OpenStack© Quickstart

Einleitung

Das vorliegende Quickstart Handbuch hilft Ihnen beim Einstieg im Umgang mit dem OpenStack Management Portal Horizon und liefert Ihnen nützliche Tipps und Informationen. Darüber hinaus lernen Sie Schritt für Schritt, wie Sie ein Netzwerk anlegen, ihren ersten Server VM aufschalten und darauf zugreifen können.

Bemerkung

Zur Navigation der einzelnen Kapitel können Sie unten im jeweiligen Abschnitt die verlinkten Referenzen verwenden, oder jeweils oben in der Navigationsleiste auf „weiter“ klicken. Zusätzlich finden Sie in jedem Thema eine Seitennavigation.

Quickstart Themen

Version control

version date author comments
1.0 24.02. 2019 hle First Version
1.1 28.02. 2019 hle add chapter Federated Identity- and Access management + two factor authentication
1.2 04.03. 2019 hle small amendments on URL
1.3 05.04. 2019 hle Document now in two languages available + small amendments on authentication Process
1.4 09.04. 2019 hle Add How-To Chapter Application Credentials + Putty
1.5 11.04. 2019 hle Add Flavor Information, Appendix OpenStack Documentation Ref.
1.6 23.09. 2019 hle Amend content and structure on Chapter How To’s; Add Chapter Container Infra (Kubernetes), Extended VPN Authorization algorythm (sha256,sha384, sha512) on Horizon.
1.7 25.09. 2019 hle Amend content various Chapters. Add Chapter How Deploy a basic HTTP load balancer using a floating IP.
1.8 26.09. 2019 hle Add Chapter How configure PORT-Forwarding
1.9 12.05. 2020 hle Add Example of Create PORT-Forwarding Rule via CLI. Add Chapter API - CLI Identity Credential-Typen (Download current user’s session token (NEW))

OpenStack© Management Portal

Im OpenStack Management Portal verwalten Sie Ihre gesamten Cloud-Ressourcen von einer zentralen Stelle aus. Mit Cloud-Ressourcen sind hier Projekte (Accounts), Virtuelle Server, Storage Volumes und Netzwerke gemeint.

Der Funktionsumfang und Berechtigung orientiert sich an den folgenden Rollen.

  • domain Administrator (Verwaltet die Cloud-Ressourcen seiner Domain)
  • user (Verwaltet die Cloud-Ressourcen seines Projektes)

Sie können also entweder eine Domain Administrator oder eine User Rolle haben.

Die Funktionen, welche Ihnen hierbei zur Verfügung stehen, sind sehr umfangreich und reichen vom deployen eines Servers bis hin zur Konfiguration umfangreicher Multi-Tier Netzwerk-Architekturen.

Anmelden am OpenStack© Management Portal (Horizon)

Für die Anmeldung benötigen Sie einen aktivierten Account, welcher die folgende Informationen umfasst:

  • Domain - Unter welcher Sie im OpenStack ihre Projekte verwalten.
  • Projekt - Unter welchem Sie im OpenStack ihre Resourcen verwalten. Jedes Projekt befindet sich in einer Domain
  • User Name / Email Adresse - Mit welchem Sie sich authentifizieren
  • Password - Ihr initiales User Passwort

Führen Sie bitte die folgenden Schritte aus:

  1. Browser öffnen und die OpenStack Portal-Adresse, welche Sie mit ihren Unterlagen erhalten haben eingeben, oder den Link weiter unten klicken.

OpenStack Portal-Adresse:

https://open.safeswisscloud.ch

  • Sie werden nun automatisch zur „Log In“ Maske des Federated Identity- und Zugriffsmanagement (Keycloak) weitergeleitet.
  • Geben Sie hier bitte ihren User Name oder die registrierte Email Adresse und ihr Passwort ein.
  • Klicken Sie anschliessend auf Log in
../_images/login3.png

Falls Sie sich das erste Mal anmelden, werden Sie aufgefordert ihr initiales Passwort zu ändern. Ansonsten werden Sie nach dem One-Time Code gefragt, welchen Sie von Ihrer Mobile Authenticator Anwendung erhalten. Anschliessend sind Sie auf der Übersichtsseite im OpenStack Portal.

Bemerkung

Bitte beachten Sie die Kennwortrichtlinien .

../_images/login4.png

Im nächsten Schritt konfigurieren Sie bitte die 2-Faktor-Authentifizierung. Hierzu benötigen Sie eine Authenticator Anwendung auf ihrem Smart Phone (siehe unten Punkt „1. Install Authenticator“). Falls Sie die App erst noch intallieren müssen, erhalten Sie hier weitere Informationen und Hilfe dazu.

Folgen Sie den Anweisungen auf dem Bildschirm.

../_images/keycloak7ssc.png

Scannen Sie mit der Mobile Authenticator App den QRCode, und geben Sie den generierten Code ein.

Bei erfolgreichem Login sind Sie anschliessend auf der Übersichtsseite im OpenStack Portal.

../_images/horizon-overview.png

Federated Identity- und Zugriffsmanagement (Keycloak)

Das Identitäts- und Zugriffsmanagement erfolgt über Keycloak , was eine moderne „Federated Identity- und Zugriffsmanagement“ Lösung bereitstellt. Hier verwalten Sie zentral die Identitätsattribute ihres Benutzerprofil und die Konfiguration der Benutzerauthentifizierung (z.B. 2-Faktor-Authentifizierung).

Bemerkung

Neben OpenStack sind weitere Cloud Services in Planung, welche über diese Platform authentisiert werden. Dies bedeutet, dass Sie sich in Zukunft über diese Lösung mit dem gleichen Usernamen an weiteren von uns angebotenen Cloud Services authentifizieren können.

Anmelden im Keycloak

Wechseln Sie aus dem OpenStack Management Portal zum Federated Identity Manager (Keycloak), indem Sie in der Navigation Identity => Manage federated identity klicken.

../_images/keycloak9.png

Bemerkung

Mit dem Browser Button <- BACK kommen Sie wieder zurück in das OpenStack Portal

Edit Account

Nach dem Anmelden sehen Sie ihre Account Informationen, welche Sie hier ergänzen können.

../_images/keycloak1.png

Change Password

Hier können Sie ihr Passwort ändern. Bitte beachten Sie die Kennwortrichtlinien .

../_images/keycloak2.png

Authenticator

In diesem Menü können Sie die 2-Faktor-Authentifizierung (2FA) aktivieren. Falls Sie noch nicht mit 2FA vertraut sind, lesen Sie bitte das Kapitel 2FA durch. Um die 2-Faktor-Authentifizierung zu aktivieren, scannen Sie bitte den QRCode mit der Mobile Authenticator Anwendung, geben den generierten Code ein und klicken auf Save.

../_images/keycloak3.png

Sessions

In diesem Menü sehen Sie ihre aktiven Sessions und können diese bei Bedarf terminieren.

../_images/keycloak4.png

Applications

In diesem Menü werden die Applikationen aufgelistet, bei denen Sie sich mit Keycloak aktuell authentifizieren könnten.

../_images/keycloak5.png

Log

In diesem Menü werden die Account aktivitäten aufgelistet.

../_images/keycloak6.png

Kennwortrichtlinien, die für Cloud-Benutzerkonten gelten

Das Passwort für die Cloud-Benutzerkonten müssen mindestens folgende Bedinnungen erfüllen:

Bedingung Anz
Passwort Länge (mind.) 12
Sonderzeichen 1
Zahlen 1

Bemerkung

Um diese Kriterien zu erfüllen, muss das Passwort nicht zwingend aus einer kryptischen Zeichenkette bestehen. Tip: Denken Sie sich ein paar Wörten aus, welche Sie z.B. mit Bindestrichen zusammenfügen und mit ein paar Zahlen ergänzen. Beispiel: Ab-in-die-Cloud-2019 würde die Kriterien erfüllen.

Die folgende Tabelle beschreibt die Zeichen der Kennwortrichtlinie, die auf Benutzerkonten angewendet werden können:

Eigenschaft Anforderungen
Erlaubte Zeichen
  • A – Z a - z
  • 0 – 9 @ # $ % ^ & * - _ ! + =
  • [ ] { } : ‘ , . ? / ` ~ “ ( ) ;
Verbotene Zeichen
  • Unicode characters
  • Spaces
  • User Name

2-Faktor-Authentifizierung (2FA)

Mehr Sicherheit für Ihr Cloud-Konto. Mit der Bestätigung in zwei Schritten schützen Sie Ihr Konto neben einem Passwort zusätzlich über Ihr Smart-Phone mit einem zusätzlich generierten Persönliche Bestätigungscode. Dies erfolgt mit der folgenden unterstützten „Mobile Authenticator App“:

  • FreeOTP

, welche für Android, iPhone oder BlackBerry verfügbar sind.

Bemerkung

Die Mobile Authenticator App funktioniert auch ohne Mobilfunk- oder Datenverbindung!

Wie es funktioniert

Die Mobile Authenticator App fügt eine zweite Sicherheitsebene für Ihr Cloud-Konto und andere Online-Konten, für welche Sie in der App die 2-Faktor-Authentifizierung aktivieren hinzu. Dies funktioniert durch die Generierung von Persönlichen Bestätigungscodes, so genannte „Einmal-Passwörtern“ auf Ihren mobilen Geräten, die in Verbindung mit dem normalen Passwort verwendet werden. Diese Passwörter können auch erzeugt werden, wenn sich das Telefon im Flugzeug-Modus befindet.

Installation der Mobile Authenticator App

Installieren Sie auf ihrem Smart Phone die unterstützte Anwendung:

Download URL’s: GitHub.

Beispiel Installation FreeOPT App auf Android Smart Phone: Rufen Sie hierzu auf ihrem Smart-Phone den PlayStore auf und geben Sie in der Suche „FreeOPT“ ein. Es erscheint das folgendes Suchergebnis:

../_images/freeotp-inst1.png

Wählen Sie wie abgebildet die FreeOPT App aus und klicken auf installieren.

../_images/freeotp-inst2.png

Falls Sie beim Registrieungsprozess sind, kommen Sie hier zurück.

Re-Aktivieren der 2-Faktor-Authentifizierung

Falls Sie beabsichtigen ihr Smart Phone zu ersetzen, oder auf einem anderen Gerät die 2-Faktor-Authentifizierung zu aktivieren, gehen Sie bitte wie folgt vor:

  • Installieren Sie auf ihrem Smart Phone eine der beiden unterstützten Authenticator Anwendungen FreeOPT App oder Google Authenticator
  • Wechseln Sie aus dem OpenStack Management Portal zum Federated Identity Manager, indem Sie in der Navigation Identity => Manage federated identity klicken.
../_images/keycloak9.png
  • Wechseln Sie nun in der Navigation in das Menü Authenticator und löschen die aktuelle Mobile Authentication durch klicken auf das Papierkorb Symbol.
../_images/keycloak10.png

Bemerkung

Mit dem Browser Button BACK kommen Sie wieder zurück in das OpenStack Portal

Refreshen Sie nun mit der Taste F5 ihren Browser, oder wechseln in ein anderes Menü und wieder zurück in das Authenticator Menü. Folgen Sie nun den Anweisungen am Bildschirm, um die 2-Faktor-Authentifizierung auf ihrem neuen Smart Phone zu aktivieren.

../_images/keycloak11ssc.png

Scannen Sie mit der unterstützten Mobile Authenticator App den QRCode, und geben Sie den generierten Code ein.

Bemerkung

FreeOTP: Nach einem erfolglosen Versuch löschen Sie bitte das komplette Element in der kostenlosen FreeOTP-Applikation - siehe Bild. Fahren Sie dann mit einem neuen Versuch fort, es handelt sich um eine 8-stellige Nummer, die Sie in der Free OTP App erhalten.

../_images/keycloak12ssc.jpg