Administration système et réseau

1 Le programme de l’atelier

1.1 Pré-requis : comment fonctionne Internet

La physique du monde Internet (câbles, commutateurs, routeurs, ...).
Le langage des machines d’Internet : TCP/IP.
La programmation des services d’Internet : sockets.

1.2 Premier atelier, un réseau classique

Des machines avec un système d’exploitation.
Un commutateur avec réseaux locaux virtuels.
Un routeur IPv4 avec connexion à l’école.
Configuration du commutateur et du routeur.
Un prétexte : une ferme de serveurs Web.

1.3 Second atelier, un réseau de conteneurs

Conteneur : ensemble de processus isolé.
Création de systèmes de fichiers distincts.
Lancement de processus avec leurs propres espaces de noms.
Restriction de l’accès aux ressources (mémoire, disques, ...).
Mise en réseau des conteneur via des interfaces Ethernet virtuelles.
Même prétexte de la ferme de serveurs Web ...
... mais avec trois serveurs par binôme.
Recommencer avec Docker, orchestrateur pour conteneurs.

1.4 Troisième atelier, un réseau de machines virtuelles

Machine virtuelle : émulation d’une machine avec son SE.
Création d’une partition virtuelle sur un groupe de volumes.
Installation d’un système sur la partition.
Contrôle de la machine virtuelle (création, connexion, arrêt).
Mise en réseau via des commutateurs virtuels.
Même prétexte de la ferme de serveurs Web.
Mise en place de serveurs Web sécurisés.
Mise en place d’un équilibrage de charge.
Mise en place d’un système de haute disponibilité.
Recommencer avec OpenStack, orchestrateur pour machines virtuelles.

2 Réseau classique

2.1 Rappel : le nécessaire pour parler TCP/IP

Des interfaces réseaux (e.g. cartes Ethernet).
Au moins une adresse IPv4.
Pour chaque adresse IPv4, le réseau IPv4 englobant.
Une table de routage :
- quelles interfaces conduisent à quels réseaux locaux ;
- éventuellement quels routeurs utiliser pour des réseaux distants.
L’adresse IPv4 d’un résolveur DNS.
Eventuellement un serveur de temps, des mandataires Web, etc.

2.2 Concept : montage de systèmes de fichiers

Sous Unix, une arborescence unique de fichiers ...
... constituée de différents systèmes de fichiers.
Inclure un SF dans l’arborescence s’appelle ...
... monter un système de fichier.
Concept différent de celui d’unités de MS-DOS.
Trois entités nécessaires pour un montage :
- le périphérique de stockage (lister avec lsblk) ;
- le type du système de fichiers (détection automatique) ;
- un répertoire vide pour inclure le SF dans l’arborescence.

Exemple de montage :

# lsblk
NAME   MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT
sda      8:0    0 465.8G  0 disk
|-sda1   8:1    0     1K  0 part
|-sda3   8:3    0   100M  0 part
`-sda4   8:4    0 229.1G  0 part
sdb      8:16   0  29.8G  0 disk
`-sdb1   8:17   0  29.8G  0 part
sr0     11:0    1  1024M  0 rom
# mount -t vfat /dev/sdb1 /mnt

Options possibles :

# mount -o uid=pifou,gid=pifou /dev/sdb1 /mnt
# mount -o loop /usr/local/xen/domains/virtual/disk.img /mnt

Pour un périphérique amovible, démontage obligatoire :
```
root@machine:/mnt# cd
root@machine:/# umount /mnt
```

2.3 Concept : VLAN

Définition : Local Area Network = réseau local ;
A priori différents LAN => nuages de commutateurs distincts ;
Coût important, manque de souplesse ;
Concept du VLAN : plusieurs LAN sur un seul commutateur ;
Deux normes : IEEE 802.1q (le principe), IEEE 802.3ac (taille de trame) ;
La problématique expliquée en un schéma :
La méthode d’encapsulation standard :
La communication inter-VLAN nécessite un routeur.

2.4 Pratique : configuration IP manuelle sous Linux

Simplification : une seule commande ip.
Manipulation des interfaces réseau :
- lister les interfaces par ip link show ou ip l ;
- démarrer une interface, e.g. ip link set eth0 up ;
- changer l’adresse MAC, e.g. ip link set eth0 address 00:11:22:33:44:55.
Gérer les adresses IP :
- lister les adresses IP par ip address show ou ip a ;
- ajouter une adresse IPv4, e.g. ip address add dev eth0 192.168.0.42/24 broadcast + ;
- supprimer une adresse IPv4, e.g. ip address del dev eth0 192.168.0.42/24.
Gérer les tables de voisinage :
- lister la table des voisins par ip neighbour show ou ip n ;
- supprimer une entrée de la table, e.g. ip neighbour del 192.168.0.1 dev eth0.
Gérer la table de routage :
- afficher la table de routage IPv4 par ip route show ou ip r ;
- ajouter une route pour un réseau local, e.g. ip route add 192.168.0.0/24 dev eth0 ;
- ajouter une route pour un réseau distant, e.g. ip route add 192.168.100.0/24 via 192.168.0.1 ;
- ajouter une route par défaut, e.g. ip route add default via 192.168.0.254 ;
- ajouter une route avec équilibrage de charge,
  e.g. ip route add default nexthop via 192.168.0.253 nexthop via 192.168.0.254 ;
- supprimer une route, e.g. ip route del 192.168.100.0/24.

2.5 Pratique : configuration IP pérenne sous Linux

L’effet de la commande ip disparaît au redémarrage ;
Focalisation sur les distributions Linux issues de Debian ;
Deux fichiers permettent une configuration pérenne :
- le fichier de configuration d’interfaces /etc/network/interfaces ...
- ... ou les sous-fichiers de configuration /etc/network/interfaces.d/* ;
- le fichier de configuration du serveur DNS /etc/resolv.conf.
Supprimer les configurateurs automatiques comme network-manager :
- dispositif utile pour les néophytes ;
- des applications graphiques de configuration ;
- un fichier de configuration /etc/NetworkManager/NetworkManager.conf ;
- une puissance d’expression inférieure à /etc/network/interfaces ;
- aucun serveur Unix ne comporte de tels dispositifs.

Exemple de fichier de configuration /etc/network/interfaces :

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface (IPv4)
iface eth0 inet dhcp

# A secondary network interface (IPv4)
iface eth1 inet static
  address 172.26.79.42
  netmask 255.255.240.0
  # gateway 172.26.79.254

# The wifi network interface (WPA/IPv4)
auto wlan0
iface wlan0 inet static
  wpa-ssid SWEETHOME
  wpa-key-mgmt WPA-PSK
  wpa-psk cpasbeaudetresicurieux
  address 192.168.0.10
  netmask 255.255.255.0
  gateway 192.168.0.254

Mot clef auto pour un démarrage automatique ;
Prise en compte des définitions par ifup et ifdown ;
Exemple de fichier de configuration /etc/resolv.conf :
```
nameserver 193.58.57.34
```

2.6 Pratique : configuration d’un équipement Cisco

Un élément de réseau est un ordinateur spécialisé :
- un ou plusieurs processeurs, de la mémoire vive ;
- un système d’exploitation, un système de fichiers ;
- pas de port clavier, pas de carte vidéo ;
- des interfaces réseaux, beaucoup d’interfaces réseau !
Système d’exploitation des CISCO : l’IOS (version classique).
Configuration par port série ou via le réseau.

Session typique de configuration :

server$ ssh admin@router
Password:
router>enable
Password:
router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#exit
router#write
Building configuration...
[OK]
router#reload
Proceed with reload? [confirm]

Mise en place de mots de passe simple (série/telnet) :

router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#enable password glopglop
router(config)#! ou pour plus de sécurité :
router(config)#enable secret glopglop
router(config)#line vty 0 15
router(config-line)#password glopglop
router(config-line)#exit

Mise en place d’identifiant (connexion ssh) :

router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#hostname router
router(config)#aaa new-model
router(config)#username admin privilege 15 password glopglop
router(config)#! ou pour plus de sécurité :
router(config)#username admin privilege 15 secret glopglop
router(config)#ip domain-name deule.net
router(config)#crypto key generate rsa
router(config)#line vty 0 15
router(config-line)#transport input ssh
router(config-line)#exit

2.7 Pratique : configuration d’un routeur Cisco 1/2

Du classique : un réseau IPv4 par interface réseau.

Il suffit de mettre des adresses IPv4 sur les interfaces :

router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#interface GigabitEthernet0/1
router(config-if)#ip address 192.168.0.1 255.255.255.0
router(config-if)#exit
router(config)#exit

Il ne reste plus qu’à démarrer le routage :

router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#ip routing
router(config)#exit
router#show ip route

2.8 Pratique : configuration d’un routeur Cisco 2/2

En pratique : paquets encapsulés 802.1q sur des interfaces.
2 méthodes de configuration : sous-interfaces et interfaces VLAN.

La méthode avec sous-interfaces (revient à la mode) :

router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#interface GigabitEthernet0/1.2
router(config-subif)#encapsulation dot1Q 2
router(config-subif)#ip address 192.168.2.1 255.255.255.0
router(config-subif)#exit
router(config)#exit

La méthode avec interfaces VLAN :

router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
router(config)#interface vlan2
router(config-if)#ip address 192.168.2.1 255.255.255.0
router(config-if)#exit
router(config)#exit

2.9 Pratique : configuration d’un commutateur Cisco

Pour un commutateur de base : aucune configuration.
Pour un commutateur avec VLAN, il faut définir les ports.

Affectation d’un VLAN à un port :

switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
switch(config)#interface gigabitEthernet0/7
switch(config-if)#switchport
switch(config-if)#switchport mode access
switch(config-if)#switchport access vlan 2
switch(config-if)#exit

Déclaration d’un port 802.1q :

switch#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
switch(config)#interface fastEthernet0/1
switch(config-if)#switchport
switch(config-if)#! erreur si pas d'autre encapsulation connue
switch(config-if)#switchport trunk encapsulation dot1q
switch(config-if)#switchport mode trunk
switch(config-if)#exit

2.10 Pratique : configuration d’apache2

Serveur Web très répandu sur Internet.
Des modules peuvent être activés avec la commande a2enmod.
Un serveur Web apache2 peut gérer plusieurs sites :
- chaque site est défini comme un serveur virtuel ;
- un fichier de configuration par site dans /etc/apache2/sites-available ;
- un lien symbolique par site dans /etc/apache2/sites-enabled ;
- une commande pour activer un site : a2ensite ;
- des balises et des directives pour définir un site :
```
<VirtualHost *:80>
  ServerName monsite.mondomaine.org
  ServerAdmin moncourriel@mondomaine.org
  Options Indexes FollowSymLinks
  DocumentRoot /var/www/html/monsite/
...
</VirtualHost>
```
- Gestion aisé des certification X509 :
```
<VirtualHost *:443>
  ...
  SSLEngine on
  SSLCertificateFile /etc/ssl/certs/monsite.pem
  SSLCertificateKeyFile /etc/ssl/private/monsite.pem
  ...
</VirtualHost>
```
Peut faire office de mandataire inverse :
- un mandataire Web offre Internet à des clients privés ;
- un mandataire inverse permet un accès à des serveurs privés ;
- seul le mandataire est directement connecté à Internet ;
- les serveurs Web sont protégés des attaques frontales ;
- ajouter les modules proxy et proxy_http ;
- utiliser les directives suivantes dans vos serveurs virtuels :
```
ProxyPass / http://192.168.0.42/
ProxyPassReverse / http://192.168.0.42/
ProxyRequests Off
```

3 Mise en réseau de conteneurs

3.1 Les conteneurs

Principe : isolation des processus.
Quelques dates :
- Linux-VServer en 2003 pour Linux ;
- Développé sous Windows Server 2016 pour Docker.
Quelques avantages :
- facilité de déploiement de progiciels ;
- structuration des applications.
Systèmes de gestion de conteneurs :
- Docker [2013] environnement de haut niveau ;
- Rocket [2014] plus sur, plus ouvert, ...
- RunC [2015] outil bas niveau issu de Docker.

3.2 Concept : espaces de noms

Un conteneur part d’un processus qui s’isole des autres.
Multiplication des espaces de noms (structures noyau) :
- espace table des processus ;
- espace systèmes de fichiers ;
- espace réseau ...
Création d’un conteneur à la main :
- création d’un système de fichiers rootfs par debootstrap ;
- limitation de l’espace disque par création d’un fichier "partition" ...
- ... avec l’utilitaire dd et formatage avec mkfs ;
- préparation du montage du pseudo système de fichier /proc :
```
echo "proc /proc proc defaults 0 0" >> rootfs/etc/fstab
```
- utilisation de chroot pour l’isolation du système de fichier racine ;
- création du processus isolé par unshare :
  - pour débuter : unshare -p -f -m chroot rootfs /bin/sh -c "mount /proc ; /bin/bash" ;
  - utiliser les options -n -u pour un réseau indépendant ;
  - utiliser les options -U --map-root-user pour des utilisateurs spécifiques ;
  - utiliser l’option -i pour des IPC privées.

3.3 Concept : groupes de contrôle du matériel

Un dispositif de limitation d’accès aux ressources ...
... c’est à dire processeurs, mémoires, entrées/sorties, périphériques, ...

Restriction sur les processeurs utilisables :

# mkdir /sys/fs/cgroup/cpuset/model1
# echo "2-3" > /sys/fs/cgroup/cpuset/model1/cpus
# echo $pid > /sys/fs/cgroup/cpuset/model1/tasks

Restriction sur l’utilisation mémoire :

# mkdir /sys/fs/cgroup/memory/model1
# echo "128M" > /sys/fs/cgroup/memory/model1/memory.limit_in_bytes
# echo $pid > /sys/fs/cgroup/memory/model1/tasks

Limitation du nombre d’entrées et sorties :

# mkdir /sys/fs/cgroup/blkio/model1
# echo "8:0 10485760" > /sys/fs/cgroup/blkio/model1/blkio.throttle.write_bps_device
# echo $pid > /sys/fs/cgroup/blkio/model1/tasks

Interdiction d’accès à un périphérique :

# mkdir /sys/fs/cgroup/devices/model1
# echo "b 8:0 rmw" > /sys/fs/cgroup/devices/model1/devices.deny
# echo $pid > /sys/fs/cgroup/devices/model1/tasks

3.4 Concept : commutateurs virtuels

Matériel nécessaire : plusieurs cartes réseau.
Un commutateur virtuel = groupement d’interfaces réseau.
Un commutateur virtuel fonctionne comme un commutateur physique.
Les interfaces réseaux doivent être actives ...
... mais non configurées avec une adresse IPv4.
Le commutateur virtuel est une interface réseau ...
... qui peut être configurée avec une adresse IPv4.
Applications :
- chaînage d’éléments réseau ;
- utilisation pour l’isolation ;
- utilisation pour la virtualisation.

3.5 Pratique : commutateurs virtuels sous Linux

Création du commutateur :
```
ip link add monpont type bridge
```

Ajout d’interfaces dans le commutateur :

ip link set eth0 master monpont
ip link set eth1 master monpont

Activation des interfaces :

ip link set eth0 up
ip link set eth1 up

Activation du pont :

ip address add dev monpont 192.168.0.1/24

Configuration pérenne :

auto eth0 eth1 monpont
iface eth0 inet manual
  up ip link set $IFACE up

iface eth1 inet manual
  up ip link set $IFACE up

iface monpont inet static
  bridge_ports eth0 eth1
  address 192.168.0.1
  netmask 255.255.255.0

3.6 Pratique : paire d’interfaces virtuelles

Permet de connecter des conteneurs ;

Création de deux interfaces liées :

ip link add vif1 type veth peer name eth0@vif1

Déplacement du pair dans un espace réseau différent :

ip link set eth0@vif1 netns /proc/PID/ns/net name eth0

Configuration réseau dans l’espace alternatif :

nsenter -t PID -n ip address add dev eth0 192.168.0.100/24
nsenter -t PID -n ip route add default gw 192.168.0.1

Placez l’autre extrémité dans un commutateur logiciel.

3.7 Pratique : orchestrateur Docker / images

Popularité : large choix d’images de conteneurs.
Gestion des images au travers de dépôts :
- accès anonyme pour la récupération ;
- identification pour le stockage ;
- recherche : docker search mail ;
- détails sur https://hub.docker.com/ ;
- récupération d’image, e.g. docker pull debian ;
- stockage d’image dans un dépôt local :
```
# docker images 
REPOSITORY  TAG    IMAGE ID     CREATED      SIZE
debian      jessie e5599115b6a6 4 weeks ago  123 MB
....
# docker tag e5599115b6a6 docker.mondomaine.org:5000/my-debian
# docker push docker.mondomaine.org:5000/my-debian
```

3.8 Pratique : orchestrateur Docker / système

Exécution d’une image :
- création du conteneur, e.g. docker run -i -t debian /bin/bash ;
- il est possible de se détacher par CTRL-P puis CTRL Q ;
- pour lister les conteneurs actifs : docker ps ;
- pour reprendre docker attach ID ;
- prendre la main sur un conteneur : docker exec -i -t NAME /bin/bash.

Modification d’une image :

en direct au travers d’un shell ;

ou en utilisant un "fichier Docker" ;

# cat Dockerfile
FROM debian
MAINTAINER Moi
RUN apt-get update
RUN apt-get -y install apache2
EXPOSE 80
CMD /usr/sbin/apache2ctl -D FOREGROUND
# docker build -t apache .

sauvegarde de l’image modifiée :

# docker commit 814b74435ace
sha256:ea17999b6621fcb62b4999fbd0e23e54aef72a9418c4d0d37d411c8737bd4f8d
# docker images
...
# docker tag ea17999b6621 docker.mondomaine.org:5000/my-apache
# docker push docker.mondomaine.org:5000/my-apache

3.9 Pratique : orchestrateur Docker / restrictions

Limitation possible de l’accès aux ressources.

Une option marteau-pilon pour un accès complet :

# docker run --privileged -i -t debian /bin/bash

Restriction sur les processeurs utilisables :

# docker run --cpus=0.5 -i -t debian /bin/bash
# docker run --cpu-count=2 -i -t debian /bin/bash

Restriction sur l’utilisation mémoire :

# docker run --memory=128m --memory-swap=256m -i -t debian /bin/bash

Limitation du nombre d’entrées et sorties :

# docker run --device-write-bps=/dev/sda:10mb -i -t debian /bin/bash

Autorisation d’accès à un périphérique :

# # rwm -> read, write and mknod
# docker run --device=/dev/sdb:rwm -i -t debian /bin/bash

Beaucoup d’autres options de restriction ou d’autorisation :
```
# man docker run
```

3.10 Pratique : orchestrateur Docker / réseau

Mise en réseau via des commutateurs virtuels :

liste des ponts existants :

# docker networks ls
NETWORK ID          NAME                DRIVER              SCOPE
422a25c7e8cf        bridge              bridge              local
3e0f696af22b        host                host                local
b00b2e188cb6        none                null                local

bridge pour des conteneurs avec mascarade.
host pour un partage des interfaces avec l’hôte.
none pour des conteneurs complétement isolés.
création possible de nouveaux commutateurs :
```
# docker network create mybridge
```

création de conteneur sur un commutateur particulier :

# docker run -i --net=mybridge -t my-apache /bin/bash

connexion d’un conteneur sur un commutateur :
```
# docker network connect bridge 9ae343fe5609
```

Exposition d’un port particulier :

# docker run -i -p 80:80 -t my-apache /bin/bash

4 Mise en réseau de machines virtuelles

4.1 Concept : gestion de disques virtuels

Constat : manque de souplesse du système de partitions.
Besoin : gestion de l’espace disque des machines virtuelles.
Notion de groupes dynamiques :
- ensemble de partitions ou de disques ;
- ajout et suppression dynamiques.
Notion de volumes logiques :
- un ou plusieurs par groupes ;
- montage des volumes logiques ;
- réduction ou augmentation possible.

4.2 Pratique : LVM sous Linux

LVM acronyme pour Logical Volume Manager.
Exemple d’initialisation de volumes physiques :
```
# pvcreate /dev/sda5
# pvcreate /dev/sdb
```

Exemple de création de groupe de volumes :

# vgcreate volume /dev/sda5 /dev/sdb
# vgdisplay

Exemple de création de volumes logiques :

# lvcreate -L4G -nroot volume
# lvcreate -L16G -nvar volume
# lvcreate -L2G -ntmp volume

Ajout d’un volume physique :

# pvcreate /dev/sdc
# vgextend volume /dev/sdc
# lvextend -L+1G /dev/volume/root
# resize2fs /dev/volume/root

Suppression d’un volume physique :

# pvmove /dev/sda5 /dev/sdc
# vgreduce volume /dev/sda5

4.3 Définition de la virtualisation

Techniques matérielles et logicielles.
Quelques descriptions de la virtualisation :
- permet de faire tourner sur UNE seule machine ...
- ... plusieurs systèmes d’exploitation ;
- simulation logicielle d’un environnement matériel ...
- ... pour un ou plusieurs logiciels invités/virtuels.
Les systèmes d’exploitation (SE) sont isolés.
Impact sur les performances des SE invités/virtuels.

4.4 Utilisations de la virtualisation

Optimisation de ressources physiques :
- coûts d’achat des serveurs ;
- couts énergétiques des serveurs.
Utilisation de logiciels propriétaires :
- en théorie l’émulation de bibliothéque suffit (wine),
- en théorie une machine virtuelle pour les programmes suffit (java, dotnet),
- en pratique difficile d’émuler un SE propriétaire.
Manipulation plus facile d’un SE :
- accélère le développement système ;
- facilité de déverminage (e.g. virus) ;
- étude plus aisée (e.g. enseignement).
Facilite la gestion des SE :
- création de serveurs pour les clients (hébergeurs) ;
- cohabitation de systèmes récents et anciens ;
- migration et reconstruction facile de serveurs.

4.5 Types de virtualisation

Emulation complète :
- le CPU est entiérement émulé ;
- émulation du matériel (disque, etc).
Virtualisation matérielle/totale :
- permet d’utiliser un SE invité/virtuel non modifié ;
- instructions classiques :
  - code exécuté au maximum sur le CPU hôte,
  - parties critiques émulées pour l’isolation,
  - émulation du matériel (disque, etc).
- instructions spécifiques :
  - disponibles sur CPU AMD et Intel vers 2005,
  - protection mémoire du SE virtuel gérée par le CPU,
  - entrées/sorties du SE virtuel gérées par le CPU,
  - émulation du matériel (disque, etc).
Para-virtualisation :
- le SE virtuel est modifié pour effectuer des hyper-appels,
- un appel système abouti dans le noyau du SE virtuel,
- un hyper-appel traverse le noyau et abouti à l’hyperviseur,
- les tâches critiques sont exécutées en mode noyau par l’hyperviseur,
- pas d’émulation du matériel mais le SE doit être modifié.

4.6 Logiciels de virtualisation

Emulation complète : Bochs [1994] (http://bochs.sourceforge.net/).
Virtualisation matérielle :
- compilation au vol : Virtual PC [1997] (émule un x86 pour PowerPC) ;
- ré-écriture de code sensible : VMWare [1999] ;
- hardware virtual machine : Xen 3.x [2006] ;
- utilisation des anneaux de protection x86 : VirtualBox [2007] (pour x86) ;
- instructions spécifiques : KVM [2007] (Kernel-based Virtual Machine).
Para-virtualisation :
- Xen 1.0 [2003] Linux et BSD SE hôte ;
- Xen 3.x [2007] SE virtuel linux-2.6.18-xen modifié par Xen ;
- Xen 4.0 [2008] SE virtuel linux-2.6.24 module pvops standard ;
- KVM 60 [2008] para-virtualisation via virtio module de Linux ;
- VMware 6 [2008] para-virtualisation via pvops ;
- Xen 4.1 [2011] SE hôte linux-3.x.y module pvops standard.

4.7 Etude d’un système de virtualisation totale 1/2

Le système Kernel-based Virtual Machine (KVM).
Compiler le module noyau (AMD ou intel).

Créer un disque virtuel.

qemu-img create <chemin du disque> <taille>

Installer le SE virtuel (e.g. image ISO émulant un lecteur CD).

kvm -net nic,model=ne2k_pci -net user -hda <chemin du disque> -cdrom <chemin de l'image ISO>

4.8 Etude d’un système de virtualisation totale 2/2

Le système Xen en mode Hardware Virtual Machine (HVM).
Créer un disque virtuel.
Installer le SE virtuel (e.g. image ISO émulant un lecteur CD).
Utilisation d’un serveur VNC.

Definition de SE virtuel HVM (e.g. /etc/xen/scratch.cfg) :

  
kernel      = '/usr/lib/xen-default/boot/hvmloader'
builder     = 'hvm'
memory      = '1024'
disk        = [
                  'file:/usr/local/src/debian-testing-i386-netinst.iso,hdc:cdrom,r',
                  'file:/usr/local/xen/domains/simplet/simplet_disk.img,ioemu:sda,w',
              ]
boot        = 'd'
name        = 'scratch'
vif         = [ 'bridge=eth1' ]
vnc         = 1
vnclisten   = "0.0.0.0"

4.9 Etude d’un système de para-virtualisation

Le système Xen (l’éthymologie viendrait de Zen).
Paquetages Debian nécessaires (méta-paquetage xen-linux-system) :
- linux-image-3.2.0-4-amd64 : noyau Linux hôte et invité,
- xen-hypervisor-4.1-amd64 : contrôle CPU et mémoire,
- xen-utils-4.1 : utilitaires de gestion des SE virtuels,
- xen-tools : outils pour créer facilement des SE virtuels.
Une terminologie spécifique :
- le Dom0 est le système d’exploitation hôte,
- les DomU sont les systèmes d’exploitation invités/virtuels.
Interfaces réseau à base de bridge logiciel :
- des cartes ethernet ethX dans l’hôte,
- des cartes ethernet ethY dans les SE virtuels,
- cartes correspondant aux interfaces vifZ.0 de l’hôte,
- des commutateurs virtuels bridgeB dans l’hôte,
- certaines vifZ.0 se retrouvent dans le même bridgeB,
- un bridgeB comporte aussi une carte ethernet de l’hôte.

Script de configuration réseau dans /etc/xen/xend-config.sxp :

  
...
(network-script 'network-bridge netdev=eth0')
...

Definition de SE virtuel (e.g. /etc/xen/fourmies.cfg) :

  
kernel      = '/boot/vmlinuz-2.6.32-5-xen-686'
ramdisk     = '/boot/initrd.img-2.6.32-5-xen-686'
memory      = '1024'
root        = '/dev/xvda1 ro'
disk        = [
                  'file:/usr/local1/xen/domains/fourmies/fourmies_root.img,xvda1,w',
                  'file:/usr/local1/xen/domains/fourmies/fourmies_swap.img,xvda2,w',
                  'file:/usr/local1/xen/domains/fourmies/fourmies_tmp.img,xvda5,w',
                  'file:/usr/local1/xen/domains/fourmies/fourmies_var.img,xvda6,w',
                  'file:/usr/local1/xen/domains/fourmies/fourmies_home.img,xvda7,w',
                  'file:/usr/local1/xen/domains/fourmies/fourmies_log.img,xvda8,w',
                  'phy:/dev/spool1/mail-spool,xvdb1,w',
                  'phy:/dev/spool2/mail-backup,xvdc1,w'
              ]
name        = 'fourmies'
dhcp        = 'dhcp'
vif         = [ 'mac=00:16:3E:52:80:93, bridge=bridge2' ]
on_poweroff = 'destroy'
on_reboot   = 'restart'
on_crash    = 'restart'

Gestion des SE virtuels :

  
xm list
xm create fourmies.cfg
xm console fourmies
xm shutdown fourmies
...

4.10 Concept : certificats

Utilisé pour l’identification et le chiffrage.
Un certificat contient (entre autres) :
- l’identité du certificat ;
- la période de validité ;
- la clef publique ;
- l’identité de l’autorité de certification ;
- la signature du certificat par l’autorité.
Un certificat se trouve dans une chaine ...
... se terminant par une auto-signature.
l’identité du certificat peut contenir :
- le nom du serveur Web à certifier ;
- l’adresse de courriel de l’utilisateur, ...
Pour le chiffrage, le certificat s’utilise ...
... avec la clef privée correspondante.

4.11 Pratique : orchestrateur OpenStack

Interface Web de gestion de machines virtuelles.
Quelques clics pour lancer une machine virtuelle.
Création de réseaux virtuels et de routeurs virtuels.
Vue de la création d’instances (machines virtuelles) :
Vue de la topologie du réseau virtuel créé :

Ce document a été traduit de L^AT_EX par H^EV^EA