« Proxmox et OpenVZ » : différence entre les versions

Aller à la navigation Aller à la recherche

Proxmox et OpenVZ (voir la source)

Version du 16 mai 2015 à 12:49

5 749 octets ajoutés ,  16 mai 2015
aucun résumé des modifications
Aucun résumé des modifications
 
(42 versions intermédiaires par le même utilisateur non affichées)
Ligne 2 : Ligne 2 :
[[Category:debian]]
[[Category:debian]]
[[Category:virtualisation]]
[[Category:virtualisation]]
* '''Cette page n'est plus maintenue, les informations contenues ici sont potentiellement obsolètes''' *


=Partitionnement du disque dur=
=Partitionnement du disque dur=
Ligne 180 : Ligne 183 :


<pre>
<pre>
echo onyx.csnu.org > /etc/hostname
echo proxmox.domain.tld > /etc/hostname
echo onyx.csnu.org > /etc/mailname
echo proxmox.domain.tld  > /etc/mailname
</pre>
</pre>


Ligne 188 : Ligne 191 :
aptitude install proxmox-ve-2.6.32 ntp lvm2
aptitude install proxmox-ve-2.6.32 ntp lvm2
</pre>
</pre>
Gardez en considération que si vous créez des VEs avec openvz, vous n'aurez pas besoin d'installer de client ntp sur vos VEs étant donné que les VEs openvz partagent le même kernel que l'host.


Pour simplifier l'administration, créez un lien virtuel de /vz vers /var/lib/vz :
Pour simplifier l'administration, créez un lien virtuel de /vz vers /var/lib/vz :
Ligne 243 : Ligne 248 :


Je vous renvoi sur http://wiki.csnu.org/index.php?title=Installation_et_configuration_de_OpenSSL pour la mise en place d'une autorité de certification.
Je vous renvoi sur http://wiki.csnu.org/index.php?title=Installation_et_configuration_de_OpenSSL pour la mise en place d'une autorité de certification.
Dans l'exemple suivant, je créé un certificat proxmox et le signe avec l'autorité onyx_ca :
Dans l'exemple suivant, je créé un certificat proxmox et le signe avec l'autorité proxmox_ca :


<pre>
<pre>
openssl req -newkey rsa:2048 -keyout proxmox.key -out proxmox.req
openssl req -newkey rsa:2048 -keyout proxmox.key -out proxmox.req
openssl ca -name onyx_ca -extensions PROXMOX -in proxmox.req -out proxmox.pem
openssl ca -name proxmox_ca -extensions PROXMOX -in proxmox.req -out proxmox.pem
</pre>
</pre>


Ligne 253 : Ligne 258 :
mkdir /etc/apache2/ssl/
mkdir /etc/apache2/ssl/
mv proxmox.* /etc/apache2/ssl/
mv proxmox.* /etc/apache2/ssl/
cat /etc/ssl/root_ca/root_ca.pem /etc/ssl/onyx_ca/onyx_ca.pem > /etc/apache2/ssl/cachain.pem
cat /etc/ssl/root_ca/root_ca.pem /etc/ssl/proxmox_ca/proxmox_ca.pem > /etc/apache2/ssl/cachain.pem
</pre>
</pre>


Ligne 359 : Ligne 364 :
# information on enabling SSL in the smtp client.
# information on enabling SSL in the smtp client.


myhostname = onyx.csnu.org
myhostname = proxmox.domain.tld
mydomain = onyx.csnu.org
mydomain = proxmox.domain.tld
alias_maps = hash:/etc/aliases
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
myorigin = /etc/mailname
mydestination = onyx.csnu.org, localhost
mydestination = proxmox.domain.tld , localhost
relayhost =  
relayhost =  
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.0.0/24
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.0.0/24
Ligne 404 : Ligne 409 :
</pre>
</pre>


Puis générez la clé et le certificat, et signez le avec votre autorité (onyx_ca dans mon cas) :
Puis générez la clé et le certificat, et signez le avec votre autorité (proxmox_ca dans mon cas) :
<pre>
<pre>
openssl req -config /etc/ssl/openssl.cnf -nodes -newkey rsa:2048 -keyout postfix.key -out postfix.req
openssl req -config /etc/ssl/openssl.cnf -nodes -newkey rsa:2048 -keyout postfix.key -out postfix.req
openssl ca -config /etc/ssl/openssl.cnf -name onyx_ca -extensions POSTFIX -in postfix.req -out postfix.pem
openssl ca -config /etc/ssl/openssl.cnf -name proxmox_ca -extensions POSTFIX -in postfix.req -out postfix.pem
</pre>
</pre>


Ligne 416 : Ligne 421 :
mv postfix.pem /etc/postfix/ssl/
mv postfix.pem /etc/postfix/ssl/
chmod 600 /etc/postfix/ssl/*
chmod 600 /etc/postfix/ssl/*
cat /etc/ssl/root_ca/root_ca.pem /etc/ssl/onyx_ca/onyx_ca.pem > /etc/postfix/ssl/ca_chain.pem
cat /etc/ssl/root_ca/root_ca.pem /etc/ssl/proxmox_ca/proxmox_ca.pem > /etc/postfix/ssl/ca_chain.pem
</pre>
</pre>


Ligne 516 : Ligne 521 :
Supprimez les paquets inutiles :
Supprimez les paquets inutiles :
<pre>
<pre>
aptitude purge isc-dhcp-common isc-dhcp-client
aptitude purge isc-dhcp-common isc-dhcp-client module-init-tools
</pre>
</pre>


Ligne 670 : Ligne 675 :
</pre>
</pre>


Commencez par mettre à jour la liste des paquets puis installez l'éditeur texte <code>nano</code> si vous n'êtes pas fan de <code>vi</code> qui lui est installé par défaut :
Commencez par mettre à jour la liste des paquets puis installez l'éditeur texte <code>nano</code> si vous n'êtes pas fan de <code>vi</code> qui lui est installé par défaut, ainsi qu'aptitude :
<pre>
<pre>
apt-get update
apt-get update
Ligne 694 : Ligne 699 :
<pre>
<pre>
update-rc.d -f ondemand remove
update-rc.d -f ondemand remove
update-rc.d -f klogd remove
</pre>
</pre>


Ligne 710 : Ligne 714 :
aptitude update
aptitude update
aptitude safe-upgrade
aptitude safe-upgrade
</pre>
Supprimez les paquets inutiles :
<pre>
aptitude purge ubuntu-minimal eject isc-dhcp-client isc-dhcp-common ntpdate console-setup kbd
</pre>
Vous pouvez voir la liste des paquets installés avec
<pre>
aptitude search '~i'
</pre>
Remplacez rsyslog par sysklogd :
<pre>
aptitude purge rsyslog
aptitude install sysklogd
</pre>
</pre>


Ligne 720 : Ligne 739 :
<pre>
<pre>
dpkg-reconfigure tzdata
dpkg-reconfigure tzdata
locale-gen fr_FR.UTF-8 fr_FR.ISO8859-1
locale-gen fr_FR.UTF-8
aptitude install language-pack-fr
echo "LANG=\"fr_FR.UTF-8\"" > /etc/default/locale
chmod o+r /etc/default/locale
</pre>
</pre>


Ligne 740 : Ligne 762 :


Vous pouvez faire de même dans <code>/etc/skel/.profile</code> et <code>/etc/skel/.bashrc</code> (umask, couleurs, ...) pour les futurs utilisateurs du VE.
Vous pouvez faire de même dans <code>/etc/skel/.profile</code> et <code>/etc/skel/.bashrc</code> (umask, couleurs, ...) pour les futurs utilisateurs du VE.
Supprimez les paquets inutiles :
<pre>
aptitude purge ubuntu-minimal eject isc-dhcp-client isc-dhcp-common ntpdate console-setup kbd
</pre>
Vous pouvez voir la liste des paquets installés avec
<pre>
aptitude search '~i'
</pre>


Désactivez getty (inutile sur les VEs) :
Désactivez getty (inutile sur les VEs) :
Ligne 771 : Ligne 784 :
ln -s /proc/mounts /etc/mtab
ln -s /proc/mounts /etc/mtab
update-rc.d -f mtab.sh remove
update-rc.d -f mtab.sh remove
vérifier la présence de mtab.sh
</pre>
</pre>


Ligne 786 : Ligne 798 :
ssh-keygen -f /etc/ssh/ssh_host_rsa_key -t rsa -N ''
ssh-keygen -f /etc/ssh/ssh_host_rsa_key -t rsa -N ''
ssh-keygen -f /etc/ssh/ssh_host_dsa_key -t dsa -N ''
ssh-keygen -f /etc/ssh/ssh_host_dsa_key -t dsa -N ''
ssh-keygen -f /etc/ssh/ssh_host_ecdsa_key -t ecdsa -N ''
rm -f \$0
rm -f \$0
EOF
EOF
Ligne 921 : Ligne 934 :
Sécurisez votre root :
Sécurisez votre root :
<pre>chmod 700 /root</pre>
<pre>chmod 700 /root</pre>
Créez le fichier <code>/root/.bashrc</code> :
<pre>
#
# ~/.bashrc
#
umask 0027
# If not running interactively, don't do anything
[[ $- != *i* ]] && return
alias ls='ls --color=auto --group-directories-first'
#PS1='[\u@\h \W]\$ '
</pre>
Créez le fichier <code>/root/.profile</code> :
<pre>
# ~/.profile: executed by Bourne-compatible login shells.
if [ "$BASH" ]; then
  if [ -f ~/.bashrc ]; then
    . ~/.bashrc
  fi
fi
mesg n
</pre>


Vous pouvez éditer <code>/etc/skel/.bashrc</code> (umask, couleurs, ...) afin de définir des paramètres par défaut pour vos futurs utilisateurs.
Vous pouvez éditer <code>/etc/skel/.bashrc</code> (umask, couleurs, ...) afin de définir des paramètres par défaut pour vos futurs utilisateurs.
Ligne 936 : Ligne 977 :
</pre>
</pre>


Créez un lien entre /proc/mounts et /etc/mtab, supprimez les getty, installez openssh et autorisé l'accès de l'extérieur :
Créez un lien entre /proc/mounts et /etc/mtab, supprimez les getty :
<pre>
<pre>
rm /etc/mtab
rm /etc/mtab
ln -s /proc/mounts /etc/mtab
ln -s /proc/mounts /etc/mtab
sed -i -e '/getty/d' /etc/inittab
sed -i -e '/getty/d' /etc/inittab
</pre>
Installez openssh et autorisez l'accès de l'extérieur :
<pre>
pacman -S openssh
pacman -S openssh
echo "sshd: ALL : ALLOW" >> /etc/hosts.allow
echo "sshd: ALL : ALLOW" >> /etc/hosts.allow
echo "nobody:x:99:99:nobody:/:/sbin/nologin" >> /etc/passwd
</pre>
</pre>


Ligne 1 024 : Ligne 1 070 :


==Généralités==
==Généralités==
<div id="debian_generalités"></div>
<div id="debian_gene"></div>


Connectez vous à votre interface proxmox. Cliquez sur <code>Virtual Machines</code> puis sur <code>Create</code>.
Connectez vous à votre interface proxmox. Cliquez sur <code>Virtual Machines</code> puis sur <code>Create</code>.
Ligne 1 036 : Ligne 1 082 :


Si vous choisissez veth, veillez à bien entrer l'adresse MAC virtuelle fournit par la console de votre provider.
Si vous choisissez veth, veillez à bien entrer l'adresse MAC virtuelle fournit par la console de votre provider.
De plus, si vous avez suivi ce wiki, selectionnez <code>vmbr0</code> à la ligne <code>brdige</code>.
De plus, si vous avez suivi ce wiki, selectionnez <code>vmbr0</code> à la ligne <code>bridge</code>.


Cliquez enfin sur <code>create</code> afin de lancer la génération du VE. Attendez quelques dizaines de secondes puis retournez à la liste des VEs.
Cliquez enfin sur <code>create</code> afin de lancer la génération du VE. Attendez quelques dizaines de secondes puis retournez à la liste des VEs.
Ligne 1 125 : Ligne 1 171 :


==Généralités==
==Généralités==
Reportez vous à la section sur la [[#debian_généralités|création d'un VE Debian 6.0]]
Reportez vous à la section sur la [[#debian_gene|création d'un VE Debian 6.0]]


==Configuration du réseau en veth==
Connectez vous en ssh sur l'host en utilisateur root puis entrez dans votre VE :
<pre>vzctl enter 101</pre>
<code>101</code> est le numéro de votre VE (VMID) disponible dans le status de la VE sur l'interface web de proxmox.
Créez le fichier <code>/etc/rc.d/openvz_net</code> contenant :
<pre>
<pre>
#! /bin/bash
#! /bin/bash
#echo 0 > /proc/sys/net/ipv6/conf/all/autoconf
#echo 0 > /proc/sys/net/ipv6/conf/all/autoconf
ifconfig eth0 <ipfailover> netmask 255.255.255.255
ifconfig eth0 <ipfailover> netmask 255.255.255.255
ifconfig eth0 inet6 add ipv6failover/64
ifconfig eth0 inet6 add ipv6failover/64
route del default
#route del default
route add -host 91.121.141.254 dev eth0
route add -host 91.121.141.254 dev eth0
route add default gw 91.121.141.254
route add default gw 91.121.141.254
</pre>


Rendez ce fichier exécutable :
<pre>chmod +x /etc/rc.d/openvz_net</pre>
Modifiez ensuite la ligne <code>DAEMONS</code> du fichier <code>/etc/rc.conf</code> afin d'y ajouter <code>openvz_net</code> :
<pre>DAEMONS=(hwclock syslog-ng network openvz_net netfs crond sshd)</pre>
Pour resortir de votre VE, tapez :
<pre>exit</pre>
===Ajouter une interface réseau virtuelle locale===
Sur l'host, ajoutez l'interface virtuelle eth1 bridgé sur vmbr1 à votre VE :
<pre>vzctl set 101 --netif_add eth1,,,,vmbr1 --save</pre>
Ensuite, il ne vous reste plus qu'à configurer l'interface sur votre VE. Ajoutez la ligne suivante dans le fichier <code>/etc/rc.d/openvz_net</code> :
<pre>
ifconfig eth1 192.168.0.4 netmask 255.255.255.0
ifconfig eth1 192.168.0.4 netmask 255.255.255.0
</pre>
</pre>


Redémarrez votre VE. Vous pouvez désormais pinguer 192.168.0.1, qui est l'adresse ip locale de votre host.
==Configuration du réseau en veneth==
Nous allons supposer que vous avez défini l'adresse IP 192.168.0.4 à votre VE lors de sa création.
Sur l'host, tapez simplement :
<pre>
<pre>
ip -6 route show
iptables -t nat -A POSTROUTING -s 192.168.0.4 -o vmbr0 -j SNAT --to 91.121.141.220
ip -6 route del
ip -6 route add
</pre>
</pre>
=vzctl, modification des VEs en ligne de commande=
* Définir les serveurs DNS d'un VE :
<pre>vzctl set <VEID> --nameserver ip1 --nameserver ip2 --nameserver ip3 --searchdomain domain.tld --save</pre>
Vous pouvez ajouter autant de directive <code>--nameserver ip*</code> que vous le souhaitez.
Vous pouvez entrer des IPv6, mais elles ne seront pas affichés correctement dans le panel de gestion de proxmox.
=Protéger SSH dans un VE=
<pre>
aptitude purge module-init-tools
</pre>
Puis reportez vous à [[Protéger SSH avec sshguard]]


=Partager des fichiers d'un VE à un autre VE=
=Partager des fichiers d'un VE à un autre VE=
Ligne 1 211 : Ligne 1 297 :
Configurez l'hostname et le ort.
Configurez l'hostname et le ort.
Dans la section <code>Desktop</code>, selectionnez <code>Unix and custom</code>. Cliquez sur <code>Settings</code> et selectionnez <code>Run the default X client script on server</code> ainsi que <code>New virtual Desktop</code>
Dans la section <code>Desktop</code>, selectionnez <code>Unix and custom</code>. Cliquez sur <code>Settings</code> et selectionnez <code>Run the default X client script on server</code> ainsi que <code>New virtual Desktop</code>
Si ça ne fonctionne pas, essayez de forcer le lancement de <code>/usr/bin/xfce4-session</code> dans les settings de nx


S'il vous manque des icones après vous être logué, essayez d'installer le paquet <code>gnome-icon-theme</code> sur le serveur.
S'il vous manque des icones après vous être logué, essayez d'installer le paquet <code>gnome-icon-theme</code> sur le serveur.
==Configuration de OpenNX==
OpenNX est une alternative libre au client nx de nomachine.
Vous trouverez les informations de téléchargement et d'installation pour différents OS et distributions linux sur http://opennx.net/.
La configuration est la même que celle du NX Client de nomachine, et il est compatible avec les fichiers de configuration de NXclient.
Attention cependant : il semble mal supporter les ipv6. Veillez donc a :
* utiliser une adresse ipv4 uniquement dans la session de connexion
* ne pas faire écouter votre serveur ssh sur l'adresse ipv6 ::1
==Utiliser VNC en plus de NX==
Sous gnome / xfce installez vino :
<pre>aptitude install vino</pre>
Changez les préférences avec <code>vino-preferences</code>
Lancez le serveur vino :
<pre>/usr/lib/vino/vino-server</pre>


=Installer une interface graphique avec NX server sur un VE OpenVZ Archlinux=
=Installer une interface graphique avec NX server sur un VE OpenVZ Archlinux=
<pre>pacman -S xfce4</pre>
Téléchargez NX Free Edition client, node et server sur http://www.nomachine.com/select-package.php?os=linux&id=1
<pre>
mv nx*.tar.gz /usr
cd /usr
tar zxvf nxclient-3.5.0-6.x86_64.tar.gz
tar zxvf nxnode-3.5.0-3.x86_64.tar.gz
tar zxvf nxserver-3.5.0-4.x86_64.tar.gz
mkdir /etc/init.d
/usr/NX/scripts/setup/nxnode --install suse
/usr/NX/scripts/setup/nxserver --install suse
mv /etc/init.d/* /etc/rc.d/
</pre>
<pre>
/etc/rc.d/nxserver start
</pre>
=issue=
==Erreurs du type <code>IPv6 addrconf: prefix with wrong length 56</code> ==
Cette erreur est typique sous linux si les routeurs de votre serveur annoncent des blocs IPv6 /56 alors que vous configurez des /64.
Ajouter les lignes suivantes dans votre fichier <code>/etc/sysctl.conf</code> :
<pre>
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.lo.autoconf = 0
net.ipv6.conf.eth0.autoconf = 0
net.ipv6.conf.vmbr0.autoconf = 0
net.ipv6.conf.vmbr1.autoconf = 0
net.ipv6.conf.dummy0.autoconf = 0
net.ipv6.conf.venet0.autoconf = 0
</pre>
De plus, si vous configurez vos VEs en veth, vous devrez :
* Ajouter une ligne similaire aux précédentes pour chaque interface réseau du VE dans le fichier <code>/etc/sysctl.conf</code> du VE. Typiquement :
<pre>
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.lo.autoconf = 0
net.ipv6.conf.eth0.autoconf = 0
net.ipv6.conf.eth1.autoconf = 0
</pre>
* Ajouter une ligne similaire aux précédentes pour chaque interface réseau virtuelle veth sur l'host (net.ipv6.conf.vethXXX/Y.autoconf où XXX est le VEID est Y un numéro d'interface).
Pour repérer facilement les lignes à ajouter, utiliser <code>sysctl -a</code> et <code>grep</code> :
<pre>sysctl -a | grep net.ipv6.conf.*.autoconf</pre>
==Cacher les processus des VEs sur l'host==
<pre>sysctl kernel.pid_ns_hide_child=1</pre>
Pfoo
Bureaucrates, Administrateurs
4 203

modifications

Récupérée de « https://wiki.unscdf.org/index.php?title=Spécial:MobileDiff/725...1699 »

Menu de navigation