1. Introduction

Le service de Cloud Computing de l'IPHC fonctionne à l'aide du logiciel OpenStack. Ce logiciel permet à la fois de piloter l'infrastructure à l'aide de différents modules (authentification, gestion des images, gestion du stockage, ordonnanceur, ...), et de proposer une API pour que les utilisateurs puissent accéder au service.

Ce document présente l'utilisation des clients en ligne de commandes (CLI) interagissant avec cette API pour utiliser efficacement le service de Cloud Computing de l'IPHC.

2. Installation

Cette section détaille la procédure d'installation du client OpenStack CLI.

Les clients sont disponibles pour différents systèmes d'exploitation, soit à travers une installation avec PIP ou par les gestionnaires de paquets APT ou YUM pour les distributions Linux Debian, Ubuntu, RedHat ou dérivées. Dans tous les cas, il est nécessaire que le logiciel Python (version 2.6 ou ultérieure) soit installé. Une seule installation est nécessaire, soit avec le gestionnaire de paquets de votre distribution soit avec PIP. Nous recommandons d'utiliser l'installation à l'aide des gestionnaires de paquets quand c'est possible. Choisissez un type d'installation parmi les suivantes :

2.1. Installation avec PIP

Pour suivre cette partie, il est nécessaire que PIP soit installé. Cette installation est détaillée sur le site de PIP. Le client OpenStack est installé avec les commandes suivantes :

# pip install python-keystoneclient
# pip install python-novaclient
# pip install python-glanceclient
# pip install python-cinderclient
# pip install python-neutronclient

Note

Si l'exécution d'une des commandes :

# pip install python-XXXclient

échoue avec le message d'erreur :

error: invalid command 'egg_info'

Vous devez au préalable exécuter la commande suivante :

# pip install --upgrade setuptools

 

2.2. Installation sur les systèmes Debian et Ubuntu

L'installation pour les systèmes Debian et Ubuntu est relativement aisée. Il suffit d'exécuter en tant que super-utilisateur (c'est-à-dire avec la commande sudo pour Ubuntu) :

# sudo apt-get install python-keystoneclient
# sudo apt-get install python-novaclient
# sudo apt-get install python-glanceclient
# sudo apt-get install python-cinderclient
# sudo apt-get install python-neutronclient

Note

Pour les versions les plus anciennes d'Ubuntu, il peut être nécessaire de réaliser au préalable :

# sudo apt-get install python-software-properties
# sudo add-apt-repository cloud-archive:icehouse
# sudo apt-get update
# sudo apt-get dist-upgrade

Attention, la commande apt-get dist-upgrade met à jour tout le système, vérifiez que les paquets mis à jour n'entreront pas en conflit avec ceux que vous souhaitez utiliser.

2.3. Installation sur les systèmes RedHat, CentOS et Scientific Linux

L'installation en utilisant yum avec les systèmes RedHat et dérivés est réalisée en quelques étapes :

# sudo yum install epel-release
# sudo yum install http://repos.fedorapeople.org/repos/openstack/EOL/openstack-icehouse/rdo-release-icehouse-4.noarch.rpm
# PREFIX="baseurl=http://repos.fedorapeople.org/repos/openstack"
# SUFFIX="openstack-icehouse/"
# sudo sed -i "s|${PREFIX}/${SUFFIX}|${PREFIX}/EOL/${SUFFIX}|g" /etc/yum.repos.d/rdo-release.repo
# sudo yum update
# sudo yum install python-keystoneclient
# sudo yum install python-novaclient
# sudo yum install python-glanceclient
# sudo yum install python-cinderclient
# sudo yum install python-neutronclient

Note

Attention, la commande yum update met à jour tout le système, vérifiez que les paquets mis à jour n'entreront pas en conflit avec ceux que vous souhaitez utiliser.

2.4. Définition des variables d'environnement

Après avoir réalisé l'installation, vous êtes prêt à utiliser le service. La première étape est de paramétrer la configuration du client. Pour cela, créer le fichier ${HOME}/.novacreds/iphc.sh avec le contenu suivant (les valeurs username et password sont à remplacer par celles qui vous ont été transmises lors de la création de votre compte sur l'infrastructure) :

export OS_USERNAME=username
export OS_TENANT_NAME=FG_Cloud
export OS_PASSWORD=password
export OS_AUTH_URL=https://sbgcloud.in2p3.fr:5000/v2.0
export OS_REGION_NAME=IPHC

Une fois que ce fichier est créé, il doit être sourcé pour charger les différentes variables d'environnement dans votre shell actuel :

# source ${HOME}/.novacreds/iphc.sh

Il est nécessaire de réaliser cette étape à chaque fois que vous lancez un nouveau shell, à moins que vous n'ajoutiez la commande source précédente au fichier d'initialisation de votre shell (par exemple, le fichier ${HOME}/.bashrc pour le shell bash ).

Vous pouvez maintenant tester que votre client fonctionne et qu'il arrive à se connecter correctement au Cloud :

# nova --insecure list

Note

l'option --insecure est nécessaire pour éviter que Python affiche des erreurs de vérification de certificat :

# nova list
ERROR: [Errno 1] _ssl.c:510: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

Vous pouvez aussi utiliser le certificat CNRS2 , avec les commandes suivantes :

# CNRS_CERT_URL="https://igc.services.cnrs.fr/search_CA_certificate/?CA=CNRS2-Standard&lang=fr&act=save&view_CA=CNRS2&body=view_ca.html"
# curl "${CNRS_CERT_URL}" | openssl x509 -out ${HOME}/.novacreds/CNRS2.pem -outform PEM
# echo 'export OS_CACERT=${HOME}/.novacreds/CNRS2.pem' >> ${HOME}/.novacreds/iphc.sh

Vous pourrez alors vous passer de l'option --insecure dans toute la suite de cette documentation.

Si vous obtenez le message d'erreur suivant:

curl: (60) SSL certificate problem: self signed certificate in certificate chain

Vous pouvez soit utiliser l'option -k de curl ou télécharger le certificat CNRS2-Standard depuis votre navigateur, ou alors si ce certificat est déjà importé dans le navigateur, simplement l'exporter dans un fichier.

2.5. Changement du mot de passe

Il est fortement conseillé de changer votre mot de passe avant votre première utilisation du Cloud. Pour cela, utilisez la commande suivante :

# keystone --insecure password-update
New Password: 
Repeat New Password: 
You should update the password you are using to authenticate to match your new password

Après avoir effectué cette opération, votre nouveau mot de passe est changé côté serveur, mais il n'est pas encore pris en compte coté client :

# nova --insecure list
ERROR: Invalid OpenStack Nova credentials.

Il faut modifier aussi la variable d'environnement correspondante:

# export OS_PASSWORD=MY_NEW_PASSWORD
# nova --insecure list
+--------------------------------------+------+--------+------------+-------------+----------+
| ID                                   | Name | Status | Task State | Power State | Networks |
+--------------------------------------+------+--------+------------+-------------+----------+
| 8ad5bf9b-be14-42eb-b6db-716662852d80 | test | BUILD  | scheduling | NOSTATE     |          |
+--------------------------------------+------+--------+------------+-------------+----------+

Si cette dernière commande s'effectue avec succès, vous pouvez maintenant mettre le fichier ${HOME}/.novacreds/iphc.sh à jour avec votre nouveau mot de passe.

L'aide en ligne est disponible :

# keystone help password-update
usage: keystone password-update [--current-password <current-password>]
                                [--new-password  <new-password>]

Update own password.

Arguments:
  --current-password <current-password>
                        Current password, Defaults to the password as set by
                        --os-password or env[OS_PASSWORD].
  --new-password  <new-password>
                        Desired new password.

Note

Certaines versions de keystone password-update prennent en compte les variables d'environnement même si les arguments en ligne de commande sont spécifiés :

# keystone --insecure password-update --current-password=password --new-password=MY_NEW_PASSWORD
The request you have made requires authentication. (HTTP 401)

Il est donc recommandé d'utiliser la manière interactive afin d'éviter ce problème.

Une fois que vous avez mis à jour le mot de passe dans le fichier ${HOME}/.novacreds/iphc.sh , il est nécessaire de sourcer à nouveau ce fichier pour que son nouveau contenu soit pris en compte.

2.6. Gestion de la clé SSH

Afin de pouvoir se connecter à la machine virtuelle, il est nécessaire d'utiliser une clé SSH et de l'enregistrer auprès du serveur OpenStack :

# ssh-keygen -t rsa -f ${HOME}/.novacreds/cloudkey
[...]
# nova --insecure keypair-add --pub-key=${HOME}/.novacreds/cloudkey.pub cloudkey
# nova --insecure keypair-list
+----------+-------------------------------------------------+
| Name     | Fingerprint                                     |
+----------+-------------------------------------------------+
| cloudkey | 33:91:4b:38:52:63:1d:18:7b:e0:e3:0d:3b:63:ce:4b |
+----------+-------------------------------------------------+

3. Gestion des machines virtuelles

Cette partie décrit la gestion des machines virtuelles.

3.1. Découverte de l'environnement OpenStack

Quelques commandes permettent de voir les éléments disponibles pour construire son image virtuelle. Tout d'abord, la liste des images de systèmes d'exploitation pour les machines virtuelles est obtenue avec :

# nova --insecure image-list
+--------------------------------------+------------------------------------------------------------------+--------+--------+
| ID                                   | Name                                                             | Status | Server |
+--------------------------------------+------------------------------------------------------------------+--------+--------+
| 57e7c8de-951b-44a6-b1ab-0e782aea5d81 | CentOS-6.5-x86_64-base-4.0                                       | ACTIVE |        |
| 2c86acd1-98b0-4cc3-9a8a-1e661ddbfd9a | CirrOS                                                           | ACTIVE |        |
| 926204b5-51d1-4d2e-81cf-a6d429b76121 | Image for CentOS 6 minimal [CentOS/6.x/KVM]_Appliance            | ACTIVE |        |
| c94d34fb-38e4-4c90-a159-8eaad54b2f12 | Image for TinyCoreLinux [Other/TinyCoreLinux/QEMU-KVM]_Appliance | ACTIVE |        |
| c4f908e6-1b34-4f84-a23c-7e5e55d1f67b | Ubuntu-12.04-x86_64-base-4.0                                     | ACTIVE |        |
| f7252de7-6dc2-41f8-bd9a-f727c6d4c05b | Ubuntu-14.04-x86_64-base-1.0                                     | ACTIVE |        |
+--------------------------------------+------------------------------------------------------------------+--------+--------+

Ensuite, la liste des types de machines virtuelles (saveurs) disponibles est affichée avec :

# nova --insecure flavor-list
+----+-------------+-----------+------+-----------+------+-------+-------------+-----------+
| ID | Name        | Memory_MB | Disk | Ephemeral | Swap | VCPUs | RXTX_Factor | Is_Public |
+----+-------------+-----------+------+-----------+------+-------+-------------+-----------+
| 1  | m1.tiny     | 512       | 1    | 0         |      | 1     | 1.0         | True      |
| 2  | m1.small    | 2048      | 20   | 0         |      | 1     | 1.0         | True      |
| 3  | m1.medium   | 4096      | 40   | 0         |      | 2     | 1.0         | True      |
| 4  | m1.large    | 8192      | 80   | 0         |      | 4     | 1.0         | True      |
| 5  | m1.xlarge   | 16384     | 160  | 0         |      | 8     | 1.0         | True      |
| 6  | m1.2xlarge  | 32768     | 320  | 0         |      | 16    | 1.0         | True      |
| 7  | m1.cms-large| 2048      | 50   | 0         |      | 1     | 1.0         | True      |
+----+-------------+-----------+------+-----------+------+-------+-------------+-----------+

Enfin, pour connaître les réseaux utilisables par la machine virtuelle, utilisez :

# nova --insecure net-list
+--------------------------------------+--------------+------+
| ID                                   | Label        | CIDR |
+--------------------------------------+--------------+------+
| 16ddcf0e-05c7-4023-8fc6-9cb49fd93aa4 | fg-cloud-net | -    |
| 314be651-fcaa-4dcc-ac0a-dfdcd7e58ba1 | ext-net      | -    |
+--------------------------------------+--------------+------+

Dans le tableau précédent, nous remarquons que deux réseaux sont disponibles, fg-cloud-net et ext-net . En fait, seul le réseau fg-cloud-net est utilisable directement au boot par la machine virtuelle. L'autre réseau est utilisé par la suite pour fournir des adresses IPs publiques.

3.2. Lancement de la machine virtuelle ( VM )

Dans la section précédente, nous avons récupéré la liste de tous les éléments utilisables pour composer la machine virtuelle. Une fois que vous avez choisi les différents éléments de votre machine virtuelle, elle peut être instanciée à l'aide de la commande nova --insecure boot . Par exemple, si nous souhaitons lancer une image Ubuntu avec 1 cpu, 2 Go de RAM et 20 Go de disque dur sur le réseau fg-cloud-net et dont le nom sera MY_VM_NAME, nous utiliserons la commande suivante :

# nova --insecure boot --key-name=cloudkey --image=Ubuntu-14.04-x86_64-base-1.0 --flavor=m1.small --nic net-id=16ddcf0e-05c7-4023-8fc6-9cb49fd93aa4 MY_VM_NAME
+--------------------------------------+---------------------------------------------------------------------+
| Property                             | Value                                                               |
+--------------------------------------+---------------------------------------------------------------------+
| OS-DCF:diskConfig                    | MANUAL                                                              |
| OS-EXT-AZ:availability_zone          | nova                                                                |
| OS-EXT-STS:power_state               | 0                                                                   |
| OS-EXT-STS:task_state                | scheduling                                                          |
| OS-EXT-STS:vm_state                  | building                                                            |
| OS-SRV-USG:launched_at               | -                                                                   |
| OS-SRV-USG:terminated_at             | -                                                                   |
| accessIPv4                           |                                                                     |
| accessIPv6                           |                                                                     |
| adminPass                            | qooq9D26ZF3E                                                        |
| config_drive                         |                                                                     |
| created                              | 2015-07-03T07:15:42Z                                                |
| flavor                               | m1.small (2)                                                        |
| hostId                               |                                                                     |
| id                                   | 070da4c0-5ec4-475c-9177-e5bfaba63339                                |
| image                                | Ubuntu-14.04-x86_64-base-1.0 (f7252de7-6dc2-41f8-bd9a-f727c6d4c05b) |
| key_name                             | cloudkey                                                            |
| metadata                             | {}                                                                  |
| name                                 | MY_VM_NAME                                                          |
| os-extended-volumes:volumes_attached | []                                                                  |
| progress                             | 0                                                                   |
| security_groups                      | default                                                             |
| status                               | BUILD                                                               |
| tenant_id                            | 59402a7327114c2cb97f0d9e6263cdda                                    |
| updated                              | 2015-07-03T07:15:42Z                                                |
| user_id                              | accd2c67zb79447c8cd1464128d7685f                                    |
+--------------------------------------+---------------------------------------------------------------------+

Note

Lors du lancement de machines virtuelles, vous pouvez vous retrouver confronté à des problèmes de dépassement de quota :

# nova --insecure boot [...] MY_VM_NAME
ERROR: Quota exceeded for cores: Requested 1, but already used 22 of 22 cores (HTTP 413) (Request-ID:
req-6aefedba-4666-4393-b6a1-24423f3bef78)

Dans cet exemple, l'erreur vous indique que tous les processeurs disponibles pour votre groupe (tenant) sont actuellement occupés. Vous pouvez soit attendre que d'autres utilisateurs en libèrent, ou alors demander à votre administrateur de cloud de vous attribuer un quota supplémentaire.

Vous pouvez consulter les limites de quota grâce à la commande suivante :

# nova --insecure quota-show
+-----------------------------+-------+
| Quota                       | Limit |
+-----------------------------+-------+
| instances                   | 10    |
| cores                       | 22    |
| ram                         | 51200 |
| floating_ips                | 10    |
| fixed_ips                   | -1    |
| metadata_items              | 128   |
| injected_files              | 5     |
| injected_file_content_bytes | 10240 |
| injected_file_path_bytes    | 255   |
| key_pairs                   | 100   |
| security_groups             | 10    |
| security_group_rules        | 20    |
+-----------------------------+-------+

L'aide en ligne est disponible et décrit tous les paramètres utilisables :

# nova help boot
usage: nova boot [--flavor <flavor>] [--image <image>]
                 [--image-with <key=value>] [--boot-volume <volume_id>]
[...]
                 [--nic <net-id=net-uuid,v4-fixed-ip=ip-addr,port-id=port-uuid>]
                 [--config-drive <value>] [--poll]
                 <name>

Boot a new server.

Positional arguments:
  <name>                Name for the new server

Optional arguments:
  --flavor <flavor>     Name or ID of flavor (see 'nova flavor-list').
  --image <image>       Name or ID of image (see 'nova image-list').
[...]

Note

Lors de l'utilisation des commandes nova, il est possible d'utiliser aussi bien les noms (par exemple MY_VM_NAME) que les identifiants (par exemple 070da4c0-5ec4-475c-9177-e5bfaba63339 ). Il est recommandé d'utiliser les identifiants, car ils sont uniques (il est possible de lancer deux machines virtuelles avec le même nom).

Avec la commande suivante, il est possible de suivre l'état de la VM :

# nova --insecure show MY_VM_NAME
+--------------------------------------+---------------------------------------------------------------------+
| Property                             | Value                                                               |
+--------------------------------------+---------------------------------------------------------------------+
| OS-DCF:diskConfig                    | MANUAL                                                              |
| OS-EXT-AZ:availability_zone          | nova                                                                |
| OS-EXT-STS:power_state               | 1                                                                   |
| OS-EXT-STS:task_state                | -                                                                   |
| OS-EXT-STS:vm_state                  | active                                                              |
| OS-SRV-USG:launched_at               | 2015-07-03T07:16:47.000000                                          |
| OS-SRV-USG:terminated_at             | -                                                                   |
| accessIPv4                           |                                                                     |
| accessIPv6                           |                                                                     |
| config_drive                         |                                                                     |
| created                              | 2015-07-03T07:15:42Z                                                |
| fg-cloud-net network                 | 172.16.3.49                                                         |
| flavor                               | m1.small (2)                                                        |
| hostId                               | 0b199254c9bfee387797cf756a9e243ff52e4bee7176607a8ecf0d24            |
| id                                   | 070da4c0-5ec4-475c-9177-e5bfaba63339                                |
| image                                | Ubuntu-14.04-x86_64-base-1.0 (f7252de7-6dc2-41f8-bd9a-f727c6d4c05b) |
| key_name                             | cloudkey                                                            |
| metadata                             | {}                                                                  |
| name                                 | MY_VM_NAME                                                          |
| os-extended-volumes:volumes_attached | []                                                                  |
| progress                             | 0                                                                   |
| security_groups                      | default                                                             |
| status                               | ACTIVE                                                              |
| tenant_id                            | 59402a7327114c2cb97f0d9e6263cdda                                    |
| updated                              | 2015-07-03T07:16:48Z                                                |
| user_id                              | c13c93bf1b79447c8cd1464128d7685f                                    |
+--------------------------------------+---------------------------------------------------------------------+

Le status ACTIVE nous indique que la VM est prête à être utilisée. Toutefois, elle ne possède pas encore d'interface vers le réseau externe, puisque son adresse IP est dans le réseau interne. Avant de pouvoir s'y connecter par SSH, il est donc nécessaire de lui attacher une adresse IP publique (visible et accessible depuis internet). Voir le chapitre Section 3.4, « Gestion du réseau ».

3.3. Personnalisation des machines virtuelles

Vous pouvez personnaliser vos machines virtuelles lors de leur démarrage initial grâce au paramètre --user-data de nova boot . Ce paramètre doit référencer un fichier contenant des instructions pour le logiciel cloud-init qui est présent dans la machine virtuelle.

L'exemple suivant met à jour le système et installe un paquet supplémentaire (utile pour chiffrer un volume, voir le chapitre Section 4.1, « Chiffrage des disques permanents »).

Créez un fichier cloud_init_cfg.txt contenant :

#cloud-config

# Upgrade the instance OS packages on first boot

package_upgrade: true

# Add the package required for encrypted volume management

packages:
 - cryptsetup

Note

le premier caractère '#' doit figurer tel-quel dans le fichier, il indique au logiciel cloud-init le format du contenu du fichier cloud_init_cfg.txt .

Et utilisez-le lors du démarrage de votre machine virtuelle :

# nova --insecure boot [...] --user-data cloud_init_cfg.txt MY_VM_NAME

Référez vous à la documentation de cloud-init pour de plus amples informations sur les possibilités de configuration.

3.4. Gestion du réseau

Dans un premier temps, il faut vérifier si une adresse IP est disponible :

# nova --insecure floating-ip-list
+-----------------+-----------+-------------+---------+
| Ip              | Server Id | Fixed Ip    | Pool    |
+-----------------+-----------+-------------+---------+
| 134.158.151.219 |           | 172.16.3.48 | ext-net |
+-----------------+-----------+-------------+---------+

Une adresse existe, mais elle est déjà associée à une machine virtuelle (le champs Fixed Ip n'est pas vide). Il faut donc en créer une nouvelle et l'attacher à notre VM :

# nova --insecure floating-ip-create
+-----------------+-----------+----------+---------+
| Ip              | Server Id | Fixed Ip | Pool    |
+-----------------+-----------+----------+---------+
| 134.158.151.108 |           | -        | ext-net |
+-----------------+-----------+----------+---------+
# nova --insecure floating-ip-associate MY_VM_NAME 134.158.151.108

Il est possible de vérifier que l'adresse IP a bien été atttachée :

# nova --insecure list --name MY_VM_NAME
+--------------------------------------+------------+--------+------------+-------------+-------------------------------------------+
| ID                                   | Name       | Status | Task State | Power State | Networks                                  |
+--------------------------------------+------------+--------+------------+-------------+-------------------------------------------+
| 070da4c0-5ec4-475c-9177-e5bfaba63339 | MY_VM_NAME | ACTIVE | -          | Running     | fg-cloud-net=172.16.3.49, 134.158.151.108 |
+--------------------------------------+------------+--------+------------+-------------+-------------------------------------------+

Maintenant que la machine virtuelle a une adresse IP publique, vous pouvez tester la connectivité avec ping :

# ping -c 3 134.158.151.108

Et vous pouvez vous y connecter avec ssh :

# ssh -i ${HOME}/.novacreds/cloudkey Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

Si la connexion à la machine virtuelle par SSH échoue, consultez la Section 5.1, « Problème de connexion avec SSH ».

3.5. Gestion du stockage

Par défaut, lorsqu'une machine virtuelle est détruite, tous les changements que vous avez pu y apporter disparaissent. Pour pouvoir stocker des données réutilisables entre plusieurs sessions, il est nécessaire de créer des disques permanents. La gestion des disques permanents se fait avec le client cinder . Pour afficher la liste de vos disques, utilisez :

# cinder --insecure list
+--------------------------------------+-----------+--------------+------+-------------+----------+-------------+
|                  ID                  |   Status  | Display Name | Size | Volume Type | Bootable | Attached to |
+--------------------------------------+-----------+--------------+------+-------------+----------+-------------+
| 60ef7f5f-f4a6-4732-9d26-b9b85553dd8a | available | data_pulsar  |  50  |     None    |  false   |             |
+--------------------------------------+-----------+--------------+------+-------------+----------+-------------+

Pour créer un nouvel espace de stockage persistant (nommé MY_VOLUME_NAME et d'une taille de 8 Go), exécutez :

# cinder --insecure create --display_name MY_VOLUME_NAME 8
+---------------------+--------------------------------------+
|       Property      |                Value                 |
+---------------------+--------------------------------------+
|     attachments     |                  []                  |
|  availability_zone  |                 nova                 |
|       bootable      |                false                 |
|      created_at     |      2015-07-03T10:15:55.487002      |
| display_description |                 None                 |
|     display_name    |             MY_VOLUME_NAME           |
|      encrypted      |                False                 |
|          id         | cf510967-e59b-4b37-9f78-c4f896752180 |
|       metadata      |                  {}                  |
|         size        |                  8                   |
|     snapshot_id     |                 None                 |
|     source_volid    |                 None                 |
|        status       |               creating               |
|     volume_type     |                 None                 |
+---------------------+--------------------------------------+

Pour attacher ce nouveau volume à la machine virtuelle à l'aide de son identifiant, utilisez la commande :

# nova --insecure volume-attach MY_VM_NAME cf510967-e59b-4b37-9f78-c4f896752180 /dev/vdb
+----------+--------------------------------------+
| Property | Value                                |
+----------+--------------------------------------+
| device   | /dev/vdb                             |
| id       | cf510967-e59b-4b37-9f78-c4f896752180 |
| serverId | 070da4c0-5ec4-475c-9177-e5bfaba63339 |
| volumeId | cf510967-e59b-4b37-9f78-c4f896752180 |
+----------+--------------------------------------+

Le stockage sera vu par l'OS sous le nom de /dev/vdb. Pour vérifier que le disque est bien associé, vérifiez que la colonne Status à pour valeur in-use et que la colonne Attached to contient bien l'identifiant de la VM :

# cinder --insecure list
+--------------------------------------+-----------+-----------------+------+-------------+----------+--------------------------------------+
|                  ID                  |   Status  | Display Name    | Size | Volume Type | Bootable |             Attached to              |
+--------------------------------------+-----------+-----------------+------+-------------+----------+--------------------------------------+
| 60ef7f5f-f4a6-4732-9d26-b9b85553dd8a | available | data_pulsar     |  50  |     None    |  false   |                                      |
| cf510967-e59b-4b37-9f78-c4f896752180 |   in-use  | MY_VOLUME_NAME  |  8   |     None    |  false   | 070da4c0-5ec4-475c-9177-e5bfaba63339 |
+--------------------------------------+-----------+-----------------+------+-------------+----------+--------------------------------------+

Au départ, ce disque ne contient aucune donnée et n'est pas formaté. Si ce disque est destiné à contenir des données confidentielles, nous vous recommandons de le chiffrer. Cette opération est détaillée dans la Section 4.1, « Chiffrage des disques permanents ». Dans le cas contraire, connectez-vous à votre VM pour formater ce disque et le monter :

root@MY_VM_NAME:~# mkfs -t ext4 /dev/vdb
root@MY_VM_NAME:~# mkdir /storage1
root@MY_VM_NAME:~# mount /dev/vdb /storage1
root@MY_VM_NAME:~# df -h /storage1
Filesystem      Size  Used Avail Use% Mounted on
/dev/vdb        8.0G  3.0M  7.8G   1% /storage1

La dernière commande permet de vérifier que nous avons bien l'espace disponible de la taille choisie (ici 8 Go) monté sur /storage1 .

Note

Le disque virtuel peut également être partitionné avant le formatage. Pour ce faire, référez-vous à la documentation du système d'exploitation choisi.

Vous pouvez le déplacer d'une machine virtuelle à une autre en le démontant au sein de la VM (pour garantir l'intégrité des données stockées sur ce disque) :

root@MY_VM_NAME:~# umount /storage1

Note

Si vous avez ajouté votre volume persistant dans le fichier /etc/fstab de votre machine virtuelle (c.f. plus bas), pensez à supprimer la ligne en question avant de démonter le disque virtuel sous peine de ne plus pouvoir démarrer votre VM.

Puis en détachant le disque à l'aide de la commande nova :

# nova --insecure volume-detach MY_VM_NAME cf510967-e59b-4b37-9f78-c4f896752180
# cinder --insecure list
+--------------------------------------+-----------+-----------------+------+-------------+----------+-------------+
|                  ID                  |   Status  | Display Name    | Size | Volume Type | Bootable | Attached to |
+--------------------------------------+-----------+-----------------+------+-------------+----------+-------------+
| 60ef7f5f-f4a6-4732-9d26-b9b85553dd8a | available | data_pulsar     |  50  |     None    |  false   |             |
| cf510967-e59b-4b37-9f78-c4f896752180 | available | MY_VOLUME_NAME  |  8   |     None    |  false   |             |
+--------------------------------------+-----------+-----------------+------+-------------+----------+-------------+

Note

Si vous redémarrez la machine virtuelle, le disque ne sera pas remonté automatiquement. Pour cela, référez-vous à la documentation de fstab pour le système d'exploitation choisi.

3.6. Fin d'une machine virtuelle

Une fois les tâches sur la VM terminées, vous pouvez l'arrêter pour la redémarrer plus tard :

# nova --insecure stop 070da4c0-5ec4-475c-9177-e5bfaba63339
...
# nova --insecure start 070da4c0-5ec4-475c-9177-e5bfaba63339

Vous pouvez également la supprimer. Dans ce cas, toutes les modifications que vous avez apportés à l'image (installation de paquets, ...) seront supprimées, hormis celles qui sont sur le disque persistant. Avant de supprimer la VM, il faut se connecter à la VM et démonter le disque persistant (pour éviter de corrompre les données) :

root@MY_VM_NAME:~# umount /storage1

Si vous n'avez plus besoin des données sur le disque persistant, il faut le réinitialiser avec des données aléatoires pour des raisons de confidentialité (cette opération peut être assez longue) :

root@MY_VM_NAME:~# dd if=/dev/urandom of=/dev/vdb bs=4k

Puis, une fois la suppression des données effectives, détacher et supprimer le volume avec :

# nova --insecure volume-detach MY_VM_NAME cf510967-e59b-4b37-9f78-c4f896752180
# cinder --insecure delete cf510967-e59b-4b37-9f78-c4f896752180

Enfin, vous pouvez supprimer la VM :

# nova --insecure delete 070da4c0-5ec4-475c-9177-e5bfaba63339

4. Gestion de la sécurité dans le Cloud

Cette section traite de la sécurité et des points auquels vous devez faire attention lorsque vous utilisez des systèmes Cloud.

4.1. Chiffrage des disques permanents

Cette section détaille l'utilisation de l'outil dm-crypt/LUKS pour le chiffrage des disques permanents. Cet outil est fourni en standard par les distributions Linux et peut facilement être installé avec le gestionnaire de paquets dans votre machine virtuelle.

Pour Debian / ubuntu:

# sudo apt-get -y update
# sudo apt-get -y install cryptsetup

 

Pour chiffrer un disque permanent, il faut tout d'abord l'initialiser correctement. Dans l'exemple ci-dessous, le disque dénommé /dev/vdb est dans un premier temps rempli de données aléatoires, puis il est initialisé à l'aide de la commande cryptsetup luksFormat ci-dessous. Cette première étape peut être assez longue.

root@MY_VM_NAME:~# dd if=/dev/urandom of=/dev/vdb bs=4k
root@MY_VM_NAME:~# cryptsetup -v --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 \
  --use-random luksFormat /dev/vdb

La commande suivante permet de vérifier que le disque est maintenant du type LUKS :

root@MY_VM_NAME:~# cryptsetup luksDump /dev/vdb
LUKS header information for /dev/vdb

Version:       	1
Cipher name:   	aes
Cipher mode:   	xts-plain64
Hash spec:     	sha512
Payload offset:	4096
MK bits:       	512
MK digest:     	c4 f7 4b 02 2a 3f 12 c1 2c ba e5 c9 d2 45 9a cd 89 20 6c 73 
MK salt:       	98 58 3e f3 f6 88 99 ea 2a f3 cf 71 a0 0d e5 8b 
               	d5 76 64 cb d2 5c 9b d1 8a d3 1d 18 0e 04 7a eb 
MK iterations: 	81250
UUID:          	c216d954-199e-4eab-a167-a3587bd41cb3

Key Slot 0: ENABLED
	Iterations:         	323227
	Salt:               	a0 45 3e 98 fa cf 60 74 c6 09 3d 54 97 89 be 65 
	                      	5b 96 7c 1c 39 26 47 b4 8b 0e c1 3a c9 94 83 c2 
	Key material offset:	8
	AF stripes:            	4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

Le disque est maintenant prêt à être utilisé. La première fois que vous l'utilisez, il faut effectuer les étapes suivantes :

  1. Ouvrir le disque chiffré avec la commande cryptsetup luksOpen . Le nom storage1 n'est qu'indicatif, vous pouvez choisir ce que vous voulez :

    root@MY_VM_NAME:~# cryptsetup luksOpen /dev/vdb storage1
    
  2. Créer un système de fichier sur le disque :

    root@MY_VM_NAME:~# mkfs.ext4 /dev/mapper/storage1
    
  3. Créer le point de montage du disque :

    root@MY_VM_NAME:~# mkdir /storage1
    
  4. Monter le disque :

    root@MY_VM_NAME:~# mount -t ext4 /dev/mapper/storage1 /storage1
    
  5. Vérifier l'espace disponible (cela peut être légèrement différent de ce qui a été entré lors de la commande cinder create ) :

    root@MY_VM_NAME:~# df -h /storage1
    Filesystem            Size  Used Avail Use% Mounted on
    /dev/mapper/storage1  2.0G  6.0M  1.9G   1% /storage1
    

Une fois que le disque est opérationnel, les étapes 2 et 3 ne sont plus nécessaires.

Vous pouvez maintenant envoyer des fichiers (par exemple DONNEES.dat) depuis votre ordinateur personnel dans votre machine virtuelle de façon sécurisée, par exemple avec scp :

user@work:~# scp -i ${HOME}/.novacreds/cloudkey DONNEES.dat Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.:/le/chemin/destination
DONNEES.dat                               100%   82     0.1KB/s   00:00    

Lorsque vous avez terminé votre travail sur le disque, vous pouvez le retirer proprement avec les commandes suivantes :

root@MY_VM_NAME:~# umount /storage1
root@MY_VM_NAME:~# cryptsetup close storage1

5. Résolution des problèmes

Cette section vous permet de résoudre les problèmes les plus communs rencontrés lors de l'utilisation de OpenStack.

5.1. Problème de connexion avec SSH

Immédiatement après le démarrage de la machine virtuelle, vous pouvez vous retrouver avec des problèmes de connection :

# ssh -i ${HOME}/.novacreds/cloudkey Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
ssh: connect to host 134.158.151.108 port 22: Connection refused

Ce problème est généralement dû au fait que le service SSH n'est pas encore démarré sur la machine virtuelle. Il faut attendre, cela pouvant prendre jusqu'à plusieurs minutes.

Un autre type d'erreur peut être rencontré :

# ssh -i ${HOME}/.novacreds/cloudkey Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
[...]
Permission denied (publickey).

Dans ce cas, il faut vérifier que la clé SSH que vous utilisez est la même que celle stockée dans la base de données OpenStack. Pour cela, vérifiez que leurs empreintes (fingerprint) sont équivalentes. Pour obtenir l'empreinte de la clé stocké par OpenStack, exécutez :

# nova --insecure keypair-list
+----------+-------------------------------------------------+
| Name     | Fingerprint                                     |
+----------+-------------------------------------------------+
| cloudkey | 0d:97:13:66:49:03:44:da:69:82:3c:dd:b9:d7:25:64 |
+----------+-------------------------------------------------+

Et pour obtenir l'empreinte de la clé utilisé par la commande ssh , exécutez :

# ssh-keygen -lf ${HOME}/.novacreds/cloudkey.pub
2048 33:91:4b:38:52:63:1d:18:7b:e0:e3:0d:3b:63:ce:4b  you@home (RSA)

Si elles sont différentes, il faut mettre à jour votre clé publique dans OpenStack :

# nova --insecure keypair-delete cloudkey
# nova --insecure keypair-add --pub-key=${HOME}/.novacreds/cloudkey.pub \
  cloudkey
# nova --insecure keypair-list
+----------+-------------------------------------------------+
| Name     | Fingerprint                                     |
+----------+-------------------------------------------------+
| cloudkey | 33:91:4b:38:52:63:1d:18:7b:e0:e3:0d:3b:63:ce:4b |
+----------+-------------------------------------------------+

Si elles sont bien identiques, il se peut que OpenStack n'ait pas réussi à les installer correctement lors du démarrage de la nouvelle VM. La brique logicielle cloud-init est responsable de l'installation de la clé SSH dans votre machine virtuelle. Vous pouvez voir les lignes de log de cloud-init dans la console de la machine virtuelle. Pour obtenir l'url de connexion à la console, utilisez la commande suivante :

# nova --insecure get-vnc-console MY_VM_NAME novnc
+-------+----------------------------------------------------------------------------------------+
| Type  | Url                                                                                    |
+-------+----------------------------------------------------------------------------------------+
| novnc | http://sbgcloud.in2p3.fr:6080/vnc_auto.html?token=d609176d-c397-4841-b4dc-566300209209 |
+-------+----------------------------------------------------------------------------------------+

Puis, après vous être connecté à la console avec un navigateur Internet, recherchez les lignes qui contiennent les éléments ci-info et Authorized keys from et comparez les empreintes de votre clé. Si vous voyez des messages d'erreur, le plus simple est de contacter l'équipe d'administrateurs Cloud de l'IPHC en lui fournissant une copie de ces messages d'erreur.

Lorsque la clé est transférée avec succès sur la machine virtuelle, vous avez un message du type :

Cloud-init v. 0.7.5 running 'module:final' at Mon, 27 Jun 2015 08:15:34 +0000. Up 65.40 seconds.
ci-info: ++++++++++++++Authorized keys from /root/.ssh/authorized_keys for user root++++++++++++++
ci-info: +---------+-------------------------------------------------+---------+-----------------+
ci-info: | Keytype |                Fingerprint (md5)                | Options |     Comment     |
ci-info: +---------+-------------------------------------------------+---------+-----------------+
ci-info: | ssh-rsa | 33:91:4b:38:52:63:1d:18:7b:e0:e3:0d:3b:63:ce:4b |    -    |   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.   |
ci-info: +---------+-------------------------------------------------+---------+-----------------+

6. Références complémentaires

Les sites suivants peuvent être consultés pour obtenir plus d'informations concernant l'utilisation d'OpenStack :