FRsAG April 2012

frsag@frsag.org

51 participants
14 discussions

Stockage "cloudifié"
by Denis F. 20 Sep '12

20 Sep '12

Bonjour à tous, Je cherche à mettre en place un système de stockage flexible, c'est à dire qu'il aurait les propriétés suivantes : - pouvoir ajouter ou supprimer de la capacité à chaud (que ce soit voulu ou non, crash d'une unité de disque par exemple) sans perturber le fonctionnement des clients - pouvoir accéder au système de fichier de façon concurrente - pouvoir fonctionner de 1 à plusieurs dizaines de nœuds. Le but est de stocker des machines virtuelles en assurant de la haute disponibilité (migration à chaud) et pouvant grossir au besoin sans avoir à tout reconfigurer (on commence avec 8To en espérant grossir d'ici quelques mois si l'activité le permet). J'ai regardé du côté de GlusterFS, Lustre, MooseFS, cLVM, OCFS2, GFS, DRDB, Ceph, ... Ce que j'en retiens : - GlusterFS : a une tendance à corrompre les données dans la phase de récupération après déconnexion d'un noeud - Lustre : a besoin d'un stockage partagé pour le serveur de méta-données... Et les OST ne semblent pas répliqués. cLVM : n'apporte rien en terme de haute-dispo. Si un des noeuds tombe, tout le volume tombe. OCFS2 / GFS : il manque la couche du dessous qui saura faire la réplication DRDB : empile les noeuds ce qui n'est pas vraiment gérable Ceph : encore un peu jeune... Les infos sont MooseFS serait peut-être le meilleur candidat... Avez-vous des pistes/des idées ? Comment gérez-vous le stockage ? Comment font les S3/Linode/OVH pour fournir un service flexible ? Merci par avance, Denis

6 8

Déport écran/clavier/souris sur réseau IP
by Gauthier DOUCHET 02 May '12

02 May '12

Hello, Ma demande diffère peut-être un poil de l'objet de la mailing mais j'imagine que certains ont déjà pu avoir cette problématique, désolé si pas du tout le cas. Je suis à la recherche d'une solution qui me permette de faire un déport complet d'un ordinateur/serveur au travers d'un réseau IP (et non simplement une prolongation par un câble RJ45). Il s'agit donc de connecter un boitier à la tour et de l'autre côté du réseau, connecter sur un second boitier les périphériques (genre souris/clavier/écran). J'ai trouvé ça pour l'instant: http://www.elecdan.com/informatique/kvm-sur-ip/deport-kvm-dvi-sur-ip-infini… Est-ce que quelqu'un aurait d'autres références/retours sur ce genre de produits? Merci! Gauthier

5 17

PKI sous Windows/AD
by pierre.bourgin＠free.fr 27 Apr '12

27 Apr '12

bonjour la liste, présentation: je gère l'infrastructure d'une PME (4 sites, 200 personnes) dont le métier est le développement/paramétrage de gros logiciels/boite à outils style gestion de données techniques. L'infra est à base de Windows clients (postes utilisateurs, VMs), de Windows serveurs, de linux/CentOS, de serveurs ESX, de pfSense, un peu de CISCO, ... un mix assez classique. Je me suis déjà un peu frotté aux PKI, à travers l'utilisation de OpenVPN (PKI dédiée) ou de réseaux Wifi paramétrés en WPA/802.11x (authentification via Radius + PKI dédiée). J'envisage de monter une "vraie" PKI interne pour gérer des certificats utilisateurs, qui serviraient pour un peu tout: connexion VPN, Wifi, signature électronique, etc. Je ne pense pas (pour l'instant) faire de l'authentification forte, genre en stockant le certificat dans une puce cryptographique. Si j'ai bien compris, La quincallerie m$ autour de Active Directory (millésime 2003) permet un gestion automatisée de certificats utilisateurs (création, révocation). Certificats, autorité de certification (primaire ou secondaire(s)) sont stocké dans l'AD. Il vaut mieux utiliser un Windows 2008 (juste membre AD) pour signer automatiquement les certificats utilisateurs (plutot qu'un controlleur AD sous Windows 2003). Les outils AD permettent également de distribuer (push) ces certificats utilisateurs dans les profiles utilisateurs Windows (stockage dans le certificate store de l'utilisateur), même si profile local (non-itinérant). Dans notre cas, on a plusieurs controlleurs AD en réplication inter-sites. Du coup, pleins de questions, comme par exemple: - des personnes ici ont déjà déployé ce genre de configurations ? - Ce genre de configuration fonctionne correctement, la distribution des cert via l'AD est fiable ? - soucis éventuels liés aux réplications AD ? - Comment fournissez-vous les listes de revocation des certificats ? via une URL HTTP et/ou le protocole OCSP ? - des recommendations sur des noms de professionels pour se faire accompagner dans une telle démarche ? Merci d'avance pour vos retours ! Pierre Bourgin

3 2

[DON] - Supermicro X7DB8 / X7DB8+ / PWS-801-1R / Dell PE2600 / ...
by Laurent CARON 19 Apr '12

19 Apr '12

Bonjour, Je *donne* à qui *vient* les chercher (tour Montparnasse): - Carte-mère X7DB8 - Carte-mère X7DB8+ - Alim Supermicro PWS-801-1R - Dell PE 2600 (1 Xeon 1.8 / qté de RAM inconnue) - 3 x Dell SC 400 (P4 / qté de RAM inconnue) - 1 x HP ML 150 tour (Xeon dual core / qté de RAM inconnue) disques hotswap - 10 portables D505/510 (sans alim / sans disque / RAM de 512Mo à 2Go). De préférence à des associations et/ou particuliers. Merci Laurent

3 3

Re: [FRsAG] [DON] - Supermicro X7DB8 / X7DB8+ / PWS-801-1R / Dell PE2600 / ...
by Lionel Bernardi 19 Apr '12

19 Apr '12

----- "Laurent CARON" <lcaron(a)unix-scripts.info> a écrit : Bonjour, Je suis intéressé par les éléments suivants : > - Carte-mère X7DB8 > - Carte-mère X7DB8+ > - Alim Supermicro PWS-801-1R > - Dell PE 2600 (1 Xeon 1.8 / qté de RAM inconnue) En fonction de ce qu'il reste de disponible. Pour associations d'Ecole d'ingénieur. Cordialement, -- Lionel Bernardi - Responsable Système d'Information EFREI - 30-32, avenue de la République - 94800 Villejuif École d'ingénieur

1 0

Re: [FRsAG] [DON] - Supermicro X7DB8 / X7DB8+ / PWS-801-1R / Dell PE2600 / ...
by Thomas Saquet 19 Apr '12

19 Apr '12

Bonjour, Je suis intéressé par une de ces deux machines : - Dell PE 2600 (1 Xeon 1.8 / qté de RAM inconnue) - 1 x HP ML 150 tour (Xeon dual core / qté de RAM inconnue) disques hotswap Pas de problème pour Montparnasse. Merci ! Thomas

1 0

Bonne pratique plateforme SaaS
by seb astien 13 Apr '12

13 Apr '12

Bonjour, Dans la catégorie bonne pratique, je vous propose de discuter de l'installation d'une plateforme virtualisée dans le but d'héberger une application SaaS standard. Je vous détaille mon plan d'action point par point, à vous de le commenter. Tout d'abord, le serveur est en location chez un hébergeur, il est somme toute assez véloce, à savoir: - Proc 6 coeur 3Ghz - 32G de ram - 2 SAS 900G - 2 SSD 140G - Raid hard Le plan d'action serait le suivant: * Installation d'ESXi 5, bs=2M pour le datastore, en raid1, sur les SAS. Cela me laisse donc la possibilité de créer des disques virtuels jusqu'à 512G, tout en ayant la sécurité du raid. IP publique, mais firewall en amont. ** Comment monitorer le raid, et meme l'esxi, depuis un nagios par exemple ? J'ai bien vu quelques checks, mais cela semble bien moins souple qu'un linux. On a déjà du vmware et je cherche à rationaliser. Les vms maintenant: * Installation d'un openbsd, en ip publique, pour faire du nat, et avoir pf. Une patte en ip privée pour alimenter les briques du dessous, à savoir web, tomcat etc. Pas accessible en ssh depuis le ternet. * Installation d'une vm dite d'administration, ip publique. Accessible en ssh, et offrant rebond aux autres vms. Hébergeant d'éventuels interfaces d'administration (script, frontend, backuppc). * Installation d'un nginx, pour équilibrer, ou balancer, la charge, sur deux serveurs web derrière. Pouvoir en isoler un, avoir du failover, je n'ai pas approfondi ce point. Dans l'immédiat il n'y aura qu'un nginx en reverse proxy. * et/ou installation d'un haproxy, au dessus, à côté ou en dessous du nginx, pour équilibrer les tomcats. Je n'ai pas approfondi ce point non plus. * Installation d'un postgresql, avec la BDD sur les SAS, monté via le vmware. Au prix des SSD c'est ma priorité. ** Ce point me pose le plus de souci. Le SSD a été choisi pour ses très bonnes performances. Que faire ? Mettre les SAS en raid1 hard ? Installer deux vms, chacune héritant d'un sas ? Et créer une réplication pgII ou pgIII de mémoire, ou un serveur est dédié à l'écriture, l'autre à la lecture ? Un autre type de réplication ? Sachant que pour l'instant, l'application est peu gourmande mais je prévois. Je fais du capacity-planning. Ou du performance-management ? Bref, je prévois pour ne pas etre emmerdé dans un an. Coté stockage, nfs/zfs, mais cela fera l'objet d'un autre mail. Merci pour vos retours. Sébastien

12 18

Vos clients IRC
by Manuel OZAN 10 Apr '12

10 Apr '12

Bonjour les sysadmin, Je souhaiterais un petit retour sur vos clients IRC (avantages/inconvénients, "killer feature", licence, plateforme, % de productivité perdu...). Ma question est donc simple : Quel clients IRC utilisez-vous actuellement ? Merci pour les chocolats -- Manuel

14 14

Recrutement: recherche admin net/sys - support niv. 3
by Fernando Lagrange 10 Apr '12

10 Apr '12

Bonjour, à mon boulot, on recherche un administrateur système et réseau qui fera aussi du support niveau 3 (en gros mi-temps admin et mi-temps support): http://www.slis.fr/emploi_admin_support Voici un résumé de l'annonce officielle ci-dessus: Administrateur Système et Réseau - Support niveau 3 --------------------------------------------------- Vous *maîtrisez* les technologies suivantes : administration GNU/Linux Debian script shell TCP/IP ssh et principes de chiffrements asymétriques Vous *connaissez*: iptables postfix bind sql en général Avoir vu les technologies suivantes *serait un plus*: virtualisation Xen, OpenVZ apache, PHP, MySQL, PostgreSQL, Squid, Squidguard Type de poste : CDD du 01 mai au 31 décembre 2012, temps complet, renouvelable. Localisation : Échirolles (près de Grenoble, en Isère) Déplacement : non Salaire : selon expérience et qualifications, grille indiciaire des contractuels du CARMI correspondant à la fonction d’ingénieur d'étude ou d'ingénieur de recherche. Pour postuler, vous devez envoyer votre CV et votre lettre de motivation uniquement par courriel aux deux personnes suivantes : Fernando Lagrange : fernando(a)ac-grenoble.fr (moi-même ^_^) Marie-Christine Gadd : marie-christine.gadd(a)ac-grenoble.fr @+ -- Fernando Lagrange Demo-TIC - Outils En Ligne http://www.demo-tic.org Tél.: 06 63 16 30 47 (le jeudi après-midi) Mél.: fernando(a)demo-tic.org Jabber/XMPP: fernando(a)im.apinc.org

1 0

Re: [FRsAG] Protéger au mieux son serveur http
by cam.lafit＠azerttyu.net 10 Apr '12

10 Apr '12

Bonjour Je réponds à la liste vu que la question et la réponse peuvent intéresser tout le monde > Je ne comprends pas en quoi ta question diffère de la précédente. > Si tu veux dire un serveur qui héberge plusieurs services qui n'ont rien à > voir (ce qui est abominable sans à minima un chroot avec une sécu > élémentaires au mieux via libvirt ou autre mécanisme de virtualisation sur > un noyau sécurisé). Est-il question de protéger seul le service http (ce qui > ne serait pas une bonne idée à côté d'un ftp publique par exemple) ou est-ce > qu'il est question de sécuriser tout le serveur (ce qui est compliqué > lorsque le serveur est une usine a gaz) ? Avec ma gestion du temps en week end encore cafouilleuse, je n'ai pu répondre plus tôt :) Pour le moment je n'ai pas de cas bien concret plutôt des question génériques sur, comme tu l'as pu dire dans un tes autres mail, d'architecture / infrastructure. Dans mon cas je me retrouve avec des serveurs qui font un peu tout et presque le café, et en partant de là je me demande qu'elles sont les bonnes approches pour améliorer la sécurité de ses services, la question aurait pu être "comment architecturer au mieux son infrastructure une fois qu'on a eu son premier serveur SWABDELP ?". Au lieu de poser la question du genre "comment faire pour sécuriser mon serveur ?" où il est assez facile de balancer du RTFM ou va lire sur le forum d'une distro connue j'ai préféré poser la question du point de vue d'un service. Cette formulation n'était peut être pas idéale, en tout cas les réponses de tous me semblent pas mal intéressantes. Cela permet de mettre en exergues les points à aborder en priorité. Merci pour vos lectures Km

3 2

2024

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

2010

FRsAG April 2012