Virtualisation: Mise en place d'une architecture solide

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Virtualisation: Mise en place d'une architecture solide

JulienP

Bonjour à tous !

Je viens vers vous pour solliciter votre aide pour mettre en place plusieurs machines virtuelles sur l'hyperviseur ESXi.
Étant débutant dans le domaine de la virtualisation et ayant soif d’apprentissage, je vais tenter de développer un maximum en espérant de pas vous perdre.

Je vous explique ma situation:
J'ai passé pas mal de temps à administrer un Kimsufi 16G qui tournait sur Debian 7 par hobbies et pour mes projets perso. Vu qu'il commençait vraiment à se faire vieux (l'offre n'est même plus proposé par Kimsufi) je me suis tourné vers So You Start qui propose pour le même prix un serveur bien plus puissant, en plus de ça il offre les frais d'installation jusqu'à fin juin

Je me suis donc récemment payé un E3-SAT-3:
- CPU: Intel Xeon E3 1245v2 @ 3.4 GHz
- RAM: 32Go DDR3
- HDD: 2x 2To

J'ai donc été livré avec une IP principale qu'on va noter (ça pourrait être utile plus tard dans la discussion):
XXX.XXX.XXX.XXX
et son reverse:
nsXXXXXXX.ip-XXX-XXX-XXX.eu

Par la suite je me suis beaucoup intéressé par la virtualisation et dans le cadre de mes études, j'ai accès à des licences VMWare.
J'ai donc installé VMWare ESXi 5.0 Update 1 64 bits sur la machine.

Après renseignement, j'ai constaté qu'il fallait une adresse IP par VM (ou alors il fallait passer par un NAT mais je voulais pas trop me casser la tête).
J'ai donc acheté un bloc de 16 IP failover qu'on va noter:
YYY.YYY.YYY.YYY/28
avec leur reverse:
ipYYY.ip-YYY-YYY-YYY.eu.

J'ai par la suite suivi des tutoriels disponibles sur ce forum pour mettre en place une VM sous Debian 8 avec ces ip failover (attribution d'une adresse mac virtuelle etc).

Jusque-là pas de problème, mais j'aime les choses propres et dans le cadre des multiples projets perso que je pourrais héberger sur le serveur je pensais créer une architecture stable, performante voire même sécurisé, de plusieurs VM sur ESXi.

Je pensais donc séparer les différents services sur plusieurs VM distinctes:
- Une VM avec MySQL pour la BDD.
- Une VM pour gérer les mails.
- Une VM qui pourrait me servir pour stocker de la donnée tout simplement. (Backup etc...).
- Une VM pour chaque application (Une avec Apache et NodeJS, une autre avec Windows Server pour de l'ASP.NET, etc...)
- Une VM avec Bind9 pour le DNS.
Car en effet je possède plusieurs noms de domaines et j'aimerais qu'un nom de domaine ou un sous-domaine pointe vers une application bien précise:

bar.fr ---> YYY.YYY.YYY.YY1
foo.fr ---> YYY.YYY.YYY.YY2
bar.foo.fr ---> YYY.YYY.YYY.YY3
etc...

Voilà déjà je voulais avoir votre avis sur ce type d'architecture (je peux me planter, ça se trouve je vais consommer de la ressource pour rien) et je voulais savoir par où commencer. J'ai bien sûr fait de longue recherche sur le net mais rien de bien précis.

Je pensais déjà à créer une VM sous debian avec seulement Bind9 pour gérer mes noms de domaines et les rediriger les autres VM qui héberge les applications.
Qu'en pensez-vous ?

Je vous remercie par avance de votre aide

Aerya

Salut,

Je fais un truc dans ce genre là mais sous ProxMox. Certains te diront que c'est plus simple via Docker que sous VM pour ce type d'usage personnel de containers isolés. Il en faut pour tous les goûts !
Pour Bind pourquoi pas mais je n'en comprend pas l'intérêt face aux A chez ton registrar ? Vu que tu as des IP dédiées.

Je n'y connais rien en sécurisation ESXi, ProxMox tournant sur un Linux normal c'est plus simple de gérer IPtables. Je suis donc intéressé si tu as un bon lien à ce sujet, pour ma culture

nami007

- Une VM avec MySQL pour la BDD. -> conteneur mysql ou mariadb
- Une VM pour gérer les mails. -> https://github.com/hardware/mailserver
- Une VM qui pourrait me servir pour stocker de la donnée tout simplement. -> faisable sans conteneur je dirais ou un conteneur owncloud par exemple
- Une VM pour chaque application (Une avec Apache et NodeJS, une autre avec Windows Server pour de l'ASP.NET, etc...) -> facile à trouver sur le hub docker
- Une VM avec Bind9 pour le DNS. -> https://blog.meshup.net/deploy-nsd-dnssec-with-docker/

Je mets ça juste au cas ou, si docker ne t'intéresse pas, tampis.

arckosfr

alors j'utilise actuellement une archi plus ou moins identiques, sauf que j'utilise le NAT (ca a certains avantages)
je rejoins Aerya pour bind, si tu as pas de chose qui te pousse a utilisé bind, utilise ton registrar.
sinon le reste c'est bien, certes tu va perdre un peu en ressources. Mais c'est pas le même usage que docker donc bon

xataz

Salut,

C'est assez compliqué, tout dépends de l'infra derrière. Perso avec ESXi (enfin vsphere maintenant) (ou même proxmox) je suis un partisans du firewall en front qui redirige ce qu'il faut après, pour éviter d'exposer toute les machines vers l’extérieur.

Perso je fais un truc comme ça

Internet
| IP | IPFO
V V
ESXi Firewall (pfsense)
| | |
V V V
VM1 VM2 VM3
/ \
/ \
VM5 VM6

Niveau sécu, je dirais que avec ça (si FW bien configuré) tu es bien.
Le but étant d'exposer les VMs que si nécessaire.

Comme le dit Aerya, il y a docker également, personnellement j'adore, mais pour moi, ce n'est pas pour remplacer des VMs (le niveau d'isolation n'est pas le même), mais seulement facilité le déploiement d'une application.

Voili voilou, en espérant t'aider.

Ayenon

xataz wrote:Salut,

C'est assez compliqué, tout dépends de l'infra derrière. Perso avec ESXi (enfin vsphere maintenant) (ou même proxmox) je suis un partisans du firewall en front qui redirige ce qu'il faut après, pour éviter d'exposer toute les machines vers l’extérieur.

Perso je fais un truc comme ça

Internet
| IP | IPFO
V V
ESXi Firewall (pfsense)
| | |
V V V
VM1 VM2 VM3
/ \
/ \
VM5 VM6
Niveau sécu, je dirais que avec ça (si FW bien configuré) tu es bien.
Le but étant d'exposer les VMs que si nécessaire.

Comme le dit Aerya, il y a docker également, personnellement j'adore, mais pour moi, ce n'est pas pour remplacer des VMs (le niveau d'isolation n'est pas le même), mais seulement facilité le déploiement d'une application.

Voili voilou, en espérant t'aider.

Je rejoins ton idée niveau sécu. Le NAT reste l'idéal afin d'isoler au max le réseau créé dans l'ESXi.

Attention à ne pas abuser des VM, ne pas créer 20 VM aussi, car sinon les disques ne vont pas être content

La compo de nami007 est tout à fait adaptable avec des VM sans docker en cas où

Solinvictus

Petit aparté : on peut passer en "no raid" chez SYS ? Parce qu'avec les frais d'installation offert, c'est intéressant.

arckosfr

a priori oui, en tout cas ESXi n'aime pas les raid logiciel de toute facon.
et j'aprouve cette archi que j'ai, perso j'ai pas mis les disques en raid pour mieux répartir les VM (et du coups les IOPS)

Ayenon

Solinvictus wrote:
Petit aparté : on peut passer en "no raid" chez SYS ? Parce qu'avec les frais d'installation offert, c'est intéressant.

Oui, pour l'ESXi, c'est obliger Tu sélectionnes installer sur le premier disque :

Solinvictus

Merci Ayenon !

Solinvictus

Second aparté et ensuite j'arrête pour ne pas polluer le topic ! Les demandes de licence mettent du temps à être accordées ? Ne recevant pas le courriel...

arckosfr

C'est instant si je me trompe pas

Ayenon

De rien Solinvictus

Et tu parles des licences commander via OVH ? Genre Windows & Compagnie ?

Solinvictus

Non des licences pour ESXi, que l'on fait sur le site de vmware.

Ayenon

Ah ! Bizarre, c'était direct pour moi

coom

Solinvictus wrote:Second aparté et ensuite j'arrête pour ne pas polluer le topic ! Les demandes de licence mettent du temps à être accordées ? Ne recevant pas le courriel...

Je t'en ai envoyé une par MP.

Aerya

SI tu veux jouer avec Docker tu peux aussi tester CoreOS, OS axé virtu via Docker. Y'a sans doute un tuto ici d'ailleurs vu que c'est pas récent.

plaw

J'ai découvert la virtualisation récemment J'en ai pour l'instant une approche théorique du sujet. Développer mes connaissances et bien comprendre la virtualisation : les concepts de base, les différents systèmes, leur utilité, mais aucune pratique pour l'instant.
J'ai bien compris que les accès disques vont en premier limité les performances
JulienP dispose d'une configuaration modeste, 20 vm sur un tel système, cela ne risque pas de coincer ?
le proc de mon pc est un I75930, 64 gigas de ram et un ssd 850 pro d'un To
Windows server2012R2, et windows 10 sont installés en dual boot. J'y ajouterai bientôt debian.
Que me permettrait une telle config ? Avec hyperv que pourrais je faire ?
Si j'installais Exsi et plusieurs vm dont une avec windows 10, j'aurai le même ressenti qu'un win dows 10 tournant seul sur mon pc ?
Avant de passer à la pratique où pourrais-je trouver de la doc sur le sujet ?
Pour débuter je ne sais pas quoi virtualiser.
Comment partager une certaine documentation dont le règlement interdit de parler ?
J'espère ne pas polluer le sujet que j'ai lu et il m'a amené ces questions
Les ips je n'y avais pas pensé

Solinvictus

coom wrote:
Solinvictus wrote:Second aparté et ensuite j'arrête pour ne pas polluer le topic ! Les demandes de licence mettent du temps à être accordées ? Ne recevant pas le courriel...
Je t'en ai envoyé une par MP. 😉

Merci coom !