通用方案:专有云V3环境开启和关闭天基控制台权限认证功能的方法

1. 概述

本文主要介绍在专有云V3环境中,如何开启和关闭天基控制台的权限认证功能。

方案总览

类别 内容
风险等级(方案执行的影响)
操作方式 黑屏
操作复杂度
预估执行时长 N/A
客户业务的影响
可监控性 不支持
有效性(重启、重拉、补丁、升级、扩容等配置是否丢失) 固化
数据修订(变更是否涉及增删改操作)
执行灰度策略 请向产品侧咨询,明确灰度策略
首次发布时间 N/A
预计完成时间 N/A

1.1. 适用范围

  • 专有云版本:V3.*
  • 产品:天基

1.2. 风险说明

无风险,需注意在产品升级前需要关闭权限认证。

2. 问题描述

启动和关闭权限认证的场景描述如下:

  • 在专有云V3环境服务部署完成后,需要开启天基控制台权限认证功能。开启后需要使用账号和密码的方式登录天基控制台。
  • 在产品升级前需要关闭鉴权。关闭鉴权后,在浏览器中直接输入URL,不需要使用账号和密码的方式登录天基控制台。

3. 解决方案

3.1. 环境检查

鉴权开启

确认当前登录天基控制台,需输入帐号和密码才可进入界面。

鉴权关闭

确认当前登录天基控制台,无需帐号和密码,可直接进入界面。

3.2. 实施步骤

开启权限认证

  1. 登录OPS1服务器,关于如何登录OPS,请参见专有云如何登录OPS服务器

  2. 执行以下命令,开启权限认证。

    /cloud/tool/tianji/tianji_clt authmode --enable --config /cloud/data/bootstrap_controller/BootstrapController#/bootstrap_controller/tianji_dest.conf

    系统返回类似如下。

查看权限认证

执行以下命令,查看权限认证。

/cloud/tool/tianji/tianji_clt authmode --get --config /cloud/data/bootstrap_controller/BootstrapController#/bootstrap_controller/tianji_dest.conf

系统返回类似如下,如果为false表示未打开认证,true表示打开了认证。
1534835921558-894ce726-25b6-45a8-9a83-3a45b4670503.png

关闭权限认证

  1. 登录OPS1服务器。
  2. 标准企业版APIServer和ConfigStore服务在OPS1~3服务器上,如果现场为大规模环境,APIServer和ConfigStore不在OPS1~3服务器上,需要执行以下命令查询。
    说明:标准企业版也可以使用此命令查询。
    • 执行以下命令,查找APIServer所在的主机。 
      curl "localhost:7070/api/v3/column/m.id,m.ip?m.sr.id=tianji.APIServer%23"
      系统显示类似如下。
    • 执行以下命令,查找ConfigStore主节点所在的主机。 
      curl "127.0.0.1:7070/api/v3/column/m.ip?m.sr.id=tianji.ConfigStore%23&m.sr.isPrimary=true"
      系统显示类似如下,获得主机IP地址。
  3. 执行以下命令,查找集群的head version
    curl "http://[$IP]:8082/clusters/TianjiMetaStore"
    说明:[$IP]为ConfigStore主节点所在的IP地址。
    系统返回类似如下。
  4. 根据本小节第2步查询到的APIServer的主机地址,共3个节点。登录对应的机器,执行以下命令,停止APIServer,3个节点都需要执行停止操作。
    tjc stop tianji.APIServer#
    系统显示类似如下。

  5. 标准企业版及大规模改造环境,均需登录ConfigStore主节点,即第2步查询到的ConfigStore主节点的IP地址。执行以下命令,关闭鉴权配置。

    curl "http://[$IP]:8082/clusters/TianjiMetaStore/versions/[$Head_Version]/conf" -X POST -d '{"Name":"user","Email":"user","Message":"disable auth","Updates":{"authmode.conf":"{\"AuthMode\":\"false\"}"}}'
    说明:[$Head_Version]为上一步获取的head version

    系统返回类似如下。
    1534837256630-10677b0c-6ed9-406e-a848-ef5dadb593c3.png

  6. 根据本小节第2步查询到的APIServer的主机地址,共3个节点。登录对应的机器,执行以下命令,启动APIServer,3个节点都需要执行启动操作。
    tjc start tianji.APIServer#
    系统显示类似如下。
  7. 参见查看权限认证,查询鉴权是否关闭。

  8. 登录OPS1服务器,依次执行以下命令,重启terminal_service_portal服务。

    curl "127.0.0.1:7070/api/v3/column/m.ip?m.sr.id=tianji.TerminalServicePortal%23"| grep m.ip|awk -F"\"" '{print $4}'|xargs -i -P1 ssh {} killall terminal_service_portal

3.3. 结果验证

开启鉴权操作的结果验证

修改完毕等待1-2分钟,关闭页面重新访问,需要使用账号和密码方式登录天基控制台。

关闭鉴权操作的结果验证

修改完毕等待1-2分钟,关闭页面重新访问,无需输入账号和密码登录天基控制台。

4. 回滚方案

开启鉴权的回滚操作

参见实施步骤,关闭权限认证。

关闭鉴权的回滚操作

参见实施步骤,开启权限认证。