Saltar a contenido

Solicitud de Máquinas Virtuales

Una Maquina Virtual (VM) es un sistema operativo completo que se ejecuta en un entorno virtualizado, permitiendo a los usuarios ejecutar aplicaciones y servicios como si estuvieran en un equipo físico. Las VMs son útiles para proyectos de investigación, desarrollo de software, pruebas de aplicaciones y entornos de laboratorio.

LST-IT ofrece un servicio de solicitud y gestión de máquinas virtuales para facilitar el acceso a recursos computacionales sin necesidad de adquirir hardware adicional. Los usuarios pueden solicitar VMs con configuraciones específicas según sus necesidades, incluyendo sistema operativo, cantidad de CPU, memoria RAM y almacenamiento. Opcionalmente, las VMs puden ser configuradas con GPUs para tareas de procesamiento intensivo, como aprendizaje automático o simulaciones científicas.

Esta solicitud se presenta en formato digital. Una vez presentada será evaluada por el equipo de infraestructuras tecnológicas y una respuesta será dada en el plazo máximo de 15 días hábiles a partir de la fecha de recepción. Durante este periodo se le notificará al solicitante sobre la aceptación de la solicitud así como los plazos aproximados de la creación o actualización de la VM.

Proceso de Solicitud

Para obtener una MV, el LST ofrece un servicio simplificado de solicitud a través de este formulario.

Este formulario debe rellenarse por el solicitante y servirá para que el equipo de soporte de IT cree la MV. En dicho formulario se tendrán que especificar todos los datos necesarios para su creación como son el nombre de la MV, personal al cargo, tiempo de duración, sistema operativo, y requisitos hardware (CPU, RAM y Disco).

Estimación de recursos

La estimación de estos últimos recursos depende del tipo de proyecto que se vaya a realizar ya que dependiendo de los procesos que se vayan a realizar en paralelo dependerá la CPU, de la capacidad computacional de dichos procesos dependerá la RAM y de los datos y aplicaciones a usar dependerá el almacenamiento.

Objetivo CPU
(cores)
RAM
(GB)
Disco
(GB)
Scripts básicos 2 2-4 20
Base de datos 2 2-4 60
Monitorización 2 2-4 30
Desarrollo web completo (FullStack) 2-4 4-6 40
Docker y Microservicios 2-8 8-20 60
Análisis de datos 4-6 12-16 100
Servidor de aplicaciones pesado 4-8 16-24 80
Objetivo CPU
(cores)
RAM
(GB)
Disco
(GB)
GPU
(GB)
Artificial Inteligence 8-24 32-128 128-256 12-32

Adevertencia

Los valores de la tabla son referenciales para una idea básica, será necesario ver los recursos necesarios por las aplicaciones para una estimación más exacta. Especialmente en el caso de IA se deberá tener en cuenta los modelos a usar tanto a nivel Disco como vRam y GPU.

Configuración de red y DNS

Al solicitar una Máquina Virtual (MV), es necesario definir si esta requerirá una IP pública o privada:

  • IP Pública: Se reserva para MVs que ofrezcan servicios no estándar (diferentes a HTTP/HTTPS) o que requieran gestión directa por usuarios externos. Debido a la escasez de direcciones IPv4, es obligatorio justificar la necesidad de este tipo de despliegue.
  • IP Privada: Es la opción por defecto cuando los usuarios forman parte del dominio interno o cuando el servicio a desplegar es únicamente web (HTTP/HTTPS).

Para ambos casos existe la opción de solicitar servicio DNS.

El DNS (Domain Name System) es un sistema jerárquico y descentralizado de nomenclatura para dispositivos conectados a redes IP. En el LST, utilizamos este servicio para facilitar el acceso a nuestras Máquinas Virtuales (MV) tanto a usuarios internos como externos. Hay dos formas de asignación de DNS dependiendo del tipo de IP asignada a la MV:

  1. En el caso de IP pública la asignación DNS se hará directamente a la IP.

  2. En el caso de IP privada la asignación se hace haciendo uso de un reverse proxy. En este caso, asociamos la DNS (bajo el dominio .lst.tfo.upm.es) a nuestro servidor proxy web. De este modo, el sistema proxy gestiona las solicitudes externas redirigiéndolas hacia la máquina interna correspondiente, permitiendo así el despliegue de servicios web visibles desde fuera de la red del LST.

Es importante verificar que la DNS se mantenga dentro del subdominio .lst.tfo.upm.es y que no esté(n) ya en uso (usando la herramienta dig).

ADVERTENCIA

Aunque es posible obtener DNSs externas a la UPM, no se podrán utilizar para las IPs de la UPM, de igual forma no se pueden asignar DNS del dominio UPM a IPs fuera del rango asociado con la UPM.

Esta es una norma de la UPM, de obligado cumplimiento para toda la comunidad universitaria. El recotado implementa un sistema de comprobación activa de ésta norma, y envía inmediatamente un requerimiento de corrección a LST-IT.

En el formulario de solicitud se debe indicar qué puertos externos se desean abrir, y para qué servicios. Esto es importante para la seguridad de la MV y de la red del LST, ya que solo se abrirán los puertos necesarios para el funcionamiento del servicio solicitado. Éstos puertos también determinan si la MV necesita una IP pública o privada.

Respaldo de datos

En el formulario de solicitud se debe indicar si se desea que la MV tenga respaldo de datos y el nivel.

  1. Sin Respaldo (defecto): No se realizará ningún tipo de respaldo de los datos de la MV. El usuario es responsable de realizar sus propios respaldos y mantenerlos seguros.

  2. Respaldo Local: Se realizará un respaldo local de los datos de la MV en un servidor de respaldo del LST.

  3. Respaldo offsite: Se realizará un respaldo adicional de los datos de la MV en un servicio de almacenamiento en otro lugar. La disponibilidad de este servicio puede ser limitada y dependerá de la capacidad de almacenamiento y de la política de seguridad del LST. Se recomienda este tipo de respaldo sólo para datos críticos o sensibles.

Acceso mediante SSH

Una vez autorizada y creada la MV, el solicitante quedará informado y el acceso se realiza mediante el protocolo SSH (Secure SHell). Este estándar permite establecer una conexión remota cifrada y segura desde tu equipo personal a la MV.

Aunque existen diversas herramientas para utilizar SSH, a continuación se detallan los comandos esenciales para terminales Linux/Unix:

  • Acceso básico: Solicita la contraseña de usuario para iniciar una sesión en la terminal remota, que serán las credenciales del dominio LST (ó credenciales proporcionadas por IT). Cabe destacar que se puede introducir la IP en lugar del dominio en caso de asignación por proxy.
    ssh usuario@DNS-MV
    
  • Acceso sin contraseña (Recomendado): Para evitar introducir la contraseña en cada conexión, se recomienda el uso de claves criptográficas (se recomienda generar una clave por cada maquina de control y usuario, y mantenerlas en lugar seguro). Para ello, se deben seguir los siguientes pasos:
    1. Generar clave (si no tiene clave previamente generada)
      ssh-keygen -t ed25519
      
      (se recomienda guardarla en ~/.ssh/).
    2. Copiar clave al servidor:
      ssh-copy-id -i ~/.ssh/id_ed25519.pub usuario@DNS-MV
      
      (o usando IP en lugar de DNS).

Para usuarios externos, se les configurará un doble factor, será necesario que nos envíen su clave pública (idealmente en la solicitud de la VM) e IT les proporcionará unas credenciales para la VM.

Condiciones de uso

Se pueden solicitar Máquinas virtuales expresamente para Proyectos de investigación (con sus DNSs asociadas).

El solicitante/administrador se compromete a:

  1. Velar y mantener la seguridad software de la VM una vez transferido el control de la misma.
    • Manteniendo el sistema operativo, así como las librerías utilizadas, actualizadas
    • Asegurando el uso responsable y solo por los actores autorizados. Manteniendo las credenciales en lugar seguro y solo accesible a los actores autorizados
    • Mantener la coherencia entre lo descrito en este formulario y la práctica
    • Mantener la documentación relevante a la VM, que será proporcionada por el equipo de Infraestructura Tecnológica del Grupo Life Supporting Technologies; que también se compromete a mantener dicha documentación actualizada.
  2. Velar por la integridad datos administrados y/o almacenados en la VM
    • Los protocolos de comunicación utilizados serán siempre que sea posible seguros
    • No se modificarán las credenciales ni las políticas de acceso a la máquina, a menos que se informe apropiadamente de dichos cambios.
    • La gestión de los respaldos de los datos es responsabilidad del responsable, siempre y cuando no se solicite expresamente el uso de los sistemas de respaldo de las infraestructuras tecnológicas.
    • Se cumplirá con la legalidad vigente con respecto a la protección de datos personales, datos clínicos, y demás datos asociados a los usuarios.
    • Se cumple con las restricciones, criterios y requisitos impuestos por el comité ético tanto de la Universidad Politécnica de Madrid, como del proyecto, con respecto a la gestión de los datos en esta máquina virtual.
  3. Mantener informado al equipo de Infraestructura Tecnológica del Grupo Life Supporting Technologies, y se notificaran siempre en los siguientes casos
    • Cualquier cambio necesario en los datos o descripciones de la VM, mediante el reenvío del presente formulario para la VM vigente indicando en el correo los cambios concretos; así como de la documentación de la VM.
    • Cualquier incidencia relativa a la operación de la VM (fallos en el funcionamiento, sistema operativo o software servidor estándar),
    • Cualquier brecha, o potencial brecha, de seguridad que pueda poner en peligro tanto la integridad de la VM como de la red del LST o la UPM.
    • Cambios respecto al administrador(es) de la VM, mediante el reenvío del presente formulario para la VM vigente.
  4. Acatar las directivas del equipo de Infraestructura Tecnológica del Grupo Life Supporting Technologies,
    • En el caso de la denegación de la solicitud (o actualización de la misma), implementar las medidas sugeridas
    • Instalar el software recomendado como antivirus, firewall, anti DOS, actualizaciones críticas, configuraciones de seguridad, etc…
    • Las maquinas infectadas se pondrán en cuarentena y se desactivaran, esto puede suceder sin previo aviso, y en ningún caso se reactivarán mientras la amenaza persista. Si fuera necesario la extracción de datos de una maquina infectada se procederá bajo el protocolo especial determinado por el equipo de infraestructuras tecnológicas.