Портал администратора (Admin UI)

Портал администратора — это веб-интерфейс для управления программным продуктом KeyStack, который является стандартным компонентом во всех дистрибутивах. Предоставляет интерфейс для взаимодействия с сервисами OpenStack, системой мониторинга Prometheus и системой логирования OpenSearch.

Возможности Портала администратора

CRUD-операции
Реализовано подмножество CRUD-операций над основными пользовательскими ресурсами OpenStack, минимально необходимыми для администрирования нагрузки в регионе.

  • ВМ:

    • просмотр списка ВМ в регионе;

    • создание ВМ (необходим заранее созданный образ), а остальные ресурсы могут быть созданы во время создания ВМ;

    • изменение размера ВМ (изменение flavor);

    • включение, отключение сервисов DRS, HA для отдельной ВМ;

    • управление питанием ВМ;

    • сброс поля состояния ВМ (reset-state).

  • Диски:

    • просмотр списка дисков (volume) в регионе.

  • Порты:

    • просмотр списка портов в регионе;

  • Группы безопасности:

    • просмотр списка групп безопасности в регионе;

    • создание групп безопасности;

    • удаление групп безопасности;

    • редактирование групп безопасности путем удаления или добавления правил.

  • Сети:

    • просмотр списка сетей в регионе;

    • создание связки “роутер-сеть” (Create routable network — создание маршрутизируемой сети). В результате каждая новая сеть имеет свой роутер, подключенный к внешней сети. Внешнюю сеть необходимо выбрать при создании.

  • Роутеры:

    • просмотр списка роутеров в регионе.

  • Ключевые пары:

    • просмотр списка ключевых пар.

  • Гипервизоры:

    • просмотр списка гипервизоров в регионе;

    • возможность отключения и включения сервиса nova-compute на отдельных гипервизорах;

    • возможность живой эвакуации (host evacuate live).

Иерархический обзор и группировка ВМ
ВМ можно организовывать в иерархию виртуальных папок. Cписок ВМ при этом просматривается через структуру папок и их содержимого.
Режим Read-Only
Режим Read-Only позволяет просматривать информацию о системе без права внесения изменений на Портал.
Интеграция с OpenSearch
Можно просматривать отчеты и данные, сохраненные в OpenSearch.
Интеграция с Grafana
Интеграция с Grafana позволяет проводить мониторинг данных Портала с помощью метрик и графиков, представленных в Grafana.
Мониторинг ресурсов
Наглядное отображение информации по имеющимся ресурсам (CPU & RAM) гипервизоров в виде Doughnut-графиков.
Получение OpenStack RC-файла
Есть возможность экспорта OpenStack RC-файла администратора.
Управление гипервизорами
Доступен просмотр списка гипервизоров с функциями фильтрации и управления (включение, отключение, миграция на другой гипервизор и получение детальной информации о каждом).
Создание ВМ
Можно вручную создавать новые ВМ и указывать для них все необходимые детали, такие как проект, гипервизор, сеть.
Управление дисками
Есть фильтрация и просмотр доступных дисков.
Управление группами безопасности
Доступно создание, редактирование и удаление групп безопасности для сетевых настроек. Для групп безопасности можно добавлять, менять и удалять правила.

Настройки безопасности на Портале администратора

Аутентификация и авторизация на Портале администратора производится через службу KeyStone. Это позволяет настроить следующее:

  1. Поддержка LDAP и федеративной аутентификации — интеграция с внешними системами аутентификации, такими как LDAP, для централизованного управления учетными записями.

  2. Многофакторная аутентификация (MFA) — дополнительный уровень защиты к аутентификации пользователей.

  3. Политики доступа (RBAC) — использование ролей (Role-Based Access Control) для определения того, какие действия пользователь может выполнять в системе.

  4. SSL/TLS шифрование — поддержка шифрования данных с помощью SSL/TLS для защиты передаваемой информации между компонентами и предотвращения атак посредника (man-in-the-middle, MitM) и защиты от несанкционированного перехвата данных.

На Портале администратора также можно настроить время жизни токенов, что позволяет принудительно завершать сеанс доступа при отсутствии активности со стороны пользователя (по умолчанию выставлен интервал в 15 минут). Также это запрещает параллельные сеансы доступа.

Данный раздел в дальнейшем будет дополняться.