A rede de manutenção é usada pelo OpenVOS para monitorar vários dispositivos, incluindo os arrays de discos RAID e SAN. Essa rede também permite que você faça alterações de configuração, depure problemas e realize monitoramento geral. No entanto, ao acessar esses dispositivos a partir do módulo OpenVOS, você só pode usar a interface de linha de comando (CLI); a interface gráfica de usuário (GUI), mais amigável, usada por meio de um navegador da web, não está disponível.
A falta de uma interface GUI levou alguns de vocês a conectar a rede de manutenção a outra rede disponível externamente. Isso requer que todos os dispositivos na rede e a interface Stratus sejam renumerados. Isso também significa que os dispositivos na rede de manutenção estarão acessíveis a qualquer pessoa com acesso à rede e que as funções de monitoramento realizadas pela rede estarão sujeitas aos problemas de um ambiente de rede muito maior. Isso é algo que a Stratus recomenda fortemente que você não faça.
Esta publicação discutirá três maneiras de permitir que você use a interface GUI do navegador da web para gerenciar esses dispositivos, mantendo a rede de manutenção restrita apenas ao ambiente do módulo Stratus. A primeira pressupõe que você deseja obter acesso a partir de um navegador localizado na mesma sub-rede que uma das interfaces IP do módulo Stratus. As duas abordagens seguintes utilizam o tunelamento SSH.
Para estes exemplos, o módulo Stratus tem uma interface com o número 164.152.77.217/24 e o endereço da rede de manutenção é 10.10.1.0/24. O dispositivo ao qual pretendo acessar tem um endereço IP de 10.10.1.20.
Abordagem nº 1 – alterações de roteamento em sua estação de trabalho
A primeira abordagem é a mais simples: configure uma rota em sua estação de trabalho com um destino de um único endereço ou toda a sub-rede 10.10.1.0/24 e um gateway da interface 164.152.77.217/24 do módulo Stratus (veja a figura 1). No exemplo, configurei uma rota para toda a sub-rede 10.10.1.0/24 para poder acessar qualquer host nessa sub-rede através do módulo Stratus. Essa abordagem só funcionará se o módulo Stratus estiver configurado para permitir o encaminhamento e a estação de trabalho que executa o navegador também estiver na sub-rede 164.152.77.0/24. Em seguida, você acessa os dispositivos por meio de seus endereços IP (veja a figura 2). Observe que habilitar o encaminhamento é considerado por alguns como um risco à segurança. Além disso, os módulos que executam as versões 17.1.0 a 17.1.0bl do OpenVOS estão sujeitos aos bugs stcp-3050 e stcp-3072 e não devem ter o encaminhamento habilitado.
Com essa abordagem, se você deseja acessar um dispositivo na rede de manutenção de um módulo Stratus diferente, deve excluir a rota existente e adicionar uma nova com o endereço IP do novo Stratus como gateway.
Abordagem nº 2 – configurar um túnel SSH a partir da sua estação de trabalho
A segunda abordagem configura um túnel SSH entre sua estação de trabalho e o módulo Stratus. Isso requer que o SSH esteja em execução no módulo Stratus e que sua estação de trabalho tenha um cliente SSH que suporte tunelamento. Qualquer cliente SSH que suporte tunelamento pode ser usado, mas é claro que a configuração irá variar de acordo com o cliente. Descreverei dois clientes gratuitos que funcionam no ambiente MS Windows, o PuTTY e o OpenSSH, executados no Cygwin.
O PuTTY pode ser encontrado em http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html. A versão disponível no momento em que escrevi este artigo era a beta 0.62, lançada em 10/12/2011. Não se preocupe com o “beta” ou o “0”. A versão original foi a Beta 0.45, lançada em janeiro de 1999. Muitas pessoas usam esse código sem nenhum problema.
Depois de instalar o PuTTY, clique no ícone putty.exe para abrir a caixa de diálogo de configuração. O primeiro passo é inserir o endereço IP ou o nome do host do seu módulo, no meu caso 164.152.77.217. O número da porta deve ser 22 e o tipo de conexão deve ser SSH.
Agora selecione a entrada “Tunnels” em SSH e preencha os campos “Source port” e “Destination”. O destino é o endereço IP do dispositivo alvo na rede de manutenção ao qual você deseja se conectar. Em seguida, coloque dois pontos e o número da porta, que será 80. A porta de origem pode ser qualquer porta da sua estação de trabalho que não esteja em uso. Eu tenho uma fórmula padrão que uso, NNHHP. Dois dígitos do endereço de rede do meu destino, dois dígitos do número do host e um dígito do número da porta. Portanto, 10.10.1.20 porta 80 se torna 10208; mas, como eu disse, qualquer número que não esteja em uso funcionará.
Após pressionar o botão “Adicionar”, as informações são transferidas para a caixa “Portas encaminhadas”. Agora, pressione “Abrir”.
Você verá o que parece ser uma janela de comando ou terminal. Ela deve solicitar que você digite um nome de usuário e, em seguida, uma senha. Depois de inserir esses dados, supondo que você esteja autenticado, ela parecerá travar. Se você fizer isso com frequência, sugiro configurar chaves públicas/privadas para pular as solicitações. O próximo passo é abrir um navegador e digitar 127.0.0.1:NNHHP como destino, que é o valor da “Porta de origem” que você inseriu na configuração do PuTTY. Nesse ponto, você deverá ver a tela de login do dispositivo na rede de manutenção à qual deseja se conectar.
Se você não quiser usar o PuTTY, pode baixar o Cygwin. Esse é um ambiente que permite executar aplicativos Linux nativos em uma plataforma Windows. Ele pode ser encontrado em http://www.cygwin.com. A versão disponível no momento da redação deste artigo é a 1.7.17-1. O OpenSSH está no pacote “Net”, que não é instalado por padrão, portanto, certifique-se de selecioná-lo para download e instalação.
Depois de instalado, você pode usar a janela de comando Cygwin, que abre um shell bash, ou o shell de comando nativo do Windows. Mude o diretório para c:cygwinbin e execute o comando SSH “ssh -2TNx -L 10208:10.10.1.20:80 [email protected]”. O “nd” é o meu nome de usuário, é claro que você precisará usar o seu próprio. Neste ponto, as coisas se parecem muito com o PuTTY, você será solicitado a digitar uma senha e, em seguida, a janela ficará travada. Abra um navegador e aponte-o para 127.0.0.1:10208 e você deverá estar lá.
Se você estiver usando uma distribuição Linux em vez do Windows, provavelmente já tem o OpenSSH instalado. Você pode abrir uma janela de terminal e digitar exatamente o mesmo comando SSH “ssh -2TNx -L 10208:10.10.1.20:80 [email protected]”, responder às mesmas perguntas e abrir seu navegador exatamente da mesma maneira.
Uma vantagem dessa abordagem é que você pode fazê-la de qualquer lugar; sua estação de trabalho não precisa estar na mesma sub-rede que uma das interfaces do Stratus. Além disso, todas as suas comunicações são criptografadas.
Abordagem nº 3 – configurar um túnel SSH no módulo Stratus
Minha terceira abordagem também usa SSH, mas desta vez apenas no módulo. Usando sua emulação de terminal favorita, você faz login no módulo Stratus e usa quase exatamente o mesmo comando SSH. A única diferença é o argumento “g”, que permite conexões de fora do módulo, “ssh-2TNxg -L 10208:10.10.1.20:80 [email protected]”. Depois de fazer login, você aponta seu navegador para o módulo em vez de 127.0.0.1, mas o número da porta ainda é 10208 (ou qualquer que seja o primeiro número do argumento -L).
Assim como a segunda abordagem, esta abordagem pode ser usada a partir de qualquer estação de trabalho que possa acessar o módulo. Ao contrário da segunda abordagem, em que o SSH era executado na estação de trabalho, esta abordagem NÃO criptografa a conexão entre a estação de trabalho e o módulo. Por outro lado, não requer a instalação de nada especial na estação de trabalho. Por fim, é possível executar o comando SSH a partir de um processo iniciado. Você pode iniciar um processo para cada dispositivo quando o módulo é inicializado, para que eles estejam sempre disponíveis. OBSERVE que QUALQUER PESSOA que acesse o módulo pode se conectar a essas portas e ser encaminhada para o dispositivo de destino. Elas não são autenticadas pelo módulo, o que pode representar um problema de segurança.
E, apenas para reiterar, a Stratus recomenda enfaticamente que você mantenha o isolamento da rede de manutenção. Se desejar usar a interface GUI administrativa em vez da CLI, utilize uma destas abordagens.