IBM Cloud Docs
IBM Cloud Virtual Router Appliance に対するアクセスと構成

IBM Cloud Virtual Router Appliance に対するアクセスと構成

IBM Cloud® Virtual Router Appliance (VRA) は、SSH 経由のリモート・コンソール・セッションを使用するか、ウェブ GUI にログインして設定することができる。 デフォルトでは、Web GUI はパブリック・インターネットからは利用できません。 Web GUI を使用可能にするには、最初に SSH を介してログインします。

VRA をシェルおよびインターフェースの外部で構成すると予期しない結果が生じる可能性があるため、推奨されません。

SSHを使用してデバイスにアクセスする

Linux、BSD、Mac OSXなど、ほとんどのUNIXベースのオペレーティング・システムには、デフォルトでインストールされている OpenSSH クライアントがある。 Windows のユーザーは、PuTTy などの SSH クライアントをダウンロードできます。

パブリック IP への SSH を無効にして、プライベート IP への SSH のみを許可することをお勧めします。 プライベート IP への接続では、クライアントがプライベート・ネットワークに接続されている必要があります。 IBM Cloud コンソールで提供されるデフォルトの VPN オプション(SSL-VPN および IPsec)のいずれかを使用するか、VRA で設定されたカスタム VPN ソリューションを使用してログインできます。

「デバイスの詳細」ページの Vyatta アカウントを使用して、SSH 経由でログインします。 rootパスワードも提供されるが、rootログインはセキュリティ上の理由からデフォルトでは無効になっている。

ssh vyatta@[IP address]

root ログインは無効のままにすることをお勧めします。 Vyatta アカウントを使用してログインし、必要な場合にのみ root に切り替えてください。

Vyatta アカウントにログインしなくても済むように、デプロイメント中に SSH 鍵を提供することもできます。 SSH 鍵を使用して VRA にアクセスできることを確認した後、次のコマンドを実行して、ユーザー名とパスワードによる標準ログインを無効にできます。

$ configure
# set service ssh disable-password-authentication
# commit

モード

以下は2つのモードである:

  • コンフィギュレーション・モード: configure。 このモードでは、VRA システムが設定される。

  • 動作モード:VRA システムにログインしたときの初期モード。 このモードでは、show コマンドを実行して、システムの状態に関する情報を照会します。 このモードからシステムを再始動することもできます。

VRA のシェルは、いくつかの操作モードを持つ、モーダル・インターフェースです。 プライマリ/デフォルトのモードはオペレーショナルで、ログイン時に表示されるモードです。 オペレーション・ モードでは、日付と時刻の設定やデバイスの再起動など、システムの現在の動作に影響を与える情報を表示したり、コマンドを発行したりすることができます。

コマンド configure を実行すると、**「構成」**モードになります。このモードで、構成を編集することができます。 コンフィギュレーションの変更はすぐに反映されるわけではなく、コミットする必要があることに注意。 コマンドを入力すると構成バッファーに入ります。 必要なコマンドをすべて入力したら、commit コマンドを実行して、変更を有効にします。

運用モードのコマンド(showコマンド)は、 run でコマンドを開始することで、コンフィギュレーション・モードから実行することができます。 以下に例を示します。

# run show configuration commands | grep name-server

数字記号(#)はコンフィギュレーション・モードを示す。 前述の例は、configureモードからshowコマンドやoperationalコマンドを実行する機能を示している。 この例では、パイプ(|)と「grep」を使ってコマンドの出力をフィルタリングしている。

コマンドの探索

VRA コマンド・シェルには、タブの補完機能が含まれています。 どのコマンドが使用可能かを知りたい場合は、Tab キーを押すと、リストと短い説明が表示されます。 これはシェル・プロンプトでも、コマンドを入力している最中でも機能する。 例えば、次のようにします。

$show log dns [Press tab]
Possible completions:
  dynamic    Show log for Dynamic DNS
  forwarding Show log for DNS Forwarding

構成例

構成はノードの階層型パターンでレイアウトされます。 次の静的ルート・ブロックを考えてみましょう。

#show protocols static

protocols {
     static {
         route 10.0.0.0/8 {
             next-hop 10.60.63.193 {
             }
         }
         route 192.168.1.0/24 {
             next-hop 10.0.0.1 {
             }
         }
     }
 }

これは、次のコマンドによって生成されます。

set protocols static route 10.0.0.0/8 next-hop 10.60.63.193
set protocols static route 192.168.1.0/24 next-hop 10.0.0.1

この例は、1 つのノード (静的) が複数の下位ノードを持つことができることを示しています。 192.168.1.0/24 の経路を削除するには、コマンド delete protocols static route 192.168.1.0/24 を使用します。 コマンドに 192.168.1.0/24 の入力がない場合は、両方の経路ノードに削除のマークが付けられます。

コンフィギュレーションは、 commit コマンドが発行されるまで変更されないことを忘れないでください。 現在実行されている構成と、構成バッファー内にある変更を比較するには、compare コマンドを使用します。 構成バッファーをフラッシュするには、discard を使用します。

ユーザーおよび役割ベースのアクセス制御 (RBAC)

ユーザー・アカウントは、次の 3 つのアクセス・レベルを使用して構成できます。

  • Admin
  • オペレーター
  • スーパーユーザー

オペレーター・レベルのユーザーは、show コマンドを実行して、システムの稼働状況を表示したり、reset コマンドを発行して、デバイスのサービスを再始動したりできます。 オペレーター・レベルの許可は、読み取り専用アクセスを暗黙指定するものではありません。

管理者レベルのユーザーは、デバイスのすべての構成および操作に対する全アクセス権限を持ちます。 管理者ユーザーは、実行中のコンフィグレーションの表示、デバイスのコンフィグレーショ ン設定の変更、デバイスの再起動、デバイスのシャットダウンが可能です。

スーパーユーザー・レベルのユーザーは、管理者レベルの特権に加えて、sudo コマンドにより root 権限を使用してコマンドを実行できます。

ユーザーは、パスワード認証スタイルまたは公開鍵認証スタイル、あるいはその両方に構成できます。 公開鍵認証は SSH で使用され、これによりユーザーは自身のシステム上の鍵ファイルを使用したログインが可能となります。 パスワードを使用するオペレーター・ユーザーを作成するには、次のようにします。

set system login user [account] authentication plaintext-password [password]
set system login user [account] level operator
commit

レベルが指定されていない場合、ユーザーは管理者レベルと見なされます。 この場合のユーザー・パスワードは、設定ファイルに暗号化されて表示される。

RBAC は、許可ユーザーに対して構成の一部へのアクセス権限を制限する方式です。 RBAC を使用すると、管理者はユーザー・グループに対して、実行できるコマンドを制限するルールを定義できます。

RBACは、アクセス・コントロール管理(ACM)ルール・セットに割り当てられたグループを作成し、そのグループにユーザーを追加し、そのグループをシステム内のパスに一致させるルール・セットを作成し、そのグループに適用されるパスを許可または拒否するようにシステムを構成することによって実施される。

デフォルトでは、IBM Cloud® Virtual Router Appliance には ACM ルール・セットが定義されておらず、ACM は無効になっています。 RBACを使用してきめ細かなアクセス制御を行いたい場合は、ACMを有効にし、独自の定義ルールに加えて、以下のデフォルトACMルールを追加する必要があります:

set system acm 'enable'
set system acm operational-ruleset rule 9977 action 'allow'
set system acm operational-ruleset rule 9977 command '/show/tech-support/save'
set system acm operational-ruleset rule 9977 group 'vyattaop'
set system acm operational-ruleset rule 9978 action 'deny'
set system acm operational-ruleset rule 9978 command '/show/tech-support/save/*'
set system acm operational-ruleset rule 9978 group 'vyattaop'
set system acm operational-ruleset rule 9979 action 'allow'
set system acm operational-ruleset rule 9979 command '/show/tech-support/save-uncompressed'
set system acm operational-ruleset rule 9979 group 'vyattaop'
set system acm operational-ruleset rule 9980 action 'deny'
set system acm operational-ruleset rule 9980 command '/show/tech-support/save-uncompressed/*'
set system acm operational-ruleset rule 9980 group 'vyattaop'
set system acm operational-ruleset rule 9981 action 'allow'
set system acm operational-ruleset rule 9981 command '/show/tech-support/brief/save'
set system acm operational-ruleset rule 9981 group 'vyattaop'
set system acm operational-ruleset rule 9982 action 'deny'
set system acm operational-ruleset rule 9982 command '/show/tech-support/brief/save/*'
set system acm operational-ruleset rule 9982 group 'vyattaop'
set system acm operational-ruleset rule 9983 action 'allow'
set system acm operational-ruleset rule 9983 command '/show/tech-support/brief/save-uncompressed'
set system acm operational-ruleset rule 9983 group 'vyattaop'
set system acm operational-ruleset rule 9984 action 'deny'
set system acm operational-ruleset rule 9984 command '/show/tech-support/brief/save-uncompressed/*'
set system acm operational-ruleset rule 9984 group 'vyattaop'
set system acm operational-ruleset rule 9985 action 'allow'
set system acm operational-ruleset rule 9985 command '/show/tech-support/brief/'
set system acm operational-ruleset rule 9985 group 'vyattaop'
set system acm operational-ruleset rule 9986 action 'deny'
set system acm operational-ruleset rule 9986 command '/show/tech-support/brief'
set system acm operational-ruleset rule 9986 group 'vyattaop'
set system acm operational-ruleset rule 9987 action 'deny'
set system acm operational-ruleset rule 9987 command '/show/tech-support'
set system acm operational-ruleset rule 9987 group 'vyattaop'
set system acm operational-ruleset rule 9988 action 'deny'
set system acm operational-ruleset rule 9988 command '/show/configuration'
set system acm operational-ruleset rule 9988 group 'vyattaop'
set system acm operational-ruleset rule 9989 action 'allow'
set system acm operational-ruleset rule 9989 command '/clear/*'
set system acm operational-ruleset rule 9989 group 'vyattaop'
set system acm operational-ruleset rule 9990 action 'allow'
set system acm operational-ruleset rule 9990 command '/show/*'
set system acm operational-ruleset rule 9990 group 'vyattaop'
set system acm operational-ruleset rule 9991 action 'allow'
set system acm operational-ruleset rule 9991 command '/monitor/*'
set system acm operational-ruleset rule 9991 group 'vyattaop'
set system acm operational-ruleset rule 9992 action 'allow'
set system acm operational-ruleset rule 9992 command '/ping/*'
set system acm operational-ruleset rule 9992 group 'vyattaop'
set system acm operational-ruleset rule 9993 action 'allow'
set system acm operational-ruleset rule 9993 command '/reset/*'
set system acm operational-ruleset rule 9993 group 'vyattaop'
set system acm operational-ruleset rule 9994 action 'allow'
set system acm operational-ruleset rule 9994 command '/release/*'
set system acm operational-ruleset rule 9994 group 'vyattaop'
set system acm operational-ruleset rule 9995 action 'allow'
set system acm operational-ruleset rule 9995 command '/renew/*'
set system acm operational-ruleset rule 9995 group 'vyattaop'
set system acm operational-ruleset rule 9996 action 'allow'
set system acm operational-ruleset rule 9996 command '/telnet/*'
set system acm operational-ruleset rule 9996 group 'vyattaop'
set system acm operational-ruleset rule 9997 action 'allow'
set system acm operational-ruleset rule 9997 command '/traceroute/*'
set system acm operational-ruleset rule 9997 group 'vyattaop'
set system acm operational-ruleset rule 9998 action 'allow'
set system acm operational-ruleset rule 9998 command '/update/*'
set system acm operational-ruleset rule 9998 group 'vyattaop'
set system acm operational-ruleset rule 9999 action 'deny'
set system acm operational-ruleset rule 9999 command '*'
set system acm operational-ruleset rule 9999 group 'vyattaop'
set system acm ruleset rule 9999 action 'allow'
set system acm ruleset rule 9999 group 'vyattacfg'
set system acm ruleset rule 9999 operation '*'
set system acm ruleset rule 9999 path '*'

詳細については、ACMルールを有効にする前に、 補足のVRAドキュメントを 参照してください。 不正確な ACM ルールを設定すると、デバイスがアクセス拒否されたり、システム作動不能エラーが発生したりする可能性があります。