IBM Cloud Docs
Accesso e configurazione di IBM Cloud Virtual Router Appliance

Accesso e configurazione di IBM Cloud Virtual Router Appliance

Il sito IBM Cloud® Virtual Router Appliance (VRA) può essere configurato utilizzando una sessione di console remota tramite SSH o accedendo alla GUI web. Per impostazioni predefinita, la GUI web non è disponibile da internet pubblicamente. Per abilitare la GUI web, accedi prima tramite SSH.

La configurazione del VRA al di fuori della sua shell e della sua interfaccia può produrre risultati imprevisti e non è consigliata.

Accesso al dispositivo tramite SSH

La maggior parte dei sistemi operativi basati su UNIX, come Linux, BSD e Mac OSX, dispongono di client OpenSSH inclusi nelle loro installazioni predefinite. Gli utenti di Windows possono scaricare un client SSH, come ad esempio PuTTy.

Si consiglia che l'SSH all'IP pubblico sia disabilitato e che sia consentito solo all'IP privato. Le connessioni a IP privati richiedono che il client sia connesso a una rete privata. È possibile accedere utilizzando una delle opzioni VPN predefinite (SSL-VPN e IPsec) offerte dalla console IBM Cloud, oppure utilizzando una soluzione VPN personalizzata configurata sul VRA.

Utilizzare l'account Vyatta dalla pagina Dettagli dispositivo per accedere tramite SSH. Viene fornita anche la password di root, ma il login di root è disabilitato per impostazione predefinita per motivi di sicurezza.

ssh vyatta@[IP address]

Si consiglia di tenere gli accessi root disabilitati. Accedi tramite l'account Vyatta ed eleva a root quando necessario.

Possono essere fornite anche le chiavi SSH durante la distribuzione per evitare il bisogno dell'accesso dell'account Vyatta. Dopo aver verificato la tua capacità di accedere alla tua VRA utilizzando la tua chiave SSH, puoi disabilitare gli accessi utente/password standard immettendo i seguenti comandi:

$ configure
# set service ssh disable-password-authentication
# commit

Modalità

Di seguito sono riportate le due modalità:

  • Modalità di configurazione: Si attiva con il comando configure. In questa modalità viene configurato il sistema VRA.

  • Modalità operativa: La modalità iniziale al momento dell'accesso a un sistema VRA. In questa modalità, si possono eseguire i comandi di show per richiedere informazioni sullo stato del sistema. È anche possibile riavviare il sistema da questa modalità.

La shell della VRA è un'interfaccia modale, con molte modalità operative. La modalità principale/default è Operativa ed è quella che viene presentata al momento dell'accesso. In modalità Operativa, è possibile visualizzare informazioni e impartire comandi che hanno un impatto sull'esecuzione corrente del sistema, come l'impostazione della data e dell'ora o il riavvio del dispositivo.

Il comando configure porta in modalità Configurazione, dove è possibile apportare modifiche alla configurazione. Si noti che le modifiche alla configurazione non vengono apportate immediatamente, ma devono essere impegnate. I comandi immessi vengono inseriti in un buffer di configurazione. Dopo aver inserito tutti i comandi necessari, eseguire il comando commit per rendere effettive le modifiche.

I comandi in modalità operativa (comandi show) possono essere eseguiti dalla modalità di configurazione iniziando il comando con run. Ad esempio:

# run show configuration commands | grep name-server

Il segno numerico (#) indica la modalità di configurazione. L'esempio precedente illustra la possibilità di eseguire un comando show o operativo dalla modalità di configurazione. L'esempio mostra anche l'uso di pipe (|) e "grep" per filtrare l'output dei comandi.

Esplorazione comando

La shell del comando VRA include le funzionalità di completamento della scheda. Se sei curioso su quali comandi sono disponibili, premi il tasto Tab per un elenco e una breve spiegazione. Questo funziona sia al prompt della shell che durante la digitazione di un comando. Ad esempio:

$show log dns [Press tab]
Possible completions:
  dynamic    Show log for Dynamic DNS
  forwarding Show log for DNS Forwarding

Configurazione di esempio

Le configurazioni sono disposte in un pattern gerarchico di nodi. Considera questo blocco di instradamento statico:

#show protocols static

protocols {
     static {
         route 10.0.0.0/8 {
             next-hop 10.60.63.193 {
             }
         }
         route 192.168.1.0/24 {
             next-hop 10.0.0.1 {
             }
         }
     }
 }

Questo viene generato dai comandi:

set protocols static route 10.0.0.0/8 next-hop 10.60.63.193
set protocols static route 192.168.1.0/24 next-hop 10.0.0.1

Questo esempio illustra che per un nodo (statico) è possibile avere più nodi secondari. Per rimuovere il percorso per 192.168.1.0/24 si usa il comando delete protocols static route 192.168.1.0/24. Se 192.168.1.0/24 è stato lasciato fuori dal comando entrambi i nodi di instradamento sono contrassegnati per l'eliminazione.

Ricordate che la configurazione non viene modificata finché non viene emesso il comando commit. Per confrontare la configurazione in esecuzione corrente di tutte le modifiche presentate nel buffer di configurazione, utilizza il comando compare. Per scaricare il buffer di configurazione, utilizza discard.

Utenti e RBAC (Role-based Access Control)

Gli account utente possono essere configurati con tre livelli di accesso:

  • Amministratore
  • Operatore
  • Superuser

Gli utenti di livello operatore possono eseguire i comandi show per visualizzare lo stato di esecuzione del sistema e immettere i comandi reset per riavviare i servizi nel dispositivo. Le autorizzazioni di livello operatore non comportano l'accesso in sola lettura.

Gli utenti di livello amministratore hanno accesso completo a tutte le configurazioni e operazioni del dispositivo. Gli utenti amministrativi possono visualizzare le configurazioni in esecuzione, modificare le impostazioni di configurazione del dispositivo, riavviare il dispositivo e spegnerlo.

Gli utenti di livello superuser sono in grado di eseguire comandi con privilegi di root attraverso il comando sudo, oltre ad avere privilegi di livello admin.

Gli utenti possono essere configurati per stili di autenticazione password o chiave pubblica o entrambi. L'autenticazione a chiave pubblica viene utilizzata con SSH e consente agli utenti di accedere utilizzando un file di chiavi sul proprio sistema. Per creare un utente operatore con una password:

set system login user [account] authentication plaintext-password [password]
set system login user [account] level operator
commit

Quando non viene specificato un livello, un utente è considerato al livello amministratore. In questo caso, le password degli utenti vengono visualizzate come criptate nel file di configurazione.

RBAC è un metodo per limitare l'accesso a parte della configurazione agli utenti autorizzati. RBAC consente agli amministratori di definire le regole per un gruppo di utenti che limitano i comandi che possono eseguire.

RBAC viene applicato creando un gruppo assegnato al set di regole ACM (Access Control Management), aggiungendo un utente al gruppo, creando un set di regole per abbinare il gruppo ai percorsi nel sistema, quindi configurando il sistema per consentire o negare i percorsi applicati al gruppo.

Per impostazione predefinita, non esiste una serie di regole ACM definita in IBM Cloud® Virtual Router Appliance e ACM è disabilitato. Se si desidera utilizzare RBAC per fornire un controllo granulare degli accessi, è necessario abilitare l'ACM e aggiungere le seguenti regole ACM predefinite, oltre alle regole definite dall'utente:

set system acm 'enable'
set system acm operational-ruleset rule 9977 action 'allow'
set system acm operational-ruleset rule 9977 command '/show/tech-support/save'
set system acm operational-ruleset rule 9977 group 'vyattaop'
set system acm operational-ruleset rule 9978 action 'deny'
set system acm operational-ruleset rule 9978 command '/show/tech-support/save/*'
set system acm operational-ruleset rule 9978 group 'vyattaop'
set system acm operational-ruleset rule 9979 action 'allow'
set system acm operational-ruleset rule 9979 command '/show/tech-support/save-uncompressed'
set system acm operational-ruleset rule 9979 group 'vyattaop'
set system acm operational-ruleset rule 9980 action 'deny'
set system acm operational-ruleset rule 9980 command '/show/tech-support/save-uncompressed/*'
set system acm operational-ruleset rule 9980 group 'vyattaop'
set system acm operational-ruleset rule 9981 action 'allow'
set system acm operational-ruleset rule 9981 command '/show/tech-support/brief/save'
set system acm operational-ruleset rule 9981 group 'vyattaop'
set system acm operational-ruleset rule 9982 action 'deny'
set system acm operational-ruleset rule 9982 command '/show/tech-support/brief/save/*'
set system acm operational-ruleset rule 9982 group 'vyattaop'
set system acm operational-ruleset rule 9983 action 'allow'
set system acm operational-ruleset rule 9983 command '/show/tech-support/brief/save-uncompressed'
set system acm operational-ruleset rule 9983 group 'vyattaop'
set system acm operational-ruleset rule 9984 action 'deny'
set system acm operational-ruleset rule 9984 command '/show/tech-support/brief/save-uncompressed/*'
set system acm operational-ruleset rule 9984 group 'vyattaop'
set system acm operational-ruleset rule 9985 action 'allow'
set system acm operational-ruleset rule 9985 command '/show/tech-support/brief/'
set system acm operational-ruleset rule 9985 group 'vyattaop'
set system acm operational-ruleset rule 9986 action 'deny'
set system acm operational-ruleset rule 9986 command '/show/tech-support/brief'
set system acm operational-ruleset rule 9986 group 'vyattaop'
set system acm operational-ruleset rule 9987 action 'deny'
set system acm operational-ruleset rule 9987 command '/show/tech-support'
set system acm operational-ruleset rule 9987 group 'vyattaop'
set system acm operational-ruleset rule 9988 action 'deny'
set system acm operational-ruleset rule 9988 command '/show/configuration'
set system acm operational-ruleset rule 9988 group 'vyattaop'
set system acm operational-ruleset rule 9989 action 'allow'
set system acm operational-ruleset rule 9989 command '/clear/*'
set system acm operational-ruleset rule 9989 group 'vyattaop'
set system acm operational-ruleset rule 9990 action 'allow'
set system acm operational-ruleset rule 9990 command '/show/*'
set system acm operational-ruleset rule 9990 group 'vyattaop'
set system acm operational-ruleset rule 9991 action 'allow'
set system acm operational-ruleset rule 9991 command '/monitor/*'
set system acm operational-ruleset rule 9991 group 'vyattaop'
set system acm operational-ruleset rule 9992 action 'allow'
set system acm operational-ruleset rule 9992 command '/ping/*'
set system acm operational-ruleset rule 9992 group 'vyattaop'
set system acm operational-ruleset rule 9993 action 'allow'
set system acm operational-ruleset rule 9993 command '/reset/*'
set system acm operational-ruleset rule 9993 group 'vyattaop'
set system acm operational-ruleset rule 9994 action 'allow'
set system acm operational-ruleset rule 9994 command '/release/*'
set system acm operational-ruleset rule 9994 group 'vyattaop'
set system acm operational-ruleset rule 9995 action 'allow'
set system acm operational-ruleset rule 9995 command '/renew/*'
set system acm operational-ruleset rule 9995 group 'vyattaop'
set system acm operational-ruleset rule 9996 action 'allow'
set system acm operational-ruleset rule 9996 command '/telnet/*'
set system acm operational-ruleset rule 9996 group 'vyattaop'
set system acm operational-ruleset rule 9997 action 'allow'
set system acm operational-ruleset rule 9997 command '/traceroute/*'
set system acm operational-ruleset rule 9997 group 'vyattaop'
set system acm operational-ruleset rule 9998 action 'allow'
set system acm operational-ruleset rule 9998 command '/update/*'
set system acm operational-ruleset rule 9998 group 'vyattaop'
set system acm operational-ruleset rule 9999 action 'deny'
set system acm operational-ruleset rule 9999 command '*'
set system acm operational-ruleset rule 9999 group 'vyattaop'
set system acm ruleset rule 9999 action 'allow'
set system acm ruleset rule 9999 group 'vyattacfg'
set system acm ruleset rule 9999 operation '*'
set system acm ruleset rule 9999 path '*'

Per ulteriori informazioni, prima di abilitare le regole ACM, consultare la documentazione VRA supplementare. Impostazioni della regola ACM inaccurate possono causare negazioni dell'accesso al dispositivo o errori di funzionamento del sistema.