Open Telekom Cloud für Geschäftskunden

Open Telekom Cloud: Wartungsarbeiten und Anpassungen

von Redaktion

Die Speicherung von (benutzerspezifischen) Metadaten wird am 25. Juli erheblich verbessert, sodass die Anpassung und Konfiguration von generischen Cloud-Images beim ersten Boot in der Open Telekom Cloud künftig flexibler vonstattengehen kann.

Dateiinjektionen für Passwörter und Hostnamen wurden zur Unterstützung des neuen Mechanismus ersetzt und erfolgen daher nur noch auf explizite Anforderung des Benutzers. Unsere Public Images wurden angepasst und akzeptieren nun auch die Metadaten des Metadatenservers.

Bei Linux-VMs halten sich die Änderungen in Grenzen, bei Windows-VMs sind jedoch umfangreichere Anpassungen erforderlich. In diesem Dokument wird beschrieben, was genau sich für Benutzer ändern wird und wie Kunden ihre Images anpassen müssen, sofern sie Private Images verwenden. Laufende oder neu gestartete VMs sind von diesen Änderungen nicht betroffen. Die Metadateninjektion erfolgt nur beim ersten Boot einer neu erstellten VM.

Im Zeitfenster von Montag, den 25. Juli von 16:00 bis max. 18:30 Uhr MESZ kann es vorkommen, dass neu bereitgestellte VMs unter Umständen inkonsistente Metadaten erhalten oder den Metadatenserver nicht erreichen können. Das hätte zur Folge, dass die VMs weder über Schlüssel, Passwörter, Hostnamen noch über andere injizierte Kundendaten verfügen und eine Anmeldung in den betroffenen VMs demnach nicht möglich ist.

Konfiguration und Anpassung über Metadaten

Um zu vermeiden, dass in einer Public Cloud Dutzende von Images erstellt und verwaltet werden müssen, wurde ein Standardmechanismus zur Konfiguration und Anpassung generischer Images in der Cloud eingerichtet. Hierbei bezieht die VM beim Hochfahren die Metadaten von der Cloud-Plattform (z. B. über ein emuliertes Diskettenlaufwerk oder einen Webserver). Beim ersten Boot wird eine Software gestartet, die die Konfiguration lädt und dann entsprechend weitergibt.

Bei OpenStack-Clouds stellt der Compute-Dienst Nova die Metadaten über den Metadaten-Service unter http://169.254.169.254/ zur Verfügung, während Linux-basierte Cloud-Images auf Cloud-Init zurückgreifen, um das System entsprechend anzupassen und zu konfigurieren.

Aktueller Stand der Open Telekom Cloud

Bei der Veröffentlichung der Open Telekom Cloud im März 2016 wurde der injizierte SSH-Schlüssel bei öffentlichen Linux-Images über Cloud-Init oder den Metadaten-Service (MDS) abgerufen. Die Einstellung des Root-Passworts und des Hostnamens erfolgte hingegen noch über einen alten Mechanismus mit Dateiinjektionen. Darüber hinaus gab es in der Weboberfläche keine Möglichkeit zur Injektion von benutzerdefinierten Daten (YAML). Der Workaround bestand darin, Dateien in das Verzeichnis /etc/cloud/cloud.cfg.d/ zu injizieren. Unter Windows erfolgte die Einstellung von Passwort und Hostname vollständig über Dateiinjektion.

Zukünftiger Stand der Open Telekom Cloud

Passwort und Hostname werden unter Linux ab sofort über eine Konfiguration auf dem Metadatenserver eingestellt. Das Paket Cloud-Init für öffentliche Linux-Images in der Open Telekom Cloud wurde angepasst, sodass der Hostname nun über den Metadatenserver eingestellt wird. Zudem können Kunden über die Weboberfläche („Service Console“) und über den Nova-Befehlszeilenparameter „--user-data FILE“ nun bis zu 16 Tausend zusätzliche Benutzerdatensätze (YAML) bereitstellen, die für die VM transparent zum Abruf über „http://169.254.169.254/2009-04-04/user-data“ zur Verfügung stehen.

Unter Windows erfolgt die Einstellung von Passwort und Hostname sowie die Tastaturkonfiguration nun über Cloudbase-Init, dem Windows-Äquivalent des Linuxpakets Cloud-Init. Die Dateiinjektion ist immer noch verfügbar, jedoch nur auf explizite Anforderung des Benutzers.

Auswirkungen für Benutzer

Für Benutzer ergeben sich hieraus zwei Änderungen:

  • Bei Verwendung von Public Images der Open Telekom Cloud ändert sich die Benutzeroberfläche für die Festlegung von Passwörtern.
  • Bei Verwendung von Private Images ist eine Anpassung erforderlich.
Benutzeroberfläche: Open Telekom Cloud - cloudbase init get password
 

Änderungen der Benutzeroberfläche

Linux

Wenn Sie über den Standardweg mit einem injizierten SSH-Schlüssel auf Linux-VMs zugreifen, ändert sich für Sie nichts. Ebenso funktionieren auch die bekannten Anmeldeinformationen (nur lokaler Login; noVNC) weiterhin für den Login in Notfallsituationen.

In der Weboberfläche zur Erstellung von ESC VMs wurde das Eingabefeld zur Festlegung eines Passworts entfernt. Zur Festlegung eines Benutzerpassworts in einer Linux-basierten VM können Sie eines der drei Module aus Cloud-Init verwenden. Weitere Informationen finden Sie in diesem Dokument zu Cloud-Init.

1. Das Modul „chpasswd“ ermöglicht die Festlegung von (Klartext-)Kennwörtern für mehrere Benutzer. Zudem kann eingestellt werden, dass das Passwort beim ersten Login nicht geändert werden muss.

#cloud-config
chpasswd:
   list: |
     linux:NewPasswd
   expire: False

2. Das Modul „password“ stellt das Passwort des Standardbenutzers auf das eingegebene Klartext-Passwort ein. Im untenstehenden Beispiel wird das Ablaufdatum für das Passwort deaktiviert – hiervon wird allerdings abgeraten.

#cloud-config
password: NewPasswd
chpasswd: { expire: False }

3. Das Modul „users“ ermöglicht die Konfiguration von Benutzern sowie die Passworteinstellung über Hash. Darüber hinaus können auch die sudo-Rechte der einzelnen Benutzer sowie die SSH-Schlüsselinjektion festgelegt werden.

 #cloud-config
users:
    - name: logname
      gecos: Example user, Office, Phone
      shell: /bin/bash
      lock-passwd: false
      sudo: ALL=(ALL) NOPASSWD:ALL
      passwd:
$6$S0m3Salt$sRsvDU3ZuBiS87RyLHYVdjSQFPcxhfqp0ot1HB6eHOjCfqBRNPsfQciL0YbQLTDqAoRMQFeZlqtQCOFgU7dmu/

Hierbei ist zu beachten, dass die beiden Module „password“ und „chpasswd“ Klartext-Passwörter verwenden, die von jedem (unberechtigten) lokalen Nutzer der VM über die Benutzerdaten des MDS abgerufen werden können. Daher bietet sich eine standardmäßige Aktivierung des Ablaufdatums für Passwörter an. Ferner kann über den Sonderbefehl RANDOM definiert werden, dass Cloud-Init ein zufälliges Passwort generiert und dieses beim Booten an die Konsole sendet. Außerdem ist zu berücksichtigen, dass der Einzug bei YAML unbedingt erforderlich ist und im Modul „chpasswd“ kein Leerzeichen zwischen Benutzername und Passwort stehen darf.

Das Modul „users“ bietet die Möglichkeit zur Injektion gehashter Passwörter. Auf diese Weise wird gewährleistet, dass ein sicheres Passwort verwendet wird. Bei Nutzung des Moduls „users“ ist außerdem zu beachten, dass die Erstellung von Standardbenutzern (mit Benutzername „linux“ bei Images aus der Image Factory) deaktiviert wird, sofern kein Standardbenutzer explizit angegeben wird.

Mit dem folgenden Befehl können Sie beispielsweise ein Passwort-Hash für das Modul „users“ generieren:

mkpasswd -m sha-512 NewPassword S0m3Salt

Geben Sie anstelle des Ausdrucks „Salt“ eine beliebige mindestens achtstellige alphanumerische Zeichenkette ein. Wenn Sie die Benutzerdaten über die Weboberfläche injizieren, sollten Sie berücksichtigen, dass Sie in der „User Defined Configuration“ nicht nur Zugriff auf das Feld „User Data Injection“ erhalten, sondern gleichzeitig auch eine zu injizierende Datei erstellt wird. Da diese nicht erforderlich ist, können Sie die Datei mit Klick auf „Delete“ löschen.

Wir empfehlen jedoch, SSH-Schlüssel für den Login zu verwenden und die Einstellung „ssh_pwauth“ unverändert zu lassen. Hierdurch wird eine Passwortauthentifizierung über SSH verhindert. Sollte eine Passwortauthentifizierung über SSH dennoch erforderlich sein, sollten Sie sicherstellen, dass der MDS keine leicht zugänglichen Klartext-Passwörter enthält und das Standardpasswort für den Standardbenutzer geändert wurde.

Weitere Beispiele finden Sie in der Dokumentation zu Cloud-Init. Benutzerdaten aus Cloud-Init können auch zur Injektion und Ausführung von Skripts, zur Installation von Paketen bzw. Paketupdates (package_upgrade: true), zur Festlegung von Hostnamen und DNS-Auflösung, zur Registrierung bei Chef oder Puppet, zur Anpassung von Mountpoints, zum Abruf von URLs (Phone Home), zur Injektion von SSH-Schlüsseln usw. verwendet werden.

Benutzerdaten können auch beim Start von VMs über die API übermittelt werden, z. B. über die Nova-Befehlszeile mit der Option „--user-data FILE“ (Metadaten können mit der Option „--meta KEY=VALUE“ spezifiziert werden)

Windows

Benutzeroberfläche: Open Telekom Cloud cloudbase init get password

Bei Windows erfolgt die Passworteinstellung anders als bei Linux.

Benutzeroberfläche: Open Telekom Cloud cloudbase init get password

Bei Windows erfolgt die Passworteinstellung anders als bei Linux. Beim ersten Boot wird über Cloudbase-Init ein zufälliges Passwort generiert. Für die verschlüsselte Speicherung des Passworts müssen Sie einen SSH-Schlüssel bereitstellen.

Diesen SSH-Schlüssel können Sie abrufen, indem Sie Ihren privaten Schlüssel in der Weboberfläche eingeben. Es wird empfohlen, einen separaten SSH-Schlüssel zum Abruf von Passwörtern zu verwenden.

rem cmd
net user USERNAME PASSWORD /add
net localgroup administrators USERNAME /add

Ersetzen Sie USERNAME und PASSWORD hierbei durch die gewünschten Angaben. Aus sicherheitstechnischer Perspektive ist hierbei zu berücksichtigen, dass die Benutzerdaten für alle lokalen Nutzer der VM zugänglich sind.

Änderungen an Images

Linux

Bei den Public Images der Image Factory von T-Systems gab es lediglich eine Änderung: Die Einstellung von „preserve_hostname“ wurde von „true“ zu „false“ geändert. Wenn Sie aus einem unserer öffentlichen Linux-Images ein Private Image erstellt oder die Konfiguration aus einer anderen Quelle kopiert haben, sollten Sie diese Änderung nachholen.

Bei dieser Gelegenheit haben wir einige veraltete öffentliche Linux-Images bereinigt. Aufgrund der Änderungen funktionieren diese nicht mehr einwandfrei. Diese Images werden jedoch für das Debugging genutzt und daher noch nicht gelöscht.

Falls Sie Images ohne Cloud-Init verwenden, funktioniert die bislang verwendete Methode zur Einstellung von Passwort und Hostname leider nicht mehr. Wir empfehlen, die Aktivierung von Cloud-Init in Erwägung zu ziehen. In aktuellen Linux-Distributionen steht Cloud-Init direkt über die jeweilige Repository zur Verfügung. Bei SLES11 können Sie das OBS-Repository „home:garloff:OTC:cloudinit“ verwenden.

Windows

Alle von uns bereitgestellten öffentlichen Windows-Images unterstützen Cloudbase-Init. Wenn Sie Private Images verwenden, ist Cloudbase-Init unter Umständen nicht installiert. Wir empfehlen Ihnen, Cloudbase-Init zu installieren. Zur Orientierung finden Sie hier unsere Konfiguration für Cloudbase-Init:

[DEFAULT]
username=Administrator
groups=Administrators
inject_user_password=true
config_drive_raw_hdd=true
config_drive_cdrom=true
config_drive_vfat=true
bsdtar_path=C:\Program Files\Cloudbase Solutions\Cloudbase-Init\bin\bsdtar.exe
mtools_path=C:\Program Files\Cloudbase Solutions\Cloudbase-Init\bin\
verbose=true
debug=true
logdir=C:\Program Files\Cloudbase Solutions\Cloudbase-Init\log\
logfile=cloudbase-init.log default_log_levels=comtypes=INFO,suds=INFO,iso8601=WARN,requests=WARN
logging_serial_port_settings=COM1,115200,N,8
mtu_use_dhcp_config=true
ntp_use_dhcp_config=true local_script_path=C:\Program Files\Cloudbase Solutions\Cloudbase-Init\LocalScripts\
netbios_host_name_compatibility=false

 

Zusammenfassung

Durch die Verbesserungen bei Cloud-Init gestaltet sich die Nutzung von Images in der Open Telekom Cloud nun noch flexibler. Zudem ist eine bessere Kompatibilität mit anderen Cloud-Plattformen sichergestellt. Im Zuge der Änderungen wurden einige alte Dateiinjektionen bereinigt. Für Benutzer ergeben sich hieraus einige Änderungen in der Benutzeroberfläche und bei der Nutzung von Images.

Die Änderungen werden am 25. Juli zwischen 16:00 und 18:30 Uhr MESZ vorgenommen. Neu erstellte VMs können in diesem Zeitfenster unter Umständen keine Metadaten beziehen. In der Regel bedeutet das, dass sich keine Benutzer bei diesen VMs einloggen können. Alle anderen VMs bleiben von den Änderungen unberührt.


Jetzt direkt buchen und 250 € Startguthaben sichern

 

Haben Sie Fragen?

Wir beantworten Ihre Fragen zu Testmöglichkeit, Buchung und Nutzung – kostenfrei und individuell. Probieren Sie es aus! Hotline: 24 Stunden am Tag, 7 Tage die Woche
0800 3304477 aus Deutschland / 00800 33044770 aus dem Ausland

  • Communities

    Die Open Telekom Cloud Community

    Hier treffen sich Nutzer, Entwickler und Product Owner um sich zu helfen, auszutauschen und zu diskutieren.

    Jetzt entdecken 

  • Telefon

    Kostenfreie Experten-Hotline

    Unsere zertifizierten Cloud-Experten stehen Ihnen mit persönlichem Service zur Seite.

     0800 3304477 (aus Deutschland)

     
    +800 33044770 (aus dem Ausland)

     
    24 Stunden am Tag, 7 Tage die Woche

  • E-Mail

    Unser Kunden-Service steht Ihnen per E-Mail-Support kostenlos zur Verfügung.

    E-Mail schreiben