione (erasure coded), il quale non può essere utilizzato per impostare le opzioni di configurazione RBD, o che il pool non sia configurato per l'utilizzo da parte delle immagini RBD. Nell'ultimo caso, assegnare il tag applicazione rbd al pool per visualizzare le sezioni di configurazione corrispondenti.

Suggerimento: informazioni generali

Per informazioni generali e sull'approccio della riga di comando alla copia speculare del dispositivo di blocco RADOS, fare riferimento alla Sezione 12.4, «Esecuzione di copia speculare».

È possibile utilizzare il Ceph Dashboard per configurare la replica delle immagini RBD tra due o più cluster.

22.5.8.1 Cluster primari e secondari #

Nel cluster primario viene creato il pool originale con le immagini. Nei cluster secondari vengono replicati il pool/le immagini dal cluster primario.

Nota: denominazione relativa

I termini primario e secondario possono essere relativi nel contesto della replica, perché fanno riferimento più ai singoli pool che ai cluster. Ad esempio, nella replica bidirezionale, è possibile eseguire la copia speculare di un pool dal cluster primario a quello secondario mentre è in corso la copia speculare di un altro pool dal cluster secondario a quello primario.

Per aggiungere una nuova esportazione NFS, fare clic su Add (Aggiungi) in alto a sinistra della tabella delle esportazioni e immettere le informazioni richieste.

Figura 22.40: Aggiunta di una nuova esportazione NFS #

Per eliminare un'esportazione, fare clic sulla relativa riga di tabella e selezionare Elimina in alto a sinistra nella tabella delle esportazioni.

Per modificare un'esportazione esistente, fare clic sulla relativa riga di tabella e su Modifica in alto a sinistra nella tabella delle esportazioni.

Quindi, è possibile regolare tutti i dettagli dell'esportazione NFS.

Figura 22.41: Modifica di un'esportazione NFS #

Fare clic su File system nel menu principale per visualizzare la panoramica dei file system configurati. Nella tabella principale viene mostrato il nome e la data di creazione di ciascun file system e informazioni sul relativo stato di abilitazione o disabilitazione.

Facendo clic sulla riga di tabella corrispondente a un file system, sarà possibile visualizzare i dettagli sulla classificazione e sui pool aggiunti a quest'ultimo.

Figura 22.42: Dettagli CephFS #

Nella parte inferiore della schermata, è possibile visualizzare le statistiche con il numero in tempo reale degli inode MDS e delle richieste client correlati.

Fare clic su Object Gateway › Daemon per visualizzare un elenco degli Object Gateway configurati. L'elenco include l'ID del gateway, il nome host del nodo del cluster su cui è in esecuzione il daemon del gateway e il numero di versione del gateway.

Per visualizzare informazioni dettagliate sul gateway, fare clic sulla relativa riga di tabella. Nella scheda Contatori delle prestazioni vengono mostrati i dettagli delle operazioni di lettura/scrittura e le statistiche sulla cache.

Figura 22.43: Dettagli del gateway #

Fare clic su Object Gateway › Utenti per visualizzare un elenco degli utenti di Object Gateway esistenti.

Fare clic sulla riga di tabella corrispondente a un utente per visualizzare i dettagli dell'account utente, ad esempio le informazioni sullo stato o i dettagli della quota utenti e compartimenti.

Figura 22.44: Utenti Gateway #

22.8.2.1 Aggiunta di un nuovo utente Gateway #

Per aggiungere un nuovo utente Gateway, fare clic su Aggiungi in alto a sinistra nell'intestazione della tabella. Inserire le credenziali, i dettagli della chiave S3 e della quota utenti/compartimenti, quindi confermare con Aggiungi.

Figura 22.45: Aggiunta di un nuovo utente Gateway #

I compartimenti Object Gateway (OGW) implementano la funzionalità dei container di OpenStack Swift e fungono da container per la memorizzazione degli oggetti dati.

Fare clic su Object Gateway › Compartimenti per visualizzare un elenco dei compartimenti OGW.

22.8.3.2 Visualizzazione dei dettagli compartimento #

Per visualizzare informazioni dettagliate su un compartimento OGW, fare clic sulla relativa riga di tabella.

Figura 22.46: Dettagli compartimento gateway #

Suggerimento: quota compartimento

Sotto la tabella Dettagli, è possibile trovare i dettagli delle impostazioni relative alla quota compartimenti.

Per default, tutte le connessioni HTTP al dashboard sono protette da SSL/TLS. Per la connessione sicura è necessario un certificato SSL. È possibile utilizzare un certificato firmato da se stessi o generarne uno e farlo firmare da un'autorità di certificazione (CA) nota.

Suggerimento: disabilitazione di SSL

In alcune situazioni, potrebbe essere opportuno disabilitare il supporto SSL. Ad esempio, se il dashboard è in esecuzione dietro un proxy che non supporta SSL.

Prestare attenzione quando si disabilita SSL poiché i nomi utente e le password verranno inviati al dashboard senza cifratura.

Per disabilitare SSL eseguire:

cephadm@adm > ceph config set mgr mgr/dashboard/ssl false

Suggerimento: riavvio dei processi di Ceph Manager

In seguito alla modifica del certificato e della chiave SSL, è necessario riavviare manualmente i processi di Ceph Manager. Per farlo, eseguire

cephadm@adm > ceph mgr failACTIVE-MANAGER-NAME

o disabilitare e riabilitare il modulo del dashboard (questa azione comporta inoltre la rigenerazione del manager):

cephadm@adm > ceph mgr module disable dashboard
cephadm@adm > ceph mgr module enable dashboard

22.9.1.1 Certificati firmati da se stessi #

La procedura di creazione di un certificato firmato da se stessi per la comunicazione sicura è semplice. In questo modo è possibile rendere operativo il dashboard più rapidamente.

Nota: complain dei browser Web

La maggior parte dei browser Web creerà un complain relativo al certificato firmato da se stessi e richiederà una conferma esplicita prima di stabilire una connessione sicura al dashboard.

Per generare e installare un certificato firmato da se stessi, utilizzare il seguente comando integrato:

cephadm@adm > ceph dashboard create-self-signed-cert

22.9.1.2 Certificati firmati dalla CA #

Per proteggere correttamente la connessione al dashboard ed eliminare i complain del browser Web per i certificati firmati da se stessi, si consiglia di utilizzare un certificato firmato da una CA.

È possibile generare una coppia di chiavi di certificato con un comando simile al seguente:

root # openssl req -new -nodes -x509 \
  -subj "/O=IT/CN=ceph-mgr-dashboard" -days 3650 \
  -keyout dashboard.key -out dashboard.crt -extensions v3_ca

Il comando riportato sopra consente di generare i file dashboard.key e dashboard.crt. Dopo aver ottenuto il file dashboard.crt firmato dalla CA, abilitarlo per tutte le istanze di Ceph Manager eseguendo i comandi seguenti:

cephadm@adm > ceph config-key set mgr/dashboard/crt -i dashboard.crt
cephadm@adm > ceph config-key set mgr/dashboard/key -i dashboard.key

Suggerimento: certificati diversi per ogni istanza del Manager

Se sono richiesti certificati diversi per ogni istanza di Ceph Manager, modificare i comandi e includere il nome dell'istanza come segue. Sostituire NAME con il nome dell'istanza di Ceph Manager (in genere il nome host correlato):

cephadm@adm > ceph config-key set mgr/dashboard/NAME/crt -i dashboard.crt
cephadm@adm > ceph config-key set mgr/dashboard/NAME/key -i dashboard.key

L'applicazione Web del Ceph Dashboard è associata a un indirizzo TCP/IP e a una porta TCP specifici. Per default, il Ceph Manager attualmente attivo che ospita il dashboard è associato alla porta TCP 8443 (o alla porta 8080 se SSL è disabilitato).

Per default, l'applicazione Web del dashboard è associata a "::", che corrisponde a tutti gli indirizzi IPv4 e IPv6 disponibili. È possibile modificare l'indirizzo IP e il numero di porta dell'applicazione Web per fare in modo che vengano applicati a tutte le istanze di Ceph Manager utilizzando i comandi seguenti:

cephadm@adm > ceph config set mgr mgr/dashboard/server_addr IP_ADDRESS
cephadm@adm > ceph config set mgr mgr/dashboard/server_port PORT_NUMBER

Suggerimento: configurazione delle istanze di Ceph Manager separatamente

Dal momento che ogni daemon ceph-mgr ospita la propria istanza del dashboard, potrebbe essere necessario configurare separatamente tali istanze. Modificare l'indirizzo IP e il numero di porta di un'istanza del Manager specifica utilizzando i comandi seguenti (sostituire NAME con l'ID dell'istanza ceph-mgr):

cephadm@adm > ceph config set mgr mgr/dashboard/NAME/server_addr IP_ADDRESS
cephadm@adm > ceph config set mgr mgr/dashboard/NAME/server_port PORT_NUMBER

Suggerimento: elenco degli endpoint configurati

Il comando ceph mgr services consente di visualizzare tutti gli endpoint attualmente configurati. Cercare la chiave "dashboard" per ottenere l'URL per l'accesso al dashboard.

Se non si desidera utilizzare l'account amministratore di default, creare un account utente diverso e associarlo almeno a un ruolo. Viene fornito un set di ruoli di sistema predefiniti che è possibile utilizzare. Per ulteriori informazioni, fare riferimento a Sezione 22.10, «Gestione di utenti e ruoli sulla riga di comando».

Per creare un utente con privilegi di amministratore, utilizzare il comando seguente:

cephadm@adm > ceph dashboard ac-user-create USER_NAME PASSWORD administrator

Per utilizzare la funzionalità di gestione di Object Gateway del dashboard, è necessario specificare le credenziali di login di un utente con il flag "system" abilitato:

Vi sono diversi aspetti da considerare:

Single Sign-On (SSO) è un metodo di controllo dell'accesso che consente agli utenti di eseguire contemporaneamente il login su più applicazioni utilizzando un solo ID e una sola password.

Il Ceph Dashboard supporta l'autenticazione esterna degli utenti tramite il protocollo SAML 2.0. Dal momento che l'autorizzazione viene comunque eseguita dal dashboard, è necessario innanzitutto creare gli account utente e associarli ai ruoli desiderati. Tuttavia, il processo di autenticazione può essere eseguito da un provider di identità (IdP) esistente.

Per configurare Single Sign-On, utilizzare il comando seguente:

cephadm@adm > ceph dashboard sso setup saml2 CEPH_DASHBOARD_BASE_URL \
 IDP_METADATA IDP_USERNAME_ATTRIBUTE \
 IDP_ENTITY_ID SP_X_509_CERT \
 SP_PRIVATE_KEY

Parametri:

Nota: richieste SAML

Il valore dell'autorità di certificazione delle richieste SAML seguirà questo modello:

CEPH_DASHBOARD_BASE_URL/auth/saml2/metadata

Per visualizzare la configurazione SAML 2.0 corrente, eseguire:

cephadm@adm > ceph dashboard sso show saml2

Per disabilitare Single Sign-On, eseguire:

cephadm@adm > ceph dashboard sso disable

Per verificare se SSO è abilitato, eseguire:

cephadm@adm > ceph dashboard sso status

Per abilitare SSO eseguire:

cephadm@adm > ceph dashboard sso enable saml2

Il Ceph Dashboard supporta la gestione di più account utente. Ogni account utente include un nome utente, una password (memorizzata in formato cifrato tramite il comando bcrypt), un nome facoltativo e un indirizzo e-mail facoltativo.

Gli account utente sono memorizzati nel database di configurazione di Ceph Monitor e sono condivisi a livello globale su tutte le istanze di Ceph Manager.

Utilizzare i comandi seguenti per gestire gli account utente:

Questa sezione descrive gli ambiti di sicurezza che è possibile assegnare a un ruolo dell'utente e come gestire i ruoli dell'utente e assegnarli agli account utente.

22.10.2.2 Ruoli dell'utente #

Un ruolo consente di specificare un set di mappature tra un ambito di sicurezza e un set di autorizzazioni. Vi sono quattro tipi di autorizzazioni: "read" (lettura), "create" (creazione), "update" (aggiornamento) e "delete" (eliminazione).

Nell'esempio seguente viene specificato un ruolo in cui l'utente dispone delle autorizzazioni "read" e "create" per le funzioni relative alla gestione del pool e delle autorizzazioni complete per le funzioni relative alla gestione delle immagini RBD:

{
  'role': 'my_new_role',
  'description': 'My new role',
  'scopes_permissions': {
    'pool': ['read', 'create'],
    'rbd-image': ['read', 'create', 'update', 'delete']
  }
}

Nel dashboard è già fornito un set di ruoli predefiniti denominati ruoli di sistema. È possibile utilizzarli immediatamente dopo l'installazione da zero del Ceph Dashboard:

amministratore

Fornisce le autorizzazioni complete per tutti gli ambiti di sicurezza.

sola lettura

Fornisce l'autorizzazione in lettura per tutti gli ambiti di sicurezza a eccezione delle impostazioni del dashboard.

block-manager

Fornisce le autorizzazioni complete per gli ambiti "rbd-image", "rbd-mirroring" e "iscsi".

rgw-manager

Fornisce le autorizzazioni complete per l'ambito "rgw".

cluster-manager

Fornisce le autorizzazioni complete per gli ambiti "hosts", "osd", "monitor", "manager" e "config-opt".

pool-manager

Fornisce le autorizzazioni complete per l'ambito "pool".

cephfs-manager

Fornisce le autorizzazioni complete per l'ambito "cephfs".

22.10.2.2.1 Gestione dei ruoli personalizzati #

È possibile creare nuovi ruoli dell'utente utilizzando i comandi seguenti:

Per creare un nuovo ruolo:

cephadm@adm > ceph dashboard ac-role-create ROLENAME [DESCRIPTION]

Per eliminare un ruolo:

cephadm@adm > ceph dashboard ac-role-delete ROLENAME

Per aggiungere autorizzazioni di ambito a un ruolo:

cephadm@adm > ceph dashboard ac-role-add-scope-perms ROLENAME SCOPENAME PERMISSION [PERMISSION...]

Per eliminare le autorizzazioni di ambito da un ruolo:

cephadm@adm > ceph dashboard ac-role-del-perms ROLENAME SCOPENAME

22.10.2.2.2 Assegnazione dei ruoli agli account utente #

Utilizzare i comandi seguenti per assegnare i ruoli agli utenti:

Per impostare i ruoli dell'utente:

cephadm@adm > ceph dashboard ac-user-set-roles USERNAME ROLENAME [ROLENAME ...]

Per aggiungere ulteriori ruoli a un utente:

cephadm@adm > ceph dashboard ac-user-add-roles USERNAME ROLENAME [ROLENAME ...]

Per eliminare i ruoli da un utente:

cephadm@adm > ceph dashboard ac-user-del-roles USERNAME ROLENAME [ROLENAME ...]

Suggerimento: eliminazione definitiva dei ruoli personalizzati

Se si creano ruoli dell'utente personalizzati e si intende rimuovere il cluster Ceph con lo strumento di esecuzione ceph.purge in un secondo momento, è necessario innanzitutto eliminare definitivamente i ruoli personalizzati. Ulteriori dettagli sono disponibili nella Sezione 2.16, «Rimozione dell'intero cluster Ceph».

22.10.2.2.3 Esempio: creazione di un utente e di un ruolo personalizzato #

Questa sezione illustra la procedura di creazione di un account utente in grado di gestire le immagini RBD, visualizzare e creare pool Ceph e con l'accesso in sola lettura a qualsiasi altro ambito.

1. Creare un utente denominato "tux":

    cephadm@adm > ceph dashboard ac-user-create tux PASSWORD

2. Creare un ruolo e specificare le autorizzazioni di ambito:

   cephadm@adm > ceph dashboard ac-role-create rbd/pool-manager
   cephadm@adm > ceph dashboard ac-role-add-scope-perms rbd/pool-manager \
    rbd-image read create update delete
   cephadm@adm > ceph dashboard ac-role-add-scope-perms rbd/pool-manager pool read create

3. Associare i ruoli all'utente "tux":

   cephadm@adm > ceph dashboard ac-user-set-roles tux rbd/pool-manager read-only

Se si effettua l'accesso al dashboard tramite una configurazione di proxy inverso, potrebbe essere necessario fornirlo tramite un prefisso URL. Per fare in modo che il dashboard utilizzi i collegamenti ipertestuali che includono il prefisso specificato, è possibile configurare l'impostazione url_prefix:

cephadm@adm > ceph config set mgr mgr/dashboard/url_prefix URL_PREFIX

Quindi, è possibile accedere al dashboard all'indirizzo http://HOST_NAME:PORT_NUMBER/URL_PREFIX/.

L'API REST del Ceph Dashboard è in grado di registrare le richieste PUT, POST e DELETE sul log di revisione di Ceph. La funzione di registrazione è disabilita per default, ma è possibile abilitarla con il comando seguente:

cephadm@adm > ceph dashboard set-audit-api-enabled true

Se abilitata, per ciascuna richiesta vengono registrati i parametri seguenti:

Una voce di log di esempio ha il seguente aspetto:

2019-02-06 10:33:01.302514 mgr.x [INF] [DASHBOARD] \
 from='https://[::ffff:127.0.0.1]:37022' path='/api/rgw/user/exu' method='PUT' \
 user='admin' params='{"max_buckets": "1000", "display_name": "Example User", "uid": "exu", "suspended": "0", "email": "user@example.com"}'

Suggerimento: disabilitazione della registrazione del payload della richiesta

La registrazione del payload della richiesta (l'elenco degli argomenti e dei relativi valori) è abilitata per default. È possibile disabilitarla nel modo seguente:

cephadm@adm > ceph dashboard set-audit-api-log-payload false