« Proxmox et OpenVZ » : différence entre les versions

Aller à la navigation Aller à la recherche
3 854 octets ajoutés ,  16 mai 2015
aucun résumé des modifications
Aucun résumé des modifications
 
(25 versions intermédiaires par le même utilisateur non affichées)
Ligne 2 : Ligne 2 :
[[Category:debian]]
[[Category:debian]]
[[Category:virtualisation]]
[[Category:virtualisation]]
* '''Cette page n'est plus maintenue, les informations contenues ici sont potentiellement obsolètes''' *


=Partitionnement du disque dur=
=Partitionnement du disque dur=
Ligne 180 : Ligne 183 :


<pre>
<pre>
echo onyx.csnu.org > /etc/hostname
echo proxmox.domain.tld > /etc/hostname
echo onyx.csnu.org > /etc/mailname
echo proxmox.domain.tld  > /etc/mailname
</pre>
</pre>


Ligne 188 : Ligne 191 :
aptitude install proxmox-ve-2.6.32 ntp lvm2
aptitude install proxmox-ve-2.6.32 ntp lvm2
</pre>
</pre>
Gardez en considération que si vous créez des VEs avec openvz, vous n'aurez pas besoin d'installer de client ntp sur vos VEs étant donné que les VEs openvz partagent le même kernel que l'host.


Pour simplifier l'administration, créez un lien virtuel de /vz vers /var/lib/vz :
Pour simplifier l'administration, créez un lien virtuel de /vz vers /var/lib/vz :
Ligne 243 : Ligne 248 :


Je vous renvoi sur http://wiki.csnu.org/index.php?title=Installation_et_configuration_de_OpenSSL pour la mise en place d'une autorité de certification.
Je vous renvoi sur http://wiki.csnu.org/index.php?title=Installation_et_configuration_de_OpenSSL pour la mise en place d'une autorité de certification.
Dans l'exemple suivant, je créé un certificat proxmox et le signe avec l'autorité onyx_ca :
Dans l'exemple suivant, je créé un certificat proxmox et le signe avec l'autorité proxmox_ca :


<pre>
<pre>
openssl req -newkey rsa:2048 -keyout proxmox.key -out proxmox.req
openssl req -newkey rsa:2048 -keyout proxmox.key -out proxmox.req
openssl ca -name onyx_ca -extensions PROXMOX -in proxmox.req -out proxmox.pem
openssl ca -name proxmox_ca -extensions PROXMOX -in proxmox.req -out proxmox.pem
</pre>
</pre>


Ligne 253 : Ligne 258 :
mkdir /etc/apache2/ssl/
mkdir /etc/apache2/ssl/
mv proxmox.* /etc/apache2/ssl/
mv proxmox.* /etc/apache2/ssl/
cat /etc/ssl/root_ca/root_ca.pem /etc/ssl/onyx_ca/onyx_ca.pem > /etc/apache2/ssl/cachain.pem
cat /etc/ssl/root_ca/root_ca.pem /etc/ssl/proxmox_ca/proxmox_ca.pem > /etc/apache2/ssl/cachain.pem
</pre>
</pre>


Ligne 359 : Ligne 364 :
# information on enabling SSL in the smtp client.
# information on enabling SSL in the smtp client.


myhostname = onyx.csnu.org
myhostname = proxmox.domain.tld
mydomain = onyx.csnu.org
mydomain = proxmox.domain.tld
alias_maps = hash:/etc/aliases
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
myorigin = /etc/mailname
mydestination = onyx.csnu.org, localhost
mydestination = proxmox.domain.tld , localhost
relayhost =  
relayhost =  
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.0.0/24
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.0.0/24
Ligne 404 : Ligne 409 :
</pre>
</pre>


Puis générez la clé et le certificat, et signez le avec votre autorité (onyx_ca dans mon cas) :
Puis générez la clé et le certificat, et signez le avec votre autorité (proxmox_ca dans mon cas) :
<pre>
<pre>
openssl req -config /etc/ssl/openssl.cnf -nodes -newkey rsa:2048 -keyout postfix.key -out postfix.req
openssl req -config /etc/ssl/openssl.cnf -nodes -newkey rsa:2048 -keyout postfix.key -out postfix.req
openssl ca -config /etc/ssl/openssl.cnf -name onyx_ca -extensions POSTFIX -in postfix.req -out postfix.pem
openssl ca -config /etc/ssl/openssl.cnf -name proxmox_ca -extensions POSTFIX -in postfix.req -out postfix.pem
</pre>
</pre>


Ligne 416 : Ligne 421 :
mv postfix.pem /etc/postfix/ssl/
mv postfix.pem /etc/postfix/ssl/
chmod 600 /etc/postfix/ssl/*
chmod 600 /etc/postfix/ssl/*
cat /etc/ssl/root_ca/root_ca.pem /etc/ssl/onyx_ca/onyx_ca.pem > /etc/postfix/ssl/ca_chain.pem
cat /etc/ssl/root_ca/root_ca.pem /etc/ssl/proxmox_ca/proxmox_ca.pem > /etc/postfix/ssl/ca_chain.pem
</pre>
</pre>


Ligne 516 : Ligne 521 :
Supprimez les paquets inutiles :
Supprimez les paquets inutiles :
<pre>
<pre>
aptitude purge isc-dhcp-common isc-dhcp-client
aptitude purge isc-dhcp-common isc-dhcp-client module-init-tools
</pre>
</pre>


Ligne 670 : Ligne 675 :
</pre>
</pre>


Commencez par mettre à jour la liste des paquets puis installez l'éditeur texte <code>nano</code> si vous n'êtes pas fan de <code>vi</code> qui lui est installé par défaut :
Commencez par mettre à jour la liste des paquets puis installez l'éditeur texte <code>nano</code> si vous n'êtes pas fan de <code>vi</code> qui lui est installé par défaut, ainsi qu'aptitude :
<pre>
<pre>
apt-get update
apt-get update
Ligne 694 : Ligne 699 :
<pre>
<pre>
update-rc.d -f ondemand remove
update-rc.d -f ondemand remove
update-rc.d -f klogd remove
</pre>
</pre>


Ligne 710 : Ligne 714 :
aptitude update
aptitude update
aptitude safe-upgrade
aptitude safe-upgrade
</pre>
Supprimez les paquets inutiles :
<pre>
aptitude purge ubuntu-minimal eject isc-dhcp-client isc-dhcp-common ntpdate console-setup kbd
</pre>
Vous pouvez voir la liste des paquets installés avec
<pre>
aptitude search '~i'
</pre>
Remplacez rsyslog par sysklogd :
<pre>
aptitude purge rsyslog
aptitude install sysklogd
</pre>
</pre>


Ligne 743 : Ligne 762 :


Vous pouvez faire de même dans <code>/etc/skel/.profile</code> et <code>/etc/skel/.bashrc</code> (umask, couleurs, ...) pour les futurs utilisateurs du VE.
Vous pouvez faire de même dans <code>/etc/skel/.profile</code> et <code>/etc/skel/.bashrc</code> (umask, couleurs, ...) pour les futurs utilisateurs du VE.
Supprimez les paquets inutiles :
<pre>
aptitude purge ubuntu-minimal eject isc-dhcp-client isc-dhcp-common ntpdate console-setup kbd
</pre>
Vous pouvez voir la liste des paquets installés avec
<pre>
aptitude search '~i'
</pre>


Désactivez getty (inutile sur les VEs) :
Désactivez getty (inutile sur les VEs) :
Ligne 788 : Ligne 798 :
ssh-keygen -f /etc/ssh/ssh_host_rsa_key -t rsa -N ''
ssh-keygen -f /etc/ssh/ssh_host_rsa_key -t rsa -N ''
ssh-keygen -f /etc/ssh/ssh_host_dsa_key -t dsa -N ''
ssh-keygen -f /etc/ssh/ssh_host_dsa_key -t dsa -N ''
ssh-keygen -f /etc/ssh/ssh_host_ecdsa_key -t ecdsa -N ''
rm -f \$0
rm -f \$0
EOF
EOF
Ligne 1 206 : Ligne 1 217 :
iptables -t nat -A POSTROUTING -s 192.168.0.4 -o vmbr0 -j SNAT --to 91.121.141.220
iptables -t nat -A POSTROUTING -s 192.168.0.4 -o vmbr0 -j SNAT --to 91.121.141.220
</pre>
</pre>
=vzctl, modification des VEs en ligne de commande=
* Définir les serveurs DNS d'un VE :
<pre>vzctl set <VEID> --nameserver ip1 --nameserver ip2 --nameserver ip3 --searchdomain domain.tld --save</pre>
Vous pouvez ajouter autant de directive <code>--nameserver ip*</code> que vous le souhaitez.
Vous pouvez entrer des IPv6, mais elles ne seront pas affichés correctement dans le panel de gestion de proxmox.
=Protéger SSH dans un VE=
<pre>
aptitude purge module-init-tools
</pre>
Puis reportez vous à [[Protéger SSH avec sshguard]]


=Partager des fichiers d'un VE à un autre VE=
=Partager des fichiers d'un VE à un autre VE=
Ligne 1 272 : Ligne 1 297 :
Configurez l'hostname et le ort.
Configurez l'hostname et le ort.
Dans la section <code>Desktop</code>, selectionnez <code>Unix and custom</code>. Cliquez sur <code>Settings</code> et selectionnez <code>Run the default X client script on server</code> ainsi que <code>New virtual Desktop</code>
Dans la section <code>Desktop</code>, selectionnez <code>Unix and custom</code>. Cliquez sur <code>Settings</code> et selectionnez <code>Run the default X client script on server</code> ainsi que <code>New virtual Desktop</code>
Si ça ne fonctionne pas, essayez de forcer le lancement de <code>/usr/bin/xfce4-session</code> dans les settings de nx


S'il vous manque des icones après vous être logué, essayez d'installer le paquet <code>gnome-icon-theme</code> sur le serveur.
S'il vous manque des icones après vous être logué, essayez d'installer le paquet <code>gnome-icon-theme</code> sur le serveur.
==Configuration de OpenNX==
OpenNX est une alternative libre au client nx de nomachine.
Vous trouverez les informations de téléchargement et d'installation pour différents OS et distributions linux sur http://opennx.net/.
La configuration est la même que celle du NX Client de nomachine, et il est compatible avec les fichiers de configuration de NXclient.
Attention cependant : il semble mal supporter les ipv6. Veillez donc a :
* utiliser une adresse ipv4 uniquement dans la session de connexion
* ne pas faire écouter votre serveur ssh sur l'adresse ipv6 ::1
==Utiliser VNC en plus de NX==
Sous gnome / xfce installez vino :
<pre>aptitude install vino</pre>
Changez les préférences avec <code>vino-preferences</code>
Lancez le serveur vino :
<pre>/usr/lib/vino/vino-server</pre>


=Installer une interface graphique avec NX server sur un VE OpenVZ Archlinux=
=Installer une interface graphique avec NX server sur un VE OpenVZ Archlinux=
<pre>pacman -S xfce4</pre>
Téléchargez NX Free Edition client, node et server sur http://www.nomachine.com/select-package.php?os=linux&id=1
<pre>
mv nx*.tar.gz /usr
cd /usr
tar zxvf nxclient-3.5.0-6.x86_64.tar.gz
tar zxvf nxnode-3.5.0-3.x86_64.tar.gz
tar zxvf nxserver-3.5.0-4.x86_64.tar.gz
mkdir /etc/init.d
/usr/NX/scripts/setup/nxnode --install suse
/usr/NX/scripts/setup/nxserver --install suse
mv /etc/init.d/* /etc/rc.d/
</pre>
<pre>
/etc/rc.d/nxserver start
</pre>
=issue=
==Erreurs du type <code>IPv6 addrconf: prefix with wrong length 56</code> ==
Cette erreur est typique sous linux si les routeurs de votre serveur annoncent des blocs IPv6 /56 alors que vous configurez des /64.
Ajouter les lignes suivantes dans votre fichier <code>/etc/sysctl.conf</code> :
<pre>
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.lo.autoconf = 0
net.ipv6.conf.eth0.autoconf = 0
net.ipv6.conf.vmbr0.autoconf = 0
net.ipv6.conf.vmbr1.autoconf = 0
net.ipv6.conf.dummy0.autoconf = 0
net.ipv6.conf.venet0.autoconf = 0
</pre>
De plus, si vous configurez vos VEs en veth, vous devrez :
* Ajouter une ligne similaire aux précédentes pour chaque interface réseau du VE dans le fichier <code>/etc/sysctl.conf</code> du VE. Typiquement :
<pre>
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.lo.autoconf = 0
net.ipv6.conf.eth0.autoconf = 0
net.ipv6.conf.eth1.autoconf = 0
</pre>
* Ajouter une ligne similaire aux précédentes pour chaque interface réseau virtuelle veth sur l'host (net.ipv6.conf.vethXXX/Y.autoconf où XXX est le VEID est Y un numéro d'interface).
Pour repérer facilement les lignes à ajouter, utiliser <code>sysctl -a</code> et <code>grep</code> :
<pre>sysctl -a | grep net.ipv6.conf.*.autoconf</pre>
==Cacher les processus des VEs sur l'host==
<pre>sysctl kernel.pid_ns_hide_child=1</pre>
4 242

modifications

Menu de navigation