Paires de clés SSH

À la création d’une instance (les termes machine virtuelle ou VM sont parfois utilisés), ni l’administrateur ni le compte racine sur votre serveur n’ont de mot de passe. Pour des raisons de sécurité, votre nouvelle instance est protégée d'un accès non autorisé qui serait possible par un mot de passe par défaut.

En créant une instance, OpenStack lui attribue une clé publique SSH : cette paire de clés SSH est le seul moyen d'accéder à la nouvelle instance. La clé publique SSH peut soit être générée par OpenStack, soit provenir d'une paire de clés que vous avez préalablement créée pour une autre instance. S'il s'agit d'une machine distante, la clé publique SSH doit être importée dans OpenStack pour servir à la nouvelle instance. OpenStack peut créer une paire de clés à l'aide de la clé privée téléchargée sur votre poste local.

Les paires de clés sont définies par l'option Accès et Sécurité du menu de gauche, sous l'onglet Paires de clés. Sous cet onglet, il est possible de créer ou d'importer une paire de clés.

Importer une paire de clés

Importer une paire de clés (cliquez pour agrandir)

1. Cliquez sur Importer une paire de clés.
2. Entrez le nom de votre paire de clés.
3. Collez votre clé publique (seules les clés de type RSA sont présentement supportées); elle ne doit contenir aucun caractère de fin de ligne ou aucun espace de trop.
4. Cliquez sur le bouton Importer une paire de clés au bas de la fenêtre.

Créer une paire de clés

Créer une paire de clés (cliquez pour agrandir)

1. Cliquez sur Créer une paire de clés.
2. Entrez le nom de la paire de clés.
3. Cliquez sur le bouton Créer une paire de clés au bas de la fenêtre.
4. Sauvergardez <key name>.pem sur votre disque.

Lancer une instance

Fenêtre de création d'une instance (cliquez pour agrandir)

Pour créer une instance, cliquez sur l'option Instances dans le menu de gauche, puis sur le bouton Lancer une instance.

Le formulaire de création d'une instance est affiché. À titre d'exemple, vous pouvez utiliser les mêmes valeurs que dans la capture d'écran.

• Onglet Détails
  • Zone de disponibilité : Seule la zone nova est disponible; conservez ce nom.
  • Nom de l'instance : Entrez le nom de votre instance en respectant les conventions de nomenclature (en anglais).
  • Gabarit : Le gabarit détermine les caractéristiques matérielles de l'instance. Pour un premier essai, sélectionnez le gabarit c1-3.75gb-36 sur le nuage East ou c1-7.5gb-30 sur le nuage de l'Ouest. Pour plus d'information, consultez Gabarits d'instances. Note ː Avec un gabarit de type p, choisissez Démarrer depuis une image (crée un volume) pour le champ Source de démarrage de l'instance.
  • Nombre d'instances : Nombre d'instances à créer.
  • Source de démarrage de l'instance : Source utilisée pour lancer l'instance.

    Démarrage depuis une image permet de lancer l'instance à partir d'une image existante. Une autre option souvent utilisée est Démarrage depuis un volume qui permet de lancer l'instance à partir d'un volume existant, ce qui se fait habituellement avec les gabarits commençant par la lettre p.

  • Nom de l'image : Nom de l'image depuis laquelle démarrer, par exemple ubuntu-server-14.04-amd64 (243.9 Mo).
  • Limites du projet : Dans les barres de progression, la couleur verte montre la proportion des ressources utilisées par l'instance qui sera lancée. La couleur rouge indique que le gabarit utilise plus de ressources que celles allouées au projet. Le bleu montre les ressources utilisées par le projet.
• Onglet Accès et Sécurité
  • Paires de clés : Sélectionnez votre paire de clés SSH.

    S'il n'y a qu'une paire de clés, elle est affichée par défaut. Si vous n'avez pas de paire de clés, reportez-vous à la section Paire de clés SSH plus haut.

• Groupes de sécurité : Assurez-vous que la case default est cochée.

• Onglet Démarrage du réseau : Ne modifiez pas le contenu de ce champ.

  L'information relative aux réseaux sera présentée après le lancement de l'instance.

• Onglet Post-Création : Ne modifiez pas le contenu de ce champ.

  Ici, vous pouvez coller un script cloud-init, par exemple pour automatiquement installer et configurer des logiciels, ajouter des utilisateurs ou définir des clés SSH additionnelles une fois que l'instance est créée; voir la section Accès multiple à une instance de la page OpenStack. Pour plus d'information, voyez la documentation cloudinit (en anglais).

• Onglet Options avancées : Pour l'instant, ne modifiez pas l'option Automatique dans le champ Partitionnement du disque.

Vérifiez le contenu des champs sous chacun des onglets et cliquez sur Démarrer pour créer votre instance. La liste des instances est affichée. La colonne Tâche montre l'état de l'instance qui au début sera probablement Génération. Une fois l'instance générée, l'État de l'alimentation indiquera En fonctionnement. Plusieurs facteurs font varier le temps nécessaire au lancement de l'instance.

Note : Pour créer un service permanent, il est recommandé de démarrer l'instance depuis un volume; voir Configuration d'un serveur de données ou d'un serveur web.

Réseau

Gérer les associations d'IP flottantes (cliquez pour agrandir)

Ajouter une règle (cliquez pour agrandir)

Sous l'onglet Instances se trouve la liste des instances avec les adresses IP correspondantes. Chaque instance a au moins une adresse IP privée, mais certaines instances peuvent aussi avoir une deuxième adresse IP publique.

Adresse IP privée

Lorsque vous créez un projet OpenStack, un réseau local est créé pour vous. Ce réseau sert à la communication des instances entre elles ainsi qu'à la communication des instances avec l'extérieur du projet. Une adresse IP privée ne permet pas l'accès à l'instance en provenance de l'extérieur. Pour chaque instance créée à l'intérieur d'un projet, le réseau lui associe une adresse privée qui lui est propre; cette adresse a le format 192.168.X.Y.

Adresse IP publique

Les adresses IP publiques permettent aux outils et services externes d'entrer en contact avec l'instance, par exemple pour effectuer des tâches de gestion ou pour fournir du contenu web. Les noms de domaines peuvent aussi pointer sur une adresse IP publique.

Si vous faites cet exercice pour la première fois, votre instance locataire n'a pas encore reçu une adresse IP externe. Pour assigner une adresse IP publique à une instance, cliquez sur l'icône ▼ pour dérouler le menu dans la colonne Actions, puis sélectionnez Associer une adresse IP flottante; ceci fait afficher la fenêtre Gérer les Associations d'IP flottantes. Il n'y a qu'un groupe d'adresses publiques et le groupe approprié sera sélectionné par défaut; cliquez sur le bouton Associer. La fenêtre Allouer une IP flottante est affichée et montre l'adresse IP et le port de son NAT; cliquez sur le bouton Allocation d'IP. The Manage Floating IP Associations screen is displayed again, indicating the IP address and the port (or VM) to which it will be associated (or more specifically NATted); click on the Associate button.

Coupe-feu et règles autorisant le protocole SSH

Pour vous connecter à votre instance par SSH, vous devez d'abord autoriser le protocole pour le coupe-feu.

1. Dans le menu de gauche, sélectionnez Accès et Sécurité. Sous l'onglet Groupes de sécurité, sélectionnez le groupe default et cliquez sur le bouton Gérer les règles.
2. Cliquez ensuite sur + Ajouter une règle.
3. Les règles pour SSH sont déjà définies. Sélectionnez SSH dans le menu Règles et laissez CIDR sous Remote.
4. Pour des raisons de sécurité, il est de bonne pratique d'entrer <your-ip>/32 dans le champ CIDR en remplacement de 0.0.0.0/0.

   Si vous ne connaissez pas votre adresse IP courante, vous pouvez l'obtenir en entrant ipv4.icanhazip.com dans votre fureteur.

   Le fait de laisser 0.0.0.0/0 permet l'accès possible par quiconque via SSH, alors que la nouvelle adresse IP limite l'accès à cette nouvelle adresse. Pour permettre l'accès pour d'autres adresses IP, ajoutez des règles SSH pour ces adresses ou indiquez un groupe d'adresses avec cet outil.

5. Enfin, cliquez sur le bouton Ajouter.

Note : Assurez-vous de ne pas supprimer les règles de sécurité par défaut afin d'éviter le mauvais fonctionnement de votre instance (voir Groupesa de sécurité).

Connexion à votre instance par SSH

Retracez la paire de clés que vous avez créée à la première étape, le cas échéant.

Connexion à partir de Linux

Dans cette commande

[name@server ~]$  ssh -i /path/where/your/key/is/my_key.key <user name>@<public IP of your server>

• <user name> est le nom de l'utilisateur qui se connecte; le nom de l'utilisateur par défaut dépend de l'image;
• <public IP of your server> est l'IP publique assignée plus haut.

Ces utilisateurs par défaut possèdent les permissions sudo. Le compte racine est habituellement désactivé.

Connexion à partir de Windows

Voir Connexion avec PuTTY ou Connexion avec MobaXTerm.

Pour plus d'information

• Introduction à Linux, sur comment travailler en ligne de commande sous Linux
• Sécurité des instances virtuelles
• Configuration d'un serveur de données ou d'un serveur web
• Configurations prédéfinies
• OpenStack
• Automating VM creation
• Sauvegarder une instance
• Soutien technique de Calcul Canada

Demande d'accès à une image Windows

Pour créer une instance Windows dans un nuage de Calcul Canada, vous devez d'abord demander l'accès à une image Windows en écrivant à cloud@computecanada.ca.

L'accès à une image Windows Server 2012 et un nom d'utilisateur vous seront fournis; cet accès est valide pour une période d'évaluation de 180 jours. Il pourrait être possible d'associer une licence Windows à une instance créée avec l'image d'évaluation. Calcul Canada ne fournit pas ces licences.

Paire de clés SSH

Créer une paire de clés (cliquez pour agrandir)

Les instances Windows cryptent les mots de passe des comptes administrateur avec une clé publique. La clé privée correspondante sert au décryptage.

Il est recommandé de créer une nouvelle paire de clés avec OpenStack plutôt que d'importer une paire de clés existante. Pour ce faire,

1. Dans le menu de gauche, cliquez sur Accès et Sécurité.
2. Cliquez sur l'onglet Paires de clés.
3. Cliquez sur +Créer une paire de clés; ceci fait afficher la fenêtre de création.
4. Entrez le nom de la paire de clés.
5. Cliquez sur le bouton Créer une paire de clés.
6. Sauvegardez le fichier .pem sur votre disque.

Si vous voulez utiliser une paire de clés existante, consultez d'abord les remarques ci-dessous.

Lancer une instance

Création d'une instance (cliquez pour agrandir)

Pour créer une instance, cliquez sur l'option Instances dans le menu de gauche, puis sur le bouton Lancer une instance.

Le formulaire de création d'une instance est affiché.

• Onglet Détails
  • Zone de disponibilité : Seule la zone nova est disponible; conservez ce nom.
  • Nom de l'instance : Entrez le nom de votre instance en respectant les conventions de nomenclature.
  • Gabarit: Le gabarit détermine les caractéristiques matérielles de l'instance; sélectionnez p2-3gb.

    L'image Windows est plutôt exigeante et nécessite un lecteur amorçable de grande capacité. Les gabarits de type c ont des disques racines de seulement 20Go alors que les gabarits de type p offrent plus de capacité. La mémoire vive du plus petit gabarit de type p est de 1.5Go, ce qui d'expérience n'est pas suffisant pour bien opérer Windows. La performance de l'instance sera meilleure si vous utilisez un gabarit un peu plus grand tel que p2-3gb.

  • Nombre d'instances : Nombre d'instances à créer.
  • Source de démarrage de l'instance : Source utilisée pour lancer l'instance; sélectionnez Démarrage depuis une image (crée un nouveau volume).
  • Nom de l'image : Nom de l'image Windows qui vous est allouée.
  • Taille du périphérique: Taille du disque racine; entrez 30Go ou plus.

    À la fin, le système d'exploitation occupe environ 20Go, mais plus d'espace est requis pour les étapes préparatoires.

  • Supprimer après Terminaison: Si cette case est cochée, le volume créé avec l'instance est supprimé quand l'instance est terminée.

    De façon générale, il n'est pas recommandé de cocher la case puisque le volume peut être supprimé manuellement et que l'instance peut être terminée sans la suppression du volume.

  • Limites du projet : Dans les barres de progression, la couleur verte montre la proportion des ressources utilisées par l'instance qui sera lancée. La couleur rouge indique que le gabarit utilise plus de ressources que celles allouées au projet. Le bleu montre les ressources utilisées par le projet.
• Onglet Accès et Sécurité
  • Paires de clés : Sélectionnez votre paire de clés SSH.

    S'il n'y a qu'une paire de clés, elle est affichée par défaut. Si vous n'avez pas de paire de clés, reportez-vous à la section Paire de clés SSH plus haut.

• Groupes de sécurité : Assurez-vous que la case default est cochée.

• Onglet Démarrage du réseau : Ne modifiez pas le contenu de ce champ. L'information relative aux réseaux sera présentée après le lancement de l'instance.
• Onglet Post-Création : Ne modifiez pas le contenu de ce champ.
• Onglet Options avancées : Ne modifiez pas l'option Automatique dans le champ Partitionnement du disque.

Après avoir vérifié le contenu de tous les champs, cliquez sur Démarrer pour lancer l'instance. La liste des instances est affichée et la colonne Tâche montre la tâche en cours de l'instance; au départ, la colonne Tâche montrera probablement Block Device Mapping. Une fois l'instance créée et le démarrage amorcé, la colonne État de l'alimentation montre En fonctionnement. Pour créer le volume, y copier l'image et amorcer le démarrage, il faudra au moins 10 minutes.

Localisation et licence

Paramètres de localisation (cliquez pour agrandir)

Le premier démarrage de l'instance ne sera pas complété tant que les paramètres de localisation, de langue et de clavier ne sont pas sélectionnés et que vous n'avez pas accepté les conditions de la licence via la console du tableau de bord OpenStack.

Pour faire afficher la console :

1. Dans le menu de gauche, cliquez sur l'option Instances.
2. Cliquez sur le nom de l'instance Windows.
3. Cliquez sur l'onglet Console et attendez que la console soit affichée.
   

Si rien ne s'affiche sur la console, l'écran est peut-être en état de veille; cliquez dans l'écran ou appuyez sur une touche du clavier pour réactiver l'écran.

Comme le curseur est souvent lent à réagir, utilisez plutôt les touches du clavier.

• La touche de tabulation pour sélectionner les champs.
• Les flèches haut et bas pour sélectionner les options.
• Entrez les premières lettres du pays ou de la région pour positionner le menu déroulant près de la sélection.
• Pour terminer, appuyez sur la touche de tabulation jusqu'à ce que le champ next (suivant) soit sélectionné et appuyez sur la touche Entrée.

On vous demandera d'accepter les conditions de la licence.

• Appuyez sur la touche de tabulation jusqu'à ce que le champ I accept soit sélectionné.
• Appuyez sur la touche Entrée.

L'instance redémarrera et la console affichera un écran de connexion avec la date et l'heure (UTC).

Réseau

Gérer les associations d'IP flottantes (cliquez pour agrandir)

Ajouter une règle (cliquez pour agrandir)

Sous l'onglet Instances se trouve la liste des instances avec les adresses IP correspondantes. Chaque instance a au moins une adresse IP privée, mais certaines instances peuvent aussi avoir une deuxième adresse IP publique.

Adresse IP privée

Lorsque vous créez un projet OpenStack, un réseau local est créé pour vous. Ce réseau sert à la communication des instances entre elles ainsi qu'à la communication des instances avec l'extérieur du projet. Une adresse IP privée ne permet pas l'accès à l'instance en provenance de l'extérieur. Pour chaque instance créée à l'intérieur d'un projet, le réseau lui associe une adresse privée qui lui est propre; cette adresse est selon le format 192.168.X.Y.

Adresse IP publique

Les adresses IP publiques permettent aux outils et services externes d'entrer en contact avec l'instance, par exemple pour effectuer des tâches de gestion ou pour fournir du contenu web. Les noms de domaines peuvent aussi pointer sur une adresse IP publique.

Pour assigner une adresse IP publique à une instance, cliquez sur l'icône ▼ pour dérouler le menu dans la colonne Actions, puis sélectionnez Associer une adresse IP flottante. Si vous faites cet exercice pour la première fois, votre projet n'a pas encore reçu une adresse IP externe. Vous devez appuyer sur le bouton +; ceci fait afficher la fenêtre Gérer les Associations d'IP flottantes. Il n'y a qu'un groupe d'adresses publiques et le groupe approprié sera sélectionné par défaut; cliquez sur le bouton Associer. La fenêtre Allouer une IP flottante est affichée et montre l'adresse IP et le port de son NAT; cliquez sur le bouton Allocation d'IP.

Coupe-feu et règles autorisant le protocole RDP (Remote Desktop Protocol)

Pour vous connecter à votre instance avec un client à distance, vous devez d'abord autoriser le protocole RDP (Remote Desktop Protocol).

1. Dans le menu de gauche, sélectionnez Accès et Sécurité. Sous l'onglet Groupes de sécurité, sélectionnez le groupe default et cliquez sur le bouton Gérer les règles.
2. Dans la fenêtre de gestion des règles, cliquez sur le bouton +Ajouter une règle.
3. Il existe une règle prédéfinie pour RDP; sélectionnez cette règle dans le menu déroulant du champ Règle; dans le champ Distant, laissez CIDR.
4. Dans le champ CIDR, remplacez 0.0.0.0/0 par votre adresse IP.

   Si vous ne connaissez pas votre adresse IP courante, vous pouvez l'obtenir en entrant ipv4.icanhazip.com dans votre fureteur. Le fait de laisser 0.0.0.0/0 permet l'accès possible à votre instance par quiconque et la rend vulnérable aux attaques par force brute. Pour permettre l'accès pour d'autres adresses IP, ajoutez des règles pour ces adresses ou indiquez un groupe d'adresses avec cet outil.

   Si vous laissez 0.0.0.0/0 dans le champ CIDR, l'administrateur de la ressource peut bloquer tout accès à votre instance jusqu'à ce que les règles de sécurité soient adéquates.

5. Enfin, cliquez sur le bouton Ajoutez.

Connexion bureau à distance

Récupérer le mot de passe de l'instance Windows (cliquez pour agrandir)

Client Windows (cliquez pour agrandir)

Client Remmina dans Ubuntu (cliquez pour agrandir)

Pour se connecter à une instance Windows, nous utiliserons un client connecté à distance. Pour ce faire, nous devons fournir une adresse IP flottante, un nom d'utilisateur et un mot de passe.

Récupérer le mot de passe

Pour récupérer le mot de passe,

1. Dans le menu de gauche, cliquez sur Instances.
2. Dans le menu déroulant pour l'instance, sélectionnez Récupérer le mot de passe.

Le mot de passe a été crypté avec la clé publique que vous avez sélectionnée à la création de l'instance. Pour le décrypter,

1. Faites afficher le fichier où se trouve votre clé privée.

   Si vous avez suivi les directives pour les paires de clés SSH, une clé privée correspondant à la clé publique devrait être enregistrée sur votre ordinateur; le nom a le suffixe .pem.

2. Sélectionnez la clé privée.
3. Cliquez sur Déchiffrer le mot de passe.

Ne fermez pas cette fenêtre puisque nous utiliserons le mot de passe dans la prochaine étape. Le mot de passe peut être récupéré à nouveau en répétant ce processus.

À partir d'un client Windows

Plusieurs versions de Windows offrent par défaut la connexion Bureau à distance; si vous ne trouvez pas cette fonctionnalité, vous pouvez l'installer à partir de ce site de Microsoft (l'installation est gratuite).

Lancez la connexion Bureau à distance et connectez-vous à votre instance Windows.

1. Dans le champ Ordinateur, entrez l'adresse IP publique.
2. Entrez votre Nom d'utilisateur.
3. Cliquez sur le bouton Connexion dans le bas de la fenêtre.
4. À l'invite, entrez le mot de passe récupéré à l'étape précédente.
5. Cliquez sur OK.

Vous recevrez probablement un message indiquant que l'identité de l'ordinateur distant ne peut pas être vérifiée et vous demandant si vous voulez quand même poursuivre; ceci est normal, alors répondez Oui. Votre instance Windows sera affichée dans la fenêtre du client de connexion au bureau à distance.

[ À compléter ] TODO: The specific certificate error is "The certificate is not from a trusted certifying authority". Is seeing this alert really normal? Do we want to register the windows image certificate with a signing authority? Could we use letsencrypt or should we just ignore this issue?

À partir d'un client Linux

Sous Linux, vous devez avoir un client de connexion à distance. Plusieurs clients sont disponibles; nous recommandons cependant Remmina qui semble bien fonctionner lorsque testé avec Ubuntu. Les directives pour Remmina et d'autres systèmes Linux dont Ubuntu, Debian et Fedora se trouvent sur cette page web.

Une fois la connexion établie avec votre instance Windows,

1. Cliquez sur Create a new remote desktop file (fichier avec le symbole plus (+) vert).

   Une fenêtre semblable à celle montrée à droite devrait paraître.

2. Dans le champ Server, entrez l'adresse IP publique de votre instance Windows.
3. Dans le champ User name, entrez votre nom d'utilisateur.
4. Dans le champ Password, entrez le mot de passe obtenu à l'étape précédente.
5. Cliquez sur Connect.

À partir d'un client Mac

[ À compléter ]

Licence

[ À compléter ] TODO: need to provide information which would be helpful for users to know what path to take to get a license. Should cover things like:

• Where to go to get a license
• What kind of license do I need/what licenses will work in the cloud
• How to apply my license to my existing cloud VM
• How to apply it to a new VM (if that is different than above bullet item)

Remarques à propos des paires de clés

Il existe différents formats pour les fichiers de clés et vous avez la possibilité de protéger ou non vos clés privées à l'aide de phrases de passe. Pour pouvoir décrypter le mot de passe pour votre instance Windows, votre clé privée doit être au format OpenSSH et ne pas être protégée avec une phrase de passe. Si votre paire de clés a été créée par OpenStack et que vous avez téléchargé le fichier de clés .pem, la clé privée sera déjà au format requis. Si vous avez créé votre paire de clés avec la commande ssh-keygen et que vous n'avez pas défini une phrase de passe, le format sera aussi fort probablement correct. Pour plus d'information sur les paires de clés, voyez la page Clés SSH.

Voici un exemple d'une clé privé appropriée au format OpenSSH, sans phrase de passe :

MIIEowIBAAKCAQEAvMP5ziiOw9b5XMZUphATDZdnbFPCT0TKZwOI9qRNBJmfeLfe
...
DrzXjRpzmTb4D1+wTG1u7ucpY04Q3KHmX11YJxXcykq4l5jRZTKj
-----END RSA PRIVATE KEY-----

Au centre, ... remplace plusieurs lignes de caractères semblables à celle qui précède et celle qui suit. Les deux exemples de clés privées ci-dessous ne fonctionneront pas pour des instances Windows avec OpenStack.

Format OpenSSH avec phrase de passe ː

Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,CA51DBE454ACC89A

0oXD+6j5aiWIwrNMiGYDqoD0OqlURfKeQhy//FwHuyuithOSI8uwjSUqV9BM9vi1
...
8XaBb/ALqh8zLQOXEUuTstlMWXnhzBWLvu7tob0QN7pI16g3CXuOag==
-----END RSA PRIVATE KEY-----

Format ssh.com sans phrase de passe :

Comment: "rsa-key-20171130"
P2/56wAAA+wAAAA3aWYtbW9kbntzaWdue3JzYS1wa2NzMS1zaGExfSxlbmNyeXB0e3JzYS
...
QJX/qgGp0=
---- END SSH2 ENCRYPTED PRIVATE KEY ----

Pour plus d'information

• Sécurité des instances virtuelles
• Création d'une instance sous Linux
• OpenStack
• Automating VM creation
• Backing up your VM
• Soutien technique de Calcul Canada

</tab>