La red de mantenimiento es usada por OpenVOS para monitorear varios dispositivos incluyendo los arreglos de discos RAID y SAN. Esta red también permite el acceso para hacer cambios de configuración, depuración de problemas y monitoreo general. Sin embargo, cuando se accede a estos dispositivos desde el módulo de OpenVOS sólo se puede utilizar la interfaz de línea de comandos (CLI); la interfaz gráfica de usuario (GUI), más amigable, que se utiliza a través de un navegador web no está disponible.
La falta de una interfaz gráfica ha llevado a algunos de ustedes a conectar la red de mantenimiento a otra red disponible externamente. Esto requiere que todos los dispositivos de la red y la interfaz Stratus sean renumerados. También significa que los dispositivos de la red de mantenimiento serán accesibles a cualquier persona que tenga acceso a la red y las funciones de vigilancia que se realicen en la red estarán sujetas a los problemas de un entorno de red mucho más amplio. Esto es algo que Stratus insta encarecidamente a no hacer.
En este post se discutirán tres formas de permitirle usar la interfaz GUI del navegador web para manejar estos dispositivos, mientras se mantiene la red de mantenimiento restringida sólo al entorno del módulo Stratus . La primera supone que usted quiere acceder desde un navegador ubicado en la misma subred que una de las interfaces IP del módulo Stratus . Los dos siguientes enfoques utilizan el túnel SSH.
Para estos ejemplos, el módulo Stratus tiene una interfaz numerada 164.152.77.217/24 y la dirección de la red de mantenimiento es 10.10.1.0/24. El dispositivo al que quiero acceder tiene una dirección IP de 10.10.1.20.
Enfoque #1 - cambios de ruta en su estación de trabajo
El primer enfoque es el más simple, establecer una ruta en su estación de trabajo con un destino de una sola dirección o de toda la subred 10.10.1.0/24 y una pasarela de la interfaz 164.152.77.217/24 del módulo Stratus (véase la figura 1). En el ejemplo he configurado una ruta a toda la subred 10.10.1.0/24 para poder llegar a cualquier host de esa subred a través del módulo Stratus . Este enfoque sólo funcionará si el módulo Stratus está configurado para permitir el reenvío y la estación de trabajo que ejecuta el navegador también está en la subred 164.152.77.0/24. Entonces se accede a los dispositivos a través de su dirección IP (ver figura 2). Tenga en cuenta que algunos consideran que permitir el reenvío es un riesgo para la seguridad. También los módulos que ejecutan las versiones 17.1.0 a 17.1.0bl de OpenVOS están sujetos a los errores stcp-3050 y stcp-3072 y no deberían tener el reenvío activado.
Con este enfoque, si desea acceder a un dispositivo en la red de mantenimiento de un módulo diferente de Stratus debe borrar la ruta existente y añadir una nueva con la nueva dirección IP de Stratuscomo puerta de enlace.
Enfoque #2 - establecer un túnel de SSH desde su estación de trabajo
El segundo enfoque establece un túnel SSH entre su estación de trabajo y el módulo Stratus . Esto requiere que SSH se ejecute en el módulo Stratus y que tu estación de trabajo tenga un cliente SSH que soporte la creación de túneles. Cualquier cliente SSH que soporte el tunelado puede ser usado pero por supuesto la configuración variará con el cliente. Describiré dos clientes gratuitos que se ejecutan en el entorno MS Windows, PuTTY y OpenSSH se ejecutan en Cygwin.
PuTTY se puede encontrar en http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html. La versión disponible en el momento en que escribí esto era la beta 0.62 y fue lanzada el 2011-12-10. No dejes que la "beta" o el "0" te preocupen. El lanzamiento original fue Beta 0.45 en enero de 1999. Mucha gente usa este código sin problemas.
Una vez que hayas instalado PuTTY, haz clic en el icono de masilla.exe para obtener el diálogo de configuración. El primer paso es introducir la dirección IP o el nombre de host de tu módulo, en mi caso 164.152.77.217. El número de puerto debe ser 22 y el tipo de conexión debe ser SSH.
Ahora seleccione la entrada "Túneles" en SSH y rellene las casillas "Puerto de origen" y "Destino". El destino es la dirección IP del dispositivo de destino en la red de mantenimiento a la que se quiere conectar. Esto es seguido por dos puntos y el número de puerto que será 80. El puerto de origen puede ser cualquier puerto de su estación de trabajo que no esté utilizando. Tengo una fórmula estándar que uso, NNHHP. 2 dígitos de la dirección de red de mi objetivo, 2 dígitos del número de host, y 1 dígito del número de puerto. Así que 10.10.1.20 el puerto 80 se convierte en 10208; pero como dije, cualquier número que no esté en uso funcionará.
Después de pulsar el botón "Añadir" la información se mueve a la casilla "Puertos de reenvío". Ahora presiona abrir.
Obtendrá lo que parece una ventana de comando o terminal. Debería pedirle un "login as" para un nombre de usuario y luego una contraseña. Después de que los ingreses, asumiendo que estás autenticado, parecerá que se cuelga. Si haces esto a menudo, te sugiero que configures las claves públicas/privadas para que puedas saltarte los avisos. El siguiente paso es abrir un navegador y para el destino escribirás 127.0.0.1:NNHHP, que es el valor de "Puerto de origen" que introdujiste en la configuración de PuTTY. En este punto debería ver la pantalla de inicio de sesión para el dispositivo de la red de mantenimiento al que se quiere conectar.
Si no desea utilizar PuTTY puede utilizar la descarga de Cygwin. Este es un entorno que te permite ejecutar aplicaciones nativas de Linux en una plataforma Windows. Se puede encontrar en http://www.cygwin.com, la versión en el momento de escribir esto es 1.7.17-1. OpenSSH está en el paquete "Net", que no se instala por defecto, así que asegúrese de seleccionarlo para su descarga e instalación.
Una vez instalado, puede utilizar la ventana de comandos Cygwin que abre un shell bash o el shell de comandos nativo de Windows. Cambie el directorio al c:cygwinbin y ejecute el comando SSH "ssh -2TNx -L 10208:10.10.1.20:80 [email protected]". El "nd" es mi nombre de usuario alias, por supuesto tendrás que usar el tuyo propio. En este punto las cosas se parecen mucho a PuTTY, se te pedirá una contraseña y luego la ventana se cuelga. Abre un navegador y apunta a 127.0.0.1:10208 y deberías estar allí.
Si está usando una distribución de Linux en lugar de Windows probablemente ya tenga OpenSSH instalado, puede abrir una ventana de terminal e introducir exactamente el mismo comando SSH "ssh -2TNx -L 10208:10.10.1.20:80 [email protected]", responder a los mismos avisos y abrir el navegador exactamente de la misma manera.
Una cosa buena de este enfoque es que puedes hacerlo desde cualquier lugar; tu estación de trabajo no necesita estar en la misma subred que una de las interfaces de Stratus. Además, toda tu comunicación está encriptada.
Enfoque #3 - establecer un túnel SSH en el módulo Stratus
Mi tercer enfoque también usa SSH pero esta vez sólo en el módulo. Usando tu emulación de terminal favorita, ingresas al módulo Stratus y luego usas casi exactamente el mismo comando SSH. La única diferencia es el argumento "g" que permite conexiones desde fuera del módulo, "ssh -2TNxg -L 10208:10.10.1.20:80 _COPY5″. Una vez que te conectas, apuntas tu navegador al módulo en lugar de a 127.0.0.1, pero el número de puerto sigue siendo 10208 (o el que fuera el primer número del argumento -L).
Al igual que el segundo enfoque, este enfoque puede utilizarse desde cualquier estación de trabajo que pueda llegar al módulo. A diferencia del segundo enfoque en el que se ejecutaba SSH en la estación de trabajo, este enfoque NO encripta la conexión entre la estación de trabajo y el módulo. Por otro lado no requiere que nada especial sea instalado en la estación de trabajo. Finalmente es posible ejecutar el comando SSH desde un proceso iniciado, puede iniciar un proceso para cada dispositivo cuando el módulo se inicia, de modo que siempre estén disponibles. Tenga en cuenta que CUALQUIER persona que llegue al módulo puede conectarse a estos puertos y ser reenviado al dispositivo de destino, no son autenticados por el módulo por lo que esto podría ser un problema de seguridad.
Y sólo para repetirme, Stratus recomienda encarecidamente que se mantenga el aislamiento de la red de mantenimiento. Si desea utilizar la interfaz de administración GUI en lugar de la CLI utilice uno de estos enfoques.