全局配置

为保证DomeOS各个模块的正常运行,完成系统安装及初始化后,需要正确合理地设定DomeOS全局配置项。以普通账户->用户名admin、密码admin登录DomeOS,点击"全局配置"即可进入全局配置页面。

注意:admin用户是整个DomeOS的系统管理员,拥有所有资源的最高权限。只有admin用户能够查看并修改全局配置,非admin用户无法改变全局配置。

1.用户管理

在DomeOS中,用户按照登录方式的不同分为两种类型:LDAP用户和普通用户。

LDAP用户:通过关联LDAP服务器和CAS服务器获得,当新用户通过LDAP或者SSO方式登录到DomeOS,将自动在DomeOS系统中新增一个LDAP用户。LDAP用户的管理受LDAP服务器或者CAS服务器控制,DomeOS仅提供展示功能。LDAP用户在DomeOS上和普通用户的设定、权限等完全相同。

普通用户:DomeOS自身的用户。admin可以在页面上添加或删除普通用户。DomeOS中已经存在的普通用户可以通过普通账户方式登录到DomeOS系统中。

在用户管理页面中,可以看到DomeOS系统上所有的用户。admin可以编辑用户邮箱、电话、删除用户(不能删除admin本身)等,对于普通用户,admin还可以修改登录密码、以及创建一个新的普通用户账号。

全局配置 - 图1

2.登录管理

通常企业会有内部的LDAP服务器或者CAS服务器,用来管理公司账号。在登录管理页面上,可以选择启用LDAP或者SSO。启用LDAP并填写完LDAP相关配置后,该LDAP服务器管理的账号都可以登录DomeOS控制台,启用SSO并填写完SSO相关配置后,该CAS服务器管理的账号也都可以登录DomeOS控制台。如果同时启用LDAP和SSO,默认使用SSO认证方式。

启用LDAP

OpenLDAP服务器地址:填写LDAP服务器地址以及端口号。

email后缀:LDAP服务器可以配置后缀(suffix)。

全局配置 - 图2

启用SSO

CAS服务器地址:填写CAS服务器地址。

登录URL:login请求相对地址,需要/开头

登出URL:logout请求相对地址,需要以/开头

全局配置 - 图3

3.代码仓库

DomeOS支持关联代码仓库,用于关联代码并构建项目。目前DomeOS支持关联Gitlab。您需要填写您的Gitlab地址。DomeOS支持关联多个不同的Gitlab地址,而且还支持https方式访问的Gitlab,可以跳过安全验证。与此同时,在删除Gitlab地址时,会根据工程关联情况给出明确提示。

全局配置 - 图4

4. 镜像仓库

在这里需要填写私有镜像仓库的部署地址和相应配置,以便于DomeOS执行镜像相关操作,并将新添加主机正确连接至私有镜像仓库。

配置说明

私有仓库地址:填写私有镜像仓库的访问地址,注意需要包含“ http:// ”或“ https:// ”前缀。若私有仓库通过https访问,需要勾选“https”,若私有仓库证书为自签名证书,则需要将证书信息配置到DomeOS中。

全局配置 - 图5全局配置 - 图6

私有仓库的token auth server

使用DomeOS作为私有仓库的token auth server时,私有仓库的登录用户名密码与DomeOS的用户名密码一致,而权限则与Project的权限一致。

例如:这里DomeOS项目与私有仓库对应关系为:

项目名称-test

私有仓库镜像位置-registryaddr:registryport/test/

项目权限私有仓库权限
Masterpush,pull,delete
Developerpush,pull
Reporterpull

使用DomeOS作为私有仓库的token auth server时,需要配置如下:

全局配置中,私有仓库配置栏下,需要配置,ISSUER,SERVICE,与PRIVATE KEY。

这里的ISSUER,SERVICE,PRIVATE KEY需要与私有仓库的启动参数, token-issuer,token-service,与证书对应一致。私有仓库的配置可以参考https://github.com/docker/distribution/blob/master/docs/configuration.md启动私有仓库时,需要额外配置REGISTRY_AUTH_TOKEN_REALM REGISTRY_AUTH_TOKEN_SERVICE REGISTRY_AUTH_TOKEN_ISSUER REGISTRY_AUTH_TOKEN_ROOTCERTBUNDLE环境变量,并挂载相应证书。这里的REGISTRY_AUTH_TOKEN_REALM地址为http://domeos_server_addr/service/token,REGISTRY_AUTH_TOKEN_SERVICE,REGISTRY_AUTH_TOKEN_ISSUER需要与前述说明配置相同,REGISTRY_AUTH_TOKEN_ROOTCERTBUNDLE需要指定证书位置并通过-v命令挂载与PRIVATE KEY对应的证书。

5. 服务器

这里需填写DomeOS Server服务地址,其他需要与DomeOS Server交互的组件通过这一地址连接DomeOS Server。

全局配置 - 图7

6. 监控报警配置

这里需填写与监控相关的若干组件(transfer、graph、query、hbs、judge、alarm、sender、nodata、redis)的地址参数以及报警短信、邮件接口。应确保填写正确,否则监控报警系统可能运行不正常。

配置说明

transfer:填写transfer组件rpc服务地址。若配置多个transfer,应填写多个。

graph:填写graph组件rpc服务地址。若配置多个graph,应填写多个。

query:填写query组件http服务地址。

hbs:填写hbs组件rpc服务地址。

judge:填写judge组件rpc服务地址。若配置多个judge,应填写多个。

alarm:填写alarm组件http服务地址。

sender:填写sender组件http服务地址。

nodata:填写nodata组件http服务地址。

redis:填写redis组件服务地址。

apiSms:填写报警短信发送接口地址,注意接口数据格式应符合open-falcon要求(见此处说明)。

apiMail:填写报警邮件发送接口地址,注意接口数据格式应符合open-falcon要求(见此处说明)。

全局配置 - 图8

全局配置 - 图9全局配置 - 图10

7. Web SSH

如果希望通过Web端直接登录容器,须填写WebSSH Server的访问地址。注意:若使用容器方式启动DomeOS Server,此处必须填写 http://localhost:4200 ;否则按照WebSSH Server实际部署地址填写。

全局配置 - 图11

8. 构建集群

若需成功完成项目构建,需要指定DomeOS中的某一集群为构建集群,并将该集群中的至少一台主机设置为可用于构建。通过全局配置中的构建集群部分即可完成构建集群的指定。

配置说明

选择集群:列表展示了“集群管理”中的所有集群,选择一个作为构建集群。

选择namespace:在集群的namespace中选择一个,用于启动构建任务。

选中集群和namespace后,页面下方将给出构建集群的主机列表,构建任务会在开启“用于构建”的主机上运行,请确保构建集群内有至少一台主机能够用于构建。

全局配置 - 图12