28. Januar 2016

Oracle Storage Cloud Software Appliance - Einfach, schnell und sicher einzubinden

Oracle Storage Cloud Software Appliance ist ein Tool zur Installation in Ihrer on-premise Umgebung und ermöglicht einen einfachen Zugriff Ihrer on-premise Anwendungen und Workflows auf den Oracle Storage Cloud Service.

Die Anwendungen kommunizieren mit der Storage Cloud über eine sichere HTTPS Verbindung mittels REST API oder der Java SDK. Anwendungen müssen nicht verändert werden. Die Oracle Storage Cloud Software Appliance ermöglicht eine Interaktion von Ihren Anwendungen in die Cloud durch Standard file-basierte Netzwerk-Protokolle (NFS), ohne direkte REST API calls auf die Cloud Services.
  • Die Anwendungen können Files speichern und abrufen. Filesysteme der Cloud werden on-premise gemounted
  • Damit die Daten sicher in der Cloud sind, kann die Appliance so konfiguriert werden, dass Files beim Speichern verschlüsselt werden und beim Abrufen automatisch entschlüsselt werden (ähnlich TDE).
  • Oracle Storage Cloud Software Appliance caches Files auf dem lokalen Host. Das minimiert die REST Call und ermöglicht ein schnelles Abrufen.
Nachfolgend die Architektur:
Architektir Oracle Storage Cloud Software Appliance

15. Januar 2016

Oracle Cloud: Private Key für SSH Zugriff verlegt - Kein Problem

Die Oracle Cloud Kunden greifen auf Ihre virtuellen Umgebungen in der Oracle Cloud Platform mittels SSH zu. Hierzu werden Schlüsselpaare generiert. Der Public Key wird in der Cloud-Umgebung abgelegt (automatisch beim Serviceerstellen) und der Private Key sicher beim Anwender hinterlegt.
Der Endanwender greift dann mittels PuTTY oder openSSH (hier roaming im Client auf NO stellen, siehe aktuellen CVE-2016-0777) auf die virtuelle Umgebung zu.

Soweit, so gut.

Private Key verlegt

Nun erreichen mich des Öfteren Anfragen von Kunden, dass der Private Key verlegt wurde oder die Passphrase des Private Keys vergessen wurde.

Was nun? Service wegschmeißen und einen neuen erstellen?

Nein, das braucht man nicht. In der Cloud Umgebung, also in der VM in der Oracle Cloud, ist der Public Key des entsprechenden Benutzers in dem File ~/.ssh/authorized_keys hinterlegt. Dieser File muss angepasst werden.

Wie löst man nun das Problem?

Jede VM in der Oracle Cloud besitzt mehrere virtuelle DISKS, der sogenannte Block Storage. Die Datei ~/.ssh/authorized_keys wird in der Boot DISK abgespeichert und zwar in der dritten Partition. Da in einer virtuellen Umgebung alles sehr dynmisch ist, kann ich die Boot-Disk der betroffenen VM auskoppeln (detach), zu einer neuen und zugreifbaren VM einbinden (attach), mounte die Disk und dann kann die Datei ~/.ssh/authorized_keys mit einem neuen Public anpasst werden. D.h. der Anwender braucht nur ein neues Schlüsselpaar generieren und den neuen Public Key in der DISK bekannt geben.

Disks werden in der Oracle Cloud VM hochgezählt. Die Zählung beginnt bei b. Wenn man nun eine neue DISK einbindet (in der Cloud Compute Service Console unter Storage), gibt der Wizard die Nummer bekannt. Wirft er z.B. eine "6" aus, dann wird diese DISK in der VM als xvdg (also Zähler g = 6) dargestellt. Die Nummern hinter dem Buchstaben geben die Partitionen an. Unsere Boot-Disk verwaltet die oben genannte Datei in der 3. Partition.
Nachfolgend drei Slides, wie das Zurücksetzen des verloren gegangenen Keys funktioniert.
Überblick Vorgehen bei nicht mehr vorhandenen Private Key für die SSH Verbindung

Festplatte der betroffenen VM in der Cloud entkoppeln

DISK in einer zugreifbaren VM mounten und Keys anpassen.
Viel Spass beim Freuen, dass gar nichts verloren ist und viel Spaß weiterhin in der Oracle Cloud.