Red Hat® OpenStack® Platform (Horizon)Red Hat® OpenStack® Platform (Horizon)

楽天クラウド Red Hat® OpenStack® Platform (Horizon) ヘルプ

    インスタンスの注意事項 VyOS

    ログインアカウントについて

    VyOS へログインアカウントは、vyos となります。

    インスタンスへのログイン

    VyOS のインスタンスへログインするにはSSHクライアントを利用してください。 起動後のインスタンスの認証方式の初期設定は、パスワード認証となっています。パスワードの初期値は v5x1r8W%k3J8L6m となっています。

    Warning

    認証方式は後述の初期設定手順に従い、必ず最初にSSH公開鍵認証を設定してからパスワード認証を無効化してください。

    Note

    楽天クラウド Red Hat OpenStack Platform においてVyOSのインスタンスをルータとして利用するには、ネットワークポートのポートセキュリティを無効化します。 ポートセキュリティを無効化するとインスタンスのセキュリティグループも無効化しますので、その代替としてインスタンスのOSのファイアーウォール機能を使用します。

    VyOSインスタンス初期設定手順

    準備するもの
    作業概要
    1. 初期設定用のセキュリティグループの作成
    2. VyOSインスタンスの作成
    3. VyOSインスタンスへのFloating IPの割り当て
    4. 管理者アカウントのパスワード設定
    5. SSH公開鍵認証の設定とSSHパスワード認証の無効化
    6. ホスト名の設定
    7. タイムゾーンの設定
    8. ファイアーウォールの設定
    9. VyOSインスタンスのポートセキュリティの無効化
    パラメータ

    本書では以下のパラメータにてVyOSインスタンスを作成します。

    Warning

    上記の管理者アカウントの新パスワードは例の一つです。設定される際はこの例とは異なるできる限り複雑で長いパスワードを設定してください。

    設定手順
    1. 初期設定用のセキュリティーグループの作成

      VyOSインスタンスの初期設定時にVyOSインスタンスへSSH接続するためのセキュリティグループを作成します。 作成後のVyOSインスタンスの管理者のユーザ名とパスワードは、ユーザ名 vyos / パスワード v5x1r8W%k3J8L6m のため、 セキュリティーグループによるアクセス制限が必要です。 このセキュリティグループは本手順による初期設定後に不要になります。

      1. セキュリティグループ VyOS-SG を作成します。
      2. セキュリティグループ VyOS-SG へ次のルールを追加します。
        • ルール1
          • ルール: SSH
          • 接続相手: CIDR
          • CIDR: 192.0.2.101/32 (VyOSインスタンス作成作業者の利用するIPアドレス)
    2. VyOSインスタンスの作成

      以下のパラメータでインスタンスを作成します。

      • ソース
        • ブートソース: イメージ
        • イメージ: VyOS 1.2.5 (crux) 64bit
      • ネットワーク: VyOSインスタンスを割り当てるネットワーク名
      • セキュリティーグループ: VyOS-SG
    3. VyOSインスタンスへのFloating IPの割り当て

      VyOSインスタンス用のFloating IPをVyOSインスタンスへ割り当てます。

    4. 管理者アカウントのパスワード設定

      1. SSHクライアントでVyOSインスタンスへログインします。
        • ユーザ名: vyos
        • パスワード: v5x1r8W%k3J8L6m
      2. 設定モードへ移行します。

        $ configure
        [edit]
        #
        
      3. 管理者用のパスワードを設定します。

        set system login user vyos authentication plaintext-password "vyos_secret"
        
    5. SSH公開鍵設定とSSHパスワード認証の無効化

      1. ユーザ vyos の公開鍵認証を設定します。設定には次のパラメータを指定します。

        • アルゴリズム(ssh-rsa, ssh-dsaなどのOpenSSH公開鍵の1番目の値): ssh-rsa
        • 公開鍵(AAA...で始まるのOpenSSH公開鍵の2番目の値): AAAAB3Nfdafda...
        • 鍵の名前(key@nameなどのOpenSSH公開鍵の3番目の値): key@name
          set system login user vyos authentication public-keys key@name key AAAAB3Nfdafda...
          set system login user vyos authentication public-keys key@name type ssh-rsa
          
      2. パスワード認証を無効化します。

        set service ssh disable-password-authentication
        
    6. ホスト名の設定

      必要に応じてホスト名を変更します。既定値は vyos です。

      set system host-name 'vyos'
      
    7. タイムゾーンの設定

      必要に応じてタイムゾーンを変更します。既定値は Asia/Tokyo です。

      set system time-zone Asia/Tokyo
      
    8. ファイアーウォールの設定

      VyOSインスタンスへSSH接続可能なIPアドレスを制限します。IPSEC VPNやSSL VPNを使用する場合は さらに必要なルールを追加します。ここではIPアドレス 192.0.2.101/32 からのSSH接続と 全てのIPアドレスからのICMPパケットを許可するルールを設定します。

      set firewall group network-group NET-NOC network '192.0.2.101/32'
      set firewall group port-group PORT-SSH port '22'
      set firewall name FROM-PUBLIC-NETWORK default-action 'drop'
      set firewall name FROM-PUBLIC-NETWORK rule 10 action 'accept'
      set firewall name FROM-PUBLIC-NETWORK rule 10 state established 'enable'
      set firewall name FROM-PUBLIC-NETWORK rule 10 state related 'enable'
      set firewall name FROM-PUBLIC-NETWORK rule 100 action 'accept'
      set firewall name FROM-PUBLIC-NETWORK rule 100 destination group port-group 'PORT-SSH'
      set firewall name FROM-PUBLIC-NETWORK rule 100 protocol 'tcp'
      set firewall name FROM-PUBLIC-NETWORK rule 100 source group network-group 'NET-NOC'
      set firewall name FROM-PUBLIC-NETWORK rule 200 action 'accept'
      set firewall name FROM-PUBLIC-NETWORK rule 200 protocol 'icmp'
      set firewall name FROM-PUBLIC-NETWORK rule 200 source address '0.0.0.0/0'
      set interfaces ethernet eth0 firewall local name 'FROM-PUBLIC-NETWORK'
      
    9. VyOSインスタンスのポートセキュリティの無効化

      インスタンスのポートにはSpoofing対策機能があり、インスタンスの持つIPアドレス宛もしくはIPアドレスからのパケットのみ ポートを通過することができます。このままではインスタンスをルータとして使用することができませんのでSpoofing対策機能を無効化します。

      1. 楽天クラウドROSPのコンソールへログインし、ネットワーク プルダウンメニューから ネットワーク を選択し、ネットワークの一覧を表示します。
      2. ネットワークの一覧からVyOSインスタンスが接続しているネットワーク名をクリックします。
      3. ポート タブをクリックし、ネットワークに所属するポートの一覧を表示します。
      4. ポートの アクション から ポートの編集 を選択します。ポートの一覧からインスタンスのものを判別するには、 そのポートのIPアドレスがVyOSインスタンスと等しいものを探します。
      5. ポートセキュリティ のチェックを外し、更新 ボタンを押します。 この作業によりVyOSインスタンスからセキュリティグループ VyOS-SG が外れます。
    10. 完了