Distribuzione di un'istanza zona diretta-routing

es:Implementación de una instancia zona directa-encaminamiento en:Deploying an instance zone direct-routing fr:Deploiement d'une instance en zone direct-routing

Il presente articolo è stato tradotto tramite un software di traduzione automatica. È possibile visualizzare l'origine articolo qui.

2. Distribuzione di una zona di istanza Direct-Routing

a. distribuzione

1) Per la connessione all'interfaccia web di Cloud Ikoula pubblico immettere l'url https://cloudstack.ikoula.com/client/ quindi il tuo login dettagli di come essi sono stati forniti a voi nella posta alla consegna del tuo account.

Dopo avere collegato alla vostra interfaccia di gestione si dovrà affrontare la schermata seguente :

2) Fare clic su 'Corpi' nel menu verticale a sinistra :

3) Clicca su 'Aggiungi un'istanza' :

4) Si apre la procedura guidata di distribuzione :

Passo 1 "Configurazione" : Selezionare la zona 3 nell'elenco a discesa :

Lasciare che la selezione di 'Modello' controllato, quindi fare clic su 'avanti'.

  Passo 2 "Selezionare un modello" : Selezionare il sistema operativo desiderato dall'elenco a discesa dei modelli proposti nella scheda 'Sponsorizzati' :

Quindi fare clic su 'avanti'.

Passo 3 "Fornisce il calcolo" : Seleziona l'offerta di calcolo che si desidera tra le configurazioni proposte :

Passo 4 "Offerte del disco dati" :

Lascia non selezionata "grazie", l'istanza verrà distribuito con un singolo disco di 50GB chiamato ROOTDISK con un partizionamento LVM per voi lasciare la possibilità di regolare la dimensione delle partizioni.

Tuttavia, se si desidera aggiungere un disco dati (DATADISK) Oltre al tuo ROOTDISK de 50Andare, controllare « Data disk » quindi trascinare il cursore per ottenere le dimensioni desiderate (1) o immettere direttamente la dimensione (2). A DATADISK è limitato a 2A.

Passo 5 "Affinità" : Per quanto riguarda la distribuzione della nostra prova, non abbiamo nessun gruppo di affinità, quindi è possibile fare clic su «Avanti» :

  Passo 6 'Rete' : Per quanto riguarda la nostra prima distribuzione, selezionare il gruppo di protezione « default » fare clic su 'Avanti' :

Passo 7 "Rivedere" : In questo ultimo passaggio, è necessario assegnare un nome alla tua volontà di istanza quindi apparire nella vostra interfaccia Cloud pubblica (Sebbene facoltativo, si consiglia vivamente ). Quindi controllare che tutte le informazioni sono buone (Fornisce informatica, gruppi di protezione, ecc...;) :

L'istanza viene visualizzata nell'elenco dei corpi in stato « Creating »

Pochi secondi più tardi una finestra pop up si apre per mostrare la password generata per la nuova istanza, è necessario Nota /Copiare il file perché è la password di sistema per l'istanza che servirà quindi connettersi ad esso.

Una seconda finestra pop-up ti dice che l'operazione di aggiunta l'istanza completa :

La nuova istanza viene ora visualizzato in stato « running », è pronto per essere utilizzato :

b. Introduzione ai gruppi di protezione.

Les groupes de sécurité fournissent un moyen d'isoler le trafic des instances. A groupe de sécurité est un groupe qui filtre le trafic entrant et sortant selon un ensemble de règles, dites « Règles d’entrée » et "Regole connessioni in uscita.

Queste regole di filtro del traffico di rete basano sull'indirizzo IP o rete che tenta di comunicare con l'istanza (s).

Ogni account CloudStack viene fornito con un gruppo di impostazioni di protezione predefinite che vieta tutto il traffico in ingresso e consente tutto il traffico in uscita, purché nessuna voce della regola o una regola in uscita viene creato.

Qualsiasi utente può implementare un numero di altri gruppi di sicurezza. Quando viene avviata una nuova macchina virtuale, viene assegnato il gruppo di protezione per impostazione predefinita se non viene specificato un altro gruppo di protezione definiti dall'utente.

Una macchina virtuale può essere un membro di un certo numero di gruppi di protezione. Una volta che un'istanza è assegnata a un gruppo di protezione, rimane in questo gruppo per tutta la sua vita utile, non è possibile spostare un'istanza esistente di un titolo a un altro gruppo.

È possibile modificare un gruppo di protezione rimuovendo o aggiungendo un numero di regole per l'entrata e l'uscita. In questo caso, le nuove norme si applicheranno a tutte le istanze del gruppo, che sono in esecuzione o fermato.

Se qualsiasi voce viene creata, quindi alcun traffico in ingresso non è consentito, fatta eccezione per le risposte a tutto il traffico che è stato sgomberato.

c. come consentire una connessione SSH al computer virtuale in un gruppo di protezione (Direct-Routing).

1) È innanzitutto necessario recuperare l'indirizzo ip della vostra vm

Clicca sul nome dell'istanza e poi andare alla scheda "Schede NIC" e nota /copiare l'indirizzo IP dell'istanza (xxx.xxx. xxx.xXX ).

2) Creare la regola nel gruppo di sicurezza per consentire le connessioni SSH :

Modo che è possibile connettersi all'istanza tramite SSH, è necessario creare una regola di entrata che permette il collegamento. In effetti, per impostazione predefinita, tutte le connessioni vengono filtrate, input (dall'esterno l'istanza ) e uscita (l'istanza esteriore ). Per connetterti con SSH sarà necessario aprire che nella voce.

Cliquez sur 'Rete' dans le menu gauche vertical :

Arrivando sulla schermata sottostante selezionare la visualizzazione di 'Gruppi di protezione' :

Cliccate quindi su « default » È creato da gruppo di protezione predefinito in cui è stato distribuito l'istanza :

Per creare la regola, fare clic sulla scheda 'Regola di entrata', lasciare selezionato CIDR, selezionare il protocollo TCP, immettere 22 Avviare la porta e la porta di fine e specificare l'indirizzo IP o rete da cui si desidera connettersi in formato CIDR in campo CIDR e quindi fare clic su 'Aggiungi' :

È ora possibile connettersi l'istanza tramite SSH.

d. creare regole per consentire connessioni tra macchine virtuali in un gruppo di protezione (Direct-Routing), esempi

Accedere all'interfaccia web Cloud pubblica d’Ikoula : https://cloudstack.ikoula.com/client/

Cliquez sur 'Rete' dans le menu vertical gauche :

Arrivando sulla schermata sottostante selezionare la visualizzazione di 'Gruppi di protezione' :

Fare clic sul nome del gruppo di sicurezza per il quale si desidera aggiungere o rimuovere regole :

Fare clic sulla scheda "Regola della voce" Se si desidera configurare una regola in ingresso :

R. consentire le richieste ICMP (PING ) tra le istanze :

1- Verifica « Account ».

2- Scegliere il protocollo per consentire tra TCP/UDP/ICMP.

3- La porta di avvio per consentire TCP /UDP o ICMP Tipo ICMP.

4- La porta di fine per consentire TCP /UDP o ICMP per tipo ICMP.

5- Il nome dell'account CloudStack (il tuo login ).

6- Il nome del tuo gruppo di protezione, nel nostro caso « default ».

La regola precedente consente di autorizzare il ping tra le macchine virtuali al gruppo di protezione « default ».

Nota : per accettare il traffico solo in ingresso ad uno altro gruppo di protezione, immettere la CloudStack account nome e il nome di un sicurezza di gruppo che è già stato definito in questo account.

Per consentire il traffico tra le macchine virtuali all'interno del gruppo di protezione che è possibile ora modificare, immettere il nome del gruppo di protezione corrente.  

B. Autoriser les connexions SSH tra le istanze (Aprire la porta 22) :

C. Autoriser les connexions MySQL tra le istanze (Aprire la porta 3306) :

D. Autoriser toutes les connexions tra le istanze (Aprire tutte le porte ) :

e. come configurare le regole Firewall del traffico di entrare in un gruppo di protezione (Direct-Routing).

Accedere all'interfaccia web Cloud pubblica d’Ikoula : https://cloudstack.ikoula.com/client/

Cliquez sur 'Rete' dans le menu vertical gauche :

Arrivando sulla schermata sottostante selezionare la visualizzazione di 'Gruppi di protezione' :

Fare clic sul nome del gruppo di sicurezza per il quale si desidera aggiungere o rimuovere regole :

Fare clic sulla scheda "Regola della voce" Se si desidera configurare una regola in ingresso :

Nell'esempio seguente, creiamo una regola che consenta le connessioni in ingresso sulla porta 80 (traffico http ) qualunque sia la fonte (CIDR 0.0.0.0/0 : qualsiasi fonte, vale a dire tutti i CIDR ).

Se avete una macchina virtuale come un server web, questo sarà la regola da creare in modo che tutti possono accedere ai loro siti.

1 – Verifica « CIDR ».

2 – Scegliere il protocollo per consentire tra TCP/UDP/ICMP.

3 -Indicare la porta iniziale per consentire a un intervallo di porte (Se si specifica la stessa porta porta iniziale e finale di porta si aprirà solo così questa porta come nell'esempio seguente ).

4 -Indicare la porta finale per consentire a un intervallo di porte (Se si specifica la stessa porta porta iniziale e finale di porta si aprirà solo così questa porta come nell'esempio seguente ).

5 – On indique CIDR source à autoriser, exemple 0.0.0.0/0 per permettere a tutti, il vostro indirizzo IP pubblico (da cui si connette ) seguita da /32 per consentire solo il vostro indirizzo IP o l'indirizzo di rete CIDR (XX.XX.XX.XX /XX, con /XX = /16 per una rete con una mask 255.255.0.0 entrambi 16per esempio i bit per la rete ).

Altri esempi di regole in entrata :

1) Per consentire le connessioni in ingresso porta TCP 1 à 65535 (tutte le porte ) su tutte le istanze del gruppo di protezione da una fonte ad un IP pubblico specifico indirizzo CIDR (Inserisci il tuo indirizzo IP pubblico seguita da /32) :

2) Per consentire le connessioni SSH sulla porta 22 sur toutes les instances du groupe de sécurité depuis CIDR source d’un réseau précis :

3) Per consentire le connessioni RDP /i nostri corpi da qualsiasi desktop remoto di origine (CIDR 0.0.0.0/0) :

4) Per consentire il ping (Protocollo ICMP, tipo 8, codice 0) i nostri corpi da qualsiasi fonte (CIDR 0.0.0.0/0) :

f. come per configurare le regole del Firewall in uscita in un gruppo di protezione (Diretta-Routing ).

Accedere all'interfaccia web Cloud pubblica d’Ikoula : https://cloudstack.ikoula.com/client/

Cliquez sur 'Rete' dans le menu vertical gauche :

Arrivando sulla schermata sottostante selezionare la visualizzazione di 'Gruppi di protezione' :

Fare clic sul gruppo di sicurezza per il quale si desidera aggiungere o rimuovere regole :

Fare clic sulla scheda "Regola di posta in uscita" Se si desidera configurare una regola in uscita :

Per impostazione predefinita quando viene creata alcuna regola in uscita, è consentito tutto il flusso dalle macchine virtuali al gruppo di sicurezza nonché relativi alle connessioni deflusso.

/!\ Dal momento in cui viene aggiunta una regola di uscita, qualsiasi deflusso è proibita salvo quanto esplicitamente consentito dalle norme aggiunta (s).

1 – Verifica « CIDR ».

2 -Scegliere il protocollo che si desidera consentire tra TCP/UDP/ICMP.

3 -Indicare la porta iniziale per consentire.

4 -Indicare la porta di fine per consentire.

Nota : per consentire solo una singola porta, specificare la stessa porta all'inizio e alla fine. |

5 – Indiquez CIDR de destination pour autoriser la connexion depuis votre instance vers cette IP.

Esempi di regole in uscita :

1) Consentire ping (Protocollo ICMP, tipo 8, codice 0) Poiché le istanze per qualsiasi destinazione (CIDR 0.0.0.0/0) :

2) Consentire le connessioni http (Porta TCP 80/ navigazione web tipico ) Poiché le istanze di qualsiasi server web (CIDR 0.0.0.0/0) :

Questo articolo sembrava poter essere utile ?