IBM Cloud Docs
IBM Cloud Virtual Router Appliance aufrufen und konfigurieren

IBM Cloud Virtual Router Appliance aufrufen und konfigurieren

Die IBM Cloud® Virtual Router Appliance (VRA) kann über eine Remote-Konsolensitzung per SSH oder durch Einloggen in die Web-GUI konfiguriert werden. Die Web-GUI ist standardmäßig nicht im öffentlichen Internet verfügbar. Melden Sie sich über SSH an, um die Web-GUI zu aktivieren.

Das Konfigurieren der VRA außerhalb der zugehörigen Shell oder Schnittstelle kann zu unerwarteten Ergebnissen führen und wird daher nicht empfohlen.

Zugriff auf das Gerät über SSH

Die meisten UNIX-basierten Betriebssysteme, wie z. B. Linux, BSD und Mac OSX, verfügen über OpenSSH Clients, die in ihren Standardinstallationen enthalten sind. Windows-Benutzer können einen SSH-Client (z. B. PuTTy) herunterladen.

Es wird empfohlen, SSH-Verbindungen zur öffentlichen IP zu inaktivieren und nur SSH-Verbindungen zur privaten IP zuzulassen. Verbindungen zu privaten IPs erfordern, dass Ihr Client mit einem privaten Netz verbunden ist. Sie können sich mit einer der standardmäßigen VPN-Optionen (SSL-VPN und IPsec) anmelden, die in der Konsole IBM Cloud angeboten werden, oder eine auf dem VRA konfigurierte benutzerdefinierte VPN-Lösung verwenden.

Melden Sie sich mit dem auf der Seite 'Einheitendetails' angegebenen Vyatta-Konto über SSH an. Das Root-Passwort wird ebenfalls bereitgestellt, aber der Root-Login ist aus Sicherheitsgründen standardmäßig deaktiviert.

ssh vyatta@[IP address]

Es wird empfohlen, die Rootanmeldung nicht zu aktivieren. Melden Sie sich mit dem Vyatta-Konto an und verwenden Sie die Rootebene nur bei Bedarf.

SSH-Schlüssel können auch bei der Bereitstellung angegeben werden, um die Anmeldung mit dem Vyatta-Konto zu vermeiden. Nachdem überprüft wurde, dass der Zugriff auf Ihre VRA mit Ihrem SSH-Schlüssel möglich ist, können Sie die Standardanmeldung mit Benutzername und Kennwort inaktivierten, indem Sie die folgenden Befehle ausführen:

$ configure
# set service ssh disable-password-authentication
# commit

Modi

Im Folgenden werden die beiden Modi beschrieben:

  • Konfigurationsmodus: Wird mit dem Befehl configure aufgerufen. In diesem Modus wird das VRA-System konfiguriert.

  • Betriebsmodus: Der anfängliche Modus bei der Anmeldung an einem VRA-System. Führen Sie in diesem Modus die Befehle show aus, um Informationen zum Status des Systems abzufragen. Sie können das System auch in diesem Modus erneut starten.

Die VRA-Shell ist eine modale Schnittstelle mit mehreren Betriebsarten. Der primäre bzw. Standardmodus ist der Betriebsmodus, der bei der Anmeldung angezeigt wird. Im Betriebsmodus können Sie Informationen anzeigen und Befehle erteilen, die sich auf den aktuellen Betrieb des Systems auswirken, z. B. das Einstellen von Datum und Uhrzeit oder den Neustart des Geräts.

Mit dem Befehl configure werden Sie in den Modus Konfiguration versetzt, in dem Sie Änderungen an der Konfiguration vornehmen können. Beachten Sie, dass die Änderungen an der Konfiguration nicht sofort wirksam werden, sondern erst festgeschrieben werden müssen. Eingegebene Befehle werden zunächst in einen Konfigurationspuffer geschrieben. Führen Sie nach dem Eingeben der gewünschten Befehle den Befehl commit aus, damit die Änderungen wirksam werden.

Befehle des Betriebsmodus (Show-Befehle) können vom Konfigurationsmodus aus ausgeführt werden, indem der Befehl mit run gestartet wird. Beispiel:

# run show configuration commands | grep name-server

Das Zahlenzeichen (#) zeigt den Konfigurationsmodus an. Das vorangehende Beispiel zeigt die Möglichkeit, einen Show- oder Operational-Befehl vom Konfigurationsmodus aus auszuführen. Das Beispiel zeigt auch die Verwendung von pipe (|) und "grep" zum Filtern der Ausgabe von Befehlen.

Befehlsübersicht aufrufen

Die VRA-Befehlsshell enthält Funktionen zum Vervollständigen mithilfe der Tabulatortaste. Wenn Sie wissen möchten, welche Befehle verfügbar sind, drücken Sie die Tabulatortaste, um eine Liste und eine kurze Erläuterung aufzurufen. Dies funktioniert sowohl am Shell-Prompt als auch während der Eingabe eines Befehls. Beispiel:

$show log dns [Press tab]
Possible completions:
  dynamic    Show log for Dynamic DNS
  forwarding Show log for DNS Forwarding

Beispielkonfiguration

Konfigurationen werden als hierarchische Knotenstruktur dargestellt. Das folgende Beispiel zeigt einen Codeblock für eine statische Route:

#show protocols static

protocols {
     static {
         route 10.0.0.0/8 {
             next-hop 10.60.63.193 {
             }
         }
         route 192.168.1.0/24 {
             next-hop 10.0.0.1 {
             }
         }
     }
 }

Dieser Codeblock wird durch die folgenden Befehle generiert:

set protocols static route 10.0.0.0/8 next-hop 10.60.63.193
set protocols static route 192.168.1.0/24 next-hop 10.0.0.1

Das vorliegende Beispiel macht deutlich, dass ein (statischer) Knoten über mehrere untergeordnete Knoten verfügen kann. Die Route für 192.168.1.0/24 kann mit dem Befehl delete protocols static route 192.168.1.0/24 entfernt werden. Wenn die Angabe 192.168.1.0/24 in dem Befehl fehlt, werden beide Routenknoten zum Löschen markiert.

Denken Sie daran, dass die Konfiguration nicht geändert wird, bis der Befehl commit erteilt wird. Um die gegenwärtig aktive Konfiguration mit den im Konfigurationspuffer angegebenen Änderungen zu vergleichen, verwenden Sie den Befehl compare. Um den Konfigurationspuffer zu löschen, verwenden Sie den Befehl discard.

Benutzer und die rollenbasierte Zugriffssteuerung (Role-based Access Control, RBAC)

Für Benutzerkonten können drei verschiedene Zugriffsebenen konfiguriert werden:

  • admin
  • Operator
  • Superuser

Benutzer mit der Zugriffsebene 'operator' können show-Befehle ausführen, um den Ausführungsstatus des Systems anzuzeigen, und reset-Befehle, um Services auf der Einheit erneut zu starten. Die Zugriffsebene 'operator' impliziert nicht den Lesezugriff.

Benutzer mit der Zugriffsebene 'admin' haben uneingeschränkten Zugriff auf alle Konfigurationen und Operationen für die Einheit. Admin-Benutzer können laufende Konfigurationen anzeigen, Konfigurationseinstellungen für das Gerät ändern, das Gerät neu starten und das Gerät herunterfahren.

Benutzer mit der Zugriffsebene 'superuser' können Befehle mit Rootberechtigung (über den Befehl sudo) ausführen und verfügen zudem über die Berechtigungen der Zugriffsebene 'admin'.

Für Benutzer kann die Kennwortauthentifizierung und/oder die Public-Key-Authentifizierung konfiguriert werden. Die Public-Key-Authentifizierung wird mit SSH verwendet und ermöglicht Benutzern die Anmeldung über eine Schlüsseldatei in ihrem System. So erstellen Sie einen Benutzer mit der Zugriffsebene 'operator' und mit einem Kennwort:

set system login user [account] authentication plaintext-password [password]
set system login user [account] level operator
commit

Wenn keine Zugriffsebene angegeben ist, wird die Ebene 'admin' verwendet. Die Benutzerkennwörter werden in diesem Fall in der Konfigurationsdatei als verschlüsselt angezeigt.

Die rollenbasierte Zugriffssteuerung (Role-based Access Control, RBAC) ist ein Verfahren, das den Zugriff auf einen Teil der Konfiguration nur berechtigten Benutzern gewährt. Mit RBAC können Benutzer mit der Zugriffsebene 'admin' Regeln für eine Benutzergruppe definieren, die festlegen, dass nur bestimmte Befehle ausgeführt werden dürfen.

RBAC wird erzwungen, indem eine Gruppe erstellt wird, die dem ACM-Regelsatz (Access Control Management) zugewiesen wird, ein Benutzer zu der Gruppe hinzugefügt wird, ein Regelsatz erstellt wird, um die Gruppe mit den Pfaden im System abzugleichen, und dann das System so konfiguriert wird, dass es die Pfade, die auf die Gruppe angewendet werden, zulässt oder verweigert.

In der Standardeinstellung ist in IBM Cloud® Virtual Router Appliance kein ACM-Regelsatz definiert und ACM ist inaktiviert. Wenn Sie RBAC verwenden möchten, um eine granulare Zugriffskontrolle zu ermöglichen, müssen Sie den ACM aktivieren und die folgenden ACM-Standardregeln zusätzlich zu Ihren eigenen definierten Regeln hinzufügen:

set system acm 'enable'
set system acm operational-ruleset rule 9977 action 'allow'
set system acm operational-ruleset rule 9977 command '/show/tech-support/save'
set system acm operational-ruleset rule 9977 group 'vyattaop'
set system acm operational-ruleset rule 9978 action 'deny'
set system acm operational-ruleset rule 9978 command '/show/tech-support/save/*'
set system acm operational-ruleset rule 9978 group 'vyattaop'
set system acm operational-ruleset rule 9979 action 'allow'
set system acm operational-ruleset rule 9979 command '/show/tech-support/save-uncompressed'
set system acm operational-ruleset rule 9979 group 'vyattaop'
set system acm operational-ruleset rule 9980 action 'deny'
set system acm operational-ruleset rule 9980 command '/show/tech-support/save-uncompressed/*'
set system acm operational-ruleset rule 9980 group 'vyattaop'
set system acm operational-ruleset rule 9981 action 'allow'
set system acm operational-ruleset rule 9981 command '/show/tech-support/brief/save'
set system acm operational-ruleset rule 9981 group 'vyattaop'
set system acm operational-ruleset rule 9982 action 'deny'
set system acm operational-ruleset rule 9982 command '/show/tech-support/brief/save/*'
set system acm operational-ruleset rule 9982 group 'vyattaop'
set system acm operational-ruleset rule 9983 action 'allow'
set system acm operational-ruleset rule 9983 command '/show/tech-support/brief/save-uncompressed'
set system acm operational-ruleset rule 9983 group 'vyattaop'
set system acm operational-ruleset rule 9984 action 'deny'
set system acm operational-ruleset rule 9984 command '/show/tech-support/brief/save-uncompressed/*'
set system acm operational-ruleset rule 9984 group 'vyattaop'
set system acm operational-ruleset rule 9985 action 'allow'
set system acm operational-ruleset rule 9985 command '/show/tech-support/brief/'
set system acm operational-ruleset rule 9985 group 'vyattaop'
set system acm operational-ruleset rule 9986 action 'deny'
set system acm operational-ruleset rule 9986 command '/show/tech-support/brief'
set system acm operational-ruleset rule 9986 group 'vyattaop'
set system acm operational-ruleset rule 9987 action 'deny'
set system acm operational-ruleset rule 9987 command '/show/tech-support'
set system acm operational-ruleset rule 9987 group 'vyattaop'
set system acm operational-ruleset rule 9988 action 'deny'
set system acm operational-ruleset rule 9988 command '/show/configuration'
set system acm operational-ruleset rule 9988 group 'vyattaop'
set system acm operational-ruleset rule 9989 action 'allow'
set system acm operational-ruleset rule 9989 command '/clear/*'
set system acm operational-ruleset rule 9989 group 'vyattaop'
set system acm operational-ruleset rule 9990 action 'allow'
set system acm operational-ruleset rule 9990 command '/show/*'
set system acm operational-ruleset rule 9990 group 'vyattaop'
set system acm operational-ruleset rule 9991 action 'allow'
set system acm operational-ruleset rule 9991 command '/monitor/*'
set system acm operational-ruleset rule 9991 group 'vyattaop'
set system acm operational-ruleset rule 9992 action 'allow'
set system acm operational-ruleset rule 9992 command '/ping/*'
set system acm operational-ruleset rule 9992 group 'vyattaop'
set system acm operational-ruleset rule 9993 action 'allow'
set system acm operational-ruleset rule 9993 command '/reset/*'
set system acm operational-ruleset rule 9993 group 'vyattaop'
set system acm operational-ruleset rule 9994 action 'allow'
set system acm operational-ruleset rule 9994 command '/release/*'
set system acm operational-ruleset rule 9994 group 'vyattaop'
set system acm operational-ruleset rule 9995 action 'allow'
set system acm operational-ruleset rule 9995 command '/renew/*'
set system acm operational-ruleset rule 9995 group 'vyattaop'
set system acm operational-ruleset rule 9996 action 'allow'
set system acm operational-ruleset rule 9996 command '/telnet/*'
set system acm operational-ruleset rule 9996 group 'vyattaop'
set system acm operational-ruleset rule 9997 action 'allow'
set system acm operational-ruleset rule 9997 command '/traceroute/*'
set system acm operational-ruleset rule 9997 group 'vyattaop'
set system acm operational-ruleset rule 9998 action 'allow'
set system acm operational-ruleset rule 9998 command '/update/*'
set system acm operational-ruleset rule 9998 group 'vyattaop'
set system acm operational-ruleset rule 9999 action 'deny'
set system acm operational-ruleset rule 9999 command '*'
set system acm operational-ruleset rule 9999 group 'vyattaop'
set system acm ruleset rule 9999 action 'allow'
set system acm ruleset rule 9999 group 'vyattacfg'
set system acm ruleset rule 9999 operation '*'
set system acm ruleset rule 9999 path '*'

Weitere Informationen finden Sie in der ergänzenden VRA-Dokumentation, bevor Sie ACM-Regeln aktivieren. Fehlerhafte ACM-Regeleinstellungen können Zugriffssperren für die Einheit oder Funktionsstörungen im System verursachen.