Le réseau de maintenance est utilisé par OpenVOS pour surveiller divers périphériques, notamment les baies de disques RAID et SAN. Ce réseau vous permet également d'effectuer des modifications de configuration, de résoudre des problèmes et d'assurer une surveillance générale. Toutefois, lorsque vous accédez à ces périphériques depuis le module OpenVOS, vous ne pouvez utiliser que l'interface en ligne de commande (CLI) ; l'interface graphique (GUI), plus conviviale et accessible via un navigateur Web, n'est pas disponible.
L'absence d'interface graphique a conduit certains d'entre vous à connecter le réseau de maintenance à un autre réseau accessible depuis l'extérieur. Cela nécessite de renuméroter tous les périphériques du réseau ainsi que Stratus . Cela signifie également que les périphériques du réseau de maintenance seront accessibles à toute personne ayant accès au réseau et que les fonctions de surveillance effectuées via ce réseau seront exposées aux problèmes inhérents à un environnement réseau beaucoup plus vaste. Stratus vous recommande Stratus de ne pas procéder ainsi.
Cet article présente trois méthodes vous permettant d'utiliser l'interface graphique du navigateur Web pour gérer ces appareils, tout en limitant le réseau de maintenance à l'environnement Stratus . La première méthode part du principe que vous souhaitez vous connecter à partir d'un navigateur situé sur le même sous-réseau que l'une des interfaces IP Stratus . Les deux autres méthodes utilisent un tunnel SSH.
Dans ces exemples, le Stratus dispose d'une interface portant l'adresse 164.152.77.217/24 et l'adresse du réseau de maintenance est 10.10.1.0/24. L'appareil auquel je souhaite accéder a pour adresse IP 10.10.1.20.
Méthode n° 1 – Modification de la configuration de routage sur votre poste de travail
La première approche est la plus simple : configurez une route sur votre poste de travail avec, comme destination, soit une adresse unique, soit l'ensemble du sous-réseau 10.10.1.0/24, et comme passerelle l'interface 164.152.77.217/24 Stratus (voir figure 1). Dans l'exemple, j'ai configuré une route vers l'ensemble du sous-réseau 10.10.1.0/24 afin de pouvoir atteindre n'importe quel hôte de ce sous-réseau via le Stratus . Cette approche ne fonctionnera que si le Stratus est configuré pour autoriser le transfert et si le poste de travail exécutant le navigateur se trouve également sur le sous-réseau 164.152.77.0/24. Vous accédez ensuite aux périphériques via leur adresse IP (voir figure 2). Notez que l'activation du transfert est considérée par certains comme un risque de sécurité. De plus, les modules exécutant les versions 17.1.0 à 17.1.0bl d'OpenVOS sont sujets aux bogues stcp-3050 et stcp-3072 et ne doivent pas avoir le transfert activé.
Avec cette approche, si vous souhaitez accéder à un appareil situé sur le réseau de maintenance d'un autre Stratus , vous devez supprimer la route existante et en ajouter une nouvelle en indiquant l'adresse IP Stratusnouveau Stratuscomme passerelle.
Méthode n° 2 – Configuration d'un tunnel SSH depuis votre poste de travail
La deuxième méthode consiste à établir un tunnel SSH entre votre poste de travail et le Stratus . Pour cela, il faut que SSH soit en cours d'exécution sur le Stratus et que votre poste de travail dispose d'un client SSH prenant en charge la création de tunnels. N'importe quel client SSH prenant en charge la création de tunnels peut être utilisé, mais la configuration variera bien sûr en fonction du client. Je vais vous présenter deux clients gratuits fonctionnant sous MS Windows : PuTTY et OpenSSH sous Cygwin.
Vous trouverez PuTTY à l'adresse http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html. La version disponible au moment où j'ai rédigé cet article était la bêta 0.62, publiée le 10 décembre 2011. Ne vous laissez pas inquiéter par les mentions « beta » ou « 0. ». La version originale était la Beta 0.45, sortie en janvier 1999. De nombreuses personnes utilisent ce logiciel sans aucun problème.
Une fois PuTTY installé, cliquez sur l'icône putty.exe pour ouvrir la boîte de dialogue de configuration. La première étape consiste à saisir l'adresse IP ou le nom d'hôte de votre module ; dans mon cas, il s'agit de 164.152.77.217. Le numéro de port doit être 22 et le type de connexion doit être SSH.
Sélectionnez maintenant l'entrée « Tunnels » sous SSH et remplissez les champs « Source port » et « Destination ». La destination correspond à l'adresse IP du périphérique cible sur le réseau de maintenance auquel vous souhaitez vous connecter. Elle est suivie d'un deux-points et du numéro de port, qui sera 80. Le port source peut être n'importe quel port de votre poste de travail que vous n'utilisez pas. J'utilise une formule standard : NNHHP. 2 chiffres de l'adresse réseau de ma cible, 2 chiffres du numéro d'hôte et 1 chiffre du numéro de port. Ainsi, 10.10.1.20 port 80 devient 10208 ; mais comme je l'ai dit, n'importe quel numéro inutilisé fera l'affaire.
Une fois que vous avez cliqué sur le bouton « Ajouter », les informations apparaissent dans la zone « Ports redirigés ». Cliquez ensuite sur « Ouvrir ».
Une fenêtre ressemblant à une fenêtre de commande ou de terminal s'affichera. Elle devrait vous demander de saisir un nom d'utilisateur dans le champ « login as », puis un mot de passe. Une fois ces informations saisies, et à condition que vous soyez authentifié, le système semblera se bloquer. Si vous effectuez cette opération régulièrement, je vous conseille de configurer des clés publiques/privées afin d'éviter ces invites. L'étape suivante consiste à ouvrir un navigateur et à saisir 127.0.0.1:NNHHP comme destination, ce qui correspond à la valeur du « port source » que vous avez saisie dans la configuration de PuTTY. À ce stade, vous devriez voir s'afficher l'écran de connexion de l'appareil sur le réseau de maintenance auquel vous souhaitez vous connecter.
Si vous ne souhaitez pas utiliser PuTTY, vous pouvez télécharger Cygwin. Il s'agit d'un environnement qui vous permet d'exécuter des applications Linux natives sur une plateforme Windows. Vous le trouverez à l'adresse http://www.cygwin.com; la version disponible au moment de la rédaction de cet article est la 1.7.17-1. OpenSSH se trouve dans le paquet « Net », qui n'est pas installé par défaut ; veillez donc à le sélectionner pour le télécharger et l'installer.
Une fois l'installation terminée, vous pouvez utiliser soit la fenêtre de commande Cygwin, qui ouvre un shell Bash, soit le shell de commande natif de Windows. Accédez au répertoire c:\cygwin\bin et exécutez la commande SSH suivante : « ssh -2TNx -L 10208:10.10.1.20:80 [email protected] ». « nd » est mon alias d'utilisateur, vous devrez bien sûr utiliser le vôtre. À ce stade, cela ressemble beaucoup à PuTTY : un mot de passe vous sera demandé, puis la fenêtre se fige. Ouvrez un navigateur et saisissez l'adresse 127.0.0.1:10208 ; vous devriez y être.
Si vous utilisez une distribution Linux plutôt que Windows, OpenSSH est probablement déjà installé ; vous pouvez ouvrir une fenêtre de terminal et saisir exactement la même commande SSH : « ssh -2TNx -L 10208:10.10.1.20:80 [email protected] », répondre aux mêmes invites et ouvrir votre navigateur exactement de la même manière.
L'un des avantages de cette approche est que vous pouvez l'utiliser où que vous soyez ; votre poste de travail n'a pas besoin d'être sur le même sous-réseau que l'une des interfaces Stratus. De plus, toutes vos communications sont cryptées.
Méthode n° 3 – Configuration d'un tunnel SSH sur le Stratus
Ma troisième approche utilise également SSH, mais cette fois-ci uniquement sur le module. À l'aide de votre émulateur de terminal préféré, connectez-vous au Stratus , puis utilisez presque exactement la même commande SSH. La seule différence réside dans l'argument « g », qui autorise les connexions depuis l'extérieur du module : « ssh-2TNxg -L 10208:10.10.1.20:80 [email protected] ». Une fois connecté, vous pointez votre navigateur vers le module au lieu de 127.0.0.1, mais le numéro de port reste 10208 (ou quel que soit le premier chiffre de l'argument -L).
Tout comme la deuxième approche, cette méthode peut être utilisée depuis n'importe quel poste de travail capable de se connecter au module. Contrairement à la deuxième approche, où SSH était exécuté sur le poste de travail, cette méthode ne crypte PAS la connexion entre le poste de travail et le module. En revanche, elle ne nécessite l'installation d'aucun logiciel particulier sur le poste de travail. Enfin, il est possible d'exécuter la commande SSH à partir d'un processus lancé ; vous pouvez démarrer un processus pour chaque périphérique au démarrage du module afin qu'ils soient toujours disponibles. REMARQUE : TOUTE PERSONNE pouvant accéder au module peut se connecter à ces ports et être redirigée vers le périphérique cible ; ces connexions ne sont pas authentifiées par le module, ce qui peut constituer un risque de sécurité.
Et pour réitérer ce que j'ai déjà dit, Stratus recommande Stratus de préserver l'isolation du réseau de maintenance. Si vous souhaitez utiliser l'interface graphique d'administration plutôt que l'interface en ligne de commande, optez pour l'une de ces méthodes.