jean_clume a écrit 143 commentaires

Merci des conseils.
L'hyperviseur est un PowerEdge R420 avec des disques SCSI 15M trs/mns en raid1.
Il y'a du LVM dessus et j'ai un LV pour chaque VM Zabbix et Zabbix-db.
J'hérite de l'infra et il est clair que ce qui a été mis en place n'est pas dimensionné.
Je pense que je peux investir dans du métal pour y coller mon zabbix-db, mais quid de la configuration (très peu de tuning mis en place finalement par rapport à un conf d'origine que ça soit au niveau Zabbix ou Mysql).
Que pensez vous du fait de partitionner les tables ? Faut il une version de mysql spécifique pour ça (j'ai la 5.5.41) ou comme le disait Sebastien passer à Postgresql (c'était pour le partitionnement ou y'a t'il d'autres raisons?)

Les VM sont chacune sur un LV LVM elles utilisent virtio.
Par contre il y'a quelque chose de bizarre dans la configuration:

    # virsh edit zabbix-db-1


    <domain type='kvm'>
      <name>zabbix-db-1</name>
      <uuid>xxxxx-xxxxx-xxxxx-xxxxx</uuid>
      <memory>16777216</memory>
      <currentMemory>16777216</currentMemory>
      <vcpu>6</vcpu>
      <os>
        <type arch='x86_64' machine='pc-1.0'>hvm</type>
        <boot dev='hd'/>
      </os>
      <features>
        <acpi/>
      </features>
      <clock offset='utc'/>
      <on_poweroff>destroy</on_poweroff>
      <on_reboot>restart</on_reboot>
      <on_crash>destroy</on_crash>
      <devices>
        <emulator>/usr/bin/kvm</emulator>
        <disk type='file' device='disk'>
          <driver name='qemu' type='raw'/>
          <source file='/dev/kvm-6-vg/zabbix-db-1'/>
          <target dev='vda' bus='virtio'/>
          <address type='pci' domain='0x0000' bus='0x00' slot='0x05' function='0x0'/>
        </disk>
        <controller type='ide' index='0'>
          <address type='pci' domain='0x0000' bus='0x00' slot='0x01' function='0x1'/>
        </controller>
        <interface type='bridge'>
          <mac address='x:x:x:x'/>
          <source bridge='br0'/>
          <model type='virtio'/>
          <address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
        </interface>
        <input type='mouse' bus='ps2'/>
        <graphics type='vnc' port='-1' autoport='yes' listen='127.0.0.1'>
          <listen type='address' address='127.0.0.1'/>
        </graphics>
        <video>
          <model type='cirrus' vram='9216' heads='1'/>
          <address type='pci' domain='0x0000' bus='0x00' slot='0x02' function='0x0'/>
        </video>
        <memballoon model='virtio'>
          <address type='pci' domain='0x0000' bus='0x00' slot='0x04' function='0x0'/>
        </memballoon>
      </devices>
    </domain>

Ce qui me choque c'est controller type='ide' normal?

Merci Sebastien et Paulez,
effectivement c'est bien la base de donnée le goulot d'étranglement.

Certaines tables sont assez volumineuses:
12181516 kb history_str.ibd
35266612 kb history_uint.ibd
68874308 kb trends_uint.ibd
119444604 kb history.ibd

Je pense que la configuration Mysql a clairement été mal définie vu le besoin.
Le serveur de bdd n'est pas sur la même VM , mais c'est une VM qui est … sur le même hyperviseur!
Voici la configuration de la BDD:
VM Ubuntu Server 12.04 6vcpu 16GB ram 300GB disk
Le fichier /etc/mysql/my.cnf
[client]
port = 3306
socket = /var/run/mysqld/mysqld.sock
[mysqld_safe]
socket = /var/run/mysqld/mysqld.sock
nice = 0
[mysqld]
user = mysql
pid-file = /var/run/mysqld/mysqld.pid
socket = /var/run/mysqld/mysqld.sock
port = 3306
basedir = /usr
datadir = /var/lib/mysql
tmpdir = /tmp
lc-messages-dir = /usr/share/mysql
skip-external-locking
key_buffer = 16M
max_allowed_packet = 32M
thread_stack = 192K
thread_cache_size = 8
myisam-recover = BACKUP
query_cache_limit = 1M
query_cache_size = 16M
log_error = /var/log/mysql/error.log
log_slow_queries = /var/log/mysql/mysql-slow.log
long_query_time = 30
server-id = 1
log_bin = /var/log/mysql/mysql-bin.log
expire_logs_days = 5
max_binlog_size = 300M
binlog_do_db = zabbix
innodb_buffer_pool_size = 12G
[mysqldump]
quick
quote-names
max_allowed_packet = 1G
[mysql]
[isamchk]
key_buffer = 16M
 !includedir /etc/mysql/conf.d

/run (/et var/run qui est en fait un lien) est en tmpfs et fait 3GB

Apparemment il est conseillé de partitionner les tables les plus grosses (faisables avec MysqL?)
Si réduire la fréquence des checks semble difficile je pense que je peux par contre réduire la durée de rétention des items si ça peut augmenter les performances.

Mon avis: la certification de la LFS est bien trop récente pour être reconnu par qui que ce soit en France.
Quitte à avoir une certification le cursus RHCE me semble un meilleur choix (en plus les examens requiert de la pratique, pas simplement un simple qcm ce qui n'est pas le cas de la LCI par exemple).

Merci Nono,
j'ai déjà utilisé la deuxième solution moi aussi dans le même cas que toi (redirection inconditionnelle vers le ns du FAI), cependant vu que les deux solutions fonctionnent pourquoi préconiser l'une ou l'autre?
En sachant que dans notre cas on a affaire à un sous domaine (directory.societe.io) qui redirige vers un domaine parent (societe.io).

Il semblerait que mon dernier message n'est pas été publié.
Je donne la solution pour ceux qui aurait le problème:
c'était un problème de synchro entre les deux DC (je n'avais pas répliqué le sysvol).
J'ai coupé le second DC et le problème avait disparu.
En recopiant la base tld depuis le DC principal et en mettant un place un rsync pour le partage sysvol ça a refonctionné.
Pas mal de configuration manuelle à faire si on utilise plusieurs DC, heureusement le wiki aide beaucoup (à condition de le lire jusqu'au bout!).
Bonne Samba à tous.

Bon j'ai relu attentivement le wiki et j'avais zappé pas mal de truc notamment dans la partie Partage de fichier.
Lien
J'ai donc tout refait en suivant la procédure, à savoir:
-Ajout d'un GID pour les groupes admin de domain et user du domain (afin de les voir sur mon serveur membre).
-Ajout du privilège SeDiskOperatorPrivilege pour le group Admin du domaine
-Positionnement des acl sur le share pour le groupe Admin du domaine depuis le serveur membre
-Depuis Windows: mettre les permissions sur le share et les ACL sur les répertoires.

Le problème c'est que j'ai toujours l'affichage du SID à la place du nom du groupe sur les répertoire de mon partage.
Et coté serveur membre je ne vois pas les acl Windows avec un getfacl, uniquement celui que j'ai positionné depuis le serveur membre, les permissions ajoutées coté Windows ne sont pas vues.
Il y'a un problème entre les ACL Posix et les ACL Windows…

Oui j'ai bien joint au domaine mon serveur membre par contre la commande est un peu différente que pour les DC, c'est:

net join ads join -U administrator

Pour sssd/winbind vu que j'utilise le RFC2307 avec les uid/gid pour mes comptes AD j'ai pensé que ça serait bien pratique de pouvoir avoir des comptes en local aussi sur le serveur membre, mais tu as raison ça n'a rien à voir avec mon problème de SID.

Par contre si tu n'utilises pas winbind/sssd que devrait remonter alors un getfacl /share sur un partage avec des ACL Windows comprenant des comptes avec les Unix attributes?
J'avoue que cette partie "ACL Windows qui s'affiche sur Linux" est un peu confuse pour moi.

En relisant le wiki je me suis rendu compte que j'ai zappé cette étape:
"You must also give the users default primary group, "Domain Users", a gidNumber attribute containing an id number within the range used in smb.conf"

Pas sur que ça ait un impact mais je vais essayer.

Oui MYDOMAIN.EXAMPLE est bien mon domaine DNS et mon resolv.conf est correct.
Je pense que ma conf DNS est correcte (je résous toutes les entrées DNS de l'AD y compris les services ldap et Kerberos).
En furetant un peu sur la mailing list Samba j'ai vu que la team Samba préconisait l'usage de winbind (qu'ils développent) plutôt que de sssd, mais je n'ai pas réussi à configurer correctement winbind pour ne serait qu'afficher mes utilisateur et groupes AD depuis mon serveur membre.

Salut Neox,
oui elle est bien intégrée au domaine c'est depuis cette machine que j'administre l'AD.
Je viens de reprendre toute ma conf, la partie DNS est OK à tous les niveaux.
Je pense que mon problème doit venir soit de ma conf sssd soit de ma conf samba sur mon serveur de fichier.
Je poste la conf à toute fin utile:

/etc/sssd/sssd

    [sssd]
    config_file_version = 2
    domains = mydomain.example
    services = nss, pam
    reconnection_retries = 3
    debug_level = 7 

    [domain/mydomain.example]
    id_provider = ad
    access_provider = ad
    dyndns_update = false
    enumerate = true
    krb5_keytab = /etc/krb5.keytab
    ldap_id_mapping = false

/srv/samba4/etc/smb.conf

[global]   
    netbios name = admember-1
    workgroup = MYDOMAIN
    security = ADS
    realm = MYDOMAIN.EXAMPLE
    interfaces = lo eth0
    bind interfaces only = yes
    dedicated keytab file = /etc/krb5.keytab
    kerberos method = system keytab
    username map = /srv/samba4/etc/user.map
    idmap config *:backend = tdb
    idmap config *:range = 2000-9999
    idmap config MYDOMAIN:backend = ad
    idmap config MYDOMAIN:schema_mode = rfc2307
    idmap config MYDOMAIN:range = 10000-99999  
    vfs objects = acl_xattr
    map acl inherit = Yes
    store dos attributes = Yes
    [demoshare]
    path = /srv/shares/test
    read only = no

Merci.

Il te faut samba4, pas besoin d'openldap samba embarque son propre serveur ldap.
C'est un vrai AD (2008 R2 par défaut) il manque juste encore quelques fonctionnalités (RODC et réplication sysvol).
Sinon ça s'administre même depuis un poste windows depuis une MMC, bref tout pareil!
Suis à la lettre le wiki et tu y arriveras!

OK je confirme que ça fonctionne !
Merci à vous.

Je l'utilise et il manque la possibilité de diviser une opération en sous opération mais pour le reste c'est bon.
Honnêtement pour de la finance personnelle il fait le boulot,jette un œil sur les version récentes.

D'accord mais vu que j'utilise bind+DLZ, ma zone domaine.io sera donc dans la base de donnée de l'AD, tu gères ton DNS dans une console MMC?
Honnêtement je n'ai aucune idée de comment fonctionne le DLZ avec bind, j'ai mis ça en place et çajustemarche quand j'intègre des clients dans le domaine, du coup je voulais éviter de mettre mes autre entrée dedans car je ne maîtrise pas encore trop ce que je fais, et je pense pas que bind gère les fichiers plats pour mon domaine.io ET les données en base pour l'AD (le peut il?),d'où la raison de vouloir garder mon ancien bind "classique" pour ma zone domaine.io

Ok merci Neox.
Je suis exactement dans le même cas, j'ai déjà un DNS+DHCP sur mon LAN et je pensais naïvement pouvoir remplacer mon DNS actuel par le BIDN+DLZ recommandé par Samba.
Je vais donc créer une nouvelle zone spécifique à l'AD.

Je méfie toujours de l'USB depuis que j'ai lu cette dramatique mésaventure qui aurait pu arriver à chacun d'entre nous.

Salut,
oui je connais virtmanager, comme je déploie du ubuntu server j'utilise vmbuilder pour faire des installations scriptées d'un système basique que je complète ensuite avec mon gestionnaire de configuration (Ansible).
Mais cette solution (VMbuilder) présente des bugs, notamment udevd qui empêche la fin de l'installation de la VM (obligé de tuer le process à la main, c'est moyen pour un script!) et l'impossibilité d'utiliser directement un LV comme stockage (je suis obligé d'utiliser du qcow que je convertit en raw pour ensuite le dd dans mon LV, mais ça fonctionne bien !).
Dans ta doc tu n'expliques pas quel est l'avantage d'utiliser des volumes à présenter aux VMs.
Pourquoi je dois créer des pools, créer des volumes dedans (partition, dossier ou même LV) plutôt que de par exemple donner un LV directement aux VM?
Est ce simplement une façon d'ordonner l'espace de stockage alloué aux VM (tel pool pour la prod, tel autre pour la préprod, etc ..)

Merci.

Tellement de sujets intéressants ce week-end là qu'il a fallut faire un choix, j'attendais avec impatience la mise en ligne des conférences que j'ai loupé, un grand merci pour la diffusion en différé :)

Merci de vos retours.
J'ai épluché pas mal test antivirus par des labos indépendants.
J'ai voulu testé Nod32 (bonne détection et surtout consomme peu de ressource) qui propose, à l'instar de Bitdefender une licence multi OS WIndows,Mac,Linux.
Après avoir pris contact avec le commercial il s'avère qu'ils vont sortir la console d'administration sous Linux fin Février 2015.
Neox je pense que je vais aussi mettre en place le proxy avec A/V.

Salut Neox,
j'ai installé MS security essential: c'est une passoire!
Ce n'est pas tant les virus qui posent problème mais plutôt les petits programmes qui se plug sur les navigateurs en détournant du traffic en installant un proxy.
Ce genre de chose sont détéctés par les gros antivirus (Nod32, TrendMicro ou McAfee et encore pas toujours).
J'avais pensé à ClamAV mais l'absence de console est un vrai problème, et pour revenir à ClamAV supporte il la comparaison avec disons un Nod32?
Le prix n'est pas forcément un critère rédhibitoire (dans la limite du raisonnable), c'est vrai qu'on aimerait bien que la console soit sur Linux mais j'ai pas l'impression qu'il y'en ait beaucoup qui propose ça …

Effectivement j'ai la dispense du préavis en bonne et due forme.
J'ai même pas eu besoin de lettre recommandée, une simple menace par email à suffit, avec rappel à la loi et menace de pénalité par jour de retard.
C'est rentré dans l'ordre mais si je n'avais pas haussé le ton je pense que j'aurais été bon pour attendre un mois de plus.
Merci de vos conseils.

Et bien non la RH m'avait annoncé par téléphone que tout se ferait par chèque directement à la fin du mois.
C'est bien eux qui gère eux même la paie et la mésaventure d'avoir tout (dernier salaire + solde de tout compte) payé 2 mois plus tard est arrivé à un collègue qui avait démissionné dans l'année.
Quoiqu'il en soit je vais leur envoyer une lettre recommandé avec accusé de réception mais c'est pas ça qui va régler mes factures.
Pas mécontent de quitter ces p*tains de SSII!

et en milieu heterogene, ce sera toujours le windows qui te posera probleme,

Exact et il en suffit d'un pour devoir repenser toute l'infra! :)

on avait commencé à integrer les postes linux dans le domaine pour avoir le login graphique qui prend les infos dans l'AD, mais ce morceau etait le plus complexe (meme en LDAP pur)

Ah? pourquoi était ce compliqué? c'est quoi qui bloquait? pam?
J'ai l'impression qu'avec sssd et un samba4 ça se fait (presque) tout seul maintenant.

Bon tu m'as convaincu, Go samba4 alors!

Merci pour ton retour Neox.
J'ai cependant une vielle appréhension de laisser Samba tout gérer.
Qu'en sera t-il si la version Windows N+1 n'est plus compatible?

Ne vaudrait il pas mieux avoir moins d'options (et donc se passer d'un DC AD) et gérer les postes Windows avec du vrai LDAP?
En gros est ce qu'avoir un AD n'est pas pénalisant pour mes applis qui voudront utiliser du vrai LDAP (je suis totalement noob en AD, je sais juste que les schéma ne sont pas standard).

Merci.

Wow!
Je me sers des tunnels pour laisser mes services écouter sur l'interface local uniquement là un pas supplémentaire est franchi.
Dans le cas de Mysql c'est effectivement super pratique.