5
2012
Serv'o'm0le 02
Vous arrivez en plein milieu de la série d'épisode ? Tous les détails sur l'épisode 1 de la série Serv'o'm0le
Entrons dans le vif du sujet, avec les attentes de chacun et les solutions proposées.
Les attentes
- un serveur hôte
- une machine virtuelle frontale (firewall + DMZ + supervision)
- une machine pour plusieurs services (derrière firewall):
- Serveur web frontale + base de donnée
- Serveur mail + Proxy + TS
- Serveur FTP + diaspora
- une VM autogérée (hors firewall)
Olivier :
- un serveur hôte (sous KVM)
- différentes machines virtuelles par service regroupé (Mail + Proxy, Applis web + site, etc ..)
- une gestion unique du firewall
Philou :
- Uu accès total à une machine virtuelle (hors firewall)
Nono :
- un serveur hôte
- une machine virtuelle frontale (firewall + DMZ)
- une machine par type de service :
- serveur web frontal (qui pointera vers les différents sous-domaine)
- serveur de base de données
- serveur mail + proxy + TS
- serveur FTP
- serveur Diaspora (oui car nous allons mijoter notre propre réseau social privé)
- serveur supervision
- VM utilisateur derrière le firewall
- Olivier
- VM utilisateur auto-géré (DMZ)
- Skibooss
- Philou
Les solutions et questions à se poser
Nous sommes à peu près sûrs d'une chose, le serveur dédié aura :
- un serveur hôte (sous debian 6.0)
- plusieurs instances de machines virtuelles
La question est maintenant "quelles solutions logicielles envisager ?".
Concernant le choix de la virtualisation, pour ma part (et en attendant vos avis et vos propositions éventuelles), j'en vois principalement deux :
- KVM/Qemu
- Xen
D'après mes lectures et/ou mes propres tests, KVM/Qemu serait plus profitable pour un desktop (du fait de son support matériel plus important), et Xen serait la solution de para-virtualisation idéale sur serveur.
Pour ne pas être limiter, je pense faire la chose suivante :
Dès installation de la debian 6.0 en hôte principale, je vais directement formater les partitions en LVM (non cypté), pour profiter de sa flexibilité à modifier les partitions à chaud, sans etre limité par le choix de KVM ou Xen.
Ne pouvant faire de test actuellement, je vais sans doute me lancer dans du Xen (que j'ai déjà pu utiliser).
Concernant la sécurisation - qui est un composant important pour moi- la réflexion sur la gestion du firewall se fait autour d'une gestion par VM globalisé ou d'une gestion par VM. Faut-il avoir :
- Un firewall global sur l'hôte, qui gère (à la demande) les VMs voulues ?
- Problème 1 : Comment protéger une VM et pas une autre ?
- Problème 2 : Comment faire pour laisser à chaque VM (utilisateur) le soin de changer ces propres règles ?
- Un firewall par VM ?
- Problème 1 : L'utilisation excessive du CPU; à la place d'un processus, j'en ai autant que le nombre de VM ...
- Problème 2 : Comment gèrer les accès extérieur vers des machines virtuelles, dans un réseau interne ?
Même si j'avais une préférence pour la première solution, je manque cruellement d'expérience (et un peu de temps, pour m'en faire), pour analyser correctement les besoins.
Logiciellement parlant, nous avons choisi iptables, qui fait très bien son travail actuellement et que j'ai déjà pu mettre à rude épreuve par le passé. De plus, il existe des interfaces web kikoolol pour simplifier la tache d'administration, si certains ne sont pas à l'aise avec la ligne de commande.
Petite parenthèse : il faudra d'ailleurs que je fasse plusieurs recherche concernant la remonté automatique de log par mail, et une meilleure gestion des bans, en doublons avec fail2ban : L'occasion d'un serv'o'm0le dédié à la sécurité.
Concernant l'accès à chaque VM, avec une seul IP unique.
Dans l'idée, je compte faire en sorte que sousdomaine1.m0le.net sur un port donné, route vers l'ip interne d'une VM1 sur le même port donné.
ssh sd1.m0le.net:22 -> 10.0.0.1:22
ssh sd7.m0le.net:44 -> 10.0.0.7:44
La mise en pratique sera un combiné de ipchains/iptables, mais mon choix n'est pas arrêté si vous avez des suggestions... j'avoue être encore un peu dans le flou !
Le serveur ayant été commandé ce soir (03/12/2012), le prochain serv'o'm0le sera plus technique, et présentera la mise en place du serveur hôte.
Related Posts
Contact
Les auteurs
Commentaires récents
- L'incrackable document Word ... dans
- L'incrackable document Word ... dans
- L'incrackable document Word ... dans
- L'incrackable document Word ... dans
- L'incrackable document Word ... dans
- L'incrackable document Word ... dans
- L'incrackable document Word ... dans
- Nono's vrac 10 dans
- Nono's vrac 18 dans
- L'incrackable document Word ... dans
- L'incrackable document Word ... dans
- Créez vos propres Geojson avec OpenStreetMap dans
- Backup avec Borg via ssh(fs) sur Synology dans
- Va te faire foutre Disqus ! dans
- Saloperie de TrendMicro OfficeScan ! dans
Étiquettes
Archives
- octobre 2020 (1)
- juin 2018 (1)
- avril 2018 (1)
- mars 2018 (1)
- décembre 2015 (1)
- avril 2015 (3)
- mars 2015 (2)
- février 2015 (3)
- janvier 2015 (1)
- décembre 2014 (5)
- novembre 2014 (4)
- octobre 2014 (4)
- septembre 2014 (5)
- août 2014 (4)
- juin 2014 (7)
- mai 2014 (14)
- avril 2014 (8)
- mars 2014 (10)
- février 2014 (9)
- janvier 2014 (3)
- décembre 2013 (2)
- novembre 2013 (5)
- octobre 2013 (6)
- septembre 2013 (8)
- août 2013 (6)
- juillet 2013 (6)
- juin 2013 (11)
- mai 2013 (7)
- avril 2013 (8)
- mars 2013 (10)
- février 2013 (9)
- janvier 2013 (9)
- décembre 2012 (7)
- novembre 2012 (16)
- octobre 2012 (11)
- septembre 2012 (9)
- août 2012 (19)
- juillet 2012 (19)
- juin 2012 (20)
- mai 2012 (24)
- avril 2012 (20)
- mars 2012 (23)
- février 2012 (27)
- janvier 2012 (28)
- décembre 2011 (28)
- novembre 2011 (28)
- octobre 2011 (1)