Hyppää sisältöön

Welcome to our weekly research support coffee hour on Zoom! Click here for more information.

Warning!

Puhti scratch disk is becoming very full (80+ % ) resulting in performance degradation. Everybody is advised to only keep actively processed data on scratch, all other data should be deleted, transferred to host institute or stored in Lumi-O. No new quota will be granted. Click here for a tool for examining your disk usage.

Palomuurien käyttö Pukissa

Kaikilla tietokantaesiintymillä on omat palomuurinsa. Käyttäjät ovat vastuussa siitä, että palomuurisäännöt ovat tiukat. Palomuurisäännöt tulee avata vain niille IP-osoitteille, joita tarvitaan. Löyhät palomuurisäännöt ovat todennäköisesti yksi suurimmista tietoturvariskeistä, ja tähän on suhtauduttava vakavasti. Vaikka tietokannassasi ei olisi mitään "salaista" dataa, sitä ei saa avata koko maailmalle. Jos haluat jakaa dataasi, tee se välityspalvelimen tai muiden palveluiden kautta, jotka voivat käyttää tietokantaa taustajärjestelmänä. Tietokannan portin jättäminen avoimeksi internetiin on varma tapa houkutella haitallisia toimijoita kohdistamaan hyökkäyksiä tietokantaasi.

Palomuurien hallinta

Voit muuttaa olemassa olevien esiintymien palomuureja selainkäyttöliittymässä painamalla "Update Instance".

openstack CLI -työkalulla voit käyttää komentoa opsenstack database instance update --help. Huomaa, että komento korvaa olemassa olevat palomuurisäännöt, mikä tarkoittaa, että sinun on määritettävä kaikki palomuurin avaukset joka kerta, kun päivität esiintymän palomuureja --allowed-cidr-lipulla.

Julkisen IP-osoitteesi selvittäminen

Jos et tiedä julkista IPv4-osoitettasi, voit tarkistaa sen seuraavasti:

  • Komentorivi:
curl ifconfig.me -4
  • Selain:

Käy sivulla IP address.

Käytä palautettua IP-osoitetta CIDR-muodossa lisäämällä loppuun /32, jotta vain kyseinen yksittäinen IP-osoite sallitaan. Esimerkiksi:

192.168.0.1/32

Yksittäisen IP-osoitteen, aliverkon tai useiden tiettyjen IP-osoitteiden salliminen

Lisäämällä IP-osoitteen, kuten 192.168.0.1/32, loppuun "CIDR-merkinnän" /32 tarkoitetaan, että sallit vain kyseisen tietyn IP-osoitteen.

On myös mahdollista sallia aliverkko, esimerkiksi /24, jos haluat sallia kokonaisen verkon, kuten toimistosi verkon. Pienin sallittu peite on /22, mikä tarkoittaa 1024 IP-osoitetta. Pukki ei salli arvoa 0.0.0.0/0, koska tämä arvo olisi liian helppo asettaa ja unohtaa, että tietokantaesiintymäsi on saavutettavissa koko internetistä.

Useita tiettyjä IP-osoitteita voidaan sallia syöttämällä kukin omana /32-merkintänään pilkuilla erotettuun listaan, kuten 192.168.0.1/32,192.168.0.2/32,192.168.0.3/32.

Palomuurin avaukset muista CSC:n palveluista

Jotta voit käyttää tietokantaasi muista CSC:n palveluista, sinun on sallittava tiettyä sisääntulevaa liikennettä. Tämä tehdään sallimalla aliverkkoja.

cPouta

  • Jos palvelimellasi, josta haluat muodostaa yhteyden tietokantaesiintymiisi, on "floating IP" (julkinen IP), sinun tulee sallia kyseinen IP Pukissa.
  • Jos palvelimellasi ei ole floating IP:tä, sinun on sallittava reitittimen "External Fixed IPs". Löydät IP-osoitteen Poudan selainkäyttöliittymästä kohdasta Network -> Routers -> kyseinen reititin -> "External Fixed IPs"

ePouta

On tärkeää muistaa, että kaikki liikenne ePoudasta Pukkiin kulkee "internetin" kautta, mikä voi olla ristiriidassa sen kanssa, miksi olet alun perin valinnut ePoudan.

  1. Jos haluat silti sallia pääsyn Pukkiin, sinun on varmistettava, että kotiorganisaatiosi palomuurit sallivat liikenteen Pukin tietokantaesiintymääsi.
  2. Jos käytät ePoudassa "julkista IP-osoitealuetta", voit vain päivittää tietokantaesiintymäsi uudella IP-osoitteella käyttäen "CIDR-merkintää" (päätettä) /32.

Rahti

Rahti käyttää 86.50.229.150/32-osoitetta jaettuna ulosmenevänä IP-osoitteena. Huomaa, että jos käytät Rahtia tällä jaetulla ulosmenevällä IP-osoitteella, kaikki muutkin Rahdin asiakkaat voivat käyttää tietokantaasi, mikä tekee entistä tärkeämmäksi käyttää tietokannallesi vahvaa käyttäjätunnusta ja salasanaa.

Lisätietoja löytyy Rahdin tietoturvaoppaasta

Noppe

Jos sinun täytyy käyttää Pukin tietokantaesiintymää Nopesta, sinun on sallittava tämä IP-osoite 193.167.189.137/32 . Huomaa, että myös kaikki muut Notebook-käyttäjät voivat käyttää tietokantaesiintymiäsi, joten on tärkeää käyttää vahvoja salasanoja tietokannan käyttäjälle.

Puhti

Kun käytät Pukin tietokantaa Puhdissa kirjautumis- ja laskentasolmuilta, voit sallia tämän:

86.50.164.176/28

Mahti

Kun käytät Pukin tietokantaa Mahdissa sekä kirjautumissolmuilta että laskentasolmulta, voit sallia tämän:

86.50.165.192/27

LUMI

Kun käytät Pukin tietokantaa LUMIsta, sinun on sallittava seuraava CIDR:

193.167.209.160/28

Suomenkielinen tekoälykäännös

Sisällössä voi esiintyä virheellistä tietoa tekoälykäännöksestä johtuen.

Klikkaa tästä antaaksesi palautetta

Ymmärrän.