Forum général.général Questions sur une config de virtualisation

Posté par . Licence CC by-sa
3
6
oct.
2015

Bonjour,
Naviguant un peu à vue sur le sujet, je viens poster en espérant quelques remarques constructives. Ma boîte fait du développement logiciel. Pour tout un tas de besoins, nous avons un serveur de VM avec la config suivante :
- Dell T420
- 128 Go de RAM
- 2 TB en RAID 1
- 2*Xeon 6 Cores

Cette bête est actuellement branchée sur notre LAN, elle fonctionne avec Xubuntu + KVM + WebVirtMgr et tout fonctionne au poil. Mais un nouveau besoin apparaît, il nous faut héberger quelques VMs qui seront visibles depuis l'extérieur directement (donc sans passer par notre VPN comme actuellement).

Alors, nous avons eu l'idée suivante :
- Créer un 2é volume RAID pour héberger ces nouvelles VMs
- Brancher un lien Ethernet au LAN, comme maintenant, pour les VMs internes
- Brancher le 2é lien Ethernet au WAN (possiblement derrière notre firewall, en cours d'étude), avec du NAT, pour héberger les VMs externes
- Le tout étant géré par la même config de virtualisation. Je ne suis pas marié avec KVM, j'accepte vos idées quelles qu'elles soient (je suis même ouvert à VMWare et Hyper-V).

Des avis pour / contre / blanc, des remarques, d'autres idées ?

Un grand merci par avance.

  • # virtu

    Posté par (page perso) . Évalué à 1.

    De notre côté : distrib proxmox
    on virtualise aussi le réseau donc :
    2 cartes en bonding actif/passif, le tout taggé (802.1q)
    Ce qui te permets d'envoyer divers vlans vers le serveur sans être lié au physique.
    (dmz, lan, wan, backup, etc …)

  • # VMWare

    Posté par . Évalué à 1.

    Bonjour,

    Chez nous, nous sommes plus VMWare.
    Je ne sais pas si avec webVirtMgr tu peux gérer sur quel carte sorte tes VMs, si tu le peut, pas de soucis.

    Il faut passer par ton firewall afin de protéger correctement tes Vms, sinon elles se feront bouffé en quelques secondes. Le mieux reste de filtrer par IP les connexions autorisées si tes clients ont une adresse IP WAN fixe (fréquent chez les professionnels mais extrêmement rare chez les particuliers).

  • # sécurité

    Posté par (page perso) . Évalué à 2.

    • Brancher le 2é lien Ethernet au WAN (possiblement derrière notre firewall, en cours d'étude), avec du NAT, pour héberger les VMs externes

    Le même chassis en LAN et exposé sur Internet ? Pourquoi pas, si votre équipe sécurité l'accepte. Généralement, c'est deux chassis distincts qui sont demandés (l'un en zone "protégée", l'autre en zone "exposée").

    C'est néanmoins l'occasion de rénover votre matériel :

    • continuer avec Dell si vous le souhaitez mais passer sur un T430, plus récent
    • le booster à 384 Go de RAM (comme ça vous aurez plus de VM ou plus de RAM par VM)
    • pour le disque, à voir selon vos besoins
    • utiliser ce nouveau serveur en LAN (comme ça vous aurez plus de puissance) et placer l'autre en DMZ (après avoir transféré les VM existantes sur le nouveau, avec les sauvegardes afférentes, filtrage FW…)

    Comme ça, si votre chassis exposé sur Internet se fait attaquer, au moins vous pourrez continuer de travailler en interne/LAN. Pour budgéter, compter 5 k€ pour le serveur, 3 k€ pour stockage et réseau, en voyant large. Pour la justification : d'une part la sécurité + combien coûterait l'immobilisation de vos développeurs pendant 1/2 j s'il y a une indisponibilité du chassis du fait qu'il a été exposé sur Internet ? (+ les temps de "réparation").

    • [^] # Re: sécurité

      Posté par . Évalué à 1.

      Merci pour ce commentaire. Nous sommes une TPE (une petite vingtaine de personnes), l'équipe IT (donc sécurité aussi), c'est moi !! Plus un prestataire qui gère notre firewall.

      Racheter un autre serveur, je crois que ça va pas être possible, notamment pour des questions de budget. Sinon notre T420 a à peine un an, pourquoi le changer ?

      Une autre idée, mais je ne sais pas encore si elle est faisable, serait d'installer 2 OS hôtes virtualisés, et dans chacun, de virtualiser à nouveau les VM. 1 hôte pour les VM externes, et 1 hôte pour les VM internes. Des avis ?

      • [^] # Re: sécurité

        Posté par . Évalué à 3.

        Une autre idée, mais je ne sais pas encore si elle est faisable, serait d'installer 2 OS hôtes virtualisés, et dans chacun, de virtualiser à nouveau les VM. 1 hôte pour les VM externes, et 1 hôte pour les VM internes. Des avis ?

        pourquoi empiler les couches ?
        quid des performances d'une VM qui doit passer par 2 hyperviseurs avant d'atteindre le materiel ?

        cf les reponses en dessous.

        3 VLANs taggués : administration, interne, externe
        idealement sur 3 cartes reseaux distinctes, mais pas obligatoires.

        des VLANs Taggués dans les switchs

        => tu obtiens bien 3 reseaux disjoints derriere ton parefeu pour gerer la securité.

      • [^] # Re: sécurité

        Posté par (page perso) . Évalué à 2.

        l'équipe IT (donc sécurité aussi), c'est moi !! Plus un prestataire qui gère notre firewall.

        et il en pense quoi ton prestataire ? il a sans doute un avis sécurité plus avancé que le mien (vu que je ne suis qu'architecte technique). Mais bon si par malchance une de vos VM en zone exposée vous pourrit les perfs en intranet, suite à une attaque, n'hésite pas à revenir nous le dire :-) (ça te permettra de trouver le financement, tu me diras…).

        Sinon notre T420 a à peine un an, pourquoi le changer ?

        l'idée n'est pas de le changer, mais de le placer en DMZ : tu avais l'air de dire qu'il y aurait moins de VM exposées sur Internet que de VM en intranet, donc autant bénéficier du serveur boosté en Intranet (les tarifs que je t'ai indiqués sont un majorant de l'ordre de grandeur, il doit être possible de négocier…). M'enfin, si ta boîte ne peut pas sortir 8 k€, à ta place, j'aurais un peu peur de savoir si mon salaire va pouvoir m'être versé à la fin du mois :-)

        Une autre idée

        d'accord avec NeoX< :-)

  • # securité à base de VLAN

    Posté par . Évalué à 3.

    utiliser les fonctionnalités de VLAN/TAG des cartes reseaux et des switchs

    cela va te permettre de faire 2 LANs séparés qui passeront chacun par le parefeu.

    tu auras alors :
    - un LAN (le reseau actuel)
    - une DMZ (pour les VMs devant etre exposées)

    faut juste voir si webvirt permet de gerer ca de maniere simple et efficace.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.