Besoin conseils, virtualisation de serveur avec VMWARE ESX Server - Infrastructures serveurs - Systèmes & Réseaux Pro
Marsh Posté le 12-07-2007 à 16:37:19
ESX serveur justement est le systeme hote (une redhat réduite) donc pas besoin d'installer un win2003 hote.
Marsh Posté le 12-07-2007 à 19:56:11
Pims a écrit : ESX serveur justement est le systeme hote (une redhat réduite) donc pas besoin d'installer un win2003 hote. |
Ah ok, merci pour l'info, ça fait donc un OS en moins à acheter
Marsh Posté le 13-07-2007 à 00:23:16
un peu de doc
http://thanatos.trollprod.org/sousites/esxvmware/
Marsh Posté le 13-07-2007 à 02:03:25
Un bon conseil avant de te lancer, va sur le forum Vmware:
http://www.vmware.com/community/index.jspa
Vmware c'est coton pour la prise en main si tu veux tirer le max de son potentiel. Lis bien la doc livré avec le logiciel et lances toi dans une phase de test avant mise en prod.
Tu confonds deja Wmware ESX et Wmware serveur... c'est pas super bien parti.
Sinon pour les questions:
1/RAM c'est ok.
Par contre vérifie bien que les proc dual core font bien de l'hypertreading. Si ce n'est pas le cas ESX ne verra que 2 CPU et non 4 (j'ai vu ce cas sur d'autres serveur dual core).
Sinon il vaut mieux mettre une Vm/CPU. Au dela les perf risque de s'en faire resentir, j'avoue ne l'avoir jamais fait. 2 CPU hypertreading = 4 VM.
2/ aucune idee
3/Ce n'est pas le nombre de VM qui importe (quoique) mais surtout le traffic. En reseau 100Mb ça me parait leger pour mettre plusieurs VM. J'ai toujours utilisé des cartes HBA sur des serveur ESX... à tester!
4/Une VM est un fichier type vmfs. Si tu sauvegardes le fichier, il faut avoir l'option sauvegarde de fichier ouvert dans ton logiciel de sauvegarde.
Lorsque tu construis ta VM fais un fichier pour la partie systeme et un autre pour la partie donnée. La partie donnée tu peux la sauvegarder comme un serveur physique, pour la partie syst
Apres il y a le clonage de machine (même si c'est pas le but 1er), là je te laisse voir le forum et la doc VMware.
Marsh Posté le 13-07-2007 à 10:15:21
2 cartes reseaux pour 4/5 VM c'est à mon avis trop juste. Sachant qu'il faut se reservere une carte pour l'administration à distance....
2 dual core = 4 proc vus par VMware. Sachant que ton serveur web et ton serveur d'impression ne vont pas consommer d'enormes ressources, ta machine physique ne devrait pas peiner.
En ch'tit truc : les licenses OEM Windows Serveur (2003 par exmple refuse de s'installer dans une VM. ce qui parait normal etant donner que ces licenses sont liés à un serveur physique.
=> pour ton serveur physique (libm) pas besoin de prendre de license avec (sauf si license "boite)".
=> tu devrais acheter des licences 'boites" pour chacune de tes VM.
Enfin avant d'acheter ton serveur Hote, verifie bien qu'il soit dans la liste des serveurs compatibles avec EXS.
Marsh Posté le 13-07-2007 à 13:28:33
boisorbe : merci pour le lien
akabis : merci pour tes conseils, je suis déjà inscrit sur leur forum et j'aime bien avoir des retour d'expérience d'un peu partout.
Et c'est vrai que je pensais initialement que Vmware ESX s'appuyait sur windows et comme je le disais , je connais quasi rien sur Vmware pour le moment mais je me documente peu à peu..
A propos de ta remarque concernant les dual core et l'hyperthreading, tu en es sur ? Il me semble avoir lu que les dual/quad core actuels ne supportent pas l'HT. Et je confirme que les cpu qui m'interessent ne font pas de HT non plus ( Dual core 5160 3.0Ghz).
vrobaina : Merci pour l'info, a propos des carte réseau, il y a un double port déjà intégré, donc je pourrais tjs ajouter une ou 2 carte réseau par les ports PCI-express. Et j'ai bien vérifié que le serveur IBM X3650 était compatible avec ESX Server
Marsh Posté le 14-07-2007 à 11:21:44
flashy_fiber a écrit : boisorbe : |
J'ai fait une petite erreur. Avec un dual core Vmware voit bien 2 processeurs.
Quant à l'HT sur le dual core ça existe (en Xeon c'est sure).
Dual-core Hyperthreading soit 2 cores physiques + 2 cores logiques soit 4 proc vu par Vmware pour chaque processeur. Ce que je citais, "le cas vu sur d'autres serveur dual core" c'etait des serveurs à proc dual core qu'on on avait refourgué sans l'HT lors d'un changement de constructeur... petite confusion.
http://www.pc21.fr/pro/processeur_ [...] 8-b21.html
Marsh Posté le 14-07-2007 à 12:11:01
Moi je trouve que mettre 4 ou 5 VM sur une seule machine est plutot lourd. La virtualisation est un outil qui permet de mieux prendre partie des ressources de ses serveurs mais dans ton cas, je prendrai plutot deux serveurs physiques que je virtualiserai ensuite pour équilibrer la charge. Maintenant j'suis pas un expert non plus ^^ mais ca me parait beaucoup meme si ton serveur est puissant.
Marsh Posté le 14-07-2007 à 15:41:50
altarik, là tu te trompes au vue que ce que va contenir les VM et au vue des caractéristiques du serveur IBM, il n'y aura à mon avis aucun pb à faire fonctionner 4/5 VM sur le serveur.
Marsh Posté le 14-07-2007 à 16:14:37
Jusqu'à 8 VM sur un serveur, aucun soucis (c'est les seules licences que j'ai utilisées) mais c'etait sur du SAN FB ou ISCSI.
Ici la dégradation de perf peut se faire ressentir au niveau de l'ecriture/lecture disque et plus particulièrement sur de la DB, surtout s'il y a beaucoup d'acces simultanés.
Ca risque d'être le point noir de ce montage. Encore que sur 4 VM il y a 1 serveur d'impression. Quant au serveur web... mieux vaut le mettre en DMZ donc pas sur le même serveur.
Sinon il y a une optimisation des processus utilisés par chaque VM. En gros si un processus est utilisé par x VM, au lieu de lancé x processus, un seul sera lancé ... gain de performance
Marsh Posté le 15-07-2007 à 14:52:38
Non : le serveur web, tu le laisses virtuel mais tu lui affecte une carte réseau physique dédiée.
Marsh Posté le 16-07-2007 à 01:25:55
vrobaina a écrit : Non : le serveur web, tu le laisses virtuel mais tu lui affecte une carte réseau physique dédiée. |
Pas top niveau sécurité car même si niveau réseau tu es sur une patte differente du FW, tu partages système physique et DD.
Marsh Posté le 16-07-2007 à 10:14:01
le système physique n'est pas vu ! quant aux disques, tu t'en fous car dessus tu auras aussi des partitions virtuelles.
=> seule la machine virtuelle sera exposée, le reste est bien au chaud protégé dans le Lan.
Marsh Posté le 16-07-2007 à 10:47:11
Sauf quand il y aura des codes malicieux utilisant des failles de ESX pour sauter d'une machine à l'autre ou à la machine hote directement...
Marsh Posté le 16-07-2007 à 11:00:52
pour le moment il n'y a pas eu encore de soucis de ce coté. VmWare s'activant à très bien bétonner leur système.
=> tu peux tjs te gratter pour atteindre l'OS hote à partir d'une VM.
Marsh Posté le 16-07-2007 à 11:32:34
tu confonds Logiciel de virtualisation (vmware, virtualPC) et virtualisation "native des processeurs".
D'ailleurs la technique de la "blue pill" ne peut s'appliquer à sur un ESX faisant fonctionner des VM.
Marsh Posté le 16-07-2007 à 11:41:05
je confonds rien du tout, je donne un exemple de faille c'est tout. En effet basée sur l'archi processeur elle même et en plus independante de tout système hote...
Enfin bon je suis pas là pour polémiquer, juste pour dire que je mettrais pas une machine virtuelle visible sur le net et une autre sur le Lan sur la même machine physique.
Marsh Posté le 16-07-2007 à 11:49:49
on est bien d'accord : ton serveur REEL fait fonctionner des machines virtuelles. Chaque machine virtuelle possede 1 ou N processeurs VIRTUELS.
Une attaque par "blue Pill" ou autre variante infecte tout d'abord la machine virtuelle et notre petite bete essaie de s'injecter dans ..... les processeurs virtuels et non réels.
=> au pire des cas tu as ta machine virtulelle d'infectée et tu devras la restaurer et la réinstaller (comme tu devrais le faire avec un serveur reel).
Marsh Posté le 16-07-2007 à 15:56:59
FAUX!
C'est théoriquement possible (et démontret en pratique) que tout d'abord un attaquant peut détecter l'utilisation d'une VM, et faire changer de contexte un processus.
Si tu parts sur du principe que parce que c'est super difficiel à réaliser, ca ne peut arriver, alors il y a moultes principes de sécu que tu vas abandonner ...
Marsh Posté le 16-07-2007 à 16:03:16
si ton vers ou ton virus attaque la VM, il ne pourra changer que le contexte des processeurs virtuels (VMWare). A ne pas confondre avec 1 serveur utilisant la virtualisation d'OS "à la sauce Intel ou AMD" ou là, les VM sont directement associées aux cores physiques du serveur.
Marsh Posté le 16-07-2007 à 20:28:25
non, je parle bien d'un environnement a la VMWare.
La demo avait été faite dans un MISC (j'ai pas le temps de reparcourir la collection, donc je peux pas te filer le numéro).
Mais théoriquement on pourrait envisager un attaquant qui escalade la VM...
Marsh Posté le 20-07-2007 à 23:13:58
Moi votre discussion me fait penser au réseau qui est le plus sécurisé entre du Wifi et du cablé... la réponse est évidente.
Il est évident que mettre un serveur virtualisé visible sur le net alors que le serveur physique est sur ton LAN (et pas sur DMZ) est risqué. Meme si le risque est infime, il existe : tout est cassable meme si ca doit prendre un temps très long. Et ne me faites pas croire que VMWare est le seul logiciel infaillible.
Si tu veux une sécurité max, tu ne mélanges pas les deux contextes : si tes machines VM doivent etre visible par le net (et donc attaquables), les serveurs physiques doivent etre en DMZ pour te permettre de protèger ton réseau.
Après le risque de mettre un serveur virtualisé et visible sur le net sur une machine physique au coeur de ton LAN doit etre quantifié pour déterminer si tu es pret à prendre et à assumer ce risque. Par exemple, je doute qu'une banque, qui doit prendre les précautions les plus absolues, prenne ce risque (du moins j'espère ^^).
Marsh Posté le 21-07-2007 à 11:24:14
altarick a écrit : au réseau qui est le plus sécurisé entre du Wifi et du cablé... la réponse est évidente. |
Avec les avancées récentes dans le domaine du wifi, et de la gestion à grande échelle, pour une grande entreprise, la réponse n'est pas si sûr ... mais bon, la n'est pas le sujet du débat.
Marsh Posté le 23-07-2007 à 08:43:15
1) coté wifi, la réponse est justement loin d'etre d'etre aussi evidente que tu l'annonce.
2) Reflechis un peu : en fait ce qui te fais peur c'est de mettre un equipement à la fois en DMZ et en Lan. Or si je ne m'abuse lorsque tu as un firewal 3 pattes (Lan, Wan et DMZ) tu fais exactement la meme chose (ton equipement est relié et accède aux 3 reseaux). Or là visiblement il y a moins de lever de bouclier lorsque l'on propose cette solution..... Et pourtant cela revient strictement au meme.
Marsh Posté le 23-07-2007 à 09:40:52
vrobaina a écrit : |
Touché ... coulé
Marsh Posté le 23-07-2007 à 09:56:30
Blague à part, je me posais plusieurs questions sur le sujet et surtout sur la viabilité d'un tel produit.
Par exemple, sur le system Raid5 que souhaite monter Flashy_fiber, si un dur pète, heureusement il suffit de le remplacer pour reconstruire le raid automatiquement, mais au lieu de pénaliser les performances d'un serveur physique, ca en penalise 4 d'un coup.
Est-il possible que le système hôte plante (je dirai qu'il n'y a pas de raison ). Du coup, ca fait planter toutes les VMs ?
Merci pour vos opinions la-dessus
Marsh Posté le 23-07-2007 à 10:46:26
vrobaina a écrit : |
Mais non tu ne fais pas la même chose !!! ... en effet tu t'abuses là.
Entre tes réseaux tu as le FW physique qui te garantie une DMZ.
Rien à voir avec une quelconque "protection" entre VM.
Marsh Posté le 23-07-2007 à 10:48:49
vrobaina a écrit : |
Effectivement je n'avais pas pensé à ca. Cependant je pense que la "levée de bouclier" se fait parce que dans le sujet qui nous intéresse, la sécurité entre ta DMZ et ton LAN (qui se fait par VMWare) repose sur un logiciel. Dans l'autre cas, il repose sur un firewall professionnel. Alors maintenant, il reste à voir lequel est le plus fiable : VMWare ou un firewall matériel. A priori, au vu des failles logiciel, je pencherai plutot pour le firewall. Et vous ?
Marsh Posté le 23-07-2007 à 10:49:36
Bon visiblement Akabis et moi avons répondu en meme temps ^^ et avons le meme avis
Marsh Posté le 23-07-2007 à 10:53:30
jkley a écrit : Blague à part, je me posais plusieurs questions sur le sujet et surtout sur la viabilité d'un tel produit. |
Dans tous les cas si un disque tombe, il faudra attendre la reconstruction pour le fonctionnement.
Si tu ne veux pas rencontrer ce cas, cad d'interruption de services en cas de panne, il va te falloir une architecture differente et donc un investissement plus important... dans ce genre là:
C'est dans ce genre de config que tu sors toute la puissance de la virtualisation. Virtualiser sans SAN (ou pour les moins riches un NAS avec un outil de simulation, de SAN), c'est aborder la virtualisation.
jkley a écrit : |
Cela est évident... mais jamais entendu parlé d'un cas pareil.
Marsh Posté le 23-07-2007 à 11:22:30
altarick a écrit : |
ah bon , je suis curieux que tu me site le nom de firewall matériel, c'est à dire de firewall n'embarquant aucun OS.... . Et qui plus est qui soit vraiment béton c'est à dire garantie sans faille.....
Marsh Posté le 23-07-2007 à 11:29:49
Je suppose que dans les firewalls dits matériels, l'OS embarqué est dédié sécurité donc les développeurs concentrent leurs attentions sur ces contraintes.
Pour VMWare, je doute que la principale préocupation soit la sécurité.
Maintenant il est clair que rien n'est infaillible. Apres faut essayer de mesure le risque pour faire un choix en fonction du budget puisque ce sera toujours ce dernier qui sera l'élément décisionnel.
Marsh Posté le 23-07-2007 à 11:30:23
akabis a écrit : |
c'est exactement la meme chose : dans les 2 cas c'est un logiciel (IOS, IPtable, ou autre.... VMWare) qui gère les differents accès et les differents traffic entre les cartes réseaux. Je veux bien admettre que les soft embarquée soient beaucoup plus pointus qu'un ESX en terme de sécurité, (et encore lorsque que tu fais travailler des VM sur des adressages differents, dans des VLAN, et en utiliant des cartes physiques differentes, faut pas venir me dire que le système n'est pas étanche...), mais de là à dire haut et fort qu'il ne faut pas faire cela (DMZ virtuelle + LAN virtuel sur le meme serveur)), je trouve cela fortement déplacé.
Marsh Posté le 23-07-2007 à 11:37:25
jkley a écrit : Blague à part, je me posais plusieurs questions sur le sujet et surtout sur la viabilité d'un tel produit. |
En effet si toutes tes VM sont sur le meme Raid 5, alors la reconstruction de celui-ci va fortement perturber les VM.
De meme sui tu as plusieurs VM sur les memes axes alors le fait de fortement soliciter les disques dans certaines VM va dimuner les performances des autres.
Enfin dans l'absolu, il est possible qu'une VM en plantant fasse planter le coeur (ESX) et par la meme occasion l'ensemble des VM. Mais, pratiquant la virtualisation chez qq clients, je n'ai jamais rencontré le cas. Cependant pour plus de sécurité, je t'invite à poster tes questions non pas sur un forum généraliste comme Hardware.fr, mais directement dans le forum de VMWare. Là-bas tu trouveras toutes les réponses à tes questions/Craintes.
Bye,
Vega.
Marsh Posté le 23-07-2007 à 11:51:01
rapidement :
erreur humaine de configuration (critère énorme de problèmes)
concept de base KISS : un firewall est dédié à ca, et ne fait que ca. Gere le réseau entre autres choses.
Marsh Posté le 23-07-2007 à 11:54:17
akabis a écrit : |
Marsh Posté le 23-07-2007 à 11:56:28
Moi je n'ai donné que mon avis comme quoi je trouve ça pas suffisament sécurisé...
Après Vrobaina, tu veux pas en démordre soit, mais n'exagère pas non plus, une faille dans un firewall et une faille sur un OS ou sur OSX ca n'a pas les même conséquences tout de même.
Au mieux la DMZ doit être gerée par deux firewall.
Marsh Posté le 23-07-2007 à 14:03:02
Je vois que Vrobaina veut plus en découdre que discuter, soit
Pour la reconstruction RAID, en effet au sein d'un SAN ça peut être fait à chaud. Mais flashy_fiber (1er poster) n'a pas parler de SAN donc j'ai raison.
2eme point, en effet le SAN n'est pas redondant, c'est le schema que j'ai pris de mon post sur la tolerance de panne (cf tuto: http://forum.hardware.fr/hfr/syste [...] t_14_1.htm ) ou je précise qu'on aborde pas les pb de SAN.
Il est vrai que je ne l'ai pas dit ici, autant pour moi.
Pour ta gouverne, en règle générale (hormis budget énorme) on n'investit pas dans une 2eme baie identique mais dans une baie "light" sur laquelle se trouvent les appli est données nécessaires au lancement du DRP (cela en découle d'une analyse de risque, opérations métiers prioritaire devant être maintenu afin de ne pas perturber la marche de l'entreprise... etc etc). Donc lorsque l'on investit dans une baie SAN, le fait de s'equiper d'une seconde baie "version light" doit obligatoirement être pensé dans le cadre du DRP... Quitte à revoir ses prétentions à la baisse sur la baie SAN principale.
Donc le budget soit disant onereux ne l'ai que dès l'instant où tu as decidé d'investir dans un SAN.
Il est vrai que c'est une notion difficile à admettre lorsqu'on ne pense pas DRP lors de la construction d'un système. Mais avec le temps ça rentrera.
En tout état de cause ça ne remet pas en cause la chose suivante:
Tout réseau ayant un acces internet doit être derriere un FW et toute machine devant être consultée depuis l'exterieur doit être dans une zone démilitarisée.
Ne pas faire ce choix c'est obligatoirement réduire la sécurité de son réseau.
Tu peux avoir un avis different (aucun de tes arguments ne m'a convaincu), mais n'essayes pas de nous faire croire qu'un FW ça ne vaut rien, en tout cas pas le niveau de sécu de VMware.
Marsh Posté le 12-07-2007 à 16:26:03
Bonjour,
Je vais bientot utiliser VMWARE (ESX Server) dans le cadre de virtualisations de serveur Win 2003, et comme je n'y connais pas grand chose à la
virtualisation , je me pose quelques questions en ce qui concerne les pré-requis techniques.
Notre architecture actuelle :
80 Utilisateurs
OS : Win 2000 server SP4
Réseau : 100Mbit
- 1 Serveur Win 2000 SP4 : Serveur d'impression (P3 600Mhz, 512Mo ram)
- 1 Serveur Win 2000 Sp4 : Serveur bureautique (P3 600Mhz, 512Mo ram)
Futur architecture :
Partie Matérielle:
1 Serveur IBM 3650 :
CPU = 2 x DualCore 5160 3.0Ghz
Ram = 8Go
DD = 3 X73Go(SAS) ou 4x73Go(SAS) en RAID5
Carte réseau : au moins 2 (100Mbit chaque carte)
Partie Logicielle :
Il y aura pour le moment 4 serveurs virtuels
1ere VM : Serveur d'impression, Win 2003 Server, 1Go ram
2e VM : Serveur bureautique (2 applications , win 2003 server, 1Go ram
3e VM : Serveur base de données compta (Oracle 10G, 10 utilisateurs), 2Go ram
4e VM : Serveur de petites applications, 1GO ram
(5e VM : Serveur Web (à planifier l'année prochaine), 1Go ram)
Il resterai donc 2Go pour le serveur Hote qui hébergera l'hote (VMWARE + Win2003 server)
Et voilà les questions que je me posent actuellement :
1) Est-ce que le dimensionnement matériel et logiciel vous semble cohérent ?
2) Vaut-il mieux utiliser la version 32bit ou 64bit de Windows 2003 Server ?
Pour des applications 32-bit non optimisées pour du 64Bit, est ce que ces applications 32-bit marchera sans pb sur un OS 64-bit?
3) Pour le réseau, je compte mettre 2VM par carte réseau. Je pense que c'est suffisant, au delà (plus de 2 VM par carte réseau), cela pourrait poser pb ?
4) Pour ceux qui ont déjà des serveurs virtualisés, comment procéder vous pour la sauvegarde de chaque VM ?
Merci d'avance à ceux qui pourront m'aider.
Message édité par flashy_fiber le 12-07-2007 à 16:26:39