Vai al contenutoNaviga tra le pagine: pagina precedente [tasto di scelta p]/pagina successiva [tasto di scelta n]
documentation.suse.com / Documentazione di SUSE Enterprise Storage 7.1 / Guida all'amministrazione e alle operazioni / Ceph Dashboard / Configurazione manuale
Si applica a SUSE Enterprise Storage 7.1

10 Configurazione manuale

Questa sezione fornisce informazioni avanzate per gli utenti che preferiscono configurare manualmente le impostazioni del dashboard nella riga di comando.

10.1 Configurazione del supporto TLS/SSL

Per default, tutte le connessioni HTTP al dashboard sono protette da TLS/SSL. Per la connessione sicura è necessario un certificato SSL. È possibile utilizzare un certificato firmato da se stessi o generarne uno e farlo firmare da un'autorità di certificazione (CA) nota.

Suggerimento
Suggerimento: disabilitazione di SSL

In alcune situazioni, potrebbe essere opportuno disabilitare il supporto SSL. Ad esempio, se il dashboard è in esecuzione dietro un proxy che non supporta SSL.

Prestare attenzione quando si disabilita SSL poiché i nomi utente e le password verranno inviati al dashboard senza cifratura.

Per disabilitare SSL eseguire:

cephuser@adm > ceph config set mgr mgr/dashboard/ssl false
Suggerimento
Suggerimento: riavvio dei processi del Ceph Manager

In seguito alla modifica del certificato e della chiave SSL, è necessario riavviare manualmente i processi di Ceph Manager. Per farlo, eseguire

cephuser@adm > ceph mgr fail ACTIVE-MANAGER-NAME

o disabilitare e riabilitare il modulo del dashboard (questa azione comporta inoltre la rigenerazione del manager):

cephuser@adm > ceph mgr module disable dashboard
cephuser@adm > ceph mgr module enable dashboard

10.1.1 Creazione di certificati autofirmati

La procedura di creazione di un certificato firmato da se stessi per la comunicazione sicura è semplice. In questo modo è possibile rendere operativo il dashboard più rapidamente.

Nota
Nota: complain del browser Web

La maggior parte dei browser Web creerà un complain relativo al certificato firmato da se stessi e richiederà una conferma esplicita prima di stabilire una connessione sicura al dashboard.

Per generare e installare un certificato firmato da se stessi, utilizzare il seguente comando integrato:

cephuser@adm > ceph dashboard create-self-signed-cert

10.1.2 Utilizzo dei certificati firmati dall'autorità di certificazione

Per proteggere correttamente la connessione al dashboard ed eliminare i complain del browser Web per i certificati firmati da se stessi, si consiglia di utilizzare un certificato firmato da una CA.

È possibile generare una coppia di chiavi di certificato con un comando simile al seguente:

# openssl req -new -nodes -x509 \
  -subj "/O=IT/CN=ceph-mgr-dashboard" -days 3650 \
  -keyout dashboard.key -out dashboard.crt -extensions v3_ca

Il comando riportato sopra consente di generare i file dashboard.key e dashboard.crt. Dopo aver ottenuto il file dashboard.crt firmato dalla CA, abilitarlo per tutte le istanze di Ceph Manager eseguendo i comandi seguenti:

cephuser@adm > ceph dashboard set-ssl-certificate -i dashboard.crt
cephuser@adm > ceph dashboard set-ssl-certificate-key -i dashboard.key
Suggerimento
Suggerimento: certificati diversi per ogni istanza del Manager

Se sono richiesti certificati diversi per ogni istanza di Ceph Manager, modificare i comandi e includere il nome dell'istanza come segue. Sostituire NAME con il nome dell'istanza di Ceph Manager (in genere il nome host correlato):

cephuser@adm > ceph dashboard set-ssl-certificate NAME -i dashboard.crt
cephuser@adm > ceph dashboard set-ssl-certificate-key NAME -i dashboard.key

10.2 Modifica del nome host e del numero di porta

Il Ceph Dashboard è associato a un indirizzo TCP/IP e a una porta TCP specifici. Per default, il Ceph Manager attualmente attivo che ospita il dashboard è associato alla porta TCP 8443 (o alla porta 8080 se SSL è disabilitato).

Nota
Nota

Se sugli host che eseguono Ceph Manager (e di conseguenza il Ceph Dashboard) è abilitato un firewall, potrebbe essere necessario modificare la configurazione per abilitare l'accesso a queste porte. Per ulteriori informazioni sulle impostazioni del firewall per Ceph, vedere Section 13.7, “Firewall settings for Ceph”.

Per default, il Ceph Dashboard è associato a "::", corrispondente a tutti gli indirizzi IPv4 e IPv6 disponibili. È possibile modificare l'indirizzo IP e il numero di porta dell'applicazione Web per fare in modo che vengano applicati a tutte le istanze di Ceph Manager utilizzando i comandi seguenti:

cephuser@adm > ceph config set mgr mgr/dashboard/server_addr IP_ADDRESS
cephuser@adm > ceph config set mgr mgr/dashboard/server_port PORT_NUMBER
Suggerimento
Suggerimento: configurazione delle istanze di Ceph Manager separatamente

Dal momento che ogni daemon ceph-mgr ospita la propria istanza del dashboard, potrebbe essere necessario configurare separatamente tali istanze. Modificare l'indirizzo IP e il numero di porta di un'istanza del Manager specifica utilizzando i comandi seguenti (sostituire NAME con l'ID dell'istanza ceph-mgr):

cephuser@adm > ceph config set mgr mgr/dashboard/NAME/server_addr IP_ADDRESS
cephuser@adm > ceph config set mgr mgr/dashboard/NAME/server_port PORT_NUMBER
Suggerimento
Suggerimento: elenco degli endpoint configurati

Il comando ceph mgr services consente di visualizzare tutti gli endpoint attualmente configurati. Cercare la chiave dashboard per ottenere l'URL per l'accesso al dashboard.

10.3 Regolazione dei nomi utente e delle password

Se non si desidera utilizzare l'account amministratore di default, creare un account utente diverso e associarlo almeno a un ruolo. Viene fornito un set di ruoli di sistema predefiniti che è possibile utilizzare. Per ulteriori informazioni, fare riferimento a Capitolo 11, Gestione di utenti e ruoli sulla riga di comando.

Per creare un utente con privilegi di amministratore, utilizzare il comando seguente:

cephuser@adm > ceph dashboard ac-user-create USER_NAME PASSWORD administrator

10.4 Abilitazione del front-end di gestione di Object Gateway

Per utilizzare la funzionalità di gestione di Object Gateway del dashboard, è necessario immettere le credenziali di login di un utente con il flag system abilitato:

  1. Se non si dispone di un utente con il flag system, crearne uno:

    cephuser@adm > radosgw-admin user create --uid=USER_ID --display-name=DISPLAY_NAME --system

    Annotare le chiavi access_key e secret_key nell'output del comando.

  2. È possibile inoltre ottenere le credenziali di un utente esistente utilizzando il comando radosgw-admin:

    cephuser@adm > radosgw-admin user info --uid=USER_ID
  3. Fornire al dashboard le credenziali ricevute in file separati:

    cephuser@adm > ceph dashboard set-rgw-api-access-key ACCESS_KEY_FILE
    cephuser@adm > ceph dashboard set-rgw-api-secret-key SECRET_KEY_FILE
Nota
Nota

Per default, il firewall è abilitato in SUSE Linux Enterprise Server 15 SP3. Per ulteriori informazioni sulla configurazione del firewall, vedere Section 13.7, “Firewall settings for Ceph”.

Vi sono diversi aspetti da considerare:

  • Il nome host e il numero di porta di Object Gateway vengono determinati automaticamente.

  • Se sono utilizzate più zone, l'host all'interno del gruppo di zone master e della zona master verrà determinato automaticamente. Queste impostazioni sono sufficienti per la maggior parte delle configurazioni, ma in alcuni casi è consigliabile impostare manualmente il nome host e la porta:

    cephuser@adm > ceph dashboard set-rgw-api-host HOST
    cephuser@adm > ceph dashboard set-rgw-api-port PORT
  • Potrebbero essere necessarie queste impostazioni aggiuntive:

    cephuser@adm > ceph dashboard set-rgw-api-scheme SCHEME  # http or https
    cephuser@adm > ceph dashboard set-rgw-api-admin-resource ADMIN_RESOURCE
    cephuser@adm > ceph dashboard set-rgw-api-user-id USER_ID
  • Se si utilizza un certificato firmato da se stessi (Sezione 10.1, «Configurazione del supporto TLS/SSL») nella configurazione Object Gateway, disabilitare la verifica del certificato nel dashboard per evitare connessioni rifiutate a causa di certificati firmati da una CA sconosciuta o non corrispondenti al nome host:

    cephuser@adm > ceph dashboard set-rgw-api-ssl-verify False
  • Se Object Gateway impiega troppo tempo per elaborare le richieste e si verificano timeout sul dashboard, è possibile modificare il valore di timeout (impostato per default su 45 secondi):

    cephuser@adm > ceph dashboard set-rest-requests-timeout SECONDS

10.5 Abilitazione della gestione iSCSI

Il Ceph Dashboard gestisce le destinazioni iSCSI tramite l'API REST fornita dal servizio rbd-target-api di Ceph iSCSI Gateway. Assicurarsi che sia installata e abilitata sugli iSCSI Gateway.

Nota
Nota

La funzionalità di gestione di iSCSI del Ceph Dashboard dipende dalla versione 3 più recente del progetto ceph-iscsi. Assicurarsi che il sistema operativo fornisca la versione corretta, altrimenti il Ceph Dashboard non abiliterà le funzioni di gestione.

Se l'API REST ceph-iscsi è configurata in modalità HTTPS e utilizza un certificato autofirmato, configurare il dashboard in modo che eviti la verifica del certificato SSL durante l'accesso all'API ceph-iscsi.

Disabilitare la verifica SSL dell'API:

cephuser@adm > ceph dashboard set-iscsi-api-ssl-verification false

Definire i gateway iSCSI disponibili:

cephuser@adm > ceph dashboard iscsi-gateway-list
cephuser@adm > ceph dashboard iscsi-gateway-add scheme://username:password@host[:port]
cephuser@adm > ceph dashboard iscsi-gateway-rm gateway_name

10.6 Abilitazione del Single Sign-On (SSO)

Single Sign-On (SSO) è un metodo di controllo dell'accesso che consente agli utenti di eseguire contemporaneamente il login su più applicazioni utilizzando un solo ID e una sola password.

Il Ceph Dashboard supporta l'autenticazione esterna degli utenti tramite il protocollo SAML 2.0. Dal momento che l'autorizzazione viene comunque eseguita dal dashboard, è necessario innanzitutto creare gli account utente e associarli ai ruoli desiderati. Tuttavia, il processo di autenticazione può essere eseguito da un provider di identità (IdP) esistente.

Per configurare Single Sign-On, utilizzare il comando seguente:

cephuser@adm > ceph dashboard sso setup saml2 CEPH_DASHBOARD_BASE_URL \
 IDP_METADATA IDP_USERNAME_ATTRIBUTE \
 IDP_ENTITY_ID SP_X_509_CERT \
 SP_PRIVATE_KEY

Parametri:

CEPH_DASHBOARD_BASE_URL

URL di base da cui è accessibile il Ceph Dashboard (ad esempio "https://cephdashboard.local").

IDP_METADATA

URL, percorso del file o contenuto del file XML dei metadati dell'IdP (ad esempio "https://myidp/metadata").

IDP_USERNAME_ATTRIBUTE

Opzionale. Attributo che verrà utilizzato per ottenere il nome utente dalla risposta di autenticazione. L'impostazione di default è "uid".

IDP_ENTITY_ID

Opzionale. Utilizzare quando è presente più di un'entità ID sui metadati dell'IdP.

SP_X_509_CERT / SP_PRIVATE_KEY

Opzionale. Percorso del file o contenuto del certificato che verrà utilizzato dal Ceph Dashboard (provider di servizi) per l'accesso e la cifratura. Questi percorsi di file devono essere accessibili dall'istanza attiva di Ceph Manager.

Nota
Nota: richieste SAML

Il valore dell'autorità di certificazione delle richieste SAML seguirà questo modello:

CEPH_DASHBOARD_BASE_URL/auth/saml2/metadata

Per visualizzare la configurazione SAML 2.0 corrente, eseguire:

cephuser@adm > ceph dashboard sso show saml2

Per disabilitare Single Sign-On, eseguire:

cephuser@adm > ceph dashboard sso disable

Per verificare se SSO è abilitato, eseguire:

cephuser@adm > ceph dashboard sso status

Per abilitare SSO eseguire:

cephuser@adm > ceph dashboard sso enable saml2