tutoriel | installer un hyperviseur VMware ESXi 5.5

Article publiée le 29 Avril 2014

Article mis à jour le  03 Mars 2016

Vmware est pour moi la meilleur solution de Virtualisation.

Je profite justement d’une install d’un Hyperviseur Vmware Esxi 5.5 pour vous rédiger un petit tutoriel sur son installation.

 

1) Installation d’un hyperviseur ESXI

 

-Tous d’abord inscrivez vous sur le site de Vmware est téléchargez gratuitement l’ISO

-Bootez sur l’ISO

Attention vérifiez l’activation de INTEL VT dans les paramètres CPU du BIOS de votre serveur

Durant le chargement vous devriez avoir les écrans de chargement suivants:

 

Puis celui ci :

 

Appuyez sur entrée quand l’écran suivant apparait:

– Appuyez sur F11 :

 

– Sélectionnez le volume qui servira à installer ESXi.

 Si votre baie de stockage est connecté à votre hyperviseur durant l’installation je vous conseille de faire très attention lors de la sélection de votre volume. Il serait dommage que vous formatiez par accident un volume de prod 😉

 

 

– Confirmez avec la touche entrée:

– Sélectionnez la disposition de votre clavier:

 

– Indiquez le mot de passe root:

– Validez l’écran de confirmation en appuyant sur F11

– Esxi est en cours d’installation:

– Une fois l’installation terminée appuyez sur « Enter »:

– Si tout s’est bien passé votre hyperviseur devrait booter:

– A l’écran suivant appuyez sur F2 et entrez votre mot de passe root puis appuyez de nouveau  sur F2:

– Nous allons configurer la première interface réseau. Pour cela sélectionnez « Configure Management Network »

– Paramétrez vos interface et appuyez sur entrée pour valider

– Paramétrez ensuite votre DNS en sélectionnant « DNS Configuration »

– Appuyez sur la touche Echap pour quitter l’écran de configuration. Appuyez sur Y pour valider les modifications.

2) Installation Client Vsphere client

 

– Via votre navigateur connectez sur votre hyperviseur (en indiquant  l’IP ou le nom DNS de votre hyperviseur).

– Une interface Web devrait s’afficher:

– Cliquez sur Download Vsphere Client

– Installez le client sur votre machine.

– Une fois le client installé connectez vous sur votre hyperviseur

– Une fois connecté l’écran l’interface de management de votre hyperviseur apparait :

 3)  Schéma avec Vsphere Vcenter

 

 

4) Installation VMware vCenter

Une fois vos ESXi installés et configurés, l’étape suivante sera de mettre en place un vCenter Server.

Il vous donnera accès à une centralisation de l’administration de vos ESXi ainsi qu’aux fonctionnalités avancées de VMware.

Pour un déploiement rapide vous pouvez installer VCSA (vCenter Server Appliance)

Un tuto est disponible ici : http://www.oameri.com/vmware-installer-vcenter-server-appliance-5-5/

 

 

 

 




tutoriel | sécuriser son réseau avec IPCOP

Article publiée le 26 Avril 2014

Sommaire de ce tutoriel:

1) Présentation d’IPCOP

2) Installation d’IPCOP

3) Présentation des fonctionnalités

4) Exemple d’une topologie réseau simplifié.

 

 

 

1) Présentation

Depuis l’ouverture de mon blog il y a un an je viens de m’apercevoir que je n’ai jamais parlé de sécurité.

Je connais 2 gros produits opensource qui vous propose une solution de sécurité complète (Firewall etc…) : PfSense et  IPCOP.

Pour ma part je retiens IPCOP qui est pour moi facile d’installation et d’administration (toujours partisan de la simplicité ;-)).

IPCOP est tout simplement basé sur un Linux avec netfilter tout cela administrable depuis une belle interface WEB comme vous pouvez le constater avec la capture d’écran ci-dessous:

 

Pour moi cette solution est adapté pour les petites entreprises.

2) Installation

– Téléchargez la dernière version d’IPCOP sur le site officielle:  http://www.ipcop.org/download.php (Latest installation cd)

– Bootez sur l’image et appuyez sur entrée quand vous apercevrez le bel écran de boot :

 

– Sélectionnez la langue :

– Sélectionnez OK et appuyez sur la touche entrée:

– Sélectionnez la bonne version de votre clavier:

– Sélectionnez le bon fuseau horaire:

– Vérifiez la date et l’heure (qui devrait être correct si votre BIOS est à l’heure)

– Après avoir détecté votre matériel, l’assistant d’installation va vous demander quelle volume utiliser pour installer IPCOP:

– L’assistant vous demandera confirmation, validez en sélectionnant OK:

– Sélectionnez ensuite le type de volume que vous possédez

Si votre volume est un RAID ou un disque, sélectionnez « Disque dur »

Si votre volume est une carte SD, sélectionnez « Flash »

– La prochaine étape vous demandera si vous possédez une sauvegarde de config IPCOP. Etant donné que c’est votre première installation sélectionnez « Passer »

– Une fois l’installation terminée appuyez sur Entrée

– Nous allons maintenant commencer à configurer IPCOP. Au prochain écran indiquez le nom d’hote de votre futur Firewall:

– Entrez le nom de domaine de votre réseau (si vous en avez pas laisser localdomain par défaut):

– Nous allons maintenant paramétrer les interfaces. La sélection dépend de la topologie de votre réseau ainsi que le positionnement de votre Firewall.

La couleur de l’interface correspond à un rôle bien défini:

Interface réseau ROUGE

Ce réseau correspond à l’Internet ou tout autre réseau considéré non sûr. Le but premier d’IPCop est de protéger les autres réseaux (VERT, BLEU et ORANGE) et les ordinateurs qui leurs sont rattachés du trafic provenant de ce réseau ROUGE. Votre méthode de connexion et votre matériel actuel serviront à la connexion à ce réseau.

 Interface réseau VERTE

Cette interface est reliée aux ordinateurs qu’IPCop doit protéger. Il s’agit en règle générale d’un réseau local. Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

Interface réseau BLEUE

Ce réseau optionnel vous permet de regrouper vos périphériques sans fil sur un réseau séparé. Les ordinateurs de ce réseau ne peuvent accèder au réseau VERT sauf par le biais d’oeilletons volontairement établis, ou par le biais d’un VPN. Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

Interface réseau ORANGE

Ce réseau optionnel vous permet d’isoler sur un réseau séparé vos serveurs accessibles au public. Les ordinateurs reliés à ce réseau ne peuvent accéder au réseaux VERT ou BLEU, à moins que vous n’établissiez volontairement un oeilleton. Cette interface utilise une carte réseau Ethernet dans la machine IPCop.

 

– Après avoir paramétré vos cartes, l’assistant de configuration vous demandera si vous avez besoin qu’IPCOP soit un serveur DCHP. Pour ma part je trouve cela totalement hors de propos. Je vous conseille de le désactiver et de passer à l’écran suivant.

– Indiquez votre mot de passe root et validez en appuyant sur entrée

– Indiquez le mot de passe de la webinterface:

 

– Indiquez le mot de passe de la clé de cryptage des sauvegardes de configuration:

– Une fois la configuration terminée l’assistant va faire redémarrer votre serveur.

 

Si tout s’est  passé bien vous devriez avoir ceci:

Comme IPCOP est basé sur un noyau Linux il est possible en cas d’erreur de configuration durant le processus d’installation de modifier vous même des élément, comme l’IP des cartes réseaux.

 

– Connectez vous sur l’interface Web via l’url suivante : https://<IP ou DNS de la machine>:8443. Indiquez les identifiant de la webinterface que vous avez indiqué lors de l’installation (login pas défaut : admin)

 

3) Présentation des fonctionnalités

 

– IPcop est un outil extrêmement complet. Je ne peux malheureusement pas faire un tuto sur chaque fonctionnalité, cependant vous allez vite vous apercevoir que cette solution est extrêmement intuitive.

Je vais vous présenter les fonctionnalités qui sont pour moi importantes:

 

 Le monitoring

 

 

Paramètre SSH et messagerie

Je vous conseille dans un premier temps de configurer votre accés SSH ( qui sera disponible uniquement via l’interface GREEN) ainsi que les paramètre de messagerie pour recevoir les alertes de votre firewall

Filtrage URL et Proxy

Et bien sur la configuration du Firewall:

Si cette solution vous plait, vous pourrez trouver plus d’information sur le site officiel: http://ipcop.org/

 

4) Exemple de topologie réseau simplifié

 

Ci dessous un petit schéma réseau simplifié.

Même si IPCOP est un outil qui peut tout faire, je vous conseille fortement d’utiliser une machine par rôle. Cela veut dire qu’il est plus que déconseillé de mettre un proxy sur la même machine que votre Firewall.

Il est préférable de monter un serveur proxy indépendant et de lui autoriser une sortie vers le net via une règle de Firewall adapté. Votre Firewall devra également interdire les pc utilisateurs de sortir directement pour les forcer à passer par le proxy.

 

 

 

 

 

 




Comprendre les commandes SHELL avec explainshell

Article publiée le 24 Avril 2014

 

Toujours dans ma foulé des outils de scripting SHELL je vous  propose aujourd’hui un super outil qui s’appelle ExplainShell.

Ce site accessible depuis une interface web via l’url : http://explainshell.com/  vous explique la signification des commandes shell les plus complexes.

Finit les longs moment de solitudes devant un script SHELL conçu par un de vos collègue utilisant des commandes incompréhensible !!! 🙂

 

 

 

Enjoy!

 

 

 

 

 

 




Vérifier vos scripts Shell avec ShellCheck

Article publiée le 16 Avril 2014

 

Une petite découverte forte sympathique!

Un collègue vient de me montrer un outil absolument génial qui permet de vérifier vos scripts shell (Variable non initialisée, erreur de synthaxe etc…) et je dois dire que cet outil s’est montré très performant voir bleuffant!

Cette outil s’appelle ShellCheck.

Vous avez la version online ici disponible sur ce site: http://www.shellcheck.net/

De plus il est également possible de télécharger une version local installé sur un de vos serveurs. Vous pourrez donc en une commande checker vos scripts!

Pour cela allez sur le site pour récupérer les sources: https://github.com/koalaman/shellcheck

 

– Dézipper l’archive zip

unzip -e <nom de l’archive>

– Aller dans le répertoire contenant les sources

– Installez ensuite les dépendances nécessaires:

 

Sous Debian:

– apt-get install ghc libghc-parsec3-dev lightghc-json-dev lightghc-regex-compat-dev libghc-quickcheck2-dev pandoc

 

Sous Centos/RedHat

– Installez les dépots EPEL. (tutoriel disponible ici)

– yum install ghc ghc-parsec-devel ghc-QuickCheck-devel ghc-json-devel ghc-regex-compat-devel pandoc

Le package pandoc n’est pas indiqué dans la documentation officielle, il est cependant nécessaire de l’installer!

 

– Il ne reste plus qu’à compiler:

make

– Copier le binaire dans /usr/bin

La commande shellcheck est maintenant disponible.

 

Faisons un petit test  avec un script contenant une erreur (par de fermeture de la condition if avec fi).

Contenu du script

– Vérifions avec shellcheck le script:

– Nous allons maintenant tester shellcheck avec une erreur un peu plus subtile (variable initialisé mais non utilisée):

Contenu du script

Résultat avec shellcheck:

Shellcheck  relève l’erreur!(en rouge les erreurs critiques, en vert les erreurs non critiques)

Enjoy! 🙂

 

 

 

 

 

 

 

 

 

 

 




Présentation de glances l’outil de supervision ultime!

Article publiée le 10 Avril 2014

Glances est un outil de monitoring extrêmement connu et utilisé dans le monde HP UX (j’ai rédigé un article dessus il y a quelque temps).

Mais il existe également un projet Glance sous Linux développé par NicoLargo. Pour moi c’est l’outil de monitoring en ligne de commande le plus puissant qui existe pour les systèmes Linux.

Ci dessous un petit screenshot:

 

 

Installation sous Debian/Ubuntu:

– Installez glances via apt depuis les dépôts officiels de votre distribution

apt-get install glances

Installation sous RedHat/Centos/:

– Installez glances depuis les dépôts EPEL. Pour ceux qui le désire une procédure d’installation des dépôts EPEL est disponible sur mon blog ici

– Ensuite il ne vous reste plus qu’à installez glances:

yum install glances

 

 

 

 

 

 




Tuto | Tutoriel d’installation EPEL Repo

Article publiée le 10 Avril 2014

Mise à jour le 6 Decembre 2015

EPEL ou encore (Extra Package for Entreprise Linux) est un repo qui founit des package additionnels pour les distibution type RedHat, Centos etc…(maintenu par la communauté FEDORA)

Souvent j’ai reproché au dépôt officiel de ces distribution d’être moins garnis que les dépôts des distributions type Debian/Ubuntu Server.

En installant EPEL vous aurez un nombre de packages disponibles via votre gestionnaire de paquets yum beaucoup plus importants!

Pour installer le dépot EPEL vous devez procéder de la manière suivante:

Pour Redhat 7 /Centos 7:

RHEL/Cento 7 : wget https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm && rpm -ivh epel-release-7*.rpm

Pour Redhat 6 /Centos 6:

RHEL/CentOS 6 32-Bit: wget http://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm && rpm -ivh epel-release-6-8.noarch.rpm  RHEL/CentOS 6 64-Bit: wget http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm && rpm -ivh epel-release-6-8.noarch.rpm

Pour Redhat 5 /Centos 5:

RHEL/CentOS 5 32-Bit: wget http://download.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpm && rpm -ivh epel-release-5-4.noarch.rpm RHEL/CentOS 5 64-Bit: wget http://download.fedoraproject.org/pub/epel/5/x86_64/epel-release-5-4.noarch.rpm && rpm -ivh epel-release-5-4.noarch.rpm

 

Il ne reste plus qu’à checker que le repo soit correct :

Vous avez maintenant la possibilité d’installer beaucoup plus de paquet via yum qu’avant!

 

Enjoy 😉




tutoriel | Installation et configuration de Tomcat 8

Article publiée le 7 Avril 2014

Article mis à jour le 08 Novembre 2016

1) Présentation

Tomcat 8 est enfin sortie en version final et forcément je ne peux résister à l’idée de rédiger un petit tutoriel dessus.

Tous d’abord faisons un point sur les nouveautés:

– Implémentation des spécification de JAVA7

– Implémentation de Java Servlet  3.1,

– Implémentation de de JavaServer Page2.3

J’ai également eu des retours comme quoi Tomcat 8 serait plus performant que son prédécesseur!

Ci dessous un petit tuto rappel de comment installer un serveur tomcat (version 8):

Cette article reprend le tutoriel que j’ai rédigé pour tomcat 7 en étant adapté pour cette nouvelle version. Il n’y aura pas de gros changement pour les personnes ayant lu le tutoriel sur tomcat 7 🙂

 

 

Prérequis: Java

yum install java* pour (RedHat/Centos) ou apt-get install openjdk* (Sous debian/Ubuntu)

 

– Créez proprement votre répertoire d’installation de tomcat, dans mon cas cela sera /apps/tomcat

mkdir /apps/tomcat

– Décompressez l’archive dans le répertoire de destination:

mv <votre archive>.tar.gz <repertoire d’installation>  &&  tar -xvf  <repertoire d’installation>/<votre archive>.tar.gz

exemple: mv apache-tomcat-8.0.3.tar.gz && tar -xvf /apps/tomcat/apache-tomcat-8.0.3.tar.gz

Quelques petites explications:

– Le répertoire bin contient tous les scripts de tomcat notamment ceux de démarrage et d’arrêt.

– Le répertoire conf contient tous les fichiers de configuration de tomcat

– Le répertoire webapps contient toutes les webapps (vos servlets java)

2) Configuration

– Allez dans le répertoire conf:

cd conf

– Si vous désirez changer le port d’écoute éditez le fichier server.xml et éditez cette ligne en remplaçant le port par défaut 8080 par celui que vous désirez:

<Connector port= »8080″ protocol= »HTTP/1.1″
connectionTimeout= »20000″
redirectPort= »8443″ />
<!– A « Connector » using the shared thread pool–>

 

– Editons ensuite le fichier tomcat-user afin de définir le mot de passe de l’interface d’administration de tomcat:

Le dernier « paragraphe »  du fichier de configuration est commenté. Pour le dé-commentez enlevez :

<!– et  –>

Ajoutez ensuite les balises rolename:

<role rolename= »manager »/>

<role rolename= »manager-gui »/>

Créons ensuite le user qui aura les droits d’admin de votre serveur tomcat:

<user username= »tomcat-admin » password= »tomcat » roles= »manager,manager-gui »/>

Sans oublier de modifier le password !

-Il ne reste plus qu’ à redémarrer Tomcat :

rendez vous dans le répertoire bin (de tomcat) et exécutez ces scripts:

./shutdown.sh (pour arréter tomcat)

./startup.sh (pour démarrer tomcat)

 

– Connectez  vous à l’interface d’administration de votre serveur tomcat via votre navigateur depuis cette URL: <ip ou DNS de votre machine>:8080

Ici vous trouverez la liste des Webapp déployées.

-Il existe 2 méthodes pour déployer une Webapp (fichier .war):

La première (la plus simple) consiste à cliquer sur le bouton déployer et de selectionnez votre fichier war.

Tomcat se chargera de la déployer pour vous. Une fois le déploiement terminé vous pourrez voir apparaître une nouvelle ligne avec le nom de votre Webapp.

La deuxième plus longue mais très utile si vous voulez scripter des déploiements automatiques consiste à arrêter votre serveur tomcat, déposez votre fichier war dans le répertoire webapps et redémarrer le service tomcat.

Votre Webapp sera automatiquement déployée.

Petite nouveauté! :

Avec la version 8 de tomcat l’interface d’administration a légèrement changé. Il est maintenant possible d’avoir facilement une vue concernant la consommation mémoire java:

 

3) Tunning : 

Il est possible, si vous déployez des applications lourdes ou en grand nombre, que vous ayez des problèmes mémoires.

Dans ce cas vous pourrez avoir des messages d’erreur ou de grosses lenteurs lors de l’exécution de vos webapps.

Pour cela éditez le fichier startup.sh et ajoutez à la ligne export JAVA_OPTS= -server -Xms<mémoire minimal alloué> -Xmx <mémoire maximum alloué>

Exemple:

export JAVA_OPTS= »-server -Xms2048m -Xmx2048m »

Redémarrez votre serveur Tomcat afin que les modifications soient prises en comptes.

 

Si vous rencontrez d’autres problèmes mémoire vous pouvez vous rendre sur cette page :

http://journaldunadminlinux.fr/tomcat-severe-failed-to-initialize-java-lang-outofmemoryerror-permgen-space/

Cette article traite d’un problème Tomcat et pourra peut-être vous aider.

 

4) Script de démarrage

Afin de vous faciliter la vie, je vous livre ci-dessous le script de démarrage de tomcat à déposer dans le répertoire init.d:

#!/bin/sh
CATALINA_HOME=<repertoire tomcat>; export CATALINA_HOME
JAVA_HOME=<repertoire java>; export JAVA_HOME
TOMCAT_OWNER=<votre user tomcat>; export TOMCAT_OWNER

start() {
echo -n « Starting Tomcat:  »
su $TOMCAT_OWNER -c $CATALINA_HOME/bin/startup.sh
sleep 2
}
stop() {
echo -n « Stopping Tomcat:  »
su $TOMCAT_OWNER -c $CATALINA_HOME/bin/shutdown.sh
}

# See how we were called.
case « $1″ in
start)
start
;;
stop)
stop
;;
restart)
stop
start
;;
*)
echo $ »Usage: tomcat {start|stop|restart} »
exit
esac

5) Best Pratice

– Si votre application doit-être accessible depuis le monde extérieur je vous conseille de procéder à un couplage (Apache/Tomcat) avec les règles firewall qui vont bien

– Utilisez toujours un serveur apache en front en mode revese proxy. Vos clients ne doivent pas se connecter en direct sur le Tomcat. Un tuto est disponible: http://journaldunadminlinux.fr/tutoriel-mettre-en-place-un-reverse-proxy-sur-apache-via-mod_proxy/

 

 

 




Tuto | Déplacer un groupe de volume (VG) vers un autre système

Article publiée le 5 Avril 2014

 

Après un mois d’inactivité je me permet de poster un nouveau petit tuto.

On m’a demandé récemment de migrer un volume groupe (VG) situé sur une baie d’un système vers un autre. Cela peut paraître bête mais c’est une manipulation que je n’avais jamais faites. Avant de procéder j’ai testé la manipulation sur 2 VMs de test et je me permet de vous partager la procédure. Ceci est une manipulation simple mais mieux vaut pas se rater! 😉

 

– Tous d’abord démontez le FS que vous voulez déplacer:

umount <point de montage>

Exemple : umount /mount/test/

 Si vous obtenez un message d’erreur du type « device is busy » cela veut dire que votre FS est en cours d’utilisations. Utilisez la commande lsof afin de savoir quelles processus utilisent votre fs et killez les si nécessaire

– On va rendre ensuite votre VG totalement inactif par rapport au noyau Linux

vgchange -an <votre VG>

Exemple: : vgchange -an vgtest

– Nous allons préparer notre VG à être exporté:

vgexport  vgtest

Exemple: vgexport vgtest

 

 * Vous pouvez maintenant procéder à vos manipulations sur votre stockage afin de faire le transfert vers votre nouveau serveur.

 

– Sur votre nouveau système faites un « pvscan » afin de détecter votre nouveau PV et VG.

Exemple:

– Nous allons maintenant importer le nouveau VG:

vgimport <nom du VG>

Exemple

vgimport vgtest

– Activez le vg nouvellement importé

vgchange -ay <nom du vg>

Exemple:

vgchange -ay vgtest

– Il reste plus qu’à monter le FS!!

mount /dev/<VG>/<LV> <votre point de montage>

Exemple: mount /dev/vgtest/lvtest /mount/test

 

Enjoy!!!