Mariotti Christian La virtualisation en entreprise 2011
Table des matières INTRODUCTION... 3... 3 I ACTIVITES... 3 II IMPLANTATION... 4 III LE SERVICE INFORMATIQUE INTERNE... 5 IV OBJECTIFS... 5 V FORMALISATION DU CONTEXTE... 6 VI ETAT DES LIEUX DU SYSTEME... 7 VII ETAT DES LIEUX DES LOGICIELS... 12 VIII ANALYSE D UNE SOLUTION DE VIRTUALISATION... 14 IVX COMMENT VIRTUALISER?... 17 X Présentation de la solution VMware Vsphere... 20 10.1 Installation de l hyperviseur ESXi... 21 10.2 Installation des Machines virtuelles V13-webserv, V13-missio, V13-sql, V13-mysql, V13-bdc-b... 23 10.3 V13-webserv... 24 10.4Création de la VM : V13-webserv... 25 10.5 Création de la VM : V13-sql... 25 10.6 Création de la VM : V13-mysql... 26 10.7 Création de la VM : V13-bdc-b... 28 10.8 Création du serveur V13-dsp... 29... 33 10.9 Présentation de VMware Vcenter serveur... 34... 34 10.10 Cloner une machine virtuelle... 35 10.11 Installer une Appliance VMware... 36 XI Plan de reprise d activité... 38 XII Les conséquences économiques... 38 Conclusion... 41 Annexe 1... 42 Annexe 2... 43 Annexe 3... 46 Annexe 4... 50 Page 1
Remerciements Je remercie Monsieur Oscar Logger, responsable du cours TSGERI, d avoir bien voulu être notre Guide d'études tout au long de l'année 2011. Je remercie tous les membres de l administration de l Afpa d avoir mis à notre disposition les moyens nécessaires pour réaliser ce travail. Je remercie tous les représentants du CETE, dans le cadre de mon étude, de leur collaboration permettant l élaboration du rapport de stage. Je remercie ma compagne, pour m'avoir soutenue durant cette période. Page 2
INTRODUCTION Le CETE Méditerranée, Centre d'etudes Techniques de l Equipement est un service déconcentré du ministère de l Écologie, du Développement durable, des Transports et du Logement (MEDDTL) un bureau public d études et d ingénierie un spécialiste des territoires de l interrégional. Méditerranéenne Présent depuis 1968 dans la région méditerranéenne, le CETE Méditerranée est un outil d'étude et de conseil offrant un capital unique d'expertise et de savoirfaire : 410 agents (effectifs "temps pleins") dont 120 ingénieurs ou experts Plus de 2500 études par an et une production annuelle de 35,5 M Euros I ACTIVITES Des domaines d'interventions multiples : la ville et l'aménagement du territoire, les transports urbains et Page 3
interurbains, la conception, l'entretien et la réparation d'infrastructures et d'ouvrages d'art, l'environnement, la gestion des risques naturels, la sécurité routière, la gestion du patrimoine routier et l'informatique. II IMPLANTATION Le Cete méditerranée, appartient au réseau scientifique et technique du développement durable Cinq sites permettent d'intervenir dans cette zone d'action : Aix-en-Provence (Siège), Marseille (CRICR, Centre Régional d Information et de Coordination Routière), Montpellier (agence Languedoc-Roussillon et antenne du Laboratoire Régional d'aix), Nice (Laboratoire), Toulon (antenne du Laboratoire Régional d'aix). Chaque département est divisé en services. Par exemple, le département des services généraux se divise en : service des Ressources Humaines, service administratif et financier, service Patrimoine et moyens généraux, service informatique interne, service communication, service documentation unité de gestion. Le SII dépend lui-même d'autres départements informatiques: Le HFD : Le haut fonctionnaire d'état qui a le rôle de superviseur. Le PNE (Pôles Nationaux d'expertises).ce sont des partenaires privilégiés, dans le sens où ils apportent une expertise technique dans chaque domaine des projets informatiques. D'ailleurs la cellule PNEinfrastructure, à amorcer un début de réflexion sur la virtualisation : http://pneinfra.appli.i2/wiki/doku.php?id=systemes:serveur:virtualisation:acc ueil Page 4
III LE SERVICE INFORMATIQUE INTERNE Chaque agent du CETE possède un poste de travail et utilise différentes applications ainsi qu'une boite mail. Le Service Informatique Interne est là pour s assurer du bon fonctionnement de l'infrastructure informatique, des différents sites composants le CETE Méditerranée. Il est composé de 7 agents : M. Gil Romand : chef du service, Mme Catherine Baglin : qui gère le suivi des logiciels techniques (AutoCad, MapInfo et Matlab) et des imprimantes, M. Francis Dos Santos : qui s'occupe de l'assistance de second niveau et de la gestion du parc informatique, M. Michel Gomez : administrateur du réseau local du CETE, il assure également le suivi des systèmes de sauvegardes et du câblage, M. Jean-Michel Ranchoux : développeur d'applications locales, M. Jean-Philippe Tenaud : développeur d'applications locales, il s'occupe également de l'assistance à l'administration du réseau et de la gestion de l'intranet, M. stephane Zucatti : développeur d'applications locales. IV OBJECTIFS J'ai été reçu par Monsieur Gil Romand, le chef du service informatique interne, et après un entretien, nous avons défini dans les grandes lignes une mission que je devrais mener à bien. Page 5
L'intérêt que porte le C E T E pour la virtualisation est lié au nombre croissant de serveurs dédiés aux applications métiers, le but étant de bénéficier des avantages qu'offre la virtualisation : Economiques: mutualisation du matériel, coûts de possession. Environnements de tests: développement, pré-production. Portabilité des VM: mis en place d'un plan de reprise activité Sécurité: les machines virtuelles sont isolées du réseau physique. Optimisation des ressources, et exploitation équilibrée des serveurs Définition du périmètre d'action à entreprendre : Audit de l'architecture serveur Préparation vers la virtualisation de quelques serveurs cibles Mise en œuvre de tests Passage en production sur un échantillon cible V FORMALISATION DU CONTEXTE Au Cete ma première action a été de faire une collecte sur le rôle des serveurs. La démarche a été de faire une description des rôles des serveurs physiques au sein du Si, et ainsi préparer le terrain pour la future solution de virtualisation. Suite à une première réunion, nous avons fait un inventaire des serveurs disponibles, et nous avons étudié les serveurs, qu'il serait le plus intéressant de virtualiser. Page 6
Infrastructure matérielle : Les serveurs physiques sont nommés "CT13" qui est la contraction de C E T E + le numéro du département(en annexe2 le rôle des serveurs). Le parc des serveurs du C E T E est constitué d'un parc de serveurs hétérogènes : Dell PowerEdge, Ibm X series, HP, avec un contrat de maintenance sur site de 3 ans. (La configuration des serveurs Dell les plus récents se trouve dans l annexe1). VI ETAT DES LIEUX DU SYSTEME Aujourd hui le système d'information du CETE convient parfaitement aux besoins des utilisateurs, je le qualifierai de très traditionnel, il est très simple à exploiter. Dans les années post-2000, NT4.0 serveur, était le produit phare chez Microsoft, pour administrer les ressources informatiques, et les comptes utilisateurs. Un contrôleur de domaine principal (ou PDC : Primary Domain Controller) qui est chargé de la gestion des comptes. Plusieurs contrôleurs secondaires de domaine ou BDC : Backup Domain Controller, qui contiennent une réplication de la base de données SAM du PDC. Des serveurs sur lesquels sont installées des applications spécifiques et des serveurs de base de données. Page 7
Un serveur pour la gestion du temps, sur lequel sont installés les outils de gestion du temps au CETE : temps de travail des agents, gestion des congés, des heures de récupération. Un serveur Intranet. Un proxy. Afin de faciliter l'administration des serveurs et permettre leur gestion à distance, le logiciel "TightVNC", est installé sur chacun d'eux, sur les serveurs Windows 2000/2003/2008 la prise à main à distance se fait à l'aide du "bureau à distance". Les données enregistrées sur les serveurs, notamment les données des répertoires sont sauvegardées par des robots de sauvegardes, mais également par des lecteurs de bandes DAT (Digital Audio Tape) pour certains serveurs. Des robots HP DLT (Digital Linear Tape) ou LTO (Linear Tape Open) avec des bandes de capacités différentes : 40 Go ou 80 Go compressés pour les DLT et 100 Go ou 200 Go compressés pour les LTO. Quatre robots LTO sont installés sur le site d'aix-en-provence. La programmation, le lancement des sauvegardes et la restauration des données sont gérés par le logiciel "Backup Exe». Les sauvegardes sont différentielles la semaine, et totale le week-end, sachant que les serveurs et les sauvegardes sont dans deux bâtiments différents, ce qui double la sécurité en cas de sinistre. Michel et Francis sont les responsables à appeler en cas de sinistre. Page 8
Gestion des comptes utilisateurs Les comptes utilisateurs sont rassemblés dans différents groupes afin de simplifier la gestion des droits pour le partage des répertoires. Le CETE est divisé en départements qui sont eux-mêmes divisés en services. On retrouve ce découpage au niveau des groupes d'utilisateurs. Il existe un groupe par département et un par service. Chaque utilisateur appartient donc au minimum à deux groupes différents. Organisation des ressources et gestion des droits En ce qui concerne le partage des dossiers, on retrouve l'arborescence du CETE (division du CETE en département, division des départements en services et dans les services se trouvent les agents). Page 9
Le script sg-scf.bat : echo off echo --------------------------------------------------------------------- echo SCRIPT SG/SAF echo --------------------------------------------------------------------- REM======================================================== REM appel du script commun à tous les départements REM======================================================== if %OS%AA==Windows_NTAA call \\CT13-AIX\netlogon\commun.bat if not %OS%AA==Windows_NTAA call z:\commun.bat echo -----------Désinstall --------------- net use J: /delete net use K: /delete net use L: /delete echo ----------Lecteurs réseaux------------------------------------------- echo Connexion au lecteur (J:) contenant les répertoires perso. net use J: \\CT13-PERSO\%USERNAME% echo Connexion au lecteur (K:) contenant Les données communes SG-SAF net use K: \\CT13-DSP\SG_SCF$ echo Connexion au lecteur (L:) contenant Les données communes SG net use L: \\CT13-DSP\collectif_SG$ Exit Page 10
L'administrateur du domaine possède le contrôle total sur tous les répertoires. Les autres utilisateurs n'ont aucun accès s'ils ne sont pas concernés par les dossiers. Le schéma du réseau actuel du CETE : Sur le site d'aix-en-provence, le réseau est divisé en plusieurs VLAN en fonction du bâtiment ou du service. Le schéma ci-dessous représente une partie du segment réseau du service SII (service informatique interne), Tous les serveurs ne sont pas représentés, je n'ai gardé que les serveurs à virtualiser, pour en simplifier la lecture. Page 11
VII ETAT DES LIEUX DES LOGICIELS Comme vu précédemment, les serveurs sont de technologie "assez récente", et fonctionnent sous Microsoft Windows NT4/2000/2003/2008.Ce sont des serveurs réservés au partage de fichiers, serveurs d'applications, contrôleurs de domaine en PDC/BDC pour les Nt4. En ce qui concerne les serveurs web, par exemple CT13-missio, ce sont des serveurs Open-source, à base de LAMP un peu ancien (php4), avec des applications Web développées sur mesures pour les besoins du CETE. Il est à noter que ct13-missio est un cas particulier, l'environnement est une version Linux Mandrake V10, je pense, choisie à une époque où cette distribution étais encore maintenue par une société française. Les contrôleurs de domaines n'ont pas reçus de mis à jour vers le service pack 6 l'os n'étant plus supporté par Microsoft, il en va de même pour certains serveurs d'applications sous Windows 2000 serveur. Ceci s'expliquant, à long terme, par la volonté du ministère de basculer vers des systèmes Opensource tel que Debian ou Ubuntu, il en va de même pour les stations de travails. La suite bureautique OpenOffice étant déjà implémentée. L appropriation du système Linux doit minimiser l'effort nécessaire au basculement vers l'architecture définitive basée sur l'annuaire LDAP (Lightweight Directory Access Protocol : protocole de gestion d'annuaires de réseau) qui est en projet avec le serveur CT13-ECDL, et viendra remplacer le PDC actuel. Actuellement le service dispose d'une licence ministérielle Windows 2000 réutilisable à volonté, ce qui n'est pas le cas pour les licences Windows 2008 standard.de ce fait, on peut aisément comprendre le choix du libre, quand on Page 12
connait les dépenses que peuvent représenter les achats de licences auprès de Microsoft. Cependant "libre" ne veut pas forcément dire "Gratuit", il faut bien le garder à l'esprit. Le câblage et équipements d'interconnexion locaux sont récents, les salles serveurs disposent d'onduleurs. Le réseau, et notamment la connexion externe ne souffre d'aucune latence. Pour la sécurité des données, des cellules spécialisées du ministère, expertes en sécurité informatique, pilotent et veillent à assurer une disponibilité maximale du système d'information. Le service SII, a une double casquette, veiller au bon fonctionnement du SI, mais aussi d'apporter une aide de proximité aux utilisateurs. Les intéressés ne s'en plaignent pas, au contraire. Finalement cette organisation: humaine, moyens, tourne tout à fait bien. Page 13
VIII ANALYSE D UNE SOLUTION DE VIRTUALISATION Rappel : Virtualisation complète Cette technique consiste à installer un logiciel permettant la virtualisation sur un système d exploitation (Windows, Linux ). Ce logiciel de virtualisation crée une couche d abstraction du matériel de la machine physique et permet la création de plusieurs machines virtuelles. Hyperviseur Cette technologie n utilise plus un système hôte classique comme précédemment mais un système d exploitation dédié à la virtualisation. Ce système est beaucoup plus léger qu un système d exploitation classique et est optimisé pour la virtualisation. Il ne peut être utilisé pour une autre activité, seules des machines virtuelles peuvent être installées dessus. Page 14
Lors de mon arrivé au CETE, j'ai eu une petite discussion avec Monsieur Romand le chef de service, il m'a fait un Schéma sur une démarche à suivre : Quels sont les éléments à virtualisés, la façon de les virtualisés, les conséquences économiques. Ci-dessous un schéma qui résume les propos : Le principe choisi, est de partir des données utilisateurs (clients) qui sont considérées comme absolument vitales, et les placées comme élément central de la réflexion. Les serveurs sont alors considérés uniquement comme un moyen d'accès ou de transformation de ces données. Les chemins doivent être nombreux, pour prévenir les pannes et accéder rapidement aux informations. Ajouter ou remplacer un chemin, en clair, ajouter ou remplacer un serveur, doit être simple et rapide. Que ce soit physiquement ou de façon virtuelle. Page 15
Par rapport au principe, cité précédemment, je pense que la solution qu'a choisie le Cete, est l'approche "faire simple", Pour cela, l'option choisie est de séparer tous les services entre eux, pour n'avoir plus qu'un seul service par serveur. La fiabilité des services va s'obtenir en déployant plusieurs serveurs ayant la même fonction. Je pense surtout aux serveurs de fichiers largement déployés au Cete d Aix. En tenant compte de ces volontés, se pose alors le problème de la forte augmentation prévisible du nombre de serveurs, et inévitablement des coûts induits. Comment éviter la multiplication du matériel/des services? Toute la question est là. Je vais m efforcer d apporter quelques éléments de réponses. Page 16
IVX COMMENT VIRTUALISER? Le stockage : Dans un premier, temps pour centraliser et sécuriser les données, il faudrait que le Cete s'équipe d'un SAN (Storage Area Network). Je m'explique: Un des plus grands défis de la virtualisation reste le stockage. Dans les faits, c est le plus souvent le stockage qui fait exploser les coûts, et crée des engorgements et des pertes de performances. L infrastructure, en l'occurrence le stockage, s il est mal dimensionné, ralentit les applications. Le NAS (Network Attached Storage) est effectivement un élément de stockage attaché directement au réseau local d'une entreprise. Il se configure par le biais d'une application web (typiquement, par votre navigateur, comme vous le feriez pour paramétrer votre box. Le NAS est spécialisé dans la gestion des fichiers, et offre donc d'excellentes performances. Pour une entreprise, il est donc préférable à un "simple" serveur de fichier. Il permet d'accéder aux fichiers stockés dessus à partir de n'importe quel point du réseau local. En revanche, comme il est rattaché au réseau, il risque de le surcharger. Le SAN (Storage area network) : Il s'agit d'un réseau à part entière, composé de switch, des baies de disques durs et d'un câblage ultra-rapide. Ce câblage, en fibre de verre, permet des débits jusqu'à 10 Gbits/s: c'est ce qu'on appelle le Fibre Channel (FC). Il y a en général beaucoup plus de switch que nécessaire: cela permet donc de multiplier les chemins d'accès possibles vers les baies de stockage. Le SAN est donc très orienté sécurité : le Fibre Channel Page 17
assure une transmission rapide et sécurisée, la multiplicité des switch et le maillage en FC permet de contourner la défaillance d'un switch, les disques durs sont souvent intégrés à des montages RAID (RAID 1, RAID 5 ou, plus généralement, RAID 5/1). L architecture matérielle, pour le stockage devrais être est la suivante : LES SOLUTIONS DE VIRTUALISATION : Pour répondre à ce besoin, le ministère (MEEDDAT) a décidé de créer un projet dédié à la virtualisation de son parc dans le but premier d en améliorer l administration et la fiabilité. Page 18
La première étape de cette migration vers un système virtualisé correspond à la mise en œuvre d une étude visant à préciser quels sont les solutions existantes, les éléments matériels à virtualiser, et comment s organisera la migration vers la nouvelle architecture définie. Je cite : «De nombreux outils sont disponibles sur le marché afin d'assurer la virtualisation de serveurs. Un tableau comparatif des différentes solutions sera présentés (avantages / inconvénients). On se limitera aux solutions les plus courantes du marché et/ou celles déjà implantées au Ministère (VMware ESX ESXi, KVM, XEN). Des solutions alternatives pourront être étudiées dans la mesure où elles apportent un intérêt certain (coût, technologie efficace, etc.).tous les outils Microsoft sont à exclure du champ d'investigation.» Il me semble que le Ministère n a pas vraiment entériné des choix définitifs quand une solution de virtualisation idéale, mais plutôt de profiter de toutes les solutions existantes, et de les adapter selon leurs besoins. Dans le cas du Service Informatique Interne les compétences humaines internes n étant pas spécialisées sur les technologies de virtualisation, choisir une solution Open Source serais un pari risqué, économiquement parlant. En cas de problèmes, on ne pourra compter que sur les compétences internes pour les solutionner. Il sera donc judicieusement de se pencher sur une problématique essentielle liée à la virtualisation, le rapport «risque/bénéfice». Pour ma part, j ai eu l occasion de voir des infrastructures virtualiser (CCMI de Marseille), la plupart du temps, la solution de virtualisation retenue est à l unanimité la suite de produits VMware. Ce choix unanime de cet éditeur n est pas dû au hasard, car il existe aussi comme nous l avons vu des solutions open source. En règle générale, VMware convainc les entreprises car ces solutions sont connues des entreprises, et ont fait leurs preuves. De plus, un support de qualité est également disponible en cas de problèmes. Page 19
X Présentation de la solution VMware Vsphere L hyperviseur VMware vsphere représente le moyen le plus facile de se familiariser à la virtualisation, gratuitement qui plus est. Cet hyperviseur entièrement fonctionnel vous permet de virtualiser vos serveurs et d exécuter vos applications dans des machines virtuelles en quelques minutes. L hyperviseur VMware vsphere repose sur VMware ESXi, l architecture d hyperviseur dont la fiabilité, les performances et la compatibilité avec un grand nombre de platesformes constituent une norme de fait sur le marché. Ci-dessous un schéma, pour avoir une vision d ensemble de la suite des logiciels VMware : Dans cette partie de mon rapport de stage je vous présente VMware Vsphere comme plateforme de virtualisation des serveurs : Windows 2000, Ubuntu, les Page 20
systèmes d exploitation étant assez récents, et le système de fichiers supportés par l outil de conversion «VMware Converter Standalone». Prérequis Logiciels : Disposer de VMware : ESXi 5.0 installable (cd iso) VMware vcenter server 5 et modules VMware vsphere 5.0 client VMware Converter Standalone VMware Vcenter Orchestrator Configuration Du guide d installation en français : Guide VMware Prérequis Matériel : Un serveur Validé par la HCL de VMware Un minimum de 4Go Ram, CPU quatre Cœur minimum. Idéalement un SAN, NAS, sinon un maximum d espace disque sur le serveur (raid5). Je précise qu à ce state de l étude, les outils VMware sont librement téléchargeables et la License ESXi gratuite. Par contre l outil de gestion centralisé VMware Vcenter 5.0 nécessite une licence payante. 10.1 Installation de l hyperviseur ESXi Page 21
Il suffit de booter sur le cd ESXi 5.0 installable : La suite de l installation se déroule ainsi : Accepter Eula, sélection du disque dur, sélection de la langue du clavier, sélection du mot de passe root, processus d installation sur le disque. La capture d écran suivante montre l IHM de VMware ESXi une fois l installation finie. Page 22
Dans le cadre du Cete j ai installé deux hôtes ESXi : V13 et V132. Ceci me permettant de créer un cluster, dans le logiciel VMware Vcenter serveur dans la suite du projet. 10.2 Installation des Machines virtuelles V13-webserv, V13-missio, V13-sql, V13-mysql, V13-bdc-b Ci-dessous un schéma global de l échantillon cible à virtualiser : Page 23
10.3 V13-webserv La première machine virtuelle sert à recréer le serveur physique ct13-webserv. Ce serveur sert de Web services sur une application 3 tiers (IHM, Web services, data), en corrélation avec le serveur ct13-sql qui héberge une base de données MS-sql7.L environnement de V13-webserv est un Os Windows 2000 ministère sp4 avec un Apache2.2 + Ms-SQL 7client + php5.2.8. Page 24
10.4Création de la VM : V13-webserv Le client VMware permet de se connecter aux hôtes Esxi : Login : root, MDP : *********. V13-webserv : Par convention, le Login : administrateur, MDP : ****, pour toutes les VMs Windows. La machine virtuelle a été créé avec deux disques durs, C:\10Go pour le system, E:\20 Go pour hébergés tous webservices du Cete. Sur le serveur virtuel, il tourne une instance d apache2+php5, le client ODBC est configuré pour accéder à V13-sql. 10.5 Création de la VM : V13-sql Comme vue précédemment V13-sql héberge la base de données de V13-weberv, il a fallu faire une sauvegarde de ct13-sql vers V13-sql. L environnement de V13- webserv est un Os Windows 2000 ministère sp4 + un Ms-SQL 7 serveur. Page 25
La machine virtuelle a été créé avec deux disques durs, C:\8Go pour le system, E:\40Go pour la base de données MS-SQL serveur. 10.6 Création de la VM : V13-mysql Pour cette VM j ai utilisé Le logiciel VMware converter standalone, cela permets de faire du P2V (physique vers virtuels), donc de créer un clone parfait d un système existant sous tension. Il est à noter que cette procédure permet un gain de temps fort appréciable dans un environnement de production. Présentation de VMware converter standalone : Vous ne pouvez installer les composants du Converter Standalone que sur les systèmes d'exploitation Windows. Converter Standalone prend en charge les systèmes d'exploitation Windows et Linux comme sources pour les conversions de machines sous tension, et les conversions de machines virtuelles. Page 26
Page 27
Le temps pour cloner ct13-mysql a duré 11 minutes. 10.7 Création de la VM : V13-bdc-b Le serveur V13-bdc-b a été recréé à partir de Windows NT4.0 Sp1. Parmi les difficultés rencontrées : La carte réseau n est pas reconnue tant que les VMware Tools ne sont pas installés. Pour installer les VMware Tools il faut installer le service pack 6a. Pour joindre un BDC au domaine il faut le logiciel «UPROMOTE» avec une license payante. Actuellement le serveur V13-bdc-b n est pas membre du domaine CETE-AIX. J attends l aval de l administrateur réseau pour essayer de passer le serveur en BDC à l aide d UPROMOTE. Page 28
10.8 Création du serveur V13-dsp Ce serveur est dédié aux partages de fichiers (voir schéma organisation des ressources).le but étant de recréer un serveur virtuelle ayant les mêmes caractéristiques que le serveur physique : ISO fonctionnalités = répertoires partagés + script de connexions aux partages. A : Pré-requis Disposer d un Windows 2008 serveur Std D une infrastructure VMware VSphère Après avoir installé le système W2k2008STD il faut connecter le serveur au domaine cete-aix à l aide du script suivant : netdom join V13-dsp /domain:cete-aix /Userd:administrateur /Passwordd:******** Note : Joindre un domaine NT4.0 avec la méthode traditionnelle ne marche pas. B : Création des partages sur V13-dsp Page 29
C : Assigner les permissions aux groupes d utilisateurs D : Modifier le script de connexion aux partages Le script de connexion aux partages vers CT13-dsp se localise sur le PDC. Page 30
J ai modifié le script d origine Sg-sii.bat en Sg-siitest.bat de connexion aux partages de CT13-dsp vers V13-dsp. echo off echo --------------------------------------------------------------------- echo SCRIPT SG/SII echo --------------------------------------------------------------------- REM ================================================== REM appel du script commun à tous les départements REM ================================================== if %OS%AA==Windows_NTAA call \\CT13-AIX\netlogon\commun.bat if not %OS%AA==Windows_NTAA call z:\commun.bat Page 31
REM ======== Mise à jour automatique pour Windows / Serveur CETE ========== if %OS%AA==Windows_NTAA call %WINDIR%\regedit.exe /s \\CT13- AIX\netlogon\update_wsus.reg echo -----------Désinstall --------------- net use J: /delete net use K: /delete net use L: /delete echo ----------Lecteurs réseaux------------------------------------------- REM echo Connexion au lecteur (J:) contenant les répertoires perso. REM net use J: \\CT13-perso\%USERNAME% echo Connexion au lecteur (K:) contenant Les données communes SG-SII net use K: \\V13-DSP\SG_SII$ echo Connexion au lecteur (L:) contenant Les données communes SG net use L: \\V13-DSP\collectif_SG$ echo ------------- Mise à jour de la Charte Graphique du CETE ------------ if exist "c:\program Files\OpenOffice.org 2.0\share\template\fr\divers\update.001" goto fin_maj_ooo_modeles "\\Ct13- echanges\projets_cete\ooo\package_ministere_2.0.2\charte_graphique_cete\ Aix-Hors-Laboratoire\InstallCharteOOO.exe" :fin_maj_ooo_modeles :FIN Exit E : Renseigner le profil de l utilisateur sur le PDC Page 32
Le script de connexion sg-siitest.bat fait maintenant pointer les lecteurs réseaux vers le serveur virtuel V13-dsp. F : Test de connexion à partir d un Windows XP sp3 et du compte utilisateur christian.mariotti/cete-aix A la connexion du compte utilisateur christian.mariotti, les lecteurs réseaux seront mappés sur les partages du serveur V13-dsp. Pour l utilisateur christian.mariotti du CETE, le «fait» de virtualiser le serveur CT13-dsp ne change rien à ses habitudes pour lui c est Page 33
complétement transparent Du point de vue de l exploitation, cela change tout : pas d achat de serveurs, pas de brassage, pas d aller et venue, pas de maintenance. 10.9 Présentation de VMware Vcenter serveur Le logiciel de gestion de cluster est l'outil de base de la gestion centralisée, c'est lui qui indique aux membres du cluster comment interagir en gardant une cohésion sur l'ensemble. Point central de la gestion d'un cluster VMware ESX/ESXi, ce logiciel doit être installé sur un Windows Server afin de gérer l'ensemble du cluster, ce qui offre malheureusement un point de défaillance car si ce serveur cesse de fonctionner, tout le cluster perd sa cohésion. Il faudra donc choisir une configuration hardware serveur très fiable. Dans le cadre du projet de stage j ai créé un Datacenter, puis un cluster. Sur le cluster sont regroupés deux hôtes Esxi. Ci-dessous une capture d écran de VMware Vcenter : Lors de l installation de Vcenter il est possible d installer les modules additionnels Vmotion et High Avaibility si l on possède une licence. VMotion est un service qui permet de transférer une machine virtuelle lancée d un serveur ESXi vers un autre. Page 34
Cette manipulation est possible si la machine virtuelle se trouve sur un espace de stockage partagé et que les serveurs se trouvent dans le même cluster. Les serveurs source et cible peuvent ainsi accéder simultanément à la machine virtuelle. Lors du passage de la machine virtuelle d un serveur à l autre, seule la RAM est transférée. Sur la capture d écran suivante le Datastore est effectivement partagé, mais le service Vmotion n est pas activé : il manque la licence. 10.10 Cloner une machine virtuelle A partir de VMware Vcenter serveur pour cloner une machine virtuelle, il suffira de choisir le cluster, l hôte ESXi, puis sur quel data store, stocker la VM dupliquée. Dans la capture d écran ci-dessous, j ai choisie de cloner une image de XP pro : mon poste de travail au Cete \\170.23.205.70. Page 35
10.11 Installer une Appliance VMware Définition : Se dit d une solution conjuguant hard et soft pour fournir une solution immédiatement opérationnelle. En général, il s agit d un serveur, tournant le plus souvent sous Linux, chargé d une application directement utilisable. On trouve sous forme d Appliance, des serveurs e-mail, des solutions de stockage NAS ou des boîtiers de sécurité réseau ou Internet. Le site TURNKEY fournit des Appliance sous forme de package OVF (Open virtualisation Format).Ceci permets d installer des environnements, et applications spécifique, par exemple Zimbra collaboration suite. Installation : Pour installer une Appliance il suffit de sélectionner le fichier «*.ovf» du package téléchargé puis de l importer à l aide de VMware ESXi : Page 36
Le serveur «File Server Appliance» a été créé en quelques minutes, il ainsi possible de créer tous types d environnements selon les besoins. Le package de VMware Vsphere fournis le serveur Vcenter serveur sous forme d Appliance : VMware-vcenter-Appliance*.data Vmware-vcenter-Appliance*.vmdk VMware-vcenter-Appliance*.ovf Ce serveur Vcenter Linux peut être installé directement comme VM, et peut remplacer le serveur Physique Vcenter sur un Windows 2008 R2 Std. Page 37
XI Plan de reprise d activité La solution de virtualisation VMware dispose de nombreux mécanismes de sécurités intégrés. Je ne pourrais pas en faire la démonstration, les modules de sécurités nécessitant l achat de licences pour les modules additionnelles. Parmi ces services : VMware Vmotion VMware DRS VMware HA VMotion est un service qui permet de transférer une machine virtuelle lancée d un serveur ESX vers un autre. Cette manipulation est possible si la machine virtuelle se trouve sur un espace de stockage partagé et que les serveurs se trouvent dans le même cluster. Les serveurs source et cible peuvent ainsi accéder simultanément à la machine virtuelle. Lors du passage de la machine virtuelle d un serveur à l autre, seule la RAM est transférée. VMware DRS découle directement de VMotion et permet un basculement automatique des machines virtuelles entre les serveurs physiques pour optimiser la charge. Un tel système est très efficace pour avoir de la haute disponibilité, il est moins coûteux et moins complexe à mettre en œuvre qu une solution classique. En effet jusque-là, pour assurer de la haute disponibilité il fallait mettre en place un serveur redondant pour chaque élément critique du système d information avec un mécanisme d écoute afin de prendre le relais si le serveur principal n est plus disponible. XII Les conséquences économiques Les conséquences économiques sont directement liées au bilan technique et humain : coûts de maintenance, coûts humains, coût du service régulier. Techniquement la solution VMware n est pas très complexe à mettre en œuvre, mais elle requière du matériel/logiciel récent : serveurs supportant la virtualisation, stockage préalablement bien dimensionné pour accueillir les VMs+ Données, les systèmes d exploitations doivent être récents, et l éditeur s appuie sur des annuaires propriétaires : Active Directory, Sun java system Directory Server. Page 38
L avantage de ce produit clé en main, c est ça flexibilité : on peut faire des snapshot des serveurs virtuelles, des migrations à chaud d un hôte ESXi à un autre, faire du P2v (physique vers virtuel), surtout mettre en place des mécanismes de sécurité tel que le basculement de VMs (Vmotion), Drs (Ditributed Ressources Sheduler) et redondant avec HA (Hight Avaibility). Bien sur ces mécanismes ont un coût, mais pour faire de la haute disponibilité sur une infrastructure classique, et ainsi assurer une «qualité de service», la virtualisation est reconnue pour être la moins chère. Au niveau matériel, Il est clair que des économies sont générées, puisque moins de matériel est nécessaire, et celui-ci est utilisé judicieusement. Le coût humain peut être vu comme un investissement de départ pour récupérer le retour sur investissement par la suite. En effet, afin de maîtriser le système d information virtualisé, il y a une phase importante d apprentissage qui peut prendre du temps et induire un certain coût. Pour compenser ce manque, il y a plusieurs solutions : Former les ressources disponibles aux nouvelles technologies utilisées. Travailler beaucoup plus pour s améliorer. Au final les entreprises candidates à la virtualisation, ont toutes les mêmes besoins : Maximiser l utilisation du matériel Simplifier l administration (installation, upgrades, ) Simplifier le bas niveau système (montage, brassage, déploiement OS) Premier pas vers un plan de reprise d activité (PRA) Le projet de virtualisation doit être considéré d abord comme un investissement sur moyen ou long terme, dû à l importance de son coût et aux impacts importants qui peuvent se produire dans le système d information. Chiffrage en euros : MATERIELS 3 Serveurs. ( 2 hôtes Esxi+1hôte Vcenter) 2463 Page 39
LOGICIELS TOTAL 1 Baie SAN HP x1600 12 To sata 2 Switchs Hp ProCurve VMware vcenter Server Standard for vsphere 5 (Per Instance) + Production (24x7 for Severity 1 issues) 1 Year Support VMware vsphere Essentials Plus Kit for 3 hosts (Max 2 processors per host) and 192 GB vram entitlement + Production (24x7 for Severity 1 issues) 1 Year Support Windows 2008 R2 server STD 1249 478 4750 4275 786 13523 euros Page 40
Conclusion A l'heure, la crise impose de plus en plus aux entreprises de réduire leurs dépenses, y compris dans le domaine informatique, cette préoccupation à l'égard des coûts devrait normalement stimuler davantage l'adoption de la virtualisation dans le but de réaliser des économies. De plus, les technologies actuelles dans les entreprises étant de plus en plus complexes et les clients/utilisateurs étant toujours exigeants, les sociétés peuvent également adopter celle-ci pour améliorer le service informatique et l activité de l entreprise. Page 41
Annexe 1 Dell PowerEdge 2900 / SN : CR5803J CPU RAM HDD 1 ou 2 Xeon 5110 / Freq:1,6 GHz 2Go DDR2 ECC 1066Mhz Disques SAS Hot-plug 10 x 3.5 (10 K et 15 K) ou disques SATA 10 x 7,2 K Lecteur NIC DVD-rom Carte d interface réseau double Broadcom NetXtreme II 5708 Gigabit2 Ethernet intégrée, Contrôleurs raid intégrés PERC 5/I Alimentation 930 W, alimentation redondante Hot-plug Vidéo Contrôleur graphique ATI ES1000 intégré avec 16 Mo de mémoire Prix TTC : 1411,28 Euros Page 42
Annexe 2 Serveurs Rôles des serveurs OS serveurs Virtualisable Alarmes Application Web Windows 2000 ministère + Sp4 Non, appli web maintenue par cegelec CT13-DSP Partages de données Windows 2008 standard Oui, partage de données uniquement CT13-Mysql BDD Ubuntu 8.10 intrépide Oui, mais environnement à reproduire à l'identique. CT13-SQL BDD MS 7 Windows 200 ministère + sp4 Oui CT13-Webapp Application web Debian Oui, mais environnement à reproduire à l'identique CT13-Webserv Application web Windows 2000 ministère + sp4 Oui CT13-APPLI Applications métiers autocar, mon info. Windows 2000 ministère + sp4 Oui CT13-FTP Partage de données externes Bantu 8.10 Oui CT13-Missio Application Web Mandale 10.1 Oui, mais environnement reproduit à l'identique CT13-Robot-ABC Sauvegardes Windows2008 Non Page 43
Backupexec standard CT13-UPDATER Mis à jour Windows 2000 ministère + sp4 Oui CT13-KAK8 BDD Windows 2000 + sp4 Oui CT13-W2000 Pour des tests Windows 2000 + sp4 Non, bac à sable. CT13-VM-001 Pour des tests Ubuntu 9.10 Non, bac à sable CT13-AIX PDC Windows NT4.0 Service pack1 Oui, mais à terme sera remplacé par une solution open source. CT13-APPL2 Application métier autocad Windows 2008 standard Oui CT13-APPLI-2 Application métier "map info" NT4.0 service pack1 Oui CT13-COMPTA Application Windows 2000 ministère + sp4 Oui CT13-DATA1 Partages de données Win 2000 ministère + sp4 Oui CT13-ECDL PDC domaine en cours de construction Ubuntu/? Non, à terme remplacera PDC NT CT13-ECHANGES Partages de données Windows 2008 standard Oui CT13-ECW Partages de données Windows 2008 standard Non, juste hébergé CT13-EQU1 Application web Ocs inventory+ BDD Equilinux Oui, mais environnement reproduit à l'identique. CT13-GEOPOL Application Linux? Non, juste hébergé web CT13-IMP Serveur d'impression Windows 2000? Oui CT13-intranet Application web Windows NT 4 Non, bac à sable jean Philippe service pack1 CT13-NAS-AIX Sauvegarde Windows 2000 standard Oui Page 44
CT13-Outils Partages de données Windows 2000? Oui CT13-Perso Partages de données Linux version? OUI CT13-Swing Application compta Windows 2000 standard Non CT13-TPT2-PROD Application Temptation Windows 2003 standard Edition R2 Non, application dédiée Temps de travail CT13-TPT2-PRODO Application Temptation Windows 2003 standard Edition R2 Non, application dédiée Temps de travail Page 45
Annexe 3 Je présente à l équipe du Cete une autre solution que j'ai expérimentée : KVM + Ubuntu 10.04 LTS. Je pense que c'est une autre solution de virtualisation, moins aboutie qu ESXi, mais promis à un brillant avenir. C est un environnement qu'ils connaissent bien, l'utilisation de distributions linux tel qu Ubuntu 8.04 pour les Applications Web, le principal avantage permettant de recréer plusieurs machines virtuelles se rapprochant le plus possible de l'environnement existant au Cete : matériels et logiciels. Les prérequis : Récupérer une image ISO de ubuntu Lucid 10.04 LTS Récupérer une image ISO d ETCH DEBIAN(système invité). Installer le système Hôte Lucid Disposer d'une architecture CPU supportant la virtualisation D'un accès internet L'architecture CPU doit supporter la virtualisation, kvm étant une solution de virtualisation hyperviseur. Pour le savoir il faut passer une commande linux : kvm-ok (cet utilitaire est issu du package apt-get install cpu-checker) Page 46
sudo modprobe kvm-intel (pour activer le module kvm) Note : Parfois il est nécessaire d'activer la virtualisation dans le bios. Installation de kvm : sudo apt-get install kvm libvirt-bin sudo adduser $USER libvirtd (pour ajouter l'utilisateur Christian au groupe libvirtd). A partir de cet instant il est possible d'installer une machine virtuelle. Cependant il faut configurer le réseau de l'hôte qui va accueillir les machines virtuelles. Configurer le réseau de l'hôte (CT13) : sudo apt-get install bridge-utils Nous allons utiliser un bridge sur une interface réseau eth0, pour permettre aux Vms d'avoir un accès extérieur. Editer le fichier /etc/network/interfaces : auto lo iface lo inet loopback auto br0 iface br0 inet static Page 47
address 172.23.205.135 netmask 255.255.255.0 gateway 172.23.205.254 network 172.23.205.0 broadcast 172.23.205.255 bridge_ports eth0 bridge_hello 2 bridge_maxage 12 bridge_stp off sudo /etc/init.d/networking restart Créer des machines virtuelles : Installation en ligne de commande : sudo apt-get install virtinst (pour installer l'utilitaire d'installation de Machines virtuelles) Une fois l'utilitaire installé il est possible de créer des machines virtuelles en ligne de commande, il faut aussi copier L'image ISO de Etch(Debian) dans un répertoire de votre choix... par exemple dans /home/$user/bureau/iso : #!/bin/sh (si l'on souhaite scripté la commande) sudo virt-install -n ct13-missio -r 1024 \ --disk path=/var/lib/libvirt/images/ct13-missio.img,size=70 \ -c /home/christian/bureau/iso/etch.iso --accelerate \ --connect=qemu:///system --vnc --noautoconsole -v Page 48
-n = le nom de l'image. -r = la mémoire en Mo allouée à la VM. --disk path = le chemin où sont stockées les images. -s = la taille en Go allouée au disque virtuelle. -c = chemin de 'ISO. --accelerate = active la technologie d'accélération matérielle. --vnc = exporte ou non la VM dans une console vnc. --noautoconsole = pas de connexion automatique de la vm à la console. -v = créer un invité virtualisé. À ce stade de l'installation, nous avons juste créé la machine virtuelle, il reste encore à installer le système invité. Pour cela je recommande d'installer un bureau graphique tel que gnome (si, ce n'est déjà fait). Pour la suite de l'installation nous allons utiliser un outil graphique. Installation en mode graphique : sudo apt-get install virt-manager sudo apt-get install openssh-server Avec Virt-manager il est possible de créer les machines virtuelles : Page 49
Annexe 4 Architecture VMware type conseil général : Architecture VMware type mairie : Page 50