projets:proxmox
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
projets:proxmox [2019/07/14 12:06] – Ajout infos disques chiffrés gilou | projets:proxmox [2019/07/15 02:15] – [Matériel] Nom des machines gilou | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== | + | ====== |
{{ : | {{ : | ||
+ | Le but de la virtualisation est de s' | ||
- | + | L' | |
- | Le besoin / Les enjeux: | + | |
---- | ---- | ||
- | |||
- | __**Étape à ce jour:**__ | ||
- | |||
- | * Principe d' | ||
- | * __Maquette à réaliser__ | ||
- | * recette ansible à pousser, cf https:// | ||
- | * __Atelier à réaliser__ | ||
- | * Documentation à faire | ||
- | |||
==== Solution logicielle ==== | ==== Solution logicielle ==== | ||
Ligne 21: | Ligne 12: | ||
[[https:// | [[https:// | ||
- | Le besoin: faire évoluer | + | Le choix de Proxmox a été fait en considérant |
- | La demande: tant faire se peut le chiffrement des disques.\\ | + | |
- | Mise à jour: juillet 2019 : | ||
- | * La solution CEPH est pour l' | ||
- | * Pour être conforme à la volonté de protéger les données: mots clés: proxmox Encryption / luks | ||
- | * Mise en place d'un PROXMOX avec: | ||
- | * /boot en clair | ||
- | * le reste avec [[https:// | ||
- | * Un volume en RAID5 hébergé sur la baie de stockage propre à l' | ||
- | * Un volume en RAID5 hébergé sur la baie de stockage partagé entre tous les hyperviseurs, | ||
- | * Un volume en RAID5 hébergé sur la baie de stockage partagé entre tous les hyperviseurs, | ||
- | * Les VM peuvent être en plus chiffrés via le même mécanisme: /boot en clair et le reste en LUKS | ||
===== Matériel ===== | ===== Matériel ===== | ||
- | Avec le nouveau matériel donné, FAImaison va pouvoir héberger | + | Nous disposons pour cette plate-forme |
- | Le matériel est: | + | * Une baie de stockage |
- | * 1 x IBM V7000 (420W/ | + | * de 2U avec 24 emplacements de disques 2,5 ports de connexions 2 x 4FC 8Gb/s + 2 x 2ETH 1Gb/s |
- | * 24 x disques de 300GB à 10KTPM | + | * 24 x disques de 300GB à 10KTPM |
- | * 3 x extensions de disques disponibles (24 emplacements par extensions) | + | * 3 x extensions de disques disponibles (24 emplacements par extensions) |
- | * 32 x disques disponibles de 300GB | + | * 32 x disques disponibles de 300GB |
- | * 3 x HPe DL360G7(120W) avec 2 CPU E5645 / 6 CORE @ 2.40GHz | + | * 3 hyperviseurs (skumenn, gueuza, kurun) |
- | * 1 x de disponible HPe DL360G7(120W) avec 2 CPU E5645 / 6 CORE @ 2.40GHz et 24 Go de RAM + 1 disque 73GB | + | * 2 CPU E5645 / 6 CORE @ 2.40GHz |
+ | * | ||
+ | * 2 disques 73GB en RAID1 | ||
+ | * 8 ports ETH 1Gb/s, 2 ports FC 8Gb/s | ||
+ | * 1 autre serveur | ||
- | ==== stockage | + | Soit à disposition 72 CPUs, 172 Go de RAM, 4 To de stockage actif. En considérant qu'on veut pouvoir survenir à la panne d'un hyperviseur à tout moment, il faut considérer environ 2/3 des ressources comme le maximum. La RAM ne devrait pas être sur-allouée, |
+ | |||
+ | ==== Stockage | ||
Utilisation de la baie de stockage IBM V7000: | Utilisation de la baie de stockage IBM V7000: | ||
Ligne 54: | Ligne 41: | ||
{{ : | {{ : | ||
- | ==== serveurs ==== | + | La baie a été découpée en : |
- | | + | * 1 LUNs pour chaque hyperviseur, |
- | * 2 CPU E5645 / 6 CORE @ 2.40GHz | + | * provisionnement dynamique |
- | * 64 Go de RAM + | + | * snapshots containers/ |
- | * 2 disques 73GB en RAID1, 2 emplacements de disponible | + | * 1 LUN partagé entre les hyperviseurs de 2 To (lvm_noluks_shared) ne supportant pas les snapshots, mais du coup en HA |
- | * 4 ports ETH 1Gb/s + 1 carte PCIe avec 4 ports ETH 1Gb/s, | + | * 1 LUN partagé entre les hyperviseurs et chiffré de 2 To (lvm_luks_shared) ne supportant pas les snapshots, mais en HA |
- | * 2 ports FC 8Gb/s (une carte PCIe) | + | |
- | // | + | ---- |
+ | ===== Création de VMs ==== | ||
+ | Une configuration de base pour les VMs pourrait être : 1 Go de RAM, 20 Go de disque dur, 1 vCPU. L' | ||
- | '' | + | ==== VM (machine virtuelle, qemu) ou CT (container, lxc) ==== |
+ | Les machines adhérents seront toujours des VMs, celles de l'asso peuvent être des containers ou des VMs selon leurs besoins. Les containers ne peuvent pas être migrés à chaud, et sont parfois limités pour les accès à certaines fonctionnalités du noyau, mais ils ont l'avantage d' | ||
+ | ==== Identifiants des machines ==== | ||
+ | De manière à identifier clairement les machines de Faimaison, et celles des adhérents, les identifiants des machines seront | ||
+ | * De 1000 à 1999 pour les VMs FMA | ||
+ | * De 2000 à 2999 pour les VMs adhérents | ||
+ | ==== Stockage ==== | ||
+ | Le stockage dépendra du besoin en terme de chiffrement, | ||
+ | * partagé, chiffré (lvm_luks_shared) pour les VMs de l'asso, pour ne pas gérer le chiffrement dans la VM | ||
+ | * partagé, non chiffré (lvm_noluks_shared) pour les VMs adhérents souhaitant de la haute disponibilité et chiffrer eux-mêmes leur machine virtuelle | ||
+ | * non-partagé, | ||
- | //Installer le multipathing// | + | ==== Réseau ==== |
- | '' | + | === Adressage === |
+ | Les VMs adhérents seront rattachées au pont vmbr3. Les IPs seront conformes au plan d'adressage, dans 89.234.177.128/ | ||
- | **DNS** | + | Les VMs et containers FMA seront rattachées au pont vmbr2. Les IPs seront conformes au plan d' |
- | https:// | + | === Sécurité et pare-feu hyperviseur === |
- | '' | + | Les machines se partagent selon leur segment un sous-réseau, |
- | # | + | |
- | FallbackNTP=fr.ntp.org 1.debian.pool.ntp.org 2.debian.pool.ntp.org 3.debian.pool.ntp.org | + | |
- | '' | + | |
- | //Backup /etc/pve// | + | Il est donc __**primordial**__ de sécuriser les machines et containers en utilisant le pare-feu de Proxmox. |
- | https://angristan.fr/ | + | * Renseigner l' |
+ | * dans Firewall → Options : passer Firewall, MAC Filter, IP Filter à Yes et DHCP et Router Advertisement à No | ||
+ | * Au moins pour les machines adhérentes, | ||
+ | Normalement, | ||
- | ---- | + | ===== Procédures ===== |
- | Les cas de panne : | ||
- | |||
- | - cas : Défaillance de la baie de stockage | ||
- | - effet : arrêt immédiat de toutes les VM quel que soit l' | ||
- | - correction temporaire : néant (= temps d' | ||
- | - correction : remplacement de la baie de stockage par une autre (?ON A UN SPARE OU IL FAUT RACHETER? | ||
- | - probabilité : faible (source: expérience de Tonio, qui travaille avec ce matos fréquemment et n'a *jamais* vu une panne matérielle) | ||
- | - cas : Défaillance d'un disque de la baie de stockage | ||
- | - effet : néant dans l' | ||
- | - correction : remplacer par un nouveau disque (?ON A DU SPARE OU IL FAUT RACHETER ?) | ||
- | - probabilité : forte (les disque durs vivent et meurent) | ||
- | - cas : Défaillance d'un des hyperviseurs | ||
- | - effet : arrêt de toutes les VM qu'il héberge | ||
- | - correction temporaire : ?LES VM PEUVENT ÊTRE MIGRÉES SUR UN AUTRE HYPERVISEUR? | ||
- | - correction : ?ON A DU SPARE OU IL FAUT RACHETER? | ||
- | - probabilité : moyenne | ||
- | - cas : nécessité de redémarrer un des hyperviseurs (ex: mise à jour logicielle ou matérielle) | ||
- | - effet : demande l' | ||
- | - correction temporaire : migrer les VMs sur un autre hyperviseur, | ||
- | - correction : attendre le redémarrage | ||
- | - probabilité : forte (un système Debian, ça se maintient à jour, et des fois, il faut redémarrer pour appliquer les mises à jour) | ||
- | - cas : nécessité de redémarrer la baie de stockage (ex: mise à jour logicielle ou matérielle) | ||
- | - effet : arrêt de toutes les VM | ||
- | - correction temporaire : néant (= temps d' | ||
- | - correction : attendre le redémarrage | ||
- | - probabilité : moyenne (?ÇA NÉCESSITE PARFOIS DES MISES À JOUR AVEC REBOOT | ||
- | |||
- | |||
- | Config relais SSH iLO : ssh fresk.faimaison.net -L 8443: | ||
- | Accès via https:// | ||
- | |||
- | |||
- | ===== Procédures ===== | ||
=== Gestion clés LUKS hyperviseurs === | === Gestion clés LUKS hyperviseurs === | ||
Chaque hyperviseur a donc : | Chaque hyperviseur a donc : | ||
Ligne 126: | Ligne 92: | ||
Rotation de clé : | Rotation de clé : | ||
+ | * Ajout de la nouvelle clé | ||
< | < | ||
- | Entrez une phrase secrète existante : | + | Entrez une phrase secrète existante : |
- | Entrez une nouvelle phrase secrète pour l' | + | Entrez une nouvelle phrase secrète pour l' |
- | Vérifiez la phrase secrète : NOUVELLE_CLÉ | + | Vérifiez la phrase secrète : |
</ | </ | ||
+ | * Validation de la clé (reboot / dropbear / ou test direct :) | ||
+ | < | ||
+ | cryptsetup luksOpen --test-passphrase /dev/sda5 && echo " | ||
+ | Saisissez la phrase secrète pour / | ||
+ | Passphrase OK | ||
+ | </ | ||
+ | * Suppression de l' | ||
+ | < | ||
+ | root@skumenn:/ | ||
+ | Entrez la phrase secrète à effacer : < | ||
+ | </ | ||
=== Redémarrage planifié hyperviseur === | === Redémarrage planifié hyperviseur === | ||
* Migration de VMs et redémarrage des containers sur un autre hyperviseur : clic sur l' | * Migration de VMs et redémarrage des containers sur un autre hyperviseur : clic sur l' |
projets/proxmox.txt · Dernière modification : 2022/06/11 13:23 de jca