AdminUI — Портал администратора

Портал администратора (AdminUI) — это веб-интерфейс для управления программным продуктом KeyStack, который является стандартным компонентом во всех дистрибутивах. Предоставляет интерфейс для взаимодействия с сервисами OpenStack, системой мониторинга Grafana и системой логирования OpenSearch.

Доступ к разделам и операциям Портала администратора определяется ролевой моделью KeyStack. Подробное поведение ролей описано в разделе Ролевая модель на Портале администратора.

Возможности Портала администратора

CRUD-операции

Реализовано подмножество CRUD-операций над основными пользовательскими ресурсами OpenStack, минимально необходимыми для администрирования нагрузки в регионе.

• ВМ:

  • просмотр списка ВМ в регионе (см. раздел Просмотр списка ВМ);

  • создание ВМ с указанием проекта, гипервизора, сети и других параметров (см. раздел Создание ВМ);

  • изменение размера ВМ (изменение flavor);

  • управление ограничениями на эвакуацию и миграцию ВМ средствами KeyVRM;

  • управление питанием ВМ;

  • сброс поля состояния ВМ (reset-state).

• Диски:

  • просмотр и фильтрация списка дисков (volume) в регионе (см. раздел Просмотр списка дисков).

• Порты:

  • просмотр списка портов в регионе.

• Группы безопасности:

  • просмотр списка групп безопасности в регионе;

  • создание групп безопасности;

  • удаление групп безопасности;

  • редактирование групп безопасности путём удаления, добавления или изменения правил.

• Сети:

  • просмотр списка сетей в регионе (см. раздел Просмотр сетей);

  • создание связки «роутер-сеть» (Create routable network — создание маршрутизируемой сети). В результате каждая новая сеть имеет свой роутер, подключенный к внешней сети. Внешнюю сеть необходимо выбрать при создании.

• Роутеры:

  • просмотр списка роутеров в регионе.

• Ключевые пары:

  • просмотр списка ключевых пар.

• Гипервизоры:

  • просмотр и фильтрация списка гипервизоров в регионе (см. раздел Просмотр списка гипервизоров);

  • просмотр детальной информации о гипервизорах;

  • возможность отключения и включения сервиса nova-compute на отдельных гипервизорах;

  • возможность живой эвакуации (host evacuate live).

Иерархический обзор и группировка ВМ

ВМ можно организовывать в иерархию виртуальных папок. Список ВМ при этом просматривается через структуру папок и их содержимого.

Ролевая модель и режим Read-Only

При включенной ролевой модели доступ к разделам и операциям Портала администратора зависит от назначенной роли. Роль admin получает административный доступ, роли security_auditor и reader получают доступ на чтение, роли member, operator_vm, app_operator и os_operator получают ограниченный доступ в пределах назначенных ресурсов.

Режим Read-Only дополнительно ограничивает доступ просмотром независимо от назначенной роли.

Интеграция с OpenSearch и Grafana

При включенной ролевой модели разделы мониторинга и логирования открываются из Портала администратора без повторной аутентификации, если пользователю назначена роль с соответствующими правами доступа.

Пользователь с ролью admin получает административный доступ к OpenSearch и права Grafana Editor. Пользователи с ролями security_auditor и reader получают доступ к OpenSearch и Grafana только на чтение. Пользователи с ролями member, operator_vm, app_operator и os_operator не получают доступ к OpenSearch и Grafana.

Мониторинг ресурсов

Наглядное отображение информации по имеющимся ресурсам (CPU & RAM) гипервизоров в виде Doughnut-графиков.

Получение OpenStack RC-файла

Есть возможность экспорта OpenStack RC-файла администратора.

Настройки безопасности на Портале администратора

Аутентификация и авторизация на Портале администратора производится через службу Keystone. Это позволяет настроить следующее:

1. Поддержка LDAP и федеративной аутентификации — интеграция с внешними системами аутентификации, такими как LDAP, для централизованного управления учётными записями.

2. Многофакторная аутентификация (MFA) — дополнительный уровень защиты к аутентификации пользователей.

3. Политики доступа (RBAC) — использование ролевой модели KeyStack для определения разделов и операций, доступных пользователю в зависимости от назначенной роли.

4. SSL/TLS шифрование — поддержка шифрования данных с помощью SSL/TLS для защиты передаваемой информации между компонентами и предотвращения атак посредника (man-in-the-middle, MitM) и защиты от несанкционированного перехвата данных.

На Портале администратора также можно настроить время жизни токенов, что позволяет принудительно завершать сеанс доступа при отсутствии активности со стороны пользователя (по умолчанию выставлен интервал в 15 минут). Также это запрещает параллельные сеансы доступа.