通用方案:专有云V3环境开启和关闭天基控制台权限认证功能的方法

    通用方案:专有云V3环境开启和关闭天基控制台权限认证功能的方法

    更新时间:2020-08-25 14:01:42

    ★ 我的收藏
    本页目录

    1. 概述

    本文主要介绍在专有云V3环境中,如何开启和关闭天基控制台的权限认证功能。

    方案总览

    类别 内容
    风险等级(方案执行的影响)
    操作方式 黑屏
    操作复杂度
    预估执行时长 N/A
    客户业务的影响
    可监控性 不支持
    有效性(重启、重拉、补丁、升级、扩容等配置是否丢失) 固化
    数据修订(变更是否涉及增删改操作)
    执行灰度策略 请向产品侧咨询,明确灰度策略
    首次发布时间 N/A
    预计完成时间 N/A

    1.1. 适用范围

    • 专有云版本:V3.*
    • 产品:天基

    1.2. 风险说明

    无风险,需注意在产品升级前需要关闭权限认证。

    2. 问题描述

    启动和关闭权限认证的场景描述如下:

    • 在专有云V3环境服务部署完成后,需要开启天基控制台权限认证功能。开启后需要使用账号和密码的方式登录天基控制台。
    • 在产品升级前需要关闭鉴权。关闭鉴权后,在浏览器中直接输入URL,不需要使用账号和密码的方式登录天基控制台。

    3. 解决方案

    3.1. 环境检查

    鉴权开启

    确认当前登录天基控制台,需输入帐号和密码才可进入界面。

    鉴权关闭

    确认当前登录天基控制台,无需帐号和密码,可直接进入界面。

    3.2. 实施步骤

    开启权限认证

    1. 登录OPS1服务器,关于如何登录OPS,请参见专有云如何登录OPS服务器

    2. 执行以下命令,开启权限认证。

      /cloud/tool/tianji/tianji_clt authmode --enable --config /cloud/data/bootstrap_controller/BootstrapController#/bootstrap_controller/tianji_dest.conf

      系统返回类似如下。

    查看权限认证

    执行以下命令,查看权限认证。

    /cloud/tool/tianji/tianji_clt authmode --get --config /cloud/data/bootstrap_controller/BootstrapController#/bootstrap_controller/tianji_dest.conf

    系统返回类似如下,如果为false表示未打开认证,true表示打开了认证。
    1534835921558-894ce726-25b6-45a8-9a83-3a45b4670503.png

    关闭权限认证

    1. 登录OPS1服务器。
    2. 标准企业版APIServer和ConfigStore服务在OPS1~3服务器上,如果现场为大规模环境,APIServer和ConfigStore不在OPS1~3服务器上,需要执行以下命令查询。
      说明:标准企业版也可以使用此命令查询。
      • 执行以下命令,查找APIServer所在的主机。 
        curl "localhost:7070/api/v3/column/m.id,m.ip?m.sr.id=tianji.APIServer%23"
        系统显示类似如下。
      • 执行以下命令,查找ConfigStore主节点所在的主机。 
        curl "127.0.0.1:7070/api/v3/column/m.ip?m.sr.id=tianji.ConfigStore%23&m.sr.isPrimary=true"
        系统显示类似如下,获得主机IP地址。
    3. 执行以下命令,查找集群的head version
      curl "http://[$IP]:8082/clusters/TianjiMetaStore"
      说明:[$IP]为ConfigStore主节点所在的IP地址。
      系统返回类似如下。
    4. 根据本小节第2步查询到的APIServer的主机地址,共3个节点。登录对应的机器,执行以下命令,停止APIServer,3个节点都需要执行停止操作。
      tjc stop tianji.APIServer#
      系统显示类似如下。

    5. 标准企业版及大规模改造环境,均需登录ConfigStore主节点,即第2步查询到的ConfigStore主节点的IP地址。执行以下命令,关闭鉴权配置。

      curl "http://[$IP]:8082/clusters/TianjiMetaStore/versions/[$Head_Version]/conf" -X POST -d '{"Name":"user","Email":"user","Message":"disable auth","Updates":{"authmode.conf":"{\"AuthMode\":\"false\"}"}}'
      说明:[$Head_Version]为上一步获取的head version

      系统返回类似如下。
      1534837256630-10677b0c-6ed9-406e-a848-ef5dadb593c3.png

    6. 根据本小节第2步查询到的APIServer的主机地址,共3个节点。登录对应的机器,执行以下命令,启动APIServer,3个节点都需要执行启动操作。
      tjc start tianji.APIServer#
      系统显示类似如下。
    7. 参见查看权限认证,查询鉴权是否关闭。

    8. 登录OPS1服务器,依次执行以下命令,重启terminal_service_portal服务。

      curl "127.0.0.1:7070/api/v3/column/m.ip?m.sr.id=tianji.TerminalServicePortal%23"| grep m.ip|awk -F"\"" '{print $4}'|xargs -i -P1 ssh {} killall terminal_service_portal

    3.3. 结果验证

    开启鉴权操作的结果验证

    修改完毕等待1-2分钟,关闭页面重新访问,需要使用账号和密码方式登录天基控制台。

    关闭鉴权操作的结果验证

    修改完毕等待1-2分钟,关闭页面重新访问,无需输入账号和密码登录天基控制台。

    4. 回滚方案

    开启鉴权的回滚操作

    参见实施步骤,关闭权限认证。

    关闭鉴权的回滚操作

    参见实施步骤,开启权限认证。