Оглавление

В дискреционном режиме обеспечивается дискреционное и мандатное разграничение доступа к облаку ресурсов и виртуальных машин. В таком режиме ВМ запускаются от имени доменного пользователя, авторизовавшегося в ПК СВ. Для работы в дискреционном режиме необходимо, чтобы все серверы из состава ПК СВ входили в один домен FreeIPA.

В связи с особенностью функционирования домена FreeIPA, конфигурация, при которой совмещаются роли контроллера домена и фронтальной машины на одном сервере, недопустима.

В этом примере описывается процесс развертывания ПК СВ "Брест" на базе домена FreeIPA в минимальной из возможных конфигураций — на двух гостевых машинах.

В данном примере для развертывания ВМ в облаке ресурсов и виртуальных машин будут задействованы хранилища, установленные по умолчанию при инициализации сервиса фронтальной машины.

Дополнительных действий по настройке сервиса хранилища не требуется.

Действия, описываемые в разделах 5 — 16, выполняются в ОС гостевых машин под учетной записью администратора с высоким уровнем целостности.

Для подключения к веб-интерфейсу ПК СВ необходимо войти в ОС гостевой машины FN под учетной записью администратора Бреста, принадлежащей домену brest.local (учетная запись будет создана во время выполнения действий раздела Инициализация сервисов фронтальной машины и узла виртуализации).

Описание тестовой среды

В данном примере в качестве тестовой среды выступает система виртуализации QEMU/KVM в ОС СН Astra Linux Special Edition 1.7.2.UU.1.

При этом описываемые действия по созданию и настройке гостевых машин выполняются в программе Virt-manager версии 2.2.1-3.

Будут развернуты две гостевые машины со следующими параметрами:

  • гостевая машина сервиса виртуализации:
    • количество процессоров: 6;
    • размер памяти (ОЗУ): 6 ГБ;
    • объем диска: 64 ГБ;
  • гостевая машина контроллера домена FreeIPA:
      • количество процессоров: 2;
      • размер памяти (ОЗУ): 2 ГБ;
      • объем диска: 12 ГБ.

    На объекте эксплуатации для контроллера домена должно быть выделено не менее трех процессоров.

В ОС облачных ВМ будут подключены интернет-репозитории Astra Linux. Поэтому необходимо, чтобы в хостовой ОС был доступ к сети Интернет.

В хостовой ОС должна быть включена вложенная виртуализация, см. статью Включение вложенной (nested) аппаратной виртуализации в KVM.

В этом примере в качестве установочного носителя используется файл образа технологического установочного диска 1.7.2-11.08.2022_15.28.iso (установочный диск Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) с интегрированным обновлением БЮЛЛЕТЕНЬ № 2022-1011SE17MD (оперативное обновление 1.7.2.UU.1).

Кроме того, потребуется файл образа установочного диска ПК СВ "Брест".

1. Добавление виртуальной сети в Virt-manager

Все гостевые машины находятся в виртуальных сегментах сетей. При этом хостовая машина является для них шлюзом по умолчанию. 

В данном примере внутренняя (виртуальная) сеть имеет следующие настройки:

  • диапазон IP-адресов сети: 172.16.1.0/24;
  • шлюз по умолчанию: 172.16.1.1;
  • встроенный DCHP-сервер выключен, в гостевых машинах будет настроен статический IP-адрес;
  • внутренняя (виртуальная) сеть работает в режиме NAT.

Если в хостовой машине диапазон 172.16.1.0/24 уже используется, необходимо в настройках виртуальной (внутренней) сети задать другой диапазон IP-адресов. Например, 192.168.123.0/24.

Для добавления виртуальной сети необходимо войти в Astra Linux под учетной записью пользователя, включенного в группы astra-admin и astra-console, и выполнить следующие действия:

  1. Запустить программу "Менеджер виртуальных машин".
  2. В окне программы "Менеджер виртуальных машин" выбрать подключение к системному серверу виртуализации, а затем выбрать пункт меню Правка — Свойства подключения.
  3. В открывшемся окне Свойства соединения открыть вкладку Виртуальные сети и нажать кнопку [+].

  4. В открывшемся окне Создание виртуальной сети (шаг 1 из 4) в поле Имя сети задать наименование виртуальной сети, например «virbr1», и нажать кнопку [Вперёд].

  5. В окне Создание виртуальной сети (шаг 2 из 4):

    • в поле Сеть задать следующие параметры сети: 172.16.1.0/24;

    • снять флаг Включить DHCPv4 (выключить встроенный DCHP-сервер);

    • нажать кнопку [Вперёд].

  6. В окне Создание виртуальной сети (шаг 3 из 4) настройки IPv6 оставить без изменений и нажать кнопку [Вперёд].
  7. В окне Создание виртуальной сети (шаг 4 из 4):
    • в поле Подключено к физической сети установить флаг Перенаправлять в физическую сеть;
    • в выпадающем списке Назначение выбрать требуемый сетевой интерфейс хостовой машины;
    • в выпадающем списке Режим выбрать значение «NAT»;
    • нажать кнопку [Готово].

После этого добавленная сеть отобразится в окне Свойства соединения во вкладке Виртуальные сети


2. Создание гостевой машины FN


В данном примере гостевая машина имеет следующие настройки:

  • количество процессоров: 6;
  • размер памяти (ОЗУ): 6 ГБ;
  • объем диска: 64 ГБ.

Файл образа установочного носителя предварительно должен быть скопирован в пул хранилища (по умолчанию /var/lib/libvirt/images).

Для создания гостевой машины необходимо выполнить следующие действия:

  1. В окне программы "Менеджер виртуальных машин" выбрать подключение к системному серверу виртуализации, а затем выбрать пункт меню Файл — Создать виртуальную машину, либо нажать кнопку [Создать виртуальную машину].
  2. В открывшемся окне Создание виртуальной машины (шаг 1 из 5) установить флаг Локальный ISO или CDROM и нажать на кнопку [Вперёд].


  3. В окне Создание виртуальной машины (шаг 2 из 5) в секции Choose ISO or CDROM install media (выберите расположение установочного носителя: ISO или CDROM) нажать на кнопку [Обзор].


  4. В открывшемся окне Выбор тома хранилища выбрать установочный носитель и нажать на кнопку [Выбор тома].


  5. В окне Создание виртуальной машины (шаг 2 из 5):
    • в секции Choose the operating system you are installing снять флаг Automatically detect from the installation media / source;
    • в секции Choose the operating system you are installing в поле поиска ввести «ge» и выбрать значение «Generic deafault (generic)»;
    • нажать на кнопку [Вперёд].
  6. В окне Создание виртуальной машины (шаг 3 из 5) в поле Memory установить значение «6144», в поле Процессоры установить значение «6» и нажать на кнопку [Вперёд].


  7. В окне Создание виртуальной машины (шаг 4 из 5) задать размер диска гостевой машины и нажать на кнопку [Вперёд].


  8. В окне Создание виртуальной машины (шаг 5 из 5):
    • задать название гостевой машины;
    • установить флаг Проверить конфигурацию перед установкой;
    • в выпадающем списке Выбор сети выбрать добавленную ранее виртуальную сеть;
    • нажать на кнопку [Готово].


  9. В открывшемся окне параметров гостевой машины в левом поле выбрать пункт Процессоры и удостовериться в том, что в правом поле установлен флаг Копировать конфигурацию ЦП хоста.


  10. В окне параметров гостевой машины в левом поле выбрать пункт IDE Диск 1, затем в правом поле в секции Дополнительные параметры в выпадающем списке Шина диска выбрать значение «VirtIO» и нажать на кнопку [Применить].


  11. В окне параметров гостевой машины нажать на кнопку [Добавить оборудование] в левом нижнем углу.


  12. В открывшемся окне Добавление виртуального оборудования:

    1. в левом поле выбрать пункт Канал;

    2. в правом поле параметры Название и Тип устройства оставить без изменения (протокол SPICE);

    3. нажать на кнопку [Готово].


      SPICE (от англ.: Simple Protocol for Independent Computing Environments — Простой протокол для независимой вычислительной среды) в настоящем примере используется для поддержки общего буфера обмена между хостовой и гостевой машинами.

  13. В окне параметров гостевой машины нажать на кнопку [Начать установку] в левом верхнем углу.

После этого откроется окно гостевой машины, в котором отобразится процесс установки ОС.

3. Установка ОС СН в гостевой машине FN

Процесс установки ОС СН описан в документе "Операционная система специального назначения "Astra Linux Special Edition" РУСБ.10015-01. Руководство по установке" (файл OS-inst-help.pdf размещен на установочном носителе в директории install-doc). При этом следует учитывать следующие особенности установки:

  • на странице Установка базовой системы выбрать для установки ядро linux-5.10-generic или linux-5.15-generic (предпочтительно);
  • на странице Выбор программного обеспечения выбрать следующие пункты:
    • Графический интерфейс Fly;
    • Средства работы с Интернет;
    • Средства удаленного подключения SSH ;
  • на странице Дополнительные настройки ОС выбрать Максимальный уровень защищенности "Смоленск". Допускается так же выбрать Усиленный уровень защищенности "Воронеж";
  • на странице Дополнительные настройки ОС выбрать пункт Запрет автонастройки сети.

4. Подключение образа установочного носителя к гостевой машине


Файл образа установочного носителя предварительно должен быть скопирован в пул хранилища (по умолчанию /var/lib/libvirt/images).

  1. На панели инструментов окна гостевой машины нажать на кнопку [Показать виртуальное оборудование].


  2. В окне параметров гостевой машины в левом поле выбрать пункт IDE CDROM 1, затем в правом поле нажать на кнопку [Browse].


  3. В открывшемся окне Выбор тома хранилища указать расположение установочного носителя и нажать на кнопку [Выбор тома].


  4. В окне параметров гостевой машины в правом поле нажать на кнопку [Применить].
  5. На панели инструментов окна гостевой машины нажать на кнопку [Показать графическую консоль].

5. Включение общего буфера обмена

Действия, описываемые в этом разделе, выполняются в ОС гостевой машины FN под учетной записью администратора с высоким уровнем целостности.


Действия, описанные в данном разделе, не обязательны и выполняются для удобства последующей настройки гостевой машины.

Для организации общего буфера обмена между хостовой и гостевой машинами используется пакет spice-vdagent, который устанавливается в гостевой машине. Для обеспечения работы общего буфера обмена необходимо выполнить действия, описанные ниже.

  1. В окне параметров гостевой машины удостовериться в том, что включен канал SPICE.
  2. Установить пакет spice-vdagent командой:

    sudo apt install spice-vdagent

  3. После установки пакета spice-vdagent перезагрузить гостевую машину.

6. Настройка сети в гостевой машине FN

Действия, описываемые в этом разделе, выполняются в ОС гостевой машины FN под учетной записью администратора с высоким уровнем целостности.

В данном примере для обеспечения работы сервиса узла виртуализации в качестве сетевого соединения будет настроен мост со следующими параметрами:

  • IP-адрес: 172.16.1.20;
  • маска: 255.255.255.0;
  • шлюз по умолчанию: 172.16.1. 1.

Гостевой машине будет присвоено сетевое имя fn, при этом полное доменное имя (FQDN) будет иметь вид: fn .brest.local.

Для настройки сетевого соединения необходимо выполнить следующие действия:

  1. Установить пакет bridge-utils командой:

    sudo apt install bridge-utils

  2. В файл /etc/network/interfaces добавить следующие строки:

    auto eth0
    iface eth0 inet manual
    auto br0
    iface br0 inet static
    bridge_ports eth0
    address 172.16.1.20
    netmask 255.255.255.0
    gateway 172.16.1.1
    CODE
  3. Запустить в работу сетевой интерфейс командой:

    sudo ifup br0

  4. Файл /etc/hosts привести к следующему виду:

    127.0.0.1 localhost.localdomain localhost 
    172.16.1.20 fn.brest.local fn 
    CODE
  5. Задать сетевое имя гостевой машине, выполнив команду:

    sudo hostnamectl set-hostname fn.brest.local
    Сообщение об ошибке вида:

    sudo: unable to resolve host <предыдущее имя гостевой машины>: В соединении отказано
    CODE

    можно игнорировать (перед тем как выполнить команду, утилита sudo обращается к файлу /etc/hosts, чтобы определить IP-адрес, используя предыдущее имя гостевой машины).

  6. Добавить в автозапуск и запустить службу ssh командами:

    sudo systemctl enable ssh
    sudo systemctl start ssh

7. Установка оперативного обновления 1.7.2.UU.1 в гостевой машине FN

Действия, описываемые в этом разделе, выполняются в ОС гостевой машины FN под учетной записью администратора с высоким уровнем целостности.

Если для установки оперативного обновления планируется использовать интернет-репозитории Astra Linux необходимо предварительно выполнить действия, описанные ниже.

  1. Создать файл /etc/resolv.conf и указать IP-адрес общедоступного DNS-сервера, например, 77.88.8.8:

    search auto
    nameserver 77.88.8.8
    CODE
  2. Удостовериться в том, что интернет-репозиторий Astra Linux 1.7 доступен по доменному имени, выполнив команду: 

    ping dl.astralinux.ru
    пример вывода после выполнения команды: 

    PING dl.astralinux.ru (51.250.6.116) 56(84) bytes of data.
    64 bytes from 51.250.6.116 (51.250.6.116): icmp_seq=1 ttl=57 time=6.91 ms
    CODE

Для установки оперативного обновления необходимо выполнить действия, описанные ниже.

  1. Настроить доступ к репозиториям:

    При этом может быть указан сетевой репозиторий или копия репозитория в локальной файловой системе (ФС). Чтобы подключить репозиторий  Astra Linux, следует в файле /etc/apt/sources.list добавить строку вида:

    deb <путь_к_репозиторию> 1.7_x86-64 main contrib non-free
    CODE

    Пример. Копия репозитория в локальной файловой системе:

    deb file:/srv/repo/alse/main/ 1.7_x86-64 main contrib non-free
    deb file:/srv/repo/alse/0819SE17/ 1.7_x86-64 main contrib non-free
    deb file:/srv/repo/alse/1011SE17MD/ 1.7_x86-64 main contrib non-free
    CODE

    где:

    • /srv/repo/alse/main/ —каталог, в котором размещены файлы установочного диска  Astra Linux;
    • /srv/repo/alse/0819SE17/ – каталог, в котором размещены файлы оперативного обновления 1.7.2 (БЮЛЛЕТЕНЬ № 2022-0819SE17);
    • /srv/repo/alse/1011SE17MD/ – каталог, в котором размещены файлы оперативного обновления 1.7.2.UU.1 (БЮЛЛЕТЕНЬ № 2022-1011SE17MD).

    Пример. Интернет-репозитории Astra Linux:

    # Репозиторий файлов установочного диска ОС~СН (основной репозиторий)
    deb https://dl.astralinux.ru/astra/stable/1.7_x86-64/repository-main/ 1.7_x86-64 main contrib non-free
    
    # Репозиторий оперативного обновления основного репозитория (бюллетень 2022-0819SE17)
    deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.2/repository-update/ 1.7_x86-64 main contrib non-free
    
    # Репозиторий оперативного обновления основного репозитория (бюллетень 2022-1011SE17MD)
    deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.2/uu/1/repository-update/ 1.7_x86-64 main contrib non-free
    CODE
  2. Выполнить повторную синхронизацию файлов описаний пакетов с их источником командой:

    sudo apt update

  3. Выполнить обновление пакетов командой:

    sudo astra-update -A -r

8. Создание гостевой машины DC

Действия по созданию гостевой машины с ролью контроллера домена аналогичны действиям, описанным в разделе Создание гостевой машины FN (за исключением пункта установки дополнительного оборудования — канал SPICE добавлять не нужно).

Рекомендуемые параметры гостевой машины DC:

  • количество процессоров: 2;
  • размер памяти (ОЗУ): 2 ГБ;
  • объем диска: 12 ГБ.

9. Установка ОС СН в гостевой машине DC

Процесс установки ОС СН описан в документе "Операционная система специального назначения "Astra Linux Special Edition" РУСБ.10015-01. Руководство по установке" (файл OS-inst-help.pdf размещен на установочном носителе в директории install-doc). При этом следует учитывать следующие особенности установки:

  • на странице Установка базовой системы выбрать для установки ядро linux-5.10-generic или linux-5.15-generic (предпочтительно);
  • на странице Выбор программного обеспечения выбрать пункт Средства удаленного подключения SSH;
  • на странице Дополнительные настройки ОС выбрать Максимальный уровень защищенности "Смоленск". Допускается так же выбрать Усиленный уровень защищенности "Воронеж";
  • на странице Дополнительные настройки ОС выбрать пункт Запрет автонастройки сети.

10. Настройка сети в гостевой машине DC

Действия, описываемые в этом разделе, выполняются в ОС гостевой машины DC под учетной записью администратора с высоким уровнем целостности.

В данном примере будет настроено сетевое соединение со следующими параметрами:

  • IP-адрес: 172.16.1.10;
  • маска: 255.255.255.0;
  • шлюз по умолчанию: 172.16.1. 1.

Гостевой машине будет присвоено сетевое имя dc, при этом полное доменное имя (FQDN) будет иметь вид: dc.brest.local.

Для настройки сетевого соединения необходимо выполнить следующие действия:

  1. Создать файл /etc/resolv.conf и добавить в него следующие строки:

    search brest.local
    nameserver 172.16.1.10
    CODE
  2. В файл /etc/network/interfaces добавить следующие строки:

    auto eth0
    iface eth0 inet static
    address 172.16.1.10
    netmask 255.255.255.0
    gateway 172.16.1.1
    CODE
  3. Запустить в работу сетевой интерфейс командой:

    sudo ifup eth0

  4. Файл /etc/hosts привести к следующему виду:

    127.0.0.1 localhost.localdomain localhost 
    172.16.1.10 dc.brest.local dc
    CODE
  5. Задать сетевое имя гостевой машине, выполнив команду:

    sudo hostnamectl set-hostname dc.brest.local
    Сообщение об ошибке вида:

    sudo: unable to resolve host <предыдущее имя гостевой машины>: В соединении отказано
    CODE

    можно игнорировать (перед тем как выполнить, команду утилита sudo обращается к файлу /etc/hosts, чтобы определить IP-адрес, используя предыдущее имя гостевой машины).

  6. Добавить в автозапуск и запустить службу ssh командами:

    sudo systemctl enable ssh
    sudo systemctl start ssh

11. Установка и настройка службы Контроллера домена FreeIPA

Действия, описываемые в этом разделе, выполняются в ОС гостевой машины DC под учетной записью администратора с высоким уровнем целостности.
  1. Подключить к гостевой машине DC образ установочного носителя (см. Подключение образа установочного носителя к гостевой машине).
  2. Установить пакет astra-freeipa-server командой:

    sudo apt install astra-freeipa-server

  3. Инициализировать домен командой:

    sudo astra-freeipa-server -d brest.local -n dc -ip 172.16.1.10 -o

    • при появлении приглашения для ввода вида:

      Будет использован указанный IP-адрес 172.16.1.10.
      продолжать ? (y\n)
      CODE

      ввести "y" и нажать клавишу <Enter>;

    • задать пароль администратора домена.

      172.16.1.10 — IP-адрес контроллера домена, заданный во время выполнения действий раздела Настройка сети в гостевой машине DC.

Об успешной инициализации домена будет свидетельствовать следующая надпись:

Обнаружен настроенный домен brest.local
WEB: https://dc.brest.local
CODE

12. Ввод в домен гостевой машины FN

Действия, описываемые в этом разделе, выполняются в ОС гостевой машины FN под учетной записью администратора с высоким уровнем целостности.
  1. Файл /etc/resolv.conf привести к виду:

    search brest.local
    nameserver 172.16.1.10
    CODE

    172.16.1.10 — IP-адрес контроллера домена, заданный во время выполнения действий раздела Настройка сети в гостевой машине DC.

  2. В файл /etc/hosts добавить следующую строку:

    172.16.1.10 dc.brest.local dc
    CODE

    dc.brest.local — полное доменное имя контроллера домена, заданное во время выполнения действий раздела Настройка сети в гостевой машине DC.

  3. Установить пакет astra-freeipa-client командой:

    sudo apt install astra-freeipa-client
    в открывшемся окне Настройка PAM нажать кнопку [Ok].

  4. Ввести гостевую машину FN в домен командой:

    sudo astra-freeipa-client

    • при появлении приглашения для ввода вида:

      логин администратора не указан, будет использован "admin" (-u adminname)
      username = admin
      продолжать ? (y\n)
      CODE

      ввести "y" и нажать клавишу <Enter>;

    • ввести пароль администратора домена, заданный во время выполнения действий раздела Установка и настройка службы Контроллера домена FreeIPA.
  5. Обязательно выполнить перезагрузку!

Для проверки результата ввода в домен необходимо ввести команду:

sudo astra-freeipa-client -i
Об успешном вводе в домен будет свидетельствовать следующая надпись:

Обнаружен настроенный клиент в домене brest.local
CODE

13. Настройка репозиториев в гостевой машине FN

Действия, описываемые в этом разделе, выполняются в ОС гостевой машины FN под учетной записью администратора с высоким уровнем целостности.


В данном примере в качестве источника пакетов будет дополнительно зарегистрирован локальный репозиторий с файлами установочного диска ПК СВ "Брест".

Файл образа установочного диска ПК СВ предварительно должен быть скопирован в пул хранилища на хостовой машине (по умолчанию /var/lib/libvirt/images).

Чтобы создать локальный репозиторий, используя установочный диск ПК СВ "Брест", необходимо выполнить действия, описанные ниже.

  1. Подключить к гостевой машине файл образа установочного диска ПК СВ "Брест" (см. Подключение образа установочного носителя к гостевой машине).
  2. Создать каталог для размещения репозитория командой: 

    sudo mkdir -p /srv/repo/brest

  3. Примонтировать установочный диск ПК СВ "Брест" командой:

    sudo mount /dev/sr0 /media/cdrom

  4. Скопировать файлы из установочного диска ПК СВ "Брест" в каталог репозитория командой:

    sudo cp -a /media/cdrom/* /srv/repo/brest

  5. Отмонтировать установочный диск ПК СВ "Брест" командой:

    sudo umount /media/cdrom

  6. Подключить в качестве локального репозитория каталог /srv/repo/brest/, для этого в файле /etc/apt/sources.list добавить строку вида:

    deb file:/srv/repo/brest/ brest main non-free
    CODE
  7. Выполнить повторную синхронизацию файлов описаний пакетов с их источником командой:

    sudo apt update

14. Установка сервисов фронтальной машины и узла виртуализации

Действия, описываемые в этом разделе, выполняются в ОС гостевой машины FN под учетной записью администратора с высоким уровнем целостности.
  1. Подключить к гостевой машине образ установочного носителя (см. Подключение образа установочного носителя к гостевой машине).
  2. Установить пакет brestcloud-ipa командой:

    sudo apt install brestcloud-ipa
    на странице ЛИЦЕНЗИОННОЕ СОГЛАШЕНИЕ нажать кнопку [Принять].

  3. Установить пакет ipa-libvirt-qemu командой:

    sudo apt install ipa-libvirt-qemu

  4. Обязательно выполнить перезагрузку!

15. Инициализация сервисов фронтальной машины и узла виртуализации

Действия, описываемые в этом разделе, выполняются в ОС гостевой машины FN под учетной записью администратора с высоким уровнем целостности.
  1. Выполнить инициализацию сервиса фронтальной машины командой:

    sudo brestcloud-configure

    • значение параметра "имя администратора IPA-сервера" оставить без изменений (нажать клавишу <Enter>);
    • ввести "пароль администратора сервера" (пароль администратора домена FreeIPA), заданный во время выполнения действий раздела Установка и настройка службы Контроллера домена FreeIPA;
    • задать значение параметра "логин для администратора Бреста";

      В ПК СВ зарезервированы и не могут быть использованы следующие имена пользователей:

      • admin;
      • brestadmin;
      • oneadmin;
      • serveradmin.

      Кроме того, в имени пользователя не допускается использование:

      • служебных символов;
      • букв в верхнем регистре;
      • цифрового знака в начале имени пользователя.
    • задать значение параметра "пароль администратора Бреста".

      Пароль администратора Бреста должен удовлетворять следующим требованиям сложности:

      • быть длиной не менее 8 символов;
      • пароль должен содержать символы из не менее чем 3-х групп:
        • латинские буквы в нижнем регистре,
        • латинские буквы в верхнем регистре,
        • цифры,
        • служебные символы.
  2. Выполнить инициализацию сервиса узла виртуализации командой:

    sudo ipa-libvirt-qemu-configure

    • значение параметра "имя администратора IPA-сервера" оставить без изменений (нажать клавишу <Enter>);
    • ввести "пароль администратора ipa-сервера" , заданный во время выполнения действий раздела Установка и настройка службы Контроллера домена FreeIPA;
    • ввести "полное доменное имя фронтальной машины "Брест"" (в данном примере —fn.brest.local, см. Настройка сети в гостевой машине) и нажать клавишу <Enter>;

    • ввести "имя локального администратора фронтальной машины "Брест"" (гостевой машины FN), заданное при установке ОС;
    • ввести "пароль локального администратора фронтальной машины "Брест"" (гостевой машины FN), заданный при установке ОС.
  3. Обязательно выполнить перезагрузку!

Подключение к веб-интерфейсу ПК СВ можно осуществить с любого компьютера, имеющего сетевой доступ к гостевой машине сервиса виртуализации.

16. Настройка браузера Mozilla Firefox и подключение к веб-интерфейсу ПК СВ

  1. Установить браузер Mozilla Firefox (если при установке ОС не был выбран пункт Средства работы в сети) командой:

    sudo apt install firefox

  2. Запустить браузер, например, с использованием графического интерфейса: Меню "Пуск — Сеть — Веб-браузер Firefox".
  3. В адресную строку ввести "about:config" и нажать клавишу <Enter>.
  4. На открывшейся странице с предупреждением нажать на кнопку [Принять риск и продолжить)].
  5. На открывшейся странице Расширенные настройки в поле поиска ввести следующее слово: "negotiate".
  6. Для параметров network.negotiate-auth.trusted-uris и network.negotiate-auth.delegation-uris задать значение "http://, https://".
  7. Добавить в исключения самоподписанный SSL-сертификат:
    • перейти по адресу: https://<полное_доменное_имя_гостевой_машины>:2616, в данном примере — https://fn.brest.local:2616 (см. Настройка сети в гостевой машине);
    • на открывшейся странице с предупреждением нажать на кнопку [Дополнительно], а затем — на кнопку [Принять риск и продолжить].
    На открывшейся странице Open Nebula вводить ничего не нужно.
  8. Аналогичным образом добавить в исключения самоподписанный SSL-сертификат для порта 29876 (используется для подключения к удаленному рабочему столу ВМ). Открывшуюся страницу с сообщением об ошибке можно закрыть.
  9. Перейти к веб-интерфейсу ПК СВ "Брест" по адресу: https://<полное_доменное_имя_гостевой_машины>, в данном примере — https://fn.brest.local.
  10. На открывшейся странице с предупреждением нажать на кнопку [Дополнительно], а затем — на кнопку [Принять риск и продолжить].
  11. В открывшемся окне авторизации ввести имя и пароль учетной записи администратора ПК СВ, заданные во время выполнения действий по инициализации сервиса фронтальной машины и нажать кнопку [Войти].

  12. На открывшейся странице Брест нажать на кнопку [Войти].


В описываемом тестовом стенде не будет использоваться служба FireEdge, которая реализует расширенный функционал веб-интерфейса.

В связи с этим, сообщения об ошибке вида:

FireEdge private endpoint is not working, please contact your cloud administrator
CODE

можно игнорировать.

Для того, чтобы отключить проверку статуса службы FireEdge, необходимо в конфигурационном файле /etc/one/sunstone-server.conf закомментировать следующие строки:

:private_fireedge_endpoint: http://localhost:2616
:public_fireedge_endpoint: http://localhost:2616
CODE

После внесения изменений в конфигурационный файл, необходимо перезапустить службу веб-интерфейса командой:

sudo systemctl restart opennebula-sunstone.service

17. Создание облачной сети в веб-интерфейсе ПК СВ

В данном примере рассматривается вариант, когда облачным ВМ предоставлен доступ к сети интернет. Поэтому в качестве физического сетевого интерфейса будет указан настроенный ранее мост (br0).

Диапазон IP-адресов облачной сети будет назначен исходя из диапазона, установленного при создании виртуальной сети в Virt-Manager (172.16.1.0 /24).


В данном примере будет создана виртуальная сеть, функционирующая в  режим «сетевой мост без фильтрации» (Bridged).

Представлены только минимально необходимые настройки, универсальные для сервисного и дискреционного режима.

  1. В веб-интерфейсе ПК СВ "Брест" в меню слева выбрать пункт меню Сеть — Вирт.сети и на открывшейся странице Вирт.сети нажать на кнопку +, а затем в открывшемся меню выбрать пункт Создать.


  2. На открывшейся странице Создать Виртуальную сеть во вкладке Общие в поле Название задать наименование виртуальной сети.


  3. На странице Создать Виртуальную сеть во вкладке Конфигурация в поле Интерфейс сет.моста указать наименование сетевого моста.


  4. На странице Создать Виртуальную сеть во вкладке Адреса в поле Первый IPv4 адрес задать начало диапазона адресов, которые будут присваиваться создаваемым ВМ, в поле Размер задать размер диапазона адресов (ожидаемое количество ВМ).


  5. На странице Создать Виртуальную сеть нажать на кнопку Создать.
  6. После этого на открывшейся странице Вирт. сети появится запись о созданной виртуальной сети.

18. Загрузка установочного носителя в хранилище ПК СВ

Файл образа установочного носителя предварительно должен быть загружен на диск гостевой машины, например в каталог /tmp/, для этого можно воспользоваться следующей командой:

scp <установочный носитель> <local-admin>@172.16.1.20:/tmp/

где:

  • <установочный носитель> — файл образа установочного носителя;
  • <local-admin> — имя локального администратора фронтальной машины "Брест" (гостевой машины FN), заданное при установке ОС;
  • 172.16.1.20 — IP-адрес гостевой машины FN, заданный во время выполнения действий раздела Настройка сети в гостевой машине FN.


В данном примере представлены только минимально необходимые настройки, универсальные для сервисного и дискреционного режима.

  1. В веб-интерфейсе ПК СВ "Брест" в меню слева выбрать пункт меню Хранилище — Образы.
  2. На открывшейся странице Образы нажать на кнопку +, затем в открывшемся меню выбрать пункт Создать.


  3. На открывшейся странице Укажите параметры нового образа:
    1. в поле Название задать наименование образа установочного носителя;
    2. в выпадающем списке Тип выбрать значение CD-ROM только для чтения;
    3. в секции Расположение образа установить флаг Закачать и нажать на кнопку Обзор....


  4. В открывшемся окне Выгрузка файла выбрать ISO-файл образа установочного носителя и на кнопку Открыть.
  5. На странице Укажите параметры нового образа нажать на кнопку Создать.
  6. После этого на открывшейся странице Образы отобразится процесс загрузки образа в хранилище.


  7. После окончания загрузки образа в облако необходимо дождаться момента, когда для загруженного образа в поле Статус значение ЗАБЛОКИРОВАНО изменится на ГОТОВО. Для обновления страницы можно воспользоваться кнопкой Обновить.

19. Создание диска ВМ (пустого) в хранилище ПК СВ


В данном примере представлены только минимально необходимые настройки, универсальные для сервисного и дискреционного режима.

  1. В веб-интерфейсе ПК СВ "Брест" в меню слева выбрать пункт меню Хранилище — Образы.
  2. На открывшейся странице Образы нажать на кнопку +, затем в открывшемся меню выбрать пункт Создать.
  3. На открывшейся странице Укажите параметры нового образа выполнить действия:
    • в поле Название задать наименование образа диска ВМ;
    • в выпадающем списке Тип выбрать значение Общий блок данных хранилища;
    • в выпадающем списке Этот образ является постоянным выбрать значение Да;
    • в секции Расположение образа установить флаг Пустой образ диска и в появившемся поле Размер задать требуемый размер образа.


  4. На странице Укажите параметры нового образа:
    1. раскрыть секцию Расширенные настройки;
    2. в выпадающем списке Шина выбрать значение Virtio;
    3. в выпадающем списке Формат выбрать значение qcow2.
  5. На странице Укажите параметры нового образа нажать на кнопку Создать.
  6. После этого на открывшейся странице Образы необходимо удостовериться в том, что созданный образ имеет статус ГОТОВО.

20. Создание предварительного шаблона и установка ОС в ВМ


Шаблон ВМ используется для тиражирования ВМ. В представленном примере рассматривается случай, когда в хранилище ещё нет образа диска ВМ с установленной ОС. В связи с этим описана следующая последовательность действий:

  • создание нового шаблона ВМ;
  • создание временной ВМ из подготовленного шаблона;
  • установка ОС в ВМ.

В данном примере представлены только минимально необходимые настройки шаблона, универсальные для сервисного и дискреционного режима.

  1. В веб-интерфейсе ПК СВ "Брест" в меню слева выбрать пункт меню Шаблоны — ВМ.
  2. На открывшейся странице Шаблоны ВМ нажать на кнопку + и в открывшемся меню выбрать пункт Создать.


  3. На открывшейся странице Создать шаблон ВМ во вкладке Общие:
    1. в поле Название задать наименование шаблона;
    2. в секции Гипервизор установить флаг KVM;
    3. указать основные параметры ВМ (память, процессор и т.п.).
  4. На странице Создать шаблон ВМ во вкладке Хранилище:
    1. для Диска 0 указать созданный ранее диск ВМ (пустой);
    2. в левом поле нажать на кнопку +, затем для Диска 1 указать загруженный ранее установочный носитель.


  5. На странице Создать шаблон ВМ во вкладке Сеть указать созданную ранее виртуальную сеть.


  6. На странице Создать шаблон ВМ во вкладке ОС и ЦП:
    1. в секции Загрузка установить флаги disk0 и disk1;
    2. в секции Особенности в выпадающем списке Гостевой агент QEMU выбрать значение Да.


  7. На странице Создать шаблон ВМ нажать на кнопку Создать.
  8. После этого на открывшейся странице Шаблоны ВМ отобразится созданный шаблон.


  9. На странице Шаблоны ВМ выбрать созданный шаблон и на открывшейся странице Шаблон ВМ нажать на кнопку Создать ВМ.


  10. На открывшейся странице Создать ВМ
    • в поле Имя ВМ задать наименование ВМ;
    • нажать на кнопку [Создать ВМ].
  11. В веб-интерфейсе в меню слева выбрать пункт меню Экземпляры ВМ — ВМ и дождаться, пока в столбце Статус на странице ВМ для созданной на предыдущем шаге ВМ значение Инициализация не изменится на ВЫКЛЮЧЕНО (промежуточные значения: Ожидание и Пролог). Для обновления информации, отображаемой на странице, можно воспользоваться кнопкой Обновить.


  12. На странице Экземпляры ВМ — ВМ выбрать созданную ВМ и на открывшейся странице ВМ нажать на кнопку > (запуск).
  13. На странице ВМ нажать на кнопку Открыть и в открывшемся меню выбрать пункт VNC.


  14. На появившейся панели браузера firefox с предупреждением нажать на кнопку Настройки и выбрать пункт Разрешить всплывающие окна для <имя_гостевой_машины>.
  15. На открывшейся странице с подключенным удаленным рабочем столом ВМ выполнить действия по установке системы. При этом во время установки на странице Дополнительные настройки ОС  выбрать пункт Запрет автонастройки сети.


 

21. Подключение интернет-репозитория в ВМ


В данном примере рассматривается порядок подключения интернет-репозиториев Astra Linux 1.7 в ВМ сразу после установки ОС. При этом ПК СВ развернут на гостевой машине, функционирующей в системе виртуализации QEMU/KVM.

Для обеспечения доступа к интернет-репозиториям Astra Linux необходимо, чтобы в хостовой ОС был доступ к сети Интернет.

Общие сведения об интернет-репозиториях Astra Linux представлены в статье Интернет-репозитории Astra Linux Special Edition x.7.

Для выполнения описываемых действий необходимо войти в ОС виртуальной машины под учетной записью администратора с высоким уровнем целостности.

Чтобы запустить терминал в ВМ можно воспользоваться графическим интерфейсом: Меню "Пуск" – Системные — Терминал Fly.

Для подключения интернет-репозиториев Astra Linux необходимо выполнить действия, описанные ниже.

  1. В файл /etc/network/interfaces добавить следующие строки: 

    auto eth0
    iface eth0 inet static
    address 172.16.1.100
    netmask 255.255.255.0
    gateway 172.16.1.1
    CODE

    где:

    • 172.16.1.100 — IP-адрес из диапазона облачной сети ПК СВ, которая была настроена ранее;

    • 172.16.1.1 — IP-адрес шлюза гостевой машины, на которой развернут ПК СВ.

  2. Запустить в работу сетевой интерфейс командой: 

    sudo ifup eth0

  3. Необязательный шаг. Для удобства настройки добавить в автозапуск и запустить службу ssh командами: 

    sudo systemctl enable ssh

    sudo systemctl start ssh

    Если при установке ОС не был выбран пункт Средства удаленного подключения SSH, предварительно необходимо установить пакет ssh командой: 

    sudo apt install ssh

    Далее можно подключиться к ВМ из хостовой ОС по SSH.

  4. Создать файл /etc/resolv.conf и указать IP-адрес общедоступного DNS-сервера, например, 77.88.8.8:

    search auto
    nameserver 77.88.8.8
    CODE
  5. Удостовериться в том, что интернет-репозиторий Astra Linux 1.7 доступен по доменному имени, выполнив команду: 

    ping dl.astralinux.ru
    пример вывода после выполнения команды: 

    PING dl.astralinux.ru (51.250.6.116) 56(84) bytes of data.
    64 bytes from 51.250.6.116 (51.250.6.116): icmp_seq=1 ttl=57 time=6.91 ms
    CODE
  6. В файле /etc/apt/sources.list добавить строки:

    deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.2/repository-base/ 1.7_x86-64 main contrib non-free
    deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.2/repository-extended/ 1.7_x86-64 main contrib non-free
    CODE
  7. Выполнить повторную синхронизацию файлов описаний пакетов с их источником командой:

    sudo apt update

22. Установка пакета one-context в ВМ

В ПК СВ используется метод, называемый контекстуализацией, для отправки информации на виртуальную машину во время загрузки. Контекстуализация позволяет установить или переопределить данные ВМ, имеющие неизвестные значения или значения по умолчанию (имя хоста, IP-адрес, .ssh/authorized_keys).

В операционной системе ВМ для установки пакета one-context необходимо выполнить команду:

sudo apt install one-context

23. Настройка шаблона для тиражирования ВМ


В данном примере представлены только минимально необходимые настройки, универсальные для сервисного и дискреционного режима.

  1. В операционной системе ВМ установить ПО, которое планируется использовать в дальнейшем, затем выключить ВМ.
  2. В веб-интерфейсе на странице ВМ удалить ВМ, нажав на кнопку Уничтожить (жестко).
  3. В открывшемся окне с предупреждением нажать на кнопку OK.


    диск ВМ сохранится, т. к. ранее был установлен флаг Этот образ является постоянным.

  4. Дождаться завершения процесса удаления ВМ, для обновления страницы можно воспользоваться кнопкой Обновить.
  5. В веб-интерфейсе в меню слева выбрать пункт меню Хранилище — Образы и на открывшейся странице Образы выбрать диск ВМ (образ, в столбце Тип которого указано значение Блок данных).
  6. На открывшейся странице Образ во вкладке Сведения:
    • в выпадающем списке Тип выбрать значение ОС;

    • в выпадающем списке Постоянный выбрать значение нет.


  7. В веб-интерфейсе в меню слева выбрать пункт меню Шаблоны — ВМ и на открывшейся странице Шаблоны ВМ выбрать подготовленный шаблон.
  8. На открывшейся странице Шаблон ВМ нажать кнопку Обновить.
  9. На открывшейся странице Изменить шаблон ВМ открыть вкладку Хранилище и удалить Диск 1.
  10. На странице Изменить шаблон ВМ нажать на кнопку Обновить.


При последующем использовании подготовленного шаблона будут создаваться ВМ с уже установленной и настроенной ОС. При этом в ОС этих ВМ будет автоматически настроено сетевое соединение с IP-адресом из заданного диапазона (см. Создание виртуальной сети в веб-интерфейсе ПК СВ).

24. Проверка тиражирования ВМ


В данном примере представлены только минимально необходимые настройки, универсальные для сервисного и дискреционного режима.

  1. В веб-интерфейсе в меню слева выбрать пункт меню Шаблоны — ВМ и на открывшейся странице Шаблоны ВМ выбрать подготовленный шаблон.
  2. На открывшейся странице Шаблон ВМ нажать кнопку Создать ВМ.
  3. На открывшейся странице Создать ВМ:
    1. в поле Имя ВМ задать наименование ВМ;
    2. в поле Количество экземпляров установить значение 2 и нажать на кнопку Создать ВМ.


  4. В веб-интерфейсе в меню слева выбрать пункт меню Экземпляры ВМ — ВМ и дождаться пока в столбце Статус на странице ВМ для созданных на предыдущем шаге ВМ значение Инициализация не изменится на ВЫКЛЮЧЕНО (промежуточные значения: ОЖИДАНИЕ и Пролог). Для обновления информации, отображаемой на странице, можно воспользоваться кнопкой Обновить.
  5. На странице Экземпляры ВМ — ВМ выделить созданные ВМ и нажать на кнопку > (запуск).


  6. Выбрать одну из ВМ и на открывшейся странице ВМ зафиксировать назначенный для этой ВМ IP-адрес.


  7. На странице ВМ нажать на кнопку Открыть и в открывшемся меню выбрать пункт VNC.
  8. На открывшейся странице с подключенным удаленным рабочем столом ВМ ввести аутентификационные параметры заданные при установке ОС и просмотреть IP-адрес, установленный в ОС.

Для просмотра IP-адреса, указанного в ОС, можно воспользоваться следующим способом:

  1. Запустить терминал, например, с использованием графического интерфейса: Меню "Пуск" — Системные — Терминал Fly.
  2. В терминале ввести команду: 

    ip a
    Пример вывода после выполнения команды: 

    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
        inet 127.0.0.1/8 scope host lo
           valid_lft forever preferred_lft forever
        inet6 ::1/128 scope host 
           valid_lft forever preferred_lft forever
    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
        link/ether 02:00:ac:10:01:65 brd ff:ff:ff:ff:ff:ff
        inet 172.16.1.101/24 brd 172.16.1.255 scope global eth0
           valid_lft forever preferred_lft forever
        inet6 fe80::acff:fe10:165/64 scope link 
           valid_lft forever preferred_lft forever
    CODE

Проверка считается успешно выполненной, если IP-адреса (назначенный и установленный в ОС) совпадают.