Serv'o'm0le 02

Vous arrivez en plein milieu de la série d'épisode ? Tous les détails sur l'épisode 1 de la série Serv'o'm0le

Entrons dans le vif du sujet, avec les attentes de chacun et les solutions proposées.

Les attentes

Olivier :

• un serveur hôte (sous KVM)
• différentes machines virtuelles par service regroupé (Mail + Proxy, Applis web + site, etc ..)
• une gestion unique du firewall

Philou :

• Uu accès total à une machine virtuelle (hors firewall)

Nono :

• un serveur hôte
• une machine virtuelle frontale (firewall + DMZ)
• une machine par type de service :
  • serveur web frontal (qui pointera vers les différents sous-domaine)
  • serveur de base de données
  • serveur mail + proxy + TS
  • serveur FTP
  • serveur Diaspora (oui car nous allons mijoter notre propre réseau social privé)
  • serveur supervision
• VM utilisateur derrière le firewall
  • Olivier
• VM utilisateur auto-géré (DMZ)
  • Skibooss
  • Philou

Les solutions et questions à se poser

Nous sommes à peu près sûrs d'une chose, le serveur dédié aura :

• un serveur hôte (sous debian 6.0)
• plusieurs instances de machines virtuelles

La question est maintenant "quelles solutions logicielles envisager ?".

Concernant le choix de la virtualisation, pour ma part (et en attendant vos avis et vos propositions éventuelles), j'en vois principalement deux :

• KVM/Qemu
• Xen

D'après mes lectures et/ou mes propres tests, KVM/Qemu serait plus profitable pour un desktop (du fait de son support matériel plus important), et Xen serait la solution de para-virtualisation idéale sur serveur.

Pour ne pas être limiter, je pense faire la chose suivante :

Dès installation de la debian 6.0 en hôte principale, je vais directement formater les partitions en LVM (non cypté), pour profiter de sa flexibilité à modifier les partitions à chaud, sans etre limité par le choix de KVM ou Xen.

Ne pouvant faire de test actuellement, je vais sans doute me lancer dans du Xen (que j'ai déjà pu utiliser).

Concernant la sécurisation - qui est un composant important pour moi- la réflexion sur la gestion du firewall se fait autour d'une gestion par VM globalisé ou d'une gestion par VM. Faut-il avoir :

1. Un firewall global sur l'hôte, qui gère (à la demande) les VMs voulues ?
   • Problème 1 : Comment protéger une VM et pas une autre ?
   • Problème 2 : Comment faire pour laisser à chaque VM (utilisateur) le soin de changer ces propres règles ?
2. Un firewall par VM ?
   • Problème 1 : L'utilisation excessive du CPU; à la place d'un processus, j'en ai autant que le nombre de VM ...
   • Problème 2 : Comment gèrer les accès extérieur vers des machines virtuelles, dans un réseau interne ?

Même si j'avais une préférence pour la première solution, je manque cruellement d'expérience (et un peu de temps, pour m'en faire), pour analyser correctement les besoins.

Logiciellement parlant, nous avons choisi iptables, qui fait très bien son travail actuellement et que j'ai déjà pu mettre à rude épreuve par le passé. De plus, il existe des interfaces web kikoolol pour simplifier la tache d'administration, si certains ne sont pas à l'aise avec la ligne de commande.

Petite parenthèse : il faudra d'ailleurs que je fasse plusieurs recherche concernant la remonté automatique de log par mail, et une meilleure gestion des bans, en doublons avec fail2ban : L'occasion d'un serv'o'm0le dédié à la sécurité.

Concernant l'accès à chaque VM, avec une seul IP unique.

Dans l'idée, je compte faire en sorte que sousdomaine1.m0le.net sur un port donné, route vers l'ip interne d'une VM1 sur le même port donné.

ssh sd1.m0le.net:22 -> 10.0.0.1:22

ssh sd7.m0le.net:44 -> 10.0.0.7:44

La mise en pratique sera un combiné de ipchains/iptables, mais mon choix n'est pas arrêté si vous avez des suggestions... j'avoue être encore un peu dans le flou !

Le serveur ayant été commandé ce soir (03/12/2012), le prochain serv'o'm0le sera plus technique, et présentera la mise en place du serveur hôte.