要登录仪表盘 Web 应用，请将浏览器指向其 URL，包括端口号。您可以通过运行以下命令找到其网址

cephadm@adm > ceph mgr services | grep dashboard
"dashboard": "https://ses-dash-node.example.com:8443/",

图 22.1︰ Ceph Dashboard 登录屏幕 #

您需要有用户帐户才能登录仪表盘 Web 应用。DeepSea 会为您创建一个拥有管理员权限的默认用户“admin”。如果您决定使用默认的“admin”用户登录，请通过运行以下命令获取相应密码

root@master # salt-call grains.get dashboard_creds

提示：自定义用户帐户

如果您不想使用默认“admin”帐户访问 Ceph Dashboard，请创建拥有管理员权限的自定义用户帐户。有关更多详细信息，请参见 第 22.10 节 “在命令行上管理用户和角色”。

仪表盘用户界面在图形上分为以下几块：实用程序菜单、主菜单和主内容窗格。

图 22.2︰ Ceph Dashboard 首页 #

实用程序菜单位于屏幕右上方。该菜单包含与仪表盘更为相关（相较于 Ceph 集群）的常规任务。点击相应项目可以访问以下主题：

仪表盘的主菜单位于屏幕的左上方。它涵盖下列主题：

内容窗格占据仪表盘屏幕的主要部分。仪表盘首页上显示了很多有用的控件，为您提供集群当前状态、容量及性能的概要信息。

在 Ceph Dashboard 中，您经常会用到列表 — 例如，存储池列表、OSD 节点列表或 RBD 设备列表。所有列表默认每 5 秒会自动刷新一次。下列常用控件可帮助您管理或调整这些列表：

点击 可手动触发列表的刷新。

点击 可显示或隐藏表格的相应列。

点击 并选择要在一页上显示多少行。

在 中点击并键入要搜索的字符串以过滤行。

如果列表跨多页显示，可使用 来更改当前显示的页。

每个仪表盘控件显示与运行中 Ceph 集群特定方面相关的特定状态信息。有些控件是活跃链接，点击它们会将您重定向到其所代表主题的相关详细页面。

提示：鼠标悬停时显示更多详细信息

有些图形控件会在您将鼠标移到其上时显示更多详细信息。

22.1.6.1 状态控件 #

状态控件为您提供有关集群当前状态的简要概览。

图 22.3︰ 状态控件 #

集群状态

显示有关集群健康状况的基本信息。

Monitor

显示运行中 Monitor 数量及其仲裁。

OSD

显示 OSD 的总数及处于“up”和“in”状态的 OSD 数量。

Manager 守护进程

显示处于活跃和待机状态的 Ceph Manager 守护进程的数量。

主机

显示集群节点的总数。

对象网关

显示运行中对象网关的数量。

元数据服务器

显示元数据服务器的数量。

iSCSI 网关

显示配置的 iSCSI 网关的数量。

22.1.6.2 性能控件 #

性能控件提供 Ceph 客户端的基本性能数据。

图 22.4︰ 性能控件 #

客户端 IOPS

客户端吞吐量

客户端读/写

恢复吞吐量

洗刷

22.1.6.3 容量控件 #

容量控件显示有关存储容量的简要信息。

图 22.5︰ 容量控件 #

存储池

显示集群中存储池的数量。

基本容量

显示已用与可用基本存储容量的比例。

对象

显示集群中存储的数据对象数量。

每个 OSD 的 PG 数

显示每个 OSD 的归置组数量。

PG 状态

显示按照状态分组的归置组图表。

点击实用程序菜单中的 ，然后选择用户管理。

该列表包含每个用户的用户名、全名、电子邮件及为其指定的角色列表。

图 22.6︰ 用户管理 #

点击表标题左上方的添加可添加新用户。输入其用户名、密码、全名（可选）和电子邮件。

图 22.7︰ 添加用户 #

点击铅笔小图标可为用户指定预定义角色。点击创建用户进行确认。

点击用户表中对应的行，然后选择编辑可编辑用户的详细信息。点击更新用户进行确认。

点击用户表中对应的行，然后选择删除可删除用户帐户。激活是的，我确定复选框，然后点击删除用户进行确认。

点击实用程序菜单中的 ，然后选择用户管理。然后点击角色选项卡。

该列表包含每个角色的名称、描述及其是否属于系统角色。

图 22.8︰ 用户角色 #

点击表标题左上方的添加可添加新的自定义角色。输入其名称、描述并设置针对各主题的必需权限。

提示：清除自定义角色

如果您创建了自定义用户角色，并打算以后使用 ceph.purge 运行程序删除 Ceph 集群，则需要先清除自定义角色。有关详细信息，请参见第 2.16 节 “删除整个 Ceph 集群”。

图 22.9︰ 添加角色 #

提示：多项目激活

通过激活主题名称前的复选框，您可以激活针对该主题的所有权限。通过激活全选复选框，您可以激活针对所有主题的所有权限。

点击创建角色进行确认。

点击自定义角色表中对应的行，然后选择表标题左上方的编辑，即可编辑自定义角色的描述和权限。点击更新角色进行确认。

点击角色表中对应的行，然后选择删除可删除角色。激活是的，我确定复选框，然后点击删除角色进行确认。

点击集群 › 主机可查看集群节点列表。

图 22.10︰ Hosts（主机） #

点击主机名列中的节点名称可查看该节点的性能详细信息。

服务列中会列出每个相关节点上正在运行的所有守护进程。点击守护进程名称可查看其详细配置。

点击集群 › Monitor 可查看具有正在运行的 Ceph Monitor 的集群节点列表。该列表包含每个 Monitor 的排位号、外部 IP 地址和活动会话的数量。

列表分为两个表：一个表显示属于仲裁成员的 Ceph Monitor，另一个表显示不属于仲裁成员的 Ceph Monitor。

点击名称列中的节点名称可查看相关的 Ceph Monitor 配置。

状态表显示有关运行中 Ceph Monitor 的一般统计数据。

图 22.11︰ Ceph Monitor #

点击集群 › OSD 可查看具有正在运行的 OSD 守护进程/磁盘的节点列表。该列表包含每个节点的名称、状态、归置组数量、大小、使用率、不同时间的读/写图表和每秒读/写操作比率。

图 22.12︰ Ceph OSD #

点击表标题中的设置集群范围的标志，会弹出一个窗口，其中会列出适用于整个集群的标志。您可以激活或停用单个标志，然后点击提交进行确认。

图 22.13︰ OSD 标志 #

点击表标题中的设置集群范围的恢复优先级，会打开一个弹出窗口，其中会列出适用于整个集群的 OSD 恢复优先级。您可以激活首选的优先级配置，并对下面的各个值进行微调。点击提交进行确认。

图 22.14︰ OSD 恢复优先级 #

点击主机列中的节点名称，可查看含有 OSD 设置和性能详细信息的扩展表。您可以在数个选项卡之间切换，查看属性、元数据、性能计数器列表以及读/写操作次数的图形直方图。

图 22.15︰ OSD 详细信息 #

提示：在 OSD 上执行特定任务

点击 OSD 节点名称后，表中该节点对应的行的颜色会发生细微变化，这表示您现在可以在该节点上执行任务了。点击表标题左上方的向下箭头，然后选择要执行的任务，例如深层洗刷。为任务输入所需的值（可选），然后确认在节点上运行该任务。

点击集群 › 配置可查看 Ceph 集群配置选项的完整列表。该列表包含选项的名称、其简短描述，以及选项的当前值和默认值。

图 22.16︰ 集群配置 #

点击特定选项行可高亮显示和查看该选项的详细信息，例如其值类型、允许的最大和最小值、是否可在运行时更新等等。

高亮显示特定选项后，您可以通过点击表标题左上方的编辑按钮来编辑它的值。点击保存确认更改。

点击集群 › CRUSH 索引可查看集群的 CRUSH 索引。有关 CRUSH 索引的更多一般信息，请参见第 9.5 节 “CRUSH 索引操作”。

点击根、节点或单个 OSD 可查看更多详细信息，例如 CRUSH 权重、索引树的深度、OSD 的设备类型等等。

图 22.17︰ CRUSH 索引 #

点击集群 › Manager 扩展模块可查看可用 Ceph Manager 扩展模块的列表。每行包含扩展模块名称以及该扩展模块当前启用与否的信息。

图 22.18︰ Manager 扩展模块 #

高亮显示特定扩展模块后，您可以在下面的详情表中查看其详细设置。点击表标题左上方的编辑按钮可进行编辑。点击更新确认更改。

点击集群 › 日志可查看集群最近日志项的列表。每行包含一个时戳、日志项的类型及自身所记录的讯息。

点击审计日志选项卡可查看审计子系统的日志项。有关启用或禁用审计的命令，请参见第 22.10.4 节 “审计”。

图 22.19︰ 日志 #

要添加新存储池，请点击存储池表左上方的添加。您可以在存储池表单中输入存储池的名称、类型、归置组数量及其他信息，例如存储池的应用、压缩模式和算法。存储池表单会自行预先计算最适合此特定存储池的归置组数量。计算以集群中的 OSD 数量和选定存储池类型及其特定设置为依据。如果手动设置了归置组数量，计算出的数量会替换设置的数量。点击创建存储池进行确认。

图 22.21︰ 添加新存储池 #

要删除某个存储池，请点击表中对应的行，然后点击存储池表左上方的删除。

要编辑某个存储池的选项，请点击表中对应的行，然后选择存储池表左上方的编辑。

您可以更改存储池的名称、增加归置组的数量、更改存储池的应用列表和压缩设置。点击编辑存储池进行确认。

要查看某个设备的更多详细信息，请点击表中对应的行：

图 22.23︰ RBD 详细信息 #

要查看某个设备的详细配置，请点击表中对应的行，然后点击下方表中的配置选项卡：

图 22.24︰ RBD 配置 #

要添加新设备，请点击表标题左上方的添加，然后在创建 RBD 屏幕上执行以下操作：

图 22.25︰ 添加新的 RBD #

要删除某个设备，请点击表中对应的行，然后选择表标题左上方的删除 点击删除 RBD 确认删除。

提示：将 RBD 移至回收站

删除 RBD 的操作无法撤消。如果您选择将设备移至回收站，那么稍后还可以将其恢复，只需在主表的回收站选项卡上选择该设备，然后点击表标题左上方的恢复。

要创建 RADOS 块设备快照，请点击表中设备对应的行，然后在主表下的快照选项卡中，点击表标题左上方的创建。输入快照的名称，然后点击创建快照进行确认。

选择快照后，您可以在设备上执行其他操作，例如重命名、保护、克隆、复制或删除。回滚可根据当前快照恢复设备的状态。

图 22.26︰ RBD 快照 #

提示：iSCSI 网关的更多信息

有关 iSCSI 网关的更多一般信息，请参见第 10 章 “安装 iSCSI 网关”和第 18 章 “Ceph iSCSI 网关”。

要列出所有可用网关和映射的映像，请点击主菜单中的块设备 › iSCSI。概述选项卡即会打开，列出当前配置的 iSCSI 网关和映射的 RBD 映像。

网关表列出每个网关的状态、iSCSI 目标数量及会话数量。映像表列出每个映射的映像的名称、相关存储池名称、后备存储类型及其他统计数据详细信息。

目标选项卡列出当前配置的 iSCSI 目标。

图 22.27︰ iSCSI 目标列表 #

要查看有关某个目标的更多详细信息，请点击表中对应的行。一个树状结构纲要即会打开，列出磁盘、端口、授权人和组。点击某一项可将其展开并查看详细内容，右侧的表中也可能会显示其相关配置。

图 22.28︰ iSCSI 目标详细信息 #

22.5.6.1 添加 iSCSI 目标 #

要添加新的 iSCSI 目标，请点击目标表左上方的添加，并输入所需信息。

图 22.29︰ 添加新目标 #

1. 输入新网关的目标地址。

2. 点击添加端口并从列表中选择一个或多个 iSCSI 门户。

3. 点击添加映像并为网关选择一个或多个 RBD 映像。

4. 如果您需要使用身份验证才能访问网关，请选中 Authentication（身份验证）复选框并输入身份凭证。选中相互身份验证和发现身份验证之后，您可看到更多高级身份验证选项。

5. 点击创建目标进行确认。

提示：更多信息

有关 RBD QoS 配置选项的更多一般信息和说明，请参见第 12.6 节 “QoS 设置”。

QoS 选项可在不同级别配置。

全局配置位于列表顶部，将用于所有新创建的 RBD 映像，以及不会覆盖存储池或 RBD 映像层级相应值的映像。全局指定的选项值可能会被基于每个存储池或映像设置的值覆盖。对存储池指定的选项将适用于该存储池的所有 RBD 映像，除非被对映像设置的配置选项所覆盖。对映像指定的选项将覆盖对存储池指定的选项以及全局指定的选项。

因此可以如此操作：全局定义默认值，对默认值进行调整以适合特定存储池的所有 RBD 映像，然后覆盖单个 RBD 映像的存储池配置。

22.5.7.2 对新存储池配置选项 #

要创建新存储池并对其配置 RBD 配置选项，请点击存储池 › 创建。选择副本作为存储池类型。然后，您需要为存储池添加 rbd 应用标记，这样才能配置 RBD QoS 选项。

注意

对于纠删码存储池是无法配置 RBD QoS 配置选项的。要为纠删码存储池配置 RBD QoS 选项，您需要编辑 RBD 映像的副本元数据池。该配置随后将应用于该映像的纠删码数据池。

22.5.7.3 对现有存储池配置选项 #

要对某个现有存储池配置 RBD QoS 选项，请点击存储池，然后点击表中该存储池对应的行，并选择表左上方的编辑。

对话框中应该就会显示 RBD 配置部分，下面是服务质量 (QoS) 部分。

注意

如果 RBD 配置和服务质量 (QoS) 部分均未显示，则可能是因为您正在编辑无法用于设置 RBD 配置选项的纠删码池，或该存储池未配置为供 RBD 映像使用。在下一个案例中，将为存储池指定 rbd 应用标记，相应的配置部分将会显示。

提示：一般信息

有关 RADOS 块设备镜像的一般信息和命令行方法，请参见第 12.4 节 “镜像”。

您可以使用 Ceph Dashboard 在两个或更多集群之间配置 RBD 映像复制。

22.5.8.1 主集群和次集群 #

主集群是用于创建包含映像的原始存储池的集群。次集群是用于从主集群复制存储池/映像的集群。

注意：相对命名

在复制上下文中，主与次这两个术语有可能是相对的，因为相较于集群来说，它们与单个存储池更为相关。例如，在双向复制中，可将一个存储池从主集群镜像到次集群，与此同时，也可以将另一个存储池从次集群镜像到主集群。

要添加新的 NFS 导出项，请点击导出项表格左上方的添加并输入所需的信息。

图 22.40︰ 添加新的 NFS 导出项 #

要删除某个导出项，请点击表中对应的行，然后选择导出项表左上方的删除。

要编辑某个现有导出项，请点击表中对应的行，然后点击导出项表左上方的编辑。

然后，您便可以调整 NFS 导出项的所有详细信息。

图 22.41︰ 编辑 NFS 导出项 #

在主菜单中点击文件系统可查看配置的文件系统的概览。主表会显示每个文件系统的名称、创建日期，以及文件系统是否启用。

点击表中某个文件系统对应的行，可查看其排位以及添加到其中的存储池的详细信息。

图 22.42︰ CephFS 详细信息 #

您可在屏幕底部查看实时收集的相关 MDS Inode 及客户端请求数量统计数字。

要查看配置的对象网关列表，请点击对象网关 › 守护进程。该列表包含网关的 ID、运行网关守护进程的集群节点的主机名以及网关的版本号。

点击表中某个网关对应的行可查看该网关的详细信息。性能计数器选项卡显示有关读/写操作及缓存统计数据的详细信息。

图 22.43︰ 网关的详细信息 #

点击对象网关 › 用户可查看现有对象网关用户的列表。

点击表中某个用户对应的行可查看该用户帐户的详细信息，例如状态信息或用户配额及存储桶配额详细信息。

图 22.44︰ 网关用户 #

22.8.2.1 添加新网关用户 #

要添加新网关用户，请点击表标题左上方的添加。填写其身份凭证、有关 S3 密钥及用户/存储桶配额的详细信息，然后点击添加进行确认。

图 22.45︰ 添加新网关用户 #

对象网关 (OGW) 存储桶实现了 OpenStack Swift 容器的功能。对象网关存储桶可充当存储数据对象的容器。

点击对象网关 › 存储桶可查看 OGW 存储桶列表。

22.8.3.2 查看存储桶详细信息 #

要查看某个 OGW 存储桶的详细信息，请点击表中对应的行。

图 22.46︰ 网关存储桶详细信息 #

提示：存储桶配额

您可以在详情表下方查看存储桶配额设置的详细信息。

所有连至仪表盘的 HTTP 连接默认都使用 SSL/TLS 来保障安全。安全连接需要 SSL 证书。您可以使用自我签名证书，也可以生成证书并让知名证书颁发机构 (CA) 对其签名。

提示：禁用 SSL

您可能会出于某种原因需要禁用 SSL 支持。例如，如果仪表盘是在不支持 SSL 的代理之后运行。

禁用 SSL 要慎重，因为禁用 SSL 后，用户名和密码将以未加密的形式发送到仪表盘。

要禁用 SSL，请运行以下命令：

cephadm@adm > ceph config set mgr mgr/dashboard/ssl false

提示：重启动 Ceph Manager 进程

更改 SSL 证书和密钥后，您需要手动重启动 Ceph Manager 进程。您可以通过运行以下命令

cephadm@adm > ceph mgr failACTIVE-MANAGER-NAME

或禁用后再重新启用仪表盘扩展模块的方式来执行此操作，如此还会触发 Manager 的自我重新生成：

cephadm@adm > ceph mgr module disable dashboard
cephadm@adm > ceph mgr module enable dashboard

22.9.1.1 自我签名证书 #

为了安全通讯而创建自我签名证书的过程非常简单。采用这种方式可迅速让仪表盘运行起来。

注意：Web 浏览器控诉

大多数 Web 浏览器都将对自我签名证书发起控诉，并需要在建立与仪表盘的安全连接前进行明确确认。

要生成并安装自我签名证书，请使用以下内置命令：

cephadm@adm > ceph dashboard create-self-signed-cert

22.9.1.2 CA 签名的证书 #

为了正确保障连至仪表盘的连接安全，以及消除 Web 浏览器对自我签名证书的控诉，我们建议使用 CA 签名的证书。

您可以使用如下命令生成证书密钥对：

root # openssl req -new -nodes -x509 \
  -subj "/O=IT/CN=ceph-mgr-dashboard" -days 3650 \
  -keyout dashboard.key -out dashboard.crt -extensions v3_ca

以上命令会输出 dashboard.key 和 dashboard.crt 文件。获得 CA 签名的 dashboard.crt 文件后，请运行以下命令为所有 Ceph Manager 实例启用该证书：

cephadm@adm > ceph config-key set mgr/dashboard/crt -i dashboard.crt
cephadm@adm > ceph config-key set mgr/dashboard/key -i dashboard.key

提示：每个 Manager 实例使用不同的证书

如果您需要为每个 Ceph Manager 实例使用不同的证书，请按如下所示修改命令，在其中指定实例的名称。将 NAME 替换为 Ceph Manager 实例的名称（通常是相关的主机名）：

cephadm@adm > ceph config-key set mgr/dashboard/NAME/crt -i dashboard.crt
cephadm@adm > ceph config-key set mgr/dashboard/NAME/key -i dashboard.key

Ceph Dashboard Web 应用与特定 TCP/IP 地址和 TCP 端口绑定。默认情况下，托管仪表盘的当前活跃 Ceph Manager 会与 TCP 端口 8443 绑定（如果禁用 SSL，则与 8080 端口绑定）。

仪表盘 Web 应用默认与“::”绑定，该符号表示所有可用的 IPv4 和 IPv6 地址。您可以使用以下命令更改 Web 应用的 IP 地址和端口号，以使它们适用于所有 Ceph Manager 实例：

cephadm@adm > ceph config set mgr mgr/dashboard/server_addr IP_ADDRESS
cephadm@adm > ceph config set mgr mgr/dashboard/server_port PORT_NUMBER

提示：分别配置 Ceph Manager 实例

因为每个 ceph-mgr 守护进程都托管着各自的仪表盘实例，您可能需要分别配置每个 Ceph Manager 实例。使用以下命令（将 NAME 替换为 ceph-mgr 实例的 ID）更改特定 Manager 实例的 IP 地址和端口号：

cephadm@adm > ceph config set mgr mgr/dashboard/NAME/server_addr IP_ADDRESS
cephadm@adm > ceph config set mgr mgr/dashboard/NAME/server_port PORT_NUMBER

提示：列出配置的端点

ceph mgr services 命令会显示当前配置的所有端点。查找“dashboard”键可获取用于访问仪表盘的 URL。

如果您不想使用默认管理员帐户，可创建其他用户帐户并将其与至少一个角色相关联。我们提供了一组预定义的系统角色供您使用。有关详细信息，请参见 第 22.10 节 “在命令行上管理用户和角色”。

要创建具有管理员权限的用户，请使用以下命令：

cephadm@adm > ceph dashboard ac-user-create USER_NAME PASSWORD administrator

要使用仪表盘的对象网关管理功能，您需要提供启用了“system”标志的用户的登录凭证：

请注意以下几点事项：

单点登录 (SSO) 是一种允许用户以单个 ID 和密码同时登录多个应用的访问控制方法。

Ceph Dashboard 支持通过 SAML 2.0 协议对用户进行外部身份验证。由于授权仍由仪表盘执行，因此您需要先创建用户帐户并将其与所需角色相关联。不过，身份验证过程可由现有身份提供者 (IdP) 执行。

要配置单点登录，请使用以下命令：

cephadm@adm > ceph dashboard sso setup saml2 CEPH_DASHBOARD_BASE_URL \
 IDP_METADATA IDP_USERNAME_ATTRIBUTE \
 IDP_ENTITY_ID SP_X_509_CERT \
 SP_PRIVATE_KEY

参数：

注意：SAML 请求

SAML 请求的发出者值将采用以下格式：

CEPH_DASHBOARD_BASE_URL/auth/saml2/metadata

要显示当前 SAML 2.0 配置，请运行以下命令：

cephadm@adm > ceph dashboard sso show saml2

要禁用单点登录，请运行以下命令：

cephadm@adm > ceph dashboard sso disable

要检查是否启用了 SSO，请运行以下命令：

cephadm@adm > ceph dashboard sso status

要启用 SSO，请运行以下命令：

cephadm@adm > ceph dashboard sso enable saml2

Ceph Dashboard 支持管理多个用户帐户。每个用户帐户包含用户名、密码（使用 bcrypt 以加密形式存储）、可选名称和可选电子邮件地址。

用户帐户存储在 Ceph Manager 的配置数据库中，并在所有 Ceph Manager 实例之间全局共享。

使用以下命令可管理用户帐户：

本节说明您可为用户角色指定的安全作用范围、如何管理用户角色，以及如何为用户帐户指定角色。

22.10.2.2 用户角色 #

角色指定了一个安全作用范围与一组权限之间的一组映射。权限分为四种类型：“read”、“create”、“update”和“delete”。

下面的示例指定了一个角色，具有该角色的用户拥有与存储池管理相关的特性的“read”和“create”权限，以及与 RBD 映像管理相关的特性的全部权限：

{
  'role': 'my_new_role',
  'description': 'My new role',
  'scopes_permissions': {
    'pool': ['read', 'create'],
    'rbd-image': ['read', 'create', 'update', 'delete']
  }
}

仪表盘提供了一组预定义角色，我们称之为系统角色。全新安装 Ceph Dashboard 后即可使用这些角色：

administrator

提供针对所有安全作用范围的全部权限。

read-only

提供针对仪表盘设置以外的其他所有安全作用范围的 read 权限。

block-manager

提供针对“rbd-image”、“rbd-mirroring”和“iscsi”作用范围的全部权限。

rgw-manager

提供针对“rgw”作用范围的全部权限。

cluster-manager

提供针对“hosts”、“osd”、“monitor”、“manager”和“config-opt”作用范围的全部权限。

pool-manager

提供针对“pool”作用范围的全部权限。

cephfs-manager

提供针对“cephfs”作用范围的全部权限。

22.10.2.2.1 管理自定义角色 #

您可以使用以下命令创建新用户角色：

创建新角色：

cephadm@adm > ceph dashboard ac-role-create ROLENAME [DESCRIPTION]

删除角色:

cephadm@adm > ceph dashboard ac-role-delete ROLENAME

为角色添加作用范围权限：

cephadm@adm > ceph dashboard ac-role-add-scope-perms ROLENAME SCOPENAME PERMISSION [PERMISSION...]

从角色中删除作用范围权限：

cephadm@adm > ceph dashboard ac-role-del-perms ROLENAME SCOPENAME

22.10.2.2.2 为用户帐户指定角色 #

使用以下命令可为用户指定角色：

设置用户角色：

cephadm@adm > ceph dashboard ac-user-set-roles USERNAME ROLENAME [ROLENAME ...]

为用户添加其他角色：

cephadm@adm > ceph dashboard ac-user-add-roles USERNAME ROLENAME [ROLENAME ...]

删除用户的角色：

cephadm@adm > ceph dashboard ac-user-del-roles USERNAME ROLENAME [ROLENAME ...]

提示：清除自定义角色

如果您创建了自定义用户角色，并打算以后使用 ceph.purge 运行程序删除 Ceph 集群，则需要先清除自定义角色。有关详细信息，请参见第 2.16 节 “删除整个 Ceph 集群”。

22.10.2.2.3 示例：创建用户和自定义角色 #

本节说明创建具有以下权限的用户帐户的过程：可管理 RBD 映像、查看和创建 Ceph 存储池，并拥有针对任何其他安全作用范围的只读访问权限。

1. 创建名为“tux”的新用户：

    cephadm@adm > ceph dashboard ac-user-create tux PASSWORD

2. 创建角色并指定作用范围权限：

   cephadm@adm > ceph dashboard ac-role-create rbd/pool-manager
   cephadm@adm > ceph dashboard ac-role-add-scope-perms rbd/pool-manager \
    rbd-image read create update delete
   cephadm@adm > ceph dashboard ac-role-add-scope-perms rbd/pool-manager pool read create

3. 将角色与“tux”用户相关联：

   cephadm@adm > ceph dashboard ac-user-set-roles tux rbd/pool-manager read-only

如果您要通过反向代理配置访问仪表盘，则可能需要使用 URL 前缀来访问。要让仪表盘使用包含您前缀的超链接，您可以设置 url_prefix 设置：

cephadm@adm > ceph config set mgr mgr/dashboard/url_prefix URL_PREFIX

然后，您便可通过网址 http://HOST_NAME:PORT_NUMBER/URL_PREFIX/ 来访问仪表盘。

Ceph Dashboard 的 REST API 可在 Ceph 审计日志中记录 PUT、POST 和 DELETE 请求。记录功能默认处于禁用状态，但您可使用以下命令将其启用：

cephadm@adm > ceph dashboard set-audit-api-enabled true

如果记录功能处于启用状态，将会记录每个请求的以下参数：

示例日志项如下所示：

2019-02-06 10:33:01.302514 mgr.x [INF] [DASHBOARD] \
 from='https://[::ffff:127.0.0.1]:37022' path='/api/rgw/user/exu' method='PUT' \
 user='admin' params='{"max_buckets": "1000", "display_name": "Example User", "uid": "exu", "suspended": "0", "email": "user@example.com"}'

提示：禁用记录请求有效负载的功能

请求有效负载（自变量及其值的列表）的记录功能默认处于启用状态。您可以按照如下方式禁用该功能：

cephadm@adm > ceph dashboard set-audit-api-log-payload false