Herstellen einer Verbindung mit OpenStack-basierten Clouds mit LDAP-Authentifizierung

Wenn Sie eine Verbindung mit einer OpenStack-Cloud herstellen und Benutzerkonten von einem LDAP-Server zur Authentifizierung verwenden möchten, erstellen Sie manuell eine Cloudverbindung und Cloudprojekte. Fügen Sie die Cloudprojekte anschließend Teams und fügen Sie diesen Teams LDAP-Benutzer hinzu.

Vorbereitende Schritte

Konfigurieren Sie die Images für die Verwendung mit dem Blueprint Designer. Siehe Konfigurieren von OpenStack-Images.
Rufen Sie einen OpenStack-Keystone-Server ab. Der Blueprint-Design-Server erfordert einen Keystone-Server, selbst wenn Sie die LDAP-Authentifizierung verwenden. Verwenden Sie in den meisten Fällen den Keystone-Server, der mit der Cloud verbunden ist, mit der Sie eine Verbindung herstellen möchten. Sie können bei der Installation der Engine einen Keystone-Server installieren, Sie können einen mit einer anderen Cloud verbundenen Keystone-Server wiederverwenden oder Sie können einen anderen Keystone-Server für die Verwendung mit der Zielcloud installieren. Informationen dazu finden Sie in der Dokumentation zu OpenStack.
Rufen Sie eine Engine ab. Die Engine-Version muss mit der Version des OpenStack Keystone-Servers übereinstimmen. Sie können irgendeine der folgenden Optionen für die Engine verwenden:
- Installieren Sie eine Engine. Informationen dazu finden Sie unter Installing engines in silent mode oder Installing engines in interactive mode.
- Wenn Sie bereits über eine Engine verfügen, verbinden Sie diese wie unter Connecting engines to Keystone servers beschrieben mit dem Keystone-Server.
- Erweitern Sie eine bestehende Heat-Orchestrierungsengine und verbinden Sie diese mit dem Keystone-Server. Siehe Extending Heat orchestration engines.
Installieren Sie den Blueprint-Design-Server. Siehe Installing the blueprint design server.
Verbinden Sie den Blueprint-Design-Server mit dem Server. Siehe Connecting the blueprint design server to the server.
Stellen Sie sicher, dass der Blueprint-Design-Server eine Verbindung zur Cloud herstellen kann. Sie können den Verbindungspfad mit den Befehlen curl oder telnet überprüfen. Beispiel: Stellen Sie sicher, dass keine Firewall-, Proxy- oder Sicherheitseinstellungen die Kommunikation zwischen dem Blueprint-Design-Server und der Cloud verhindern.

Informationen zu diesem Vorgang

Das folgende Diagramm zeigt eine Standardtopologie für dieses Szenario. Der Blueprint-Design-Server und die Engine stellen eine Verbindung mit der OpenStack-basierten Cloud her. Der Blueprint-LDAP-Server stellt eine Verbindung mit dem LDAP-Server her, von dem er Benutzerkontoinformationen abruft. Er greift auch auf den Keystone-Identitätsservice zu. Der Blueprint-Design-Server ruft Authentifizierungsinformationen von diesem Keystone-Identitätsservice ab.

Eine Topologie, die den Blueprint-Design-Server, eine Engine, eine OpenStack-basierte Cloud, einen Keystone-Server und einen LDAP-Server umfasst

Vorgehensweise

Log in to the blueprint designer as a user with the following System permissions:
- Configure Security
- Manage Users & Groups
Erstellen Sie eine Verbindung mit der Cloud:
1. Klicken Sie auf Einstellungen > Clouds.
2. Klicken Sie auf Neue Cloud hinzufügen.
3. Legen Sie einen Namen für die Cloudverbindung fest.
4. Wählen Sie in der Liste Typ die Option Openstack aus.
5. Wählen Sie in der Liste Endpunkttyp den URL-Typ aus, mit dem Sie eine Verbindung mit dieser Cloud herstellen.
  - Wenn Sie eine Verbindung über eine private URL herstellen, wählen Sie Intern aus.
  - Wenn Sie eine Verbindung über eine öffentliche URL herstellen, wählen Sie Öffentlich aus.
6. Geben Sie im Feld Identitäts-URL die Speicherposition des Identitätsservice an: http://example.com:5000/v2.0 oder http://example.com:5000/v3. Schließen Sie keinen abschließenden Schrägstrich ein. Wenn Sie einen Keystone-Server zusammen mit der Engine, die in IBM® UrbanCode Deploy eingeschlossen ist, installiert haben, können Sie diesen Server verwenden. Sollten Sie mindestens Version 6.2.1.1 installiert haben, geben Sie den Wert http://engineHostname:5000/v3 an. Sollten Sie eine Version vor 6.2.1.1 installiert haben, geben Sie den Wert http://engineHostname:5000/v2.0 an. In beiden Beispielen ist der Wert für engineHostname der Hostname oder die IP-Adresse der Engine.
7. Geben Sie im Feld Zeitlimit in Minuten die Zeitdauer in Minuten an, in der gewartet werden soll, bis eine Bereitstellungsanforderung abgeschlossen ist. Wenn Sie IBM UrbanCode Deploy-Komponenten bereitstellen, lassen Sie der Cloud für die Bereitstellung der Instanz, dem Agent bis er online ist und den Prozessen genügend Zeit, bis sie alle laufen. Siehe Creating a IBM UrbanCode Deploy timeout configuration file. Wenn Sie in Umgebungen Chef-Rollen anwenden, lassen Sie den Chef-Rollen genügend Zeit zum Beenden.
8. Legen Sie die Heat-Orchestrierungsengine fest, die verwendet werden soll:
  - Wenn Ihr Keystone-Server nicht zusammen mit einer Engine, die in IBM UrbanCode Deploy eingeschlossen ist, installiert wurde, wählen Sie zum Verwenden der Heat-Standardengine für den Keystone-Server das Kontrollkästchen Standardorchestrierungsengine verwenden aus.
    Anmerkung: Diese Engine muss die benutzerdefinierten Typen für den Blueprint-Design-Server wie unter Extending Heat orchestration engines beschrieben aufweisen.
  - Wenn Ihr Keystone-Server zusammen mit einer Engine, die in IBM UrbanCode Deploy eingeschlossen ist, installiert wurde, oder wenn Sie eine andere Heat-Engine verwenden möchten, inaktivieren Sie das Kontrollkästchen Standardorchestrierungsengine verwenden und geben Sie die Speicherposition Ihrer Engine an (z. B. http://engine.example.com:8004).
    Anmerkung: Verwenden Sie die Variable localhost in diesem Feld nicht, selbst wenn sich die Engine auf demselben System wie der Blueprint-Design-Server befindet.
9. Optional: Wählen Sie die zu verwendende Kostenstelle aus, um die Kosten für Umgebungen in dieser Cloud zu schätzen.
10. Klicken Sie auf Speichern.
Erstellen Sie Cloudprojekte für diese Verbindung. Siehe Creating cloud projects for the blueprint designer.
Fügen Sie die Cloudprojekte Teams hinzu.
Erstellen Sie einen LDAP-Authentifizierungsrealm und importieren Sie Benutzer aus diesem Bereich. Siehe Creating LDAP authentication realms for the blueprint designer.
Fügen Sie die Benutzer den Teams hinzu und weisen Sie diesen Benutzern eine oder mehrere Rollen zu. Die Benutzer im Team haben Zugriff auf die Cloudprojekte, die diesem Team zugeordnet sind.
Vergewissern Sie sich, ob die Teamrollen die entsprechenden Berechtigungen, wie zum Beispiel das Erstellen und Bearbeiten von Blueprints, für diese Benutzer umfassen.
Wenn die Cloud SSL-Sicherheit verwendet, konfigurieren Sie die SSL-Sicherheit auf dem Blueprint-Design-Server. Siehe Konfiguration der SSL-Sicherheit für OpenStack-Clouds.

Ergebnisse

Benutzer können sich mit den Konten auf dem LDAP-Server beim Blueprint Designer anmelden. Benutzer können ganz oben auf der Seite die Cloudverbindung, das Cloudprojekt und die Region auswählen. Wenn sie Blueprints bearbeiten, zeigt die Palette Ressourcen an, die in der Cloud, der das Benutzerkonto zugeordnet ist, zur Verfügung stehen.

Anmerkung: Wenn sich ein Benutzer beim Blueprint Designer anmeldet, gleicht der Blueprint Designer ganz oben in der Liste beginnend den Benutzernamen mit den Authentifizierungsrealms ab. Wenn der Benutzername in mehr als einem Authentifizierungsrealm vorhanden ist, verwendet der Blueprint Designer die Liste im höchsten Authentifizierungsrealm.

Feedback