Hyppää sisältöön

Welcome to our weekly research support coffee hour on Zoom! Click here for more information.

Warning!

Puhti scratch disk is becoming very full (80+ % ) resulting in performance degradation. Everybody is advised to only keep actively processed data on scratch, all other data should be deleted, transferred to host institute or stored in Lumi-O. No new quota will be granted. Click here for a tool for examining your disk usage.

Virtuaalikoneen luominen Poudassa

Warning

Sinun kannattaa tutustua turvallisuusohjeisiin ja Poudan laskutuksen ehtoihin ennen ensimmäisen virtuaalikoneen käynnistämistä.

Voit myös katsoa webinaarin.

Pouta-pilvien selainkäyttöliittymät ovat saatavilla seuraavissa osoitteissa:

URL Palvelun nimi Pääsy
https://pouta.csc.fi  cPoudan selainkäyttöliittymä Käytettävissä internetissä
https://epouta.csc.fi ePoudan selainkäyttöliittymä Käytettävissä vain niistä IP-osoitteista, joille on annettu pääsy ePoudan hallintakäyttöliittymiin

Tämä OpenStack Horizon -pohjainen käyttöliittymä mahdollistaa pilvilaskennan perushallintatoimet, kuten uuden virtuaalikoneen käynnistämisen ja turvallisuusasetusten hallinnan.

Palvelun käyttöön tarvitset CSC-käyttäjätunnuksen ja cPouta-/ePouta-projektin CSC:llä. Tunnukset voidaan liittää MyCSC:ssä.

Voit kirjautua ePoutaan vain CSC-käyttäjätunnuksellasi.

Esivaatimukset

Ennen virtuaalikoneen luomista tarvitset nämä kaksi esivaatimusta:

  1. CSC-käyttäjätunnus. Tunnuksen voi luoda ohjeen Kuinka luoda uusi CSC-käyttäjätunnus mukaisesti.

    [MFA vaaditaan] 18. marraskuuta 2025 alkaen ePoudassa ja 25. marraskuuta 2025 alkaen cPoudassa

  2. Kirjautumisessa vaaditaan monivaiheinen tunnistautuminen (MFA). Lisätietoja on ohjeessa Monivaiheisen tunnistautumisen (MFA) opas

  3. CSC-projekti, jossa cPouta- tai ePouta-palvelu on käytössä. Voit luoda uuden projektin tai pyytää, että sinut lisätään olemassa olevaan projektiin. Projektissa täytyy olla sopiva palvelu käytössä. Voit seurata ohjetta cPouta-käyttöoikeuden hakeminen. Mutta jos sinun täytyy tallentaa tai käsitellä sensitiivinen data, sinun tulee käyttää ePoutaa ja hakea ePouta-käyttöoikeutta.

CSC-projektin valitseminen

Pouta project selection

Sinulla voi olla useampi kuin yksi CSC-projekti, jolla on pääsy Poutaan. Voit tarkistaa tämän osoitteessa my.csc.fi, jossa näet kaikki projektit, joihin sinulla on pääsy, sekä sen, missä projekteissa cPouta (tai ePouta) on aktivoitu palveluksi.

Kun palaat Poudan selainkäyttöliittymään, varmista, että valitset oikean projektin. Tässä on kaksi huomioitavaa asiaa:

  • Projekti on hiekkalaatikko, joka sisältää resursseja kuten virtuaalikoneita ja verkkoja, ja kuka tahansa, jolla on pääsy kyseiseen projektiin, voi nähdä, muokata ja poistaa kaikki nämä resurssit. Hän ei välttämättä pääse virtuaalikoneelle, koska tämä määräytyy koneeseen määritettyjen SSH-avainten perusteella.
  • Projekteja käytetään laskutuksen määrittämiseen. Varmista, että kustannukset kohdistuvat oikealle laskutusprojektille.

SSH-avainten määrittäminen

Jotta voit avata yhteyden virtuaalikoneisiisi cPoudassa/ePoudassa, sinun täytyy ensin todistaa henkilöllisyytesi virtuaalikoneelle, ja siihen tarvitset SSH-avaimet. Tätä kutsutaan yleisesti SSH-avainpariksi, koska se koostuu kahdesta tiedostosta: yksityisestä avaimesta ja julkisesta avaimesta. Tämä on oletustapa (ja turvallisempi tapa) käyttää virtuaalikoneita. SSH-avaimet tarvitsee määrittää vain kerran projektia kohden.

Tuo julkiset avaimet

Jos SSH-avaimet ovat sinulle jo tuttuja, voit käyttää olemassa olevia SSH-avaimiasi virtuaalikoneiden käyttöön. Siirry selainkäyttöliittymässä kohtaan Compute > Key Pairs ja valitse Import Public Key. Anna avaimellesi nimi; pidä mielessä, että tarvitset tätä nimeä virtuaalikoneita luodessasi, joten suositus on pitää nimi lyhyenä ja käyttötarkoitusta kuvaavana. Liitä sen jälkeen julkinen avaimesi. Sen täytyy olla yhdellä rivillä ja muodossa key-type hash comment, esimerkiksi RSA-avain käyttäjältä person@domain.name:

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAQQCo9+BpMRYQ/dL3DS2CyJxRF+j6ctbT3/Qp84+KeFhnii7NT7fELilKUSnxS30WAvQCCo2yU1orfgqr41mM70MB person@domain.name

Jos et ole aiemmin käyttänyt SSH-avainpareja, sinun täytyy luoda sellainen. Selainkäyttöliittymä voi tehdä tämän puolestasi:

  1. Siirry kohtaan Compute > Key Pairs ja valitse Create Key Pair.

    The Access & Security subpage in the cPouta web interface

    Kuva Access & Security -alasivu cPoudan selainkäyttöliittymässä

  2. Anna avaimellesi nimi ja napsauta Create Key Pair. Saat tallennettavaksi tiedoston "keyname.pem". Tallenna se kotihakemistoosi. Tämä on viimeinen kerta, kun voit ladata tämän yksityisen avaimen; Pouta ei säilytä kopiota siitä palvelimillaan.

    Create key

Linux ja Mac

Jotta voit asentaa edellisessä vaiheessa lataamasi avaimen (keyname.pem tai keyname.cer), sinun täytyy suorittaa nämä komennot:

MacOS:lle

Jos käytät Chrome-selainta Mac OS X Montereyssä, saat tiedoston keyname.cer tiedoston keyname.pem sijaan. Seuraava menettely on silti sama.

mkdir -p ~/.ssh
chmod 700 .ssh
mv keyname.pem ~/.ssh
chmod 400 ~/.ssh/keyname.pem

400 = Vain omistaja voi lukea

Kun Unix-järjestelmässä tiedostolla on oikeudet 400, se tarkoittaa: r-- --- ---

eli vain omistaja voi lukea tiedoston. Tämä on SSH:lle suositeltu arvo, mutta jos sinun täytyy korvata tiedosto, sinun täytyy antaa myös kirjoitusoikeus: chmod 600 ~/.ssh/keyname.pem.

Ennen kuin käytät juuri luotua avainta, sinun kannattaa suojata se salalauseella:

chmod 600 ~/.ssh/keyname.pem
ssh-keygen -p -f .ssh/keyname.pem
chmod 400 ~/.ssh/keyname.pem

Windows (PowerShell)

Windows-ympäristöissä suositellaan PowerShellin käyttöä. Prosessi on hyvin samankaltainen.

mkdir ~/.ssh
mv yourkey.pem ~/.ssh/

Ennen kuin käytät juuri luotua avainta, sinun kannattaa suojata se salalauseella:

ssh-keygen.exe -p -f yourkey.pem

Tämän jälkeen voit edelleen PowerShellissä käyttää ssh-komentoa yhteyden muodostamiseen koneeseesi samalla tavalla kuin Linuxissa tai Macissa.

Windows (Putty)

Jos Windows-kopiossasi ei ole ssh-komentoa asennettuna, voit käyttää myös Puttya.

Tämä tehdään käyttämällä puttygen-työkalua yksityisen avaimesi (.pem) lataamiseen ja tallentamiseen (salasanalla suojattuun) .ppk-muotoon, jota Putty voi käyttää.

  1. Lataa Putty ja puttygen, jotka ovat saatavilla osoitteessa http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html.

  2. Käynnistä puttygen ja lataa lataamasi avain (sen pitäisi olla Downloads-sivulla).

    Putty Gen

  3. Aseta avaimelle salasana. Tämä ei ole pakollista, mutta suositeltavaa.

  4. Tallenna avain ppk-muodossa; tämä on Puttyn oletusmuoto avaimille.

    Saved

Nyt voimme käyttää tätä uutta avainta Puttyssa yhteyden muodostamiseen virtuaalikoneeseen.

  1. Käynnistä putty ja lataa SSH-avain. Siirry kohtaan Connection > SSH > Auth > Credentials ja valitse kohdassa Private key file for authentication oikea .ppk-tiedosto Browse...-painikkeella.

    Private key file for authentication

  2. Kun avain on ladattu, tallenna istunto. Siirry kohtaan Session ja kirjoita kohdassa Saved Sessions uuden istunnon nimi ja napsauta save.

Palomuurit ja turvallisuusryhmät

Turvallisuusryhmät ovat palomuurisääntöjen joukkoja, jotka rajoittavat pääsyä koneillesi. Virtuaalikone voi käyttää yhtä tai useampaa turvallisuusryhmää. Nämä palomuurisäännöt tehdään OpenStack-kerroksessa, ja lisäksi virtuaalikoneesi sisällä voi olla muita palomuurisääntöjä. Jos yhteyksissä on ongelmia, varmista, että sekä turvallisuusryhmä että virtuaalikoneen sisäinen palomuuri on määritetty oikein. "Default"-turvallisuusryhmä sisältää säännöt, jotka sallivat sisäisen viestinnän niiden virtuaalikoneiden välillä, jotka kuuluvat tähän turvallisuusryhmään.

Turvallisuusryhmää voi muokata tai luoda milloin tahansa virtuaalikoneen elinkaaren aikana. Kaikki virtuaalikoneelle määritettyyn turvallisuusryhmään tehdyt muutokset tulevat voimaan välittömästi virtuaalikoneessa.

Älä muokkaa oletusturvallisuusryhmää

Hyvänä käytäntönä emme suosittele muuttamaan "Default"-turvallisuusryhmää. Suosittelemme sen sijaan, että luot tiettyihin tarkoituksiin omat turvallisuusryhmät ja nimeät ne sen mukaisesti. Luo esimerkiksi turvallisuusryhmä nimeltä "SSH-VPN", jotta VPN:stä tulevat tietokoneet voivat käyttää SSH/22-yhteyttä tämän turvallisuusryhmän koneisiin.

Uuden turvallisuusryhmän luominen:

  1. Siirry kohtaan Network > Security Groups ja napsauta Create Security Group, anna sille nimi ja lisää kuvaus.

  2. Napsauta sitten Manage Rules, ja avautuvassa näkymässä napsauta Add Rule.

    Add rule

    Mukautusvaihtoehtoja on paljon, mutta tässä tapauksessa on suositeltavaa käyttää SSH-sääntöä, joka vaatii vain yhden parametrin: CIDR. Classless Inter-Domain Routing eli CIDR mahdollistaa aliverkon (88.44.55.0/24) tai yksittäisen IP-osoitteen (88.44.55.77/32) määrittämisen.

  3. Oman IP-osoitteesi selvittämiseen voit käyttää palveluita kuten https://apps.csc.fi/myip.

Warning

Verkkotilanteesi voi olla tätä monimutkaisempi. Saatat olla välityspalvelimen takana. Siinä tapauksessa ota yhteyttä oman verkkosi tukeen.

Error

Voit myös avata portit kaikille mahdollisille IP-osoitteille käyttämällä CIDR-arvona 0.0.0.0/0, mutta tämä on huono turvallisuuskäytäntö.

Tip

Huomaa:

  • Oletusarvoisten ulosmenevän liikenteen sääntöjen poistaminen (salli mikä tahansa protokolla osoitteisiin 0.0.0.0/0 ja ::/0) cPoudassa aiheuttaa häiriöitä metadatapalvelussa, joka vastaa SSH-avainten injektoinnista. Jos haluat rajoittaa ulosmenevää liikennettä, sinun tulee sallia vähintään lähtevä liikenne IP-osoitteeseen 169.254.169.254, TCP-porttiin 80, jotta SSH-avainten injektointi toimii.
  • Vaikka ePoudan virtuaalikoneisiin pääsee vain asiakkaan verkon kautta, niillekin täytyy määrittää turvallisuusryhmät. Muuten niihin ei voi muodostaa yhteyttä.
  • Turvallisuusryhmiä voi lisätä ja poistaa käynnissä olevalta instanssilta. Tämä tehdään instanssisivulta.

Palvelinryhmät

Jos haluat käytännön, joka sallii instanssiesi toimivan samalla isäntäkoneella (tai estää sen), voit määrittää palvelinryhmiä.

Server Groups

Warning

Voit lisätä instanssin palvelinryhmään vain instanssia luotaessa. Et myöhemmin!

Kun napsautat Create Server Group, avautuu ikkuna:

Create Server Group

Anna palvelinryhmällesi nimi ja valitse käytäntö. Vaihtoehtoina ovat Affinity, Anti Affinity, Soft Affinity ja Soft Anti Affinity.

  • Affinity: Affinity-käytännön palvelinryhmään kuuluvat instanssit ajoitetaan mahdollisuuksien mukaan samalle isäntäkoneelle. Affinity-käytännön tavoitteena on pitää instanssit yhdessä samalla fyysisellä palvelimella, mikä voi olla hyödyllistä sovelluksille tai palveluille, jotka vaativat pienen viiveen viestintää instanssien välillä.

  • Anti Affinity: Anti-affinity-käytännön palvelinryhmään kuuluvat instanssit ajoitetaan mahdollisuuksien mukaan eri isäntäkoneille. Anti-affinity-käytäntö parantaa vikasietoisuutta ja käytettävyyttä hajauttamalla instanssit useille fyysisille palvelimille. Tämä auttaa minimoimaan yksittäisen palvelimen laitteistovikojen vaikutuksen.

  • Soft Affinity: Soft affinity on affinity-käytännön muunnelma. Palvelinryhmässä, jossa on soft affinity -käytäntö, ajastin pyrkii pitämään instanssit samalla isäntäkoneella, mutta tämä ei ole ehdoton vaatimus. Jos rajoitteet estävät instanssien sijoittamisen samalle isäntäkoneelle, ajastin voi silti sijoittaa ne eri isäntäkoneille. Soft affinity tarjoaa joustavamman lähestymistavan verrattuna tiukkaan affinity-käytäntöön.

  • Soft Anti-Affinity: Soft anti-affinity on anti-affinity-käytännön muunnelma. Palvelinryhmässä, jossa on soft anti-affinity -käytäntö, ajastin pyrkii sijoittamaan instanssit eri isäntäkoneille, mutta tämä ei ole ehdoton vaatimus. Jos rajoitteet estävät instanssien hajauttamisen eri isäntäkoneille, ajastin voi silti sijoittaa ne samalle isäntäkoneelle. Soft anti-affinity tarjoaa joustavamman lähestymistavan verrattuna tiukkaan anti-affinity-käytäntöön.

Voit tarkistaa, toimivatko instanssisi samalla (tai eri) isäntäkoneella, kirjoittamalla tämän komennon: 

openstack server show [INSTANCE_NAME | INSTANCE_ID] | grep HostId

Note

"Soft"-variantit sallivat enemmän joustavuutta instanssien sijoittelussa.
Affinity- tai anti-affinity-käytännöt eivät välttämättä aina ole mahdollisia resurssirajoitteiden tai muiden ajastusrajoitteiden vuoksi.

Virtuaalikoneen käynnistäminen

Kun SSH-avaimet ja turvallisuusryhmät on määritetty, voit käynnistää uuden virtuaalikoneen Poudan selainkäyttöliittymien avulla:

Info

  1. Avaa Poudan selainkäyttöliittymän etusivulla näkymä Compute > Instances.

  2. Napsauta oikeasta yläkulmasta Launch Instance. Tämä avaa launch instance -näkymän, jossa määrität uuden virtuaalikoneen ominaisuudet.

    Launch the instance view

    Kuva Instanssin käynnistysnäkymä

  3. Kirjoita launch instance -näkymän Details-välilehdellä ensin Instance Name ja valitse luotavien instanssien määrä (-x lisätään automaattisesti instanssin nimen loppuun, jos asetat Count > 1).

  4. Napsauta Next ja valitse Instance Boot Source. Valitse pudotusvalikosta "Image" ja napsauta käytettävissä olevien kuvien vieressä olevaa ylänuolta.

    Select the instance source

    Kuva Valitse instanssin lähde

    Pilvinatiivi

    Jos haluat toimia pilvinatiivimmin, voit valita "Image" ja asettaa "Create a New Volume" arvoksi "Yes". Tämä vaihtoehto luo instanssillesi uuden pysyvän taltion. Jos poistat instanssisi vahingossa tai se joutuu tilaan, josta sitä ei voi palauttaa, instanssisi tiedostojärjestelmä säilyy tässä taltiossa. Voit myöhemmin käyttää tätä taltiota uuden instanssin käynnistämiseen samassa tiedostojärjestelmän tilassa kuin aiemmassa instanssissa.

    Huomaa

    Vaihtoehto "Create New Volume", kun sen arvoksi on asetettu "Yes", luo ylimääräisen taltion, joka laskutetaan normaalisti hinnoittelu-sivullamme kuvatulla tavalla.

    Jos flavor-tyypissä on väliaikainen levy (esimerkiksi I/O-flavorit), uusi taltio luodaan vain järjestelmälevylle. Väliaikaiset levyt poistetaan, kun virtuaalikone poistetaan.

  5. Valitse Flavour, eli luotavan virtuaalikoneen "koko", käytettävissä olevista flavoreista napsauttamalla ylänuolta. Katso täydellinen luettelo ja kuvaukset kohdasta Virtuaalikoneiden flavorit ja laskutusyksikköhinnat. Voit myös laajentaa flavorin nähdäksesi vaikutuksen kiintiöösi.

    Select the instance flavour

    Kuva Valitse instanssin flavor

    Varoitus kiintiön käytöstä

    Huomaa, että saatat nähdä varoitusmerkin, joka kertoo, riittääkö kiintiösi tietyn flavorin ajamiseen. Jos kiintiösi ei riitä, voit lähettää pyynnön asiakastukeemme ja ilmoittaa haluamasi määrän.

    Flavour warning

  6. Varmista Networks-osiossa, että oma verkkosi (projektisi nimi) on valittuna.

    Launch the instance network

  7. Seuraavassa osiossa Security Groups voit liittää aiemmin luodun turvallisuusryhmän. Voit laajentaa turvallisuusryhmän nähdäksesi määrittämäsi säännöt.

    Launch the instance security group

  8. Kohdassa Key Pair valitset aiemmin SSH-avainten määrittäminen -osiossa luomasi Key Pair -nimen.

    Launch the instance key-pairs

    Avainpareja ei voi lisätä luomisen jälkeen

    Julkinen avain lisätään virtuaalikoneelle vain, jos se on määritetty tässä vaiheessa. Kun napsautat Launch Instance, virtuaalikone luodaan, eikä määritettyjä avainpareja voi enää muuttaa. Jos avainparia ei ole määritetty, suositeltu ratkaisu on poistaa virtuaalikone ja aloittaa alusta.

  9. Configuration-osiossa voit lisätä mukautetun skriptin instanssisi mukauttamiseksi sen käynnistämisen jälkeen.

  10. Server Groups -välilehdellä voit valita palvelinryhmän

Voit napsauttaa Launch Instance aloittaaksesi virtuaalikoneen luonnin.

Luomisen jälkeinen vaihe

Kun virtuaalikone käynnistetään, se saa vain yksityisen IP-osoitteen (192.168.XXX.XXX). Tämä tarkoittaa, että vaikka kone pääsee internetiin ja saman projektin muihin virtuaalikoneisiin, siihen ei voi muodostaa yhteyttä projektin ulkopuolelta. Jotta pääset käyttämään virtuaalikonettasi, sinun täytyy liittää siihen julkinen IP-osoite.

Info

Floating IP -osoitteen liittäminen on mahdollista vain cPouta-instansseille.

  1. Siirry kohtaan Compute > Instances, jossa sinun pitäisi nähdä virtuaalikoneesi luettelossa.

  2. Napsauta uuden koneesi rivin oikeassa reunassa kohdassa Actions pudotusvalikkoa ja valitse Associate Floating IP.

    Floating IP association options

    Kuva Floating IP -osoitteen liittämisen vaihtoehdot

  3. Valitse IP-osoite kohdassa IP Address. Jos näkyviin tulee "No floating IP addresses allocated", napsauta plusmerkkiä varataksesi projektiisi uuden IP-osoitteen; sinun täytyy lisätä kuvaus.

  4. Valitse kohdassa Port to be associated virtuaalikone.

  5. Napsauta Associate.

Floating IP association dialog

Kuva Floating IP -osoitteen liittämisikkuna

IP-laskutus

Varatuista floating IP -osoitteista laskutetaan 0,2 Cloud BU/hr. Katso lisätietoja kohdasta Virtuaalikoneiden flavorit ja laskutusyksikköhinnat.

Nyt voimme siirtyä kohtaan Yhteyden muodostaminen virtuaalikoneeseen ja kirjautua uudelle virtuaalikoneelle.

* Cloud BU: Cloud Billing Units

Suomenkielinen tekoälykäännös

Sisällössä voi esiintyä virheellistä tietoa tekoälykäännöksestä johtuen.

Klikkaa tästä antaaksesi palautetta

Ymmärrän.