Cloud Quick Start/fr: Difference between revisions
No edit summary |
No edit summary |
||
Line 318: | Line 318: | ||
---- END SSH2 ENCRYPTED PRIVATE KEY ---- | ---- END SSH2 ENCRYPTED PRIVATE KEY ---- | ||
=Where to go from here= | |||
* learn about [[security considerations when running a VM]] | |||
* learn about [[creating a Linux VM]] | |||
* learn more about working with [[OpenStack]] | |||
* [[automating VM creation]] | |||
* [[backing up your VM]] | |||
* For questions about the Compute Canada cloud service send an e-mail to [mailto:cloud@computecanada.ca cloud@computecanada.ca] | |||
</tab> | |||
=Pour plus d'information= | =Pour plus d'information= | ||
* [[Security considerations when_running a VM/fr|Sécurité des instances virtuelles]] | * [[Security considerations when_running a VM/fr|Sécurité des instances virtuelles]] | ||
Line 327: | Line 334: | ||
* [[Technical support/fr|Soutien technique]] de Calcul Canada | * [[Technical support/fr|Soutien technique]] de Calcul Canada | ||
</tab> | </tab> | ||
<!-- | |||
<tab name="Windows License Pilot"> | |||
{{Draft}} | |||
</tabs> | </tabs> | ||
Compute Canada is currently running a Windows pilot program where a limited number of licensed Windows VMs are provided for users by Compute Canada for a limited period of time. The trial period is approximately until the end of summer 2020. | Compute Canada is currently running a Windows pilot program where a limited number of licensed Windows VMs are provided for users by Compute Canada for a limited period of time. The trial period is approximately until the end of summer 2020. |
Revision as of 21:42, 9 March 2020
Page enfant de Cloud
Si vous n'avez pas encore de projet dans le nuage, voyez Obtenir un projet dans l'environnement infonuagique.
Fureteurs compatibles
L'interface web d'OpenStack (tableau de bord Horizon) fonctionne correctement avec Firefox, Chrome et d'autres fureteurs, mais dans certains cas, le message Danger: There was an error submitting the form. Please try again.
laisse entendre que votre fureteur n'est pas compatible. Le cas se produit avec certaines versions de Safari sur Mac; une mise à jour de Safari pourrait résoudre le problème. Si vous recevez un tel message d'erreur, essayez plutôt avec un fureteur compatible avant de contacter le soutien technique pour le service infonuagique.
Créer votre première instance
Connectez-vous d'abord au nuage dans lequel vous avez un projet; pour la liste des URL avec lesquelles vous pouvez vous connecter, voyez Utiliser les ressources infonuagiques.
À l’ouverture de la session, la vue d'ensemble affiche un aperçu de vos ressources.
Paires de clés SSH
À la création d’une instance (les termes machine virtuelle ou VM sont parfois utilisés), ni l’administrateur ni le compte racine sur votre serveur n’ont de mot de passe. Pour des raisons de sécurité, votre nouvelle instance est protégée d'un accès non autorisé qui serait possible par un mot de passe par défaut.
En créant une instance, OpenStack lui attribue une clé publique SSH : cette paire de clés SSH est le seul moyen d'accéder à la nouvelle instance. La clé publique SSH peut soit être générée par OpenStack, soit provenir d'une paire de clés que vous avez préalablement créée pour une autre instance. S'il s'agit d'une machine distante, la clé publique SSH doit être importée dans OpenStack pour servir à la nouvelle instance. OpenStack peut créer une paire de clés à l'aide de la clé privée téléchargée sur votre poste local.
Les paires de clés sont définies par l'option Accès et Sécurité du menu de gauche, sous l'onglet Paires de clés. Sous cet onglet, il est possible de créer ou d'importer une paire de clés.
Importer une paire de clés
- Cliquez sur Importer une paire de clés.
- Entrez le nom de votre paire de clés.
- Collez votre clé publique (seules les clés de type RSA sont présentement supportées); elle ne doit contenir aucun caractère de fin de ligne ou aucun espace de trop.
- Cliquez sur le bouton Importer une paire de clés au bas de la fenêtre.
Créer une paire de clés
- Cliquez sur Créer une paire de clés.
- Entrez le nom de la paire de clés.
- Cliquez sur le bouton Créer une paire de clés au bas de la fenêtre.
- Sauvergardez <key name>.pem sur votre disque.
|
Lancer une instance
Pour créer une instance, cliquez sur l'option Instances dans le menu de gauche, puis sur le bouton Lancer une instance.
Le formulaire de création d'une instance est affiché. À titre d'exemple, vous pouvez utiliser les mêmes valeurs que dans la capture d'écran.
- Onglet Détails
- Zone de disponibilité : Seule la zone nova est disponible; conservez ce nom.
- Nom de l'instance : Entrez le nom de votre instance en respectant les conventions de nomenclature (en anglais).
- Gabarit : Le gabarit détermine les caractéristiques matérielles de l'instance. Pour un premier essai, sélectionnez le gabarit c1-3.75gb-36 sur le nuage East ou c1-7.5gb-30 sur le nuage de l'Ouest. Pour plus d'information, consultez Gabarits d'instances. Note ː Avec un gabarit de type p, choisissez Démarrer depuis une image (crée un volume) pour le champ Source de démarrage de l'instance.
- Nombre d'instances : Nombre d'instances à créer.
- Source de démarrage de l'instance : Source utilisée pour lancer l'instance.
Démarrage depuis une image permet de lancer l'instance à partir d'une image existante. Une autre option souvent utilisée est Démarrage depuis un volume qui permet de lancer l'instance à partir d'un volume existant, ce qui se fait habituellement avec les gabarits commençant par la lettre p.
- Nom de l'image : Nom de l'image depuis laquelle démarrer, par exemple ubuntu-server-14.04-amd64 (243.9 Mo).
- Limites du projet : Dans les barres de progression, la couleur verte montre la proportion des ressources utilisées par l'instance qui sera lancée. La couleur rouge indique que le gabarit utilise plus de ressources que celles allouées au projet. Le bleu montre les ressources utilisées par le projet.
- Onglet Accès et Sécurité
- Paires de clés : Sélectionnez votre paire de clés SSH.
S'il n'y a qu'une paire de clés, elle est affichée par défaut. Si vous n'avez pas de paire de clés, reportez-vous à la section Paire de clés SSH plus haut.
- Paires de clés : Sélectionnez votre paire de clés SSH.
- Groupes de sécurité : Assurez-vous que la case default est cochée.
- Onglet Démarrage du réseau : Ne modifiez pas le contenu de ce champ.
L'information relative aux réseaux sera présentée après le lancement de l'instance.
- Onglet Post-Création : Ne modifiez pas le contenu de ce champ.
Ici, vous pouvez coller un script cloud-init, par exemple pour automatiquement installer et configurer des logiciels, ajouter des utilisateurs ou définir des clés SSH additionnelles une fois que l'instance est créée; voir la section Accès multiple à une instance de la page OpenStack. Pour plus d'information, voyez la documentation cloudinit (en anglais).
- Onglet Options avancées : Pour l'instant, ne modifiez pas l'option Automatique dans le champ Partitionnement du disque.
Vérifiez le contenu des champs sous chacun des onglets et cliquez sur Démarrer pour créer votre instance. La liste des instances est affichée. La colonne Tâche montre l'état de l'instance qui au début sera probablement Génération. Une fois l'instance générée, l'État de l'alimentation indiquera En fonctionnement. Plusieurs facteurs font varier le temps nécessaire au lancement de l'instance.
Note : Pour créer un service permanent, il est recommandé de démarrer l'instance depuis un volume; voir Configuration d'un serveur de données ou d'un serveur web.
Réseau
Sous l'onglet Instances se trouve la liste des instances avec les adresses IP correspondantes. Chaque instance a au moins une adresse IP privée, mais certaines instances peuvent aussi avoir une deuxième adresse IP publique.
Adresse IP privée
Lorsque vous créez un projet OpenStack, un réseau local est créé pour vous. Ce réseau sert à la communication des instances entre elles ainsi qu'à la communication des instances avec l'extérieur du projet. Une adresse IP privée ne permet pas l'accès à l'instance en provenance de l'extérieur. Pour chaque instance créée à l'intérieur d'un projet, le réseau lui associe une adresse privée qui lui est propre; cette adresse a le format 192.168.X.Y
.
Adresse IP publique
Les adresses IP publiques permettent aux outils et services externes d'entrer en contact avec l'instance, par exemple pour effectuer des tâches de gestion ou pour fournir du contenu web. Les noms de domaines peuvent aussi pointer sur une adresse IP publique.
Si vous faites cet exercice pour la première fois, votre instance locataire n'a pas encore reçu une adresse IP externe. Pour assigner une adresse IP publique à une instance, cliquez sur l'icône ▼ pour dérouler le menu dans la colonne Actions, puis sélectionnez Associer une adresse IP flottante; ceci fait afficher la fenêtre Gérer les Associations d'IP flottantes. Il n'y a qu'un groupe d'adresses publiques et le groupe approprié sera sélectionné par défaut; cliquez sur le bouton Associer. La fenêtre Allouer une IP flottante est affichée et montre l'adresse IP et le port de son NAT; cliquez sur le bouton Allocation d'IP. The Manage Floating IP Associations screen is displayed again, indicating the IP address and the port (or VM) to which it will be associated (or more specifically NATted); click on the Associate button.
Coupe-feu et règles autorisant le protocole SSH
Pour vous connecter à votre instance par SSH, vous devez d'abord autoriser le protocole pour le coupe-feu.
- Dans le menu de gauche, sélectionnez Accès et Sécurité. Sous l'onglet Groupes de sécurité, sélectionnez le groupe default et cliquez sur le bouton Gérer les règles.
- Cliquez ensuite sur + Ajouter une règle.
- Les règles pour SSH sont déjà définies. Sélectionnez SSH dans le menu Règles et laissez CIDR sous Remote.
- Pour des raisons de sécurité, il est de bonne pratique d'entrer
<your-ip>/32
dans le champ CIDR en remplacement de0.0.0.0/0
.Si vous ne connaissez pas votre adresse IP courante, vous pouvez l'obtenir en entrant ipv4.icanhazip.com dans votre fureteur.
Le fait de laisser
0.0.0.0/0
permet l'accès possible par quiconque via SSH, alors que la nouvelle adresse IP limite l'accès à cette nouvelle adresse. Pour permettre l'accès pour d'autres adresses IP, ajoutez des règles SSH pour ces adresses ou indiquez un groupe d'adresses avec cet outil. - Enfin, cliquez sur le bouton Ajouter.
Note : Assurez-vous de ne pas supprimer les règles de sécurité par défaut afin d'éviter le mauvais fonctionnement de votre instance (voir Groupesa de sécurité).
Connexion à votre instance par SSH
Retracez la paire de clés que vous avez créée à la première étape, le cas échéant.
Connexion à partir de Linux
Dans cette commande
[name@server ~]$ ssh -i /path/where/your/key/is/my_key.key <user name>@<public IP of your server>
<user name>
est le nom de l'utilisateur qui se connecte; le nom de l'utilisateur par défaut dépend de l'image;<public IP of your server>
est l'IP publique assignée plus haut.
Distribution | <nom de l'utilisateur>
|
---|---|
Debian | debian |
Ubuntu | ubuntu |
CentOS | centos |
Fedora | fedora |
Ces utilisateurs par défaut possèdent les permissions sudo. Le compte racine est habituellement désactivé.
Connexion à partir de Windows
Voir Connexion avec PuTTY ou Connexion avec MobaXTerm.
Pour plus d'information
- Introduction à Linux, sur comment travailler en ligne de commande sous Linux
- Sécurité des instances virtuelles
- Configuration d'un serveur de données ou d'un serveur web
- Configurations prédéfinies
- OpenStack
- Automating VM creation
- Sauvegarder une instance
- Soutien technique de Calcul Canada
Demande d'accès à une image Windows
Pour créer une instance Windows dans un nuage de Calcul Canada, vous devez d'abord demander l'accès à une image Windows en écrivant à cloud@computecanada.ca.
L'accès à une image Windows Server 2012 et un nom d'utilisateur vous seront fournis; cet accès est valide pour une période d'évaluation de 180 jours. Il pourrait être possible d'associer une licence Windows à une instance créée avec l'image d'évaluation. Calcul Canada ne fournit pas ces licences.
Paire de clés SSH
Les instances Windows cryptent les mots de passe des comptes administrateur avec une clé publique. La clé privée correspondante sert au décryptage.
Il est recommandé de créer une nouvelle paire de clés avec OpenStack plutôt que d'importer une paire de clés existante. Pour ce faire,
- Dans le menu de gauche, cliquez sur Accès et Sécurité.
- Cliquez sur l'onglet Paires de clés.
- Cliquez sur +Créer une paire de clés; ceci fait afficher la fenêtre de création.
- Entrez le nom de la paire de clés.
- Cliquez sur le bouton Créer une paire de clés.
- Sauvegardez le fichier .pem sur votre disque.
Si vous voulez utiliser une paire de clés existante, consultez d'abord les remarques ci-dessous.
Lancer une instance
Pour créer une instance, cliquez sur l'option Instances dans le menu de gauche, puis sur le bouton Lancer une instance.
Le formulaire de création d'une instance est affiché.
- Onglet Détails
- Zone de disponibilité : Seule la zone nova est disponible; conservez ce nom.
- Nom de l'instance : Entrez le nom de votre instance en respectant les conventions de nomenclature.
- Gabarit: Le gabarit détermine les caractéristiques matérielles de l'instance; sélectionnez p2-3gb.
L'image Windows est plutôt exigeante et nécessite un lecteur amorçable de grande capacité. Les gabarits de type c ont des disques racines de seulement 20Go alors que les gabarits de type p offrent plus de capacité. La mémoire vive du plus petit gabarit de type p est de 1.5Go, ce qui d'expérience n'est pas suffisant pour bien opérer Windows. La performance de l'instance sera meilleure si vous utilisez un gabarit un peu plus grand tel que p2-3gb.
- Nombre d'instances : Nombre d'instances à créer.
- Source de démarrage de l'instance : Source utilisée pour lancer l'instance; sélectionnez Démarrage depuis une image (crée un nouveau volume).
- Nom de l'image : Nom de l'image Windows qui vous est allouée.
- Taille du périphérique: Taille du disque racine; entrez 30Go ou plus.
À la fin, le système d'exploitation occupe environ 20Go, mais plus d'espace est requis pour les étapes préparatoires.
- Supprimer après Terminaison: Si cette case est cochée, le volume créé avec l'instance est supprimé quand l'instance est terminée.
De façon générale, il n'est pas recommandé de cocher la case puisque le volume peut être supprimé manuellement et que l'instance peut être terminée sans la suppression du volume.
- Limites du projet : Dans les barres de progression, la couleur verte montre la proportion des ressources utilisées par l'instance qui sera lancée. La couleur rouge indique que le gabarit utilise plus de ressources que celles allouées au projet. Le bleu montre les ressources utilisées par le projet.
- Onglet Accès et Sécurité
- Paires de clés : Sélectionnez votre paire de clés SSH.
S'il n'y a qu'une paire de clés, elle est affichée par défaut. Si vous n'avez pas de paire de clés, reportez-vous à la section Paire de clés SSH plus haut.
- Paires de clés : Sélectionnez votre paire de clés SSH.
- Groupes de sécurité : Assurez-vous que la case default est cochée.
- Onglet Démarrage du réseau : Ne modifiez pas le contenu de ce champ. L'information relative aux réseaux sera présentée après le lancement de l'instance.
- Onglet Post-Création : Ne modifiez pas le contenu de ce champ.
- Onglet Options avancées : Ne modifiez pas l'option Automatique dans le champ Partitionnement du disque.
Après avoir vérifié le contenu de tous les champs, cliquez sur Démarrer pour lancer l'instance. La liste des instances est affichée et la colonne Tâche montre la tâche en cours de l'instance; au départ, la colonne Tâche montrera probablement Block Device Mapping. Une fois l'instance créée et le démarrage amorcé, la colonne État de l'alimentation montre En fonctionnement. Pour créer le volume, y copier l'image et amorcer le démarrage, il faudra au moins 10 minutes.
Localisation et licence
Le premier démarrage de l'instance ne sera pas complété tant que les paramètres de localisation, de langue et de clavier ne sont pas sélectionnés et que vous n'avez pas accepté les conditions de la licence via la console du tableau de bord OpenStack.
Pour faire afficher la console :
- Dans le menu de gauche, cliquez sur l'option Instances.
- Cliquez sur le nom de l'instance Windows.
- Cliquez sur l'onglet Console et attendez que la console soit affichée.
Si rien ne s'affiche sur la console, l'écran est peut-être en état de veille; cliquez dans l'écran ou appuyez sur une touche du clavier pour réactiver l'écran.
Comme le curseur est souvent lent à réagir, utilisez plutôt les touches du clavier.
- La touche de tabulation pour sélectionner les champs.
- Les flèches haut et bas pour sélectionner les options.
- Entrez les premières lettres du pays ou de la région pour positionner le menu déroulant près de la sélection.
- Pour terminer, appuyez sur la touche de tabulation jusqu'à ce que le champ next (suivant) soit sélectionné et appuyez sur la touche Entrée.
On vous demandera d'accepter les conditions de la licence.
- Appuyez sur la touche de tabulation jusqu'à ce que le champ I accept soit sélectionné.
- Appuyez sur la touche Entrée.
L'instance redémarrera et la console affichera un écran de connexion avec la date et l'heure (UTC).
Réseau
Sous l'onglet Instances se trouve la liste des instances avec les adresses IP correspondantes. Chaque instance a au moins une adresse IP privée, mais certaines instances peuvent aussi avoir une deuxième adresse IP publique.
Adresse IP privée
Lorsque vous créez un projet OpenStack, un réseau local est créé pour vous. Ce réseau sert à la communication des instances entre elles ainsi qu'à la communication des instances avec l'extérieur du projet. Une adresse IP privée ne permet pas l'accès à l'instance en provenance de l'extérieur. Pour chaque instance créée à l'intérieur d'un projet, le réseau lui associe une adresse privée qui lui est propre; cette adresse est selon le format 192.168.X.Y
.
Adresse IP publique
Les adresses IP publiques permettent aux outils et services externes d'entrer en contact avec l'instance, par exemple pour effectuer des tâches de gestion ou pour fournir du contenu web. Les noms de domaines peuvent aussi pointer sur une adresse IP publique.
Pour assigner une adresse IP publique à une instance, cliquez sur l'icône ▼ pour dérouler le menu dans la colonne Actions, puis sélectionnez Associer une adresse IP flottante. Si vous faites cet exercice pour la première fois, votre projet n'a pas encore reçu une adresse IP externe. Vous devez appuyer sur le bouton +; ceci fait afficher la fenêtre Gérer les Associations d'IP flottantes. Il n'y a qu'un groupe d'adresses publiques et le groupe approprié sera sélectionné par défaut; cliquez sur le bouton Associer. La fenêtre Allouer une IP flottante est affichée et montre l'adresse IP et le port de son NAT; cliquez sur le bouton Allocation d'IP.
Coupe-feu et règles autorisant le protocole RDP (Remote Desktop Protocol)
Pour vous connecter à votre instance avec un client à distance, vous devez d'abord autoriser le protocole RDP (Remote Desktop Protocol).
- Dans le menu de gauche, sélectionnez Accès et Sécurité. Sous l'onglet Groupes de sécurité, sélectionnez le groupe default et cliquez sur le bouton Gérer les règles.
- Dans la fenêtre de gestion des règles, cliquez sur le bouton +Ajouter une règle.
- Il existe une règle prédéfinie pour RDP; sélectionnez cette règle dans le menu déroulant du champ Règle; dans le champ Distant, laissez CIDR.
- Dans le champ CIDR, remplacez
0.0.0.0/0
par votre adresse IP.Si vous ne connaissez pas votre adresse IP courante, vous pouvez l'obtenir en entrant ipv4.icanhazip.com dans votre fureteur. Le fait de laisser
0.0.0.0/0
permet l'accès possible à votre instance par quiconque et la rend vulnérable aux attaques par force brute. Pour permettre l'accès pour d'autres adresses IP, ajoutez des règles pour ces adresses ou indiquez un groupe d'adresses avec cet outil.Si vous laissez
0.0.0.0/0
dans le champ CIDR, l'administrateur de la ressource peut bloquer tout accès à votre instance jusqu'à ce que les règles de sécurité soient adéquates. - Enfin, cliquez sur le bouton Ajoutez.
Connexion bureau à distance
Pour se connecter à une instance Windows, nous utiliserons un client connecté à distance. Pour ce faire, nous devons fournir une adresse IP flottante, un nom d'utilisateur et un mot de passe.
Récupérer le mot de passe
Pour récupérer le mot de passe,
- Dans le menu de gauche, cliquez sur Instances.
- Dans le menu déroulant pour l'instance, sélectionnez Récupérer le mot de passe.
Le mot de passe a été crypté avec la clé publique que vous avez sélectionnée à la création de l'instance. Pour le décrypter,
- Faites afficher le fichier où se trouve votre clé privée.
Si vous avez suivi les directives pour les paires de clés SSH, une clé privée correspondant à la clé publique devrait être enregistrée sur votre ordinateur; le nom a le suffixe .pem.
- Sélectionnez la clé privée.
- Cliquez sur Déchiffrer le mot de passe.
Ne fermez pas cette fenêtre puisque nous utiliserons le mot de passe dans la prochaine étape. Le mot de passe peut être récupéré à nouveau en répétant ce processus.
À partir d'un client Windows
Plusieurs versions de Windows offrent par défaut la connexion Bureau à distance; si vous ne trouvez pas cette fonctionnalité, vous pouvez l'installer à partir de ce site de Microsoft (l'installation est gratuite).
Lancez la connexion Bureau à distance et connectez-vous à votre instance Windows.
- Dans le champ Ordinateur, entrez l'adresse IP publique.
- Entrez votre Nom d'utilisateur.
- Cliquez sur le bouton Connexion dans le bas de la fenêtre.
- À l'invite, entrez le mot de passe récupéré à l'étape précédente.
- Cliquez sur OK.
Vous recevrez probablement un message indiquant que l'identité de l'ordinateur distant ne peut pas être vérifiée et vous demandant si vous voulez quand même poursuivre; ceci est normal, alors répondez Oui. Votre instance Windows sera affichée dans la fenêtre du client de connexion au bureau à distance.
[ À compléter ] TODO: The specific certificate error is "The certificate is not from a trusted certifying authority". Is seeing this alert really normal? Do we want to register the windows image certificate with a signing authority? Could we use letsencrypt or should we just ignore this issue?
À partir d'un client Linux
Sous Linux, vous devez avoir un client de connexion à distance. Plusieurs clients sont disponibles; nous recommandons cependant Remmina qui semble bien fonctionner lorsque testé avec Ubuntu. Les directives pour Remmina et d'autres systèmes Linux dont Ubuntu, Debian et Fedora se trouvent sur cette page web.
Une fois la connexion établie avec votre instance Windows,
- Cliquez sur Create a new remote desktop file (fichier avec le symbole plus (+) vert).
Une fenêtre semblable à celle montrée à droite devrait paraître.
- Dans le champ Server, entrez l'adresse IP publique de votre instance Windows.
- Dans le champ User name, entrez votre nom d'utilisateur.
- Dans le champ Password, entrez le mot de passe obtenu à l'étape précédente.
- Cliquez sur Connect.
À partir d'un client Mac
[ À compléter ]
Licence
[ À compléter ] TODO: need to provide information which would be helpful for users to know what path to take to get a license. Should cover things like:
- Where to go to get a license
- What kind of license do I need/what licenses will work in the cloud
- How to apply my license to my existing cloud VM
- How to apply it to a new VM (if that is different than above bullet item)
Remarques à propos des paires de clés
Il existe différents formats pour les fichiers de clés et vous avez la possibilité de protéger ou non vos clés privées à l'aide de phrases de passe. Pour pouvoir décrypter le mot de passe pour votre instance Windows, votre clé privée doit être au format OpenSSH et ne pas être protégée avec une phrase de passe. Si votre paire de clés a été créée par OpenStack et que vous avez téléchargé le fichier de clés .pem
, la clé privée sera déjà au format requis. Si vous avez créé votre paire de clés avec la commande ssh-keygen
et que vous n'avez pas défini une phrase de passe, le format sera aussi fort probablement correct. Pour plus d'information sur les paires de clés, voyez la page Clés SSH.
Voici un exemple d'une clé privé appropriée au format OpenSSH, sans phrase de passe :
BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEAvMP5ziiOw9b5XMZUphATDZdnbFPCT0TKZwOI9qRNBJmfeLfe ... DrzXjRpzmTb4D1+wTG1u7ucpY04Q3KHmX11YJxXcykq4l5jRZTKj -----END RSA PRIVATE KEY-----
Au centre, ...
remplace plusieurs lignes de caractères semblables à celle qui précède et celle qui suit. Les deux exemples de clés privées ci-dessous ne fonctionneront pas pour des instances Windows avec OpenStack.
Format OpenSSH avec phrase de passe ː
BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,CA51DBE454ACC89A 0oXD+6j5aiWIwrNMiGYDqoD0OqlURfKeQhy//FwHuyuithOSI8uwjSUqV9BM9vi1 ... 8XaBb/ALqh8zLQOXEUuTstlMWXnhzBWLvu7tob0QN7pI16g3CXuOag== -----END RSA PRIVATE KEY-----
Format ssh.com sans phrase de passe :
BEGIN SSH2 ENCRYPTED PRIVATE KEY ----
Comment: "rsa-key-20171130" P2/56wAAA+wAAAA3aWYtbW9kbntzaWdue3JzYS1wa2NzMS1zaGExfSxlbmNyeXB0e3JzYS ... QJX/qgGp0= ---- END SSH2 ENCRYPTED PRIVATE KEY ----
Where to go from here
- learn about security considerations when running a VM
- learn about creating a Linux VM
- learn more about working with OpenStack
- automating VM creation
- backing up your VM
- For questions about the Compute Canada cloud service send an e-mail to cloud@computecanada.ca
Pour plus d'information
- Sécurité des instances virtuelles
- Création d'une instance sous Linux
- OpenStack
- Automating VM creation
- Backing up your VM
- Soutien technique de Calcul Canada
</tab>
Compute Canada is currently running a Windows pilot program where a limited number of licensed Windows VMs are provided for users by Compute Canada for a limited period of time. The trial period is approximately until the end of summer 2020.
Before you begin participating in this pilot you should know the following conditions:
- This is a pilot program. While we expect access to continue and service to be fairly smooth it may turn out that neither is true.
- Support by the National Cloud Team is best-effort only.
- The pilot is expected to last until August/September 2020. After this time the service may continue.
- There is no cost to participate in the pilot. It is not known if the service will continue beyond the pilot period nor what the future cost will be, if any.
- Participants are not allowed to directly add local user accounts to their VMs. The licensing requirements require that the Cloud National Team reports the number of users to Microsoft on a monthly basis and directly adding accounts will make this difficult.
- Participants are required to respond to questions about how they are using the system, such as the software installed, their satisfaction with the system, and suggestions they may have for the future.
Request access to the Windows pilot
To request access to the Windows pilot send an email to cloud@computecanada.ca acknowledging that you understand and agree to the conditions of the pilot (see above). You will be provided access to a Windows 2019 Dataceter image, a windows flavor to ensure the Windows VM is created on a licensed node, and a username to use when connecting.
SSH key pair
Windows VMs encrypt the administrative account password with a public key. The matching private key decrypts the password.
We recommend creating a new key pair within the OpenStack dashboard rather than importing an existing key pair. To create a new key pairː
- Click on Access & Security from the left menu.
- Select the Key Pairs tab.
- Click on ; the Create Key Pair window is displayed.
- Give your key pair a name.
- Click Create Key Pair button.
- Save the <key name>.pem file on your local drive.
If you would like to use an existing key pair with your Windows VM see the comments on key pairs below.
Launching a VM
To create a virtual machine, click on the Instances menu item on the left, then click on
A form is displayed where you define your virtual machine.
- Details tab
- Availability Zone: There is only one zone; do not change its name.
- Instance Name: Enter a name for your virtual machine. It is best to follow the rules for valid host names.
- Flavor: The flavor defines virtual machine hardware specifications; choose a flavor begining with 'windows' (e.g. 'windows-c16-32gb-186'). At least one 'windows' flavor should have been provided to your project when you joined the pilot.
- Instance Count: Number of virtual machines to create.
- Instance Boot Source: What source should be used to boot the VM; choose Boot from Image (creates new volume).
- Image Name: select the Windows image name you were provided.
- Device Size: The size of the root drive; enter 30GB or more.
The final operating system occupies approximately 20 GB of space, though more is needed during setup.
- Delete on Terminate: If this box is checked the volume that is created with the VM will be deleted when the VM is terminated.
It is generally recommended not to check this box as the volume can be deleted manually if desired and allows the VM to be terminated without deleting the volume.
- Project Limits: The green bars reflect the fraction of your available resources that will be consumed by the VM you are about to launch. If the bars become red, the flavor chosen will consume more resources than your project has available. Blue bars indicate any existing resources your project may be using.
- Access & Security tab
- Key pair: Select your SSH key pair.
If you have only one, it is selected by default. If you do not have a key pair, please see above.
- Security Groups: Ensure the default security group is checked.
- Key pair: Select your SSH key pair.
- Networking tab: Do not change this now. Networking will be discussed later, after you have launched a virtual machine.
- Post-Creation tab: Do not change this now.
- Advanced Options tab: Leave Disk Partition on Automatic for now.
Once you have reviewed all the tabs and defined your virtual machine, click on the Launch button and your virtual machine will be created. The Instances list will be displayed and the Task field will show the current task for the VM; it will likely be "Block Device Mapping" initially. Once the VM has spawned and beginning to boot, it will have the Power State of "Running". It will likely take 10+ minutes to finish creating the volume and coping the image to it before beginning to boot.
Network
On the Instances page is a list VMs with their IP address(es) displayed in the IP Address column. Each VM will have at least one private IP address, but some may also have a second public IP assigned to it.
Private IP
When your OpenStack project is created a local network is also created for you. This local network is used to connect VMs within that project allowing them to communicate with each other and the outside world. Their private IP address does not allow the outside world to reference that VM. Any VM created in your project will have a private IP address assigned to it from this network of the form 192.168.X.Y
.
Public IP
Public IPs allow outside services and tools to initiate contact with your VM, such as allowing you to connecting to it to perform administrative tasks or serve up web content. Public IPs can also be pointed to by domain names.
To assign a public IP to a VM, you need to select Associate Floating IP from the drop-down menu button (indicated by ▼) of the Actions column in the Instances list. If this is your first time associating a floating IP, your project hasn't been assigned an external IP address yet. You need to click on the “+” sign to bring up the Allocate Floating IP dialog box. There is only one pool of public addresses, so the correct pool will already be selected; click on the Allocate IP button. The Manage Floating IP Associations screen is displayed again, indicating the IP address and the port (or VM) to which it will be associated (or more specifically NATted); click on the Associate button.
Firewall, add rules to allow RDP
To connect to your virtual machine using a remote desktop connection client, you will need to allow access for remote desktop protocol (RDP) to your VM.
- On the Security Groups tab, select Access & Security; on the default row, click
- On the next screen, click
- RDP has a predefined rule. Select it in the Rules dropdown menu and leave CIDR' under Remote.
- Replace the
0.0.0.0/0
in the CIDR text box with<your-ip>/32
.If you don't know your current IP address you can see it by going to ipv4.icanhazip.com in your browser. Leaving
0.0.0.0/0
will allow anyone to attempt a connection with your VM. You should never allow completely open access with RDP as your VM will be susceptible to brute force attacks. This replacement will restrict RDP access to your VM only from this IP. If you want to allow access from other IPs you can add additional RDP rules with different IP address or you can specify a range of IP addresses by using this tool to calculate your CIDR rule from a range of IP addresses.If you leave RDP open to the world by leaving the
0.0.0.0/0
in the CIDR text box, a cloud administrator may revoke access to your VM until the security rule is fixed. - Finally, click the Add button.
Remote desktop connection
To connect to a Windows VM we will use a Remote Desktop Connection client. To connect to your Windows VM you need to supply a floating IP, user name, and password.
Retrieving the password
Open the Retrieve Instance Password form:
- Go to Instances on the left menu.
- In the drop down menu next the instance select Retrieve Password.
The password has been encrypted using the public key you selected when creating the VM. To decrypt the password:
- Click the Choose File button and browse to your private key file.
If you followed the steps above in the ssh key section, you should have a private key saved on your local computer with a ".pem" extension which matches the public key.
- Select the key and click Open.
- Click the Decrypt Password button at the bottom left.
Keep this form open as we will use the password in the next step. This process can be repeated later to retrieve the password again.
From a Windows client
Many Windows systems come with the remote desktop connection tool pre-installed. Try searching for "remote desktop connection" in your Windows system search. If you can not find it, you can go to the Microsoft store and install it. It should be a free installation.
Once you have run the remote desktop connection tool you should see a window similar to the one displayed on the right. To connect to your Windows VM:
- Enter the public IP address next to Computer.
- Add the user name you were provided with in the User name text box.
- Click the Connect button at the bottom.
- Enter the password retrieved in the previous step when prompted.
- Click the OK button.
You will likely be presented with an alert The identity of the remote computer cannot be verified. Do you want to connect anyway?. This is normal click Yes to continue. Once you connect you should see the desktop of your Windows VM displayed within the RDC window.
TODO: The specific certificate error is "The certificate is not from a trusted certifying authority". Is seeing this alert really normal? Do we want to register the Windows image certificate with a signing authority? Could we use letsencrypt or should we just ignore this issue?
From a Linux client
To connect via RDP from Linux you will need a remote desktop client. There are number of different clients out there but the Remmina client appears to work well when tested with Ubuntu. The previous link provides instructions for installing it in Ubuntu, Debian, Fedora and a few other Linux operating systems.
Once you have installed and launched Remmina to connect to your Windows VM:
- Click on Create a new remote desktop file (file with a green '+' sign).
You should see a window similar to that shown on the right.
- Enter the public IP of your Windows VM next to Server.
- Enter the user name you were provided next to User name.
- Enter the password you retrieved in the above step next to Password.
- Click Connect.
From a Mac client
TODO: Anyone with a Mac want to write up this section?
Disabling Internet Explorer's Enhanced Security Configuration
Initially Internet Explorer's enhanced security configuration is enabled. This makes using Internet explorer very painful. It is recommended to temporarly turn off this enhanced security feature with the following steps:
- ensure all instances of Internet explorer are closed
- go to "server manager"
- on the dashboard click "Configure this local server"
- in the "PROPERTIES" panel find "IE Enhanced Security Configuration" and click the "On" text beside it to bring up a window in which you can turn Internet Explorer's enhanced security configuration off for both "Administrators" and "Users".
Then download an alternative browser, e.g. firefox and then re-enable Internet Explorer's enhanced security configuration.
License information
TODO: need to provide information which would be helpful for users to know what path to take to get a license. Should cover things like:
- Where to go to get a license
- What kind of license do I need/what licenses will work in the cloud
- How to apply my license to my existing cloud VM
- How to apply it to a new VM (if that is different than above bullet item)
Comments on key pairs
There are a couple different formats for key files and you can also choose to protect your private keys with passphrases or not. In order to be able to decrypt the Windows VM password your private key must be in OpenSSH format and not have a passphrase. If you created your key pair with OpenStack and downloaded the .pem
key file it will already be in the correct format. If you used the ssh-keygen
command to create your key pair and didn't specify a passphrase it will also likely be in the correct format. For more general information about key pairs see the SSH Keys page.
An example of an acceptable private key in the OpenSSH format without a passphrase:
BEGIN RSA PRIVATE KEY-----
MIIEowIBAAKCAQEAvMP5ziiOw9b5XMZUphATDZdnbFPCT0TKZwOI9qRNBJmfeLfe ... DrzXjRpzmTb4D1+wTG1u7ucpY04Q3KHmX11YJxXcykq4l5jRZTKj -----END RSA PRIVATE KEY-----
The ...
in the middle indicates multiple lines of characters similar to those above and below it.
Below are two examples of private keys which will not work with OpenStack with Windows VMs
OpenSSH format with a passphrase:
BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,CA51DBE454ACC89A 0oXD+6j5aiWIwrNMiGYDqoD0OqlURfKeQhy//FwHuyuithOSI8uwjSUqV9BM9vi1 ... 8XaBb/ALqh8zLQOXEUuTstlMWXnhzBWLvu7tob0QN7pI16g3CXuOag== -----END RSA PRIVATE KEY-----
ssh.com format without a passphrase
BEGIN SSH2 ENCRYPTED PRIVATE KEY ----
Comment: "rsa-key-20171130" P2/56wAAA+wAAAA3aWYtbW9kbntzaWdue3JzYS1wa2NzMS1zaGExfSxlbmNyeXB0e3JzYS ... QJX/qgGp0= ---- END SSH2 ENCRYPTED PRIVATE KEY ----
Where to go from here
- learn about security considerations when running a VM
- learn about creating a Linux VM
- learn more about working with OpenStack
- automating VM creation
- backing up your VM
- For questions about the Compute Canada cloud service send an e-mail to cloud@computecanada.ca
</tab> -->
</tabs>