10 Configuração manual #
Esta seção apresenta informações avançadas para usuários que preferem definir as configurações do painel de controle manualmente na linha de comando.
10.1 Configurando o suporte a TLS/SSL #
Por padrão, todas as conexões HTTP com o painel de controle são protegidas com TLS/SSL. Uma conexão segura requer um certificado SSL. Você pode usar um certificado autoassinado ou gerar um certificado assinado por uma autoridade de certificação (CA, certificate authority) reconhecida.
Talvez você tenha algum motivo específico para desabilitar o suporte a SSL. Por exemplo, se o painel de controle for executado por meio de um proxy que não suporta SSL.
Tenha cuidado ao desabilitar o SSL, já que os nomes de usuário e as senhas serão enviados ao painel de controle não criptografados.
Para desabilitar o SSL, execute:
cephuser@adm >
ceph config set mgr mgr/dashboard/ssl false
Você precisará reiniciar os processos do Ceph Manager manualmente após mudar o certificado SSL e a chave. Para fazer isso, é possível executar
cephuser@adm >
ceph mgr fail ACTIVE-MANAGER-NAME
ou desabilitar e habilitar novamente o módulo do painel de controle, o que também aciona o gerenciador para se reativar:
cephuser@adm >
ceph mgr module disable dashboardcephuser@adm >
ceph mgr module enable dashboard
10.1.1 Criando certificados autoassinados #
A criação de um certificado autoassinado para uma comunicação segura é simples. Dessa forma, você pode fazer com que o painel de controle seja executado rapidamente.
A maioria dos browsers da Web reclamará de um certificado autoassinado e exigirá a confirmação explícita antes de estabelecer uma conexão segura com o painel de controle.
Para gerar e instalar um certificado autoassinado, use o seguinte comando incorporado:
cephuser@adm >
ceph dashboard create-self-signed-cert
10.1.2 Usando certificados assinados por CA #
Para proteger apropriadamente a conexão com o painel de controel e eliminar as reclamações do browser da Web por causa de um certificado autoassinado, recomendamos o uso de um certificado assinado por uma CA.
Você pode gerar um par de chaves do certificado com um comando semelhante ao seguinte:
#
openssl req -new -nodes -x509 \
-subj "/O=IT/CN=ceph-mgr-dashboard" -days 3650 \
-keyout dashboard.key -out dashboard.crt -extensions v3_ca
O comando acima resulta nos arquivos dashboard.key
e dashboard.crt
. Após receber o arquivo dashboard.crt
assinado por uma CA, habilite-o para todas as instâncias do Ceph Manager executando os seguintes comandos:
cephuser@adm >
ceph dashboard set-ssl-certificate -i dashboard.crtcephuser@adm >
ceph dashboard set-ssl-certificate-key -i dashboard.key
Se você precisar de certificados diferentes para cada instância do Ceph Manager, modifique os comandos e inclua o nome da instância da seguinte maneira. Substitua NAME pelo nome da instância do Ceph Manager (normalmente, o nome de host relacionado):
cephuser@adm >
ceph dashboard set-ssl-certificate NAME -i dashboard.crtcephuser@adm >
ceph dashboard set-ssl-certificate-key NAME -i dashboard.key
10.2 Mudando nome de host e número de porta #
O Ceph Dashboard está vinculado a um endereço TCP/IP e uma porta TCP específicos. Por padrão, o Ceph Manager ativo no momento e que hospeda o painel de controle está vinculado à porta TCP 8443 (ou 8080 quando o SSL está desabilitado).
Se um firewall estiver habilitado nos hosts que executam o Ceph Manager (e, portanto, o Ceph Dashboard), talvez seja necessário mudar a configuração para habilitar o acesso a essas portas. Para obter mais informações sobre as configurações de firewall do Ceph, consulte o Section 13.7, “Firewall settings for Ceph”.
Por padrão, o Ceph Dashboard está vinculado a “::”, que corresponde a todos os endereços IPv4 e IPv6 disponíveis. Você pode mudar o endereço IP e o número da porta do aplicativo Web para que eles se apliquem a todas as instâncias do Ceph Manager usando os seguintes comandos:
cephuser@adm >
ceph config set mgr mgr/dashboard/server_addr IP_ADDRESScephuser@adm >
ceph config set mgr mgr/dashboard/server_port PORT_NUMBER
Como cada daemon ceph-mgr
hospeda sua própria instância do painel de controle, talvez seja necessário configurá-los separadamente. Mude o endereço IP e o número da porta para uma instância específica do gerenciador usando os seguintes comandos (substitua NAME pelo ID da instância do ceph-mgr
):
cephuser@adm >
ceph config set mgr mgr/dashboard/NAME/server_addr IP_ADDRESScephuser@adm >
ceph config set mgr mgr/dashboard/NAME/server_port PORT_NUMBER
O comando ceph mgr services
exibe todos os endpoints que estão configurados. Procure a chave dashboard
para obter o URL de acesso ao painel de controle.
10.3 Ajustando nomes de usuário e senhas #
Se você não deseja usar a conta de administrador padrão, crie uma conta de usuário diferente e associe-a a pelo menos uma função. Oferecemos um conjunto de funções de sistema predefinidas que você pode usar. Para obter mais detalhes, consulte a Capítulo 11, Gerenciar usuários e funções na linha de comando.
Para criar um usuário com privilégios de administrador, use o seguinte comando:
cephuser@adm >
ceph dashboard ac-user-create USER_NAME PASSWORD administrator
10.4 Habilitando o front end de gerenciamento do Gateway de Objetos #
Para usar a funcionalidade de gerenciamento do Gateway de Objetos do painel de controle, você precisa fornecer as credenciais de login de um usuário com o flag system
habilitado:
Se você não tem um usuário com o flag
system
, crie-o:cephuser@adm >
radosgw-admin user create --uid=USER_ID --display-name=DISPLAY_NAME --systemAnote as chaves access_key e secret_key na saída do comando.
Você também pode obter as credenciais de um usuário existente usando o comando
radosgw-admin
:cephuser@adm >
radosgw-admin user info --uid=USER_IDInsira as credenciais recebidas no painel de controle em arquivos separados:
cephuser@adm >
ceph dashboard set-rgw-api-access-key ACCESS_KEY_FILEcephuser@adm >
ceph dashboard set-rgw-api-secret-key SECRET_KEY_FILE
Por padrão, o firewall está habilitado no SUSE Linux Enterprise Server 15 SP3. Para obter informações sobre configuração de firewall, consulte o Section 13.7, “Firewall settings for Ceph”.
Há vários pontos a serem considerados:
O nome de host e o número da porta do Gateway de Objetos são determinados automaticamente.
Se várias zonas forem usadas, ele determinará automaticamente o host no grupo de zonas master e na zona master. Isso é o suficiente para a maioria das configurações. No entanto, em algumas circunstâncias, talvez você queira definir o nome de host e a porta manualmente:
cephuser@adm >
ceph dashboard set-rgw-api-host HOSTcephuser@adm >
ceph dashboard set-rgw-api-port PORTVeja a seguir outras configurações que você pode precisar:
cephuser@adm >
ceph dashboard set-rgw-api-scheme SCHEME # http or httpscephuser@adm >
ceph dashboard set-rgw-api-admin-resource ADMIN_RESOURCEcephuser@adm >
ceph dashboard set-rgw-api-user-id USER_IDSe você usa um certificado autoassinado (Seção 10.1, “Configurando o suporte a TLS/SSL”) na configuração do Gateway de Objetos, desabilite a verificação de certificado no painel de controle para evitar conexões recusadas por causa de certificados assinados por uma CA desconhecida ou que não correspondem ao nome de host:
cephuser@adm >
ceph dashboard set-rgw-api-ssl-verify FalseSe o Gateway de Objetos levar muito tempo para processar as solicitações, e se a execução do painel de controle apresentar tempo de espera, o valor do tempo de espera poderá ser ajustado (o padrão é 45 segundos):
cephuser@adm >
ceph dashboard set-rest-requests-timeout SECONDS
10.5 Habilitando o gerenciamento de iSCSI #
O Ceph Dashboard gerencia destinos iSCSI usando a API REST fornecida pelo serviço rbd-target-api
do gateway Ceph iSCSI. Verifique se ela está instalada e habilitada nos gateways iSCSI.
A funcionalidade de gerenciamento de iSCSI do Ceph Dashboard depende da versão 3 mais recente do projeto ceph-iscsi
. Verifique se o seu sistema operacional tem a versão correta; do contrário, o Ceph Dashboard não habilitará os recursos de gerenciamento.
Se a API REST do ceph-iscsi
estiver configurada no modo HTTPS e usar um certificado autoassinado, configure o painel de controle para evitar a verificação do certificado SSL ao acessar a API do ceph-iscsi.
Desabilite a verificação do SSL da API:
cephuser@adm >
ceph dashboard set-iscsi-api-ssl-verification false
Defina os gateways iSCSI disponíveis:
cephuser@adm >
ceph dashboard iscsi-gateway-listcephuser@adm >
ceph dashboard iscsi-gateway-add scheme://username:password@host[:port]cephuser@adm >
ceph dashboard iscsi-gateway-rm gateway_name
10.6 Habilitando o login único #
O Login Único (SSO, Single Sign-On) é um método de controle de acesso que permite aos usuários efetuar login com ID e senha exclusivos em vários aplicativos simultaneamente.
O Ceph Dashboard suporta autenticação externa de usuários por meio do protocolo SAML 2.0. Como a autorização ainda é realizada pelo painel de controle, você precisa primeiro criar as contas de usuário e associá-las às funções desejadas. No entanto, o processo de autenticação pode ser efetuado por um Provedor de Identidade (IdP, Identity Provider) existente.
Para configurar o Login Único, use o seguinte comando:
cephuser@adm >
ceph dashboard sso setup saml2 CEPH_DASHBOARD_BASE_URL \
IDP_METADATA IDP_USERNAME_ATTRIBUTE \
IDP_ENTITY_ID SP_X_509_CERT \
SP_PRIVATE_KEY
Parâmetros:
- CEPH_DASHBOARD_BASE_URL
URL de base para acessar o Ceph Dashboard (por exemplo, “https://cephdashboard.local”).
- IDP_METADATA
URL, caminho de arquivo ou conteúdo do XML de metadados do IdP (por exemplo, “https://myidp/metadata”).
- IDP_USERNAME_ATTRIBUTE
Opcional. Atributo que será usado para obter o nome de usuário da resposta de autenticação. O padrão “uid” é usado.
- IDP_ENTITY_ID
Opcional. Use quando há mais de um ID de entidade nos metadados do IdP.
- SP_X_509_CERT/SP_PRIVATE_KEY
Opcional. Caminho de arquivo ou conteúdo do certificado que será usado pelo Ceph Dashboard (Provedor de Serviços) para assinatura e criptografia. Esses caminhos de arquivos precisam estar acessíveis da instância ativa do Ceph Manager.
O valor do emissor das solicitações SAML seguirá este padrão:
CEPH_DASHBOARD_BASE_URL/auth/saml2/metadata
Para exibir a configuração atual do SAML 2.0, execute:
cephuser@adm >
ceph dashboard sso show saml2
Para desabilitar o Login Único, execute:
cephuser@adm >
ceph dashboard sso disable
Para verificar se o SSO está habilitado, execute:
cephuser@adm >
ceph dashboard sso status
Para habilitar o SSO, execute:
cephuser@adm >
ceph dashboard sso enable saml2