Bonjour,
Naviguant un peu à vue sur le sujet, je viens poster en espérant quelques remarques constructives. Ma boîte fait du développement logiciel. Pour tout un tas de besoins, nous avons un serveur de VM avec la config suivante :
- Dell T420
- 128 Go de RAM
- 2 TB en RAID 1
- 2*Xeon 6 Cores
Cette bête est actuellement branchée sur notre LAN, elle fonctionne avec Xubuntu + KVM + WebVirtMgr et tout fonctionne au poil. Mais un nouveau besoin apparaît, il nous faut héberger quelques VMs qui seront visibles depuis l'extérieur directement (donc sans passer par notre VPN comme actuellement).
Alors, nous avons eu l'idée suivante :
- Créer un 2é volume RAID pour héberger ces nouvelles VMs
- Brancher un lien Ethernet au LAN, comme maintenant, pour les VMs internes
- Brancher le 2é lien Ethernet au WAN (possiblement derrière notre firewall, en cours d'étude), avec du NAT, pour héberger les VMs externes
- Le tout étant géré par la même config de virtualisation. Je ne suis pas marié avec KVM, j'accepte vos idées quelles qu'elles soient (je suis même ouvert à VMWare et Hyper-V).
Des avis pour / contre / blanc, des remarques, d'autres idées ?
Un grand merci par avance.
# virtu
Posté par Old Geek . Évalué à 1.
De notre côté : distrib proxmox
on virtualise aussi le réseau donc :
2 cartes en bonding actif/passif, le tout taggé (802.1q)
Ce qui te permets d'envoyer divers vlans vers le serveur sans être lié au physique.
(dmz, lan, wan, backup, etc …)
# VMWare
Posté par Vilsafur . Évalué à 1.
Bonjour,
Chez nous, nous sommes plus VMWare.
Je ne sais pas si avec webVirtMgr tu peux gérer sur quel carte sorte tes VMs, si tu le peut, pas de soucis.
Il faut passer par ton firewall afin de protéger correctement tes Vms, sinon elles se feront bouffé en quelques secondes. Le mieux reste de filtrer par IP les connexions autorisées si tes clients ont une adresse IP WAN fixe (fréquent chez les professionnels mais extrêmement rare chez les particuliers).
[^] # Re: VMWare
Posté par djibb (site web personnel) . Évalué à 3.
c'est libre ?
# sécurité
Posté par BAud (site web personnel) . Évalué à 2.
Le même chassis en LAN et exposé sur Internet ? Pourquoi pas, si votre équipe sécurité l'accepte. Généralement, c'est deux chassis distincts qui sont demandés (l'un en zone "protégée", l'autre en zone "exposée").
C'est néanmoins l'occasion de rénover votre matériel :
Comme ça, si votre chassis exposé sur Internet se fait attaquer, au moins vous pourrez continuer de travailler en interne/LAN. Pour budgéter, compter 5 k€ pour le serveur, 3 k€ pour stockage et réseau, en voyant large. Pour la justification : d'une part la sécurité + combien coûterait l'immobilisation de vos développeurs pendant 1/2 j s'il y a une indisponibilité du chassis du fait qu'il a été exposé sur Internet ? (+ les temps de "réparation").
[^] # Re: sécurité
Posté par romu . Évalué à 1.
Merci pour ce commentaire. Nous sommes une TPE (une petite vingtaine de personnes), l'équipe IT (donc sécurité aussi), c'est moi !! Plus un prestataire qui gère notre firewall.
Racheter un autre serveur, je crois que ça va pas être possible, notamment pour des questions de budget. Sinon notre T420 a à peine un an, pourquoi le changer ?
Une autre idée, mais je ne sais pas encore si elle est faisable, serait d'installer 2 OS hôtes virtualisés, et dans chacun, de virtualiser à nouveau les VM. 1 hôte pour les VM externes, et 1 hôte pour les VM internes. Des avis ?
[^] # Re: sécurité
Posté par NeoX . Évalué à 3.
pourquoi empiler les couches ?
quid des performances d'une VM qui doit passer par 2 hyperviseurs avant d'atteindre le materiel ?
cf les reponses en dessous.
3 VLANs taggués : administration, interne, externe
idealement sur 3 cartes reseaux distinctes, mais pas obligatoires.
des VLANs Taggués dans les switchs
=> tu obtiens bien 3 reseaux disjoints derriere ton parefeu pour gerer la securité.
[^] # Re: sécurité
Posté par BAud (site web personnel) . Évalué à 2.
et il en pense quoi ton prestataire ? il a sans doute un avis sécurité plus avancé que le mien (vu que je ne suis qu'architecte technique). Mais bon si par malchance une de vos VM en zone exposée vous pourrit les perfs en intranet, suite à une attaque, n'hésite pas à revenir nous le dire :-) (ça te permettra de trouver le financement, tu me diras…).
l'idée n'est pas de le changer, mais de le placer en DMZ : tu avais l'air de dire qu'il y aurait moins de VM exposées sur Internet que de VM en intranet, donc autant bénéficier du serveur boosté en Intranet (les tarifs que je t'ai indiqués sont un majorant de l'ordre de grandeur, il doit être possible de négocier…). M'enfin, si ta boîte ne peut pas sortir 8 k€, à ta place, j'aurais un peu peur de savoir si mon salaire va pouvoir m'être versé à la fin du mois :-)
d'accord avec NeoX< :-)
# securité à base de VLAN
Posté par NeoX . Évalué à 3.
utiliser les fonctionnalités de VLAN/TAG des cartes reseaux et des switchs
cela va te permettre de faire 2 LANs séparés qui passeront chacun par le parefeu.
tu auras alors :
- un LAN (le reseau actuel)
- une DMZ (pour les VMs devant etre exposées)
faut juste voir si webvirt permet de gerer ca de maniere simple et efficace.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.