1. OpenStack Dashboard入门指南从零开始定位登录入口第一次接触OpenStack云平台的管理界面时很多人都会遇到一个看似简单却让人头疼的问题——我该从哪里登录作为OpenStack的Web管理门户Horizon Dashboard就像是整座云平台的控制中心但如果你连大门都找不到再强大的功能也无从谈起。我在管理企业私有云时经常遇到新同事拿着IP地址却死活打不开Dashboard的情况。最常见的就是直接输入控制节点IP后浏览器显示无法访问这通常是因为忽略了端口号的配置。OpenStack Dashboard默认使用8012端口但实际环境中这个端口可能被修改过。比如去年我们迁移到新版本时就发现端口被改成了443因为启用了HTTPS加密。要确认Dashboard的真实访问地址最直接的方法是检查控制节点上的HAProxy配置。登录控制节点后打开/etc/haproxy/haproxy.cfg文件搜索horizon或dashboard关键词你会看到类似这样的配置段listen horizon bind 0.0.0.0:8012 server controller1 192.168.1.100:80 check这里的bind参数就指明了Dashboard的监听端口。不过要注意不同OpenStack发行版的配置文件位置可能不同比如Mirantis OpenStack可能把配置放在/etc/haproxy/conf.d/目录下。2. 端口号排查当默认8012不生效时的解决方案虽然8012是OpenStack Dashboard的默认端口但在实际生产环境中这个端口可能因为各种原因被修改。我遇到过最棘手的情况是运维团队为了安全考虑不仅改了端口号还设置了IP白名单限制访问。当默认端口无法访问时可以尝试以下几种排查方法首先检查Apache或Nginx的配置文件。对于使用Apache作为Web服务器的环境查看/etc/httpd/conf.d/目录下的配置文件特别是名称中包含horizon或openstack的文件。例如grep -r Listen /etc/httpd/conf.d/这个命令会递归搜索所有配置文件中包含Listen的行通常能快速定位到Dashboard使用的端口号。另一个常见情况是Dashboard启用了HTTPS。这时访问地址应该是https://控制节点IP默认端口443可以省略。如果配置了自签名证书浏览器会显示安全警告需要手动添加例外才能继续访问。在Kolla部署的OpenStack环境中端口信息可能存储在Docker容器的环境变量中。可以通过以下命令查看docker inspect horizon | grep -i port3. 用户名密码获取环境变量文件解析指南成功找到Dashboard访问地址只是第一步接下来需要正确的用户名和密码才能登录。OpenStack的认证信息通常存储在环境变量文件中默认位置是/root/admin-openrc.sh或/home/用户名/admin-openrc.sh。这个文件包含了管理员账户的所有必要信息。查看方法很简单cat /root/admin-openrc.sh你会看到类似这样的输出export OS_USERNAMEadmin export OS_PASSWORDAdmin#126 export OS_AUTH_URLhttp://192.168.1.100:35357/v3这里有几个关键点需要注意OS_USERNAME是登录Dashboard使用的用户名OS_PASSWORD是对应的密码OS_AUTH_URL是Keystone认证服务的地址在实际操作中我遇到过环境变量文件被误删的情况。这时候可以通过以下方法恢复如果是Packstack安装的环境检查/root/.my.cnf文件如果是DevStack安装的查看/opt/stack/devstack/目录下的日志文件最彻底的方法是重置admin用户的密码openstack user password set --password 新密码 admin4. 高级排查当常规方法都失效时的解决方案即使按照上述步骤操作有时还是会遇到无法登录的情况。这时候就需要一些更深入的排查手段。案例1防火墙拦截有一次客户反馈Dashboard无法访问检查所有配置都正确。最后发现是防火墙规则阻止了外部访问。解决方法iptables -L -n | grep 8012 firewall-cmd --list-all | grep http案例2SELinux限制在启用了SELinux的系统上可能需要额外设置setsebool -P httpd_can_network_connect on案例3服务未正常运行检查horizon服务状态systemctl status httpd docker ps | grep horizon # 容器化部署时使用对于使用Nginx作为反向代理的环境检查配置文件nginx -T | grep server日志分析是最有效的排查手段tail -f /var/log/httpd/error_log journalctl -u httpd --no-pager -n 505. 安全加固生产环境最佳实践在成功登录Dashboard后为了系统安全建议立即进行以下操作修改默认密码openstack user password set --password 复杂密码 admin创建专用管理账户避免使用admin账户日常操作openstack user create --password 密码 用户名 openstack role add --user 用户名 --project admin admin限制Dashboard访问IP修改haproxy配置listen horizon bind 0.0.0.0:8012 acl allowed_ips src 192.168.1.0/24 tcp-request connection reject if !allowed_ips启用HTTPS加密避免密码明文传输。配置方法# 生成自签名证书 openssl req -x509 -nodes -days 365 -newkey rsa:2048 \ -keyout /etc/pki/tls/private/horizon.key \ -out /etc/pki/tls/certs/horizon.crt设置会话超时修改/etc/openstack-dashboard/local_settings.pySESSION_COOKIE_AGE 3600 # 1小时 SESSION_TIMEOUT 36006. 多节点环境下的特殊考量在大规模部署中OpenStack控制节点可能有多个这时Dashboard的访问方式会有一些变化。负载均衡场景 查看HAProxy的统计页面可以了解各节点的状态http://控制节点IP:1993/haproxy?stats高可用配置 在Pacemaker管理的集群中VIP虚拟IP才是Dashboard的真实地址pcs status | grep virtual_ip多区域部署 每个区域可能有独立的Dashboard需要检查相应的配置文件openstack endpoint list | grep dashboard容器化部署 使用Kolla-Ansible部署时检查容器配置grep horizon_port /etc/kolla/globals.yml docker exec -it horizon grep -r ALLOWED_HOSTS /etc/openstack-dashboard/7. 自动化工具辅助管理对于需要频繁访问多个OpenStack环境的运维人员建议使用一些自动化工具来简化流程。编写登录脚本#!/bin/bash # 自动获取Dashboard地址并打开浏览器 CONTROLLER_IP$(grep OS_AUTH_URL /root/admin-openrc.sh | cut -d: -f2 | sed s#//##) PORT$(grep -A5 listen horizon /etc/haproxy/haproxy.cfg | grep bind | awk {print $2} | cut -d: -f2) xdg-open http://${CONTROLLER_IP}:${PORT}使用API检测Dashboard状态curl -I http://控制节点IP:端口/auth/login/ | grep HTTPAnsible自动化检查- name: Check Horizon service hosts: controllers tasks: - name: Get Horizon port shell: | grep -A5 listen horizon /etc/haproxy/haproxy.cfg | grep bind | awk {print $2} | cut -d: -f2 register: horizon_portTerraform集成resource openstack_identity_user_v3 dashboard_admin { name dashboard_admin password var.dashboard_password enabled true }8. 常见问题快速诊断表为了帮助快速定位问题我整理了一个常见问题查表格症状可能原因检查命令解决方案连接被拒绝服务未启动systemctl status httpd启动服务404错误URL路径错误grep -r LOGIN_URL /etc/openstack-dashboard/修正访问地址空白页面静态文件缺失ls -l /var/www/html/static/重新收集静态文件500错误数据库连接问题tail -f /var/log/httpd/error_log检查数据库服务证书错误SSL配置问题openssl s_client -connect IP:PORT更新证书认证失败Keystone服务异常openstack token issue重启keystone对于时间紧迫的故障处理可以尝试这个万能重启命令按顺序systemctl restart httpd memcached docker restart horizon # 容器化环境
OpenStack Dashboard访问全攻略:定位登录入口、凭据与端口
发布时间:2026/5/26 11:33:09
1. OpenStack Dashboard入门指南从零开始定位登录入口第一次接触OpenStack云平台的管理界面时很多人都会遇到一个看似简单却让人头疼的问题——我该从哪里登录作为OpenStack的Web管理门户Horizon Dashboard就像是整座云平台的控制中心但如果你连大门都找不到再强大的功能也无从谈起。我在管理企业私有云时经常遇到新同事拿着IP地址却死活打不开Dashboard的情况。最常见的就是直接输入控制节点IP后浏览器显示无法访问这通常是因为忽略了端口号的配置。OpenStack Dashboard默认使用8012端口但实际环境中这个端口可能被修改过。比如去年我们迁移到新版本时就发现端口被改成了443因为启用了HTTPS加密。要确认Dashboard的真实访问地址最直接的方法是检查控制节点上的HAProxy配置。登录控制节点后打开/etc/haproxy/haproxy.cfg文件搜索horizon或dashboard关键词你会看到类似这样的配置段listen horizon bind 0.0.0.0:8012 server controller1 192.168.1.100:80 check这里的bind参数就指明了Dashboard的监听端口。不过要注意不同OpenStack发行版的配置文件位置可能不同比如Mirantis OpenStack可能把配置放在/etc/haproxy/conf.d/目录下。2. 端口号排查当默认8012不生效时的解决方案虽然8012是OpenStack Dashboard的默认端口但在实际生产环境中这个端口可能因为各种原因被修改。我遇到过最棘手的情况是运维团队为了安全考虑不仅改了端口号还设置了IP白名单限制访问。当默认端口无法访问时可以尝试以下几种排查方法首先检查Apache或Nginx的配置文件。对于使用Apache作为Web服务器的环境查看/etc/httpd/conf.d/目录下的配置文件特别是名称中包含horizon或openstack的文件。例如grep -r Listen /etc/httpd/conf.d/这个命令会递归搜索所有配置文件中包含Listen的行通常能快速定位到Dashboard使用的端口号。另一个常见情况是Dashboard启用了HTTPS。这时访问地址应该是https://控制节点IP默认端口443可以省略。如果配置了自签名证书浏览器会显示安全警告需要手动添加例外才能继续访问。在Kolla部署的OpenStack环境中端口信息可能存储在Docker容器的环境变量中。可以通过以下命令查看docker inspect horizon | grep -i port3. 用户名密码获取环境变量文件解析指南成功找到Dashboard访问地址只是第一步接下来需要正确的用户名和密码才能登录。OpenStack的认证信息通常存储在环境变量文件中默认位置是/root/admin-openrc.sh或/home/用户名/admin-openrc.sh。这个文件包含了管理员账户的所有必要信息。查看方法很简单cat /root/admin-openrc.sh你会看到类似这样的输出export OS_USERNAMEadmin export OS_PASSWORDAdmin#126 export OS_AUTH_URLhttp://192.168.1.100:35357/v3这里有几个关键点需要注意OS_USERNAME是登录Dashboard使用的用户名OS_PASSWORD是对应的密码OS_AUTH_URL是Keystone认证服务的地址在实际操作中我遇到过环境变量文件被误删的情况。这时候可以通过以下方法恢复如果是Packstack安装的环境检查/root/.my.cnf文件如果是DevStack安装的查看/opt/stack/devstack/目录下的日志文件最彻底的方法是重置admin用户的密码openstack user password set --password 新密码 admin4. 高级排查当常规方法都失效时的解决方案即使按照上述步骤操作有时还是会遇到无法登录的情况。这时候就需要一些更深入的排查手段。案例1防火墙拦截有一次客户反馈Dashboard无法访问检查所有配置都正确。最后发现是防火墙规则阻止了外部访问。解决方法iptables -L -n | grep 8012 firewall-cmd --list-all | grep http案例2SELinux限制在启用了SELinux的系统上可能需要额外设置setsebool -P httpd_can_network_connect on案例3服务未正常运行检查horizon服务状态systemctl status httpd docker ps | grep horizon # 容器化部署时使用对于使用Nginx作为反向代理的环境检查配置文件nginx -T | grep server日志分析是最有效的排查手段tail -f /var/log/httpd/error_log journalctl -u httpd --no-pager -n 505. 安全加固生产环境最佳实践在成功登录Dashboard后为了系统安全建议立即进行以下操作修改默认密码openstack user password set --password 复杂密码 admin创建专用管理账户避免使用admin账户日常操作openstack user create --password 密码 用户名 openstack role add --user 用户名 --project admin admin限制Dashboard访问IP修改haproxy配置listen horizon bind 0.0.0.0:8012 acl allowed_ips src 192.168.1.0/24 tcp-request connection reject if !allowed_ips启用HTTPS加密避免密码明文传输。配置方法# 生成自签名证书 openssl req -x509 -nodes -days 365 -newkey rsa:2048 \ -keyout /etc/pki/tls/private/horizon.key \ -out /etc/pki/tls/certs/horizon.crt设置会话超时修改/etc/openstack-dashboard/local_settings.pySESSION_COOKIE_AGE 3600 # 1小时 SESSION_TIMEOUT 36006. 多节点环境下的特殊考量在大规模部署中OpenStack控制节点可能有多个这时Dashboard的访问方式会有一些变化。负载均衡场景 查看HAProxy的统计页面可以了解各节点的状态http://控制节点IP:1993/haproxy?stats高可用配置 在Pacemaker管理的集群中VIP虚拟IP才是Dashboard的真实地址pcs status | grep virtual_ip多区域部署 每个区域可能有独立的Dashboard需要检查相应的配置文件openstack endpoint list | grep dashboard容器化部署 使用Kolla-Ansible部署时检查容器配置grep horizon_port /etc/kolla/globals.yml docker exec -it horizon grep -r ALLOWED_HOSTS /etc/openstack-dashboard/7. 自动化工具辅助管理对于需要频繁访问多个OpenStack环境的运维人员建议使用一些自动化工具来简化流程。编写登录脚本#!/bin/bash # 自动获取Dashboard地址并打开浏览器 CONTROLLER_IP$(grep OS_AUTH_URL /root/admin-openrc.sh | cut -d: -f2 | sed s#//##) PORT$(grep -A5 listen horizon /etc/haproxy/haproxy.cfg | grep bind | awk {print $2} | cut -d: -f2) xdg-open http://${CONTROLLER_IP}:${PORT}使用API检测Dashboard状态curl -I http://控制节点IP:端口/auth/login/ | grep HTTPAnsible自动化检查- name: Check Horizon service hosts: controllers tasks: - name: Get Horizon port shell: | grep -A5 listen horizon /etc/haproxy/haproxy.cfg | grep bind | awk {print $2} | cut -d: -f2 register: horizon_portTerraform集成resource openstack_identity_user_v3 dashboard_admin { name dashboard_admin password var.dashboard_password enabled true }8. 常见问题快速诊断表为了帮助快速定位问题我整理了一个常见问题查表格症状可能原因检查命令解决方案连接被拒绝服务未启动systemctl status httpd启动服务404错误URL路径错误grep -r LOGIN_URL /etc/openstack-dashboard/修正访问地址空白页面静态文件缺失ls -l /var/www/html/static/重新收集静态文件500错误数据库连接问题tail -f /var/log/httpd/error_log检查数据库服务证书错误SSL配置问题openssl s_client -connect IP:PORT更新证书认证失败Keystone服务异常openstack token issue重启keystone对于时间紧迫的故障处理可以尝试这个万能重启命令按顺序systemctl restart httpd memcached docker restart horizon # 容器化环境
)
:测试如何提前在代码提交阶段发现 Bug?)
)
