Instances virtuelles - Didacticiels

Comment déployer une instance virtuelle ?

Pour créer une nouvelle instance virtuelle, rendez-vous sur ITCare et recherchez votre service global cible où vous créerez votre nouvelle instance.

Recherchez votre service global dans la barre de recherche supérieure et cliquez dessus pour afficher sa page d'information. Une fois dans votre service global, cliquez sur le bouton Créer une ressource, sélectionnez Linux, Windows ou AIX et la version et/ou la distribution souhaitée.

Remplir les champs :

  • Nom de la machine virtuelle

  • Dimensionnement du CPU/RAM

  • Disques et capacité de stockage pour chaque disque

  • Emplacement de la cible

  • Réseau cible

  • Options de gestion (sauvegarde, surveillance, surveillance 24x7, réplication des données)

Cliquez sur Suivant une fois que tous les champs ont été remplis.

Lors de l'étape de personnalisation, vous pouvez :

  • Formuler une requête spécifique (il est à noter que cela retardera la tâche automatisée car cela déclenchera une intervention humaine)

  • Créer plusieurs instances avec la même configuration (noms et emplacement à fournir)

Cliquez ensuite sur Suivant.

Lisez le résumé avant de soumettre le formulaire.

L'approvisionnement peut prendre jusqu'à 2 heures, en fonction de la charge d'automatisation actuelle.

Une fois que le déploiement est prêt, vous en serez informé par e-mail.

Comment puis-je me connecter à mon instance virtuelle ?

Quelle que soit l'instance ou le système d'exploitation auquel vous devez vous connecter, l'utilisation d'un Bastion est obligatoire. Vous devez d'abord vous connecter au Bastion assigné à votre locataire, à partir duquel vous pouvez ensuite initier une connexion SSH ou RDP à vos instances.

Linux

Connexion SSH en utilisant Putty ou mRemoteNG installé sur votre Bastion. Les identifiants à utiliser sont vos propres identifiants d'utilisateur adm.corp.

La connexion directe en tant qu'utilisateur root est désactivée sur toutes les instances virtuelles Linux. Vous devez vous connecter avec un utilisateur non root, puis utiliser les permissions sudoers pour effectuer des actions à haut privilège.

Comment s'authentifier ?

Deux méthodes d'authentification sont autorisées :

  • LDAP

  • Clé publique et privée

Pour se connecter via SSH en utilisant la méthode d'authentification LDAP, vous devez avoir un compte valide dans le même domaine LDAP que celui dans lequel votre instance virtuelle est inscrite.

Il n'est pas nécessaire de spécifier le nom du domaine LDAP dans votre login.

$ ssh johndoe@myinstance
 johndoe@myinstance's password: xxxxxx 
 Creating directory '/home/johndoe'. 
 johndoe@myinstance:~$

Lors de la première connexion, votre répertoire personnel sera automatiquement créé : /home/<yourlogin>/

Pour obtenir la liste des commandes autorisées, entrez la commande suivante : sudo -l

johndoe@myinstance:~$ sudo -l
Matching Defaults entries for johndoe on myinstance:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin
 
User johndoe may run the following commands on myinstance:
    (ALL) NOPASSWD: ALL
    (ALL) NOPASSWD: ALL

Pour se connecter à une instance virtuelle linux avec votre clé publique SSH, votre clé doit être ajoutée au fichier /home/<user>/.ssh/authorized_keys.

<user> est le nom du compte local sur le serveur cible et login spécifie le nom de l'utilisateur local : ssh user@host

Window

Connexion RDP en utilisant Remote Desktop de mRemoteNG ou Windows mstsc intégré sur votre Bastion. Les identifiants à utiliser sont ceux de l'utilisateur adm.corp.

AIX

Connexion SSH en utilisant Putty ou mRemoteNG installé sur votre Bastion. Un compte utilisateur local avec un accès sudo ou root sera fourni lors de la livraison de l'instance.

Comment autoriser l'accès à une instance virtuelle linux ?

Autorisation de connexion LDAP

our lister les utilisateurs et groupes LDAP autorisés à se connecter, utilisez la commande suivante :

$ grep allow /etc/sssd/sssd.conf
simple_allow_groups = LDAP_GROUP_ADMIN
simple_allow_users = bernard
  • simple_allow_groups : groupes LDAP

  • simple_allow_users : utilisateurs LDAP

Vous ne pouvez ajouter que des groupes ou des utilisateurs inscrits dans le même domaine LDAP que votre instance virtuelle.

Ajouter des utilisateurs

Pour autoriser la connexion d'un utilisateur LDAP, utilisez la commande suivante :

// add one user
$ realm permit --realm <domain> <user>

// add multiple users
$ realm permit --realm <domain> user1 user2 userX

Ajouter des groupes

Pour autoriser la connexion à un groupe LDAP, utilisez la commande suivante :

// add one group
$ realm permit --realm <domain> --groups <group>

// add multiple groups
$ realm permit --realm <domain> --groups group1 group2 groupX

Supprimer des accès

Pour supprimer l'accès à un utilisateur ou groupe LDAP, utilisez la commande suivante :

// remove user
$ realm permit --withdraw <user>

// remove group
$ realm permit --withdraw --groups <group>

Comment gérer les permissions sous Linux ?

Pour accorder des droits sudo à des utilisateurs ou groupes LDAP (ainsi qu'à des utilisateurs ou groupes locaux), créez un nouveau fichier dans /etc/sudoers.d

Il n'est pas recommandé d'ajouter des instructions sudoers dans le fichier /etc/sudoers. Réservé au système.

$ touch /etc/sudoers.d/devops

Utilisez la commande visudo pour éditer votre fichier sudoers :

$ visudo -f /etc/sudoers.d/devops
# devops
%G_GROUP_DEVOPS    ALL=(ALL)  NOPASSWD:ALL
bernard            ALL=(ALL)  NOPASSWD:ALL

Comme les groupes UNIX, les groupes LDAP dans le fichier sudoers doivent être préfixés par un '%'.

Last updated