Портал администратора (Admin UI) ================================ Портал администратора — это веб-интерфейс для управления программным продуктом KeyStack, который является стандартным компонентом во всех дистрибутивах. Предоставляет интерфейс для взаимодействия с сервисами OpenStack, системой мониторинга Prometheus и системой логирования OpenSearch. Возможности Портала администратора ---------------------------------- | **CRUD-операции** | Реализовано подмножество CRUD-операций над основными пользовательскими ресурсами OpenStack, минимально необходимыми для администрирования нагрузки в регионе. - ВМ: - просмотр списка ВМ в регионе; - создание ВМ (необходим заранее созданный образ), а остальные ресурсы могут быть созданы во время создания ВМ; - изменение размера ВМ (изменение flavor); - включение, отключение сервисов DRS, HA для отдельной ВМ; - управление питанием ВМ; - сброс поля состояния ВМ (reset-state). - Диски: - просмотр списка дисков (volume) в регионе. - Порты: - просмотр списка портов в регионе; - Группы безопасности: - просмотр списка групп безопасности в регионе; - создание групп безопасности; - удаление групп безопасности; - редактирование групп безопасности путем удаления или добавления правил. - Сети: - просмотр списка сетей в регионе; - создание связки "роутер-сеть" (Create routable network — создание маршрутизируемой сети). В результате каждая новая сеть имеет свой роутер, подключенный к внешней сети. Внешнюю сеть необходимо выбрать при создании. - Роутеры: - просмотр списка роутеров в регионе. - Ключевые пары: - просмотр списка ключевых пар. - Гипервизоры: - просмотр списка гипервизоров в регионе; - возможность отключения и включения сервиса nova-compute на отдельных гипервизорах; - возможность живой эвакуации (host evacuate live). | **Иерархический обзор и группировка ВМ** | ВМ можно организовывать в иерархию виртуальных папок. Cписок ВМ при этом просматривается через структуру папок и их содержимого. | **Режим Read-Only** | Режим Read-Only позволяет просматривать информацию о системе без права внесения изменений на Портал. | **Интеграция с OpenSearch** | Можно просматривать отчеты и данные, сохраненные в OpenSearch. | **Интеграция с Grafana** | Интеграция с Grafana позволяет проводить мониторинг данных Портала с помощью метрик и графиков, представленных в Grafana. | **Мониторинг ресурсов** | Наглядное отображение информации по имеющимся ресурсам (CPU & RAM) гипервизоров в виде Doughnut-графиков. | **Получение OpenStack RC-файла** | Есть возможность экспорта OpenStack RC-файла администратора. | **Управление гипервизорами** | Доступен просмотр списка гипервизоров с функциями фильтрации и управления (включение, отключение, миграция на другой гипервизор и получение детальной информации о каждом). | **Создание ВМ** | Можно вручную создавать новые ВМ и указывать для них все необходимые детали, такие как проект, гипервизор, сеть. | **Управление дисками** | Есть фильтрация и просмотр доступных дисков. | **Управление группами безопасности** | Доступно создание, редактирование и удаление групп безопасности для сетевых настроек. Для групп безопасности можно добавлять, менять и удалять правила. Настройки безопасности на Портале администратора ------------------------------------------------ Аутентификация и авторизация на Портале администратора производится через службу KeyStone. Это позволяет настроить следующее: 1. Поддержка LDAP и федеративной аутентификации — интеграция с внешними системами аутентификации, такими как LDAP, для централизованного управления учетными записями. 2. Многофакторная аутентификация (MFA) — дополнительный уровень защиты к аутентификации пользователей. 3. Политики доступа (RBAC) — использование ролей (Role-Based Access Control) для определения того, какие действия пользователь может выполнять в системе. 4. SSL/TLS шифрование — поддержка шифрования данных с помощью SSL/TLS для защиты передаваемой информации между компонентами и предотвращения атак посредника (man-in-the-middle, MitM) и защиты от несанкционированного перехвата данных. На Портале администратора также можно настроить время жизни токенов, что позволяет принудительно завершать сеанс доступа при отсутствии активности со стороны пользователя (по умолчанию выставлен интервал в 15 минут). Также это запрещает параллельные сеансы доступа. Данный раздел в дальнейшем будет дополняться.