Les vservers au quotidien



Documents pareils
Maintenance et gestion approfondie des Systèmes d exploitation Master 2 SILI. Année universitaire David Genest

Virtualisation et le hosting. Christophe Lucas Sébastien Bonnegent rouen.fr>

Serveur Linux : FTP. Mise en place d un service FTP sous Linux. Bouron Dimitri 20/04/2014

Table des matières Hakim Benameurlaine 1

Nagios 3 pour la supervision et la métrologie

NRPE. Objectif. Documentation. Procédures

Secure SHell. Faites communiquer vos ordinateurs! Romain Vimont ( R om)

Atelier : Virtualisation avec Xen

JOMARON Sébastien BTS SIO 2012/2014. Titre de l activité: Surveiller des hôtes et des services avec NAGIOS

Spécialiste Systèmes et Réseaux

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

Phase 1 : Introduction 1 jour : 31/10/13

Commandes Linux. Gestion des fichiers et des répertoires. Gestion des droits. Gestion des imprimantes. Formation Use-IT

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée Virtual Server de Microsoft

Personnes ressources Tice. Académie de Rouen

Allocation de l adressage IP à l aide du protocole DHCP.doc

Installation d un Serveur de Messagerie

ArcGis Server 10 (sur VM CentOS bits) DOCUMENT D INSTALLATION

PPE Installation d un serveur FTP

Réaliser un inventaire Documentation utilisateur

INSTALLATION DEBIAN 7 (NETINSTALL) SUR VM

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Créer et partager des fichiers

TP Service HTTP Serveur Apache Linux Debian

Virtualisation Vserver et OpenVz en entreprise

Installation des outils OCS et GLPI

Système Principal (hôte) 2008 Enterprise x64

NACIRI Mehdi. Rapport de stage : Mise en place d un moyen pour anticiper les pannes des serveurs de l IUT. Promotion BTS SIO Option SISR

Debian Lenny - Virtualisation avec Libvirt/KVM Debian GNU/Linux

Chapitre IX : Virtualisation

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique

L annuaire et le Service DNS

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server

Le filtrage de niveau IP

ALOHA Load Balancer 2.5. Guide de démarrage rapide. EXCELIANCE ALOHA 2.5 Guide de démarrage rapide 30/01/2008 1/17

INFO-F-309 Administration des Systèmes. TP7: NFS et NIS. Sébastien Collette Résumé

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

11/04/2014 Document Technique des Services Disponibles. 16/04/2014. Document Technique des Services Disponibles.

FTP-SSH-RSYNC-SCREEN au plus simple

Enoncé du TP 8 Système

ECOLE POLYTECHNIQUE DSI. Utilisation des serveurs mandataires («proxy») avec les protocoles d usage courant

NAS 224 Accès distant - Configuration manuelle

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server 3, 3.5

SSH. Romain Vimont. 7 juin Ubuntu-Party

Stage SambaÉdu Module B. Jour 9 Outils complémentaires et problèmes récurrents divers

SSH et compagnie : sftp, scp et ssh-agent

Réseau - VirtualBox. Sommaire

MISE EN PLACE DU FIREWALL SHOREWALL

Ajout et Configuration d'un nouveau poste pour BackupPC

HowTo Installer egroupware 1.2 sur SME Serveur 7.0

et Groupe Eyrolles, 2006, ISBN :

PUPPET. Romain Bélorgey IR3 Ingénieurs 2000

ADF Reverse Proxy. Thierry DOSTES

TP PLACO. Journées Mathrice d'amiens Mars 2010

Réalisation d un portail captif d accès authentifié à Internet

Le service FTP. M.BOUABID, Page 1 sur 5

Année Universitaire ième année IMAC Mardi 6 janvier Cloud computing Travaux Pratiques

TP Réseau n 4 Common Internet File System (CIFS) et Network File System (NFS)

Mise en place d'un Réseau Privé Virtuel

Configuration de Gentoo 12.x

Figure 1a. Réseau intranet avec pare feu et NAT.

ADMINISTRATION DE RESEAUX SOUS LOGICIEL «OPEN SOURCE»

Gestion d'un parc informatique avec OCS INVENTORY et GLPI

Installation d un hébergement Web à domicile

PLATE-FORME DE CLOUD COMPUTING SLAPOS. Intégration d applications

Sommaire. 1 Introduction Présentation du logiciel de commerce électronique 23

BTS SIO SISR3 TP 1-I Le service Web [1] Le service Web [1]

Cisco Certified Network Associate

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

TP Déploiement de réseaux IP sous Linux et MS Windows sur une infrastructure virtualisée

Procédures informatiques administrateurs Création d un serveur FTP sous Linux

Chapitre 1 Windows Server

Guide de démarrage rapide

Projet Système & Réseau

Afin d'éviter un message d'erreur au démarrage du service Apache du type :

Sécurité des réseaux Firewalls

Préparation d un serveur Apache pour Zend Framework

Le serveur web Apache

Installation d un serveur HTTP (Hypertext Transfer Protocol) sous Débian 6

Documentation technique Nagios

Technologies du Web. Créer et héberger un site Web. Pierre Senellart. Page 1 / 26 Licence de droits d usage

Installation de Zabbix

Architecture de serveurs virtualisés pour la communauté mathématique

Manuel de System Monitor

Formation owncloud Thierry DOSTES - Octobre

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Licence professionnelle Réseaux et Sécurité Projets tutorés

Virtualisation CITRIX, MICROSOFT, VMWARE OLIVIER D.

TD4 - Supervision et métrologie des réseaux. 1 Supervision des applications et services réseaux et des ressources locales

Configuration de base de Jana server2. Sommaire

Migration NT4 vers Windows 2003 Server

Cloud public d Ikoula Documentation de prise en main 2.0

Introduction. Adresses

Annexe C Corrections des QCM

MANUEL D INSTALLATION DE WATCHDOC 2011 (EVALUATION)

Exchange Server 2013 Préparation à la certification MCSE Messaging - Examen

DSI - Pôle Infrastructures

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

Transcription:

Thierry DOSTES (tdostes "@" ibsm.cnrs-mrs.fr) Maurice LIBES JT SIARS 24 & 25 Avril 2008 Les vservers au quotidien 7

Rappels 8

Architecture des vservers (1) Virtualisation qui intervient au niveau du noyau : Faire croire à plusieurs machines. Séparer les applications/contextes Le noyau est «patché» pour rendre cela possible. Grâce au noyau modifié, la technologie Vserver met en œuvre des contextes séparés qui vont isoler les processus qu ils hébergent. Ainsi, un processus externe ne pourra interagir avec le processus d un vserver. Ces contextes correspondent aux vservers que nous créons sur la machine hôte. Par défaut, un contexte 0 est créé sur celle-ci. C est ce contexte qui permet de créer les machines virtuelles et de faire croire à plusieurs machines. 9

Architecture des vservers (2) Chaque contexte dispose d une adresse IP. Le noyau route les informations vers le processus adéquat contenu dans le bon contexte. Conséquences : Pas d interface de boucle locale dans un contexte. Pas de table de routage par vserver. Configuration des services réseaux de l hôte pour qu ils écoutent seulement sur l adresse IP de celui-ci. 10

Configuration des services (1) Bonnes pratiques : Tout service lancé sur la machine hôte ou dans une machine virtuelle doit faire référence à une adresse IP précise «en écoute». Ainsi, tout trafic destiné à un port déjà utilisé (machine hôte ou virtuelle) sera correctement acheminé. Exemple : le service SSH. Par défaut, le démon s associe à l adresse 0.0.0.0. Toute requête sur le port SSH sera interceptée par le service en écoute sur cette adresse. 11

Configuration des services (2) Connaître la liste des services présents sur une machine (hôte ou virtuelle) en écoute sur toutes les adresses (bindany) : Nous constatons que les services Apache et ssh sont en écoute uniquement sur l adresse IP propre à la machine physique. Par défaut, le serveur mysql est en écoute sur localhost : nous ne rencontrerons aucun problème pour l utiliser sur une machine virtuelle. De même, le service SMTP écoute sur l interface boucle locale. Cela est possible car nous sommes sur une machine hôte. Il en sera tout autrement dans le cadre vserver, puisque celui ne dispose pas d une interface de boucle locale. 12

Exemples de mise en œuvre de services sur vservers. 13

Le service SSH (1) Par défaut, le démon s associe à l adresse 0.0.0.0. Il faut modifier l adresse d écoute (directive ListenAddress) : # /etc/ssh/sshd_config # ( ) ListenAddress 192.168.1.40 Par défaut, lors de l installation du paquet Debian ssh, le démon du service s associe à l adresse 0.0.0.0. Cette astuce permet de vous dispenser d installer le serveur ssh sur chacun de vos serveurs virtuels. Chaque connexion vous fera aboutir sur la machine hôte, même si vous spécifiez l adresse IP d un vserver. Aussi, si vous souhaitez installer le démon ssh sur chaque machine virtuelle et si vous voulez pouvoir vous y connecter sans retomber systématiquement sur le service ssh de la machine hôte, alors vous devez modifier l adresse à laquelle le démon de la machine hôte s associe en la limitant à la seule adresse IP de cette dernière. 14

Le service SSH (2) Affichage graphique déporté (X11 Forwarding) : Installer le paquet xbase-clients en l absence d un serveur X. Activer la directive X11Forwarding pour autoriser l affichage graphique sur le poste client. Modifier la directive X11UseLocalhost pour ne pas associer à une interface inconnue dans un vserver. # /etc/ssh/sshd_config # ( ) X11Forwarding X11UseLocalhost yes no La directive X11Forwarding active l affichage graphique déporté sur l environnement graphique du client qui se connecte au serveur. La directive X11UseLocalhost indique sur quelle interface réseau la redirection X11 sera couplée. Par défaut, le serveur sshd l associe à l adresse de loopback et fixe la variable d environnement DISPLAY à la valeur localhost, valeur qui sera utilisée par les hôtes distants pour se connecter. Dans le cas de notre serveur virtuel, la valeur localhost ne signifie pas grand-chose puisque toute requête vers ce «nom» sera interceptée par la machine physique hôte. Par conséquent, nous voulons que la valeur de la variable DISPLAY soit celle du nom de notre serveur virtuel. 15

Le serveur Apache2 Exemple : une machine physique qui consolide plusieurs serveurs Web dans des machines virtuelles séparées. Modifier la valeur de la directive Listen qui définit le port et l adresse d écoute du serveur Apache : # /etc/apache2/ports.conf Listen 192.168.1.40:80 Par exemple, je veux lancer sur ma machine virtuelle un serveur Apache en écoute sur le port 80 alors que ma machine hôte en héberge déjà la même application active sur le même port. Il faut modifier la configuration du service concerné pour qu il reste en écoute uniquement sur l adresse IP de la machine hôte. Nous modifions la valeur de la directive Listen présente dans le fichier de configuration /etc/apache2/ports.conf. Cette directive permet de spécifier les ports et les adresses pour lesquelles le serveur Apache est en écoute. Nous redémarrons ensuite le service Apache. 16

Postfix Après installation dans un vserver, Postfix refuse de se lancer : Par défaut, cette application se met en écoute seulement sur l interface de boucle locale. Or, celle-ci n existe pas dans un vserver Modifier la valeur de la directive inet_interfaces : # /etc/postfix/main.cf # (...) inet_interfaces = all Si Postfix refuse de se lancer, éditez le fichier de configuration /etc/postfix/main.cf et vérifier la valeur de la directive inet_interfaces. Cette option précise les adresses pour lesquelles Postfix est en écoute. Par défaut, la valeur vaut loopback-only. Dans le cas des vservers, l interface locale ne peut être activée. Ainsi, inet_interfaces = loopback-only empêche le démon de démarrer. En conséquence, il faut absolument : inet_interfaces = all 17

Serveur LDAP Exemple : Faire cohabiter plusieurs annuaires LDAP sur une machine physique hébergeant plusieurs vservers. Spécifier explicitement l adresse d écoute de chacun des services LDAP : # /etc/default/slapd # ( ) SLAPD_SERVICES= ldap://192.168.1.203:389/ Si plusieurs annuaires LDAP sont amenés à cohabiter sur une machine physique hébergeant plusieurs serveurs virtuels (par exemple pour des tests), il est impératif de spécifier explicitement l adresse d écoute du serveur. Pour cela, nous modifions la directive SLAPD_SERVICES du fichier de configuration /etc/default/slapd : 18

Supervision Nagios : serveur NRPE Exemple : Installer l agent NRPE de supervision sur plusieurs vservers hébergés par une même machine hôte. Spécifier explicitement l adresse d écoute de l agent de supervision : # /etc/nagios/nrpe.cfg # ( ) server_address=192.168.1.32 19

Outils de surveillance du réseau Exemple : outil tcpdump. Ecouter les trames à destination d un service depuis un outil dédié installé sur une machine virtuelle. Donner au vserver la possibilité d utiliser l interface réseau en mode promiscuous : Elévation de privilèges : echo NET_RAW >> /etc/vservers/nom_vserver/bcapabilities Attention!! Il faut redémarrer le vserver après cette modification. Désormais, tout programme s exécutant sur cette machine virtuelle sera capable de forger des trames réseaux. Le mode promiscuous est souvent employé pour diagnostiquer des problèmes de connectivité réseau. Il existe des programmes (sniffeurs ou outils de statistiques) qui utilisent ce mode pour décoder et montrer tout le trafic du réseau à l'administrateur qui les exécute. 20

Montage d un CDROM Depuis la machine hôte : Création d un répertoire pour le point de montage dans l arborescence dédiée au vserver : mkdir /var/lib/vservers/nom_vserver/mnt/cdrom/ Création du point de montage en utilisant les «namespaces» de Linux : vnamespace -e nom_vserver mount /dev/cdrom /var/lib/vservers/nom_vserver/mnt/cdrom/ Suppression du point de montage : vnamespace -e nom_vserver umount /var/lib/vservers/nom_vserver/mnt/cdrom/ Les namespaces sont une fonctionnalité du noyau Linux, qui permet à différents processus d'avoir chacun une vue différente sur le système de fichier. En temps normal, nous disposons d'une seule et unique arborescence de fichiers avec des différents montages. Avec les namespaces, il est possible d avoir différentes partitions montées pour chaque ensemble de processus souhaité. 21

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back