Le réseau de maintenance est utilisé par OpenVOS pour la surveillance de plusieurs appareils, y compris les matrices de disques RAID et SAN. Ce réseau vous permet également d'y accéder pour apporter des modifications à la configuration, résoudre des problèmes de débogage et effectuer une surveillance générale. Cependant, lorsque vous accédez à ces périphériques à partir du module OpenVOS, vous ne pouvez utiliser que l'interface de ligne de commande (CLI) ; l'interface utilisateur graphique (GUI), plus conviviale, utilisée via un navigateur web n'est pas disponible.
L'absence d'une interface graphique a conduit certains d'entre vous à connecter le réseau de maintenance à un autre réseau externe disponible. Cela nécessite de renuméroter tous les appareils du réseau et l'interface Stratus . Cela signifie également que les appareils du réseau de maintenance seront accessibles à toute personne ayant accès au réseau et que les fonctions de surveillance effectuées sur le réseau seront soumises aux problèmes d'un environnement réseau beaucoup plus vaste. C'est une chose que Stratus vous recommande vivement de ne pas faire.
Ce billet présente trois façons de vous permettre d'utiliser l'interface graphique du navigateur web pour gérer ces appareils tout en limitant le réseau de maintenance à l'environnement du module Stratus . La première suppose que vous souhaitiez obtenir un accès à partir d'un navigateur situé sur le même sous-réseau que l'une des interfaces IP du module Stratus . Les deux approches suivantes utilisent le tunneling SSH.
Pour ces exemples, le module Stratus a une interface numérotée 164.152.77.217/24 et l'adresse du réseau de maintenance est 10.10.1.0/24. L'appareil auquel je veux accéder a une adresse IP de 10.10.1.20.
Approche n°1 - changement d'itinéraire sur votre poste de travail
La première approche est la plus simple : établissez un itinéraire sur votre poste de travail avec une destination soit d'une seule adresse, soit de l'ensemble du sous-réseau 10.10.1.0/24 et une passerelle de l'interface 164.152.77.217/24 du module Stratus (voir figure 1). Dans l'exemple, j'ai mis en place un itinéraire vers l'ensemble du sous-réseau 10.10.1.0/24 afin de pouvoir atteindre n'importe quel hôte de ce sous-réseau via le module Stratus . Cette approche ne fonctionnera que si le module Stratus est configuré pour permettre la redirection et que le poste de travail qui exécute le navigateur se trouve également sur le sous-réseau 164.152.77.0/24. Vous accédez alors aux appareils via leur adresse IP (voir figure 2). Notez que l'activation du transfert est considérée par certains comme un risque pour la sécurité. Les modules fonctionnant sous les versions 17.1.0 à 17.1.0bl d'OpenVOS sont également sujets aux bogues stcp-3050 et stcp-3072 et ne devraient pas avoir activé la redirection.
Avec cette approche, si vous souhaitez accéder à un appareil sur le réseau de maintenance d'un autre module Stratus , vous devez supprimer la route existante et en ajouter une nouvelle avec la nouvelle adresse IP de Stratuscomme passerelle.
Approche n°2 - mettre en place un tunnel SSH depuis votre poste de travail
La deuxième approche consiste à créer un tunnel SSH entre votre poste de travail et le module Stratus . Cela nécessite que SSH fonctionne sur le module Stratus et que votre poste de travail dispose d'un client SSH qui supporte le tunneling. Tout client SSH prenant en charge le tunneling peut être utilisé mais, bien entendu, la configuration variera en fonction du client. Je vais décrire deux clients libres qui fonctionnent dans l'environnement MS Windows, PuTTY et OpenSSH fonctionnent sous Cygwin.
PuTTY peut être trouvé sur http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html. La version disponible au moment où j'ai écrit ceci était la beta 0.62 et est sortie le 2011-12-10. Ne laissez pas le "bêta" ou le "0" vous inquiéter. La version originale était la bêta 0.45 en janvier 1999. Beaucoup de gens utilisent ce code sans aucun problème.
Une fois que vous avez installé PuTTY, cliquez sur l'icône putty.exe pour obtenir la boîte de dialogue de configuration. La première étape consiste à saisir l'adresse IP ou le nom d'hôte de votre module, dans mon cas 164.152.77.217. Le numéro de port doit être 22 et le type de connexion doit être SSH.
Sélectionnez maintenant l'entrée "Tunnels" sous SSH et remplissez les cases "Port d'origine" et "Destination". La destination est l'adresse IP de l'appareil cible sur le réseau de maintenance auquel vous voulez vous connecter. Elle est suivie d'un double point et du numéro de port qui sera 80. Le port source peut être n'importe quel port de votre poste de travail que vous n'utilisez pas. J'ai une formule standard que j'utilise, NNHHP. 2 chiffres de l'adresse réseau de ma cible, 2 chiffres du numéro d'hôte et 1 chiffre du numéro de port. Donc 10.10.1.20 le port 80 devient 10208 ; mais comme je l'ai dit, tout numéro non utilisé fonctionnera.
Après avoir appuyé sur le bouton "Ajouter", l'information se déplace vers la case "Ports expédiés". Appuyez maintenant sur "Ouvrir".
Vous obtiendrez ce qui ressemble à une fenêtre de commande ou de terminal. Elle devrait vous demander un "login comme" pour un nom d'utilisateur et ensuite un mot de passe. Une fois que vous les aurez saisis, en supposant que vous soyez authentifié, la fenêtre apparaîtra comme suspendue. Si vous faites souvent cela, je vous suggère de configurer les clés publiques/privées de manière à pouvoir ignorer les invites. L'étape suivante consiste à ouvrir un navigateur et, pour la destination, vous taperez 127.0.0.1:NNHHP, qui est la valeur "Source Port" que vous avez entrée dans la configuration PuTTY. À ce stade, vous devriez voir l'écran de connexion pour l'appareil du réseau de maintenance auquel vous voulez vous connecter.
Si vous ne souhaitez pas utiliser PuTTY, vous pouvez utiliser le téléchargement Cygwin. C'est un environnement qui vous permet d'exécuter des applications Linux natives sur une plate-forme Windows. Il est disponible à l'adresse http://www.cygwin.com, la version au moment de la rédaction du présent document est la 1.7.17-1. OpenSSH se trouve dans le paquet "Net", qui ne s'installe pas par défaut, donc assurez-vous de le sélectionner pour le téléchargement et l'installation.
Une fois installé, vous pouvez utiliser soit la fenêtre de commande Cygwin qui ouvre un shell de bash, soit le shell de commande natif de Windows. Changez de répertoire pour le c:cygwinbin et exécutez la commande SSH "ssh -2TNx -L 10208:10.10.1.20:80 [email protected]". Le "nd" est mon alias de nom d'utilisateur, vous devrez bien sûr utiliser le vôtre. À ce stade, les choses ressemblent beaucoup à PuTTY, on vous demandera un mot de passe et la fenêtre s'affichera. Vous ouvrez un navigateur et le pointez sur 127.0.0.1:10208 et vous devriez y être.
Si vous utilisez une distribution Linux au lieu de Windows, vous avez probablement déjà installé OpenSSH, vous pouvez faire apparaître une fenêtre de terminal et entrer exactement la même commande SSH "ssh -2TNx -L 10208:10.10.1.20:80 [email protected]", répondre aux mêmes invites et ouvrir votre navigateur de la même manière.
L'avantage de cette approche est que vous pouvez le faire depuis n'importe où ; votre poste de travail n'a pas besoin d'être sur le même sous-réseau que l'une des interfaces de Stratus. En outre, toutes vos communications sont cryptées.
Approche n°3 - mise en place d'un tunnel SSH sur le module Stratus
Ma troisième approche utilise également les sciences humaines, mais cette fois-ci uniquement sur le module. En utilisant votre émulation de terminal préférée, vous vous connectez au module Stratus et utilisez ensuite presque exactement la même commande SSH. La seule différence est l'argument "g" qui permet les connexions depuis l'extérieur du module, "ssh -2TNxg -L 10208:10.10.1.20:80 _COPY5″. Une fois que vous êtes connecté, vous pointez votre navigateur vers le module au lieu de 127.0.0.1, mais le numéro de port est toujours 10208 (ou quel que soit le premier chiffre de l'argument -L).
Comme la deuxième approche, cette approche peut être utilisée à partir de n'importe quel poste de travail pouvant accéder au module. Contrairement à la seconde approche où SSH est exécuté sur le poste de travail, cette approche ne chiffre PAS votre connexion entre le poste de travail et le module. D'autre part, elle ne nécessite pas l'installation de quoi que ce soit de spécial sur le poste de travail. Enfin, il est possible d'exécuter la commande SSH à partir d'un processus lancé, vous pouvez lancer un processus pour chaque périphérique lorsque le module est démarré afin qu'ils soient toujours disponibles. Notez que TOUTE personne qui atteint le module peut se connecter à ces ports et être redirigée vers le dispositif cible, ils ne sont pas authentifiés par le module, ce qui pourrait poser un problème de sécurité.
Et pour me répéter, Stratus vous recommande vivement de maintenir l'isolement du réseau de maintenance. Si vous souhaitez utiliser l'interface graphique administrative au lieu de l'interface CLI, utilisez l'une de ces approches.