Virtuaalikoneen luominen Poutaan

Warning

Sinun tulisi tutustua Poutan turvallisuusohjeisiin ja laskutussääntöihin ennen ensimmäisen virtuaalikoneesi käynnistämistä.

Tässä dokumentissa esitellään yksinkertainen tapa käynnistää virtuaalikone Poutan palvelussa. Kuka tahansa CSC:n käyttäjä, jolla on laskentaprojekti, voi pyytää palveluun pääsyä kuten kuvailtu [Hakeminen Poutan käyttöoikeuteen]. Käyttääksesi Poutaa, sinun tulee ensin hakea käyttöoikeutta projektiisi. Varmista ensin, että olet tutustunut käsitteisiin ja turvallisuusasioihin. Saatat myös haluta katsoa verkkolähetyksen.

• Virtuaalikoneen luominen Poutaan
  • Valmistelevat vaiheet
    • Valitse CSC-projekti
    • SSH-avaimien asettaminen
      • Linux ja Mac
      • Windows (PowerShell)
      • Windows (Putty)
    • Palomuurit ja suojausryhmät
    • Palveluryhmät
  • Virtuaalisen koneen käynnistäminen
  • Jälkimmäinen luominen askel

Pouta-pilvien verkkokäyttöliittymät ovat saatavilla seuraavissa osoitteissa:

URL	Palvelun nimi	Pääsy
https://pouta.csc.fi	cPouta-verkkoliittymä	Pääsy internetissä
https://epouta.csc.fi	ePouta-verkkoliittymä	Pääsy vain IP-osoitteista, jotka on tarkoitettu ePoutan hallintaliittymien käytölle

Tämä OpenStack Horizon -pohjainen käyttöliittymä mahdollistaa perus pilvilaskentatoimintojen hallinnan, kuten uuden virtuaalikoneen käynnistämisen ja turvallisuusasetusten hallinnan. Tämän palvelun käyttöön tarvitaan CSC:n käyttäjätili ja cPouta/ePouta-projekti CSC:ssä.

Voit kirjautua cPoutaan useilla tileillä. CSC:n käyttäjätilisi (CSC:n käyttäjätunnus ja salasana) lisäksi voit käyttää Haka-, VIRTU- ja Life Science AAI -tilejä. Haka-, VIRTU- ja Life Science AAI -tilit toimivat vain, jos ne on linkitetty CSC-tunnukseesi. Tilit voidaan linkittää MyCSC.

Voit kirjautua ePoutaan vain CSC-tililläsi.

Valmistelevat vaiheet

Ennen virtuaalikoneen luomista sinun täytyy suorittaa seuraavat 3 vaihetta:

1. Valitse oikea CSC-projekti.

2. Luo ja asenna SSH-avaimien pari.

3. Aseta turvallisuusryhmä hallitsemaan palomuuria.

Ennen ensimmäisen virtuaalikoneen käynnistämistä cPoutassa/ePoutassa, sinun on ensin luotava SSH-avaimien pari ja muokattava turvallisuusasetuksia, jotta voit yhdistää virtuaalikoneeseesi.

Valitse CSC-projekti

Sinulla voi olla useampi kuin yksi CSC-projekti, jolla on pääsy Poutaan. Voit tarkistaa tämän my.csc.fi, jossa näet kaikki projektit, joihin sinulla on pääsy ja joihin cPouta (tai ePouta) on aktivoitu palveluna.

Poutan käyttöliittymässä varmista, että valitset oikean projektin. Tässä on kaksi huomioon otettavaa seikkaa:

• Projekti on hiekkalaatikko, joka sisältää resursseja kuten virtuaalikoneita ja verkkoja, ja kuka tahansa projektissa voi nähdä ja hallita kaikkia näitä resursseja. He eivät välttämättä voi päästä virtuaalikoneeseen, koska tämä määritetään koneeseen konfiguroiduilla SSH-avaimilla, mutta he voivat poistaa, käynnistää uudelleen, ... jne.
• Projektit määrittävät laskutuksen. Varmista, että kustannukset menevät oikealle laskutusprojektille.

SSH-avaimien asettaminen

Avaa yhteys virtuaalikoneisiisi cPoutassa/ePoutassa, sinun on ensin todistettava identiteettisi virtuaalikoneelle, ja tätä varten tarvitset SSH-avaimia. Tämä on oletustapa (ja turvallisin) päästä virtuaalikoneisiin. Sinun tarvitsee asettaa SSH-avaimesi vain kerran per projekti.

Public avainten tuonti

Jos olet jo perehtynyt SSH-avaimiin, voit käyttää olemassa olevia SSH-avaimiasi päästäksesi virtuaalikoneisiin. Verkkokäyttöliittymässä mene Compute > Key Pairs -osioon ja valitse Import Public Key. Sinun täytyy nimetä avain, muista, että sinun täytyy käyttää tätä nimeä, kun luot virtuaalikoneita, joten suositus on pitää se lyhyenä ja informatiivisena aiotun käytön suhteen. Toiseksi liitä julkinen avaimellesi, sen täytyy olla yhdessä rivissä ja olla muodossa key-type hash comment, esimerkiksi RSA-avain henkilö@domain.nimi:

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAQQCo9+BpMRYQ/dL3DS2CyJxRF+j6ctbT3/Qp84+KeFhnii7NT7fELilKUSnxS30WAvQCCo2yU1orfgqr41mM70MB henkilö@domain.nimi

Jos et ole aikaisemmin käyttänyt SSH-avaimia, sinun täytyy luoda sellainen. Verkkokäyttöliittymä voi hoitaa tämän puolestasi:

1. Mene Compute > Key Pairs -osioon ja valitse Create Key Pair.

   

   Kuva Access & Security -alivälilehti cPoutan verkkokäyttöliittymässä

2. Anna avaimellesi nimi ja napsauta Create Key Pair. Saat "keyname.pem" tallentaaksesi. Tallenna se kotihakemistoosi. Tämä on viimeinen kerta, kun voit ladata tämän yksityisen avaimen, Pouta ei pidä kopiota palvelimillaan.

   

   Kuva Create Key Pair -dialogi

Linux ja Mac

Asentaaksesi avaimen, jonka latasit edellisessä vaiheessa (keyname.pem tai keyname.cer), sinun täytyy ajaa nämä komennot:

MacOS:lle

Jos käytät Chrome-selainta Mac OS X Monterey -käyttöjärjestelmässä, saat avainname.cer sijasta avainname.pem. Seuraava menettely pysyy samana.

mkdir -p ~/.ssh
chmod 700 .ssh
mv keyname.pem ~/.ssh
chmod 400 ~/.ssh/keyname.pem

400 = Vain omistaja voi lukea

Kun tiedostolla Unixissa on 400 käyttöoikeudet, se tarkoittaa: r-- --- ---

mikä tarkoittaa, että vain omistaja voi lukea tiedostoa. Tämä on suositeltu arvo SSH-avaimille, mutta jos sinun tarvitsee ylikirjoittaa tiedosto, sinun täytyy myös antaa kirjoitusoikeudet: chmod 600 ~/.ssh/keyname.pem.

Ennen kuin käytät juuri luotua avainta, sinun tulisi suojata se salasanalla:

chmod 600 ~/.ssh/keyname.pem
ssh-keygen -p -f .ssh/keyname.pem
chmod 400 ~/.ssh/keyname.pem

Windows (PowerShell)

Windows-ympäristöissä suositellaan käytettävän PowerShelliä. Prosessi on hyvin samankaltainen

mkdir ~/.ssh
mv yourkey.pem ~/.ssh/

Ennen kuin käytät juuri luotua avainta, sinun tulisi suojata se salasanalla:

ssh-keygen.exe -p -f yourkey.pem

Sitten, edelleen PowerShellistä, voit käyttää ssh komentoa yhdistääksesi koneeseen, samalla tavalla kuin se tehdään Linuxista tai Macista.

Windows (Putty)

Jos Windowsissasi ei ole ssh-komentoa asennettuna, on myös mahdollista käyttää Puttya.

Tämä tehdään käyttämällä puttygen-työkalua, ladata yksityinen avain (.pem) ja tallentaa se (salasanalla suojattuna) .ppk-muodossa, jota Putty voi käyttää.

1. Lataa Putty ja puttygen, jotka ovat saatavilla osoitteessa http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html.

2. Aja puttygen ja lataa avain, jonka latasit (sen pitäisi olla Lataukset-sivulla).

   

3. Aseta avaimelle salasana. Tämä ei ole pakollista, mutta suositeltua.

4. Tallenna avain ppk-muodossa, tämä on oletusmuoto Puttylle.

   

Nyt voimme käyttää tätä uutta Puttya yhdistäksemme virtuaalikoneeseen.

1. Aja putty ja lataa ssh-avain. Mene Connection > SSH > Auth > Credentials ja Private key file for authentication-kohdassa käytä Browse...-painiketta valitaksesi oikea .ppk-tiedosto.

   

2. Kun avain on ladattu, tallenna istunto. Mene Session-osioon ja Saved Sessions-kohdassa kirjoita uuden istunnon nimi ja napsauta tallenna.

Palomuurit ja suojausryhmät

Suojausryhmät ovat joukko palomuurisääntöjä, jotka rajoittavat pääsyä koneisiisi. Virtuaalikone voi käyttää yhtä tai useampaa suojausryhmää. Nämä palomuurisäännöt tehdään OpenStack-kerroksessa, ja sinulla voi olla lisäpalomuurisääntöjä virtuaalikoneessasi. Yhteysongelmien sattuessa sinun tulisi varmistaa, että sekä suojausryhmä että virtuaalikoneen sisäinen palomuuri on oikein konfiguroitu. "Oletus"-suojausryhmässä on säännöt, jotka sallivat sisäisen kommunikaation virtuaalikoneiden välillä, jotka kuuluvat suojausryhmään.

Suojausryhmää voidaan muokata tai luoda missä tahansa virtuaalikoneen elinkaaren vaiheessa. Kaikki suojausryhmään tehdyt muutokset sovelletaan heti virtuaalikoneeseen.

Älä muokkaa oletussuojausryhmää

Hyväksi käytännöksi ei suositella "Oletus"-suojausryhmän muokkaamista. Suosittelemme sen sijaan luomaan erityisiä suojausryhmiä erityisiin tarkoituksiin ja nimeämään ne vastaavasti. Esimerkiksi luo suojausryhmä nimeltä "SSH-VPN", jotta VPN-koneiden on mahdollista tehdä SSH/22-kutsuja suojausryhmän koneisiin.

Uuden suojausryhmän luomiseksi:

1. Siirry Network > Security Groups -osioon ja napsauta Create Security Group, anna nimi ja lisää kuvaus.

2. Napsauta Manage Rules ja esiin tulevassa näkymässä napsauta Add Rule.

   

   Saatavilla on runsaasti mukautusvaihtoehtoja, mutta tässä tapauksessa suositellaan käytettäväksi SSH-sääntöä, joka vaatii vain yhden parametrin: CIDR. Classless Inter-Domain Routing tai CIDR antaa sinun määrittää aliverkon (88.44.55.0/24) tai tietyn IP:n (88.44.55.77/32).

3. Löytääksesi IP:si voit käyttää palveluja kuten https://apps.csc.fi/myip.

Warning

Verkko-ongelmasi voivat olla monimutkaisempia. Saatat olla proxy-palvelimen takana. Jos näin on, kysy neuvoa verkko-tukihenkilöltäsi.

Error

Voit myös avata portit kaikille mahdollisille IP-osoitteille käyttämällä 0.0.0.0/0 CIDR-arvona, mutta tämä on huono tietoturvakäytäntö.

Tip

Huomaa:

• Oletussäännöt poistaminen ulospäin (salli mikä tahansa protokolla 0.0.0.0/0 ja ::/0) cPoutassa aiheuttaa häiriöitä metatietopalvelussa, joka vastaa SSH-avainasettelusta. Jos haluat rajoittaa ulospäin suuntautuvaa liikennettä, sinun pitäisi ainakin sallia lähtevä liikenne IP-osoitteeseen 169.254.169.254, TCP-porttiin 80, jotta SSH-avainten asettaminen toimii.
• Vaikka ePoutan virtuaalikoneet ovat vain asiakkaan verkon käytettävissä, niidenkin tulee olla konfiguroitu suojausryhmillä. Muutoin niihin ei pääse.
• On mahdollista lisätä ja poistaa suojausryhmiä käynnissä olevasta instanssista. Tämä tehdään instanssisivulta.

Palveluryhmät

Jos haluat politiikan, joka sallii instanssisi toimia (tai ei toimia) samalla isännällä, voit asettaa palveluryhmät.

Warning

Voit lisätä instanssin palveluryhmään vain instanssia luodessasi. Ei myöhemmin!

Klikattuasi Create Server Group, ikkuna avautuu:

Anna palveluryhmällesi nimi ja valitse politiikka. Valittavana on Affinity, Anti Affinity, Soft Affinity ja Soft Anti Affinity.

• Affinity: Instanssit, jotka sijaitsevat palveluryhmässä, jossa on affinity-politiikka, ajoittavat ajamiseen samalla isännällä aina kun mahdollista. Affinity-politiikan tavoitteena on pitää instanssit yhdessä samalla fyysisellä palvelimella, mikä voi olla hyödyllistä sovelluksille tai palveluille, jotka vaativat alhaisen viiveen kommunikaatiota instanssien välillä.

• Anti Affinity: Instanssit, jotka sijaitsevat palveluryhmässä, jossa on anti-affinity-politiikka, ajoittavat ajamiseen eri isännillä aina kun mahdollista. Anti-affinity-politiikka parantaa vikasietoisuutta ja saatavuutta levittämällä instanssit useille fyysisille palvelimille. Tämä auttaa minimoimaan laitteistovikojen vaikutuksia yhdelle palvelimelle.

• Soft Affinity: Soft affinity on variaatio affinity-politiikasta. Palveluryhmässä, jossa on soft affinity -politiikka, ajurlintia yrittää pitää instanssit samalla isännällä, mutta se ei ole tiukka vaatimus. Jos rajoitteet estävät instanssien sijoittumisen samalla isännällä, aikatauluttaja voi silti sijoittaa ne eri isännälle. Soft affinity tarjoaa joustavamman lähestymistavan verrattuna tiukkaan affinity-politiikkaan.

• Soft Anti-Affinity: Soft anti-affinity on variaatio anti-affinity-politiikasta. Palveluryhmässä, jossa on soft anti-affinity -politiikka, ajurlintia yrittää sijoittaa instanssit eri isännille, mutta se ei ole tiukka vaatimus. Jos rajoitteet estävät instanssien levittämisen eri isännille, ajurlintia voi silti sijoittaa ne samalle isännälle. Soft anti-affinity tarjoaa joustavamman lähestymistavan verrattuna tiukkaan anti-affinity-politiikkaan.

Tarkistaaksesi, ovatko instanssisi samalla (tai eri) isännällä, voit käyttää tätä komentoa:

openstack server show [INSTANCE_NAME | INSTANCE_ID] | grep HostId

Note

"Pehmeät" variantit sallivat enemmän joustavuutta instanssien sijoituksessa.
Affinity- tai anti-affinity-politiikoita ei aina ole mahdollista toteuttaa resurssirajoitteiden tai muiden aikatauluttamisrajoitusten vuoksi.

Virtuaalisen koneen käynnistäminen

Kun SSH-avaimet ja suojausryhmät on asetettu, voit käynnistää uuden virtuaalikoneen Poutan verkkokäyttöliittymien kautta:

Info

• https://pouta.csc.fi (cPoutaa varten)
• tai https://epouta.csc.fi (ePoutaa varten)

1. Poutan verkkokäyttöliittymän pääsivulla avaa Compute > Instances -näkymä.

2. Klikkaa Launch Instance oikealla yläkulmassa. Tämä avaa launch instance-näytön, jossa määritellään uuden virtuaalikoneen ominaisuudet.

   

   Kuva Käynnistä instanssinäkymä

3. Launch instance-näkymän Details-välilehdellä kirjoita ensin Instance Name.

4. Valitse Flavour, joka on luomasi virtuaalikoneen "koko". Katso Virtuaalikoneen maustet ja laskutusyksikkön korot täydelliselle listalle ja kuvauksille.

5. Instance Count-kohdassa voit määrittää luotavien virtuaalikoneiden määrän. Jos olet epävarma, jätä se arvoon 1.

6. Instance Boot Source. Valitse avattavasta valikosta "Boot from image".

   Cloud-native

   Jos haluat olla enemmän cloud-native, voit valita "Boot from image (creates a new volume)" -vaihtoehdon. Tämä vaihtoehto luo uuden pysyvän levyn instanssillesi. Jos poistat epähuomiossa instanssisi tai se menee palautumattomaan tilaan, instanssisi tiedostojärjestelmä tallentuu tähän levyyn. Myöhemmin voit käyttää tätä levyä käynnistääksesi uuden instanssin samalla tiedostojärjestelmän tilalla kuin edellinen instanssi.

   Huomaa

   Lähestymistapa "Boot from image (creates a new volume)" luo lisälevyn, josta laskutetaan normaalisti kuten hinnoittelusivullamme mainitaan.

7. Image Name, tämä päättää, mitä Linux-jakelua käytetään. Voit valita kuvan, joka sopii paremmin käyttötapaukseesi. Poutan oletuksena tarjoamat kuvat ovat säännöllisesti ajan tasalla.

8. Access & Security-välilehdellä sinun täytyy määrittää kaksi vaihtoehtoa. Ensiksi sinun täytyy valita Key Pair -nimi, jonka olet luonut Valmisteluvaiheissa. Toiseksi sinun täytyy valita Suojausryhmät-kohdassa aikaisemmin luotu suojausryhmä.

   Avaimia ei voida lisätä luomisen jälkeen

   Julkinen avain lisätään VM:lle vain, jos se on määritelty tässä vaiheessa. Kun napsautat Launch, VM luodaan, eikä konfiguroituja avainnippoja voi muuttaa. Jos avainnippua ei ole konfiguroitu, suositeltu ratkaisu on poistaa VM ja aloittaa alusta.

   

   Warning

   Jos napsautat "+"-painiketta, ikkuna sulkeutuu odottamatta ja pieni ponnahdusikkuna ilmestyy:

   

   Tämä on tunnettu bugi. Katso edellinen jakso luodaksesi SSH-avaimesi.

9. Networking-välilehdellä varmista, että oma verkko (projektisi nimi) on valittuna.

   

10. Lopuksi, Advanced Options-välilehti mahdollistaa Palveluryhmän valinnan

Voit napsauttaa Launch aloittaaksesi virtuaalikoneen luomisen.

Jälkimmäinen luominen askel

Kun virtuaalikone käynnistetään, se saa vain yksityinen IP (192.168.XXX.XXX). Tämä tarkoittaa, että kone voi päästä internettiin ja muihin virtuaalikoneisiin samassa projektissa, mutta siihen ei pääse projektin ulkopuolelta. Jotta voit päästä virtuaalikoneeseesi, sinun täytyy liittää julkinen IP-osoite siihen.

Info

Kelluvan IP:n yhdistäminen on käytettävissä vain cPouta-instansseissa.

1. Mene Compute > Instances, sinun pitäisi nähdä virtuaalikoneesi listauksessa.

2. Oikealla uuden koneesi kohdalla Actions, napsauta pudotusvalikkoa ja valitse Associate Floating IP.

   

   Kuva Floating IP -yhdistämisvaihtoehdot

3. Valitse IP Address-kohdassa IP-osoite. Jos "No floating IP addresses allocated" näkyy, napsauta plus-symbolia allokoidaksesi uuden IP:n projektiisi, sinun täytyy lisätä kuvaus.

4. Port to be associated-kohdassa valitse virtuaalikone.

5. Napsauta Associate.

Kuva Floating IP -yhdistämisdialogi

IP-laskutus

Allokoidut kelluvat IP-osoitteet laskutetaan 0,2 BU/tunti nopeudella. Voit lisäksi lukea blogipostauksemme kelluvien IP-osoitteiden hallinnasta cPouta-projektissa.

Nyt voimme siirtyä Yhdistää virtuaalikoneeseesi-osioon ja kirjautua vastikään luotuun virtuaalikoneeseen.

Onko tämä sivu hyödyllinen?

Kyllä

Kiitos palautteestasi!

Ei

Kiitos! Arvostamme palautettasi.

Please let us know how we could improve this page by contacting us or by creating an issue in GitHub. You can also edit this page yourself and contribute your improvements by creating a pull request.