Versions Compared

Old Version 10

changes.mady.by.user Unknown User (plgwielgus)

Saved on

compared with

New Version 11

changes.mady.by.user Unknown User (plgradecki)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Lokalizacja

ACK CYFRONET AGH 

Nazwa systemu Zeus
Nazwa maszyny dostępowej ui.cyfronet.pl
Port dostępowy 22
Kontakt (maszyna dostępowa) cyfronet-lcg2@helpdesk.plgrid.pl
Kontakt (usługa  Cloud)Cloud@helpdesk.plgrid.pl

Uzyskanie dostępu 

Warunki wstępne. 

Dostęp do usługi

Dostęp do platformy Cloud Computing jest możliwy jednie z klastra Zeus.

...

W celu uzyskania dostępu do platformy należy uprzednio posiadać:

  • konto użytkownika w Portalu PL-

...

  • Grid 
    • Dostęp
  • aktywny dostęp do
    • klastra Zeus
  • UI w Cyfronecie
    • Dostep do VPN
  • - więcej informacji
  • Certyfikat PL-Grid
    • -Cyfronet.

Następnie należy:

Składanie wniosku o usługę

Przed rozpoczęciem pracy z platformą “Cloud Computing” należy uzyskać do niej dostęp z poziomu Portalu.

W tym celu należy:

  • Zalogować się na portal PL-Grid
  • Przejść do zakładki “Moje konto”
  • W okienku “Usługi / Aplikuj o usługę/Dostęp do Platformy Cloud Computing Cyfronet” kliknąć “Wypełnij motywację”
  • Opisać tematykę badań do których zostanie użyta platforma “Cloud Computing”
  • Kliknąć przycisk “Aplikuj o usługę”

Po pozytywnym rozpatrzeniu wniosku aktywacji usługi przez administratora można rozpocząć używanie platformy zgodnie z poniższą instrukcją.

...

Zestaw aplikacji klienckich umożliwiających zarządzanie usługą został udostępniony na UI w ACK CYFRONET AGH. Pracę należy rozpocząć od zalogowania się za pomocą klienta SSH na ui.cyfronet.pl .więcej informacji o logowaniu

Ładowanie modułu

Przed rozpoczęciem pracy z klientem niezbędne jest załadowanie modułu cloud/one-client. Operację tę można przeprowadzić za pomocą polecenia:

module add cloud/one-client

  ...system powinien odpowiedzieć komunikatem:

...

Note
titleUwaga

 Poprzednio stosowany moduł cloud/one-client

...

jest nadal dostępny dla zachowania zgodności wstecznej - jednak ze względu na wygodę zalecamy moduł opisany poniżej.

 Jednocześnie informujemy, że moduł cloud/one-client może zostać usunięty w przyszłości.

Przed rozpoczęciem pracy z klientem niezbędne jest załadowanie modułu cloud/rest-api-client. Operację tę można przeprowadzić za pomocą polecenia:

module add cloud/rest-api-client

  ...system powinien odpowiedzieć komunikatem:

 'cloud/rest-api-client/1.0' load complete.

 'ruby/1.8.7-p330.el5' load complete.

Generowanie certyfikatu "proxy"

Note
titleUwaga

Prosimy do generowania certyfikatu stosować polecenie "voms-proxy-init", nie "grid-proxy-init".

Wykonananie jakiejkolwiek operacji za pomocą w/w modułu wymaga uprzedniego załadowania modułu cloud. W tym celu prosimy wykonać polecenie:

voms-proxy-init

Jeśli posiadamy prowidłowo zlokalizowany certyfikat gridowy i klucz do niego zostaniemy poproszeni o hasło a następnie, po podaniu prawidłowego hasła, poinformowani o sukcesie procedury generowania "proxy":

Enter GRID pass phrase for this identity:

Created proxy in /tmp/x509up_uXXXXX.

Your proxy is valid until ...

Od tego momentu kolejne polecenia nie będą wymagać podawania hasła (z wyjątkiem polecnia oneport).

...

Przeglądanie listy dostępnych obrazów systemów operacyjnych

...

W związku z tym przed utworzeniem nowego szablonu maszyny zalecamy zapoznanie się z aktualną listą poprzez wywołanie komendy:

oneimage list

Następnie po zapytaniu “Login” należy podać login użytkownika PL-Grid (ten sam który został użyty do logowania na ui.cyfronet.pl) a po zapytaniu “Password” - hasło w/w użytkownika.

Jeżeli certyfikaty zostały zainstalowane zgodnie z instrukcją, to powinna ukazać się lista dostępnych obrazów.

W przypadku podania poprawnych danych klient powinien odpowiedzieć listą aktualnie dostępnych systemów operacyjnych w postaci tabeli. Najistotniejsze pola oznaczone są jako “ID” - identyfikator obrazu, który należy zapamiętać/zapisać, gdyż jest on niezbędny do stworzenia szablonu wirtualnej maszyny i “NAME” - czyli nazwa obrazu umożliwiająca odnalezienie właściwego obrazu.

...

Listę sieci wirtualnych można uzyskać za pomocą komendy (jak poprzednio zostaniemy zapytani o login i hasło):

onevnet list

W odpowiedzi powinna zostać zwrócona tabelka podobna do poprzedniej – również zawierająca pola ID i NAME. Wszystkie osoby posiadające dostęp do usługi mają dostęp do sieci o ID 0 (LAN_PLG_COMMON) - jest to wspólna sieć przydzielające prywatne adresy IP (dostęp z zewnątrz możliwy jest poprzez opisany poniżej mechanizm przekierowania portów TCP/UDP lub poprzez usługę dostępową PL-Grid VPN). Niektóre osoby mogą posiadać dodatkowo dostęp do wydzielonych sieci - będą one wtedy wyświetlone również w odpowiedzi na powyższe polecenie.

...

W celu ułatwienie tworzenia i rejestracji szablonów udostępniliśmy specjalny skrypt, który należy uruchomić w następujący sposób:

onegentemlonegentempl.sh

Na kolejne pytania skryptu należy odpowiedzieć zgodnie z poniższymi wskazówkami:

...

  •  “Enter file in which to save the key...” - należy pozostawić puste pole i wcisnąć <ENTER> w celu wybrania domyślnej lokalizacji;
  • “Enter passphrase (empty for no passphrase)” - należy podać silne hasło – mimo sugestii aplikacji generującej klucze o możliwości utworzenia klucza bez hasła, w tym przypadku należy BEZWZGLĘDNIE stosować hasło, gdyż klucz ten będzie umożliwiał logowanie na maszyny wirtualne z uprawnieniami superużytkownika (root) ;
  • “Enter same passphrase again” - należy ponownie podać powyższe hasło.

W końcowym etapie rejestracji szablonu należy jak poprzednio podać login i hasło do konta PL-Grid.W odpowiedzi system powinien wyświetlić ID zarejestrowanego szablonu, który będzie potrzebny do uruchomienia maszyny wirtualnej. W przyszłości możliwe będzie odnalezienie tego identyfikatora zgodnie z procedurą opisaną w kolejnym punkcie.

...

… należy zwrócić uwagę czy zapytanie ma formę podobną do powyższej – zapytanie o hasło na konto roota (a nie do w/w klucza prywatnego) jest nieprawidłowe i oznacza, że klient nie może użyć klucza. Należy się upewnić czy klucz prywatny w katalogu .ssh nie został gdzieś przeniesiony, skasowany oraz, że nie zmieniono jego uprawnień. Jeśli zaistniała któraś z powyższych operacji niezbędne będzie jej cofnięcie / przywrócenie klucza z kopii. Jeśli klucz został bezpowrotnie skasowany (nie ma jego kopii) oraz użytkownik nie utworzył innego dostępu do maszyny (inny klucz, hasło) odzyskanie dostępu do maszyny wymaga interwencji administratora platformy „Cloud Computing”.Computing”.

Note
titleUwaga

WAŻNE: Ze względu na stosowanie mechanizmu przekierowania portów - a co za tym idzie wspólnego zewnętrznego adresu IP dla wielu maszyn wirtualnych - klient OpenSSH w domyślnej konfiguracji po próbie dostępu do drugniej maszyny zgłosi ostrzeżenie dot. możliwego ataku Man-in-the-middle i odmówi dostępu - należy podjąć wtedy dodatkowe kroki opisane poniżej.

 Informacja o możliwym ataku wygląda następująco:

...

Wyłączenie opcji "StrictHostKeyChecking"

Note
titleUwaga

To rozwiązanie wydaje się łatwiejsze (wymaga tylko pojedyńczej zmainy pliku konfiguracyjnego) lecz wpływa negatywnie na bezpieczeństwo - stąd jest mniej polecane.


 Należy raz dla danego IP (zewnętrznego) dodać do pliku ~/.ssh/config wpis:

...

Istnieje możliwość zapisania stanu maszyny wirtualniej. W wyniku tej operacji powstaje obraz systemu operacyjnego, analogiczny jak obrazy omawiane na początku tego dokumentu, który jest jednak dostępny tylko dla osoby która go zapisała. Poprzez zgłoszenie w Helpdesku można poprosić administratorów usługi o zmianę praw dostępu do tego obrazu (np. udostępnienie go w ramach grupy lub wręcz upublicznienie dla wszystkich). Obraz ten można użyć jak każdy inny do tworzenia nowych maszyn wirtualnych. Zawiera on wszystkie dane zapisane na lokalnym dysku maszyny - w tym zainstalowane oprogramowanie i dane użytkowników.

...

... w odpowiedzi system powinien zwrócić ID zaalokowanego obrazu np.:

Image ID: 17

...

Note
titleUwaga

Powyższe polecenie NIE zapisuje obrazu a jedynie "oznacza go do zapisania podczas prawidłowego wyłączenia maszyny !!!

Powyższy fakt możena potwierdzić wyświetlając listę obrazów poprzez:

...

Bezwzględne usuwanie instancji maszyny wirtualnej.

Warning
titleUWAGA (ryzyko utraty danych)

...

Opcje tą należy używać tylko jeśli jest to absolutnie konieczne, np. maszyna którą nie zawiera istotnych danych nie chce się prawidłowo wyłączyć powyżej opisaną metodą. Spowoduje ona natychmiastowe zatrzymanie maszyny wirtualnej i bezpowrotne usunięcie jej obrazu nawet w przypadku wcześniejszego oznaczenia go do zapisu poleceniem "onevm saveas" (w tym przypdku dodatkowo powtaje niekompletny obraz). Jeśli maszyna zawiera istotne dane - nigdy nie należy używać tej opcji. W tym przypadku jeśli maszyna nie chce się wyłączyć sposobem opisanym w poprzedniej sekcji należy pozostawić ją włączoną i zgłosić ticket do Helpdesku.

 

Należy pamiętać, że usunięcie maszyny wirtualnej tym sposobem spowoduje nieodwracalne skasowanie wszystkich danych z jej lokalnego dysku – należy więc upewnić się, że wszystkie wyniki prowadzonych obliczeń (oraz inne ważne dane) została skopiowane na inny serwer (np. przez SCP).

...

… zastępując <ID> identyfikatorem maszyny do usunięcia. Po potwierdzeniu operacji za pomocą loginu i hasła maszyna zostanie usunięta. Fakt usunięcia maszyny można zweryfikować przeglądając listę maszyn wcześniej opisanym sposobem.