Acceso y configuración de IBM Cloud Virtual Router Appliance
El IBM Cloud® Virtual Router Appliance (VRA) puede configurarse utilizando una sesión de consola remota a través de SSH o iniciando sesión en la GUI web. De forma predeterminada, la web GUI no está disponible en la Internet pública. Para habilitar la web GUI, primero inicie sesión mediante SSH.
La configuración de VRA fuera de su shell e interfaz puede producir resultados inesperados y no se recomienda.
Acceso al dispositivo mediante SSH
La mayoría de los sistemas operativos basados en UNIX, como Linux, BSD y Mac OSX, disponen de clientes OpenSSH incluidos en sus instalaciones por defecto. Los usuarios de Windows pueden descargar un cliente SSH, como PuTTy.
Se recomienda inhabilitar el SSH en la IP pública y permitirlo solo en la IP privada. Las conexiones a las IP privadas requieren que el cliente esté conectado a la red privada. Puede conectarse utilizando una de las opciones VPN por defecto (SSL-VPN e IPsec) ofrecidas en la consola IBM Cloud, o utilizando una solución VPN personalizada configurada en el VRA.
Utilice la cuenta de Vyatta de la página Detalles del dispositivo para iniciar sesión mediante SSH. También se proporciona la contraseña de root, pero el inicio de sesión de root está desactivado por defecto por razones de seguridad.
ssh vyatta@[IP address]
Se recomienda mantener inhabilitados los inicios de sesión como root. Inicie sesión utilizando una cuenta de Vyatta y ascienda a root solo cuando sea necesario.
Las claves SSH también se pueden suministrar durante el despliegue para evitar que la cuenta de Vyatta inicie sesión. Después de verificar la capacidad para acceder a VRA utilizando la clave SSH, puede inhabilitar el inicio de sesión de usuario/contraseña estándar ejecutando los mandatos siguientes:
$ configure
# set service ssh disable-password-authentication
# commit
Modalidades
A continuación se indican los dos modos:
-
Modo de configuración: Se activa con el comando
configure. En este modo se configura el sistema VRA. -
Modo operativo: El modo inicial al iniciar sesión en un sistema VRA. En esta modalidad, ejecute mandatos
showpara consultar información sobre el estado del sistema. También puede reiniciar el sistema en esta modalidad.
El shell de VRA es una interfaz modal con varias modalidades de operación. El modo primario/por defecto es Operacional, y este es el modo que se presenta al iniciar sesión. En el modo Operativo, puede ver información y emitir comandos que afectan al funcionamiento actual del sistema, como ajustar la fecha y la hora o reiniciar el dispositivo.
El mandato configure activa la modalidad Configuración en la que puede realizar ediciones en la configuración. Tenga en cuenta que los cambios de configuración no se producen inmediatamente, sino que deben confirmarse.
Cuando especifica los mandatos, entran en un búfer de configuración. Una vez se hayan especificado todos los mandatos necesarios, ejecute el mandato commit para que se apliquen los cambios.
Los comandos del modo operativo (comandos show) pueden ejecutarse desde el modo de configuración iniciando el comando con run. Por ejemplo:
# run show configuration commands | grep name-server
El signo de número (#) indica el modo de configuración. El ejemplo anterior ilustra la capacidad de ejecutar un comando show u operacional desde el modo de configuración. El ejemplo también muestra el uso de pipe (|) y "grep"
para filtrar la salida de los comandos.
Exploración de mandatos
El shell de mandato de VRA incluye funciones de finalización de separador. Si desea saber qué mandatos están disponibles, pulse la tecla tabulador para obtener una lista con una breve explicación. Esto funciona tanto en el prompt del shell como mientras escribes un comando. Por ejemplo:
$show log dns [Press tab]
Possible completions:
dynamic Show log for Dynamic DNS
forwarding Show log for DNS Forwarding
Configuración de ejemplo
Las configuraciones se organizan en un patrón jerárquico de nodos. Considere este bloque de ruta estática:
#show protocols static
protocols {
static {
route 10.0.0.0/8 {
next-hop 10.60.63.193 {
}
}
route 192.168.1.0/24 {
next-hop 10.0.0.1 {
}
}
}
}
Esto lo generan los mandatos:
set protocols static route 10.0.0.0/8 next-hop 10.60.63.193
set protocols static route 192.168.1.0/24 next-hop 10.0.0.1
Este ejemplo ilustra que es posible que un nodo (estático) tenga varios nodos hijo. Para eliminar la ruta de 192.168.1.0/24, se utiliza el mandato delete protocols static route 192.168.1.0/24. Si 192.168.1.0/24 se ha dejado fuera del mandato, se marcan los dos nodos de ruta para suprimir.
Recuerde que la configuración no se modifica hasta que se emite el comando commit. Para comparar la configuración de ejecución actual con los cambios presentes en el búfer de configuración, utilice el mandato compare.
Para vaciar el búfer de configuración, utilice discard.
Control de accesos basado en roles y usuarios (RBAC)
Las cuentas de usuario pueden configurarse con tres niveles de acceso:
- Administrador
- Operador
- Superusuario
Los usuarios de nivel de operador pueden ejecutar mandatos show para ver el estado de ejecución del sistema y emitir mandatos reset para reiniciar los servicios en el dispositivo. Los permisos a nivel de operador no
implican acceso de solo lectura.
Los usuarios de nivel de administrador tienen acceso completa a todas las configuraciones y operaciones del dispositivo. Los usuarios administradores pueden ver las configuraciones en ejecución, cambiar los ajustes de configuración del dispositivo, reiniciarlo y apagarlo.
Los usuarios de nivel de superusuario pueden ejecutar mandatos con privilegios raíz a través del mandato sudo además de poseer privilegios de administrador.
Se pueden configurar los usuarios para los estilos de contraseña o autenticación de clave pública, o ambos. La autenticación de clave pública se utiliza con SSH y permite a los usuarios iniciar sesión utilizando un archivo de claves en su sistema. Para crear un usuario operador con una contraseña:
set system login user [account] authentication plaintext-password [password]
set system login user [account] level operator
commit
Cuando no se especifica ningún nivel, se considera el usuario a nivel de administrador. En este caso, las contraseñas de los usuarios aparecen cifradas en el fichero de configuración.
RBAC es un método de restricción de acceso para parte de la configuración de los usuarios autorizados. RBAC permite a los administradores definir reglas para un grupo de usuarios que restringe los mandatos que pueden ejecutar.
RBAC se aplica mediante la creación de un grupo que se asigna al conjunto de reglas de Gestión de Control de Acceso (ACM), la adición de un usuario al grupo, la creación de un conjunto de reglas para que coincida con el grupo a las rutas en el sistema, a continuación, configurar el sistema para permitir o denegar las rutas que se aplican al grupo.
De forma predeterminada, no hay ningún conjunto de reglas ACM definido en IBM Cloud® Virtual Router Appliance, y ACM está inhabilitado. Si desea utilizar RBAC para proporcionar un control de acceso granular, debe activar ACM y añadir las siguientes reglas ACM predeterminadas además de sus propias reglas definidas:
set system acm 'enable'
set system acm operational-ruleset rule 9977 action 'allow'
set system acm operational-ruleset rule 9977 command '/show/tech-support/save'
set system acm operational-ruleset rule 9977 group 'vyattaop'
set system acm operational-ruleset rule 9978 action 'deny'
set system acm operational-ruleset rule 9978 command '/show/tech-support/save/*'
set system acm operational-ruleset rule 9978 group 'vyattaop'
set system acm operational-ruleset rule 9979 action 'allow'
set system acm operational-ruleset rule 9979 command '/show/tech-support/save-uncompressed'
set system acm operational-ruleset rule 9979 group 'vyattaop'
set system acm operational-ruleset rule 9980 action 'deny'
set system acm operational-ruleset rule 9980 command '/show/tech-support/save-uncompressed/*'
set system acm operational-ruleset rule 9980 group 'vyattaop'
set system acm operational-ruleset rule 9981 action 'allow'
set system acm operational-ruleset rule 9981 command '/show/tech-support/brief/save'
set system acm operational-ruleset rule 9981 group 'vyattaop'
set system acm operational-ruleset rule 9982 action 'deny'
set system acm operational-ruleset rule 9982 command '/show/tech-support/brief/save/*'
set system acm operational-ruleset rule 9982 group 'vyattaop'
set system acm operational-ruleset rule 9983 action 'allow'
set system acm operational-ruleset rule 9983 command '/show/tech-support/brief/save-uncompressed'
set system acm operational-ruleset rule 9983 group 'vyattaop'
set system acm operational-ruleset rule 9984 action 'deny'
set system acm operational-ruleset rule 9984 command '/show/tech-support/brief/save-uncompressed/*'
set system acm operational-ruleset rule 9984 group 'vyattaop'
set system acm operational-ruleset rule 9985 action 'allow'
set system acm operational-ruleset rule 9985 command '/show/tech-support/brief/'
set system acm operational-ruleset rule 9985 group 'vyattaop'
set system acm operational-ruleset rule 9986 action 'deny'
set system acm operational-ruleset rule 9986 command '/show/tech-support/brief'
set system acm operational-ruleset rule 9986 group 'vyattaop'
set system acm operational-ruleset rule 9987 action 'deny'
set system acm operational-ruleset rule 9987 command '/show/tech-support'
set system acm operational-ruleset rule 9987 group 'vyattaop'
set system acm operational-ruleset rule 9988 action 'deny'
set system acm operational-ruleset rule 9988 command '/show/configuration'
set system acm operational-ruleset rule 9988 group 'vyattaop'
set system acm operational-ruleset rule 9989 action 'allow'
set system acm operational-ruleset rule 9989 command '/clear/*'
set system acm operational-ruleset rule 9989 group 'vyattaop'
set system acm operational-ruleset rule 9990 action 'allow'
set system acm operational-ruleset rule 9990 command '/show/*'
set system acm operational-ruleset rule 9990 group 'vyattaop'
set system acm operational-ruleset rule 9991 action 'allow'
set system acm operational-ruleset rule 9991 command '/monitor/*'
set system acm operational-ruleset rule 9991 group 'vyattaop'
set system acm operational-ruleset rule 9992 action 'allow'
set system acm operational-ruleset rule 9992 command '/ping/*'
set system acm operational-ruleset rule 9992 group 'vyattaop'
set system acm operational-ruleset rule 9993 action 'allow'
set system acm operational-ruleset rule 9993 command '/reset/*'
set system acm operational-ruleset rule 9993 group 'vyattaop'
set system acm operational-ruleset rule 9994 action 'allow'
set system acm operational-ruleset rule 9994 command '/release/*'
set system acm operational-ruleset rule 9994 group 'vyattaop'
set system acm operational-ruleset rule 9995 action 'allow'
set system acm operational-ruleset rule 9995 command '/renew/*'
set system acm operational-ruleset rule 9995 group 'vyattaop'
set system acm operational-ruleset rule 9996 action 'allow'
set system acm operational-ruleset rule 9996 command '/telnet/*'
set system acm operational-ruleset rule 9996 group 'vyattaop'
set system acm operational-ruleset rule 9997 action 'allow'
set system acm operational-ruleset rule 9997 command '/traceroute/*'
set system acm operational-ruleset rule 9997 group 'vyattaop'
set system acm operational-ruleset rule 9998 action 'allow'
set system acm operational-ruleset rule 9998 command '/update/*'
set system acm operational-ruleset rule 9998 group 'vyattaop'
set system acm operational-ruleset rule 9999 action 'deny'
set system acm operational-ruleset rule 9999 command '*'
set system acm operational-ruleset rule 9999 group 'vyattaop'
set system acm ruleset rule 9999 action 'allow'
set system acm ruleset rule 9999 group 'vyattacfg'
set system acm ruleset rule 9999 operation '*'
set system acm ruleset rule 9999 path '*'
Para más información, consulte la documentación complementaria de VRA antes de activar las reglas ACM. Los valores erróneos en las reglas de ACM pueden provocar la denegación de acceso o errores en la inoperancia del sistema.