La rete di manutenzione è utilizzata da OpenVOS per il monitoraggio di diversi dispositivi, compresi gli array di dischi RAID e SAN. Questa rete permette anche l'accesso per effettuare modifiche di configurazione, problemi di debug e monitoraggio generale. Tuttavia, quando si accede a questi dispositivi dal modulo OpenVOS è possibile utilizzare solo l'interfaccia a riga di comando (CLI); la più amichevole interfaccia grafica utente (GUI), utilizzata tramite un browser web, non è disponibile.
La mancanza di un'interfaccia GUI ha portato alcuni di voi a collegare la rete di manutenzione ad un'altra rete esterna disponibile. Ciò richiede che tutti i dispositivi della rete e l'interfaccia Stratus siano rinumerati. Ciò significa anche che i dispositivi sulla rete di manutenzione saranno accessibili a chiunque abbia accesso alla rete e le funzioni di monitoraggio effettuate attraverso la rete saranno soggette ai problemi di un ambiente di rete molto più ampio. Questo è qualcosa che Stratus vi esorta vivamente a non fare.
In questo post si parlerà di tre modi per consentire l'utilizzo dell'interfaccia GUI del browser web per la gestione di questi dispositivi, mantenendo la rete di manutenzione limitata al solo ambiente del modulo Stratus . Il primo presuppone che si voglia ottenere l'accesso da un browser che si trova sulla stessa sottorete di una delle interfacce IP del modulo Stratus . I due approcci successivi utilizzano il tunneling SSH.
Per questi esempi il modulo Stratus ha un'interfaccia numerata 164.152.77.217/24 e l'indirizzo di rete per la manutenzione è 10.10.1.0/24. Il dispositivo a cui voglio accedere ha un indirizzo IP 10.10.1.20.
Approccio n. 1 - modifiche di routing sulla vostra postazione di lavoro
Il primo approccio è il più semplice, impostare un percorso sulla propria postazione di lavoro con una destinazione di un singolo indirizzo o dell'intera sottorete 10.10.1.0/24 e un gateway dell'interfaccia 164.152.77.217/24 del modulo Stratus (vedi figura 1). Nell'esempio ho impostato un percorso verso l'intera sottorete 10.10.1.0/24 in modo da poter raggiungere qualsiasi host su quella sottorete attraverso il modulo Stratus . Questo approccio funzionerà solo se il modulo Stratus è configurato per consentire l'inoltro e la workstation che esegue il browser è anche sulla sottorete 164.152.77.0/24. Si accede quindi ai dispositivi tramite il loro indirizzo IP (vedi figura 2). Si noti che l'abilitazione dell'inoltro è vista da alcuni come un rischio per la sicurezza. Anche i moduli che eseguono le release da 17.1.0 a 17.1.0bl di OpenVOS sono soggetti ai bug stcp-3050 e stcp-3072 e non dovrebbero avere l'inoltro abilitato.
Con questo approccio, se si desidera accedere ad un dispositivo sulla rete di manutenzione di un altro modulo Stratus , è necessario cancellare il percorso esistente e aggiungerne uno nuovo con il nuovo indirizzo IP di Stratuscome gateway.
Approccio n. 2 - allestimento di un tunnel SSH dalla vostra postazione di lavoro
Il secondo approccio crea un tunnel SSH tra la vostra postazione di lavoro e il modulo Stratus . Questo richiede che SSH sia in esecuzione sul modulo Stratus e che la vostra postazione di lavoro abbia un client SSH che supporti il tunneling. Qualsiasi client SSH che supporta il tunneling può essere utilizzato, ma naturalmente la configurazione varia a seconda del cliente. Descriverò due client gratuiti che girano in ambiente MS Windows, PuTTY e OpenSSH che girano sotto Cygwin.
PuTTY si trova all'indirizzo http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html. La versione disponibile al momento in cui l'ho scritto era la beta 0.62 ed è stata rilasciata il 2011-12-10. Non lasciate che la "beta" o lo "0." vi preoccupi. La versione originale era la Beta 0.45 nel gennaio del 1999. Molte persone usano questo codice senza problemi.
Una volta installato PuTTY cliccare sull'icona putty.exe per ottenere la finestra di configurazione. Il primo passo è quello di inserire l'indirizzo IP o il nome host del modulo, nel mio caso 164.152.77.217. Il numero di porta deve essere 22 e il tipo di connessione deve essere SSH.
Selezionate ora la voce "Tunnel" sotto SSH e compilate le caselle "Porta di origine" e "Destinazione". La destinazione è l'indirizzo IP dell'apparecchio di destinazione sulla rete di manutenzione a cui ci si vuole collegare. Seguono i due punti e il numero di porta che sarà 80. La porta sorgente può essere qualsiasi porta della vostra postazione di lavoro che non state utilizzando. Ho una formula standard che uso, NNHHP. 2 cifre dall'indirizzo di rete del mio obiettivo, 2 cifre dal numero dell'host e 1 cifra dal numero della porta. Quindi la porta 10.10.1.20 diventa 10208; ma come ho detto, qualsiasi numero non in uso funzionerà.
Dopo aver premuto il tasto "Add" le informazioni si spostano nella casella "Forwarded ports". Ora premere il tasto "Apri".
Si otterrà quella che sembra una finestra di comando o di terminale. Dovrebbe richiedere un "login as" per un nome utente e poi una password. Dopo aver inserito queste, supponendo che siate autenticati, apparirà appeso. Se lo fate spesso, vi suggerisco di configurare le chiavi pubbliche/private in modo da poter saltare le richieste. Il passo successivo è quello di aprire un browser e per la destinazione si digita 127.0.0.0.1:NNHHP, che è il valore "Source Port" inserito nella configurazione di PuTTY. A questo punto dovreste vedere la schermata di login del dispositivo sulla rete di manutenzione a cui volete collegarvi.
Se non si desidera utilizzare PuTTY è possibile utilizzare il download di Cygwin. Questo è un ambiente che permette di eseguire applicazioni Linux native su una piattaforma Windows. Può essere trovato su http://www.cygwin.com, la versione al momento di questa scrittura è 1.7.17-1. OpenSSH si trova nel pacchetto "Net", che non si installa di default, quindi assicuratevi di selezionarlo per il download e l'installazione.
Una volta installato, è possibile utilizzare la finestra di comando di Cygwin che apre una shell di comando bash oppure la shell di comando nativa di Windows. Cambiare la directory in c:cygwinbin ed eseguire il comando SSH "ssh -2TNx -L 10208:10.10.1.20:80 [email protected]". Il "nd" è il mio alias di nome utente, ovviamente dovrete usare il vostro. A questo punto le cose assomigliano molto a PuTTY, vi verrà richiesta una password e poi la finestra si blocca. Si apre un browser e lo si punta a 127.0.0.1:10208 e si dovrebbe essere lì.
Se state usando una distribuzione Linux invece di Windows probabilmente avete già installato OpenSSH, potete richiamare una finestra del terminale e inserire lo stesso identico comando SSH "ssh -2TNx -L 10208:10.10.1.20:80 [email protected]", rispondere agli stessi prompt e aprire il vostro browser esattamente nello stesso modo.
Una cosa bella di questo approccio è che si può fare da qualsiasi luogo; la vostra postazione di lavoro non ha bisogno di trovarsi sulla stessa sottorete di una delle interfacce di Stratus. Inoltre tutte le vostre comunicazioni sono criptate.
Approccio n. 3 - allestimento di un tunnel SSH sul modulo Stratus
Anche il mio terzo approccio utilizza SSH, ma questa volta solo sul modulo. Usando l'emulazione di terminale preferita si accede al modulo Stratus e poi si usa quasi esattamente lo stesso comando SSH. L'unica differenza è l'argomento "g" che permette connessioni dall'esterno del modulo, "ssh -2TNxg -L 10208:10.10.1.20:80 [email protected]″. Una volta effettuato il login si punta il browser verso il modulo invece di 127.0.0.1, ma il numero di porta è ancora 10208 (o qualunque fosse il primo numero dell'argomento -L).
Come il secondo approccio, questo approccio può essere utilizzato da qualsiasi postazione di lavoro che possa raggiungere il modulo. A differenza del secondo approccio in cui SSH è stato eseguito sulla workstation, questo approccio NON cripta la connessione tra la workstation e il modulo. D'altra parte non richiede l'installazione di nulla di speciale sulla stazione di lavoro. Infine è possibile eseguire il comando SSH da un processo avviato, è possibile avviare un processo per ogni dispositivo quando il modulo è avviato in modo che siano sempre disponibili. NOTA: Chiunque raggiunga il modulo può connettersi a queste porte ed essere inoltrato al dispositivo di destinazione, non viene autenticato dal modulo, quindi questo potrebbe essere un problema di sicurezza.
E, tanto per ripetermi, Stratus raccomanda vivamente di mantenere l'isolamento della rete di manutenzione. Se si desidera utilizzare l'interfaccia GUI amministrativa al posto della CLI, utilizzare uno di questi approcci.