AdminUI — Портал администратора

Портал администратора (AdminUI) — это веб-интерфейс для управления программным продуктом KeyStack, который является стандартным компонентом во всех дистрибутивах. Предоставляет интерфейс для взаимодействия с сервисами OpenStack, системой мониторинга Prometheus и системой логирования OpenSearch.

Возможности Портала администратора

CRUD-операции

Реализовано подмножество CRUD-операций над основными пользовательскими ресурсами OpenStack, минимально необходимыми для администрирования нагрузки в регионе.

• ВМ:

  • просмотр списка ВМ в регионе (см. раздел Просмотр списка ВМ);

  • создание ВМ (необходим заранее созданный образ, а остальные ресурсы могут быть созданы во время создания ВМ) (см. раздел Создание ВМ);

  • изменение размера ВМ (изменение flavor);

  • включение, отключение сервисов DRS, HA для отдельной ВМ;

  • управление питанием ВМ;

  • сброс поля состояния ВМ (reset-state).

• Диски:

  • просмотр списка дисков (volume) в регионе (см. раздел Просмотр списка дисков).

• Порты:

  • просмотр списка портов в регионе.

• Группы безопасности:

  • просмотр списка групп безопасности в регионе;

  • создание групп безопасности;

  • удаление групп безопасности;

  • редактирование групп безопасности путём удаления или добавления правил.

• Сети:

  • просмотр списка сетей в регионе (см. раздел Просмотр сетей);

  • создание связки «роутер-сеть» (Create routable network — создание маршрутизируемой сети). В результате каждая новая сеть имеет свой роутер, подключенный к внешней сети. Внешнюю сеть необходимо выбрать при создании.

• Роутеры:

  • просмотр списка роутеров в регионе.

• Ключевые пары:

  • просмотр списка ключевых пар.

• Гипервизоры:

  • просмотр списка гипервизоров в регионе (см. раздел Просмотр списка гипервизоров);

  • возможность отключения и включения сервиса nova-compute на отдельных гипервизорах;

  • возможность живой эвакуации (host evacuate live).

Иерархический обзор и группировка ВМ

ВМ можно организовывать в иерархию виртуальных папок. Список ВМ при этом просматривается через структуру папок и их содержимого.

Режим Read-Only

Режим Read-Only позволяет просматривать информацию о системе без права внесения изменений на Портал администратора.

Интеграция с OpenSearch

Можно просматривать отчёты и данные, сохраненные в OpenSearch.

Интеграция с Grafana

Интеграция с Grafana позволяет проводить мониторинг данных Портала с помощью метрик и графиков, представленных в Grafana.

Мониторинг ресурсов

Наглядное отображение информации по имеющимся ресурсам (CPU & RAM) гипервизоров в виде Doughnut-графиков.

Получение OpenStack RC-файла

Есть возможность экспорта OpenStack RC-файла администратора.

Управление гипервизорами

Доступен просмотр списка гипервизоров с функциями фильтрации и управления (включение, отключение, миграция на другой гипервизор и получение детальной информации о каждом).

Создание ВМ

Можно вручную создавать новые ВМ и указывать для них все необходимые детали, такие как проект, гипервизор, сеть.

Управление дисками

Есть фильтрация и просмотр доступных дисков.

Управление группами безопасности

Доступно создание, редактирование и удаление групп безопасности для сетевых настроек. Для групп безопасности можно добавлять, менять и удалять правила.

Настройки безопасности на Портале администратора

Аутентификация и авторизация на Портале администратора производится через службу KeyStone. Это позволяет настроить следующее:

1. Поддержка LDAP и федеративной аутентификации — интеграция с внешними системами аутентификации, такими как LDAP, для централизованного управления учётными записями.

2. Многофакторная аутентификация (MFA) — дополнительный уровень защиты к аутентификации пользователей.

3. Политики доступа (RBAC) — использование ролей (Role-Based Access Control) для определения того, какие действия пользователь может выполнять в системе.

4. SSL/TLS шифрование — поддержка шифрования данных с помощью SSL/TLS для защиты передаваемой информации между компонентами и предотвращения атак посредника (man-in-the-middle, MitM) и защиты от несанкционированного перехвата данных.

На Портале администратора также можно настроить время жизни токенов, что позволяет принудительно завершать сеанс доступа при отсутствии активности со стороны пользователя (по умолчанию выставлен интервал в 15 минут). Также это запрещает параллельные сеансы доступа.