Um die bwCloud Infrastruktur nutzen zu können, ist eine Registrierung erforderlich. Sollte dies noch nicht der Fall sein, dann einfach unserer Schritt-für-Schritt Anleitung unter Erste Schritte folgen. Die Registrierung ist an das bwIDM (Föderatives Identitätsmanagement der baden-württembergischen Hochschulen) angebunden, weshalb prinzipiell alle Angehörigen von baden-württembergischen Einrichtungen die bwCloud nutzen können. Die Registrierung für die bwCloud wird derzeit zentral über einen Server der Universität Freiburg abgewickelt.

Bitte beachten: Speichern Sie keine personenbezogenen und/oder sensiblen Daten oder Informationen in der bwCloud ab. Wir können kein ausreichendes Schutzniveau anbieten um beispielsweise den Anforderungen der ZENDAS hinsichtlich Datenschutz etc. zu entsprechen.


SSH-Key Paar erzeugen (Windows, PuTTYgen)[ssh_key_gen_win]

Diese Schritt-für-Schritt Anleitung beschreibt den Vorgang zur Erzeugung eines SSH-Key Paares (öffentlicher und geheimer SSH-Key) unter Windows mittels PuTTYgen.

Erst muss PuTTYgen installiert werden. Mit diesem Programm wird das SSH-Schlüsselpaar erzeugt. Der öffentliche SSH-Key kann anschließend in die bwCloud Umgebung hochgeladen werden. In Kombination mit dem persönlichen geheimen SSH-Key kann dann unter Windows auf die angelegten virtuellen Maschinen einloggen werden.

PuTTYgen Installation
Laden Sie sich das Programm puttygen.exe herunter.

  1. Gehen Sie dazu z.B. auf die Seite putty.org.
  2. Klicken Sie auf der Website auf Download Putty.
  3. Suchen Sie auf der sich anschließend öffnende Seite nach der Quelle 'puttygen.exe (a RSA and DSA key generation utility)'.
  4. Laden Sie das zu Ihrem System passende Programm (64-bit x86 or 64-bit x86) herunter.
  5. Starten Sie das Programm/ die Datei puttygen.exe direkt.

SSH-Key Erzeugen
Einen SSH-Key Paar erzeugen und in das richtige Format bringen.

  1. Wählen Sie folgende Einstellungen: den Type RSA, die Bit-Stärke mindestens 4096 und ein Passwort für den Schlüssel.
  2. Klicken Sie auf den Button Generate rechts neben der Beschriftung Generate a public/private key pair.
  3. Bewegen Sie die Maus mit unregelmäßigen Bewegungen über den Bildschirm um genügend Entropie für die Schlüsselerzeugung zu generieren. Wenn die Schlüsselerzeugung erfolgreich abgeschlossen wurde, wird Ihnen der öffentliche Schlüssel in einem Textfeld angzeigt.
  4. Öffnen Sie einen einfachen Texteditor (z.B. Notepad) und kopieren Sie den erzeugten öffentlichen Schlüssel aus dem Textfeld in den Editor.
  5. Veränderen Sie das Format des Schlüssels zu einem Einzeiler. ssh-rsa AAAAB3N...SMQQ== mail@example.com
  6. Speichern Sie den öffentlichen Schlüssel in einem Verzeichnis ab.
  7. Speichern Sie den privaten Schlüssel im selben Verzeichnis wie zuvor den öffentlichen Schlüssel ab. Klicken Sie dazu auf den Button Save private key.

Weitere Schritte

Slideshow ausklappenSchritt-für-Schritt Anleitung und Slideshow ausklappen

⇈ Hoch


SSH-Key Registrierung[ssh_key]

Wir empfehlen Ihnen die Registrierung Ihres öffentlichen persönlichen SSH-Keys in unserer bwCloud Umgebung. Dieser öffentliche SSH-Key wird beim Erzeugen einer virtuellen Maschine automatisch in das System eingespielt (gilt nur für linux-basierte virtuelle Maschinen und nicht für Debian basierte Desktop Systeme). Anschließend können Sie sich von außen per SSH auf das System einloggen.

  1. Loggen Sie sich in die bwCloud ein wie unter Erste Schritte: Schritt 3 beschrieben
  2. Klicken Sie unterhalb von Projekt → Compute auf Schlüsselpaare Sie bekommen eine Übersicht mit den von Ihnen (bereits) importierten Schlüsselpaaren angezeigt.
  3. Klicken Sie rechts oben auf den Button Schlüsselpaar importieren. Es öffnet sich ein Dialog.
  4. Geben Sie Ihrem SSH-Key einen eindeutigen Namen und kopieren Sie in das Textfeld darunter den öffentlichen SSH-Key.
  5. Klicken Sie anschließend auf den Button Schlüsselpaar importieren. Wenn der Vorgang erfolgreich war bekommen Sie eine Übersicht mit dem importierten SSH-Key(s) angezeigt.
Slideshow ausklappenSchritt-für-Schritt Anleitung und Slideshow ausklappen

⇈ Hoch


SSH-Client PuTTY einrichten (Windows)[putty]

Der SSH-Client PuTTY ist ein einfaches und kostenfreies Programm, um unter Windows per SSH Zugriff auf die gestarteten Instanzen zu bekommen. Diese Schritt-für-Schritt Anleitung beschreibt die Einrichtung des Programms, um mit den zuvor erzeugten öffentlichen und privaten SSH-Keys auf die virtuellen Maschinen zu gelangen.

PuTTY Installation
Laden Sie sich das Programm PuTTY herunter. Dafür gibt es zwei Möglichkeiten.

  1. Gehen Sie dazu z.B. auf zentrale Seite putty.org und klicken dort auf den Link Download PuTTY.
  2. Die sich anschließend öffnende Seite verweist auf die Quellen.

Möglichkeit Quelle 'MSI (Windows Installer)':

  1. Speichern Sie den entsprechenden Installer für Ihr System (64-bit x86 oder 64-bit x86) ab.
  2. Starten Sie den Installationsprozess.
  3. Starten Sie das Programm PuTTY.

Möglichkeit Quelle 'putty.exe (the SSH and Telnet client itself)':

  1. Speichern Sie den entsprechenden Installer für Ihr System (64-bit x86 oder 64-bit x86) ab.
  2. Starten Sie das Programm/ die Datei putty.exe direkt.

PuTTY Einrichtung

  1. PuTTY starten.
  2. Klicken Sie im linken Menübaum auf die Punkte ConnectionSSHAuth.
  3. Klicken Sie nun auf den Button Browser unterhalb des Textes Private key file for authentication:. Wählen Sie nun die Datei mit Ihrem privaten SSH-Key aus.
  4. Wenn Sie diesen Vorgang nicht jedes Mal erneut durchführen wollen, dann empfehlen wir Ihnen die aktuellen Einstellungen von PuTTY als Profil abzuspeichern. Klicken Sie dazu im linken Menübaum auf den obersten Punkt Session.
  5. Benennen Sie nun die aktuellen Einstellungen (und Session) entweder mit einem eigenen Namen und/oder klicken Sie auf den Button Save.
  6. Starten Sie nun PuTTY neu. Der zuvor ausgewählte geheime SSH-Key ist wieder ausgewählt.
Slideshow ausklappenSchritt-für-Schritt Anleitung und Slideshow ausklappen

⇈ Hoch


Eine Instanz starten[launch_instance]

  1. Klicken Sie im linken Menü auf Instances und in der neuen Seite auf den Button Launch Instance. Es öffnet sich ein Dialog, der Sie Schritt-für-Schritt durch den Vorgang führt.
  2. Als erste geben Sie der Instanz einen aussagekräftigen Namen und tragen diesen in das entsprechende Feld ein. Klicken Sie dann unten auf den Button Next oder auf Source* im linken Menü.
  3. Wählen Sie nun eine Vorlage aus, auf die ihre Instanz basieren soll. Im Bereich Allocated wird das ausgewählte Image angezeigt. Wenn Sie diese Auswahl verwerfen möchten, klicken Sie auf den Pfeil runter in der Zeile.
  4. Im nächsten Schritt muss das Flavor ausgewählt werden. Dies geschieht wieder mit einem Klick auf den Pfeil hoch (rot umrandet). Sollte Ihre aktuelle Quota zu gering für ein Flavor sein, wird dies durch ein gelbes Warnsymbol dargestellt.
  5. Als nächstes wählen Sie das Netzwerk aus. In den allermeisten Fällen müssen Sie hier nichts verändern, da die Standardeinstellung meistens passt. Auch was die Security Group angeht, so müssen Sie idR hier nichts ändern.
  6. Im nächsten Schritt wählen Sie den öffentlichen SSH-Key aus, der in die Instanz integriert werden soll. Dieser Schritt ist sehr wichtig, da ohne einen öffentlichen SSH-Key kein Zugang zur laufenden Instanz möglich ist.
  7. Nun klicken Sie auf den Button Launch Instance - und die Instanz wird gestartet
  8. Wenn die Instanz fertig gestartet und eingerichtet ist, werden die IP Adressen, unter denen sie erreichbar ist, in der Übersicht angezeigt. Sie können sich nun per SSH mit der Instanz verbinden.
    Die entsprechenden SSH-Benutzernamen entnehmen Sie der Liste, die unter dem Link "Aktuelle und verfügbare Images in bwCloud SCOPE" erreichbar ist
Slideshow ausklappenSchritt-für-Schritt Anleitung und Slideshow ausklappen

⇈ Hoch


Einen Port für Zugriff (von außen) öffnen[open_port]

Eine neue virtuelle Maschine in der bwCloud ist per Standard zunächst nur per SSH (Port 22) von außen erreichbar, definiert in der zugewiesenen Sicherheitsgruppe. Alle anderen Ports sind geschlossen, d.h. Anfragen auf diesen Ports kommen nicht durch. Einige Informationen zur Sicherheit mit offenen Ports sind im FAQ aufgeführt.
Wenn etwa ein Webserver über HTTPS erreichbar sein soll, muss der entsprechende Port (Port 443) in der Sicherheitsgruppe (Security Group) geöffnet werden.

Die Schritt-für-Schritt-Anleitung erklärt detailliert, wie ein Port mithilfe des Dashboards geöffnet werden kann.

  1. Loggen Sie sich in die bwCloud ein. Besuchen Sie dazu das Dashboard und geben Ihre Zugangsdaten ein
  2. Klicken Sie im linken Menü auf Network und auf den Unterpunkt Security Groups. Sie bekommen eine Übersicht über die aktuell definierten Sicherheitsgruppen. Die Standardgruppe trägt den Namen default.
  3. Klicken Sie in der entsprechenden Zeile auf den Button Manage Rules. Es öffnet sich eine Übersicht über alle zu dieser Sicherheitsgruppe definierten Regeln
  4. Wenn Sie eine neue Regel hinzufügen möchten, klicken Sie auf den Button Add Rule. Es öffnet sich ein Dialog, in dem Sie die neue Regel beschreiben können.
  5. Wenn etwa der Zugriff via HTTPS erlaubt werden soll, wählen Sie im Dropdown-Menü des ersten Punktes ("Rule") den Eintrag HTTPS.
  6. Ihr Server sollte nicht von überall außen erreichbar sein. Der Eintrag in dem Feld "CIDR" beschränkt den Zugriff auf ein bestimmtes Netzsegment. Tragen Sie dort die zu erlaubenden IP-Adressen ein.
  7. Klicken Sie anschließend auf Add. Die Übersicht wird erneut geladen und die neue Regel erscheint in der Liste.
  8. Soll eine individueller Port geöffnet werden, wählen Sie im Dialog unter "Rule" den Wert Custom TCP Rule aus.
  9. Im Feld "Port" können Sie die entsprechende Portnummer eintragen.
  10. Im Feld "CIDR" können Sie den Zugriff auf einzelne Netzsegmente einstellen. Wenn Sie eine IPv6-Regel erstellen wollen, geben Sie hier das Netzsegment in IPv6-Schreibweise an.
  11. Im Feld "Direction" kann die Richtung festgelegt werden: Ingress = Eingehende Verbindungen, Egress = Ausgehende Verbindungen
  12. Klicken Sie auf Add und die neue Regel wird angelegt.
  13. Sobald sich die Regeln einer Sicherheitsgruppe ändern, werden diese Änderungen für alle damit verbundenen Instanzen wirksam. Die virtuellen Maschinen müssen also nicht erneut gebootet werden!
Slideshow ausklappenSchritt-für-Schritt Anleitung und Slideshow ausklappen

⇈ Hoch


Zugriff via CLI und API [api_token]

Der Zugriff via CLI ("Command Line Interface") oder API ("Application Programming Interface") ist vor allem für automatisierte Zugriffe auf die bwCloud sehr sinnvoll und nützlich. Durch die Umstellung der Authentifizierungsmethode von Benutzername-Dienstpasswort-Kombination auf OpenID Connect ändert sich auch die Art und Weise, wie (automatisiert) via CLI auf das bwCloud API zugegriffen werden muss.

Im Kern muss für den Zugriff von außen ein spezielles "Token" erzeugt werden, was anstelle des Dienstpasswortes in den Scripten und Programmen, die auf die bwCloud API zugreifen, eingetragen wird. An dieser Stelle wird erklärt, wie dieses Token erzeugt werden kann:

  1. Loggen Sie sich in die bwCloud wie unter "Einloggen in die bwCloud" beschrieben ein
  2. Klicken Sie im linken Menü auf Identität und auf den Unterpunkt Applikations-Zugangsdaten. Sie bekommen eine Übersicht über die aktuell angelegten Zugangsdaten angezeigt
  3. Klicken Sie auf den Button Applikations-Zugangsdaten erstellen. Es öffnet sich ein Dialog, in dem Sie die neuen Zugangsdaten konfigurieren können
  4. Um im Nachhinein zuordnen zu können, zu welchem Zweck sie welche Applikations-Zugangsdaten angelegt haben, geben Sie dem neuen Datensatz einen entsprechenden aussagekräftigen Namen und Beschreibung
  5. Mit dem Ablaufdatum legen Sie fest, wie lange die Daten gültig sein sollen. Wenn Sie hier nichts eintragen, sind die Daten bis 00:00 Uhr des aktuellen Tages gültig
  6. Sie können ein eigenes Passwort angeben - wenn das Feld leer bleibt, wird ein einmaliges und zufälliges Passwort generiert
  7. Die Checkbox Unbeschränkt sollte mit größter Vorsicht aktiviert werden: Sie ermöglicht mit den generierten Applikations-Zugangsdaten weitere neue Applikations-Zugangsdaten automatisiert zu generieren!
  8. Klicken Sie anschließend auf Applikations-Zugangsdaten erstellendd
  9. WICHTIG: Ihnen wird nun einmal (!) die Möglichkeit gegeben, a) die generierten Daten anzuschauen und via copy & paste zu extrahieren beziehungsweise sie b) in speziellen Dateien zu speichern.

    Es werden Ihnen drei Datenfelder angezeigt:

    1. die ID (<$ID>),
    2. der von Ihnen gewählte Name und
    3. das generierte Geheimnis (<$SECRET>) der Applikations-Zugangsdaten

    Speichern Sie die angezeigten Daten beziehungsweise laden sich die Datei(en) auf Ihren Rechner herunter
    Sobald das Fenster geschlossen wird, wird das Passwort nie wieder angezeigt. Sollten Sie die Applikations-Zugangsdaten verlieren können sie daher nicht mehr wiederhergestellt werden

Testen der Zugangsdaten

Um die erzeugten Applikations-Zugangsdaten zu testen, benötigen wir die erzeugte ID <$ID> und das generierte Passwort <$SECRET>. Mit dem folgenden curl Befehl können die Applikations-Zugangsdaten auf der Kommandozeile getestet werden:

$ curl -i -H "Content-Type: application/json" -d ' { "auth": { "identity": { "methods": ["application_credential"],  "application_credential": {  "id": "<$ID>", "secret": "<$SECRET>"}}}}' https://idm02.bw-cloud.org:5000/v3/auth/tokens

Um sich die Antwort etwas hübscher aufbereitet anzeigen zu lassen, kann folgender curl Befehl verwendet werden (Achtung: das Programm "jq" muss installiert sein!):

$ curl -s -H "Content-Type: application/json" -d ' { "auth": { "identity": { "methods": ["application_credential"],  "application_credential": {  "id": "<$ID>", "secret": "<$SECRET>"}}}}' https://idm02.bw-cloud.org:5000/v3/auth/tokens  | jq

Ein erfolgreicher Zugriff wird ein x-subject-token zurückmelden. Erfolglose Zugriffe werden mit einem 401 Fehlercode zurückgemeldet.

Slideshow ausklappenSchritt-für-Schritt Anleitung und Slideshow ausklappen

⇈ Hoch