• »
  • OPENSTACK CLI »
  • Jak utworzyć i skonfigurować nowy projekt Openstack za pomocą Horizon w chmurze NSIS Cloud

Jak utworzyć i skonfigurować nowy projekt Openstack za pomocą Horizon w chmurze NSIS Cloud

Domyślne elementy konta

Podczas pierwszego tworzenia konta w hostingu NSIS zostaną zastosowane domyślne ustawienia dla konta. Między innymi:

  • zostaniesz właścicielem konta tenant manager

  • utworzysz domyślny projekt mający

  • trzy sieci

  • i dwie grupy zabezpieczeń.

W terminologii OpenStack rolą tenant menagera jest bycie administratorem konta. Jako tenant menager możesz:

  • korzystać z konta bezpośrednio, ale możesz również

  • tworzyć innych użytkowników konta.

Zanim użytkownicy będą mogli zacząć korzystać z konta, należy utworzyć projekt i dołączyć do niego inne elementy: użytkowników, grupy, role itd. Następnie należy zaprosić użytkownika do organizacji, użytkownicy muszą się zalogować przy użyciu własnych danych logowania. Jest jednak pewien problem:

  • nowy projekt utworzony przez tenant menagera nie będzie mieć automatycznie wygenerowanej zewnętrznej sieci,

  • grupa zabezpieczeń allow_ping_ssh_icmp_rdp również nie zostanie wygenerowana.

Innymi słowy, użytkownicy konta nie będą mieli dostępu do Internetu.

W tym artykule dowiesz się, jak przezwyciężyć te problemy.

Wymagania wstępne

Nr 1 Hosting

Wymagane jest konto hostingowe NSIS z interfejsem Horizon https://horizon.cloudferro.com.

Nr 2 Wprowadzenie do projektów OpenStack

Podstawowe elementy projektu OpenStack - grupy, projekty, role i itd. są omówione w artykule Co to jest projekt OpenStack na NSIS Cloud.

Nr 3 Grupy zabezpieczeń

Artykuł Jak używać grup bezpieczeństwa w Horizon na NSIS Cloud opisuje jak tworzyć i edytować grupy zabezpieczeń. Umożliwiają one otwarcie portów, przez które maszyna wirtualna komunikuje się z innymi sieciami, w szczególności z Internetem.

Nr 4 Utworzenie sieci z routerem

Poniższy artykuł opisuje, jak utworzyć sieć z routerem:

Wartości domyślne na koncie tenant menagera

Kliknij sekcję Network -> Networks i sprawdź, czy są tam obecne trzy domyślne sieci. Ponieważ projekt zawiera w swojej nazwie numer 341, sieci również będą go zawierać: cloud_00341_3 i eodata_00341_.

../_images/present_networks.png

Informacja

Ten numer, w tym przypadkku 341 jest różny w zależności od chmury i można go zobaczyć w lewym górnym rogu okna przeglądarki.

W szczególności nazwy dwóch domyślnych sieci zaczynają się od:

  • cloud_00 – sieć do wewnętrznej komunikacji wszystkich obiektów na koncie

  • eodata_00, sieć dostępu do danych obserwacji Ziemi (obrazy z satelitów do wykorzystania w projekcie)

  • trzecia sieć nazywana zewnętrzną ma dostęp do świata zewnętrznego – Internetu.

Kliknij opcję Network -> Security Groups, aby sprawdzić, czy są obecne dwie domyślne grup zabezpieczeń:

../_images/default_security_groups.png

Domyślne grupy zabezpieczeń to:

  • default, domyślna grupa zabezpieczeń,

  • allow_ping_ssh_icmp_rdp, umożliwiająca dostęp do zwykłych typów ruchu: do Internetu, z systemu Windows do chmury itp.

Pierwsza z nich zamyka wszelką komunikację z maszyną wirtualną ze względów bezpieczeństwa, podczas gdy drugi otwiera tylko porty do normalnego użytku. W tym przypadku będzie to ruch typu ping, ssh, icmp i rdp. Definicja tych terminów znajduje się w wymaganiu wstępnym nr 3.

Tworzenie nowego projektu

Projekt może zawierać użytkowników, grupy i ich role, więc pierwszym krokiem jest zdefiniowanie projektu, a następnie dodanie użytkowników, grup i ról.

Krok 1 Utworzenie projektu

Wybierz w menu sekcję IdentityProjects po lewej stronie ekranu.

../_images/identity_projects.png

Kliknij przycisk Create Project.

Wpisz nazwę projektu (jest to obowiązkowe) i upewnij się, że pole wyboru Enable jest zaznaczone, aby projekt stał się aktywny.

../_images/create_project.png

Następnie przejdź na kartę Project Members.

../_images/screen03.png
../_images/screen03a.png

Możesz dodać do projektu użytkowników, klikając ikonę „+” na liście użytkowników.

Można nadać uprawnienia wszystkim członkom projektu poprzez wybranie odpowiedniej roli z rozwijanego menu.

../_images/select_role.png

Rola member jest najbardziej podstawową rolą, która ma dostęp do większości części chmury. Role zaczynające się od k8s- mają dostęp do klastrów Kubernetes, więc zignoruj je, jeśli w swoim projekcie nie używasz klastrów Kubernetes. Ze względów bezpieczeństwa typy użytkowników heat_stack_user i admin nie powinny być używane, chyba że wiesz, co robisz.

Ostatnia karta, Project Groups, umożliwia dodawanie grup użytkowników z tymi samymi uprawnieniami.

Aby zakończyć konfigurację nowego projektu, kliknij niebieski przycisk Create Project.

Jeśli konfiguracja została ustawiona prawidłowo, nowy projekt powinien pojawić się na liście. Zwróć uwagę na kolumnę Project ID, ponieważ będzie ona potrzebna w następnym kroku.

../_images/new_project.png

Masz teraz do dyspozycji dwa projekty:

../_images/projects_present.png

Aby aktywować nowy projekt testproject, kliknij jego nazwę. Nazwa aktywnego projektu będzie dostępna w lewym górnym rogu:

../_images/testproject.png

Jak wspomniano wcześniej, nowy projekt nie będzie miał dostępu do sieci zewnętrznej. Aby to sprawdzić, wybierz projekt, wybierz sekcję Network -> Networks i zobaczysz, że nowy projekt nie ma zdefiniowanych sieci.

../_images/no_networks_present.png

W przypadku grup zabezpieczeń sytuacja jest podobna: sieć domyślna jest obecna, ale brakuje grupy zabezpieczeń allow_ping_ssh_icmp_rdp.

Krok 2 Dodanie do projektu sieci zewnętrznej

Aby dodać sieć zewnętrzną do takiego projektu, należy skontaktować się z działem obsługi klienta, tworząc zgłoszenie. Instrukcje jak to zrobić znajdują się w artykule Helpdesk i wsparcie. Zgłoszenie powinno zawierać identyfikator projektu z listy projektów. Aby uzyskać identyfikator projektu, kliknij sekcję Project -> API Access.

../_images/api_access.png

a następnie przycisk View Credentials po prawej stronie. Pojawi się okno z nazwą użytkownika, identyfikatorem użytkownika, nazwą projektu, identyfikatorem projektu i adresem URL uwierzytelniania.

../_images/user_credentials.png

Skopiuj te wartości i umieść je w wiadomości e-mail w oknie Helpdesk. Kliknij przycisk Wyślij wniosek, aby wysłać wiadomość:

openstackcli/add_ticket_NSIS_cloud.jpeg

Ten artykuł https://docs.nsiscloud.polsa.gov.pl/pl/latest/portalnsiscloud/Menedzer-zasobow/Menedzer-zasobow.html#wnioskuj pokazuje jak tworzyć takie wnioski.

Krok 3 Dodanie do projektu grupy zabezpieczeń

Gdy pomoc techniczna odpowie, na liście sieci pojawi się sieć external. Następnie utwórz grupę zabezpieczeń i włącz porty 22 (SSH) i 3389 (RDP), postępując zgodnie z instrukcjami podanymi w punkcie 3. Grupa zabezpieczeń powinna wyglądać następująco:

../_images/screen07.png

Port 22 umożliwi dostęp SSH do instancji, a port 3389 umożliwi dostęp przez RDP. SSH i RDP to protokoły umożliwiające dostęp do maszyny wirtualnej odpowiednio z lokalnych komputerów z systemem Linux lub Windows.

Krok 4 Tworzenie sieci z routerem

Ostatnim krokiem jest utworzenie sieci z routerem. Patrz wymaganie wstępne nr 4.

Co można zrobić dalej?

Twój testproject jest gotowy do tworzenia nowych instancji. Na przykład zobacz artykuły:

Jeśli chcesz, aby nowy użytkownik miał dostęp do projektu testproject, będą przydatne poniższe artykuły: