IBM Cloud Docs
Accès et configuration du dispositif IBM Cloud Virtual Router Appliance

Accès et configuration du dispositif IBM Cloud Virtual Router Appliance

Le site IBM Cloud® Virtual Router Appliance (VRA) peut être configuré à l'aide d'une session de console à distance via SSH ou en se connectant à l'interface graphique Web. Par défaut, l'interface graphique Web n'est pas disponible depuis l'Internet public. Pour activer cette interface, connectez-vous d'abord via SSH.

La configuration de VRA hors de son interpréteur de commandes et de son interface peut engendrer des résultats imprévisibles et n'est donc pas recommandée.

Accès à l'appareil par SSH

La plupart des systèmes d'exploitation basés sur UNIX, tels que Linux, BSD et Mac OSX, ont des clients OpenSSH qui sont inclus dans leurs installations par défaut. Les utilisateurs Windows peuvent télécharger un client SSH, par exemple PuTTy.

Il est recommandé que la connexion SSH à l'adresse IP publique soit désactivée et que seule la connexion SSH à l'adresse IP privée soit autorisée. Les connexions à des adresses IP privées nécessitent que votre client soit connecté à un réseau privé. Vous pouvez vous connecter en utilisant l'une des options VPN par défaut (SSL-VPN et IPsec) proposées dans la console IBM Cloud, ou en utilisant une solution VPN personnalisée configurée sur le VRA.

Utilisez le compte Vyatta indiqué dans la page Détails du dispositif pour vous connecter via SSH. Le mot de passe root est également fourni, mais la connexion root est désactivée par défaut pour des raisons de sécurité.

ssh vyatta@[IP address]

Il est recommandé de maintenir les connexions root désactivées. Connectez-vous à l'aide du compte Vyatta et n'utilisez root qu'en cas de nécessité.

Des clés SSH peuvent également être fournies lors du déploiement, pour éviter de passer par un compte Vyatta pour se connecter. Après avoir vérifié que vous pouvez accéder à votre système VRA avec votre clé SSH, vous pouvez désactiver les connexions à l'aide d'un utilisateur et d'un mot de passe standard en exécutant les commandes suivantes :

$ configure
# set service ssh disable-password-authentication
# commit

Modes

Les deux modes sont décrits ci-dessous :

  • Mode configuration : Invoqué par l'utilisation de la commande configure. Dans ce mode, le système VRA est configuré.

  • Mode opérationnel : Le mode initial lors de la connexion à un système VRA. Dans ce mode, exécutez les commandes show pour obtenir des informations sur l'état du système. Vous pouvez également redémarrer le système depuis ce mode.

L'interpréteur de commandes de VRA est une interface modale, avec plusieurs modes de fonctionnement. Le mode principal/par défaut est le mode opérationnel, et c'est le mode qui est présenté lors de l'ouverture de session. En mode opérationnel, vous pouvez afficher des informations et émettre des commandes qui ont un impact sur le fonctionnement actuel du système, comme le réglage de la date et de l'heure ou le redémarrage de l'appareil.

La commande configure permet de passer en mode de configuration, dans lequel vous pouvez apporter des modifications à la configuration. Notez que les changements de configuration n'ont pas lieu immédiatement; ils doivent être validés. Lorsque les commandes sont émises, elles passent par une mémoire tampon de configuration. Une fois que toutes les commandes nécessaires ont été entrées, exécutez la commande commit pour que les modifications prennent effet.

Les commandes du mode opérationnel (commandes show) peuvent être exécutées à partir du mode configuration en commençant la commande par run. Exemple :

# run show configuration commands | grep name-server

Le signe numérique (#) indique le mode de configuration. L'exemple précédent illustre la possibilité d'exécuter une commande show ou opérationnelle à partir du mode configuration. L'exemple montre également l'utilisation de pipe (|) et de "grep" pour filtrer la sortie des commandes.

Exploration des commandes

L'interpréteur de commandes VRA comprend des fonctions de saisie semi-automatique accessibles via la touche TAB. Pour prendre connaissance des commandes disponibles, appuyez sur la touche TAB pour obtenir la liste des commandes, ainsi qu'une brève explication. Cela fonctionne à la fois à l'invite de l'interpréteur de commandes et pendant que vous tapez une commande. Par exemple :

$show log dns [Press tab]
Possible completions:
  dynamic    Show log for Dynamic DNS
  forwarding Show log for DNS Forwarding

Exemple de configuration

Les configurations sont agencées dans un modèle de noeuds hiérarchique. Par exemple, examinez le bloc de route statique suivant :

#show protocols static

protocols {
     static {
         route 10.0.0.0/8 {
             next-hop 10.60.63.193 {
             }
         }
         route 192.168.1.0/24 {
             next-hop 10.0.0.1 {
             }
         }
     }
 }

Il est généré par les commandes :

set protocols static route 10.0.0.0/8 next-hop 10.60.63.193
set protocols static route 192.168.1.0/24 next-hop 10.0.0.1

Cet exemple montre qu'il est possible qu'un noeud (static) ait plusieurs noeuds enfant. Pour retirer la route qui correspond à 192.168.1.0/24, la commande delete protocols static route 192.168.1.0/24 est utilisée. Si 192.168.1.0/24 ne figure pas dans la commande, les deux noeuds de route sont marqués pour suppression.

Rappelez-vous que la configuration n'est pas modifiée tant que la commande commit n'est pas émise. Pour comparer la configuration en cours aux modifications présentes dans la mémoire tampon de configuration, utilisez la commande compare. Pour vider la mémoire tampon de configuration, utilisez la commande discard.

Utilisateurs et contrôle d'accès basé sur les rôles (RBAC)

Les comptes utilisateur peuvent être configurés avec trois niveaux d'accès :

  • Administrateur
  • Opérateur
  • Superutilisateur

Les utilisateurs avec le niveau Opérateur peuvent exécuter des commandes show pour afficher le statut du système et émettre des commandes reset permettant de redémarrer les services sur l'unité. Les droits de niveau Opérateur n'impliquent pas l'accès en lecture seule.

Les utilisateurs avec le niveau Administrateur disposent d'un accès complet à toutes les configurations et opérations de l'unité. Les utilisateurs administrateurs peuvent visualiser les configurations en cours, modifier les paramètres de configuration de l'appareil, redémarrer l'appareil et l'arrêter.

Les utilisateurs avec le niveau Superutilisateur peuvent exécuter des commandes avec des privilèges de superutilisateur (root) via la commande sudo, en plus des privilèges de niveau Administrateur.

Les utilisateurs peuvent être configurés pour les styles d'authentification par mot de passe et/ou clé publique. L'authentification par clé publique est utilisée avec SSH et permet aux utilisateurs de se connecter à l'aide d'un fichier de clés sur leur système. Pour créer un utilisateur de niveau Opérateur avec un mot de passe :

set system login user [account] authentication plaintext-password [password]
set system login user [account] level operator
commit

Lorsqu'aucun niveau n'est spécifié, le système considère que l'utilisateur est au niveau Administrateur. Dans ce cas, les mots de passe des utilisateurs sont affichés sous forme cryptée dans le fichier de configuration.

Le contrôle d'accès basé sur les rôles (RBAC) est une méthode utilisée pour limiter l'accès à une partie de la configuration à des utilisateurs autorisés. Il permet aux administrateurs de définir pour un groupe d'utilisateurs des règles qui limitent les commandes qu'ils peuvent exécuter.

Le système RBAC est mis en œuvre en créant un groupe affecté à l'ensemble de règles de gestion du contrôle d'accès (ACM), en ajoutant un utilisateur au groupe, en créant un ensemble de règles pour faire correspondre le groupe aux chemins d'accès dans le système, puis en configurant le système pour autoriser ou refuser les chemins d'accès appliqués au groupe.

Par défaut, aucun jeu de règles ACM n'est défini dans IBM Cloud® Virtual Router Appliance et ACM est désactivé. Si vous souhaitez utiliser RBAC pour fournir un contrôle d'accès granulaire, vous devez activer l'ACM et ajouter les règles ACM par défaut suivantes en plus de vos propres règles définies :

set system acm 'enable'
set system acm operational-ruleset rule 9977 action 'allow'
set system acm operational-ruleset rule 9977 command '/show/tech-support/save'
set system acm operational-ruleset rule 9977 group 'vyattaop'
set system acm operational-ruleset rule 9978 action 'deny'
set system acm operational-ruleset rule 9978 command '/show/tech-support/save/*'
set system acm operational-ruleset rule 9978 group 'vyattaop'
set system acm operational-ruleset rule 9979 action 'allow'
set system acm operational-ruleset rule 9979 command '/show/tech-support/save-uncompressed'
set system acm operational-ruleset rule 9979 group 'vyattaop'
set system acm operational-ruleset rule 9980 action 'deny'
set system acm operational-ruleset rule 9980 command '/show/tech-support/save-uncompressed/*'
set system acm operational-ruleset rule 9980 group 'vyattaop'
set system acm operational-ruleset rule 9981 action 'allow'
set system acm operational-ruleset rule 9981 command '/show/tech-support/brief/save'
set system acm operational-ruleset rule 9981 group 'vyattaop'
set system acm operational-ruleset rule 9982 action 'deny'
set system acm operational-ruleset rule 9982 command '/show/tech-support/brief/save/*'
set system acm operational-ruleset rule 9982 group 'vyattaop'
set system acm operational-ruleset rule 9983 action 'allow'
set system acm operational-ruleset rule 9983 command '/show/tech-support/brief/save-uncompressed'
set system acm operational-ruleset rule 9983 group 'vyattaop'
set system acm operational-ruleset rule 9984 action 'deny'
set system acm operational-ruleset rule 9984 command '/show/tech-support/brief/save-uncompressed/*'
set system acm operational-ruleset rule 9984 group 'vyattaop'
set system acm operational-ruleset rule 9985 action 'allow'
set system acm operational-ruleset rule 9985 command '/show/tech-support/brief/'
set system acm operational-ruleset rule 9985 group 'vyattaop'
set system acm operational-ruleset rule 9986 action 'deny'
set system acm operational-ruleset rule 9986 command '/show/tech-support/brief'
set system acm operational-ruleset rule 9986 group 'vyattaop'
set system acm operational-ruleset rule 9987 action 'deny'
set system acm operational-ruleset rule 9987 command '/show/tech-support'
set system acm operational-ruleset rule 9987 group 'vyattaop'
set system acm operational-ruleset rule 9988 action 'deny'
set system acm operational-ruleset rule 9988 command '/show/configuration'
set system acm operational-ruleset rule 9988 group 'vyattaop'
set system acm operational-ruleset rule 9989 action 'allow'
set system acm operational-ruleset rule 9989 command '/clear/*'
set system acm operational-ruleset rule 9989 group 'vyattaop'
set system acm operational-ruleset rule 9990 action 'allow'
set system acm operational-ruleset rule 9990 command '/show/*'
set system acm operational-ruleset rule 9990 group 'vyattaop'
set system acm operational-ruleset rule 9991 action 'allow'
set system acm operational-ruleset rule 9991 command '/monitor/*'
set system acm operational-ruleset rule 9991 group 'vyattaop'
set system acm operational-ruleset rule 9992 action 'allow'
set system acm operational-ruleset rule 9992 command '/ping/*'
set system acm operational-ruleset rule 9992 group 'vyattaop'
set system acm operational-ruleset rule 9993 action 'allow'
set system acm operational-ruleset rule 9993 command '/reset/*'
set system acm operational-ruleset rule 9993 group 'vyattaop'
set system acm operational-ruleset rule 9994 action 'allow'
set system acm operational-ruleset rule 9994 command '/release/*'
set system acm operational-ruleset rule 9994 group 'vyattaop'
set system acm operational-ruleset rule 9995 action 'allow'
set system acm operational-ruleset rule 9995 command '/renew/*'
set system acm operational-ruleset rule 9995 group 'vyattaop'
set system acm operational-ruleset rule 9996 action 'allow'
set system acm operational-ruleset rule 9996 command '/telnet/*'
set system acm operational-ruleset rule 9996 group 'vyattaop'
set system acm operational-ruleset rule 9997 action 'allow'
set system acm operational-ruleset rule 9997 command '/traceroute/*'
set system acm operational-ruleset rule 9997 group 'vyattaop'
set system acm operational-ruleset rule 9998 action 'allow'
set system acm operational-ruleset rule 9998 command '/update/*'
set system acm operational-ruleset rule 9998 group 'vyattaop'
set system acm operational-ruleset rule 9999 action 'deny'
set system acm operational-ruleset rule 9999 command '*'
set system acm operational-ruleset rule 9999 group 'vyattaop'
set system acm ruleset rule 9999 action 'allow'
set system acm ruleset rule 9999 group 'vyattacfg'
set system acm ruleset rule 9999 operation '*'
set system acm ruleset rule 9999 path '*'

Pour plus d'informations, consultez la documentation supplémentaire de VRA avant d'activer les règles ACM. Des paramètres de règle ACM inexacts peuvent entraîner des accès refusés à l'unité ou des erreurs rendant le système inexploitable.