projets:proxmox
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
projets:proxmox [2019/07/14 20:50] – [serveurs] détail ressources gilou | projets:proxmox [2022/06/11 13:23] (Version actuelle) – [Procédures] jca | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== | + | ====== |
{{ : | {{ : | ||
+ | Le but de la virtualisation est de s' | ||
+ | L' | ||
- | Le besoin / Les enjeux: | + | La solution de sauvegarde de PROXMOX est détaillé [[projets:proxmox: |
---- | ---- | ||
- | |||
- | __**Étape à ce jour:**__ | ||
- | |||
- | * Principe d' | ||
- | * __Maquette à réaliser__ | ||
- | * recette ansible à pousser, cf https:// | ||
- | * __Atelier à réaliser__ | ||
- | * Documentation à faire | ||
- | |||
==== Solution logicielle ==== | ==== Solution logicielle ==== | ||
Ligne 21: | Ligne 13: | ||
[[https:// | [[https:// | ||
- | Le besoin: faire évoluer | + | Le choix de Proxmox a été fait en considérant |
- | La demande: tant faire se peut le chiffrement des disques.\\ | + | |
- | Mise à jour: juillet 2019 : | ||
- | * La solution CEPH est pour l' | ||
- | * Pour être conforme à la volonté de protéger les données: mots clés: proxmox Encryption / luks | ||
- | * Mise en place d'un PROXMOX avec: | ||
- | * /boot en clair | ||
- | * le reste avec [[https:// | ||
- | * Un volume en RAID5 hébergé sur la baie de stockage propre à l' | ||
- | * Un volume en RAID5 hébergé sur la baie de stockage partagé entre tous les hyperviseurs, | ||
- | * Un volume en RAID5 hébergé sur la baie de stockage partagé entre tous les hyperviseurs, | ||
- | * Les VM peuvent être en plus chiffrés via le même mécanisme: /boot en clair et le reste en LUKS | ||
===== Matériel ===== | ===== Matériel ===== | ||
- | Avec le nouveau matériel donné, FAImaison va pouvoir héberger | + | Nous disposons pour cette plate-forme |
- | Le matériel est: | + | * Une baie de stockage |
- | * 1 x IBM V7000 (420W/ | + | * de 2U avec 24 emplacements de disques 2,5 ports de connexions 2 x 4FC 8Gb/s + 2 x 2ETH 1Gb/s |
- | * 24 x disques de 300GB à 10KTPM | + | * 24 x disques de 300GB à 10KTPM |
- | * 3 x extensions de disques disponibles (24 emplacements par extensions) | + | * 3 x extensions de disques disponibles (24 emplacements par extensions) |
- | * 32 x disques disponibles de 300GB | + | * 32 x disques disponibles de 300GB |
- | * 3 x HPe DL360G7(120W) avec 2 CPU E5645 / 6 CORE @ 2.40GHz | + | * 3 hyperviseurs (skumenn, gueuza, kurun) |
- | * 1 x de disponible HPe DL360G7(120W) avec 2 CPU E5645 / 6 CORE @ 2.40GHz et 24 Go de RAM + 1 disque 73GB | + | * 2 CPU E5645 / 6 CORE @ 2.40GHz |
+ | * | ||
+ | * 2 disques 73GB en RAID1 | ||
+ | * 8 ports ETH 1Gb/s, 2 ports FC 8Gb/s | ||
+ | * 1 autre serveur | ||
- | ==== stockage | + | Soit à disposition 72 CPUs, 172 Go de RAM, 4 To de stockage actif. En considérant qu'on veut pouvoir survenir à la panne d'un hyperviseur à tout moment, il faut considérer environ 2/3 des ressources comme le maximum. La RAM ne devrait pas être sur-allouée, |
+ | |||
+ | ==== Stockage | ||
- | Utilisation de la baie de stockage IBM V7000: | + | Utilisation de la baie de stockage IBM V3700: |
* 1 tiroir de 2U | * 1 tiroir de 2U | ||
- | * 24 disques de 300GB soit 5,7To brutes | + | * 24 disques de 900GB soit 21To brutes |
- | * 2 x 4FC 8Gb/s + 2 x 2ETH 1Gb/s / connexion FC et/ou iSCSI | + | * 4 x 4FC 8Gb/s + 2 x 2ETH 1Gb/s / connexion FC et/ou iSCSI |
- | {{ :projets:cogent-nantes-virtu.png?400 |}} | + | {{:projets:image_hyperviseurs_baie.png?nolink&400|}} |
La baie a été découpée en : | La baie a été découpée en : | ||
- | * 1 LUNs pour chaque hyperviseur, | + | * 1 LUN partagé entre les hyperviseurs de 10 To (lvm_noluks_shared) ne supportant pas les snapshots, mais du coup en HA |
+ | * 1 LUN partagé entre les hyperviseurs et chiffré de 2 To (lvm_luks_shared) ne supportant pas les snapshots, mais en HA | ||
+ | * 1 LUN pour chaque hyperviseur(à faire), de 300 Go (lvmthin_luks_local) qui n'est pas partagé (et donc, pas de HA) qui supporte : | ||
* provisionnement dynamique | * provisionnement dynamique | ||
* snapshots containers/ | * snapshots containers/ | ||
- | * 1 LUN partagé entre les hyperviseurs de 2 To (lvm_noluks_shared) ne supportant pas les snapshots, mais du coup en HA | + | ---- |
- | * 1 LUN partagé entre les hyperviseurs et chiffré de 2 To (lvm_luks_shared) ne supportant pas les snapshots, mais en HA | + | ===== Création de VMs ==== |
- | ==== serveurs | + | Une configuration de base pour les VMs pourrait être : 1 Go de RAM, 20 Go de disque dur, 1 vCPU. L' |
- | * 3 x HPe DL360G7(120W) avec | + | |
- | * 2 CPU E5645 / 6 CORE @ 2.40GHz et | + | |
- | * 64 Go de RAM + | + | |
- | * 2 disques 73GB en RAID1, 2 emplacements | + | |
- | * 4 ports ETH 1Gb/s + 1 carte PCIe avec 4 ports ETH 1Gb/s, | + | |
- | * 2 ports FC 8Gb/s (une carte PCIe) | + | |
- | Soit à disposition 72 CPUs, 172 Go de RAM, 4 To de stockage actif. En considérant qu'on veut pouvoir survenir à la panne d'un hyperviseur à tout moment, il faut considérer environ 2/3 des ressources comme le maximum. La RAM ne devrait | + | ==== VM (machine virtuelle, qemu) ou CT (container, lxc) ==== |
+ | Les machines adhérents seront toujours des VMs, celles | ||
+ | ==== Identifiants des machines ==== | ||
+ | De manière | ||
+ | * De 1000 à 1999 pour les VMs FMA | ||
+ | * De 2000 à 2999 pour les VMs adhérents | ||
- | // | + | En plus de l' |
- | '' | + | ==== Stockage ==== |
+ | Le stockage dépendra du besoin en terme de chiffrement, | ||
+ | * partagé, chiffré (lvm_luks_shared) pour les VMs de l'asso, pour ne pas gérer le chiffrement dans la VM | ||
+ | * partagé, non chiffré (lvm_noluks_shared) pour les VMs adhérents souhaitant de la haute disponibilité et chiffrer eux-mêmes leur machine virtuelle | ||
+ | * non-partagé, | ||
- | //Installer le multipathing// | + | ==== Réseau ==== |
- | '' | + | === Adressage === |
+ | Les VMs adhérents seront rattachées au pont vmbr3. Les IPs seront conformes au plan d'adressage, dans 89.234.177.128/ | ||
- | **DNS** | + | Les VMs et containers FMA seront rattachées au pont vmbr2. Les IPs seront conformes au plan d' |
- | https:// | + | === Sécurité et pare-feu hyperviseur === |
- | '' | + | Les machines se partagent selon leur segment un sous-réseau, |
- | # | + | |
- | FallbackNTP=fr.ntp.org 1.debian.pool.ntp.org 2.debian.pool.ntp.org 3.debian.pool.ntp.org | + | |
- | '' | + | |
- | //Backup / | + | Il est donc __**primordial**__ |
- | https:// | + | |
- | + | | |
- | + | | |
- | ---- | + | |
- | + | ||
- | Les cas de panne : | + | |
- | + | ||
- | - cas : Défaillance | + | |
- | | + | |
- | - correction temporaire : néant | + | |
- | - correction : remplacement de la baie de stockage par une autre (?ON A UN SPARE OU IL FAUT RACHETER?) | + | |
- | - probabilité : faible (source: expérience de Tonio, qui travaille avec ce matos fréquemment et n'a *jamais* vu une panne matérielle) | + | |
- | - cas : Défaillance d'un disque de la baie de stockage | + | |
- | | + | |
- | - correction : remplacer par un nouveau disque (?ON A DU SPARE OU IL FAUT RACHETER ?) | + | |
- | - probabilité : forte (les disque durs vivent et meurent) | + | |
- | - cas : Défaillance d'un des hyperviseurs | + | |
- | - effet : arrêt de toutes les VM qu'il héberge | + | |
- | - correction temporaire : ?LES VM PEUVENT ÊTRE MIGRÉES SUR UN AUTRE HYPERVISEUR? | + | |
- | - correction : ?ON A DU SPARE OU IL FAUT RACHETER? | + | |
- | - probabilité : moyenne | + | |
- | - cas : nécessité de redémarrer un des hyperviseurs (ex: mise à jour logicielle ou matérielle) | + | |
- | - effet : demande | + | |
- | | + | |
- | - correction : attendre le redémarrage | + | |
- | - probabilité : forte (un système Debian, ça se maintient | + | |
- | - cas : nécessité de redémarrer la baie de stockage (ex: mise à jour logicielle ou matérielle) | + | |
- | | + | |
- | - correction temporaire : néant (= temps d' | + | |
- | - correction : attendre le redémarrage | + | |
- | - probabilité : moyenne (?ÇA NÉCESSITE PARFOIS DES MISES À JOUR AVEC REBOOT | + | |
- | + | ||
- | + | ||
- | Config relais SSH iLO : ssh fresk.faimaison.net -L 8443: | + | |
- | Accès via https:// | + | |
+ | Normalement, | ||
===== Procédures ===== | ===== Procédures ===== | ||
- | === Création de VMs === | ||
- | Une configuration de base pour les VMs pourrait être : 1 Go de RAM, 20 Go de disque dur, 1 vCPU. L' | ||
=== Gestion clés LUKS hyperviseurs === | === Gestion clés LUKS hyperviseurs === | ||
Ligne 154: | Ligne 112: | ||
Entrez la phrase secrète à effacer : < | Entrez la phrase secrète à effacer : < | ||
</ | </ | ||
+ | === Mises à jour === | ||
+ | |||
+ | Les mises à jour se font via les outils apt Debian, mais les hyperviseurs ont été installé avec une partition /boot un peu petites. Il faut donc avant de lancer l' | ||
+ | |||
+ | Pour les mises à jour majeures, il faut se référer aux instructions de Proxmox généralement listées ici : https:// | ||
+ | |||
+ | Chaque redémarrage suit la procédure de redémarrage planifié ensuite ! | ||
+ | |||
=== Redémarrage planifié hyperviseur === | === Redémarrage planifié hyperviseur === | ||
* Migration de VMs et redémarrage des containers sur un autre hyperviseur : clic sur l' | * Migration de VMs et redémarrage des containers sur un autre hyperviseur : clic sur l' | ||
Ligne 182: | Ligne 148: | ||
/dev/sde: UUID=" | /dev/sde: UUID=" | ||
/dev/sdg: UUID=" | /dev/sdg: UUID=" | ||
- | / | ||
/ | / | ||
- | root@skumenn:/ | + | root@skumenn:/ |
- | Saisissez la phrase secrète pour / | + | Saisissez la phrase secrète pour / |
- | root@skumenn:/ | + | |
- | Saisissez la phrase secrète pour / | + | |
</ | </ | ||
* Validation retour de l' | * Validation retour de l' |
projets/proxmox.1563137434.txt.gz · Dernière modification : 2019/07/14 20:50 de gilou