Virtuaalikoneen luominen Poudassa

Warning

Sinun kannattaa tutustua turvallisuusohjeisiin ja Poudan laskennan ehtoihin ennen ensimmäisen virtuaalikoneesi käynnistämistä.

Voit myös katsoa webinaarin.

Pouta-pilvien selainkäyttöliittymät ovat saatavilla seuraavissa osoitteissa:

URL	Palvelun nimi	Pääsy
https://pouta.csc.fi	cPoudan selainkäyttöliittymä	Käytettävissä internetissä
https://epouta.csc.fi	ePoudan selainkäyttöliittymä	Käytettävissä vain niistä IP-osoitteista, joille on annettu pääsy ePoudan hallintakäyttöliittymiin

Tämä OpenStack Horizon -pohjainen käyttöliittymä mahdollistaa pilvilaskennan perushallintatoimet, kuten uuden virtuaalikoneen käynnistämisen ja turvallisuusasetusten hallinnan.

Tämän palvelun käyttöön tarvitset CSC-käyttäjätunnuksen ja cPouta-/ePouta-projektin CSC:llä. Tunnukset voidaan liittää MyCSC:ssä.

Voit kirjautua ePoutaan vain CSC-käyttäjätunnuksellasi.

Esivaatimukset

Ennen virtuaalikoneen luomista tarvitset nämä kaksi esivaatimusta:

1. CSC-käyttäjätunnus. Tunnuksen voi luoda ohjeen Kuinka luoda uusi CSC-käyttäjätunnus mukaisesti.

   [MFA vaaditaan] 18. marraskuuta 2025 alkaen ePoudassa ja 25. marraskuuta 2025 alkaen cPoudassa

2. Kirjautumisessa vaaditaan monivaiheinen tunnistautuminen (MFA). Lisätietoja on ohjeessa Monivaiheisen tunnistautumisen (MFA) opas

3. CSC-projekti, jossa cPouta- tai ePouta-palvelu on käytössä. Voit luoda uuden projektin tai pyytää, että sinut lisätään olemassa olevaan projektiin. Projektissa täytyy olla sopiva palvelu käytössä. Voit seurata ohjetta cPouta-käyttöoikeuden hakeminen. Mutta jos sinun täytyy tallentaa tai käsitellä sensitiivinen data, sinun on käytettävä ePoutaa ja haettava ePouta-käyttöoikeutta.

CSC-projektin valitseminen

Sinulla voi olla useampi kuin yksi CSC-projekti, jolla on pääsy Poutaan. Voit tarkistaa tämän osoitteessa my.csc.fi, jossa näet kaikki projektit, joihin sinulla on pääsy, sekä sen, missä projekteissa cPouta (tai ePouta) on aktivoitu palveluksi.

Kun palaat Poudan selainkäyttöliittymään, varmista, että valitset oikean projektin. Tässä on kaksi huomioitavaa asiaa:

• Projekti on hiekkalaatikko, joka sisältää resursseja kuten virtuaalikoneita ja verkkoja, ja kuka tahansa, jolla on pääsy kyseiseen projektiin, voi nähdä, muokata ja poistaa kaikki nämä resurssit. He eivät välttämättä pääse virtuaalikoneeseen, koska tämä määräytyy koneeseen määritettyjen SSH-avainten perusteella.
• Projekteja käytetään laskutuksen määrittämiseen. Varmista, että kustannukset kohdistuvat oikealle laskutusprojektille.

SSH-avainten määrittäminen

Yhteyden avaamiseksi virtuaalikoneisiisi cPoudassa/ePoudassa sinun täytyy ensin todistaa henkilöllisyytesi virtuaalikoneelle, ja siihen tarvitset SSH-avaimet. Tätä kutsutaan yleisesti SSH-avainpariksi, koska se koostuu kahdesta tiedostosta: yksityisestä avaimesta ja julkisesta avaimesta. Tämä on oletustapa (ja turvallisempi tapa) käyttää virtuaalikoneita. SSH-avaimet tarvitsee määrittää vain kerran projektia kohden.

Tuo julkiset avaimet

Jos SSH-avaimet ovat sinulle jo tuttuja, voit käyttää olemassa olevia SSH-avaimiasi virtuaalikoneiden käyttöön. Siirry selainkäyttöliittymässä kohtaan Compute > Key Pairs ja valitse Import Public Key. Anna avaimellesi nimi; pidä mielessä, että tarvitset tätä nimeä virtuaalikoneita luodessasi, joten suositus on pitää nimi lyhyenä ja käyttötarkoitusta kuvaavana. Liitä sen jälkeen julkinen avaimesi. Sen täytyy olla yhdellä rivillä ja muodossa key-type hash comment, esimerkiksi RSA-avain käyttäjältä person@domain.name:

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAQQCo9+BpMRYQ/dL3DS2CyJxRF+j6ctbT3/Qp84+KeFhnii7NT7fELilKUSnxS30WAvQCCo2yU1orfgqr41mM70MB person@domain.name

Jos et ole käyttänyt SSH-avainpareja aiemmin, sinun täytyy luoda sellainen. Selainkäyttöliittymä voi tehdä tämän puolestasi:

1. Siirry kohtaan Compute > Key Pairs ja valitse Create Key Pair.

   

   Kuva Access & Security -alasivu cPoudan selainkäyttöliittymässä

2. Anna avaimellesi nimi ja napsauta Create Key Pair. Saat tallennettavaksi tiedoston "keyname.pem". Tallenna se kotihakemistoosi. Tämä on viimeinen kerta, kun voit ladata tämän yksityisen avaimen; Pouta ei säilytä kopiota siitä palvelimillaan.

   

Linux ja Mac

Jotta voit asentaa edellisessä vaiheessa lataamasi avaimen (keyname.pem tai keyname.cer), sinun täytyy suorittaa nämä komennot:

MacOS:lle

Jos käytät Chrome-selainta Mac OS X Montereyssä, saat tiedoston keyname.cer tiedoston keyname.pem sijaan. Seuraava menettely on silti sama.

mkdir -p ~/.ssh
chmod 700 .ssh
mv keyname.pem ~/.ssh
chmod 400 ~/.ssh/keyname.pem

400 = Vain omistaja voi lukea

Kun Unix-järjestelmässä tiedostolla on 400-oikeudet, se tarkoittaa: r-- --- ---

eli vain omistaja voi lukea tiedoston. Tämä on SSH:lle suositeltu arvo, mutta jos sinun täytyy korvata tiedosto, sinun on annettava myös kirjoitusoikeus: chmod 600 ~/.ssh/keyname.pem.

Ennen kuin käytät juuri luotua avainta, sinun kannattaa suojata se salalauseella:

chmod 600 ~/.ssh/keyname.pem
ssh-keygen -p -f .ssh/keyname.pem
chmod 400 ~/.ssh/keyname.pem

Windows (PowerShell)

Windows-ympäristöissä on suositeltavaa käyttää PowerShelliä. Prosessi on hyvin samankaltainen

mkdir ~/.ssh
mv yourkey.pem ~/.ssh/

Ennen kuin käytät juuri luotua avainta, sinun kannattaa suojata se salalauseella:

ssh-keygen.exe -p -f yourkey.pem

Tämän jälkeen voit edelleen PowerShellistä käyttää ssh-komentoa yhteyden muodostamiseen koneeseesi samalla tavalla kuin Linuxissa tai Macissa.

Windows (Putty)

Jos Windows-kopiossasi ei ole ssh-komentoa asennettuna, voit käyttää myös Puttya.

Tämä tehdään käyttämällä puttygen-työkalua yksityisen avaimesi (.pem) lataamiseen ja tallentamiseen (salasanalla suojattuun) .ppk-muotoon, jota Putty voi käyttää.

1. Lataa Putty ja puttygen, jotka ovat saatavilla osoitteessa http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html.

2. Käynnistä puttygen ja lataa lataamasi avain (sen pitäisi olla Downloads-sivulla).

   

3. Aseta avaimelle salasana. Tämä ei ole pakollista, mutta suositeltavaa.

4. Tallenna avain ppk-muodossa; tämä on Puttyn oletusmuoto avaimille.

   

Nyt voimme käyttää tätä uutta avainta Puttyssa yhteyden muodostamiseen virtuaalikoneeseen.

1. Käynnistä putty ja lataa SSH-avain. Siirry kohtaan Connection > SSH > Auth > Credentials ja valitse kohdassa Private key file for authentication oikea .ppk-tiedosto painikkeella Browse....

   

2. Kun avain on ladattu, tallenna istunto. Siirry kohtaan Session ja kirjoita kohdassa Saved Sessions uuden istunnon nimi ja napsauta save.

Palomuurit ja turvallisuusryhmät

Turvallisuusryhmät ovat palomuurisääntöjen joukkoja, jotka rajoittavat pääsyä koneillesi. Virtuaalikone voi käyttää yhtä tai useampaa turvallisuusryhmää. Nämä palomuurisäännöt tehdään OpenStack-tasolla, ja virtuaalikoneesi sisällä voi olla lisäksi muita palomuurisääntöjä. Yhteysongelmien tapauksessa sinun kannattaa varmistaa, että sekä turvallisuusryhmä että virtuaalikoneen sisäinen palomuuri on määritetty oikein. "Default"-turvallisuusryhmä sisältää säännöt, jotka sallivat sisäisen viestinnän niiden virtuaalikoneiden välillä, jotka kuuluvat tähän turvallisuusryhmään.

Turvallisuusryhmää voi muokata tai luoda missä tahansa virtuaalikoneen elinkaaren vaiheessa. Kaikki virtuaalikoneelle määritettyyn turvallisuusryhmään tehdyt muutokset tulevat voimaan välittömästi virtuaalikoneessa.

Älä muokkaa oletusturvallisuusryhmää

Hyvänä käytäntönä emme suosittele muuttamaan "Default"-turvallisuusryhmää. Suosittelemme sen sijaan, että luot tarkoituskohtaisia turvallisuusryhmiä ja nimeät ne sen mukaisesti. Luo esimerkiksi turvallisuusryhmä nimeltä "SSH-VPN", jotta VPN:stä tulevat tietokoneet voivat käyttää SSH/22-yhteyttä kyseisen turvallisuusryhmän koneisiin.

Uuden turvallisuusryhmän luominen:

1. Siirry kohtaan Network > Security Groups ja napsauta Create Security Group, anna sille nimi ja lisää kuvaus.

2. Napsauta sitten Manage Rules, ja avautuvassa näkymässä napsauta Add Rule.

   

   Mukautusvaihtoehtoja on paljon, mutta tässä tapauksessa on suositeltavaa käyttää SSH-sääntöä, joka vaatii vain yhden parametrin: CIDR. Classless Inter-Domain Routing eli CIDR mahdollistaa aliverkon (88.44.55.0/24) tai yksittäisen IP-osoitteen (88.44.55.77/32) määrittämisen.

3. Oman IP-osoitteesi selvittämiseen voit käyttää palveluja kuten https://apps.csc.fi/myip.

Warning

Verkkotilanteesi voi olla tätä monimutkaisempi. Saatat olla välityspalvelimen takana. Siinä tapauksessa ota yhteyttä verkkotukeen.

Error

Voit myös avata portteja kaikille mahdollisille IP-osoitteille käyttämällä CIDR-arvona 0.0.0.0/0, mutta tämä on huono turvallisuuskäytäntö.

Tip

Huomaa:

• Oletusarvoisten ulosmenevän liikenteen sääntöjen poistaminen (salli mikä tahansa protokolla osoitteeseen 0.0.0.0/0 ja ::/0) cPoudassa aiheuttaa häiriöitä metadatapalvelussa, joka vastaa SSH-avainten injektoinnista. Jos haluat rajoittaa ulosmenevää liikennettä, sinun tulee sallia vähintään lähtevä liikenne IP-osoitteeseen 169.254.169.254, TCP-porttiin 80, jotta SSH-avainten injektointi toimii.
• Vaikka ePoudan virtuaalikoneisiin pääsee käsiksi vain asiakkaan verkon kautta, niillekin täytyy määrittää turvallisuusryhmät. Muuten niihin ei voi muodostaa yhteyttä.
• Turvallisuusryhmiä on mahdollista lisätä ja poistaa käynnissä olevalta instanssilta. Tämä tehdään instanssisivulta.

Palvelinryhmät

Jos haluat ehdon, joka sallii instanssiesi toimivan samalla isännällä (tai estää sen), voit määrittää palvelinryhmiä.

Warning

Voit lisätä instanssin palvelinryhmään vain instanssin luontihetkellä. Et myöhemmin!

Kun napsautat Create Server Group, avautuu ikkuna:

Anna palvelinryhmällesi nimi ja valitse ehto. Vaihtoehdot ovat Affinity, Anti Affinity, Soft Affinity ja Soft Anti Affinity.

• Affinity: Instanssit palvelinryhmässä, jossa on affinity-ehto, ajoitetaan toimimaan samalla isännällä aina kun mahdollista. Affinity-ehdon tavoitteena on pitää instanssit yhdessä samalla fyysisellä palvelimella, mikä voi olla hyödyllistä sovelluksille tai palveluille, jotka vaativat pienen viiveen viestintää instanssien välillä.

• Anti Affinity: Instanssit palvelinryhmässä, jossa on anti-affinity-ehto, ajoitetaan toimimaan eri isännillä aina kun mahdollista. Anti-affinity-ehto parantaa vikasietoisuutta ja käytettävyyttä hajauttamalla instanssit useille fyysisille palvelimille. Tämä auttaa minimoimaan yksittäisen palvelimen laitteistovikojen vaikutuksen.

• Soft Affinity: Soft affinity on affinity-ehdon muunnelma. Palvelinryhmässä, jossa on soft affinity -ehto, ajastin pyrkii pitämään instanssit samalla isännällä, mutta se ei ole tiukka vaatimus. Jos rajoitteet estävät instanssien sijoittamisen samalle isännälle, ajastin voi silti sijoittaa ne eri isännille. Soft affinity tarjoaa joustavamman lähestymistavan verrattuna tiukkaan affinity-ehtoon.

• Soft Anti-Affinity: Soft anti-affinity on anti-affinity-ehdon muunnelma. Palvelinryhmässä, jossa on soft anti-affinity -ehto, ajastin pyrkii sijoittamaan instanssit eri isännille, mutta se ei ole tiukka vaatimus. Jos rajoitteet estävät instanssien hajauttamisen eri isännille, ajastin voi silti sijoittaa ne samalle isännälle. Soft anti-affinity tarjoaa joustavamman lähestymistavan verrattuna tiukkaan anti-affinity-ehtoon.

Voit tarkistaa, toimivatko instanssisi samalla (tai eri) isännällä, kirjoittamalla tämän komennon:

openstack server show [INSTANCE_NAME | INSTANCE_ID] | grep HostId

Note

"Soft"-variantit sallivat enemmän joustavuutta instanssien sijoittelussa.
Affinity- tai anti-affinity-ehdot eivät aina välttämättä ole mahdollisia resurssirajoitteiden tai muiden ajastusrajoitteiden vuoksi.

Virtuaalikoneen käynnistäminen

Kun SSH-avaimet ja turvallisuusryhmät on määritetty, voit käynnistää uuden virtuaalikoneen Poudan selainkäyttöliittymien avulla:

Info

• https://pouta.csc.fi (cPoutaa varten)
• tai https://epouta.csc.fi (ePoutaa varten)

1. Avaa Poudan selainkäyttöliittymän etusivulla näkymä Compute > Instances.

2. Napsauta oikeasta yläkulmasta Launch Instance. Tämä avaa launch instance -näkymän, jossa määrität uuden virtuaalikoneen ominaisuudet.

   

   Kuva Instanssin käynnistysnäkymä

3. Kirjoita launch instance -näkymän Details-välilehdellä ensin Instance Name ja valitse luotavien instanssien määrä (-x lisätään automaattisesti instanssin nimen loppuun, jos asetat Count > 1).

4. Napsauta Next ja valitse Instance Boot Source. Valitse pudotusvalikosta "Image" ja napsauta käytettävissä olevien levykuvien vieressä olevaa ylänuolta.

   

   Kuva Instanssin lähteen valinta

   Pilvinatiivi

   Jos haluat toimia pilvinatiivimmin, voit valita "Image" ja asettaa "Create a New Volume" arvoksi "Yes". Tämä vaihtoehto luo instanssillesi uuden pysyvän taltio. Jos poistat instanssisi vahingossa tai se joutuu tilaan, josta sitä ei voi palauttaa, instanssisi tiedostojärjestelmä säilyy tässä taltiossa. Voit myöhemmin käyttää tätä taltiota uuden instanssin käynnistämiseen samassa tiedostojärjestelmän tilassa kuin aiemmassa instanssissa.

   Huomaa

   Vaihtoehto "Create New Volume" arvolla "Yes" luo ylimääräisen taltion, joka laskutetaan normaalisti hinnoittelu-sivullamme kuvatulla tavalla.

   Jos flavor-tyypissä on väliaikainen levy (esimerkiksi I/O-flavorit), uusi taltio luodaan vain järjestelmälevylle. Väliaikaiset levyt poistetaan, kun VM poistetaan.

5. Valitse Flavour, eli luotavan virtuaalikoneen "koko", käytettävissä olevista flavoreista napsauttamalla ylänuolta. Katso täydellinen luettelo ja kuvaukset sivulta Virtuaalikoneiden flavorit ja laskutusyksikköhinnat. Voit myös laajentaa flavorin nähdäksesi vaikutuksen kiintiöösi.

   

   Kuva Instanssin flavorin valinta

   Varoitus kiintiön käytöstä

   Huomaa, että saatat nähdä varoitusmerkin, joka kertoo, riittääkö kiintiösi tietyn flavorin käyttämiseen. Jos kiintiösi ei riitä, voit lähettää pyynnön Service Deskille ja ilmoittaa haluamasi määrän.

   

6. Varmista Networks-osiossa, että oma verkkosi (projektisi nimi) on valittuna.

   

7. Seuraavassa osiossa Security Groups voit liittää aiemmin luodun turvallisuusryhmän. Voit laajentaa turvallisuusryhmän tarkistaaksesi määrittämäsi säännöt.

   

8. Kohdassa Key Pair valitset SSH-avainten määrittäminen -osiossa luomasi Key Pair -nimen.

   

   Avainpareja ei voi lisätä luomisen jälkeen

   Julkinen avain lisätään VM:ään vain, jos se on määritetty tässä vaiheessa. Kun napsautat Launch Instance, VM luodaan, eikä määritettyjä avainpareja voi enää muuttaa. Jos avainparia ei ole määritetty, suositeltu ratkaisu on poistaa VM ja aloittaa alusta.

9. Configuration-osiossa voit lisätä mukautetun skriptin instanssisi räätälöimiseksi sen käynnistämisen jälkeen.

10. Server Groups -välilehdellä voit valita Server Groupin

Voit napsauttaa Launch Instance aloittaaksesi virtuaalikoneen luonnin.

Luomisen jälkeinen vaihe

Kun virtuaalikone käynnistetään, se saa vain yksityisen IP-osoitteen (192.168.XXX.XXX). Tämä tarkoittaa, että vaikka kone pääsee internetiin ja saman projektin muihin virtuaalikoneisiin, siihen ei voi muodostaa yhteyttä projektin ulkopuolelta. Jotta pääset käyttämään virtuaalikonettasi, sinun täytyy liittää siihen julkinen IP-osoite.

Info

Kelluvan IP-osoitteen liittäminen on mahdollista vain cPouta-instansseille.

1. Siirry kohtaan Compute > Instances, jossa sinun pitäisi nähdä virtuaalikoneesi listattuna.

2. Napsauta uuden koneesi rivin oikealla puolella kohdassa Actions pudotusvalikkoa ja valitse Associate Floating IP.

   

   Kuva Kelluvan IP-osoitteen liittämisen vaihtoehdot

3. Valitse IP-osoite kohdassa IP Address. Jos näkyviin tulee "No floating IP addresses allocated", napsauta plusmerkkiä varataksesi projektille uuden IP-osoitteen; sinun täytyy lisätä kuvaus.

4. Valitse kohdassa Port to be associated virtuaalikone.

5. Napsauta Associate.

Kuva Kelluvan IP-osoitteen liittämisikkuna

IP-laskutus

Varatut kelluvat IP-osoitteet laskutetaan hinnalla 0,2 Cloud BU/tunti. Katso lisätietoja sivulta Virtuaalikoneiden flavorit ja laskutusyksikköhinnat.

Nyt voimme siirtyä osioon Yhteyden muodostaminen virtuaalikoneeseen ja kirjautua uuteen virtuaalikoneeseen.

* Cloud BU: Cloud-laskutusyksiköt

Onko tämä sivu hyödyllinen?

Kyllä

Kiitos palautteestasi!

Ei

Kiitos! Arvostamme palautettasi.

Kerro meille miten voisimme parantaa tätä sivua ottamalla meihin yhteyttä.