Differences
This shows you the differences between two versions of the page.
|
rl:labs:06 [2019/10/08 15:16] georgiana.trifu [Exerciții] |
rl:labs:06 [2023/11/10 17:11] (current) laura.ruse [Pregătire infrastructură de laborator] |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| + | ~~SHOWSOLUTION~~ | ||
| ~~NOTOC~~ | ~~NOTOC~~ | ||
| - | ====== Laborator 6. Amazon Web Services ====== | + | ====== Laborator 6. Adresare IP și rutare în Linux ====== |
| ===== Cunoștințe și abilități ce vor fi dobândite ===== | ===== Cunoștințe și abilități ce vor fi dobândite ===== | ||
| - | * Administrarea resurselor cloud folosind consola grafică. | + | * Configurare de adrese IP în Linux |
| - | * Securitate în cloud. | + | * Configurarea rutării în Linux |
| - | * Configurarea rutării în cloud. | + | * Depanarea problemelor de configurare a rețelei în Linux |
| - | * Accesarea serviciilor de transfer de fișiere (FTP). | + | |
| - | ===== Pregătire infrastructură de laborator ===== | + | ===== Cheat sheet ===== |
| - | * Vom crea o infrastructură de rețea în cloud-ul Amazon. | + | * {{:rl:rl_cheatsheet.pdf|Cheat Sheet}} |
| - | * Fiecare student are creat un cont în [[https://073736590675.signin.aws.amazon.com/console?region=eu-west-1 | cloud-ul Amazon]]. Pentru a vă loga în contul asignat veți primi fiecare o parolă din partea asistentului de laborator. | + | |
| + | ===== Pregătire infrastructură de laborator ===== | ||
| - | ===== Prezentare concepte ===== | + | * Avem nevoie de o mașină virtuală a laboratorului. Vă rugăm urmăriți [[:rl:info:resurse:vm-laborator|pagina aceasta pentru instrucțiuni]], apoi reveniți. |
| + | * **Atenție:** puteți accesa mașina virtuală (din spațiul ''10.9.0.0/16'') doar prin intermediul serverului fep! | ||
| - | Servicii de cloud existente: Amazon Web Services, Google Cloud Platform și Microsoft Azure. | + | * **Sfat util pentru toate laboratoarele:** pentru a vă autentifica pe ''fep.grid.pub.ro'' fără să vă ceară autentificare web și two-factor, se recomandă generatul și instalatul unei perechi de chei publice/private după pașii de mai jos (pe un sistem Linux): <code bash> |
| + | # pe sistemul gazdă (e.g., laptop / PC): | ||
| + | ssh-keygen # fără argumente, folosim setările implicite | ||
| + | # ne-a generat fișierele ~/.ssh/id_rsa și ~/.ssh/id_rsa.pub | ||
| + | cat ~/.ssh/id_rsa.pub | ||
| + | # copiem tot (inclusiv id-rsa ... până la final) în clipboard | ||
| + | # ne autentificăm la fep, clasic (încă nu merge fără parolă că n-am terminat configurarea): | ||
| + | ssh username@fep.grid.pub.ro | ||
| + | # odată conectați pe fep: | ||
| + | mkdir -p ~/.ssh | ||
| + | vim ~/.ssh/authorized_keys # sau nano, dacă nu vă place vim :( | ||
| + | # și dați paste la cheia voastră publică aici (dacă sunteți prin vim, nu uitați să intrați în INSERT) | ||
| + | # ieșiți și apoi vă reconectați la fep, nu ar trebui să vă mai ceară parolă :D | ||
| + | ssh username@fep.grid.pub.ro # doamne-ajută! | ||
| + | </code> | ||
| - | Mai departe discutăm despre AWS; serviciile pe care le vom folosi în cadrul laboratorului: | + | <note> |
| - | * Compute: EC2 | + | Pentru utilizatorii de Windows, ar trebui să existe utilitarul ssh-keygen în consola clasică sau PowerShell. |
| - | * Networking and Content Delivery: VPC | + | Dacă folosiți Putty, din păcate, pașii sunt mult mai laborioși (folosește alt format pentru chei publice și va trebui să faceți conversia), deci nu vom lista pașii necesari aici (hint: use Google sau folosiți ssh-ul nativ de pe Windows 10, e mai OK). |
| + | </note> | ||
| - | Alte servicii în cloud-ul Amazon: | + | * Pentru a pregăti configurația de laborator, pe mașina virtuală (stația ''host'') folosiți comenzile următoare din contul utilizatorului ''root'' de pe stația ''host'' (puteți da copy/paste la comenzi în terminal):<code bash> |
| - | * Storage - Amazon Simple Storage Service (Amazon S3) | + | # ATENȚIE: update_lab nu funcționează de pe root, folosiți student inițial |
| - | * Database | + | student@host:~# update_lab --force |
| - | * Machine Learning | + | student@host:~# start_lab ip |
| - | * Analytics | + | </code> |
| - | * AR&VR | + | * Deschideți trei noi tab-uri în terminal (folosiți combinația de taste ''Ctrl+Shift+t''), și conectați-vă, din nou, la mașina virtuală folosind comanda ''ssh'' de mai sus. |
| - | * Mobile | + | * De pe cele trei noi tab-uri, conectați-vă la cele trei containere (''red'', ''green'' și ''blue''). |
| + | * Pentru o conectare mai ușoară puteți folosi aliasul ''go'' (ex. ''go red'') | ||
| - | EC2 (Amazon Elastic Compute Cloud) oferă capacitate dinamică computațională în cloud. De asemenea, pentru a dezvolta și lansa aplicații nu mai ai nevoie să îți achiziționezi hardware-ul, acest serviciu punându-ți la dispoziție: servere virtuale, configurarea securității și networking, ajustarea spațiului de stocare. | + | <note> |
| - | + | Pentru a vedea cum accesați stațiile ''red'', ''green'' și ''blue'' (containere Docker configurate peste mașina virtuală VMware - stația ''host'') urmăriți indicațiile din [[:rl:info:resurse:vm-laborator#instructiuni_de_utilizare|pagina cu instrucțiuni de utilizare a mașinii virtuale]]. | |
| - | {{:rl:labs:virtual_private_cloud.png?200 | }} \\ | + | |
| - | + | ||
| - | Virtual Private Cloud te ajută să pornești resursele Amazon într-o rețea virtuală definită de tine. Această rețea seamănă cu o rețea tradițională unde poți configura spații de adrese, tabele de rutare, gateways și setări de securitate, dar are în plus beneficiile utilizării unui infrastructuri scalabile precum AWS. Fiecare VPC creat este izolat logic de oricare alt VPC din cloud. | + | |
| - | + | ||
| - | Fiecare cont Amazon vine cu un VPC prestabilit pentru a putea să folosești resursele Amazon fără să îți construiești infrastructura de la zero. O diagrama simplă pentru un VPC avem în alăturată. | + | |
| - | + | ||
| - | Două sau mai multe VPC-uri pot comunica atâta timp cât se află în aceeași regiune. În plus VPC-urile ale căror blocuri de adrese IP se suprapun nu pot comunica. \\ \\ | + | |
| - | + | ||
| - | 3 tipuri de adrese IP: | + | |
| - | * adrese IP private | + | |
| - | * adrese IP publice. O adresă publică ce a fost atribuită unei instanțe pe care am închis-o va reveni în pool-ul inițial de adrese. Când vom reporni instanța, aceasta va avea o altă adresă IP publică. | + | |
| - | * adresă IP publică statică este o adresă IP publică statică - una sau mai multe adrese IP publice statice pot rămâne asociate contului tău Amazon până în momentul în care alegi să renunți la ele. | + | |
| - | + | ||
| - | <note tip> | + | |
| - | Care era diferența între adrese IP private și adresele IP publice? | + | |
| </note> | </note> | ||
| - | Subnet - interval de adrese IP într-un VPC. Poți să lansezi resursele Amazon într-un subnet pe care îl creezi, la alegere. | + | <note> |
| - | + | Conturile de acces la mașina virtuală (stația ''host'') sunt (''username:parola''): | |
| - | În Amazon avem două tipuri de subnets: | + | * ''root:student'' |
| - | * Publice (atunci când resursele trebuie să aibă acces direct în Internet, de exemplu serverele web). Un subnet este făcut public atunci când există o rută în tabela de rutare care trimite traficul în Internet printr-un Internet Gateway. | + | * ''student:student'' |
| - | * Private (atunci când resursele nu trebuie să aibă acces direct în Internet, de exemplu bazele de date) | + | |
| - | + | ||
| - | <note important> | + | |
| - | În fiecare subnet, primele 4 adrese IP și ultima adresă IP nu pot fi folosite de utilizatori: | + | |
| - | * Prima este adresă de rețea | + | |
| - | * A doua este rezervată pentru ruter-ul VPC-ului | + | |
| - | * A treia este rezervată de AWS pentru serverul DNS (în general adresa de rețea a subnet-ului plus doi) | + | |
| - | * A patra este rezervată de AWS pentru viitoare utilizări | + | |
| - | * Ultima este adresa de broadcast | + | |
| </note> | </note> | ||
| - | Internet Gateway. IGW este o componentă a VPC-ului care permite comunicarea între instanțele din VPC și Internet. Pentru a comunica cu o instanță din subnet-ul public, este necesar ca instanța să aibă alocată o adresă IP publică statică. \\ | + | <note> |
| - | + | În mod implicit folosiți contul ''root'' pentru conectare pe toate stațiile. Aveți nevoie de drepturi privilegiate pentru configurare. Folosiți contul ''student'' doar unde vi se cere explicit. | |
| - | <note warning> | + | |
| - | Poți crea un singur obiect IGW per VPC. | + | |
| </note> | </note> | ||
| - | |||
| - | Tabela de rutare. Fiecare subnet dintr-un VPC trebuie să aibă asociată o tabelă de rutare. Un subnet poate fi asociat numai cu o singură tabelă de rutare la un moment dat, dar o tabelă de rutare poate fi asociată cu mai multe subnet-uri. | ||
| - | |||
| - | {{:rl:labs:nat_device.png?200 |}} | ||
| - | |||
| - | Pentru ca instanțele create într-un subnet privat să acceseze Internetul (dar să nu fie accesate din Internet) putem folosi un obiect AWS numit NAT Device (Network Address Translation Device). | ||
| - | (exemplu: web serverul este în subnet-ul public și baza de date în subnet-ul privat. Baza de date s-ar putea să aibă nevoie de conexiune la Internet) | ||
| - | |||
| - | NAT Gateway - serviciu AWS de management al traficului. Folosim un NAT Gateway pentru a permite instanțelor dintr-un subnet privat să aibă acces la Internet sau la alte servicii AWS și în același timp pentru a fi inițiate conexiuni din Internet către stațiile din acel subnet. | ||
| - | |||
| - | {{:rl:labs:security_group.png?100 |}} | ||
| - | |||
| - | Un Security Group acționează ca un firewall virtual care controlează traficul pentru una sau mai multe instanțe. Putem adăuga reguli pentru fiecare Security Group care să permită traficul către/de la instanțele asociate. | ||
| - | |||
| - | Prestabilit, fiecare Security Groups permite tot traficul de ieșire. Regulile unui Security Group sunt întotdeauna permisive (nu putem adăuga o regulă de „deny”); Un Security Group este stateful (dacă o instanță face o cerere, răspunsul va ajunge la instanță indiferent de regulile de intrare din Security Group). | ||
| - | Modificările făcute asupra regulilor dintr-un Security Group se aplică în timp real. | ||
| - | |||
| - | Un Network ACL (Access Control List) oferă un nivel opțional de securitate pentru VPC și acționează ca un firewall pentru controlul traficului de intrare și de ieșire pentru unul sau mai multe subnet-uri. | ||
| - | |||
| - | |||
| - | |||
| - | |||
| ===== Topologie ===== | ===== Topologie ===== | ||
| - | {{ :rl:labs:topologie.png?600 |}} | + | {{ :rl:topologie.png |}} |
| ===== Navigare ===== | ===== Navigare ===== | ||
| Line 105: | Line 73: | ||
| ===== Exerciții ===== | ===== Exerciții ===== | ||
| - | Dorim să ne creăm propriul VPC și să obținem o rețea funcțională conform topologiei de mai sus. Următoarele exerciții constituie pașii de parcurgere pentru ca la final să putem folosi rețeaua. | + | În cadrul exercițiilor din laboratoarele de Linux vom folosi [[:rl:labs:06#topologie|topologia de mai sus]]. |
| {{namespace>:rl:labs:06:contents&nofooter&noeditbutton}} | {{namespace>:rl:labs:06:contents&nofooter&noeditbutton}} | ||
