21 décembre 2024

Tuto V.2018 : Finalisation

La série Tuto Virtualisation V 2018 est terminée !

« Mais il reste des choses à voir ! » me direz vous …

Pas de panique ! Je vais bien sur continuer à faire des articles, je vous explique …

 

I – Mais pourquoi ?

Je considère que notre architecture de base est terminée :
Nous avons un réseau qui fonctionne, du stockage, de la base de données. Un début de proxy, un firewall. Bref, le reste est à faire selon vos besoins, etc… Il est compliqué de trouver un « ordre idéal » de rédaction des tutoriels, de plus, je rédige plusieurs articles en parallèle (selon mes travaux en cours, etc..) A titre d’informations, en ce moment, je travaille sur ELK, Suricata, Munin, Varnish, OpenVPN, OpenLdap, etc…
Bref, je vais donc bien sur continuer à vous abreuver de mes articles, mais dorénavant, l’ordre ne sera pas important. Vous pourrez ainsi picorer ce que vous désirez en fonction de vos besoins, etc…
Je vais créer au passage une page qui va recenser les articles toujours d’actualités. Certains de mes anciens articles sont maintenant un peu datés et ont été remplacés par de plus récents.
Avant de finir ce tutoriel, nous allons cependant apporter des modifications à l’architecture obtenue.
Déjà, vous l’avez constaté, j’ai abandonné GlusterFS pour DRBD couplé à HeartBeat et NFS. Depuis, je n’ai pas constaté de problèmes de performances. Bref, je garde. Une autre modification aura lieu au niveau SQL, mais ce sera pour un prochain article.

Pendant mes nombreux tests, il s’avère également que vouloir isoler certains serveur du net, etc.. c’est bien, mais des fois, c’est gênant. Au final, les inconvénients sont plus nombreux que les avantages (squid a tendance à ne plus fonctionner du jour au lendemain…, apt-cacher-ng a lui aussi tendance à planter. J’ai testé squid-deb, qui n’est pas plus efficace. De plus, il y a des problèmes avec certains applications pour régler les proxy… Bref; plus de galères que de bénéfices…

On va garder nos différents Vlan, mais par commodité, chaque machine aura dorénavant une patte sur le Vlan 10. Celui ci servira donc aux communication vers/venant l’extérieur. Le Vlan 20 restera dédié aux communications entre les Vms.
Nous allons également revenir sur la VM Ids. Au final, celle ci va être « déplacé » dans notre architecture réseau.

Alors, était-ce une perte de temps ? Non car nous avons étudié des concepts intéressant et c’est toujours bien d’avoir ces connaissances.
Bref, ne m’en voulez pas si je simplifie maintenant et si je n’ai pas mis à jour mes articles. Je pense qu’il est toujours utile de savoir ce que l’on peut faire avec Openvswitch, etc…

Avant tout, faisons un point sur les Vms existantes :
Si vous avez suivi tout jusque la, vous devez avoir :

  • Le Dom0, bien évidement.
  • Le routeur
  • L’IDS
  • Le proxy
  • Le proxy interne (qui va disparaitre)
  • Une machine Web (qui va disparaitre)
  • Le DNS
  • Stock1 et Stock2
  • Maria1, Maria2, Maria3 et Mariaprox

Sur l’hyperviseur, pas de modification à apporter à part pour certains fichiers de configuration de VMs. Nous les verrons au fur et à mesure.

Bien sur, vous penserez à redémarrer les machines au fur et a mesure…

On va commencer par supprimer les machines qui ne servent plus : Proxyint et Web.
Pour la machine Web, on pourrait la garder, mais comme on va travailler l’architecture Web par la suite, on referra tout en temps et en heure.

Donc :

dom0# xen-delete-image web
dom0# xen-delete-image proxyint

Et voila deja un premier coup de balai.

 

II – Routeur

Sur le routeur, on va changer sa configuration réseau. Il sera connecté au vlan 10 et non plus au vlan 2.

A – Sur le Dom0

Fichier /etc/xen/routeur.cfg, mettez cette nouvelle configuration réseau :

vif = [ 'vifname=routeur.0,ip=IPFAILOVER1 ,mac=MACFAIOLVER1,bridge=br0',
'vifname=routeur.1,ip=10.10.1.2 ,mac=00:16:3E:A0:02:02,bridge=brint.10',
'vifname=routeur.2,ip=10.20.1.2 ,mac=00:16:3E:A0:02:20,bridge=brint.20',
'vifname=routeur.3,ip=10.99.1.2 ,mac=00:16:3E:A0:02:99,bridge=brint.99',
'vifname=routeur.4,ip=IPFAILOVER2 ,mac=MACFAIOLVER2,bridge=br0']

B – Sur la Vm

Modification du fichier /etc/network/interfaces :

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address IPFAILOVER1
netmask 255.255.255.0
gateway GATEWAY

auto eth1
iface eth1 inet static
address 10.10.1.2
netmask 255.255.255.0

auto eth2
iface eth2 inet static
address 10.20.1.2
netmask 255.255.255.0

auto eth3
iface eth3 inet static
address 10.99.1.2
netmask 255.255.255.0

auto eth4
iface eth4 inet static
address IPFAILOVER2
netmask 255.255.255.0
gateway GATEWAY

Au passage, supprimez également les lignes faisant référence au réseau 10.2.1.0/24  et à la machine 10.20.1.11 dans le fichier du firewall /root/scripts/firewall.

 

III – IDS

Comme expliqué, l’IDS va quitter son emplacement « intercalaire » et venir simplement sur les vlan 10 et 20.

Pour écouter le réseau, nous utiliserons du mirroring. Cela est détaillé ici.

A – Sur le Dom0

Modification du fichier /etc/xen/ids.cfg

vif = [ 'vifname=ids.0,ip=10.10.1.3 ,mac=00:16:3E:A0:05:10,bridge=brint.10',
'vifname=ids.1,ip=10.20.1.3 ,mac=00:16:3E:A0:05:20,bridge=brint.20',
'vifname=ids.3,ip=10.99.1.3 ,mac=00:16:3E:A0:05:99,bridge=brint.99']

B – Sur la VM

Modification du fichier /etc/network/interfaces

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 10.10.1.3
netmask 255.255.255.0
gateway 10.10.1.2

auto eth1
iface eth1 inet static
address 10.20.1.3
netmask 255.255.255.0

auto eth2
iface eth2 inet static
address 10.99.1.3
netmask 255.255.255.0

 

IV – Le Proxy et le DNS

Pour le proxy et le dns, il n’y a presque rien à changer dans leur configuration réseau, les deux machines ayant déjà une connexion sur le Vlan 10. Il faut simplement modifier leur gateway dans le fichier /etc/network/interfaces qui passe de 10.10.1.3 (l’ISD) à 10.10.1.2 (le routeur). Pensez aussi à supprimer les références aux machines proxyint et web dans les fichiers de zones de Bind (et on pense à modifier les sérials et à recharger avec « rndc reload » !)

 

V – Stock et Maria

En ce qui concerne les VM Stock1, Stock2, Maria1, Maria2, Maria3 et MariaProx…

On rajoute le vlan 10 dans les fichiers de configuration xen /etc/xen/xxx.cfg :

'vifname=xxx.0,ip=10.10.1.xxx ,mac=00:16:3E:Ax:xx:10,bridge=brint.10',

et on rajoute l’interface dans les fichiers /etc/network/interfaces

auto eth0
iface eth0 inet static
address 10.10.1.xxx
netmask 255.255.255.0
gateway 10.10.1.2

Vous commencez à connaitre la chanson

 

VI – Finalisation

Pour terminer, sur le Dom0, nous allons modifier le squelette :

dom0# rm /etc/xen-tools/root/ -r
dom0# rm/etc/xen-tools/skel2/etc/apt/ -r

Ensuite, supprimons le VLAN 2 :

dom0#ovs-vsctl del-br vlan2

Sur l’ensemble des VMS, supprimez également le fichier /root/.wgetrc et videz le fichier /etc/apt/apt.conf.d/01proxy.

 

VII – Conclusion

Il est fort probable que j’ai oublié certains points (rédaction de cet article bien après avoir fait la manip de mon côté) bien que j’ai pris le soin de tout relire, etc… pour être sur de ne rien oublier. Si vous constatez un manque, signalez le !

Dans tous les cas, vous aurez compris la principe : Suppression du vlan2, remise en place du vlan 10 sur chaque VM, nettoyage des firewalls et des différents fichiers de configuration.

Allez, il est temps maintenant de passer à d’autres articles qui s’intégreront dans l’architecture que je vous ai aidé à mettre en place. Dans le désordre, nous verrons comment mettre en place un IDS, du monitoring, de la messagerie, du Ldap, du VPN, une architecture Web, etc…

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *