Erfindel Sécurité et réseaux Virtualisation et Sécurité Page 1
Sommaire Sommaire... 2 Introduction... 4 Evolution des tendances en informatique... 5 Qu est-ce que la virtualisation?... 7 Définition :... 7 Décomposition du principe de virtualisation... 8 Qui domine le marché?... 8 Quels sont les différents types de virtualisation?... 8 Client léger :... 8 Virtualisation d applications :... 9 Virtualisation des postes de travail :... 10 Virtualisation de stockage :... 11 Quels sont les avantages de la virtualisation?... 12 Réduction des coûts :... 12 Sécurisation de l infrastructure :... 12 Quelles sont les contraintes de la virtualisation?... 14 Etude de cas... 16 Informations préalable... 16 Présentation... 16 Quelle proposition semble la plus adaptée?... 16 Détail de l installation... 16 Pourquoi ce câblage?... 17 Découpage de la baie SAN :... 17 Installation et configuration des ESX, serveurs de la ferme... 18 Exemple de configuration réseau :... 19 Paramétrage... 19 Stockage... 19 Descriptif réseau :... 20 Affectation des cartes réseau :... 20 Installation de vcenter :... 21 Migration d un serveur physique à l aide de VMWare Converter... 22 Nettoyage de la machine virtuelle après le P2V... 26 Redimensionner les partitions... 27 Le système de sauvegarde... 27 Architecture finale... 27 Conclusion... 29 ANNEXE... 30 Visualisation du rack... 30 Définition de termes employés :... 31 Offre n 1 : Infrastructure HyperV... 32 Stockage... 32 Serveurs... 32 Méthodologie d implémentation d une solution de virtualisation HyperV R2 :... 32 Etape 1 : Etude d architecture et périmètre de la virtualisation... 32 Etape 2 : Mise en place de l infrastructure physique... 32 Etape 3 : Installation de la solution HyperV R2 :... 32 Etape 4 : intégration des machines physiques dans l infrastructure virtuelle... 32 Etape 5 : Mise en place de la haute disponibilité de l infrastructure... 33 Etape 6 : Recette technique et fonctionnelle de l infrastructure... 33 Proposition commerciale et financière :... 33 Fournitures matériel et logiciel :... 33 Page 2
Offre 2 : Infrastrutre VMWare ESX... 34 Matériel... 34 Serveurs... 34 Baie de stockage... 34 Switchs... 34 Logiciel... 34 Mise en place... 35 Etape 1 : Réunion de lancement... 35 Etape 2 : Configuration des serveurs... 35 Etape 3 : Installation du serveur d administration vcenter... 35 Etape 4 : Installation de VMWare ESX... 35 Etape 5 :P2V... 35 Etape 6 : Rédaction d un dossier de site... 35 Etape 7 : Transfert de compétences... 35 Serveur... 35 Switch... 36 Baie... 36 OFFRE 3 : Infrastrutre VMWare ESX... 37 Matériel... 37 Baie EMC CX4-120... 37 Serveurs hôte VMWare... 37 Logiciel... 38 Phase du projet... 38 Phase 1 Etude... 38 Phase 2 Mise en œuvre... 38 Phase 1 Etude :... 38 Phase 2 Installation et migration des serveurs... 39 2. Migration des serveurs... 40 3. Transfert de compétence et documentation... 40 Prestation de services... 40 Matériel et logiciel... 40 Page 3
Introduction Suite à l étude au Conservation des Arts et Métier de l unité d enseignement RSX112 «Sécurité et Réseau» dans le cursus LG004, Licence informatique général, il nous a été demandé l élaboration d un rapport. Ce présent exposé répond à la problématique choisit : «Virtualisation & Sécurité». La problématique principale de cet écrit est comment mettre en place une architecture virtualisé et comment la sécuriser. Par la suite, nous utiliserons la technologie VMWare ESX sur une ferme de trois serveurs, avec comme système de sauvegarde une baie de stockage de type SAN. Dans un premier temps, nous analyserons l évolution des tendances informatiques dans le monde professionnel depuis les années 1970. Nous définirons ensuite ce qu est la virtualisation, sa composition, les différentes variantes et les leaders du marché. Pour finir avec cette première partie, nous verrons quels sont les avantages et inconvénients des systèmes virtualisés. Suite à cette première étude, nous suivrons une société dans sa démarche de virtualisation. Nous essayerons de comprendre ses choix sur les différentes propositions reçues suite à l appel d offre, puis nous assisterons à l installation et à la configuration de l architecture virualisées. Page 4
Evolution des tendances en informatique Dans les années 1970 1980, les entreprises possédaient des systèmes centralisés dans un environnement propriétaire. Nous étions dans l époque du Mainframe : Une puissance de machine limitée, Des liens réseau LAN et WAN peu performants, Et peu de services aux utilisateurs (logiciel métier), Des interfaces graphiques pauvres. A partir des années 1990 et, jusqu en 2000, la mode était à l informatique décentralisée, nous rentrions dans l ère de la micro-informatique : La puissance des machines augmente, surtout celles des postes de travail, La bureautique et le multimédia ont fait leur apparition, L informatique offre de nouveaux services aux utilisateurs. Page 5
Aujourd hui en 2010, la puissance des machines et des postes de travail est devenue importante : Avec l utilisation de processeurs multicoeurs notamment, Une quantité de mémoire embarquée sur les serveurs importante, souvent 30 à 60 GO. Les liens Télécoms ont aussi progressé, ils sont devenus performants, on utilise de plus en plus des liaisons de type : o DSL, o Fibre optique. Ils permettant de faire transiter de grandes quantités de données entre différents sites. Les services rendus à l utilisateur ont aussi évolué, avec l utilisation : o De logiciels métiers, o D outils bureautiques, o De messagerie o De visioconférence, o Ou de téléphonie IP. Aujourd hui, l informatique coûte cher. Les entreprises veulent rationaliser son coût tout en gardant sa réactivité. Pour autant, la sécurité du système d information est une préoccupation majeure, il faut en préserver les 3 grands principes : o Disponibilité, o Intégrité, o Confidentialité. Les utilisateurs sont mobiles, ils veulent avoir accès à leurs applications depuis n importe où et depuis n importe quel poste de travail : o Professionnel, o Personnel, o PDA. A l heure actuelle de plus en plus de société se tournent vers la virtualisation pour remplir toutes ces demandes et contraintes. Page 6
Qu est-ce que la virtualisation? Définition : En informatique, on appelle virtualisation l'ensemble des techniques matérielles et/ou logicielles qui permettent de faire fonctionner sur une seule machine plusieurs systèmes d'exploitation et/ou plusieurs applications, séparément les uns des autres, comme s'ils fonctionnaient sur des machines physiques distinctes Serveur d impressions Serveur de fichiers Serveur de bases de données Serveur d application métier Serveur Intranet Serveur de messagerie Page 7
Décomposition du principe de virtualisation Systèmes virtuels invités se partagent les ressources du serveur physique. Couche de virtualisation : hyperviseur, présente les ressources physiques en ressources virtuelles. Serveur physique ou système hôte : processeurs, mémoire, cartes réseau, disques. Qui domine le marché? Le leader en Virtualisation est incontestablement VMWare avec sa suite logicielle VMWare ESX. Actuellement sa part de marché est supérieure à 87%. Cependant d autres acteurs sont présents Microsoft avec HyperV : 7% Citrix et sa technologie XenServer : 2%. Virtual Iron: 1 % Oracle: inférieur à 1 % Sun: inférieur à 1 % Quels sont les différents types de virtualisation? Dans la virtualisation, il existe 4 grands types : Client léger, Virtualisation d application, Virtualisation du poste de travail, Virtualisation de stockage. Client léger : Les applications des utilisateurs sont exécutées sur un serveur et seules les entrées/sorties sont transmises au poste de travail. Les applications ne sont plus installées sur les postes de travail, mais sur les serveurs. Ces serveurs, dits de présentation, exécutent les applications. Seules les informations Page 8
d affichage et d entrées clavier/souris sont transmises entre le poste de travail et le serveur de présentation Dans ce domaine, il y a deux acteurs incontournables : Microsoft avec Terminal Services Citrix avec XenApp (anciennement Presentation Server) Par ailleurs, tous les systèmes fonctionnant sur systèmes Microsoft, comme Citrix ou Systancia, utilisent la couche Microsoft Terminal Services. Virtualisation d applications : Ce type de virtualisation consiste à découpler les applications du système d exploitation. On exécute les applications dans un environnement isolé. De ce fait, il n y a plus de communication directe entre l application et le système : la couche de virtualisation intercepte les appels système. Installation des applications de manières classiques : Page 9
Appli 1 Appli 2 Appli 3 Appels systèmes Appels systèmes Système d exploitation Installation des applications virtualisées : Package Appli1 Package Appli2 Package Appli3 Appli 1 Appli 2 Appli 3 Appels systèmes Appels systèmes Appels systèmes Système d exploitation Avec ce type de virtualisation, les applications virtualisées ne sont plus installées sur le poste de travail ou sur le serveur. On parle maintenant de Package. La Virtualisation d applications utilise la notion de streaming d applications. Le package de l application virtualisée n est pas chargé en une seule fois mais «à la demande», selon les besoins de l utilisateur, et mise en cache. La virtualisation d application peut être couplée à la technologie de virtualisation de présentation : Les applications installées sur les serveurs de présentation sont virtualisées et «streamées». Les différents acteurs : Microsoft APP-V (anciennement SoftGrid) : le pionnier. Citrix XenApp : nécessairement couplé à de la virtualisation de présentation. VMWare Thinapp : solution très légère qui ne nécessite pas d agent. Virtualisation des postes de travail : Concept identique à la virtualisation de systèmes mais pour les postes de travail utilisateurs. On utilise un serveur pour héberger plusieurs postes de travail virtuels. Page 10
Les différents acteurs de ce marché : VMWare View (anciennement VDI), Citrix XenDesktop, Microsoft MED-V (inclus la virtualisation d applications APP-V), Oracle (SUN). Virtualisation de stockage : Pour ce type de virtualisation, il y a une dissociation du matériel destiné au stockage par une couche d abstraction. Les baies de stockage sont masquées par la couche de virtualisation. Page 11
Les différents acteurs de ce marché : HP (solution LeftHand et SVSP), Datacore SAN Melody / SAN Symphony, IBM SAN Volume Controler. Quels sont les avantages de la virtualisation? Réduction des coûts : Le premier atout majeur de la virtualisation est la réduction de coût d acquisition du matériel. Pour l acquisition de serveurs par exemple : Avec 2 serveurs virtuels, on peut remplacer entre 10 à 15 serveurs traditionnels. Soit un investissement 5 fois moindre en termes de serveurs. A pondérer avec le coût d acquisition des licences de virtualisation (entre 800 et 6000 / serveur). Soit un gain immédiat d environ 20 000 pour 15 serveurs virtualisés. Gain sur le long terme : à chaque renouvellement d infrastructure. Prenons l exemple d acquisition de postes de travail : La virtualisation de présentation ou de poste de travail permet de ne plus investir dans des postes de travail puissants et coûteux. Des terminaux légers coûtent entre 15 à 30 % moins cher que des postes de travail ordinaires. Inutile de remplacer le poste de travail tous les 3 ans. Le remplacement ne se fait que lorsqu il tombe en panne. Un second avantage important de la virtualisation est la réduction de coût de déploiement ou de remplacement des postes de travail. En utilisation la virtualisation de type client léger ou d application ou encore de poste de travail, à chaque remplacement on utilise toujours le même Ghost (General Hardware-Oriented System Transfer).On a donc quelques soit le nombre de poste un gain de temps, donc d argent. D ailleurs plus le nombre d ordinateurs à remplacer est élevé, plus le gain est important. Autre exemple : Pour un changement de système d exploitation, le teste de toutes les applications sur le nouveau système prend beaucoup moins de temps, il n y a plus qu une seule plate-forme à tester. Avec la virtualisation, le déploiement est quasi immédiat et stable. Une autre réduction est à notée, celle du déploiement de nouvelles applications. Il est inutile de déployer l application sur tous les postes de travail de la société. Il faudra juste l installer sur les serveurs de virtualisation, et automatiquement elle sera déployée pour tous les utilisateurs. Inutile d installer l application sur tous les postes de travail de l entreprise. De plus lors des tests de compatibilité, plus besoin de tester chaque configuration, seule celle du serveur est utile. Sécurisation de l infrastructure : Disponibilité: Les serveurs sont nativement hautement disponibles : Page 12
Si un des serveurs tombe en panne, l autre prend automatiquement le relais. Intégrité: La virtualisation des postes de travail ou la virtualisation de présentation permet de centraliser les données utilisateurs et de les sauvegarder. La virtualisation de stockage permet une réplication des données d un espace de stockage vers un autre. La défaillance d un espace de stockage n entraîne donc aucune perte de données. Confidentialité: La virtualisation de présentation / d application ou de poste de travail garantit un accès aux applications et aux données autorisées. Par ailleurs, il n y a plus de stockage de données localement sur le poste. De ce fait, le vol du poste de travail n a pas de conséquences sur la confidentialité. Et donc la mise au rebut des postes de travail n occasionne plus de fuite de données. De plus, le système informatique n étant plus liée au matériel, le plan de reprise d activité est simplifié : Les éléments de l infrastructure sont nativement tolérants aux pannes, La mobilité des utilisateurs est assurée Page 13
Green IT et l écologie? De plus en plus, on parle de Green IT, la virtualisation peut se permettre de se dire plus écologique. Cette technologie peut répondre à ces objectifs, car : La virtualisation de systèmes: On échange 15 serveurs par 4, La virtualisation des postes de travail: Remplacement de 200 postes de travail par seulement 20 serveurs. La consommation électrique baisse, 1 terminal léger consomme 50W contre 250 à 300W pour un Poste de travail, Le besoins en refroidissement diminue aussi bien dans le Datacenter que dans les bureaux, Comme moins de matériel est utilisé, il y a aura moins de matériel à recycler dans l avenir. Quelles sont les contraintes de la virtualisation? Le fait de centraliser des fonctions sur le même matériel augmente l impact d une défaillance matérielle : Une panne de serveur entraîne l arrêt des machines virtuelles hébergées, Une défaillance d un serveur hébergeant de poste virtualisé a pour conséquence l arrêt de tous les postes de travail hébergés. La dépendance par rapport aux réseaux de transport des données accroît : les flux de données convergent vers le Datacenter: le cœur de réseau doit être fiable et performant, La rupture d un lien Telecom ou sa mauvaise performance impact tous les utilisateurs qui en font usage. Avec les différents types de virtualisation, il peut aussi être difficile de faire le bon choix de technologie. Il est important de bien préciser ses besoins, sous peine d investir dans des technologies qui ne sont pas les plus adaptées. Afin de pouvoir palier à tous les problèmes, il est important de faire monter en compétence technique l équipe informatique, ou d externaliser une partie de l administration des systèmes. Les conséquences d une erreur humaine peuvent être dramatiques de part la centralisation des fonctions. Page 14
En plus de la complexité de la mise en œuvre, il faut éviter d être dépendant envers un prestataire ou une technologie. Toutes les solutions mise en œuvre doivent être documentée et validée par une recette. Page 15
Etude de cas Informations préalable Dans un souci d anonymat, aucun nom de société, de prestataire ou de personne physique ayant participé à l étude suivante ne sera révélé. De plus, toutes les IPs, login et mot de passe présent dans ce document ne sont pas correctes afin de ne pas violer la politique de sécurité de la société sur laquelle se repose ce présent document. Présentation Le groupe cherche à sécuriser une partie de son système d informations. Notamment les serveurs dits critiques. Ils sont au nombre de 5. Le deuxième objectif est de minimiser l influence des pannes matérielles sur le fonctionnement du système d information. Suite à cette réflexion, un appel d offre a été effectué. Trois propositions on était retenues. Le descriptif global de ces offres est en annexe. Quelle proposition semble la plus adaptée? Après une étude des différentes offres, la société interviewée a choisi la technologie VMWare ESX. Ce choix est fait par élimination. Pour l entreprise, le procédé utilisant HyperV de Microsoft ne semble pas le plus adapté. D une part par la jeunesse du produit, il manque encore trop d informations sur son installation ou comportement en situation professionnelle. Même si de grands groupes comme CASINO l ont implémenté, il n existe pas encore de feedback complet pouvant répondre aux différentes questions de l équipe technique. Suite à la lecture des deux offres se basant sur la technologie VMWare ESX, l une d entre elle ne semble pas assez riche. Son contenu, la durée des étapes (installation, configuration, ) ne paraissent pas adapter aux différents choix du groupe ayant effectué l appel d offres. Après une lecture approfondie de la proposition retenue, la numéro 3, une correction au niveau matériel est apportée à l offre. Le groupe n achètera pas le matériel à la société proposant l offre. Elle préfère passer par son prestataire habituel et faire de la location. Détail de l installation Branchement et câblage : Suite aux choix de la proposition, le groupe a fait une demande pour obtenir tous le matériel nécessaire auprès de son loueur habituel. A la réception des serveurs et de la baie SAN, le prestataire sélectionné, suite à l appel d offres vient faire les différents branchements électriques et câblage réseau. Cette première phase est contrôlée et validée par une personne mandatée travaillant au sein du groupe, en accord avec le prestataire. Page 16
JDESX01, JDESX02, JDESX03 CX4-120 SPA, SPB Serveurs Baie SAN Contrôleur de la baie SAN Pourquoi ce câblage? Chaque serveur composant la ferme est branché par fibre optique aux deux contrôleurs de la baie SAN. Ce type de branchement a deux fonctions : Faire du «load balancing», c est à dire répartir la charge entre les deux contrôleurs pour éviter une surcharge sur SPA, par exemple, alors que SPB est quasiment inactif. Au cas où l un des contrôleurs ne répondrait plus tous les serveurs peuvent continuer à travailler et ont accès à la baie grâce au second contrôleur. Découpage de la baie SAN : La baie est découpée en 5 «grappes» de la manière suivante : Groupe RAID Type de RAID Nb de disque Taille de disque Espace Total LUNs (GB) (GB) 0 R5 5 133,68 534,59 0 1 R5 9 133,68 1 069,18 1 2 Hot spare 1 133,68 133,68 2047 3 R5 5 133,68 534,59 2 4 R5 5 133,68 534,59 3 5 R5 5 133,68 534,59 4 La grappe 2, contenant le «Hot spare», sert en cas de panne d un autre disque dans un RAID. Suite à la chute d un disque la baie se servira de cette grappe pour reconstituer les données perdues et remplacera «à chaud» le disque en panne par celui du hot spare. Page 17
Le choix de la taille des grappes et des luns est propre à la société ayant fait l appel d offre. Cette décision a été faite en fonction de la taille des images et l utilisation en production des serveurs à virtualiser. Installation et configuration des ESX, serveurs de la ferme Sur chaque serveur de la ferme le même système d exploitation est installé. Cet O.S., VSPHERE 4, est le premier Cloud OS de VMWare. Il est basé sur un noyau linux. Voici la procédure d installation : Sur le serveur on boot sur le DVD. Cliquez sur Next, Acceptez la licence, puis choisissez le clavier Français (PC). Remplissez les informations réseaux demandées. Modifiez les partitions selon les recommandations. Les partitions suivantes sont obligatoires pour l installation d un serveur ESX : /boot : Cette partition permet de stocker les informations nécessaires pour démarrer le système ESX. / : La partition root contient le système d exploitation et les services accessibles à partir de la console système. Swap : Cette partition permet au système d utiliser de l espace disque quand plus de mémoire est nécessaire que celle fournie par la mémoire RAM. VMFS3 : Cette partition contiendra les machines virtuelles Vmkcore : Cette partition est utilisée pour des dumps lors de crash système. Les partitions suivantes sont conseillées par VMware : /var/log : Cette partition sera utilisée pour les logs. VMware recommande une partition Page 18
différente de celle de root. /tmp : Cette partition est utilisée pour le stockage temporaire de fichiers et sera utilisée par les administrateurs. Installation terminée. Exemple de configuration réseau : Nom d host Jdesx03Nom_de_domaine.dom @ IP service console 10.2.1.XXX Masque de sous réseau 255.255.0.0 Passerelle par défaut 10.2.1.XXX DNS Primaire 10.2.1.XXX DNS Secondaire 10.2.1.XXX VMotion 10.2.1.XXX Timezone Paris Mot de passe root ********* Mot de passe user : operateur vmware Paramétrage Les configurations sont identiques pour les trois ESX. Stockage Le stockage des machines virtuelles, dans cette étude de cas, ne ce fait non pas sur les disque dures internes à chaque serveurs mais sur la baie SAN. Pour stocker les machines virtuelles, il faut créer un Datastore. La création d un Datastore se réalise à partir d un seul ESX, le deuxième socle se verra automatiquement attribuer les Datastores créés. En effet les 3 socles ESX pointent vers les mêmes LUNs de la baie SAN. Page 19
A partir de l onglet >Configuration > Storage > Add Storage Choisissez le système de fichiers VMFS si vous sélectionnez Disk/Lun. Choisissez la LUN, donnez un nom au Datastore Cochez ensuite Maximize Capacity. Liste des Datastores attachée aux 3 socles ESX Descriptif réseau : Lors de l installation de l ESX, un switch virtuel «vswitch0» est créé afin de supporter le port service console. Sur ce switch, sera ajoutée une seconde carte réseau afin de créer une tolérance de panne. Un groupe de ports sera créé sur ce même switch virtuel «VMkernel» qui permettra d effectuer du VMotion. Un second switch virtuel «vswitch1» est créé afin de contenir un groupe de port pour la Production qui permettra d interconnecter les machines virtuelles au réseau de l entreprise. Six cartes réseaux seront affectées à ce switch virtuel en répartition de charge. Affectation des cartes réseau : Page 20
Installation de vcenter : vcenter Server est l outil central d administration de l infrastructure virtuelle. A noter qu il n est pas indispensable pour le fonctionnement des VM mais certaines fonctionnalités ne peuvent tourner sans vcenter. Composants Machines virtuelles Serveur ESX Performance et statistiques VMotion/Storage VMotion VMware DRS vcenter Plug-ins VMware HA Impacts Sans conséquences, possibilité de se connecter directement au serveur ESX Sans conséquences, possibilité de se connecter directement au serveur ESX Toujours disponible directement sur le serveur ESX Indisponible Indisponible Indisponible Les agents continuent à tourner et peuvent initialiser le Failover. Le contrôle d admission est indisponible Pré-requis : Microsoft.Net 3.1 SP1 Framework doit être installé sur le vcenter. Procédure d installation de vcenter Server 4.0 : Choisissez vcenter Server. Les autres modules s installent séparément. Page 21
vcenter Server requiert une base de données pour stocker et organiser les données. Vous pouvez vous appuyer sur une base de données existante. VMware recommande d utiliser une base de données séparée pour vcenter Server et vcenter Update Manager. Migration d un serveur physique à l aide de VMWare Converter Dans cette partie, nous allons voir comment convertir un serveur physique en une machine virtuelle sans perte d informations. Cette étape s appelle la migration, ou encore P2V, Phisical to virtual. Migration à froid La migration à froid consiste à booter le serveur à virtualiser sur le DVD VMware Converter. Pour la suite, les étapes sont identiques à celle de la migration à chaud. Page 22
Migration à chaud La migration à chaud doit s effectuer à partir de la console VMware Converter du serveur Vcenter. Voici la procédure : Après lancement de la console VMWare Converter, choisissez le bouton «Import Machine», cet écran apparaît. Cliquer sur le bouton «Suivant». Sélectionner «Physical computer» et cliquer sur le bouton «Suivant». Page 23
Entrer le nom du serveur distant à migrer, un compte d authentification et son mot de passe. Cliquer sur le bouton «Suivant», Sélectionner les disques à migrer avec la possibilité de redéfinir l espace disque puis cliquer sur le bouton «Suivant». Cliquer sur «Suivant». Page 24
Sélectionner «VMware ESX server or VirtualCenter virtual machine» et cliquer sur le bouton «Suivant». Entrer l adresse IP du serveur VirtualCenter et un compte d authentification puis cliquer sur le bouton «Suivant» Entrer le nom de la machine virtuelle et sélectionner le DataCenter où sera positionné cette machine virtuelle. Cliquer sur le bouton «Suivant». Sélectionner le serveur ESX qui détiendra cette machine virtuelle puis cliquer sur le bouton «Suivant». Page 25
Indiquer l emplacement où sera stockée la machine virtuelle puis cliquer sur le bouton «Suivant». A ce niveau il est possible de définir le nombre de cartes réseaux et certains paramètres ; cliquer sur le bouton «Suivant» Cocher l option «Install VMware Tools» puis cliquer sur le bouton «Suivant» Cliquer sur le bouton «Finish», la migration s effectue. Nettoyage de la machine virtuelle après le P2V Suite au passage du serveur physique à une machine virtuelle, il faut supprimer tous les éléments liés à l ancienne configuration matérielle, tels que les drivers. Pour ce faire si votre machine virtuelle est une Windows, rendez-vous dans Ajout/Suppression de programmes et désinstaller les pilotes. Page 26
Vous devez supprimer les pilotes graphiques, réseau non VMWare, les différents outils constructeurs, etc A savoir que les anciennes cartes réseaux restent enregistrées dans la base de registre de Windows. Pour les éliminer proprement, il faut supprimer les containers correspondant aux anciennes cartes. Faites au préalable une sauvegarde de la base de registre avant d effectuer cette opération. Les containers se trouvent dans la ruche suivante : {4D36E972-.} correspond à l ancienne carte réseau. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\In terfaces\{4d36e972-.} HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Ad apters\{4d36e972-.} HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{4D36E972-.} Redimensionner les partitions Pour redimensionner la partition système des serveurs virtuels, vous pouvez utiliser un «live CD» SystemRescue qui a l avantage d être une distribution Open Source, et possède notamment l application GParted. Le système de sauvegarde Actuellement, le point noir de l architecture mise en place est la baie SAN. Si le système de stockage rencontre un problème, de type matériel par exemple, toutes les données seront inaccessible ou même perdues. Le système d information se retrouvera donc non opérationnel. Dans l objectif d empêcher cette perte d informations et l arrêt de la production, la direction du système d information a décidé de mettre en place un système de sauvegarde. Ce système est basée sur une structure de type «DDT», soit Disk to Disk to Tape. L objectif est de copier les données présentes sur la baie SAN sur une autre baie de même type par le biais d un serveur de backup. Suite à cette opération, l équipe technique veux automatiser une copie sur cassette, dans le but de pouvoir la sortir de l entreprise afin de palier à tous phénomènes telles que le feu, l eau, écroulement du bâtiment lors d un tremblement de terre. A l heure de la rédaction de ce rapport la société n a pas encore mis en place, ce système. Il n y aura donc pas plus d informations sur l installation et le fonctionnement de cette infrastructure. Architecture finale Voici à quoi doit ressembler l architecture final de la partie du système d information que nous avons traité dans cette étude de cas : Page 27
Page 28
Conclusion Depuis les années 1970, les tendances dans le monde informatique ont fortement évolué. Aujourd hui en 2010, nous disposons de machine performante, de connexions réseaux pouvant transporter un volume de données très important, l utilisateur dispose de plus en plus d outils pour l aider à faire son travail. Mais tous ces instruments coûtent de plus en plus d agent aux entreprises. Leur objectif est de diminuer l investissement dans ce domaine, tout en gardant une productivité maximale. La virtualisation semble pouvoir répondre à cette demande. De ce fait le nombre de société se tournant vers cette technologie est en forte croissance. Un des avantages de cette méthode est qu elle se divise en plusieurs catégories, chaque DSI pourra adapter ce procédé à ses besoins, et à ses budgets. Suite à l étude de cas, on constate que le choix et l installation d un système virtualisé demande beaucoup de ressources, de personnes qualifié, mais aussi de capitaux. Sur le moyen terme, il est certains que l investissement est rentable par rapport à une infrastructure dites classique. Plus besoin de poste de travail performant, le nombre de serveurs de serveurs diminue fortement, etc De plus en plus aujourd hui on parle d écologie, les systèmes virtualisés semblent allez dans ce sens, en utilisant moins d électricité, moins de serveurs. En plus des économies faite par l entreprise, la virtualisation peux se dire adhérante du mouvement Green IT. Alors pourquoi les entreprises n osent-elles pas adopter cette technologie, qui a pourtant fait ces preuves depuis de nombreuses années? Page 29
ANNEXE Visualisation du rack Page 30
Définition de termes employés : dump : Opération de création d une sauvegarde Feedback Rétroaction Grappe Ensemble de disques dur formant un RAID IP Numéro identifiant tout matériel informatique connecté à un réseau utilisant l Internet Protocol. Login Nom d utilisateur Load balancing Répartition de charge Lun Logical Unit Number est un "identifiant d'unité logique", c'est-à-dire un pointeur vers un espace de stockage. root Appelaton du compte de l'administrateur d'un système Package :. Ensemble de produits et/ou de services Streaming Lecture en flux Switch Commutateur Vmotion Technologie permettant de déplacer les machines virtuelles d un serveur ESX à un autre, sans arrêt de production. Page 31
Offre n 1 : Infrastructure HyperV Stockage Système : SAN EMC CLARION AX4 Architecture matérielle : SAN Fibre Channel à deux contrôleur doubles Présentation : Peux stocker 60 To en SATA et 28 To en SAS, connectivité en fibre channel, contrôleur, système et refroidissements et alimentations redondants, gère aussi bien windows, lunix, et Vmware comme OS. Permet de faire de la réplication entre plusieurs baies. Ce système comporte des composants intégralement redondants remplaçables à chaud (disques, alimentations, ventilateurs alimentations de secours) Serveurs Serveurs basés sur une architecture Intel 5500 (nehalem). Cette architecture a des fonctionnalité de virtualisation pré-embarquées. Ces fonctionnalité améliore d une part la performance infrastructure virtualisé de 15% et d autre part augmente significativement le taux de consolidation par serveur physique. Méthodologie d implémentation d une solution de virtualisation HyperV R2 : Etape 1 : Etude d architecture et périmètre de la virtualisation Inventaire de l existant et validation des pré-requis Définition du périmètre de la virtualisation Définition de l architecture cible Etape 2 : Mise en place de l infrastructure physique Mise en place des éléments suivants : Switchs Ethernets pour le stockage Serveurs physique pour la solution de virtualisation Stockage SAN iscsi Etape 3 : Installation de la solution HyperV R2 : Installation de HyperV en mode core (sans interface graphiques : Meilleurs performances, Meilleures sécurité : surface d exposition de l os est très réduite, ce qui réduit considérablement le périmètre d attaques des pirates. Paramétrage de l infrastructure HyperV Mise en place d un contrôleur de domaine Windows 2003 en mode mixte (installé en VM) Mise en place de la console d administration SCVMM (installé en VM) Etape 4 : intégration des machines physiques dans l infrastructure virtuelle Appelé aussi le P2V (Physical to Virtual) Virtualisation des trois serveurs critiques Assister à la virtualisation sur 3 autres serveurs physiques Page 32
Etape 5 : Mise en place de la haute disponibilité de l infrastructure Arrêt du contrôleur du SAN : Le deuxième doit prendre le relais Débrancher un câble de connexion réseau des serveurs vers le SAN : Validation du multipath entre les serveurs physiques / VMS et le SAN Arrêt d un serveur physique hébergeant des machines virtuelles : Les VMs doivent redémarrer sur un des deux autres serveurs hôtes Etape 6 : Recette technique et fonctionnelle de l infrastructure Proposition commerciale et financière : Fournitures matériel et logiciel : Serveurs Hôtes : DL : 380 G6 HP bi-pro Quad cœurs Intel Xean X5550 avec 16Go de RAM CPU NEAHLEM 2.6 Ghz 4 ports Ethernets 2 cartes iscsi Maintenance 3 ans 24/7 Coût unitaire HT : 5594.67 Quantité : 3 Coût totale HT : 16784.00 Licence Microsoft : WinSvrEnt 2008R2 SNGL OPL NL jusqu à 4 licences virtuelles Standard Coût unitaire : 2450.15 Qté : 1 SysCtrVMMWkgrp SNGL LicSAPk OLP NL inclus 5 licences server MAXI Licence & SA Prix unitaire : 799 Qté : 1 Coût total licence : 3249.15 SAN EMC& et switchs Baie EMC² - AX4 iscsi double contrôleur 2 To de volumétrie utilise (2 agrégats RAID 5) 2 switchs ethernets Gb avec 8 ports chacun extensible à 16) Coût unitaire : 8634.00 Qté : 1 Prestation et services : Chef de projet : Quantité 3 Tarif journalier : 900 Tarif total 2700 Ingénieur Système / Expert Virtualisation Quantité : 19 Tarif journalier 850 Total HT 16150 Coût total Prestation : 18850.00 Page 33
Offre 2 : Infrastrutre VMWare ESX Matériel Serveurs 2 Machines IBM x3650 M2. Architecture Intel processeurs Xéon série 5500. Processeurs Mémoire Stockage interne Réseaux Extensions Divers Garantie 2 Xéon E5506 Quad-Core à 2,12GHz 22 GB DDR3-1333 2 x 146GB 10ktpm SAS en RAID1 2 ports intégrés + 1 carte Intel PRO Dual 2 cartes Qlogic 4GB FC simple port Alimentations électriques redondantes 3 ans 24x7 réponses 4Heures Ces 2 serveurs permettront d héberger l hyperviseur Vmware ESX qui gênera les machines virtuelles. C est pour ceci que la quantité de mémoire est à 22GB : Répartition de la mémoire : 1GB Mémoire pour l hyperviseur 15GB Mémoire prévu pour les serveurs critiques du projet 6GB mémoire disponible pour création de nouveaux ou extensions des existants Baie de stockage Proposition : SAN IBM DS3400 Connectivité : Fibre Channel Mixage de disques : SAS et SATA Nombre de disques : 12, en natif, jusqu à 48 disques avec 3 tiroirs d extension EXP3000 Capacité : 5,4To en natif (12 x 450o SAS), jusqu à 21,6To avec les tiroirs supplémentaires et ces même disques RAID : 5, mais possibilité de 0, 1, 3, 5, 6 et 10 Switchs Type : IBM System Storage SAN24B-4 Nombre de ports : 8, extensible à 16 ou 24 ports Logiciel ESX Server 4 : Brique logicielle qui virtualise les différentes machines virtuelles, à installer sur chaque serveurs physique. Vmware VMFS : Système de fichier qui est utiliser pour stocker les fichiers des disques dur virtuels. Il est optimisé pour le stockage de gros fichier, et permet l accès simultané de plusieurs serveurs ESX à un seul volume VMFS. VIRTUAL SMP : permet de configurer plusieurs processeurs dans une machine virtuelle Vmotion : fonctionnalité avancée qui permet de transférer une VM d une lame vers une autre sans interruption de service. Possible n est possible que si les données sont sur un volume Page 34
VMFS accessible aux deux serveurs physiques. La mémoire est d abord snapshotée comme un disque dur virtuel, pour être gelée La machine virtuelle écrit alors les modifications de la RAM dans un fichier pendant la partie gelée est transférée par le réseau Vmotion (VMKernel) vers le serveur physique de destination. Dès que le transfert se termine la machine virtuelle est suspendue sur le sur le serveur source, le fichier de modification de la RAM créée est transférée, le serveur physique de destination fusionne les deux fichiers de RAM, et relance la VM. Cette fonction passera par une des deux cartes réseaux de chaque serveur (A positionner dans un VLAN dédié) Vmware HA : fonctionnalité qu permet de transformer un OS classique en OS Clustérisé tolérant aux pannes hardware et Software. VMWARE DRS : option qui conseille à l administrateur le meilleur positionnement des VMS sur tel ou tel serveur physique en fonction des ressources disponibles dans le cluster. Si une migration est recommandée, Vmotion est utilisé pour transférer la VM sur un autre serveur physique. Les migrations peuvent être entièrement automatisées ou être totalement manuelles. Vmware vcenter : console de management des serveurs ESX. Interface indispensable à l exploitation d une infrastructure ESX. VCONVERTER : Outil de conversion permettant de dupliquer une machine physique Windows (uniquement) vers une machine virtuelle de type ESX. Outils gratuit. Mise en place Etape 1 : Réunion de lancement Permet d établir les pré-requis techniques ainsi qu un macro-planning des principales étapes du projet Etape 2 : Configuration des serveurs Configuration du réseau de stockage Présenter des volumes aux serveurs Etape 3 : Installation du serveur d administration vcenter Installation du serveur d administration de l infrastructure cible. Installation des consoles d administration et de supervision et VMWARE Etape 4 : Installation de VMWare ESX Installation de l environnement sur les lames restantes Etape 5 :P2V Convertir les serveurs du périmètre Etape 6 : Rédaction d un dossier de site Synthèse des procédures des phases du projet Etape 7 : Transfert de compétences Mise en œuvre de 2 serveurs virtuels, présentation de la solution PtoV Serveur X3650 M2 XEON 4C E5506 80W 2.13GHz/800MHz FSB/4MB L3, ² 1616.50 3233 Page 35
2x1GB, O/Bay 2.5in HS SAS, SR BR10I,CD-RW/DVD Combo, 675W p/s, Rack Intel Xeon 4X Processor Model E5506 80W 2.13GHz/ 800MHz/4MB 2 334.50 669.00 L3 4GB DDR3-1333 2Rx4 LP RDIMM 12 149.5 1794.00 IBM 146GB 2.5in SFF Slim-HS 10K 6Gbps SAS HDD 4 207.80 831.20 Qlogic 4Gb FC Single-Port PCIe HBA for IBM System x 4 618.90 2475.60 Intel PRO/1000 PT Dual Port Server Adapter 2 124.00 248.00 Redundant 675W Power supply 2 177.70 355.40 3 Year Onsite Repair 24x7 4Hour Response 2 643.70 1287.40 Switch Express IBM System Storage SAN24B-4 2 2368.50 4737.00 3 Year Onsite Repair 24x7 4Hour Response 2 1024.00 2048.00 SFP Transceiver 4 Gbps SW 8 51.60 412.8 5m Fiber Optic Cable LC-LC 8 81.60 652.8 Baie IBM System Storage DS3400 Dual Controller 1 4526.70 4526.70 IBM 450GB 3.5in HS 15K SAS HDD 6 532.30 3193.8 3 Year Onsite Repair 24x7 4 Hour Response 1 1003.50 1003.50 Page 36
OFFRE 3 : Infrastrutre VMWare ESX Matériel Baie EMC CX4-120 Jusqu à 120 disques (8tiroires/DAE) 6GB de cache 4 ports de fibres 4 Gbps et 4 ports 1 Gbps iscsi en standard On peut ajouter jusqu à 16 ports FC et/ou iscsi La baie est proposée avec : 30 disques FC 146 Go 15k pour une volumétrie utile de 2,89To en RAID5 12 ports fibres (4 par contrôleur) permettent de connecter 6 serveurs en double attachement. Le besoin actuel étant de connecter 3 serveurs. Le logiciel d administration Navisphere Manager Les maintenances matérielles et logiciels associées pour 3 ans en 7/7 24/24 Article-no Désignation Quantité CX-120C CX4-120C SPE WITRH SINGLE SPS 1 CX4-4PDAE 4G DAE FACTORY OR FIELD INSTALL 2 CX-4G15-146 146GB 15K 4GB FC 25 V-CX4- CX4 VAULT PACK 146GB 15K 4G DRIVES QTY 5 1 14615K C13-PWR-7 2 C13 PWRCORDS W/ CEE7/7 PLUGS 250V 10A 3 CLAR-RM- CLRN REM MAINT MODEM KIT 1 EUR CX4-SPS CX4-120 Optional Second SPS 1 CX-M4GF- ADDITIONAL PAIR 4G FC TOTAL 8 FE PORTS 1 FE-A NAV4-120 NAVISPHERE MANAGER FOR THE CX4-120 1 CX412C-KIT CX4-1020 DOCS COMMON RTU & POWERPATH 1 M-PRESW- PREMIUM SOFTWARE SUPPORT 1 001 M-PRESW- 004 PREMIUM SW SUPPORT OPEN W 1 Serveurs hôte VMWare 3 Serveurs HP DL380 : Bi-pro QuadCore 2,66GHz 24Go de mémoire (il est important pour les performances que les serveurs virtuels swappe aussi peu que possible) 2 disques sas 72 Go 15kptm en RAID 1 pour Raid 1 pour l OS Vmware ESX 8 ports Ethernet 1Gbps cuivre 2 carte HBA Fiber Channel 4 Gb mono-port Lecteur DVD/CD-RW Page 37
Références Désignation Quantité 491316-421 Serveur HP ProLiant DL380 G6 Intel Xeon X5550 (2,66Ghz 8 Mo quatre 1 cœurs DDR3-1333 Turbo Boost HT 95 W ( 2*Proc, 6*2 Go Smart Array P410i/512 BBWC DVD/CD-RW, 2* alimentation 750W 500658-B21 Barrette mémoire SDRAM ECC DDR3 Registered PC3-10600-9 2Rx4 3 HP de 4Go 4185371-B21 Disques SAS HP de 72 Go 3Gb 15Kptm deux ports SFF 2.,5» hot-plug 2 universel 500579-B21 Kit d évolution 3 connecteurs d extention PCI-Express HP pour ProLiant 1 DL380 G6 458492-B21 Carte réseau multifonction Gigabit PCI-Express deux ports cuivre HP 2 NC382T AE311A HP StorageWorks FC1142SR 4Gb PCI-e HBA 2 SVATSH Prestation tests et intégration mécanique +RAID 1 Logiciel Vmware vsphere 4 : Le système de virtualisation Vmware permet de fiabiliser l infrastructure de production et facilite le Plan de Reprise. Vmotion : déplacement «On-line» d un serveur virtuel d un serveur/socle physique ESX à un autre. Se fait par simple «glisser - déposé» via l interface de «Virtual Center» HA ; «Hight Availability, redémarrage automatique de serveurs virtuels sur les serveurs/socles physique restants en cas de panne hardware avérée d un serveur/socle physique ESX FT : Fault Tolerance, une même machine virtuelle fonctionnant en parallèle sur des hôtes distincts. Ceci permet un fonctionnement de type cluster, sans interruption de service ni de perte de données. VMWare facilite nativement les Plans de reprise : Indépendance par rapport à la plate-forme matérielle entre l infrastructure de production et l infrastructure de secours Permet d envisager une réplication globale des serveurs virtuels (OS + Appl + Données) Phase du projet 2 grandes phases : Phase 1 Etude Etude avant la mise en œuvre Phase 2 Mise en œuvre Installation et configuration de la ferme Vmware de production (Baie et Serveurs Vmware) Migration des serveurs (Physiques vers Virtuels) Transfert de compétence et documentation) Phase 1 Etude : Page 38
Prise de connaissances de l infrastructure IT en place Les applications critiques et données sensibles à migre sur l environnement Vmware Etude précise de : Architecture des serveurs en place (type, caractéristique, compatibilité, ) Les volumétries disques existantes Les volumes de data associées aux applications critiques Permettra de définir : Emplacement des nouveaux équipements dans les racks existant Adresses IP de management Sécurité de l interface de management (protocole, mdp) Configuration du cache en lecture/écriture Groupes RAID à mettre en place Les LUN à définir Topologie SAN Les niveaux de firmware et logiciel minimum pour l ensemble des composants de ce nouveau réseau SAN : contrôleur, carte HBA La configuration Vmware à adopter, la virtualisation possible de Virtual Center La topologie des réseaux LAN La méthodologie de migration à utiliser Le planning des opérations prévues sur cette phase Phase 2 Installation et migration des serveurs 1. Installation des fermes Vmware Phases d installation du SAN CX4 : Installation physique de la baie Mise sous tension Upgrade du flare-code (baie) et du firmware carte HBA le cas échéant Raccordements des serveurs à la baie Configuration de la baie avec les éléments définis lors de l étude Définition des groupes RAID et des LUN Phases installation de la ferme Vmware vsphere 4 Phase d installation du premier serveur ESX de chaque ferme Installation à partir du CD, Définition de l allocation de la RAM Définition de l allocation des ports PCI, Configuration de partitionnement du disque système qui permet pour la zone de swap Configuration du VMKernel Sauvegarde de la configuration ESX du serveur Phase d installation des 2 socles ESX supplémentaire par la ferme Installation par défaut du CD Transfert de la configuration du premier serveur Personnalisation du serveur Phase d installation de Virtual Center (virtualisé ou physique suivant l étude) Installation de Windows 2003 Serveur + SP1 Intégration au domaine Active Directory Préparation de la base de données pour VirtualCenter Server Installation des composants VirtualCenter ; Vmware VirtualCenter Server Microsoft.Net Framework Vmware VI Web Access Page 39
Vmware Web Service Vmware Licence Server Installation du client d infrastructure virtuelle (sur un ou plusieurs postes) Configuration de la communication entre les composants VirtualCenter Prise en compte des ESX Phase de validation Démarrage et arrêt automatique du système d exploitation au boot et à l arrêt des serveurs 2. Migration des serveurs Nouvelles installations Identification des machines «sources» Installation de l OS avec le bon niveau de patch Création d une image de référence qui servira pour les VM suivantes Activation de la licence Sauvegarde de cette nouvelle image (servira à restaurer un environnement complet si nécessaire) Conversion P2V Identifications des machines «sources» Vérification des prés requis Vmware Converter peut être installé sur une machine virtuelle ou sur une machine physique Installation de la partie cliente Vmware Converter Activation des licences Découverte des serveur sources Découverte du serveur cible Création des travaux de conversions Lancement des migrations Mise en œuvre de HA 3. Transfert de compétence et documentation Création de Lun Création et clonage de serveurs virtuels Arrêt, redémarrage de serveurs virtuels Déplacement de serveurs virtuels (vmotion) Visualisation des performances Arrêt et redémarrage de l infrastructure (SAN et ferme Vmware) Prestation de services Total PRESTATIONS Nontant Forfaitaire 10422 Matériel et logiciel Référence Désignation matériels/logiciels Qté Tarif Unit Public PV Total CLIENT CX4-120C CX-4 30 disques 146 bgo 15ktpm 1 53193 22678 HP DL380 G6 Serveur HP DL380 G6 3 8060.00 16.504 Bi-pro QuadCore 2,66Ghz, 24Go de mémoire Page 40
VSA-ADV-AK- C 2 disques SAS 73 Go 15ktpm, Raid 1 8ports Ethernet 1 Gbps cuivbre 2 HBA Fiber Channel 4 Gb mono-port Lecteur DVD/8CD-RW Vmware Advanced Accelera&tion kit for 6 processors VSphere Advanced for 6 processors VCenter Server Foundation 1 9689.00 8159.00 Total 47341.00 Maintenance matériel et logiciel : Référence Maintenance 3 ans Désignation MAINTENANCE 3 ans Qté Tarif Unit Public PV Total CLIENT (3 ans) AX4-5F Maintenance Hardware CX4-120 7/7 1 3456.00 3.456.00 AX4-5F Maintenance Software Naqvipshere Manager 7/7 1 2676.00 1741.00 HP DL 380 G6 Maintenance Harware HP LD380 5/7 4H 3 778.00 2334.00 VS4-ADV-AK- Gold Support/Subscription Vmware Advanced 1 5162 5100 3G-SSS-C Acceleration kit for 6 processors for 3 years Total 12.631.00 Total 70 394.00 Page 41