Open Telekom Cloud für Geschäftskunden

Serie zur Image Factory (Teil 2): erste Schritte

Motivation:

Warum werden spezielle Images benötigt und welche Auswirkungen hat die Verwendung solcher Images für eine Netzwerkumgebung?

In einer Cloud-Umgebung werden in der Regel Standardimages von gängigen Betriebssystemen betrieben, allerdings wurde deren Konfiguration unter Umständen nicht optimiert. So kann es zum Beispiel der Fall sein, dass die Images keine von der Plattform injizierten Konfigurationen annehmen oder die Treiber nicht auf dem aktuellsten Stand sind. Daher bietet sich die Verwendung von Images an, die speziell für eine Cloud-Umgebung konfiguriert worden sind.

Eine ausführliche Erläuterung zu den in der Image Factory geltenden Anforderungen finden Sie im Blog-Beitrag „Open Telekom Cloud Image Factory – Einführung“ von Daniela Ebert.

Die Open Telekom Cloud bietet zu diesem Zweck hilfreiche Distributionen von gängigen Betriebssystemen, die folgende Vorteile bieten:

  • problemlose Ausführung auf der Open Telekom Cloud – cloudfähig
  • erhöhte Sicherheit – Image-Härtung
  • nützliche, vorinstallierte Tools – Zusatzpakete

Die Image Factory erzeugt offene Linux-Images mit dem Präfix „Standard_“ sowie kommerzielle Images mit dem Präfix „Enterprise_“. Images mit dem Präfix „Community_“ stammen nicht aus der Image Factory.

In diesem Artikel wird das Image „Standard_OpenSuSE_42.1_JeOS“ als Beispiel verwendet.

Die Vorgehensweise:

Warum werden Cloud-Images benötigt?

Zum Hochfahren einer virtuellen Maschine (ECS = Elastic Cloud Server) ist ein Image eines Betriebssystems erforderlich. Nach der erfolgreichen Erstellung des ECS (d. h. Ihres Servers in der Open Telekom Cloud) soll dieser nun zum Laufen gebracht werden.

In diesem Beitrag finden Sie einen kurzen Überblick über Cloud-Images und die ersten Schritte.

Cloudfähig:

  1. Login über die Konsole (noVNC) mit Passwort
  2. Login über SSH (Version 2) mit Ihrem öffentlichen SSH-Schlüssel, den Sie bei der Erstellung im ECS konfiguriert haben

Der SSH-Login als Root-Benutzer ist deaktiviert – sshd_config
Verwenden Sie anstelle des Root-Benutzers den Benutzer „Linux“.

Bei der Erstellung des ECS müssen Sie entweder ein Root-Passwort oder einen SSH-Schlüssel (in der Web Service-Konsole fälschlicherweise als Zertifikat bezeichnet) festlegen. Beim Start einer VM über API bzw. über die Befehlszeile können Sie auch beide Varianten einstellen. Je nach Auswahl kann der Login folgendermaßen durchgeführt werden:

  • Wenn ein Root-Passwort eingerichtet wurde, können Sie sich über die Konsole mit Ihrem Passwort als Root-Benutzer einloggen.
  • Wenn ein SSH-Schlüssel verwendet wurde, können Sie sich über SSH mit dem Benutzer „Linux“ einloggen.
  • Die Anmeldung als Benutzer „Linux“ ist über die Konsole jederzeit möglich (das Standardpasswort wird in der Konsole festgelegt und angezeigt).
  • Die Anmeldung als Root-Benutzer ist über SSH nicht möglich.
  • Die Anmeldung über ein Passwort ist über SSH nicht möglich.

Da der Zugriff auf (Linux-)VMs in der Cloud standardmäßig über SSH erfolgt, wird diese Methode empfohlen. Auf eine Anmeldung über die Konsole mit dem Benutzer „Linux“ und dem Standardpasswort sollte nur im Notfall zurückgegriffen werden.

Frage: Ich bin mit dem Benutzer Linux angemeldet, möchte aber Funktionen des Root-Benutzers verwenden. Was muss ich tun? 

Antwort: linux@<ecs-server>#  sudo su -

Achtung: Ein Login mit dem Benutzer „Linux“ ist auch dann möglich, wenn nur das Passwort für den Root-Benutzer festgelegt wurde.

SSH:
 sometimes it is easier to simply see the config:
 sshd_config:
 Protocol 2
 PermitRootLogin without-password
 PasswordAuthentication no
 X11Forwarding yes
 X11UseLocalhost yes
 AllowAgentForwarding no
 PermitEmptyPasswords no

Hier ist zu beachten, dass der Login des Root-Benutzers durch einen anderen Mechanismus verhindert wird. Es wird eine entsprechende Meldung angezeigt.

  • Gebietsschema: en_US
  • Zeitzone: Europa, Berlin
  • DNS: betriebsbereit
  • Repositorys: betriebsbereit // vorkonfiguriert mit lokalen Repositorys (SMT) – siehe Repositorys
  • Internetverbindung: betriebsbereit // nur falls eine EIP zugeordnet wurde
  • Firewall: betriebsbereit // Achtung: einige Distributionen sind mit imagespezifischen Firewalls vorkonfiguriert

Bitte beachten Sie, dass in der Cloud-Plattform Sicherheitsgruppen verwendet werden, über die die zulässigen Netzwerkverbindungen einer VM festgelegt sind. In der Standardkonfiguration wird der gesamte ausgehende Datenverkehr zugelassen, eingehender Datenverkehr ist jedoch nur bei VMs in der gleichen Sicherheitsgruppe möglich. Wenn Sie eine Verbindung zur VM über das Internet oder von einer VM in einer anderen Sicherheitsgruppe herstellen möchten, müssen Sie folglich eine Sicherheitsgruppe erstellen, die eingehende SSH-Verbindungen erlaubt.

Besonderheiten von Images

SSH

Siehe Beschreibung oben. Hier ist weder ein Login als Root-Benutzer noch ein Login mit Passwort möglich.

Firewall

In der Open Telekom Cloud sind keine besonderen Firewall-Richtlinien vorgesehen, bei OpenSuSE kommt jedoch eine vorkonfigurierte Firewall zum Einsatz:

  • ausgehender Datenverkehr wird zugelassen
  • Anpingen ist möglich
  • eingehender Datenverkehr wird abgelehnt, mit Ausnahme von Port 22 (SSH)

Bei Verbindungsproblemen mit dem ECS müssen Sie die lokale Firewall Ihres ECS mithilfe des Befehls „# iptables -L -n“ überprüfen.

Example:
 s# iptables -L input_ext
 Chain input_ext (1 references)
 target prot opt source destination
 DROP all -- anywhere anywhere PKTTYPE = broadcast -> this is your restriction
 ACCEPT icmp -- anywhere anywhere icmp source-quench
 ACCEPT icmp -- anywhere anywhere icmp echo-request
 ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
 DROP all -- anywhere anywhere PKTTYPE = multicast
 DROP all -- anywhere anywhere PKTTYPE = broadcast

Wenn Sie sich bei der Firewall unsicher sind, können Sie die Verbindung mit folgendem Befehl prüfen: # /sbin/rcSuSEfirewall2 stop  [start, status]

Repositorys:

werden für interne Repository-Server der Open Telekom Cloud vorkonfiguriert.
Diese sind in den Zypper-Repository-Konfigurationen zu finden:

# cat /etc/zypp/repos.d/openSUSE_Leap_42.1_OSS.repo
 [openSUSE_Leap_42.1_OSS]
 name=openSUSE_Leap_42.1_OSS
 baseurl=http://smt01-suse.eu-de.otc-service.com/repo/RPMMD/opensuse_oss_leap

Diese SMT-Repository-Server spiegeln die ursprünglichen Repositorys des Anbieters und werden automatisch über Nacht aktualisiert.
Bei Bedarf können Sie auch einen eigenen Repository-Server auswählen.

Warum werden die Original-Repositorys nicht einfach direkt vorkonfiguriert?

Nur VMs mit einer EIP verfügen über eine Internetverbindung. Da EIPs nur in begrenzter Anzahl zur Verfügung stehen, werden die meisten VMs in der Regel ohne öffentliche IP-Adresse erstellt. Die Images sind so konfiguriert, dass die VMs Sicherheitsupdates und Installationspakete des Anbieters mithilfe von internen Repository Mirrors über das Subscription Management Tool (SMT) beziehen können. Diese Einstellung kann bei Bedarf geändert werden.    

Härtung

Detaillierte Informationen zum Thema Härtung finden Sie in einem gesonderten Artikel. Kurz gesagt werden hierbei beispielsweise Änderungen an den Kernelparametern „tcp“ und „memory“ vorgenommen und die SSHD-Konfiguration definiert. Bei etwaigen Problemen mit „tcp_forwarding“ lohnt sich daher beispielsweise ein Blick in die Kernelparameter.

Besondere Funktionen der Open Telekom Cloud

In den Images sind die erforderlichen XEN-Treiber bereits enthalten. Die regulären paravirtualisierten Treiber in aktuellen Distributionen (auf Basis von Kernel 3.x+) funktionieren ohne Weiteres. Bei openSuSE und SLES wird das XEN-Kernelmodulpaket benötigt, das in den Images aus der Image Factory enthalten ist.

Die Open Telekom Cloud bietet eine hervorragende Monitoring-Funktion, die über die Web Service-Konsole aufgerufen werden kann:

Dashboard – Cloud Eye 
ECS-Monitoring und Anzeige von Grafiken im Dashboard

Die Monitoring-Daten werden über das Paket „uvp-monitor“ gesammelt. Das Paket steht in Github zur Verfügung und basiert auf dem Open Build Service. Es ist in jedem Image enthalten. Bei einigen Distributionen (openSuSE42.1 und CentOS-6.7) müssen gepatchte XEN-Treiber installiert werden, um XENBUS-Deadlocks zu vermeiden. Diese gepatchten Treiber sind ebenfalls in den Images enthalten („uvpmod-kmp-default“ unter openSuSE).   

Fazit

Nach der erfolgreichen Erstellung des ECS können Sie diesen direkt im laufenden Betrieb einsetzen. Der Start mit Images aus der Open Telekom Cloud gestaltet sich etwas anders als bei den originalen Images eines Anbieters – ist aber genauso einfach.

Wie geht es weiter?

Imagebezogene Aspekte (zusätzliche Pakete, Treiber)


Sabrina Müller Sabrina Müller arbeitet als Product Developer für die Open Telekom Cloud. Sie baute bei der Telekom etwa 10 Jahre im Data-Center-Management Backend-Projekte auf und sorgte für einen laufenden Betrieb. Ihr Schwerpunkt lag auf Solaris. Durch einen Wechsel in den Bereich Developing & Testing baute sie dort eine neue automatisierte Plattform auf Basis von XEN für virtuelle Systeme auf und migrierte bestehende Hardware in die virtuelle Welt. Parallel hierzu entwickelte Sie im W7-Cloud-Team eine vollautomatisierte Cloud-Plattform auf Basis von OpenStack für interne Telekom Kunden.

Jetzt direkt buchen und 250 € Startguthaben sichern* (Code: 4UOTC250)
24/7 Service
Nutzen Sie unser Beratungsangebot!

Kostenlos und durch Experten.

Wir beantworten Ihre Fragen zu Testmöglichkeit, Buchung und Nutzung – kostenfrei und individuell. Probieren Sie es aus!
Hotline: 24 Stunden am Tag, 7 Tage die Woche

0800 33 04477 aus Deutschland
00800 44 556 600 aus dem Ausland

* Gutschein ist einlösbar bis zum 30.06.2020. Bitte sprechen Sie uns bei der Buchung auf den Gutscheinbetrag an. Das Rabattvolumen ist nur für Kunden mit Rechnungsanschrift in Deutschland gültig und verfällt 2 Monate nach Abschluss des Vertrages. Das Guthaben wird mit den gültigen Listenpreisen gemäß Leistungsbeschreibung verrechnet. Eine Auszahlung ist ausgeschlossen.

  • Jetzt 250 € Startguthaben sichern

    Jetzt direkt buchen und 250 € Startguthaben sichern*
    Code: 4UOTC250

    Jetzt buchen

  • Telefon

    Kostenfreie Experten-Hotline

    Unsere zertifizierten Cloud-Experten stehen Ihnen mit persönlichem Service zur Seite.

    0800 33 04477 (aus Deutschland)

    24 Stunden am Tag, 7 Tage die Woche

  • E-Mail

    Unser Kunden-Service steht Ihnen per E-Mail-Support kostenlos zur Verfügung.

    E-Mail schreiben

  • Beratungstermin vereinbaren

    Unsere Experten für die Open Telekom Cloud beraten Sie kostenfrei, unverbindlich und individuell. 

    Beratungstermin vereinbaren