indigopaas/orchestrator-dashboard

Orchestrator-dashboard

INDIGO PaaS Orchestrator的简单图形化界面。

镜像概述和主要用途

orchestrator-dashboard是一个基于http://flask.pocoo.org/%E5%BE%AE%E6%A1%86%E6%9E%B6%E6%9E%84%E5%BB%BA%E7%9A%84Python%E5%BA%94%E7%94%A8%EF%BC%8C%E4%BD%BF%E7%94%A8https://flask-dance.readthedocs.io/en/latest/%E5%AE%9E%E7%8E%B0Openid-Connect/OAuth2%E9%9B%86%E6%88%90%E3%80%82Docker%E9%95%9C%E5%83%8F%E4%BD%BF%E7%94%A8https://gunicorn.org/%E4%BD%9C%E4%B8%BAWSGI HTTP服务器来运行Flask应用。该镜像提供了PaaS编排器的图形化管理界面，方便用户管理部署。

核心功能和特性

• IAM认证
• 显示用户的部署
• 显示部署详情、模板和日志
• 删除部署
• 创建新部署

使用场景和适用范围

适用于需要通过图形化界面管理INDIGO PaaS Orchestrator部署的用户，包括开发人员、系统管理员等，用于监控、管理和操作PaaS平台上的应用部署。

使用方法和配置说明

前置条件

应用需要数据库存储数据并通过HTTPS运行。

• 运行MySQL实例（版本5.7或8）
  • 具有完全数据库管理权限的用户，用于自动创建/管理数据库
• 运行Redis实例
• 在IAM中注册客户端，具有以下属性：
  • 重定向URI：https://<DASHBOARD_HOST>:<PORT>/login/iam/authorized
  • 作用域：openid、email、profile、offline_access
  • 授权类型：authorization_code、refresh_token和urn:ietf:params:oauth:grant-type:token-exchange
    • 最后一种可能需要与IAM管理员交互
• 在项目顶层目录创建instance文件夹，包含以下文件：
  • config.json
• 配置应用使用证书
  • 若要使用自动生成的证书，可执行以下命令：

    bash
    openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -sha256 -days 365
    

    将证书放在任意位置，使用时引用正确路径。launch.json和docker-compose.yml期望证书位于certs文件夹中。
  • 或使用HTTPS代理
    • 启动代理并配置其将用户请求重定向到仪表板
    • 使用正确的回调路径更新IAM客户端（例如https://<PROXY_HOST>/login/iam/authorized）
    • 运行应用时不使用证书
    • 通过https://<PROXY_HOST>/访问仪表板

本地环境

若要在仓库提供的Docker镜像外运行应用：

• 安装requirements.txt中定义的包依赖 使用pip：

  bash
  pip install -r requirements.txt
  

  使用poetry：

  bash
  cat requirements.txt | xargs poetry add
  

  安装过程和虚拟环境激活取决于您偏好的方式。

可选配置

• 若要更改图形或自动启用一组功能，请选择预配置的配置文件

  • 在config.json文件中，设置CONFIGURATION_PROFILE变量（例如infn-cloud）。

• 若要启用Redis

  • 在config.json文件中，设置REDIS_URL变量（例如redis://:my-password@localhost:6379）。

• 若要更改上传文件夹

  • 在config.json文件中，设置UPLOAD_FOLDER（例如**/opt/uploads**）。

• 若要在左侧导航栏显示高级菜单选项或在部署创建中启用调度配置

  • 在config.json文件中，设置FEATURE_ADVANCED_MENU为true。

• 若要使用docker/start.sh文件启动应用

  • 设置环境变量ENABLE_HTTPS=True

• 若需要安装和信任默认CA bundle中未包含的证书

  • 在trusted_certs文件夹中创建CA证书。

• 若要集成vault服务

  • 在instance文件夹中添加vault-config.json文件。

• 若要手动克隆tosca-templates仓库

  • 克隆tosca-templates仓库并更新config.json文件，使TOSCA_TEMPLATES_DIR指向正确路径（例如**/opt/tosca-templates**）。

  bash
  git clone https://baltig.infn.it/infn-cloud/tosca-templates.git
  

  docker-compose.yml期望该仓库位于instance文件夹中。

• 若要手动克隆dashboard-configuration仓库

  • 克隆dashboard-configuration仓库并更新config.json文件，使SETTINGS_DIR指向正确路径（例如**/opt/dashboard-configuration**）。

  bash
  git clone https://baltig.infn.it/infn-cloud/dashboard-configuration.git
  

  docker-compose.yml期望该仓库位于instance文件夹中。

  在dashboard-configuration/tosca-metadatametadata.yaml中定义了用户与可用服务之间的映射。可以使用正则表达式定义多个组。

• 若要启用SSH公钥

  • 在config.json文件中，设置FEATURE_REQUIRE_USER_SSH_PUBKEY为yes。
  • 启用vault（见下一点）。

• 若要启用vault功能

  • 若有vault服务，必须正确配置。它必须向用户授予正确的读、写和删除策略。这些策略的名称必须与vault-config.json变量中设置的策略名称匹配。
  • vault必须支持通过JWT token进行认证。
  • 在config.json文件中，设置FEATURE_VAULT_INTEGRATION为yes。
  • 创建vault-config.json文件，至少包含：VAULT_URL、VAULT_ROLE和VAULT_BOUND_AUDIENCE。

• 使用环境变量代替在.json文件中定义变量

  • 创建带有FLASK_前缀的环境变量（例如FLASK_TOSCA_TEMPLATES_DIR）

config.json参数

LDAP变量是运行Sync&Share等服务所必需的。

vault-config.json参数

仅当FEATURE_VAULT_INTEGRATION=yes时，这些变量才为必填。

尽管TOKEN_TIME_DURATION和TOKEN_RENEWAL_TIME_DURATION都标记为必填，但它们可视为互斥。

运行应用

仪表板首次启动时，从管理员设置页面，您需要下载tosca-templates仓库。它将被放置在TOSCA_TEMPLATES_DIR中。

仪表板首次启动时，从管理员设置页面，您需要下载dashboard-configuration仓库。它将被放置在SETTINGS_DIR中。

本地环境

在本地环境运行Flask应用的命令：

bash
FLASK_app=orchdashboard flask run --host=0.0.0.0 --cert cert.pem --key key.pem

在本地环境使用gunicorn运行应用的命令：

bash
gunicorn -w 1 --timeout 60 \
    --bind 0.0.0.0:5000 \
    --certfile certs/cert.pem \
    --keyfile certs/key.pem \
    orchdashboard:app

或者，您可以运行docker/start.sh脚本，该脚本是Docker化实例启动时运行的脚本。

该脚本使用CERT和KEY环境变量定义cert.pem和key.pem文件的路径；默认情况下，它们等于/certs/cert.pem和/certs/key.pem。

服务暴露的端口可以使用PORT环境变量设置；默认情况下，start.sh脚本在端口5001上暴露服务。

运行脚本：

bash
./docker/start.sh

Docker环境

若要在Docker容器中运行应用，仓库提供了Docker镜像和docker-compose.yml文件以启动所有需要的服务。

运行Docker容器：

bash
docker run -d -p 5000:5001 \
    --name='orchestrator-dashboard' \
    -v $PWD/certs:/certs \
    -v $PWD/trusted_certs:/trusted_certs \
    -v $PWD/instance/:/app/instance/ \
    -e ENABLE_HTTPS=True \
    -e TOSCA_TEMPLATES_DIR=/app/instance/tosca-templates \
    -e SETTINGS_DIR=/app/instance/dashboard-configuration \
    -e UPLOAD_FOLDER=/app/instance/uploads \
    infn-datacloud/orchestrator-dashboard:latest

由于应用在容器内运行，请记住正确设置SQLALCHEMY_DATABASE_URI和REDIS_URL作为环境变量或在config.json中设置。

除了orchestrator-dashboard，docker compose还启动5.7版本的MySQL数据库和Redis服务实例。此外，它绑定项目顶层目录中的instance文件夹。期望在该目录中找到所有.json文件，并将tosca-templates、dashboard-configuration和uploads文件夹放在那里。docker-compose.yml正确定义了环境变量SQLALCHEMY_DATABASE_URI、REDIS_URL、TOSCA_TEMPLATES_DIR、SETTINGS_DIR和UPLOAD_FOLDER。

运行docker compose套件：

bash
docker compose -f docker/docker-compose.yml up -d

默认情况下，Docker镜像暴露端口5001而非5000。docker-compose.yml将容器的5001端口映射到本地主机的5000端口。 默认情况下，TOSCA_TEMPLATES_DIR、SETTINGS_DIR和UPLOAD_FOLDER指向需要管理员权限的路径。docker-compose.yml将这些变量映射到用户可访问的路径。

Devcontainer

对于VSCode用户，.devcontainer文件夹中提供了devcontainer配置。

数据库更新（手动）

仓库包含orchdasboard_dev.py文件，应用于开发人员调试。与主文件orchdashboard.py的主要区别是它调用检查和自动更新数据库的例程。 如果要使用上述生产环境的orchdashboard.py文件进行调试，当需要更新数据库时，必须手动启动migrate_db.py文件。 在Docker化配置中，此文件会自动启动。

如何构建Docker镜像

bash
git clone https://github.com/infn-datacloud/orchestrator-dashboard.git
cd orchestrator-dashboard
docker build -f docker/Dockerfile -t