====== Guide installation serveurs 2014 ======

Version pour les serveurs installés en 2014, basé sur l'architecture déjà en place.

====== 1. Préambule ======

L'objectif de ce guide et de formuler de manière la plus détaillée possible la mise en œuvre de ma nouvelle architecture serveur. Ce guide s'inspire de nombreux autres guides qui seront repris en grande partie. L'idée est de disposer d'un manuel autonome qui pourra persister y compris après la disparition des sites de références.

====== 2. Références en vrac ======

Cette partie liste tous les liens qui m'ont servi à construire ce guide. C'est à ordonner mieux que ça mais le vrac a le mérite de lister les choses.

  * **Un peu de blabla perso pour introduire mon ancienne installation**
      * [[http://vivihome.net/2013/02/17/nouvelle-architecture-serveurs-partie-1-point-de-depart/|http://vivihome.net/2013/02/17/nouvelle-architecture-serveurs-partie-1-point-de-depart/]]
  * **La suite du blabla perso avec quelques liens plus utiles**
      * [[http://vivihome.net/2013/02/23/nouvelle-architecture-serveurs-partie-2-preparation-des-machines/|http://vivihome.net/2013/02/23/nouvelle-architecture-serveurs-partie-2-preparation-des-machines/]]
  * **L'excellent article de Victor Héry qui m'a servi de base principale pour la partie cluster proxmox / vpn**
      * [[http://blog.héry.com/article6/cluster-proxmox-distant-construction-du-cluster-openvpn|http://blog.héry.com/article6/cluster-proxmox-distant-construction-du-cluster-openvpn]]
  * **Une info utile sur les snapshot proxmox**
      * [[http://vivihome.net/2013/03/08/faire-des-snapshots-sous-proxmox-sans-que-les-vms-soient-suspendues-letitux/|http://vivihome.net/2013/03/08/faire-des-snapshots-sous-proxmox-sans-que-les-vms-soient-suspendues-letitux/]]
      * [[https://www.letitux.com/proxmox/2013/02/02/faire-des-snapshots-sous-proxmox-sans-que-les-vms-soient-suspendues.html|www.letitux.com/proxmox/2013/02/02/faire-des-snapshots-sous-proxmox-sans-que-les-vms-soient-suspendues.html]]
  * **Des notes importantes sur l'utilisation de DRDB / LVM**
      * [[http://vivihome.net/2013/03/28/nested-lvm-configuration-with-drbd/|http://vivihome.net/2013/03/28/nested-lvm-configuration-with-drbd/]]
      * [[http://vivihome.net/2013/09/28/cluster-proxmox-disques-drbd-shared/|http://vivihome.net/2013/09/28/cluster-proxmox-disques-drbd-shared/]]
      * [[http://vivihome.net/2013/03/28/drbd-proxmox-ve/|http://vivihome.net/2013/03/28/drbd-proxmox-ve/]]
  * **Une petite note sur le FTP passif et iptables (utile chez online.net depuis un temps)**
      * [[http://vivihome.net/2012/12/29/online-passe-sans-prevenir-ses-serveurs-backup-en-ftp-passif-only-et-aller-on-refait-iptables/|http://vivihome.net/2012/12/29/online-passe-sans-prevenir-ses-serveurs-backup-en-ftp-passif-only-et-aller-on-refait-iptables/]]
  * **L'excellent article de Alsacréation sur la sécurisation d'un serveur**
      * [[http://vivihome.net/2011/08/15/securiser-son-serveur-dedie/|http://vivihome.net/2011/08/15/securiser-son-serveur-dedie/]]
      * [[http://www.alsacreations.com/tuto/lire/622-Securite-firewall-iptables.html|www.alsacreations.com/tuto/lire/622-Securite-firewall-iptables.html]]

====== 3. Architecture du cluster ======

===== 3.1. Introduction =====

Nombre d'étapes de ce guilde sont communes aux deux serveurs physiques. Il s'agit de les dérouler et d'apporter quelques personnalisations selon les cas.

__**A noter que nous aurons deux serveurs physiques nommés ainsi (pour l'exemple mais a adapter selon votre config) :**  __

  * **SERVEUR_PHYSIQUE_1**
  * **SERVEUR_PHYSIQUE_2**
**Note importante :**  que chacune des opérations abordées dans les sous chapitres de cette partie sont à faire sur chacun des serveurs physiques en adaptant bien sur la configuration lorsque c'est nécessaire.

===== 3.2. Choix des serveurs =====

Comme depuis un moment maintenant, je suis chez [[http://www.online.net/fr|online.net]]. J'ai donc choisi assez naturellement leurs petits serveurs dédiés, soit 2 [[http://www.online.net/fr/serveur-dedie/dedibox-lt2k14|LT 2014 ]]de la gamme start LTS.

===== 3.3. Choix de la distribution =====

Je voulais une distribution qui facilite la construction de cluster et permette la virtualisation. L'idée est de pouvoir monter plusieurs serveurs virtuels avec seulement deux machines physiques et pouvoir migrer les VM facilement d'un noeud à l'autre en cas de crash.

La distribution que j'ai choisie sera donc [[http://www.proxmox.com/fr/|proxmox]]. Elle permet la virtualisation et a le mérite d'être un minimum ouverte (bien que cela change un peu ces temps derniers), d'être gratuite si l'on ne prend pas de support et de fonctionner de manière assez simple avec des outils linux connus mais packagés correctement. Je ne dis pas que [[http://www.vmware.com/fr/products/esxi-and-esx/overview|ESXI ]]est mauvais, mais juste que dès qu'il s'agit de bidouiller et ajouter de fonctionns ce n'est pas possible sur ESXI (sauf a sortir son carnet de chèques).

===== 3.4. HA or not HA / nombre de noeuds =====

Pour cette architecture, nous allons fonctionner sur un cluster avec 2 noeuds. En théorie, un cluster permettant de faire du [[http://fr.wikipedia.org/wiki/Haute_disponibilit%C3%A9|HA]] doit comporter un nombre impaire de noeuds donc au moins 3 (notamment pour des histoires de [[http://blog.h%C3%A9ry.com/article11/cluster-proxmox-distant-le-concept|quorum]]). Je n'ai pas choisi de partir sur cette architecture pour plusieurs raisons :

  * Mon budget, limité, m'empêche d'investir sur un 3ème serveur
  * Mon temps, limité, m'empêche également de passer du temps a un plan B style le 3ème serveur chez moi
  * Le HA pour bien fonctionner doit mettre en place du [[http://pve.proxmox.com/wiki/Two-Node_High_Availability_Cluster#Configuring_Fencing|fencing ]]ce qui n'est pas simple du tout et nécessite en théorie du matériel spécifique.

Nous partons donc sur **2 noeuds**, un principal et un secondaire. L'idée est que sur ce cluster les VM puissent migrer très facilement d'un noeud à l'autre en cas de défaillance d'un des noeuds.

===== 3.5. Utilisation de DRBD =====

Comme je le disais, je souhaite mettre en place une solution me permettant une architecture robuste et tolérante aux pannes. Ce qui veut dire pouvoir démarrer mes VM sur n'importe quel noeud et ce même après le crash d'un noeud. Il existe pas mal de choses pour faire cela mais j'ai choisi de mettre en place une architecture basée sur [[http://www.drbd.org/|DRBD]].

DRBD me permet ainsi de mettre en place une **réplication bidirectionnelle**  entre des disques de mes deux clusters. Ansi, toute l'activité d'un cluster est répliquée en temps réel sur l'autre serveur ce qui, en cas de crash me permet de démarrer sans perte la VM sur le noeud restant grâce aux données répliquées.

Attention, pour éviter les problèmes (comme moi lors de ma première tentative), vous devez mettre en place **2 disques en réplication bidirectionnelle sur chaque noeud du cluster**. Pourquoi ? Parce que si vous faites tourner en même temps les VM de chaque cluster sur le même disque DRBD (avec répli bidirectionnelle) vous aurez fatalement du [[http://www.hastexo.com/resources/hints-and-kinks/solve-drbd-split-brain-4-steps|split brain]]. Ce qui est assez dur à régler. En gros en cas de crash vous aurez le même disque DRBD (normalement synchro sur les deux noeuds du cluster) qui aura vécu sa vie de manière différente sur chacun des noeuds. Les données sont donc à resynchro des deux côtés et vous ne pouvez pas écraser un le disque DRBD d'un noeud avec celui de l'autre "plus récent" puisqu'il y a des données différentes des deux côtés. Dans ce cas (vécu chez moi) vous pourriez être obligés de perdre des données…

La manière simple d'éviter cela est donc d'avoir **deux disques DRBD**  sur chaque noeud du cluster. Pour chaque noeud, n'utiliser qu'un seul disque DRBD différent de l'autre noeud pour faire tourner les VM. Ansi en cas de crash vous pourrez facilement restaurer les données d'un disque périmé avec celles de celui qui a tourné sans risquer de perdre des données.

===== 3.6. Côté réseau =====

Je me base pas mal sur [[http://blog.héry.com/article6/cluster-proxmox-distant-construction-du-cluster-openvpn|cet article]] de Victor Héry ainsi que mes expériences perso sur la précédente configuration, qui m'ont amenées à vouloir tester d'autres façons de faire.

Chaque serveur de cette gamme dispose de deux cartes réseau physique :

  * Une connectée sur le réseau public
  * Une connectée sur le réseau [[http://www.online.net/fr/serveur-dedie/rpn|RPN online.net]]

Par défaut votre configuration proxmox aura une **interface bridgée vmbr0**  connectée à l'interface physique qui sera sur le réseau public.

Pour notre architecture nous mettrons en place un autre bridge pour les VM : **vmbr1**. Nous détaillerons la configuration plus bas. Ce bridge assurera pour la communication entre les VM ainsi que la réplication DRBD. Les deux machines physiques seront mises en relation via ces bridges et un tunnel VPN.

On utilisera le réseau RPN pour les opérations cluster proxmox. Par défaut il faut du multicast, mais on sait le désactiver pour fonctionner en unicast. L'idée ici est de ne pas tout mettre sur le VPN et donc utiliser un peu le RPN pour les échanges interne proxmox. De plus cela augmente la fiabilité : pas tous les œufs dans le même panier. Par contre il faut noter que par défaut le réseau RPN est à une vitesse de 100Mbps ce qui est insuffisant pour une réplication DRBD : raison de plus pour la faire sur OpenVPN qui sera configuré via les interfaces publiques du serveur qui elles fonctionnent à 1Gpbs.

**Note :**  avoir le RPN à 100Mbps est possible mais c'est une option qui va vous obliger a prendre un niveau de service online.net supérieur à "Basic" (qui lui est gratuit). Là en gros vous allez devoir sortir au minimum 20 euros HT en plus par serveur pour avoir ce niveau de service. Ensuite il faudra encore rajouter quelques euros pour avoir l'option RPN 1Gbps. BREF ! Quand on est pas super riche on ruse avec le VPN sur l'interface publique. Si on est riche alors je vous encourage a utiliser le RPN au maximum car cela évitera de charger les interfaces publiques par lesquelle tout le traffic internet arrive déjà. De plus niveau robustesse c'est mieux. Si l'interface publique est down, le réseau RPN est toujours potentiellement OK lui… Bref, la solution VPN est un compromis économique mais qui comporte des défauts de conception…

====== 4. Premières étapes d'installation ======

Les premières étapes sont assez simple chez online, après un tour sur [[https://console.online.net|l'interface d'admin]], on choisit sa distribution et on lance l'installation pour chacun des serveurs.

On retouchera plus tard les choses qui ne vont pas comme par exemple le partitionnement. De toutes manières, l'outil de partitionnement ne permet pas grand chose sur l'interface online.net. Si on demande une configuration vraiment spécifique, l'outil ne fonctionne pas et n'enregistre rien du tout.

**Note :**  vous vous dites que vous pourriez faire une installation manuelle via [[http://documentation.online.net/fr/serveur-dedie/materiel/controleur-dell-idrac|Idrac]] pour résoudre les limitations de l'install web. C'est pas faux. Sauf que pour activer l'idrac (ou l'ilo si vous avez un serveur hp) il faut de toutes façons installer complètement le serveur au moins une fois avec que l'option idrac ou ilo aparaisse sur l'interface d'admin de votre dédié… Bref, ça n'évite pas une première install bateau via le web quoi qu'il arrive…

====== 5. Une petite mise à jour ne fait pas de mal ! ======

Si vous n'utilisez comme moi que la version gratuite, il faut désactiver les mises à jour venant de la version pro en commantant le deb dans ce fichier :

<code bash>
nano /etc/apt/sources.list.d/pve-enterprise.list
</code>

Puis ensuite lancer la mise à jour.

<code bash>
apt-get update
apt-get upgrade
</code>

====== 6. Personnalisation shell Bash (couleurs / infos) ======

En grande partie repris (aux perso près) de [[http://blog.héry.com/article6/cluster-proxmox-distant-construction-du-cluster-openvpn|cet article.]].

Afin de rendre le shell plus lisible avec quelques couleurs dont celle du prompt qui pourra être différente selon le noeud du cluster.

<code bash>
nano /etc/bash.bashrc
</code>

Et on ajoute cela à la fin du fichier :

<code bash>
#
# Colors and prompt configuration
#
C_RED="[e[1;31m\]"
C_BLUE="[e[1;34m\]"
C_GRAY="[e[1;30m\]"
C_WHITE="[e[1;37m\]"
C_YELLOW="[e[1;33m\]"
C_DEF="[033[0m\]"

mUID=`id -u`
MACHINE=`hostname -f`

#if [ "$mUID" = "0" ] ; then
PS1="${C_RED}\u${C_DEF}@${C_RED}${MACHINE}${C_DEF}:\w${C_RED}#${C_DEF} "
PS2="${C_RED}>${C_DEF} "
#else
#PS1="${C_BLUE}\u${C_DEF}@${MACHINE}:\w${C_BLUE}\$ ${C_DEF}"
#PS2="${C_BLUE}>${C_DEF} "
#fi

export PS2
export PS1

case $TERM in
xterm*)
PROMPT_COMMAND='echo -ne "\033]0;${USER}@${MACHINE}: ${PWD}\007"'
echo -ne "\033]0;${USER}@${MACHINE}: ${PWD}\007"
;;
*)
setterm -blength 0
;;
esac

#
# Alias configuration
#
alias l='ls -ahlF --color=yes --full-time --time-style=long-iso | more'
alias ll='ls -alhF --color=yes --full-time --time-style=long-iso'
alias cpav='cp -av'
</code>

**Note :**  pour activer un prompt différent entre root et les autres users, vous n'avez qu'a décommenter le if.

A noter également que les autres users que root ont un .bashrc dans leur réportoire home très complet écrasant la configuration qu'on vient de faire. Donc deux options, soit on personnalise aussi le .bahsrc de tous les users soit on le simplifie pour que le paramétrage par défaut s'applique. Pour ma part je choisis l'option 2 en recopiant le .bashrc minimaliste du user root.

Donc dans le répertoire home du user (ex : /home/monuser)

<code bash>
cp /root/.bashrc .
</code>

Et on oublie pas de vérifier que les droits sont bien pour le user courant sur ce fichier, sinon changer user / group avec chown.

**Pour le second serveur, on renouvelle l'opération de manière identique. **

Je conseille de changer les couleurs du prompt avec autre chose pour bien différentier les serveurs. Pour cela dans les lignes "PS1=" changer C_RED par la couleur de votre choix.

====== 7. Configurer ses DNS ======

Il est très utile (par exemple pour les mails) d'avoir une zone DNS correctement configurée pour accéder à ses serveurs. Cela veut dire au minimum, que vous allez vous acheter un nom de domaine et configurer ensuite des sous domaines pour vos différentes machines.

Evidemment les parties type //machine1.domaine.net//  sont à personnaliser tout comme //IP_SERVEUR_PHYSIQUE_1//.

**Exemple :**

  * machine1.domaine.net
  * machine2.domaine.net

**Avec une conf DNS de ce genre par machine :**

  * **Type :**//A//
  * **Nom :**//machine1.domaine.net.//
  * **TTL :**//900//
  * **Valeur :**//IP_SERVEUR_PHYSIQUE_1//
**Et une conf [[http://www.openspf.org/SPF_Record_Syntax|SPF]] de ce genre pour ne pas vous faire jeter par les analyses antispam (toujours pour chaque serveur) :**
  * **Type :**//TXT//
  * **Nom :**//machine1.domaine.net.//
  * **TTL :**//3600//
  * **Valeur :**//"v=spf1 a mx ip4:IP_SERVEUR_PHYSIQUE_1 -all"//
Et bien sur ne pas oublier de **modifier les reverses**  de vos serveurs pour qu'ils pointes sur les domaines que vous venez de définir. Pour online.net il suffit d'aller sur la console d'administration de votre serveur et cliquer sur "Modifier les reverses" et vous mettez le domaine correspondant (ex : machine1.domaine.net.).

*Note importante :* attention la propagation des DNS peut mettre un certain temps. Disons jusqu'à 24 à 48H pour être à jour partout. Donc il vaut mieux anticiper cette partie… Cela dit pour ce qu'on a à faire la mise à jour va assez vite (quelques minutes tout au plus).

====== 8. Changer le hostname de ses machines ======

Il faut maintenant changer le nom des machines, conformément à ce qu'on a mis en DNS et en reverse. C'est un peu particulier sur proxmox et j'ai trouvé [[http://forum.proxmox.com/threads/6617-change-hostname-of-proxmox-host|ce topic]] qui en parle pas mal. Comme toujours, à adapter en fonction de votre config.

Changer le fichier hostname :

<code bash>
nano /etc/hostname
</code>

<code>
machine1
</code>

Puis le fichier hosts :

<code bash>
nano /etc/hosts
</code>

<code>
# Localhost
127.0.0.1       localhost
IP_SERVEUR_PHYSIQUE_1 machine1
</code>

Evidemment il peut y avoir d'autres choses sur la ligne de IP_SERVEUR_PHYSIQUE_1.

**Note 1 :**  nous verrons tout à leur que nous rechangeront cette configuration pour l'adapter aux besoins du cluster et des VM mais pour l'instant faisons propre :)

Et enfin changement du certificat proxmox (faites un ptit backup au cas ou avant et regardez aussi [[http://forum.proxmox.com/threads/9170-webinterface-problems|ce topic]]) :

<code bash>
rm /etc/pve/pve-root-ca.pem
</code>

<code bash>
pvecm updatecerts --force
</code>

**Note 2 :**  mieux vaut faire cette opération de suite, car ce sera le bordel une fois le cluster monté… Changer le nom des machines en cours de route alors qu'elles sont utilisées pour identifier les noeuds, ça sent le sapin !

====== 9. Configurer son serveur mail ======

Par défaut la configuration de postfix laisse à désirer. Il faut donc y redonner un coup de tournevis :

<code bash>
dpkg-reconfigure postfix
</code>

**La conf que j'utilise (réponse aux écrans 1 par 1) : **

  * **Configuration type du serveur de messagerie :**//Site Internet//
  * **Nom de courrier :**//machine.domaine.net//  (a adapter avec votre domaine et sous domaines sur votre DNS).
  * **Destinataire des courriels de « root » et de « postmaster » :**///etc/aliases//
  * **Autres destinations pour lesquelles le courrier sera accepté (champ vide autorisé) :** //$myhostname, $myhostname.$mydomain, $mydomain//
  * **Faut-il forcer des mises à jour synchronisées de la file d'attente des courriels ?**//Non//
  * **Réseaux internes :**//127.0.0.0/8//
  * **Faut-il utiliser procmail pour la distribution locale ?**//Oui//
  * **Taille maximale des boîtes aux lettres (en octets) :**//51200000//
  * **Caractère d'extension des adresses locales :**//+//
  * **Protocoles internet à utiliser :**//ipv4//

Et un petit tour dans le fichier de conf postfix (précédemment édité) pour vérifier que tout est OK et modififier myhostname, mydomain avec par exemple machine1.domaine.net et enfin /etc/postfix/generic pour forcer la réécriture des "from".

<code bash>
nano /etc/postfix/main.cf
</code>

Ce qui vous donnera

<code>
myhostname = machine1.domaine.net
mydomain = mondomaine.net
smtp_generic_maps = hash:/etc/postfix/generic
</code>

On crée / modifie le fichier generic :

<code bash>
nano /etc/postfix/generic
</code>

Qui ressemble à ceci (voir [[http://www.postfix.org/ADDRESS_REWRITING_README.html#generic|la documentation postfix]]) :

<code>
@machine1        noreply@machine1.mondomaine.net
</code>

On active la configuration contenu dans le fichier generic et on reboot postfix :

<code bash>
postmap /etc/postfix/generic
service postfix restart
</code>

**Note 1 :** Pour la debian fournie avec promox 3 (squeeze je crois) pas besoin de configuration avec un fichier generic pour réécrire les adresses mail expéditeur. Il prend correctement myhostname. Par contre pour la dernière ubuntu (la trusty) impossible de lui faire prendre myhostname ou mydomain ou myorigin... Donc seule la configuration avec generic permet de forcer l'écriture d'une adresse expéditeur correcte.

**Note 1.1 :** Après enquête la différence (que je soupçonne) serait sur l'absence de procmail sur la dernière ubuntu contraitement à la debian...

**Note 2 :** Dans generic je force a une adresse norply@ pour éviter de montrer les users système qui envoient les mails dans les mails automatiques. A adapter a votre configuration.

**Note 3 :** C'est très important de bien configururer une bonne adresse from qui correspond à votre host.domaine.net car ça vous permettra d'éviter les échec (et donc refus ou spam) d'envoi de mail sur la négocation avec les serveurs distants via HELO ([[http://forum.ubuntu-fr.org/viewtopic.php?id=380885|ce topic en parle pas mal]]).

**Note 4 :**  Il est très très important d'avoir des dns configurés (host.domaine.net) correctement pour émettre vos mails. Car sinon tous les mails envoyés par votre serveur finiront dans la boite à spam (meilleur des cas) voire vos ip seront blacklistées. Pourquoi ? En gros parce que vos serveurs enverrons des mails avec des dns incohérents et les filtres antispam sont sans pitié !

Pour en savoir plus sur la configuration correcte de postfix pour éviter les spams, se référer à [[:linux:postfix|cet article]], plus détaillé.

====== 10. Sécurisation des serveurs ======

===== 10.1 Introduction =====

En grande partie repris de [[http://www.alsacreations.com/tuto/lire/622-Securite-firewall-iptables.html|cet article]]. Je reprends quasi tel que (défois que ça disparaisse), sauf peut être la partie firewall que j'ai adaptée.

===== 10.2. Modifier le mot de passe root =====

N'hésitez pas à modifier le mot de passe surtout si celui-ci vous a été attribué par défaut. Identifiez-vous d'abord en root (voir ci-dessus) puis entrez la commande :

<code bash>
passwd root
</code>

===== 10.3. Configuration SSH =====

Afin de sécuriser l'accès SSH au serveur, éditons le fichier /etc/ssh/sshd_config. Nous allons changer le port de connexion par défaut pour éviter quelques attaques par bruteforce sur le port 22, qui est bien connu pour héberger ce service. N'oubliez pas de préciser ce nouveau port (dans Putty ou en ligne de commande ssh sous Linux) à la prochaine connexion.

<code bash>
nano /etc/ssh/sshd_config
</code>

Pour rappel, le port et le users sont à changer en fonction de votre configuration perso bien sûr.

<code bash>
Port 2222                  # Changer le port par défaut (à retenir!)
PermitRootLogin yes        # Obligé a cause de proxmox
</code>

Dans l'idéal on devrait n'autoriser qu'un user a se connecter et surtout pas root :

<code bash>
PermitRootLogin no         # Ne pas permettre de login en root
AllowUsers dew             # N'autoriser qu'un utilisateur précis
</code>

__**Mais on ne le fera pas**__ hélas car proxmox a besoin de se connecter en root notamment pour les histoires de gestion du cluster.

Pour la partie client (et surtout pour proxmox) on doit également changer la configuration de base du client ssh pour qu'il utilise le port qu'on a changé (qui n'est plus le port par défaut) :

<code bash>
nano /etc/ssh/ssh_config
</code>

Et modifier la ligne du port pour l'adapter à votre configuration :

<code>
Port 2222
</code>

La modification est à faire sur les deux noeuds. Sans cette modification, lorsque vous voudrez ajouter votre 2eme noeud au cluster vous aurez un beau

<code>
unable to copy ssh ID
</code>

Redémarrez le service SSH après ces modifications :

<code bash>
service ssh restart
</code>

===== 10.5. Alerte login root ou autre user =====

Vous pouvez éditer le fichier **/root/.bashrc**  (ou celui d'un utilisateur lambda /home/myuser/.bashrc) qui est exécuté au démarrage d'une sesion root (ou du user correspondant) pour envoyer un e-mail de notification. De cette façon, vous serez prévenu lorsqu'un login est effectué.

<code bash>
nano /root/.bashrc
</code>

Ajoutez la ligne (en modifiant l'adresse e-mail de destination) :

<code bash>
#
# Mail alert on root connection
#
echo "Accès shell root le `date` `who`" | mail -s "`hostname` - Shell root de `who | cut -d"(" -f2 | cut -d")" -f1`" monitoring@test.com
</code>

===== 10.6. Firewall et IPtables =====

Bon c'est un peu long et tout ne va pas servir de suite… Cependant il faut bien en parler à un moment ou un autre…

Pour désactiver l'IPv6, si vous n'en avez pas besoin (pas de troll :)) et ça évitera de devoir faire de la conf ipv6… (oui je suis flemmard mais ca n'est pas très utile pour moi a priori).

<code bash>
echo "options ipv6 disable=1" > /etc/modprobe.d/disable-ipv6.conf
</code>

On crée notre fichier de configuration

<code bash>
nano /etc/init.d/iptables
</code>

Et on le valorise dans ce gout là. A adapter en fonction de votre config et à faire pour chaque serveur physique. Bien sur quand on autorise le serveur 2 sur le serveur 1, on autorise le serveur 1 sur le serveur 2 (faut inverser).

Attention celui ci est très complet mais il faudra élaguer sans doute en fonction de vos besoins. Un principe de sécurité : on interdit tout et on ouvre que le stricte minimum.

**Note :**  la configuration ftp passive est un peu délicate. Je me facilite donc la vie en ne l'utilisant que pour mon backup online en mode semi bourrin (voir [[http://vivihome.net/2012/12/29/online-passe-sans-prevenir-ses-serveurs-backup-en-ftp-passif-only-et-aller-on-refait-iptables/|cet article]]). Par ailleurs pour savoir si l'adresse est bien //dedibackup-dc2.online.net//  Rendez vous dans la rubrique sauvegarde sur la page de votre serveur sur le site online.net.

<code bash>
#!/bin/bash

echo Setting iptables / firewall rules...
#
# Dedibox iptables / firewall configuration
#
# http://wiki.debian.org/LSBInitScripts/DependencyBasedBoot
# http://wiki.debian.org/LSBInitScripts
# http://documentation.online.net/fr/serveur-dedie/tutoriel/iptables-netfilter-configuration-firewall
# http://www.alsacreations.com/tuto/lire/622-Securite-firewall-iptables.html
#
# Modifications alban.montaigu
#

###### Start Initialisation ######

# Empty current tables
iptables -t filter -F
iptables -t filter -X
echo - Empty current tables : [OK]

# No input connection
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
echo - No input connection : [OK]

# No output connection
iptables -t filter -P OUTPUT DROP
echo - No output connection : [OK]

# Authorize private hosts for all
# Physical public IP of physical server 2
iptables -A INPUT -s IP_SERVEUR_PHYSIQUE_2 -j ACCEPT
iptables -A FORWARD -s IP_SERVEUR_PHYSIQUE_2 -j ACCEPT
iptables -A OUTPUT -d IP_SERVEUR_PHYSIQUE_2 -j ACCEPT

# Physical RPN IP of physical server 2
iptables -A INPUT -s RPN_IP_SERVEUR_PHYSIQUE_2 -j ACCEPT
iptables -A FORWARD -s RPN_IP_SERVEUR_PHYSIQUE_2 -j ACCEPT
iptables -A OUTPUT -d RPN_IP_SERVEUR_PHYSIQUE_2 -j ACCEPT

# Authorize SSH
iptables -t filter -A INPUT -p tcp --dport 2222 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 2222 -j ACCEPT
echo - Authorize SSH : [OK]

# Authorize OpenVPN interfaces (enable multicast)
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT
iptables -A OUTPUT -o tap+ -j ACCEPT
echo - Authorize OpenVPN : [OK]

# Authorize interfaces on internal network (enable multicast)
iptables -A INPUT -i vmbr1 -j ACCEPT
iptables -A FORWARD -i vmbr1 -j ACCEPT
iptables -A OUTPUT -o vmbr1 -j ACCEPT
echo - Authorize vmbr1 [OK]

#  Do not break established connections
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Do not break established connections : [OK]

###### End Inialisation ######

##### Start Rules  ######

# Authorize DNS, FTP, HTTP, NTP
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
echo - Authorize DNS, FTP, HTTP, NTP : [OK]

# Authorize loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo - Authorize loopback : [OK]

# Authorize ping
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo - Authorize ping : [OK]

# HTTP
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT
echo - Authorize HTTP : [OK]

# Monit
iptables -t filter -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 8080 -j ACCEPT
echo - Authorize monit : [OK]

# Proxmox admin
iptables -t filter -A INPUT -p tcp --dport 8006 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 8006 -j ACCEPT
echo - Authorize proxmox admin : [OK]

# Proxmox VNC it's ok because vncserver is started only when requested in the GUI
iptables -t filter -A INPUT -p tcp --dport 5900 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 5900 -j ACCEPT
echo - Authorize proxmox VNC : [OK]

# FTP (passive dedibackup-dc2.online.net and active)
modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -d dedibackup-dc2.online.net -j ACCEPT
echo - Authorize FTP : [OK]

# Mail
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
echo - Authorize mail : [OK]

# LOGGING if necessary (must be at the end)
# From http://www.thegeekstuff.com/2012/08/iptables-log-packets/
#iptables -N LOGGING
#iptables -A INPUT -j LOGGING
#iptables -A OUTPUT -j LOGGING
#iptables -A LOGGING -j LOG --log-prefix "[IPTABLES-DROP]" --log-level debug
#iptables -A LOGGING -j DROP
#echo - Log enabled

###### End rules ######

echo Iptables / firewall update successfull !
</code>

On donne les droits d'execution à ce script :

<code bash>
chmod +x /etc/init.d/iptables
</code>

Et on le test **AVANT**  de le démarrer automatiquement… Sinon vous êtes bon pour redémarrer votre serveur en mode secours pour retoucher le fichier… L'avantage de pas le mettre en mode boot automatique c'est que quand vous faites une connerie, suffit de reboot le serveur via l'interface d'admin online.net pour reprendre la main sur le serveur…

Pour activer le script à chaque démarrage,modifiez le script et ajouter ceci après la première ligne __#!/bin/bash__  (plus de update rc, c'est [[https://wiki.debian.org/LSBInitScripts|LSBInitScripts]] maintenant) :

<code bash>
### BEGIN INIT INFO
# Provides:             iptables
# Required-Start:       $remote_fs $syslog
# Required-Stop:        $remote_fs $syslog
# Default-Start:        2 3 4 5
# Default-Stop:
# Short-Description:    Iptables / firewall configuration
### END INIT INFO
</code>

Et on active le boot automatique (voir [[https://wiki.debian.org/LSBInitScripts/DependencyBasedBoot|cette page]]) :

<code bash>
insserv iptables
</code>

===== 10.7. Fail2ban =====

Fail2ban est un script surveillant les accès réseau grâce aux logs des serveurs. Lorsqu'il détecte des erreurs d'authentification répétées, il prend des contre-mesures en bannissant l'adresse IP grâce à iptables. Cela permet d'éviter nombre d'attaques bruteforce et/ou par dictionnaire.

**Installation :**

<code bash>
apt-get install fail2ban
</code>

**Configuration :**

<code bash>
nano /etc/fail2ban/fail2ban.conf
</code>

  * **loglevel** //Niveau de détail des logs (défaut 3)//
  * **logtarget = /var/log/fail2ban.log** //Chemin vers le fichier de log (description des actions entreprises par fail2ban)//

Les services à monitorer sont stockés dans **jail.conf**. Il est recommandé d'en effectuer une copie nommée **jail.local**  qui sera automatiquement utilisée à la place du fichier exemple.

<code bash>
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
</code>

<code bash>
nano /etc/fail2ban/jail.local
</code>

**Quelques paramètres globaux :**

  * **ignoreip = 127.0.0.1** //Liste des adresses IP de confiance à ignorer par fail2ban//
  * **bantime = 600** //Temps de ban en secondes//
  * **maxretry = 3** //Nombre d'essais autorisés pour une connexion avant d'être banni//
  * **destmail monitoring@test.com** //Adresse e-mail destinataire des notifications//
  * **action** //Action à entreprendre en cas de détection positive (voir dans /etc/fail2ban/action.d/)//
Chaque section possède ses propres paramètres qui prennent le pas sur les globaux s'ils sont mentionnés :

  * **enabled** //Monitoring activé (true) ou non (false)//
  * **maxretry, bantime, ignoreip, destmail** //Voir ci-dessus//
  * **port** //Port IP concerné//
  * **logpath** //Fichier de log à analyser pour détecter des anomalies//
  * **filter** //Filtre utilisé pour l'analyser du log//
Les filtres par défaut sont stockés dans **/etc/fail2ban/filter.d**. Ils contiennent en général une instruction failregex suivie d'une expression régulière matchant la détection d'une authentification erronée. Par exemple pour le service Courier :

<code>
failregex = LOGIN FAILED, ip=[<HOST>]$
</code>

**Note :**  Celle-ci peut être précisée directement dans **jail.local**  à la section appropriée pour prendre le pas sur la directive filter.

Modifiez les ports le cas échéant dans la section ssh si vous avez suivi la recommandation ci-dessus…

<code>
enabled = true
port    = 2222
</code>

Après modification de la configuration, n'oubliez pas de redémarrer fail2ban :

<code bash>
service fail2ban restart
</code>

===== 10.8. Rkhunter =====

Rootkit Hunter est un programme de détection de rootkits. Vous pouvez l'installer grâce à :

<code bash>
apt-get install rkhunter
</code>

Il procédera à des détections journalières anti-rootkits et enverra des notifications par e-mail si nécessaire. Il est conseillé de l'installer très tôt car il calcule l'empreinte MD5 des programmes installés afin de détecter d'éventuels changements. Editez /etc/default/rkhunter pour indiquer l'adresse de notification et l'exécution journalière :

<code bash>
nano /etc/default/rkhunter
</code>

Modifier ainsi :

<code>
REPORT_EMAIL="monitoring@test.com"
</code>

En cas de fausses détections positives sur des répertoires ou fichiers existants et sains, éditez /etc/rkhunter.conf pour les ajouter à la liste des éléments autorisés.

<code bash>
nano /etc/rkhunter.conf
</code>

Modifier ainsi (dans la partie correspondante avec les autres du genre) :

<code>
SCRIPTWHITELIST=/usr/bin/unhide.rb
</code>

**Pour les distributions ubuntu (utile pour les VM seulement dans la suite du guide)**, on a quelques warnings supplémentaires à enlever de cette manière :

<code>
ALLOWHIDDENDIR="/dev/.udev"
ALLOWHIDDENFILE="/dev/.initramfs"
ALLOWDEVFILE="/dev/.udev/rules.d/root.rules"
</code>

Vous pouvez également utiliser chkrootkit qui est un équivalent.

====== 11. Surveillance des serveurs ======

===== 11.1. Introduction =====

Dans le domaine de la surveillance / monitoring des serveurs il existe vraiment des tonnes de choses à faire. Sur cette partie, pour l'instant du moins, j'ai décider d'opter pour un service minimum dans le sens ou j'ai une architecture de relativement peu de serveurs et je veux avoir quelque chose qui reste relativement simple. A voir plus tard pour améliorer cette section. Dans tous les cas il faut bien commencer par quelque chose.

**Ressources :**

  * Alsacréation avec [[http://www.alsacreations.com/tuto/lire/613-Monitoring-serveur.html|cet article]] (monit + logwatch)
  * Moi même (ha c'est bien de garder des notes) avec [[http://vivihome.net/2011/08/15/securiser-son-serveur-cest-aussi-le-surveiller-2-bon-outils-logwatch-et-monit/|cet article]].

===== 11.2. Logwatch =====

Je trouve cette solution intéressante car elle permet d'avoir un moyen de synthétiser et suivre ce qui se passe dans les logs du serveur. Et cela on ne le fait jamais assez alors que pourtant c'est une mine d'or !

Logwatch est par un démon pouvant analyser et résumer les logs générés par les autres services durant la journée pour en détecter d'éventuelles anomalies ou en tirer des statistiques. Il permet d'envoyer un e-mail récapitulatif quotidien à l'administrateur. Son installation est elle aussi très simple grâce à APT et au paquet éponyme :

<code bash>
apt-get install logwatch
</code>

La configuration par défaut suffit amplement, il suffit de modifier le destinataire dans le fichier /usr/share/logwatch/default.conf/logwatch.conf. Celui-ci peut se trouver à un autre endroit du disque, n'hésitez pas à vous servir de la commande locate.

<code bash>
nano /usr/share/logwatch/default.conf/logwatch.conf
</code>

Modifiez l'option MailTo et tout ce que vous jugerez nécessaire. Par exemple je modifie le format aussi pour qu'il soit plus sympa a lire. Il peut être utile également de régler le niveau de détail.

<code>
MailTo = monitoring@test.com
Format = html
Detail = Med
</code>

Vérifiez au besoin la présence de logwatch dans le répertoire /etc/cron.daily/ dont les scripts sont exécutés quotidiennement.

Vous pouvez même lancer l'execution telle que prévue par cron pour voir si tout est OK :

<code bash>
/etc/cron.daily/00logwatch
</code>

===== 11.3. Monit =====

Monit est une application permettant de surveiller l'état des services (notamment web, ftp, mail, mysql, ssh) par une interface web, et de notifier l'administrateur si nécessaire (trop grande charge cpu, redémarrage, indisponibilité…).

L'installation de Monit se réalise en quelques secondes grâce au paquet éponyme :

<code bash>
apt-get install monit
</code>

La configuration de Monit se fait en deux temps. Tout d'abord, autoriser le démarrage du service en éditant /etc/default/monit.

<code bash>
nano /etc/default/monit
</code>

L'option START doit être à yes. Il semble que ce soit la valeur par défaut désormais sur les versions récentes.

<code>
# You must set this variable to yes for monit to start
START=yes
</code>

Ensuite, éditer le fichier de configuration /etc/monit/monitrc contenant la description de tous les services à surveiller.

<code bash>
nano /etc/monit/monitrc
</code>

Voici un exemple complet. Celui-ci est relativement explicite et à adapter selon votre configuration notamment pour le port SSH (22 par défaut) qui est ici 1337 pour correspondre au précédent tutoriel de configuration.

  * **with start delay 240**//Va avec le set daemon et permet de différer le démarrage de monit. Utile pour éviter de surveiller des process de suite alors qu'ils n'ont potentiellement pas encore démarré lors du boot//
  * **set mailserver**//Indique le(s) serveur(s) de mail à utiliser pour l'envoi des notifications//
  * **set alert**//Indique les adresses destinataires//
  * **set httpd port**//Spécifie le port de connexion web. Vous pourrez ensuite vous connecter grâce à votre navigateur sur l'IP et le port correspondant (ex: [[http://test.alsacreations.com:8080/|http://test.alsacreations.com:8080/]] )//
  * **allow login:password**//Spécifie le couple login/password pour l'accès web (à renseigner)//
  * **check device**//Va permettre de surveiller l'espace disque restant : il faut ici indiquer le bon path vers /dev/XXX correspondant à la partition à monitorer (ex : /dev/sda, /dev/md1… selon votre configuration)//
**Note 1 :**  ici je ne surveille pas des choses comme MySQL ou Apache2 puisque sur le cluster proxmox c'est inutile. De plus je ne surveille pas le serveur FTP puisque je ne souhaite pas en mettre.

**Note 2 :**  Le fichier par défaut est assez fourni, vous pouvez donc prendre exemple dessus et compléter les éléments indiqués ci dessous.

**Eléments à modifier (ne pas reprendre juste cela, manquerait des choses sinon) : **

<code>
# Config

  set daemon 120
    with start delay 240

  set mailserver localhost

  set mail-format {
      from: monit@$HOST.mondomaine.net
      subject: $HOST - Monit : $EVENT $SERVICE
  }

  set alert monitoring@test.com

  set httpd port 8080 and
     allow login:password
</code>

Puis dans **/etc/monit/conf.d/**  vous pouvez ajouter les services qui vous intéressent. On peut aussi tout mettre dans monitrc mais je trouve ça peu lisible au final.

<code bash>
nano /etc/monit/conf.d/ssh.conf
</code>

<code>
# SSH
check process sshd with pidfile /var/run/sshd.pid
group ssh
start program "/etc/init.d/ssh start"
stop program "/etc/init.d/ssh stop"
if failed host 127.0.0.1 port 1337 protocol ssh then restart
if 5 restarts within 5 cycles then timeout
</code>

<code bash>
nano /etc/monit/conf.d/postfix.conf
</code>

<code>
# Postfix
check process postfix with pidfile /var/spool/postfix/pid/master.pid
group mail
start program = "/etc/init.d/postfix start"
stop  program = "/etc/init.d/postfix stop"
if failed port 25 protocol smtp then restart
if 5 restarts within 5 cycles then timeout
</code>

<code bash>
nano /etc/monit/conf.d/disk.conf
</code>

<code>
# Disk
check device system-root with path /dev/mapper/system-root
if space usage > 85% then alert
group system
</code>

Vous êtes libre d'ajouter tous les services à monitorer sur votre machine (pop3, imap, spamassassin, clamav, fail2ban…). La syntaxe est abordable et les exemples nombreux. Pour vérifier cette syntaxe, utilisez la commande :

<code bash>
/etc/init.d/monit syntax
</code>

Si aucun message d'erreur n'est indiqué, vous pourrez ensuite démarrer monit :

<code bash>
service monit start
</code>

Vérifiez une nouvelle fois la bonne interprétation de la configuration grâce à monit -v.

====== 12. Sauvegarde des serveurs ======

J'aurais pu mettre cette partie dans sécurité mais bon la sauvegarde est tellement importante qu'elle mérite un chapitre à elle même. Cette rubrique sera à compléter car avec un serveur proxmox, on a aussi la question de backup des VM qui peut se poser. Ici je ne traiterai pour l'instant que du stricte minimum (vu la config et les options prises sur mes serveurs) à savoir la __sauvegarde de la configuration de mes serveurs__.

Pour cela je trouve l'utilitaire backup-manager très bien et le tutorial suivi est [[http://www.alsacreations.com/tuto/lire/618-Sauvegarde-backup-manager.html|celui d'Alsacreation]] (encore :)).

Backup Manager est un outil en ligne de commande pour Linux conçu pour effectuer des sauvegardes quotidiennes de votre système. Il est écrit en bash et Perl, permet de constituer des archives dans plusieurs formats de compression (tar, gzip, bzip2, lzma, dar, zip) et de les exporter vers un serveur FTP ou de les graver automatiquement.

Dans notre cas, nous allons l'installer, et le configurer pour envoyer des archives compressées sur un serveur FTP externe de sauvegarde. Si vous utilisez une Dedibox, vous pourrez ainsi profiter du système dedibackup.

Consultez si nécessaire Configuration d'un serveur dédié de A à Z (Connexion SSH, Accès root, Edition des fichiers en ligne de commande) avant de poursuivre. Installation

**Note importante :**  pour online.net n'oubliez pas d'aller sur la page [[https://console.online.net|console.online.net]] de votre serveur, cliquez sur **Sauvegarde**  notez les paramètres du serveur FTP et enfin éditez les infos de connexion pour initialiser le mot de passe de votre choix.

Backup-manager peut s'installer via apt (pensez à passer en root) :

<code bash>
apt-get install backup-manager
</code>

Il sera lancé quotidiennement grâce au démon cron de Linux. Configuration

Editez le fichier /etc/backup-manager.conf

<code bash>
nano /etc/backup-manager.conf
</code>

Par défaut, les archives seront placées dans le répertoire /var/archives. Ceci est modifiable par l'instruction

<code bash>
export BM_REPOSITORY_ROOT="/var/archives"
</code>

Ce répertoire doit être détenu par root (afin que personne d'autre ne puisse en consulter le contenu).

La durée de conservation des archives est définie (en jours) par :

<code bash>
export BM_ARCHIVE_TTL="15"
</code>

Il faut la moduler en fonction de l'espace de sauvegarde disponible et la quantité de données à conserver.

Des fichiers tar.gz seront constitués :

<code bash>
export BM_TARBALL_FILETYPE="tar.gz"
</code>

Les répertoires à sauvegarder (vous pouvez avoir plusieurs dossiers séparés par des espaces) :

<code bash>
export BM_TARBALL_DIRECTORIES="/etc"
</code>

Dans ce cas, nous sauvegardons l'essentiel de la configuration du système qui se trouve dans /etc.

Il est possible de blacklister certains types de fichiers (ne pas les sauvegarder), ceci est pratique pour ne pas faire exploser la taille des archives :

<code bash>
export BM_TARBALL_BLACKLIST="/var/archives *.mp3 *.avi *.rar *.zip *.ogg *.sql *.tgz *.mpg *.log *.7z"
</code>

Configuration de la sauvegarde par FTP

Dans notre cas, nous exportons les archives par FTP :

<code bash>
export BM_UPLOAD_METHOD="ftp"
export BM_UPLOAD_HOSTS="dedibackup-dc2.online.net"
export BM_UPLOAD_DESTINATION="/"
</code>

On précise certaines options FTP (BM_UPLOAD_FTP_DESTINATION est redondant avec la directive BM_UPLOAD_HOSTS par défaut) :

<code bash>
export BM_UPLOAD_FTP_PASSIVE="true"
</code>

Dont il faut renseigner l'accès avec login et mot de passe :

<code bash>
export BM_UPLOAD_FTP_USER="votre login"
export BM_UPLOAD_FTP_PASSWORD="votre mot de passe"
</code>

Nous précisons aussi qu'il faut purger les archives trop anciennes pour être conservées :

<code bash>
export BM_UPLOAD_FTP_PURGE="true"
</code>

Avec un BM_UPLOAD_FTP_TTL qui vient de la conf par défaut BM_UPLOAD_FTP_TTL tout comme BM_UPLOAD_FTP_DESTINATION qui vient de BM_UPLOAD_DESTINATION par défaut.

La destination d'upload BM_UPLOAD_FTP_DESTINATION est valorisée par défaut avec BM_UPLOAD_DESTINATION.

Enfin, on oublie pas de désactiver la gravure sur CDROM :

<code bash>
export BM_BURNING_METHOD="none"
</code>

Grâce à l'option BM_POST_BACKUP_COMMAND vous pourrez exécuter un script shell une fois la sauvegarde terminée. Ceci est pratique pour envoyer une notification par e-mail lorsque la sauvegarde est terminée ou pour calculer la quantité de données sauvegardées dans /var/archives/. Laissez libre cours à votre imagination ou prenez exemple sur ce script écrit en PHP.

Au préalable, une petite installation de PHP pour ligne de commande s'impose

<code bash>
apt-get install php5-cli
</code>

Nous utiliserons donc :

<code>
export BM_POST_BACKUP_COMMAND="/etc/backup-manager-post"
</code>

En créant le fichier correspondant :

<code bash>
nano /etc/backup-manager-post
</code>

Et en y plaçant le code suivant. N'oubliez pas de modifier les deux premières lignes relatives à l'e-mail de destination et au répertoire stockant les archives :

<code php>
#!/usr/bin/php

<?php

$dest = array('monitoring@domain.net');
$archives = '/var/archives';

$host = trim(file_get_contents('/etc/hostname'));

clearstatcache();

$dir = opendir($archives);
if($dir) {
        $totalsize = "";
        $pagetext = "";
        while(false !== ($filename = readdir($dir))) {
                if($filename[0]!='.' && preg_match('/'.date('Ymd').'/',$filename)) {
                        $thefile = $archives.'/'.$filename;
                        $size = exec("ls -l '".$thefile."' | awk '{print $5}'");
                        if($size>0) {
                                $pagetext.= $filename." (".round($size/1000000000,2)." Go)\n";
                        } else {
                                $pagetext.= $filename." (? Go)\n";
                        }
                        $totalsize += $size;
                }
        }
        $pagetext .= "\nTotal : ".round($totalsize/1000000000,2)." Go\n";
}

foreach($dest as $d) {
        mail($d,'['.$host.'] Backup OK',$pagetext);
}

?>
</code>

Attribuez le droit d'exécution :

<code bash>
chmod +x /etc/backup-manager-post
</code>

Et on oublie pas de déclencher nos sauvegardes automatiquement par cron :

<code bash>
nano /etc/cron.daily/backup-manager
</code>

Avec ce contenu :

<code bash>
#!/bin/bash
# cron script for backup-manager
test -x /usr/sbin/backup-manager || exit 0
/usr/sbin/backup-manager
</code>

Et on le rend executable

<code bash>
chmod +x /etc/cron.daily/backup-manager
</code>

Pour des informations plus détaillées, consultez aussi la documentation officielle de Backup Manager

====== 13. Partitionnement / LVM ======

===== 13.1. Introduction =====

Pour l'installation dont on a besoin, il va falloir faire un peu de tuning sur le processus d'installation de base notamment le partitionnement. Pour rappel, l'installation de base via la console online.net nous oblige a faire quelque chose de très basique avec toute la place disque disponible affectée au système. Or, nous voulons mettre en place 2 **espaces disques pour mettre en place la réplication DRBD**.

Comme **DRBD fonctionne avec des volumes physiques**, soit nous utilisons des disques physiques (si on en a non utilisé) soit on en crée avec [[http://doc.ubuntu-fr.org/lvm|LVM]] sur le disque déjà utilisé. Il se trouve que beaucoup de systèmes linux dont proxmox utilisent déjà LVM sur l'installation de base. Il va donc falloir adapter la configuration existante:

  * Réduire le système de fichier correspondant à la racine /
  * Réduire le volume LVM correspondant à /
  * Créer les volumes nécessaire pour nos 2 DRBD

===== 13.2. Bilan du montage (mount) =====

On regarde le montage par défaut :

<code bash>
mount
</code>

Ce qui nous intéresse c'est ça

<code bash>
/dev/mapper/system-root on / type ext4 (rw,relatime,errors=remount-ro,barrier=1,data=ordered)
</code>

C'est là ou le système est monté par défaut. On va regarder la place disponnible dessus

<code bash>
df -H /
</code>

Ce qui donne :

<code>
Sys. fich.              Taille Util. Dispo Uti% Monté sur
/dev/mapper/system-root   952G  1,4G  902G   1% /
</code>

C'est ladessus qu'on va devoir travailler.

===== 13.3. Bilan du LVM =====

[[http://doc.ubuntu-fr.org/lvm#redimensionnement|Cette page]] de la doc ubuntu est pas mal pour en savoir un peu plus sur LVM.

En gros ce qu'il faut noter c'est qu'il y a un enchainement de 3 couches :

  * **PV :**  volume physique
  * **VG :**  groupe de volumes logiques (contenus dans un PV)
  * **LV :**  volume logique (contenu dans un VG)
On regarde ce que donnent les volumes physiques :

<code bash>
pvdisplay
</code>

<code>
  --- Physical volume ---
  PV Name               /dev/sda5
  VG Name               system
  PV Size               900,29 GiB / not usable 0
  Allocatable           yes (but full)
  PE Size               4,00 MiB
  Total PE              230475
  Free PE               0
  Allocated PE          230475
  PV UUID               tG2TXB-uY12-oazV-j0un-AMhW-XNk8-gzvsUn
</code>

Puis on regarde les groupes de volumes

<code bash>
vgdisplay
</code>

<code>
  --- Volume group ---
  VG Name               system
  System ID
  Format                lvm2
  Metadata Areas        1
  Metadata Sequence No  2
  VG Access             read/write
  VG Status             resizable
  MAX LV                0
  Cur LV                1
  Open LV               1
  Max PV                0
  Cur PV                1
  Act PV                1
  VG Size               900,29 GiB
  PE Size               4,00 MiB
  Total PE              230475
  Alloc PE / Size       230475 / 900,29 GiB
  Free  PE / Size       0 / 0
  VG UUID               pSBkN7-xpRm-aDYC-LWwH-M6eS-q1Hh-Gd6dod
</code>

Et enfin on regarde les volumes logiques

<code bash>
lvdisplay
</code>

<code>
  --- Logical volume ---
  LV Path                /dev/system/root
  LV Name                root
  VG Name                system
  LV UUID                48E9TR-LNqs-uP11-kMKY-3UeF-JsLS-Ko3glR
  LV Write Access        read/write
  LV Creation host, time 62-210-140-177, 2014-05-31 11:27:01 +0200
  LV Status              available
  # open                 1
  LV Size                900,29 GiB
  Current LE             230475
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     256
  Block device           253:0
</code>

**En résumé, nous avons :**

  * **Un volume physique :**  /dev/sda5
  * **Avec un groupe de volumes :**  system
  * **Avec un volume logique :**  /dev/system/root
Et c'est /dev/system/root qui contient notre système de fichier monté sur / à la racine de notre système.

===== 13.4. Réduction du système de base =====

Bon, maintenant qu'on y voit mieux sur ce qui se passe, on va passer aux choses sérieuses et c'est un peu casse pied puisqu'il va falloir retoucher l'installation de base…

Pour commencer il faut se connecter à la console web online.net de votre serveur **pour le redémarrer en mode secours**. Cela permettra de travailler sur le système de fichier sans qu'il soit monté. Sinon impossible de le redimensionner.

Je choisis de prendre environ 100Go pour le système de base, ce qui laisse largement de quoi jouer. Ensuite il me restera donc environ 400Go pour chacun de mes deux futurs volumes DRBD.

Puis en mode secours (on est sur un rescue ubuntu donc on passe avec sudo puisque sur proxmox on devient root avec su et il n'y a pas de sudo) :

<code bash>
sudo e2fsck -f /dev/mapper/system-root
sudo resize2fs /dev/mapper/system-root 100G
</code>

Et enfin on réduit la taille du LV (inutile de dire qu'il faut avoir fait un backup avant et bien croiser les doigts ensuite) :

<code bash>
sudo lvresize -L 100G /dev/system/root
</code>

Là retour sur l'interface online.net pour sortir du mode secours et démarrer votre serveur normalement. C'est le moment de s'éponger le front car si on a foiré un truc avant le système sera probablement irrécupérable…

Ah, le serveur répond, ça doit être pas si mal donc… On vérifie que le système est bien redimensionné.

<code bash>
df -H /
</code>

<code>
Sys. fich.              Taille Util. Dispo Uti% Monté sur
/dev/mapper/system-root   106G  1,4G   99G   2% /
</code>

Victoire ! Evidemment l'opération est à faire sur chacun des deux serveurs. L'étape suivante sera ensuite de créer des LV pour DRBD.

===== 13.4. Préparation des volumes pour DRBD =====

Je conseille [[http://www.drbd.org/users-guide/ch-lvm.html|cet excellent article]] pour avoir un peu de documentation sur le sujet LVM et DRBD.

En gros l'idée ici va être de créer deux volumes logiques dans notre volume group par défaut pour les attribuer ensuite à notre système de réplication entre serveurs via DRBD.

N'oublions pas que nous avons réduit la taille du LV à **100GiB**  qui est dans un VG de **900,29GiB**. Reste donc 800,29GiB à attribuer à nos deux volumes DRBD. Pour faire simple et ne pas tailler les cheveux en 4, on fera donc **400,14GiB**  d'un côté et **400,15GiB**  de l'autre.

On crée le premier volume logique dans le VG (qui porte le doux nom de system n'oublions pas) :

<code bash>
lvcreate --name drbd1 --size 400,14G system
</code>

Puis le deuxième

<code bash>
lvcreate --name drbd2 --size 400,15G system
</code>

Et on vérifie que tout a été créé

<code bash>
lvdisplay
</code>

<code>
  --- Logical volume ---
  LV Path                /dev/system/root
  LV Name                root
  VG Name                system
  LV UUID                48E9TR-LNqs-uP11-kMKY-3UeF-JsLS-Ko3glR
  LV Write Access        read/write
  LV Creation host, time ,
  LV Status              available
  # open                 1
  LV Size                100,00 GiB
  Current LE             25600
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     256
  Block device           253:0

  --- Logical volume ---
  LV Path                /dev/system/drbd1
  LV Name                drbd1
  VG Name                system
  LV UUID                5TN2B2-5Opz-knwM-K3B3-wZVS-iMqc-qB3toa
  LV Write Access        read/write
  LV Creation host, time psrv101, 2014-06-24 23:12:25 +0200
  LV Status              available
  # open                 0
  LV Size                400,14 GiB
  Current LE             102436
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     256
  Block device           253:1

  --- Logical volume ---
  LV Path                /dev/system/drbd2
  LV Name                drbd2
  VG Name                system
  LV UUID                oiFDTJ-P2hg-z0wp-2vsd-JnCe-GEZ1-bQXScg
  LV Write Access        read/write
  LV Creation host, time psrv101, 2014-06-24 23:13:38 +0200
  LV Status              available
  # open                 0
  LV Size                400,15 GiB
  Current LE             102439
  Segments               1
  Allocation             inherit
  Read ahead sectors     auto
  - currently set to     256
  Block device           253:2
</code>

C'est tout bon.

**Note importante :**  Ne pas oublier de créer ces deux volumes sur chacun des deux serveurs physiques. Ils doivent avoir la même taille chacun pour que la réplication soit OK.

====== 14. Configuration réseau / VPN ======

===== 14.1 Choix réseau & interfaces réseaux =====

Je revoie une nouvelle foi à [[http://blog.héry.com/article6/cluster-proxmox-distant-construction-du-cluster-openvpn|cet excellent article]] de Victor Héry dont cette partie est inspirée. Je rabache aussi quelque trucs déjà vu dans les parties précédentes.

**Les spécificités pour moi :**

  * J'utilise le **réseau RPN**  Online.net pour les échanges du cluster proxmox (peu d'infos échangées donc le débit de 100Mbps de base est suffisant et ça fait une redondance intéressante).
  * J'utilise un **réseau VPN**  monté sur l'interface publique pour les réplications DRBD (c'est du 1Gbps et c'est pas de trop pour de la répli…) et le réseau interne des VM.

Avec les qualités et inconvénients déjà vus plus haut sur ce genre de config. Mais bon si quelqu'un veut me payer le RPN à 1Gbps n'hésitez pas :D

Après une installation de Proxmox, vous devez disposer d'un bridge **vmbr0**.

Pour utiliser openVPN et simplifier la gestion des adresses IP entre les serveurs, nous allons créer un bridge **vmbr1**  qui sera utilisé par nos VM pour communiquer entres elles (et aussi pour la réplication DRBD comme je le disais plus haut). C'est une solution simplifiée par rapport a celle proposée par Victor que j'ai déjà utilisé auparavant.

Pour rappel à l'origine Victor propose deux bridges, un pour communiquer avec les passerelles only et un pour que les vm middle communiquent entre elles. A l'usage cependant, j'ai rencontré certains soucis à cette architecture.

En effet les domaines associés à mes serveurs web pointent sur une IP failover que je peux changer de serveur. Sauf que pour que cela fonctionne il faut que chacune de mes VM front puisse accepter cette ip failover. Ce qui sous entend une préparation des ip en double sur chaque vm front et n'est pas sans provoquer des soucis réseau puisque cela me fait monter des interfaces en double avec des ip identiques…

Du coup, je suis obligé de faire une configuration réseau dormante sur chaque VM front et l'activer au besoin ce qui est franchement naze selon moi…

Bref, la nouvelle solution que je me propose de mettre en place est de mettre en place des VM front joignables de n'importes quel seveur physique pour que mes VM middle puissent en profiter ou qu'elles soient également.

Au plus simple donc, il n'y a donc au final qu'un bridge a mettre en place : vmbr1…

Enfin, nous allons mettre en place **dummy1**, une interface "bidon" va permettre d'avoir une interface fixe pour "brancher" openvpn, qui a besoin d'une interface réseau physique pour se lancer correctement au démarrage du serveur.

===== 14.2. Activer le RPN =====

Assez basique, il suffit d'aller dans la console web online.net et créer un groupe RPN entre vos 2 serveurs dédiés. Je ne m'attarderai pas dessus.

Partant de là vos serveurs pourront causer directement ensemble sur leur deuxième interface physique une fois qu'elle sera configurée.

Pour avoir les ip de ces interfaces, rendez vous sur la console web du serveur.

===== 14.3. Configuration de l'interface réseau bidon dummy =====

Nous allons commencer par créer l'interface dummy (un peu particulière) nécessaire à OpenVPN. De base, Proxmox peut utiliser une interface dummy pour des usages internes, nous allons donc utiliser une deuxième par précaution :

<code bash>
echo "options dummy numdummies=2" > /etc/modprobe.d/dummy.conf
</code>

<code bash>
modprobe dummy
</code>

Pour vérifier que les interfaces ont bien été créées, tapez la commande suivante :

<code bash>
ifconfig -a | grep Link | grep -v inet6
</code>

Qui doit vous renvoyer quelque chose comme ça :

<code>
dummy0 : Link encap:Ethernet HWaddr xx:xx:xx:xx:xx:xx
dummy1 : Link encap:Ethernet HWaddr xx:xx:xx:xx:xx:xx
eth0 : Link encap:Ethernet HWaddr xx:xx:xx:xx:xx:xx
lo : Link encap:Local Loopback
vmbr0 : Link encap:Ethernet HWaddr xx:xx:xx:xx:xx:xx
</code>

===== 14.4. Configuration des autres interfaces réseau =====

Nous allons aller toucher au fichier /etc/network/interfaces.

Avant ça, sauvegardez le fichier :

<code bash>
cpav /etc/network/interfaces /etc/network/interfaces.original
</code>

Puis éditez le :

<code bash>
nano /etc/network/interfaces
</code>

On fait un peu de ménage sur l'existant (commentaires pour s'y retrouver) et on active le RPN en dhcp pour pouvoir l'utiliser. Normalement il est sur eth1. Voir la [[http://documentation.online.net/fr/serveur-dedie/tutoriel/rpn-by-online.net|documentation online.net]].

<code>
# The loopback network interface
auto lo
iface lo inet loopback

# Main network interface used with vmbr0
iface eth0 inet manual

# Bridge with the main interface for public network
auto vmbr0
iface vmbr0 inet static
    address IP_SERVEUR_PHYSIQUE_1
    netmask 255.255.255.0
    gateway GW_SERVEUR_PHYSIQUE_1
    bridge_ports eth0
    bridge_stp off
    bridge_fd 0

# RPN Interface
auto eth1
iface eth1 inet dhcp
</code>

Ajoutez vmbr1 qui servira pour consruire le réseau entre les VM :

<code bash>
# Bridge to communicate between VM
auto vmbr1
iface vmbr1 inet static
        address  192.168.100.1
        netmask  255.255.255.0
        bridge_ports dummy1
        bridge_stp off
        bridge_fd 0
        post-up route add -net 224.0.0.0 netmask 240.0.0.0 dev vmbr1
</code>

Je prends 192.168.100.1 pour le serveur principal et 192.168.100.2 pour le secondaire.

Pour appliquer les modifications, effectuez un :

<code bash>
service networking restart
</code>

Pour vérifier que les nouvelles interfaces fonctionnent correctement, vous pouvez les pinguer sur leurs serveurs respectifs :

<code bash>
ping 192.168.100.1
</code>

<code bash>
ping 192.168.120.2
</code>

Une fois le VPN monté (plus tard) on pourra joindre toutes les IP depuis n'importe quel serveur.

===== 14.5 Configuration des services =====

Pour rappel, j'ai choisi de faire en sorte d'avoir les échanges d'infos entre les noeuds du cluster via le réseau RPN. Il faut pour cela faut configurer les hosts qui seront utilisés par proxmox pour qu'ils soient résolus avec l'IP dans le réseau qui nous intéresse (ici le RPN) :

<code bash>
nano /etc/hosts
</code>

Mettez bien le nom du host (ici machine1 et machine2) de votre serveur sur l'ip du RPN (si c'est ce réseau que vous voulez utiliser) :

<code>
# Localhost
127.0.0.1 localhost
IP_SERVEUR_PHYSIQUE_1 sd-yyyyy.dedibox.fr sd-yyyyy machine1.wan machine1.mondomaine.net
IP_RPN_SERVEUR_PHYSIQUE_1 machine1 machine1.rpn
192.168.100.2 machine1.vpn

# Other proxmox physical node
IP_SERVEUR_PHYSIQUE_2 sd-yyyyy.dedibox.fr sd-yyyyy machine2.wan machine2.mondomaine.net
IP_RPN_SERVEUR_PHYSIQUE_2 machine2 machine2.rpn
192.168.100.2 machine2.vpn
</code>

Pour bootlogd, plus besoin de configuration depuis Wheezy comme vu dans [[https://wiki.debian.org/fr/bootlogd|cet article]].

====== 15. Installation d'OpenVPN ======

===== 15.1 Installation du paquet =====

On est parti ! Tout ce qui était avant va vous servir :)

Installons OpenVPN pour commencer :

<code bash>
apt-get install openvpn
</code>

Faites ceci sur tous vos serveurs.

===== 15.2. Préparation des certificats =====

Sur le serveur PRA, le serveur principal d'OpenVPN, nous allons générer les certificats serveurs et clients.

<code bash>
cpav /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /etc/openvpn/easy-rsa/
</code>

<code bash>
cd /etc/openvpn/easy-rsa/
</code>

<code bash>
cpav vars vars.original
</code>

Editez le fichier vars, tout à la fin du fichier, pour modifier les variables globales. Ainsi votre génération de clef se fera automatiquement. Sinon, vous devrez indiquer les informations à chaque génération.

<code bash>
nano /etc/openvpn/easy-rsa/vars
</code>

Version un peu bourrin :

<code>
export KEY_COUNTRY="FR"
export KEY_PROVINCE="FR"
export KEY_CITY="Paris"
export KEY_ORG="mondomaine.net"
export KEY_EMAIL="me@myhost.mydomain"
export KEY_CN=mondomaine.net
export KEY_NAME=mondomaine.net
export KEY_OU=mondomaine.net
export PKCS11_MODULE_PATH=mondomaine.net
export PKCS11_PIN=1234
</code>

Puis :

<code bash>
source ./vars
</code>

Vous verrez ceci :

<code>
NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/keys
</code>

C'est parti :

<code bash>
./clean-all
./build-dh
</code>

<code>
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
........................................................+......
..+............+...............................................
...............................................................
...+............................................++*++*++*
</code>

<code bash>
./pkitool --initca
</code>

<code>
Using CA Common Name: Mon organisation CA
Generating a 1024 bit RSA private key
...++++++
................++++++
writing new private key to 'ca.key'
-----
</code>

===== 15.3. Générez la clef serveur =====

La clé serveur sera utilisée sur la machine 1.

<code bash>
./pkitool --server server
</code>

<code bash>
openvpn --genkey --secret ./keys/ta.key
</code>

===== 15.4. Générez la clef client =====

La clé client sera utilisée sur la machine 2.

Comme indiqué sur [[http://www.admin-linux.fr/?p=1076|ce site]] nous allons créer deux certificats ayant le même sujet (même DN), passez la valeur **"unique_subject" à "no"**  dans le fichier **"index.txt.attr"**  (qui se trouve dans le dossier keys) de votre autorité de certification. C'est mal faudra améliorer ça mais on verra plus tard.

Sans cette modification votre fichier CRT sera vide suite a une erreur de ce type

<code>
failed to update database
TXT_DB error number 2
</code>

On génère la clé :

<code bash>
./pkitool client-machine2
</code>

Vous pouvez également en profiter pour générer d'autres clefs clients si vous souhaitez vous connecter vous-même au VPN, pour sécuriser à fond vos accès SSH par exemple.

===== 15.5. Sauvegarde des clefs =====

<code bash>
cd /etc/openvpn/easy-rsa/keys/
</code>

<code bash>
tar cvzf /root/server-keys.tar.gz server.crt server.key ca.crt dh1024.pem ta.key
</code>

<code bash>
tar cvzf /root/client-machine2-keys.tar.gz client-machine2.crt client-machine2.key ca.crt ta.key
</code>

===== 15.6. Configuration du serveurs OpenVPN =====

Comme nous ne mettons pas en place de triangle VPN comme Victor le suggère, pas faute de moyens et parceque nous ne faisons pas de HA faute de moyens et de fencing, on ne configurera qu'une seule machine physique en serveur openvpn. L'autre sera donc forcement configurée en client :)

Importez le fichier de configuration par défaut :

<code bash>
cd /etc/openvpn/
</code>

On crée les dossiers utiles :

<code bash>
mkdir logs
mkdir scripts
</code>

Et on s'occupe du fichier de configuration :

<code bash>
zcat /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > server.conf
</code>

Le fichier doit ressemble à ça sans ses commentaires (et en changeant les valeurs style port à vote convenance) :

<code bash>
cat server.conf | grep -v -e '^;' | grep -v -e '^#' | grep -v -e '^$'
</code>

<code>
local IP_PUBLIQUE_SERVEUR
port 4450
proto tcp
dev tap1
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh1024.pem
server-bridge XXX.XXX.XXX.XXX 255.255.255.0 YYY.YYY.YYY.YYY TTT.TTT.TTT.TTT
client-to-client
duplicate-cn
keepalive 10 120
tls-auth /etc/openvpn/ta.key 0 # This file is secret
comp-lzo
max-clients 4
user nobody
group nogroup
persist-key
persist-tun
status logs/openvpn-status.log
log-append logs/openvpn.log
verb 3
tls-server
script-security 2
up "/etc/openvpn/scripts/up.sh"
down "/etc/openvpn/scripts/down.sh"
</code>

Attention, ici on choisit de fonctionner en UDP ce qui représente un risque en fiabilité par rapport à TCP. Cependant, je considère qu'étant donné la topologie réseau entre mes serveurs (réseau local d'un hébergeur pro) c'est acceptable. D'autant plus que le passage à UDP réduit l'overhead réseau et surtout accélère la vitesse / augmente la bande passante dispo.

Les choses à modifier selon le serveur :

  * **local IP_PUBLIQUE_SERVEUR :**  remplacez par l'adresse IP publique de votre serveur, pour écouter en VPN sur cette adresse. Cette adresse est a priori différente selon le serveur ! wink
  * **Le port d'écoute :**  Par défaut 1194, mais il est conseillé de le changer pour éviter d'être reconnu direct comme un VPN
  * **XXX.XXX.XXX.XXX :**  remplacez par l'adresse privée du vmbr1 du serveur. Attention à ne pas vous tromper !
  * **YYY.YYY.YYY.YYY :**  cette IP est le début de la plage allouée pour OpenVPN. Pour ma part, je prend 4 clients possibles. Les 2 serveurs et 2 autres (pour vos connexions de gestion par exemple)
  * **TTT.TTT.TTT.TTT :**  Cette IP est la fin de la plage allouée commencée par YYY.YYY.YYY.YYY. Cette plage doit contenir les IP de vos serveurs, mais comme ceux-ci sont en IP fixe, pas de risque d'allocation se marchant dessus.
===== 15.7. Scripts up.sh et down.sh (pour le serveur) =====

Ces scripts vont permettre d'ajouter l'interface OpenVPN (tap1) au bridge vmbr1 à chaque démarrage du serveur VPN. Et bien sûr de le retirer à l'arrêt du serveur VPN (faisons les choses bien)

Ces scripts seront sensiblement différents pour les clients, nous verrons ça plus bas.

<code bash>
nano /etc/openvpn/scripts/up.sh
</code>

<code bash>
#!/bin/bash
/sbin/ifconfig vmbr1 promisc
/sbin/ifconfig tap1 up promisc
/sbin/brctl addif vmbr1 tap1
</code>

<code bash>
nano /etc/openvpn/scripts/down.sh
</code>

<code bash>
#!/bin/bash
/sbin/brctl delif vmbr1 tap1
/sbin/ifconfig tap1 down -promisc
/sbin/ifconfig vmbr1 -promisc
</code>

Et on oublie pas de donner le droit d'execution :

<code bash>
chmod +x etc/openvpn/scripts/*
</code>

===== 15.8. Installation des clefs serveurs =====

Le serveur devra disposer du set de clef serveur que nous avons généré plus haut (mais dans le dossier spécifique). Sans quoi, il n'acceptera pas les connexions du client.

<code bash>
cd /etc/openvpn
</code>

<code bash>
tar xvzf /root/server-keys.tar.gz
</code>

Une fois ceci fait, vous pouvez redémarrer OpenVPN :

<code bash>
service openvpn restart
</code>

Normalement, il doit démarrer sans erreurs des deux côtés. Les logs s'écrivent dans **/etc/openvpn/openvpn.log**

Un démarrage réussit doit se terminer par

<code>
Initialization sequence completed
</code>

Sinon, vérifiez bien les adresses IP que vous avez indiquée (problème de bind) et la synthaxe des paramètres dans le fichier de conf (problème de "unknown parameter")

===== 15.9. Configuration du client =====

A ce stade, nous avons uniquement le serveurs VPN qui tourne Il va vous falloir configurer le client qui s'y connecte c'est a dire machine2.

Importez le fichier de configuration par défaut :

<code bash>
cd /etc/openvpn/
</code>

On crée les dossiers utiles :

<code bash>
mkdir logs
mkdir scripts
</code>

Et on s'occupe du fichier de configuration :

<code bash>
cpav /usr/share/doc/openvpn/examples/sample-config-files/client.conf .
</code>

Pour une configuration idéale (d'après mes tests de robustesse personnels), le fichier doit ressemble à ça sans ses commentaires (et en changeant les valeurs style port à vote convenance) :

<code bash>
cat client.conf | grep -v -e '^;' | grep -v -e '^#' | grep -v -e '^$'
</code>

Voici le fichier de configuration :

<code>
client
dev tap1
proto udp
remote IP_PUBLIQUE_SERVEUR_1
port PORT_VPN
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client-machine2.crt
key client-machine2.key
ns-cert-type server
tls-auth ta.key 1
comp-lzo
verb 3
log-append logs/client.log
script-security 2
up "/etc/openvpn/scripts/up-client.sh"
down "/etc/openvpn/scripts/down-client.sh"
keepalive 30 120
float
</code>

Les paramètres à adapter :

  * **dev tap1 :**  c'est l'interface que crééra openvpn pour sa connexion. Il est important de ne pas mettre tap0, qui est déjà utilisé pour le serveur VPN sur le serveur principal. Pour uniformiser, mieux vaut utiliser la même interface sur les 2 clients
  * **remote …. :**  c'est là que vous indiquez sur quel serveur se connecter. Indiquez l'adresse IP du PRA ainsi que le port que vous avez choisi. Sur l'arbitre, rajoutez une ligne avec l'adresse IP du serveur principal. OpenVPN essaiera toujours la première ligne, puis si elle échoue il passera à la deuxième.
  * **cert, key :**  c'est là que vous définirez les certificats et les clefs à utiliser pour la connexion client (clientPrincipale ou clientArbitre) que nous allons rapatrier via scp.
  * **log-append :**  indique le fichier dans lequel les logs de connexion seront écrits. Indiquez un nom de fichier différent de celui du serveur pour avoir des logs bien séparés
  * **up, down :**  les fichiers up.sh et down.sh sont différents entre les serveurs et les clients, donc indiquez là aussi des noms différents ce ceux dans le fichier de conf du serveur
  * **keepalive 30 120 :**  cette directive va indiquer aux clients qu'il doivent tenter de relancer leur connexion si jamais elle tombe (On ping toutes les 30s, on redémarre au bout de 120s si pas de réponse). Dans le cas du serveur principal, il essaiera en boucle de se reconnecter sur le PRA. Dans le cas de l'arbitre, il alternera entre le PRA et le serveur principal jusqu'à ce qu'une connexion réussisse
===== 15.10. Scripts up-client et down-client =====

Les fichiers up.sh et down.sh sont différents pour les clients. Comme le serveur principal possède déjà up.sh et down.sh, on les nomme up-client.sh et down-client.sh pour qu'ils ne se marchent pas dessus (quelle imagination !) et on les mets dans le dossier /etc/openvpn/scripts.

<code bash>
nano /etc/openvpn/scripts/up-client.sh
</code>

<code bash>
#!/bin/bash
/sbin/ifconfig vmbr1 promisc
/sbin/ifconfig tap1 up promisc
/sbin/brctl addif vmbr1 tap1
/sbin/ifconfig tap1 0
</code>

<code bash>
nano /etc/openvpn/scripts/down-client.sh
</code>

<code bash>
#!/bin/bash
/sbin/ifconfig vmbr1 -promisc
</code>

La principale différence est le nom des interfaces à bridger (tap1 dans mon cas). Le down client ne doit également pas sortir le tap1 du bridge, sinon il risque de générer une erreur qui va bloquer la tentative de connexion en boucle du client.

Et on oublie pas de donner les droits d'execution :

<code bash>
chmod +x /etc/openvpn/scripts/*
</code>

===== 15.11. Récupération de la clef client =====

Bien, il ne reste plus qu'à récupérer la clef openvpn à qui de droit (en ayant au préalable bougé les clés de du dossier root vers le dossier user que vous utiliserez pour scp et sans oublier les droits + ménage ensuite) :

<code bash>
scp -P portssh user@IP_SERVEUR_PHYSIQUE_1:~/client-psrv102-keys.tar.gz .
</code>

Et on oublie pas de bouger les clés dans le dossier root et ensuite faire le ménage !

Puis extrayez les clefs dans /etc/openvpn :

<code bash>
cd /etc/openvpn
</code>

<code bash>
tar xvzf /root/client-machine2-keys.tar.gz
</code>

Et enfin, redémarrez openvpn.

La connexion va s'établir. Là encore, les logs s'écrivent dans /etc/openvpn, dans le fichier client.log spécifé dans le fichier de configuration.

Si tout se passe bien, vous pourrez y voir apparaitre un "Initialization sequence completed".

C'est également dans ce fichier que vous pouvez vérifier si la reconnexion se fait bien.

Enfin vous pouvez vérifier que le ping se passe bien désormais sur les 2 machines :

<code bash>
ping 192.168.100.1
ping 192.168.100.2
</code>

====== 16. Mise en place DRBD ======

===== 16.1. Rappels =====

Nous avons donc un système de cluster avec 2 noeuds physiques. Nous avons mis en place deux volumes DRBD dans les parties précédentes. Chaque serveur contiendra deux volumes DRBD mais un seul à la fois sera utilisé en écriture. Ce système évite normalement les cas de split brain qui sont généralement d'une grande tristesse à résoudre vu que cela implique en général de la perte de données…

Pour cette partie, on s'appuiera en grande partie sur la [[http://pve.proxmox.com/wiki/DRBD|documentation DRBD de proxmox]]. La partie [[http://www.drbd.org/users-guide/s-nested-lvm.html|nested LVM]] a été vue finalement plus haut avec le travail LVM qu'on à fait en amont.

===== 16.2. Installation DRBD =====

Rien de plus simple et sur chacun des serveurs physiques :

<code bash>
apt-get install drbd8-utils
</code>

===== 16.3. Configuration DRBD =====

On remplace **/etc/drbd.d/global_common.conf**  par le contenu suivant :

<code>
global { usage-count no; }
common {
        syncer { rate 30M; verify-alg md5; }
        handlers { out-of-sync "/usr/lib/drbd/notify-out-of-sync.sh root"; }
}
</code>

Le rate c'est à dire la bande passante utilisée est très important à configurer correctement. Plus d'informations sur [[http://www.drbd.org/users-guide-8.3/s-configure-syncer-rate.html|cette page]]. Ici le 30 est en Mbyte et non bit. La valeur ici par défaut correspond à une **liaison Gibabit !!**  Avec un coef maxi de 30% de la bande passante utilisée.

La partie **disk**  doit correspondre aux volumes LVM que nous avons créé spécialement pour DRBD plus haut.

Pour notre premier volume DRBD on crée le fichier de configuration et sur chacun des serveurs (adaptez la conf avec le nom de vos machines, éventuellement les IP etc…) **/etc/drbd.d/r1.res**  :

<code>
# From http://pve.proxmox.com/wiki/DRBD#Start_DRBD
resource r1 {
        protocol C;
        startup {
                wfc-timeout  0;     # non-zero wfc-timeout can be dangerous (http://forum.proxmox.com/threads/3465-Is-it-safe-to-use-wfc-timeout-in-DRBD-configuration)
                degr-wfc-timeout 60;
                become-primary-on both;
        }
        net {
                cram-hmac-alg sha1;
                shared-secret "my-secret";
                allow-two-primaries;
                after-sb-0pri discard-zero-changes;
                after-sb-1pri discard-secondary;
                after-sb-2pri disconnect;
                #data-integrity-alg crc32c;     # has to be enabled only for test and disabled for production use (check man drbd.conf, section "NOTES ON DATA INTEGRITY")
        }
        on MACHINE1 {
                device /dev/drbd1;
                disk /dev/system/drbd1;
                address 192.168.100.1:7788;
                meta-disk internal;
        }
        on MACHINE2 {
                device /dev/drbd1;
                disk /dev/system/drbd1;
                address 192.168.100.2:7788;
                meta-disk internal;
        }
}
</code>

Pour notre second volume DRBD on crée le fichier de configuration et sur chacun des serveurs **/etc/drbd.d/r2.res**  :

<code>
# From http://pve.proxmox.com/wiki/DRBD#Start_DRBD
resource r2 {
        protocol C;
        startup {
                wfc-timeout  0;     # non-zero wfc-timeout can be dangerous (http://forum.proxmox.com/threads/3465-Is-it-safe-to-use-wfc-timeout-in-DRBD-configuration)
                degr-wfc-timeout 60;
                become-primary-on both;
        }
        net {
                cram-hmac-alg sha1;
                shared-secret "my-secret";
                allow-two-primaries;
                after-sb-0pri discard-zero-changes;
                after-sb-1pri discard-secondary;
                after-sb-2pri disconnect;
                #data-integrity-alg crc32c;     # has to be enabled only for test and disabled for production use (check man drbd.conf, section "NOTES ON DATA INTEGRITY")
        }
        on MACHINE1 {
                device /dev/drbd2;
                disk /dev/system/drbd2;
                address 192.168.100.1:7789;
                meta-disk internal;
        }
        on MACHINE1 {
                device /dev/drbd2;
                disk /dev/system/drbd2;
                address 192.168.100.2:7789;
                meta-disk internal;
        }
}
</code>

===== 16.4. Démarrage de DRBD =====

On démarre DRBD sur chaque serveur mais ce ne sera pas suffisant pour avoir la conf complète :

<code bash>
service drbd start
</code>

**Note importante :**  bon pour moi ca a été le souk à ce stade. J'ai beau suivre le tuto proxmox il m'a insulté au démarrage. Finalement j'ai fait les étapes suivantes et j'ai bidouillé et cela a fini par fonctionner mais c'est super moche. A voir comment faire mieux

On crée nos ressources sur chaque serveur

<code bash>
drbdadm create-md r1
drbdadm create-md r2
</code>

On monte les volumes DRBD

<code bash>
drbdadm up r1
drbdadm up r2
</code>

On regarde l'état DRBD sur les différents noeud et on constate que c'est le souk (pas de synchro initiale donc tout est en vrac) :

<code bash>
cat /proc/drbd
</code>

On a un truc qui ressemble à ça pour chacun des noeuds :

<code>
 1: cs:Connected ro:Secondary/Secondary ds:Inconsistent/Inconsistent C r-----
    ns:0 nr:0 dw:0 dr:0 al:0 bm:0 lo:0 pe:0 ua:0 ap:0 ep:1 wo:b oos:419565012
 2: cs:Connected ro:Secondary/Secondary ds:Inconsistent/Inconsistent C r-----
    ns:0 nr:0 dw:0 dr:0 al:0 bm:0 lo:0 pe:0 ua:0 ap:0 ep:1 wo:b oos:419577300
</code>

Pour remédier à cela on va démarrer la synchro initiale en passant un noeud en primaine pour chacune des ressources (donc on ne fait pas ça sur les 2 !). Cela va lui permettre de prendre la main et la réplication va pouvoir démarrer) :

<code bash>
drbdadm -- --overwrite-data-of-peer primary r1
drbdadm -- --overwrite-data-of-peer primary r2
</code>

Selon la taille du disque cela va être assez long donc on suit cela jusqu'à ce que ce soit terminé

<code bash>
watch cat /proc/drbd
</code>

On devrait avoir une jauge de progression comme ceci :

<code>
 1: cs:SyncSource ro:Primary/Secondary ds:UpToDate/Inconsistent C r-----
    ns:12539660 nr:0 dw:0 dr:12548504 al:0 bm:765 lo:1 pe:4 ua:64 ap:0 ep:1 wo:b oos:407025748
        [>....................] sync'ed:  3.0% (397484/409728)M
        finish: 3:33:23 speed: 31,784 (27,680) K/sec
 2: cs:SyncSource ro:Primary/Secondary ds:UpToDate/Inconsistent C r-----
    ns:11591568 nr:0 dw:0 dr:11600408 al:0 bm:707 lo:1 pe:4 ua:64 ap:0 ep:1 wo:b oos:407986132
        [>....................] sync'ed:  2.8% (398420/409740)M
        finish: 4:44:19 speed: 23,892 (25,756) K/sec
</code>

Evidemment si vous avez de gros diques, la réplication initiale peut prendre *beaucoup de temps* (plusieurs heures) donc il vaut mieux prévoir à l'avance :). Une fois terminé on stope DRBD sur chaque noeud :

<code bash>
service drbd stop
</code>

Puis on les redémarre sur chaque noeud :

<code bash>
service drbd start
</code>

Et on devrait voir désormais que les deux noeuds sont en primaire / primaire et up to date.

<code>
cat /proc/drbd
</code>

Ce qui donne quelque chose du genre si tout va bien :

<code>
 1: cs:Connected ro:Primary/Primary ds:UpToDate/UpToDate C r-----
    ns:0 nr:0 dw:0 dr:664 al:0 bm:0 lo:0 pe:0 ua:0 ap:0 ep:1 wo:b oos:0
 2: cs:Connected ro:Primary/Primary ds:UpToDate/UpToDate C r-----
    ns:0 nr:0 dw:0 dr:664 al:0 bm:0 lo:0 pe:0 ua:0 ap:0 ep:1 wo:b oos:0
</code>

===== 16.5. Configuration LVM pour proxmox sur les volumes DRBD =====

Nous avons donc maintenant deux volumes DRBD synchronisés entre eux sur les deux serveurs. En l'état ils ne servent à rien pour notre cluster proxmox. En effet, promox peut utiliser LVM pour monter des VM mais seulement des volumes group (VG). On va donc devoir procéder à la création de ces VG sur nos volumes DRBD pour pouvoir les donner à manger à promox.

Sur **UN SEUL**  des deux systèmes (pas besoin de faire sur les deux puisque c'est répliqué) on crée un volume physique sur les ressources DRBD qu'on a configuré :

<code bash>
pvcreate /dev/drbd1
pvcreate /dev/drbd2
</code>

On vérifie que c'est bien créé :

<code bash>
pvscan
</code>

Ce qui donne ceci :

<code>
  PV /dev/sda5    VG system          lvm2 [900,29 GiB / 0    free]
  PV /dev/drbd1                      lvm2 [400,13 GiB]
  PV /dev/drbd2                      lvm2 [400,14 GiB]
  Total: 3 [1,66 TiB] / in use: 1 [900,29 GiB] / in no VG: 2 [800,27 GiB]
</code>

Et vous pouvez même lancer un petit pvscan sur l'autre système pour vérifier que vos volumes sont apparus aussi, comme par magie :)

Enfin, sur __un seul des noeuds__  (toujours pareil l'autre ca se fera tout seul grace a la répli) on créé un volume group sur chaque volume physique. Ce sont ces VG qui seront utilisé par proxmox :

<code bash>
vgcreate pve-drbd1 /dev/drbd1
vgcreate pve-drbd2 /dev/drbd2
</code>

On vérifie (sur chacun des noeuds) que c'est bien créé :

<code bash>
vgscan
</code>

Ce qui doit donner quelque chose comme ça :

<code>
  Reading all physical volumes.  This may take a while...
  Found volume group "system" using metadata type lvm2
  Found volume group "pve-drbd2" using metadata type lvm2
  Found volume group "pve-drbd1" using metadata type lvm
</code>

Enfin, pour ajouter ces volumes groups dans proxmox, **rendez vous sur l'interface web**, puis dans la rubrique //Stockage//  cliquez sur //Ajouter//  et //LVM//. Vous devriez pouvoir voir vos volumes précédemment créés. A noter que puisque ce sont des volumes répliquez __vous devez cocher l'option **shared**__ sur ces volumes pour évider que proxmox se plante lors des migrations de VM. Choisissez également pour chaque volume les 2 noeuds et répétez l'opération pour les deux DRBD que nous avons créé.

====== 17. Mise en place du cluster proxmox ======

===== 17.1. Multicast / Unicast =====

Pour notre configuration, nous allons faire passer la configuration cluster proxmox sur le réseau RPN. Cela permettra de soulager les interfaces primaires déjà utilisé pour le traffic public et le VPN qui contient lui même la partie DRBD ainsi que les communications entre nos VM.

Le problème est que le réseau RPN ne permet pas non plus le multicast. Notre VPN le permet mais comme dit plus haut il est bien assez chargé comme ça. Reste donc la **possibilité de monter un deuxième VPN sur le réseau RPN pour utiliser le multicast**  (non abordé dans ce guide puisque ce n'est pas le choix retenu d'autant plus que le débit du réseau RPN de base est limité à 100Mbps).

Pour tester si le réseau dispose bien du multicast, installez l'outil suivant :

<code bash>
apt-get install ssmping
</code>

Il vous faut lancer sur un serveur pour le mettre en écoute :

<code bash>
ssmpingd
</code>

Puis depuis un autre, lancez le test :

<code bash>
asmping 224.0.2.1 IP_SERVEUR_TEST
</code>

Vous devez voir passer sur le serveur en écoute des messages de ce type :

<code>
asmping joined (S,G) = (*,224.0.2.234)
pinging IP_SERVEUR_TEST from IP_SERVEUR_SOURCE
unicast from IP_SERVEUR_TEST, seq=1 dist=0 time=38.699 ms
multicast from IP_SERVEUR_TEST, seq=1 dist=0 time=76.405 ms
unicast from IP_SERVEUR_TEST, seq=2 dist=0 time=38.802 ms
multicast from IP_SERVEUR_TEST, seq=2 dist=0 time=76.238 ms
</code>

Les lignes importantes à repérer sont celles du multicast, que vous devez impérativement constater pour le bon fonctionnement du cluster !

**Dans notre cas, nous n'aurons pas de multicast mais du unicast pour proxmox.**  Cependant, ce n'est pas un souci dans notre cas puisque nous n'avons que 2 noeuds. Il est donc tout à fait possible et sans surcoût de ne faire qu'un simple unicast. Et heureusement c'est possible [[http://pve.proxmox.com/wiki/Multicast_notes|en suivant cette documentation]].

Par contre il faut bien comprendre qu'utiliser le mode unicast avec plus de deux noeuds peut être contre productif en terme d'utilisation réseau. En effet au lieu d'avoir des messages diffusés une fois à tout les noeuds il devra y avoir de la communication bidirectionnelle entre chaque noeud avec toute la répétition et non fiabilité d'un point de vue cluster HA que cela représente.

Nous verrons comment faire plus loin pour activer le mode unicast car il faut d'abord créer le cluster.

===== 17.2. Création du cluster =====

C'est le bon moment pour vérifier le fichier /etc/hosts. Pour rappel, le nom de vos hosts utilisé pour le cluster doivent êtres associées aux ip du réseau que vous voulez utiliser. Ici si vous vous basez sur mes choix, vous devez avoir indiqué l'adresse IP du du host correspondant à l'IP du RPN.

Pour le cluster, nous allons effectuer sa création depuis le **premier serveur physique**  et nous y ajouterons les autres noeuds.

Je vous rappelle qu'il ne doit y avoir aucune VM sur les serveurs ! Si votre système a déjà des VM en fonctionnement, migrez les temporairement sur le premier serveur (celui ou vous créez le cluster) le temps de créer le cluster. Cette limitation a pour but de s'assurer qu'aucun VMID ne sera en conflit au sein du cluster.

Le nom du cluster est important, dans le sens où une fois le cluster créé, vous ne pourrez plus changer ce nom. Choisissez le bien !

<code bash>
pvecm create NOM_DU_CLUSTER
</code>

qui doit vous renvoyer :

<code>
Restarting pve cluster filesystem: pve-cluster[dcdb] notice: wrote new cluster config '/etc/cluster/cluster.conf'
.
Starting cluster:
   Checking if cluster has been disabled at boot... [  OK  ]
   Checking Network Manager... [  OK  ]
   Global setup... [  OK  ]
   Loading kernel modules... [  OK  ]
   Mounting configfs... [  OK  ]
   Starting cman... [  OK  ]
   Waiting for quorum... [  OK  ]
   Starting fenced... [  OK  ]
   Starting dlm_controld... [  OK  ]
   Tuning DLM kernel config... [  OK  ]
   Unfencing self... [  OK  ]
</code>

**Puis on active le mode unicast**, comme spécifié [[http://pve.proxmox.com/wiki/Multicast_notes|dans cette page]]

<code bash>
cp /etc/pve/cluster.conf /etc/pve/cluster.conf.new
</code>

On modifie la nouvelle configuration pour activer le mode unicast :

<code bash>
nano /etc/pve/cluster.conf.new
</code>

En ajoutant la nouvelle directive //transport="udpu"//  :

<code>
<cman keyfile="/var/lib/pve-cluster/corosync.authkey" transport="udpu">
</cman>
</code>

Pensez également aussi a incrémenter **"config_version"**  ce qui garantira l'application des modifications.

Vous pouvez valider la configuration avec la commande suivante :

<code bash>
ccs_config_validate -v -f /etc/pve/cluster.conf.new
</code>

La configuration sera à activer uniquement via l'interface web, dans la partie HA. Vous pouvez vérifier la syntaxe et l'appliquer. Elle sera ensuite prise en compte par tous les noeuds.

Enfin, **depuis le second serveur physique**  on passe cette commande pour qu'il s'ajoute dans le cluster configuré sur le premier serveur physique :

<code bash>
pvecm add 192.168.100.1
</code>

Cette commande doit vous renvoyer à peu près la même chose qu'au dessus, lors de la création du cluster sur le premier noeud.

===== 17.3. Etat du cluster =====

La commande pvecm vous permettra d'avoir plusieurs infos sur le cluster.

<code bash>
pvecm n
</code>

vous donnera un aperçu des nodes (date de connexion, état, etc)

<code bash>
pvecm s
</code>

vous donnera des informations sur le cluster lui-même (état du qorum, nombre de node, nombre de vote, etc)

Nous verrons plus tard des commandes plus spécifiques au HA.

====== 18. Mise en place des VM ======

===== 18.1. Récupération des iso =====

La première étape consiste à récupérer les images ISO de la distribution que vous choisirez pour votre installation.

Pour ma part je pars une ubuntu dernière version pour architecture 64 bits.

<code>
http://releases.ubuntu.com/14.04/ubuntu-14.04-server-amd64.iso
</code>

On va placer cette image (sur chaque serveur physique) dans le dossier dédié à accueillir les images iso pour que proxmox puisse les retrouver lorsqu'on va vouloir installer :

<code bash>
cd /var/lib/vz/template/iso
</code>

On récupère l'iso :

<code bash>
wget http://releases.ubuntu.com/14.04/ubuntu-14.04-server-amd64.iso
</code>

Pour vérifier votre ISO, allez sur l'IHM web proxmox puis cliquez sur le disque local de vos serveurs physiques et enfin choisissez l'onglet contenu. Vous devrez voir votre iso.

===== 18.2. Architecture des VM en deux mots =====

En quelques mots, l'architecture de serveurs virtuels que j'adopte :

  * Une petite VM 1 front sur SERVEUR_PHYSIQUE_1 et sur les volumes répliqués pve-drbd1
  * Une bonne VM 1 middle / back sur SERVEUR et sur les volumes répliqués pve-drbd1
  * Une petite VM 2 front sur SERVEUR_PHYSIQUE_1 et sur les volumes répliqués pve-drbd2
  * Une bonne VM 2 middle / back sur SERVEUR et sur les volumes répliqués pve-drbd2

Je n'ai pas choisi de faire une architecture n-tiers du avec un back parce que vu ce que j'héberge cela m'a semblé un peu trop luxueux. De plus ça multiplie les install les administrations et les efforts. Par contre le garde le principe du front et du middle séparés comme ça je protège mes applications avec un front.

===== 18.3. Installation des VM front =====

==== 18.3.1. Création des VM ====

Rendez vous sur l'interface WEB proxmox et cliquez sur **"Créer VM"**. L'avantage du cluster c'est que vous n'avez pas besoin d'aller sur chaque noeud pour faire l'opération. Vous pourrez créer les VM sur chaque serveur physique depuis la même interface. Il faudra simplement prendre garde de **bien choisir le bon noeud**  pour chaque VM créée.

**Général :**

  * Cliquez sur **Créer VM**
  * Choisissez le noeud de votre VM (= le serveur physique)
  * Choisissez l'id et le nom de la vm

**OS :**

  * Linux 3.X/2.6 Kernel (à adapter selon votre conf mais j'ai pris plus haut la dernière ubuntu)

**CD/DVD :**

  * Utilisé une image disque
  * Choisissez votre iso sur le disque local

**Disque Dur :**

  * Bus/Device : SATA
  * Stockage : pve-drbd1 (pour les VM sur SERVEUR_PHYSIQUE_1 et pve-drbd2 pour les VM sur SERVEUR_PHYSIQUE_2)
  * Taille : 15Go (c'est une VM front, on y aura presque rien et ce sera bien large pour un reverse proxy avec un cache)

**CPU : **

  * 1 socket, 2 cores (à adapter en fonction de votre serveur physique mais il ne faut pas s'emballer et faire plus que ce qu'on a physiquement et réparti sur toutes les VM)
  * Type KVM 64

**Mémoire :**

  * 2048Mio (pour une VM front 2Gio est bien assez pour mon usage et idem que CPU ne pas dépasser ce que vous avez en physique distribué sur toutes vos VM)

**Réseau :**

  * vmbr0 (pour l'accès au net) avec une MAC que vous aurez récupéré d'une IP failover avec une mac pour KVM online.net
  * On ajoutera vmbr1 plus tard

On valide et la VM est créée. On renouvèle pour la seconde VM front sur le second serveur physique mais en adaptant la configuration. Les VM sont créées mais pas encore démarrées.

==== 18.3.3. Ajout carte réseau interne des VM ====

Par défaut, on a configuré une carte réseau sur **vmbr0**  qui permet d'accéder au réseau public.

Or nous avons configuré sur nos serveurs physiques un second bridge **vmbr1**  pour le réseau interne des VM.

Nous allons donc aller sur la VM fraichement créée puis onglet **matériel**, **Ajouter**  et enfin **Carte réseau**. Nous ajoutons une nouvelle carte réseau configurée sur vmbr1.

==== 18.3.4. Installation des VM ====

Avant toute choses, n'oubliez pas avant de régler dans les options de la VM la disposition du **clavier à français**  sinon bonjour le qwerty dans la console VNC !

Selon ce que vous souhaitez, n'oubliez pas, toujours dans l'ihm web partie **Options**, de configurer votre VM pour qu'elle démarre automatiquement au démarrage du serveur. Vous pouvez également configurer (conseillé) l'ordre de démarrage avec un numéro d'ordre et un temps de délai. Pour plus d'informations vous pouvez consulter [[https://pve.proxmox.com/wiki/Virtual_Machine_Startup_and_Shutdown_Behavior|cette page]]

Vos VM ne sont pas encore dispo sur le réseau (et pas installées d'ailleurs). Mais proxmox fournit un accès console direct à vos VM. Il suffit d'aller sur l'IHM web de choisir votre VM et cliquer sur **console**. Attention il vous faudra un plugin java qui tourne.

Cliquez sur **démarrer**  pour démarrez la VM et faites l'install comme si c'était chez vous.

Lors de l'installation, **pour la partie réseau**, choisissez l'option **configurer plus tard**. On le fera manuellement dans la partie suivante.

Enfin une fois que c'est fini, on oublie pas de retourner sur l'IHM web proxmox, choisir sa VM, **cliquer sur le CDROM puis éditer et enfin mettre sur none**. Plus besoin de l'iso d'install ubuntu puisqu'on vient de la terminer.

==== 18.3.5. Configuration réseau des VM ====

On le fera manuellement notamment en nous basant sur la [[http://documentation.online.net/fr/serveur-dedie/systemes-d_exploitation/distribution-proxmox-ve-3|documentation de online.net dans la partie proxmox]].

On commence par désactiver ipv6 qu'on utilise pas comme indiqué dans la [[http://doc.ubuntu-fr.org/optimisation#desactiver_le_support_ipv6|doc unbuntu]] :

<code bash>
nano /etc/sysctl.conf
</code>

<code bash>
# Disable ipv6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
</code>

Et enfin :

<code bash>
echo "options ipv6 disable=1" > /etc/modprobe.d/disable-ipv6.conf
</code>

Ensuite on configure le réseau :

<code bash>
sudo nano /etc/network/interfaces
</code>

Avec de quoi atteindre le réseau public fourni par vmbr0 et le réseau interne fourni par vmbr1 :

<code bash>
# The loopback network interface
auto lo
iface lo inet loopback

# To access vmbr0 for public network
auto eth0
iface eth0 inet static
    address IP_FAILOVER_VM_1
    netmask 255.255.255.255
    broadcast IP_FAILOVER_VM_1
    dns-nameservers 62.210.16.6 62.210.16.7
    post-up route add IP_SERVEUR_PHYSIQUE_1_SANS_LA_FIN.1 dev eth0
    post-up route add default gw IP_SERVEUR_PHYSIQUE_1_SANS_LA_FIN.1
    post-down route del IP_SERVEUR_PHYSIQUE_1_SANS_LA_FIN.1 dev eth0
    post-down route del default gw IP_SERVEUR_PHYSIQUE_1_SANS_LA_FIN.1

# To access vmbr1 for internal network
auto eth1
iface eth1 inet static
    address 192.168.100.11
    netmask 255.255.255.0
</code>

Pour eth0, je laisse les DNS qui sont ceux de online.net (les nouveaux, vu sur [[http://documentation.online.net/fr/serveur-dedie/reseau/information-parametres-reseau-dedibox|cette page]]).

La gateway du réseau publique correspond à l'ip physique du dédié mais qu'on termine par .1.

La configuration est a adapter en fonction de vos spécificités.

On redémarre les VM et on vérifie que les accès réseau fonctionnent sur les interfaces publiques comme internes.

==== 18.3.6. Préparation des VM ====

Sur chaque VM, afin d'éviter de passer par l'accès console via l'IHM proxmox, on install openssh et ses petits amis :

<sudo bash> 
sudo apt-get install ssh
</code>

Et on oublie pas un bon passage par la case mise à jour :

<code bash>
sudo apt-get install update
sudo apt-get install upgrade
</code>

Enfin, le plus important **ON SECURISE ET ON BACKUP ses serveurs VM**. Je vous renvoie aux parties similaires traitées plutôt dans ce guide. On peut les reprendre en grande partie à part quelques adaptations que nous verrons plus tard.

Même combat également pour la configuration du **serveur mail, des DNS**  etc etc. Voir les parties précédentes du guide.


==== 18.3.6. Firewall iptables et NAT / routage sur les VM ====

Pour rappel nous sommes sur des VM front. Elles vont donc notamment assurer le NAT de tout le traffic réseau des VM middle. Il convient donc de construire une configuration iptables qui va bien.

Pour activer le mode routeur sur notre serveur middle, on doit activer l'ip forwarding.

<code bash>
sudo nano /etc/sysctl.conf
</code>

Et activer cette ligne 

<code>
net.ipv4.ip_forward=1
</code>

Enfin on prépare la configuration firewall / iptables. Elle ressemble beaucoup à ce qu'on a vu précédemment mais version plus limitée et avec une commande supplémentaire pour l'ip forwarding.

<code bash>
sudo nano /etc/init.d/iptables
</code>

<code bash>
#!/bin/bash

echo Setting iptables / firewall rules...
#
# Dedibox iptables / firewall configuration
#
# http://wiki.debian.org/LSBInitScripts/DependencyBasedBoot
# http://wiki.debian.org/LSBInitScripts
# http://documentation.online.net/fr/serveur-dedie/tutoriel/iptables-netfilter-configuration-firewall
# http://www.alsacreations.com/tuto/lire/622-Securite-firewall-iptables.html
#
# Modifications alban.montaigu
#

###### Start Initialisation ######

# Empty current tables
iptables -t filter -F
iptables -t filter -X
echo - Empty current tables : [OK]

# No input connection
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
echo - No input connection : [OK]

# No output connection
iptables -t filter -P OUTPUT DROP
echo - No output connection : [OK]

# Authorize SSH
iptables -t filter -A INPUT -p tcp --dport 2222 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 2222 -j ACCEPT
echo - Authorize SSH : [OK]

# Authorize interfaces on internal network (enable multicast)
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
echo - Authorize eth1 [OK]

#  Do not break established connections
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Do not break established connections : [OK]

###### End Inialisation ######

##### Start Rules  ######

# Authorize DNS, FTP, HTTP, NTP
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
echo - Authorize DNS, FTP, HTTP, NTP : [OK]

# Authorize loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo - Authorize loopback : [OK]

# Authorize ping
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo - Authorize ping : [OK]

# HTTP
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT
echo - Authorize HTTP : [OK]

# Monit
iptables -t filter -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 8080 -j ACCEPT
echo - Authorize monit : [OK]

# FTP (passive dedibackup-dc2.online.net and active)
modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state NEW -d dedibackup-dc2.online.net -j ACCEPT
echo - Authorize FTP : [OK]

# Mail
iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
echo - Authorize mail : [OK]

###### Start NAT ######

# NAT to run as a gateway
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
echo - Activate NAT : [OK]

###### End NAT ######

# LOGGING if necessary (must be at the end)
# From http://www.thegeekstuff.com/2012/08/iptables-log-packets/
#iptables -N LOGGING
#iptables -A INPUT -j LOGGING
#iptables -A OUTPUT -j LOGGING
#iptables -A LOGGING -j LOG --log-prefix "[IPTABLES-DROP]" --log-level debug
#iptables -A LOGGING -j DROP
#echo - Log enabled

###### End rules ######

echo Iptables / firewall update successfull !
</code>

On donne les droits d'execution à ce script :

<code bash>
sudo chmod +x /etc/init.d/iptables
</code>

Et seulement quand on est pret et qu'on a testé on le configure pour s'executer au démarrage :

<code bash>
sudo update-rc.d iptables defaults
</code>

Et on reboot.


===== 18.4. Installation des VM Middle =====

==== 18.4.1. Création, configuration, installation préparation des VM ====

Pour cette partie, je fais faire court, le principe reste le même que celui des VM front. Vous pouvez donc vous y référer.

Evidemment ce sont des VM middle, elles doivent être donc plus caustaud. C'est bien sur et encore une fois à adapter en fonction de vos besoins.

Pour ma part, pour un site à faible fréquentation, je prends :

  * 9Go de mémoire
  * 32Go de HDD

A noter que la configuration **réseau**  sera différente. Nous prendrons qu'une seule interface qui sera connectée sur **vmbr1**. En effet, nos VM middle passeront systématiquement par les VM front pour tous les accès réseau.


==== 18.4.2. Configuration réseau des VM ====

Ici nous avons une configuration vraiment simplifiée des VM middle. Il faut juste qu'elles puissent joindre les fronts via vmbr1. 

On oublie pas de désactiver ipv6 aussi comme pour les fronts.

<code bash>
sudo nano /etc/network/interfaces
</code>

Avec de quoi atteindre le réseau public fourni par vmbr0 et le réseau interne fourni par vmbr1 :

<code bash>
# The loopback network interface
auto lo
iface lo inet loopback


# To access vmbr1 for internal network
auto eth0
iface eth0 inet static
    address 192.168.100.21
    netmask 255.255.255.0
    gateway 192.168.100.11
    dns-nameservers 62.210.16.6 62.210.16.7
</code>

**Note :** évidemment sur la 2ème vm middle on change la gateway pour utilisa la seconde vm front et non pas mettre tout sur la première. Cela fonctionnerait puisqu'on a construit un réseau qui permet à toutes les VM de parler ensemble.

Et on reboot (version j'ai la flemme) puis on test.

On oublie pas ensuite une mise à jour du système puisqu'on a le réseau public enfin acessible.


====== 19. Conseils de conf en vrac pour tous les serveurs ======

C'est un peu de la répétition mais pour tous vos serveur il peut être utile de configurer les clients ssh pour utiliser votre port personnalisé. Sinon ce sera des commandes ou il faudra préciser toujours le port à la main.

Pour cela on modifie le fichier

<code bash>
sudo nano /etc/ssh/ssh_config
</code>

Et on active la ligne (à adapter en fonction de votre configuration) :

<code>
Port 2222
</code>

Egalement pour simplifier les commandes sur chaque host, je vous conseille de mettre leurs nom avec leur ip sur le réseau interne dans votre fichier hosts.

<code bash>
sudo nano /etc/hosts
</code>

A adapter par contre mais c'est pour l'exemple :

<code>
# Localhost
127.0.0.1 localhost
127.0.1.1 NOM_MACHINE_LOCALE


# Other servers on internal network
IP1 NOM_MACHINE_2
IP2 NOM_MACHINE_3
</code>



====== 20. Installation / Configuration de l'infrastructure applicative ======


===== 20.1. Architecture =====

Pour la partie applicative sur nos différentes VM (je rappelle 2 front et deux middle / back) je choisis les éléments suivants :

  * Sur les fronts, nginx configuré en proxy inverse avec du cache
  * Sur les middles, nginx en serveur web
  * PHP FPM pour la partie applicative
  * MySQL en fidèle SGBD

**Nginx en proxy inverse**, car j'ai testé varnish mais il est proprio et surtout ne gère pas le SSL ce qui m'a beaucoup embêté (obligé de remettre un nginx devant pour le SSL !!). De plus il semble qu'il n'ait pas du tout à rougir de ses performances d'après [[http://francois.aichelbaum.com/comparatif-caching-nginxvarnishsquidapache/|ce comparatif]].

**Nginx en serveur web**, car il est plus léger que le vénérable apache.

**PHP FPM** car je veux que PHP tourne en service standalone et maintenant que ça existe faut pas se priver ! Je n'ai jamais aimé le fait que PHP soit intégré aux serveurs webs.

**MySQL** rien à dire dessus c'est souvent ce serveur qui est utilisé pour les applications web que j'installe donc bon...

Evidemment cette architecture concerne mes besoins et ma réflexion, elle sera a adapter chez vous je suppose.


===== 20.2. Installation / Configuration NGINX en proxy cache sur toutes les VM Front =====

Pour cette architecture, j'ai choisi de faire fonctionner [[http://nginx.org/|nginx]] en reverse proxy et en serveur web. Il est donc temps de l'installer sur toutes les VM. Comme les packets de ubuntu sont plus que dépassés, on choisit d'installer nginx via les dépots officiels nginx.

Avant tout on récupère la clé gpg :

<code bash>
cd
wget http://nginx.org/keys/nginx_signing.key
</code>

Et on ajoute cette clé dans apt :

<code bash>
sudo apt-key add nginx_signing.key 
</code>

Et enfin on ajoute le repo officiel nginx :

<code bash>
sudo nano /etc/apt/sources.list.d/nginx.list
</code>

Pour y ajouter (a adapter en fonction de votre distribution) :

<code bash>
# From http://wiki.nginx.org/Install
deb http://nginx.org/packages/ubuntu/ trusty nginx
deb-src http://nginx.org/packages/ubuntu/ trusty nginx
</code>

Et on met a jour les dépots :

<code bash>
sudo apt-get update
</code>

Et on installe le paquet (les autres noms de paquets viennent des dépots d'ubuntu et comportent des versions plus vieilles) :

<code bash>
sudo apt-get install nginx
</code>

Comme on veut configurer notre **NGINX en proxy reverse avec du cache** nous retouchons à la configuration. Je me suis basé en partie sur [[http://wiki.nginx.org/ReverseProxyCachingExample|la doc nginx]] et [[http://doc.ubuntu-fr.org/tutoriel/reverse_proxy_nginx|la doc ubuntu]] mais attention sur la doc ubuntu : mettre la conf proxy dans un fichier conf à part charge la conf trop tard dans l'ordre des conf et provoque une erreur. La solution est donc de mettre cette partie dans le nginx.conf.

<code bash>
sudo nano /etc/nginx/nginx.conf
</code>

Qui devrait ressembler à quelque chose comme ça :

<code>
user  www-data www-data;
worker_processes  1;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;


    # Log configuration
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  /var/log/nginx/access.log  main;


    # Misc configuration
    sendfile        off;
    keepalive_timeout  65;


    #
    # Enable gzip compression
    # See : http://www.nginxtips.com/how-to-configure-nginx-gzip-compression/
    #
    gzip on;
    gzip_comp_level 6;
    gzip_proxied any;
    gzip_min_length  1100;
    gzip_buffers  4 32k;
    gzip_types    text/plain application/x-javascript text/xml text/css;
    gzip_vary on;


    #
    # Set client body size to 5M #
    # See : http://www.cyberciti.biz/faq/linux-unix-bsd-nginx-413-request-entity-too-large/
    #
    client_max_body_size 5M;


    # Proxy and cache configuration
    proxy_redirect          off;
    proxy_set_header        Host            $host;
    proxy_set_header        X-Real-IP       $remote_addr;
    proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_hide_header       X-Powered-By;
    proxy_intercept_errors on;
    proxy_buffering on;


    proxy_cache_key "$scheme://$host$request_uri";
    proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=cache:10m inactive=7d max_size=700m;


    # Include configuration files for differents sites
    include /etc/nginx/conf.d/*.conf;
}
</code>

**Note :** L'option sendfile est souvent présentée à on. [[http://t37.net/optimisations-nginx-bien-comprendre-sendfile-tcp-nodelay-et-tcp-nopush.html|Cet article]] explique très bien l'utilité de cette option. Sauf qu'elle pose visiblement souci (pas confirmé mais j'en ai fortement l'impression) pour l'utilisation de liens symboliques. Par exemple sur phpmyadmin on se retrouve a avoir les fonctions jquery désactivées... (ou encore d'autres trucs corrigé autrement mais bon..). Exemple de souci sur [[http://serverfault.com/questions/502498/nginx-doesnt-follow-symlink-properly|cette page]]

Et enfin nous configurons nos sites (ici je fais celui par defaut mais le travail est le même pour chaque site et à adapter) :

<code bash>
sudo nano /etc/nginx/conf.d/default.conf
</code>

Qui va ressembler à quelque chose comme ceci :

<code>
server {
    listen 80;
    server_name localhost;


    # Proxy to the backend
    location / {
        proxy_pass http://192.168.100.21;

        # To enable cache : carefull php will be cached too !
        # proxy_cache cache;
        # proxy_cache_valid 12h;
        # expires 12h;
        # proxy_cache_use_stale error timeout invalid_header updating;
    }


    # Cache of static content
    location ~*^.+(swf|jpg|jpeg|gif|png|ico|css|zip|tgz|gz|rar|bz2|doc|xls|exe|pdf|ppt|txt|tar|mid|midi|wav|bmp|rtf|js)$ {
        proxy_pass http://192.168.100.21;

        proxy_cache cache;
        proxy_cache_valid 2d;
        expires 7d;
    }

}
</code>

Evidemment ce sont des **conf minimales à perfectionner et a adapter** en fonction de ce que vous avez sur vos backends (i.e. sur les middles).


===== 20.3. Installation / Configuration PHP 5 FPM sur les VM middle / back =====

Comme vu plus haut, on part sur une installation de PHP5 FPM sur les middle pour faire tourner nos applis dans un service PHP indépendant. Pour cela on fait simple (enfin ça c'est pour mes besoins, c'est à adapter pour vous) :

<code bash>
sudo apt-get install php5-fpm
sudo apt-get install php5-mysql
sudo apt-get install php5-cgi
sudo apt-get install php5-cli
sudo apt-get install php5-curl
sudo apt-get install php5-gd
sudo apt-get install php5-mcrypt
sudo apt-get install phpmyadmin
</code>

Voilà les packages installés chez moi :

<code bash>
sudo dpkg --get-selections | grep php
</code>

<code bash>
php-gettext                                     install
php5-cgi                                        install
php5-cli                                        install
php5-common                                     install
php5-curl                                       install
php5-fpm                                        install
php5-gd                                         install
php5-json                                       install
php5-mcrypt                                     install
php5-mysql                                      install
php5-readline                                   install
phpmyadmin                                      install
</code>

Un peu de configuration de PHP FPM

<code bash>
sudo nano /etc/php5/fpm/php.ini
</code>

Voici les choses à modifier principalement pour la sécurité :

<code>
open_basedir = /var/www:/tmp:/usr/share/phpmyadmin:/var/lib/phpmyadmin:/usr/share/javascript

disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,exec,system,popen,proc_open,shell_exec
</code>

A noter que par défaut php fpm écoutera sur un socket

<code>
/var/run/php5-fpm.sock
</code>

Mais qu'on peut le faire écouter sur un port particulier. Ici on choisit le sock puisque notre serveur web est sur le middle aussi donc pas besoin de passer par le réseau.

Le détail de cette partie de la conf se situe dans le fichier

<code bash>
sudo nano /etc/php5/fpm/pool.d/www.conf
</code>

**Enfin, avec la dernière version de PHP, APC semble ne plus fonctionner...** C'est remplacé par un module built in comme expliqué sur [[https://www.digitalocean.com/community/questions/how-to-install-alternative-php-cache-apc-on-ubuntu-14-04|cette page]] et [[https://www.digitalocean.com/community/questions/enable-php-5-5-opcache-on-ubuntu-14-04-with-nginx-and-php-fpm|cette page]]

<code bash>
sudo nano /etc/php5/fpm/php.ini
</code>

Et modifier ainsi (la taille de mémoire est a adapter en fonction de votre serveur)

<code>
opcache.enable=1 
opcache.memory_consumption=1024
opcache.max_accelerated_files=4000
opcache.revalidate_freq=60
</code>

Et bien sur redémarrer le service :

<code bash>
sudo service php5-fpm restart
</code>

Et pour avoir un petit visu sur l'état de votre configuration de cache je vous recommande [[https://github.com/rlerdorf/opcache-status|ce petit outil]].

Et pour les optimisations, j'ai [[http://www.guillaume-leduc.fr/gestion-caches-nginx-php-fpm.html|cet article]] me semble très bien (j'y ai trouvé l'outil ci dessus).

**Si votre phpmyadmin vous fait un truc dans ce style :**

<code>
PHP message: PHP Fatal error:  require_once(): Failed opening required './libraries/php-gettext/gettext.inc'
</code>

Alors la solution se trouve sur [[http://superuser.com/questions/590208/phpmyadmin-symlinks-error-after-ubuntu-upgrade|cette page]].

<code bash>
sudo rm /usr/share/phpmyadmin/libraries/php-gettext/*
sudo ln /usr/share/php/php-gettext/* /usr/share/phpmyadmin/libraries/php-gettext
</code>

**Si votre phpmyadmin rale sur mcrypt :**

[[http://stackoverflow.com/questions/19446679/mcrypt-not-present-after-ubuntu-upgrade-to-13-10|Cette page pourrait vous aider]]

<code bash>
sudo php5enmod mcrypt
sudo service php5-fpm restart
</code>

**Pour améliorer vos logs (attention si ya de la charge déjà sur les serv' c'est a éviter) sur php fpm ** (sinon c'est un peu light comme indiqué sur [[http://stackoverflow.com/questions/8677493/php-fpm-doesnt-write-to-error-log|cette page]]) :

<code bash>
sudo nano /etc/php5/fpm/pool.d/www.conf
</code>

Activer ceci :

<code>
catch_workers_output = yes
</code>


===== 20.4. Installation / Configuration NGINX sur les VM middle / back =====

Ici il s'agit d'installer NGINX sur les VM middle. La procédure est la même que pour les front. Par contre concernant la configuration on n'est plus sur de serveur proxy mais du serveur web classique.

Un exemple de configuration générale :

<code bash>
sudo nano /etc/nginx/nginx.conf
</code>

<code>
user  www-data www-data;
worker_processes  1;

error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;


    # Get real ip from front server
    set_real_ip_from 192.168.100.12;
    real_ip_header X-Forwarded-For;


    # Log configuration
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  /var/log/nginx/access.log  main;


    # Misc configuration
    sendfile        on;
    keepalive_timeout  65;


    #
    # Enable gzip compression
    # See : http://www.nginxtips.com/how-to-configure-nginx-gzip-compression/
    #
    gzip on;
    gzip_comp_level 6;
    gzip_proxied any;
    gzip_min_length  1100;
    gzip_buffers  4 32k;
    gzip_types    text/plain application/x-javascript text/xml text/css;
    gzip_vary on;


    #
    # Set client body size to 5M #
    # See : http://www.cyberciti.biz/faq/linux-unix-bsd-nginx-413-request-entity-too-large/
    #
    client_max_body_size 5M;


    # Include configuration files for differents sites
    include /etc/nginx/conf.d/*.conf;
}
</code>

Il suffira ensuite de le faire communiquer avec PHP FPM via le sock mis en place précédemment.

Par exemple :

<code bash>
sudo nano /etc/nginx/conf.d/default.conf
</code>

Donne :

<code>
server {
    listen       80;
    server_name  localhost;

    #access_log  /var/log/nginx/log/localhost.access.log  main;

    root   /var/www/default;
    index  index.html index.htm index.php;

    #error_page  404              /404.html;

    # redirect server error pages to the static page /50x.html
    #
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
        root   /usr/share/nginx/html;
    }

    # pass the PHP scripts to FastCGI server
    location ~ ^(.+\.php)(/.*)?$ {
        fastcgi_pass   unix:/var/run/php5-fpm.sock;
        include        fastcgi_params;
    }
    
    # Security deny .ht* files like htaccess
    location ~ /\.ht {
      deny  all;
    }
    
    # Rewrites rules
    location / {
        try_files $uri $uri/ /index.php?$args;
    }

}
</code>

**Note 1 :** La partie .ht est pour éviter que des .htaccess et compagnie trainent en visible alors qu'ils ne sont utilisés que par apache et pas par nginx (certaines appli en laissent trainer partout).

**Note 2 :** La partie rewrite est proposée a titre d'exemple mais est à adapter ou a enlever selon votre application. Elle propose un remplacement des règles de rewrite habituellement vues avec apache.
===== 20.5. Installation / Configuration MySQL sur les VM middle / back =====

Installation MySQL, rien de particulier à ajouter.

<code bash>
sudo apt-get install mysql-server
</code>

Et une petite correction à faire en se basant sur [[http://kb.parallels.com/en/120461|cet article]] si vous voyez ce message :

<code>
[Warning] Using unique option prefix key_buffer instead of key_buffer_size is deprecated and will be removed in a future release. Please use the full name instead.
</code>

On corrige donc :

<code bash>
sudo nano /etc/mysql/my.cnf
</code>

Et on modifie ceci :

<code>
    key_buffer = 16M
    myisam-recover = BACKUP
</code>

Comme ceci (et c'est le premier buffer size si vous en avez plusieurs) :

<code>
    key_buffer_size = 16M
    myisam-recover-options = BACKUP
</code>


===== 20.6. Installation / Configuration des mails sur toutes les VM =====

Sur ubuntu de base il faut passer par une petite phase d'installation.

<code bash>
sudo apt-get install mailutils
</code>

Puis pour la configuration voir comme évoqué plus haut.

<code bash>
sudo dpkg-reconfigure postfix
</code>

__**Spécificité pour les middles**__, comme leurs mails passeront forcément par le front, **le nom de courrier doit correspondre au nom de la vm front**. Exemple monserveur1.domaine.net si la vm front s'appelle monserveur1 et que vous lui avez bien affecté un dns monserveur1.domaine.net comme vu dans les parties précédentes.


===== 20.7. Installation / Configuration rkhunter, monit, logwatch backup-manager =====

Pas grand chose à ajouter, simplement il ne faut pas oublier. Vous pouvez vous référer aux précédentes parties où j'ai déjà abordé ces sujets.