Tous les articles par droide

Déploiement d’applications Windows via RemoteApp (Windows Server 2016)

Voici ce nouvel article sur le déploiement d’application via Microsoft RemoteApp actualisé pour la version Windows Server 2016 ! Nous allons aller de l’installation à la mise à disposition d’applications en passant par les différentes étapes de configurations.

Techniquement, nous allons tout installer sur un seul et même serveur virtualisé sous Proxmox.

Continuer la lecture de Déploiement d’applications Windows via RemoteApp (Windows Server 2016) 

Utiliser PowerShell via SSH

Voici une solution permettant d’interagir avec un ordinateur sous Windows depuis un ordinateur sous Linux ou MacOS. La solution utilisée reste relativement simple à mettre en place et utilise des standards. Nous utiliserons Windows Server 2012R2 et un client Linux.

Installation côté Windows

PowerShell :

Récupérez la dernière version de PowerShell pour Windows ici : https://github.com/PowerShell/PowerShell Ici nous utiliserons la version 6.0.4 dans toute la suite de l’article. L’installeur Windows va placer les fichiers ici : C:\Program Files\PowerShell\6.0.4\

OpenSSH :

Récupérez la dernière version de PowerShell pour Windows ici : https://github.com/PowerShell/Win32-OpenSSH/releases/download/v7.7.2.0p1-Beta/OpenSSH-Win64.zip Pour l’installer, je vous recommande de dé-zippez son contenu à la racine du disque sur C:\. Ouvrez une invite de commande PowerShell en mode administrateur et effectuez les commandes suivantes :

PS: cd C:\OpenSSH-Win64\
PS: powershell.exe -ExecutionPolicy Bypass -File install-sshd.ps1
PS: cmd /c /D mklink c:\pwsh "C:\Program Files\PowerShell\6.0.4"

Il faut aller éditer le fichier de configuration sshd_config situé dans le dossier C:\ProgramData\ssh\ et assurez vous d’avoir les paramètres suivants :

PasswordAuthentication yes
Subsystem powershell c:\pwsh\pwsh.exe -sshs -NoLogo -NoProfile

Maintenant il suffit de lancer le service

PS: net ssh start

Path OpenSSH

Il est aussi indispensable de configurer la variable d’environnement « path » pour que les commandes SSH soient reconnues par le système. Pour cela, rendez-vous dans l’application « Modifier les variables d’environnement système ».

Sélectionnez ensuite « path » et cliquez sur « Modifier… ».

Rajoutez le texte suivant à la fin de la ligne (sans oublier le ; ) et validez.

;C:\OpenSSH-Win64\

Installation côté Linux

Pour la partie Linux, pas besoin de SSH il est normalement déjà installé sur votre machine d’administration. La méthode d’installation de PowerShell est la méthode universelle mais sachez que des paquets pour diverses distributions existes (Debian, Red-Hat).
Téléchargez la version stable en cours ici :

https://github.com/PowerShell/PowerShell/releases/tag/v6.0.4

Les commandes suivantes suffisent :

$ wget https://github.com/PowerShell/PowerShell/releases/download/v6.0.4/powershell-6.0.4-linux-x64.tar.gz
$ tar -xvzf powershell-6.0.4-linux-x64.tar.gz
$ cd powershell-6.0.4-linux-x64

Utilisation

Maintenant que tout est installé, voici comment accéder en ssh à votre serveur Windows et y exécuter des commandes via PowerShell. Cette partie reprend la documentation officielle de Microsoft.

Dans le dossier où se trouve PowerShell, lancez le script pwsh

./pwsh
PS /powershell-6.0.4-linux-x64>

Créez ensuite la connexion au serveur :

> $session = New-PSSession -HostName srv.example.com -UserName Administrateur

Vous allez devoir accepter le certificat la première fois et indiquer votre mot de passe. Vérifions que la sessions est bien là :

> $session

Si vous souhaitez vous connecter sur le Shell distant, voici la commande :

> Enter-PSSession $session

Et si vous souhaitez exécuter votre script « script.ps » situé à la racine du disque C sur la machine distante, voici ce qu’il faut faire :

> Invoke-Command $session -ScriptBlock { C:\script.ps1 }

Convertir vos tables MyISAM en InnoDB

Lors d’une mise à jour de GLPI, j’ai du migrer manuellement plus de 300 tables de MyISAM à InnoDB.

Voici un petit script rapide en PHP permettant de faire cette modification automatiquement :

<?php
try
{
            $bdd = new PDO('mysql:host=localhost;dbname=glpi;charset=utf8', 'glpi', 'glpipassword');
}

catch(Exception $e)
{
                die('Erreur : '.$e->getMessage());
}

$response = $bdd->query("SELECT TABLE_NAME FROM INFORMATION_SCHEMA.TABLES
WHERE TABLE_SCHEMA = 'glpi'
AND ENGINE = 'MyISAM'");

while($data = $response->fetch())
{
        $base = $data['TABLE_NAME'];
        $bdd->exec("ALTER TABLE $base ENGINE=INNODB");
}

$reponse->closeCursor();
?>

Remplacez les paramètres de connexion ainsi que le nom de la base dans la première requête et laissez tourner le script.

php script.php

Ce script est bien sur réversible en modifier les types de moteurs.

Proxmox 5 : Comment ré-activer le NAT ?

Depuis la version 5.1-52 de Proxmox VE, la possibilité de choisir une interface réseau de type NAT via l’interface web à disparu.

Voici le commit responsable : https://git.proxmox.com/?p=pve-manager.git;a=commit;h=fe8323a0b450c93c83c3c50cd386be2d839bd98f

L’équipe a décidé ce choix par rapport à une confusion de certains utilisateurs novices, et le fait que le NAT n’est fait que pour du test et jamais pour de la production. Dans les faits et dans mon utilisation, le NAT ne me sert qu’à la création de machines virtuelles et n’est plus utilisé ensuite.

Interface :

Avant :

Après :

Réglage du NAT :

Néanmoins, le mode NAT n’est absent que depuis cette interface web. Pour pouvoir le réactiver, il suffit de passer par la ligne de commande (CLI). Une fois votre machine virtuelle créée, éditez son fichier de configuration comme ceci :

vim /etc/pve/nodes/node1/qemu-server/105.conf

Dans cette exemple, node1 est à remplacer par le nom de votre node et 105 est ici l’id de votre machine virtuelle.

Une fois dans ce fichier, repérez la ligne concernant votre carte réseau et supprimer la partie ,bridge=vmbr1.

net0: virtio=52:54:00:10:22:a7,bridge=vmbr0,firewall=1

net0: virtio=52:54:00:10:22:a7,firewall=1

Vous pouvez redémarrer votre machine et le NAT sera actif.

 

Visite de DC4, un Data-Bunker.

Aujourd’hui, j’ai eu le privilège de pouvoir visiter DC4, un des data-center d’Online.net. Je tiens tout d’abord à remercier Arnaud, Guillaume et Imen pour cette visite.

DC4 à pour particularité d’avoir une partie de ses installations à 30 mètres sous terre dans un abri antiatomique. Une fois l’escalier descendu, nous sommes plongés dans un décors de métros parisiens avec les fameux carreaux blancs et les voutes. Même en étant sous terre, la sécurité y est fortement présente avec tout une série de solutions qui en font un lieu physiquement protégé.

Continuer la lecture de Visite de DC4, un Data-Bunker. 

RDS-Shield – compagnon de votre RemoteApp

Le montage et la maintenance d’une infrastructure RemoteAPP n’est pas la chose la plus facile. J’ai déjà évoqué dans les articles précédents le montage complet d’un système RDS/RemoteAPP. Le logiciel RDS-Shield va vous permettre de gagner du temps et d’obtenir des fonctionnalités supplémentaires.

Informations pratiques :

RDS-Shield est disponible en français sur : http://rds-shield.fr/

et en anglais sur : http://rds-shield.com/

Le tarif est de 280 € par serveur et vous disposez d’une période d’essai d’1 mois.

Présentation :

A l’ouverture du logiciel, vous disposez d’un panneau d’accueil comprenant les 6 fonctionnalités proposées.

Continuer la lecture de RDS-Shield – compagnon de votre RemoteApp 

Optimiser la taille des disques virtuels de Proxmox

Cet article vous explique comment réduire l’espace disque physique occupé par vos disques de stockage virtuels. Sous Proxmox, les disques durs virtuels sont dynamiques, c’est à dire que lorsque vous définissez un disque dur de 100 Go par exemple, en réalité, sur la machine hôte, il n’occupe que quelques Go une fois le système installé. Ce qui évite d’occuper directement les 100 Go et de perdre du temps à la création de celui-ci.

Problématique

Ce système fonctionne bien sauf qu’une fois que l’espace disque à été alloué, il restera occupé même une fois vidé.

Par exemple, nous ajoutons 50 Go de données à notre machine qui en contenait déjà 10, la taille physique du disque virtuel est donc montée à 60 Go. Si nous supprimons ensuite ces 50 Go, la taille physique ne change pas et n’est donc pas réduite. Il faut le voir comme un cliquet ( que l’on ne peux que monter ). Cet espace non utilisé ne pose pas de problème directement, peut vite ralentir les sauvegardes Proxmox en utilisant des dizaines voir centaines de Go qui ne sont plus utilisés réellement.

Solution

  • disque SCSI

Pour pouvoir réduire l’espace disque physique, il faut avoir au préalable configuré le disque dur en SCSI et avoir coché l’option Discard.

Ensuite, dans votre machine virtuelle, il suffit d’utiliser la commande fstrim (beaucoup plus connue maintenant avec l’utilisation des SSD).

Continuer la lecture de Optimiser la taille des disques virtuels de Proxmox 

Gestion du pare-feu de Proxmox VE 4

Nous allons voir dans cet article comment utiliser le pare-feu (ou firewall en anglais) qui est intégré dans Proxmox et configurable entièrement via l’interface web de gestion de Proxmox.

Il y a trois niveaux de pare-feu. Un au niveau du Datacenter, un au niveau des nodes et un au niveau de chaque machines virtuelles. Nous allons donc procéder par étape et sécuriser un peu plus notre cluster.

1 – Pare feu du Datacenter (Datacenter firewall)

Pour commencer, cliquez Datacenter puis Firewall.

Vous avez ici les règles du pare-feu au niveau datacenter. De base, tout est vide et le pare-feu n’est pas actif. Nous allons faire les choses proprement et utiliser tout le potentiel offert par Proxmox en utilisant les Alias et Security Group. Nous allons commencer par créer nos règles avant d’activer le pare-feu qui par défaut n’autorise rien.

Les Alias permettent de configurer des IP que nous allons utiliser à plusieurs reprises dans les différents niveau de pare-feu. Les Security Group quand à eux permettent de créer une liste de règles regroupée en seul nom. Nous verrons par la suite leur utilité.

1.1 – Les Alias

Le premier but est de restreindre l’accès à l’interface web de proxmox et à l’accès SSH des machines. Nous devons créer des Alias pour enregistrer nos différentes IP d’accès comme par exmple l’IP de votre entreprise, de votre domicile, d’un accès de secours, etc …

Cliquez sur Alias, puis Add :

Indiquez un nom pour cet alias, l’adresse IP et un commentaire. Puis sur Add pour l’enregistrer. Je vous conseille également d’ajouter les serveurs de supervision de votre hébergeur. Si vous êtes chez Online par exemple, rajoutez cet Alias :

1.2 – Ajout des règles

Vous avez le choix d’être soit très restrictif et de n’ouvrir que les ports utilisés par Proxmox vers vos IP, soit d’ouvrir tous les ports. Nous allons utiliser cette deuxième méthode pour l’instant mais voici les ports utilisés par Proxmox :

  • Web interface: 8006
  • VNC Web console: 5900-5999
  • SPICE proxy: 3128
  • ssh : 22
  • rpcbind: 111
  • corosync multicast (pour un cluster) : 5404, 5405 UDP

 

Dans la partie Firewall, cliquez sur Add et vous obtiendrez l’interface suivante où vous allez sélectionner dans la source votre Alias précédemment créé et dans la Macro, le type de service que vous souhaitez laisser passer (dans cet exemple: Ping) :

Si vous souhaitez autoriser tous les ports vers votre IP, vous n’avez qu’à sélectionner la source et laisser tout le reste vide. N’oubliez pas de cocher la case Enable.

Lorsque toutes vos règles sont activées, vous pouvez maintenant activer le pare-feu en vous rendant dans Options puis double cliquez sur Enable Firewall et le passer à Yes.

2 – Pare feu des nodes

Pour la partie nodes, il suffit juste d’activer le pare-feu et de régler les logs si vous le souhaitez. De base rien n’est loggué. J’ai placé ici les logs en mode « alert ».

Les logs sont visibles dans l’option juste en dessous et ressemble à ceci :

3 – Pare-feu des machines virtuelles

Nous allons faire un exemple pour des machines virtuelles hébergeant des serveurs web.

Pour toutes ces machines, nous souhaitons avoir les ports 80 (HTTP) et 443 (HTTPS) d’ouverts à tous ainsi que du port 22 (SSH) mais restreint à nos IPs.

3.1 – Configuration des Security Group

Et c’est là que les Security Group rentrent en jeux. Revenez dans l’interface du firewall au niveau du datacenter puis dans Security Group et cliquez enfin sur Create :

Après avoir donné un nom au groupe et cliqué sur Create, vous pouvez sélectionner ce groupe et cliquez sur Add dans la partie droite pour commencer à ajouter toutes les règles de pare-feu comme fait au tout début de cet article. Si nous suivons l’exemple donné ci-dessus, voici le résultat que vous devriez obtenir.

Notre Security Group est maintenant créé et prêt à être utilisé.

3.2 – Activation des Security Group

Rendez-vous maintenant dans la partie firewall de votre machine virtuelle et cliquez sur Insert: Security Group puis choisissez celle qui vous convient et cochez Enable.

Activez ensuite le pare-feu comme pour les autres types réglant Enable Firewall à Yes.

C’est maintenant terminé !

Conclusion

Vous disposez maintenant des bases pour configurer le pare-feu de Proxmox et pouvoir ainsi disposer d’un minimum de réglages pour votre installation.

Les Security Group permettent de gagner énormément de temps et d’éviter des problèmes lors de la gestion des pare-feux des machines virtuelles. Rappelez-vous que par défaut le pare-feu bloque tout  entrée et autorise tout en sortie.

Migration de machines virtuelles Proxmox v3 vers v4 (avec IP FailOver Online.net)

Après avoir déployé un nouveau cluster Proxmox en version 4, nous sommes intéressés de migrer nos machines virtuelles situées sur un cluster en version 3 vers ce nouveau cluster. La procédure est relativement simple et se fait rapidement.

1 – Configuration du serveur de sauvegardes

Nous partons ici sur un serveur de sauvegardes fonctionnant en NFS. Il est en toute logique déjà configuré sur le cluster Proxmox v3 pour réaliser les snapshots quotidiens. Vous pouvez tout à faire utiliser un autre système de disques partagés pour vos sauvegardes, et la procédure qui suit sera identique.

Pour ajouter le serveur de sauvegarde NFS sur le nouveau cluster, rendez-vous dans la partie « Datacenter » puis « Storage ».

capture-decran-de-2016-11-04-10-59-52

Cliquez sur « Add » puis « NFS » dans notre cas.

capture-decran-de-2016-11-04-11-04-21Sur la fenêtre qui suit, indiquer l’ID en mettant le nom que vous voulez, puis l’adresse IP du serveur dans le champs « Server ». Lorsque vous cliquez dans le champ « Export », si la connexion fonctionne, vous verrez apparaitre les dossiers NFS auxquels vous avez le droit. N’oubliez pas dans la liste déroulante « Content » de bien sélectionner au minimum la ligne « VZDump backup file ».

Continuer la lecture de Migration de machines virtuelles Proxmox v3 vers v4 (avec IP FailOver Online.net) 

Déploiement d’applications Windows via RemoteApp (Windows Server 2012 R2) – suite et fin

Voici la suite de l’article concernant le déploiement d’applications avec Windows Server 2012 R2 et RemoteApp

Déploiement d’applications Windows via RemoteApp (Windows Server 2012 R2)

Nous reprenons donc sur la partie d’installation de l’autorité de certification. Après avoir repris le processus d’ajout de fonctionnalités, cochez Autorité de certification.

Continuer la lecture de Déploiement d’applications Windows via RemoteApp (Windows Server 2012 R2) – suite et fin