Virtualisation

[lateo]

Yop,

je suis à la recherche d'orientations sur les solutions de virtualisation susceptibles de satisfaire un besoin en environnement de production!

je précise que je suis trèèèèès loin de mettre en place quoique ce soit, je commence à regarder ce qui se fait avant de monter une maquette crédible, puis de la présenter, éventuellement la faire valider.... bref, je ne suis qu'au début du process, et donc très « open » à ce stade.

le besoin

- entre 3 et 8 VM sur 1 hardware (selon que l'on isole ou non certains services comme mail, dns, reverse-proxy, des trucs comme ça), il faut que ce soit aussi peu chiant à gérer que possible.

- aucune VM n'a besoin d'interface graphique

- certaines de ces VM doivent avoir un accès à des cartes d'extension de façon exclusive (idéalement les VM hébergées ne doivent même pas « voir » la carte utilisée par telle ou telle autre VM : une VM ne voit que ce qui l'intéresse)

- les VM et leurs sauvegardes ne seraient pas hébergées sur l'hôte mais sur un SAN (transparent?) ou un NAS (dans ce cas ce sera accès via NFS ), l'idée étant de redémarrer tel quel sur un clone de la machine hôte en cas de méga crash hardware.

- sauvegarde à chaud des VM.

- switch d'une VM à sa sauvegarde (en cas de régression, autre problème pas cool...) sans interruption de service, ou alors quelques secondes au plus.

- toutes les VM seront impérativement des linux. l'hôte peut éventuellement être un bsd, à voir. de toute façon ça ne devrait pas changer grand chose.

Si ce n'est pas trop contraignant je verrais bien un openbsd en hôte (faire les mises à jour en prod sur le SI en question est extrêmement contraignant, je préfèrerais donc avoir le moins de trous possible de base...)

merci pour vos conseils, suggestions et commentaires éclairés

[Cherone]

Regarde du coté d'OpenVZ, il me semble que ça pourrait être une bonne solution. OpenVZ permet entre autres une gestion très simple des VM et notamment la sauvegarde/switch à chaud (il faut quelques secondes pour déployer une VM). Wiki OpenVZ.

[madko]

Sauf que OpenVZ ce ne sont pas des VMs mais des containeurs, c'est pas si simple et l'exploitation doit avoir conscience d'être dans un containeur. Donc au final c'est moins simple que la virtualisation. Par contre c'est très léger, c'est une sorte de chroot évolué.

Vu les besoins exprimés, ça doit faire le café etc, je regarderais dans l'ordre:

Virtualbox pour sa souplesse niveau snapshots etc, malheureusement en ligne de commande c'est pas tip top (et depuis Oracle...).

Xen, l'incontournable solution de virtualisation, avec XenCenter sous licence. Sinon Xen simple si tu veux pas payer de licences.

KVM qui est le challenger, intégré directement au noyau linux donc plein d'avantage. Par contre un peu jeune il faudra tout bricoler à la main.

Pour l'accès dédié à un carte physique il y a le pci passtrough dans XEN, me semble aussi que c'est dispo dans les versions récentes de KVM (à vérifier). Je ne sais pas pour virtualbox.

Le plus complexe sera tes besoins de sauvegarde/snapshots. Pour le BSD en hôte je partirais pas dans cette direction pour des problèmes de performance, mais ce n'est qu'un avis perso.

Faudra bien faire attention au choix du matos, surtout la partie réseau.

[TeKa]

Si ton matos est compatible : VMware ESXi ?

http://www.vmware.com/fr/products/vsphere-hypervisor/index.html

[Dark26]

Perso à la maison je tourne avec du xen, avec en dom0 une debian squeeze, et en domu, debian squeeze, lenny, opensuse, centos et windows 2008 serveur. Cela tourne pas mal, très stable ( j'ai un uptime de 83 jours pour le dom0 )

Par contre pour le "- certaines de ces VM doivent avoir un accès à des cartes d'extension de façon exclusive", sauf si c'est des cartes réseaux, sinon c'est niet, voir un truc intordable si la distribution le supporte ( c'est non sur debian ).

xen:/home/toto# xm list

Name ID Mem VCPUs State Time(s)

Centreon-xen 38 512 1 -b---- 335754.5

Data-xen 43 1524 3 -b---- 18317.9

Desk-xen 39 512 2 -b---- 4251.2

Desktop-xen 65 1024 1 -b---- 1095.9

Dl-xen 37 350 2 -b---- 120791.0

Domain-0 0 1201 4 r----- 415969.6

Firewall-xen 36 180 1 -b---- 35792.0

Lan-xen 57 180 1 -b---- 8124.2

Mail-xen 34 1256 1 -b---- 10964.9

Proxy-xen 33 256 1 -b---- 3606.2

Wan-xen 40 300 1 -b---- 11603.8

Windows2008 58 1024 2 -b---- 22335.2

L'avantage du xen, c'est que tu peux faire de la paravirtualization, qui normalement augmente un peu les performance. Tu aussi modifier la taille de la mémoire en live

Sinon kvm a l'air pas mal aussi.

Pour xen, il y a un live cd

http://wiki.xensource.com/xenwiki/LiveCD

Pour télécharger des machines xen "toutes faites" http://stacklet.com/

Et dire qu'avant c'était gratuit....

Mais sinon avec un bon tuto et debootstrap sous debian, ou opensuse studio pour opensuse, tu peux créer des machines en 2 clicks....

Ensuite copier coller, et zouuu

[lateo]

les perfs je m'en tamponne un peu pour les VM, elles ne sont réellement nécessaires que sur une autre machine de la chaîne que je n'envisage même pas de virtualiser tant qu'« on » ne m'aura pas fourni un dual octo core équipé de 32Go de RAM minimum Et la livraison n'est vraisemblablement pas pour demain

pour les machines virtualisables, le seul truc à prendre en considération c'est les (+/-) 10 millions d'E/S disque /jour générées par l'appli sur l'ensemble de la chaîne, ce qui est une des motivations pour la mise en place du SAN.

les cartes d'extension sont des trucs assez exotiques. Il est très souhaitable (avant tout pour avoir un truc clean et irréprochable et donc pour éviter un surplus de paperasse administrative et procédurale) que seule la VM concernée par telle carte puisse voir cette dernière, mais en tout état de cause, au final seule la VM disposant du module-qui-va-bien pourra exploiter telle ou telle carte. donc bon, ce n'est pas la mort non plus si l'accès n'est pas exclusif : ce serait juste moche et chiant.

[Dark26]

, le seul truc à prendre en considération c'est les (+/-) 10 millions d'E/S disque /jour générées par l'appli sur l'ensemble de la chaîne, ce qui est une des motivations pour la mise en place du SAN.

Pourquoi ne pas prendre un ssd ???

[madko]

Pourquoi ne pas prendre un ssd ???

Parce que c'est pour un besoin pro, pas personnel. A moins que tu parles d'un san ssd? mais là pour le prix tu rempli une armoire 42U en disques sas.

[Amour]

Pas bête...

Un SSD bien musclé ne serait pas plus performant et moins cher ?

[Dark26]

tout dépend de la quantité de stockage que tu as besoin de mettre sur un support rapide .

Perso j'ai un ssd 80 giga est c'est suffisant pour héberger tous les OS ( et plus encore); mais pas les données qui sont sur des disques durs classiques.

Ensuite tu vas me dire que un raid 1 de ssd ça coute cher . Mais linux permet de faire du raid "hybride".

je fais du raid logiciel entre mon ssd et une partition de 80 Go de mon disque de 2 To.

Les avantages sont qu'en lecture on utilise la vitesse du ssd et qu'en écriture on utilise la fiabilité du raid1.

[lateo]

pour clore la question du SSD :

- les E/S ne sont pas vraiment un problème avec du RAID SCSI avec des disques à 15k tpm, techno fiable, éprouvée. Un SAN avec un méchant fond de panier ne peut qu'améliorer la chose : risque zéro.

- Le SSD n'est pas un choix rationnel compte tenu du faible recul qu'on a sur cette techno : le besoin en perf n'est pas assez extrême pour justifier le prix d'une baie SSD d'une part, on n'a qu'une vision médiocre (estimations) de la durée de vie des supports d'autre part, et enfin on n'a aucune vision sur l'évolution de la techno sur les 10 années à venir (on ne peut qu'espérer que les constructeurs seront rationnels, et surtout que la techno ne sera pas abandonnée dans 5 ans au profit d'un truk-ki-rend-le-kiki-tout-dur).

Compte tenu du nombre d'E/S /jour générées par le système, la durée de vie des SSD qui je le rappelle est basée sur un nombre de cycles E/S (avec le nombre de secteurs utilisables qui décroit dans le temps) risque simplement de frôler la catastrophe ; ce n'est pas comme si je pouvais faire acheter 10k€ de disques /an juste pour ce SI

[lateo]

Pourquoi ne pas prendre un ssd ???

Parce que c'est pour un besoin pro, pas personnel. A moins que tu parles d'un san ssd? mais là pour le prix tu rempli une armoire 42U en disques sas.

[gaetan.cambier]

Il y en a plein :

Xen (libre)

VMware ESX

VMware ESXi (gratuit)

Microsoft Hyper-V Server (gratuit)

Parallels Server Bare Metal

KVM (libre)

Oracle VM (gratuit)

Après, faut voir d'après l'utilisation que l'on veut en faire :

tous ne propose par exemple le fail-over clustering qui peut être très utile pour des serveurs haute dispo

[Kako78]

Perso à la maison je tourne avec du xen, avec en dom0 une debian squeeze, et en domu, debian squeeze, lenny, opensuse, centos et windows 2008 serveur. Cela tourne pas mal, très stable ( j'ai un uptime de 83 jours pour le dom0 )

Par contre pour le "- certaines de ces VM doivent avoir un accès à des cartes d'extension de façon exclusive", sauf si c'est des cartes réseaux, sinon c'est niet, voir un truc intordable si la distribution le supporte ( c'est non sur debian ).

xen:/home/toto# xm list

Name ID Mem VCPUs State Time(s)

Centreon-xen 38 512 1 -b---- 335754.5

Data-xen 43 1524 3 -b---- 18317.9

Desk-xen 39 512 2 -b---- 4251.2

Desktop-xen 65 1024 1 -b---- 1095.9

Dl-xen 37 350 2 -b---- 120791.0

Domain-0 0 1201 4 r----- 415969.6

Firewall-xen 36 180 1 -b---- 35792.0

Lan-xen 57 180 1 -b---- 8124.2

Mail-xen 34 1256 1 -b---- 10964.9

Proxy-xen 33 256 1 -b---- 3606.2

Wan-xen 40 300 1 -b---- 11603.8

Windows2008 58 1024 2 -b---- 22335.2

Salut Dark,

Tu utilises quoi pour ton firewall en DomU ?

Je cherche une solution pour mon home server (Debian Squeeze et Xen)...

Sachant que sur ce dom0, je ne peux pas faire de HVM.

Merci,

Kako78

[Dark26]

j'utilise shorewall

http://dark26.hd.free.fr/index.php?option=com_content&view=article&id=52:xen-parefeu&catid=35:categorie-linux&Itemid=55

Par contre c'est un peu le serpent qui se mort la queue, car c'est compliqué/problématique à mettre en place. En effet mon serveur Dns et mon Firewall ( qui fait office de routeur ) sont des machines virtuelles. Donc elles ne peuvent exister que si le dom0 est opérationnel.

Hors, le dom0 ne peut pas accéder à internet si le Firewall / routeur / dns n'est ps opérationnel....

Si par exmple le serveur physique crash, impossible de reprendre la main distance .. De même si la machine virtiuelle "Firewall" de démarre pas , plus d'internet pour tout le monde.....

Par contre quand tout tourne, c'est niquel .. :).

PS: il faudra que je mette mon site à jour, car maintenant je fais aussi de la QOS avec shorewall.... :)

[typhoon006]

au vu de tes besoins et d'éléments critiques visiblement, je prendrais contact avec VMware...

honnêtement il me parait être les seuls capable de répondre à tes exigences pour avoir un truc solide.

[AHP_Nils]

Parmi les produits "tout en un" (comprendre, pas besoin d'installer un OS sur l'hôte avant d'installer le produit), il y a aussi Proxmox. Je n'ai pas essayé mais chez Hak5 ça semble plaire beaucoup.

[Craig]

Parmi les produits "tout en un" (comprendre, pas besoin d'installer un OS sur l'hôte avant d'installer le produit), il y a aussi Proxmox. Je n'ai pas essayé mais chez Hak5 ça semble plaire beaucoup.

J'avais vu qu'ils étaient tombés en adoration devant Proxmox, mais si cette solution présente l'avantage de tourner sur tout et n'importe quoi pour des performances correctes.

Cependant,

- certaines de ces VM doivent avoir un accès à des cartes d'extension de façon exclusive (idéalement les VM hébergées ne doivent même pas « voir » la carte utilisée par telle ou telle autre VM : une VM ne voit que ce qui l'intéresse)

Ceci risque de ne pas être possible. Du moins n'ai-je jamais vu personne parler de ce type de cloisonnement matériel sur les forums Proxmox.

[beuhbeuh]

En environnement professionel, il n'y a que 2 solutions viables à mon avis : vSphere Hypervisor aka ESXi (VMWare) et Hyper-V (Microsoft).

Les 2 vont répondre à tous tes besoins, à l'exception de Hyper-V qui doit tourner sur un hôte en Windows Server 2008 (et pas Linux ou BSD)...

[seboss666]

Sauf que ces deux solutions posent le même problème pour les cartes d'extensions, à savoir, le matériel est entièrement "masqué" par l'hyperviseur, et donc inaccessible. L'idée de proxmox (conteneur VZ), si ça donne accès aux cartes, peut être la solution la plus souple : chaque VM pourra être configurée soit en conteneur, soit en KVM (pour masquer les cartes, autant tout virtualiser).

Maintenant, reste à savoir si les cartes d'extensions en question sont reconnues correctement sous nux...

[beuhbeuh]

Pas d'accord avec ça, Hyper-V permet aux VMs d'accéder aux ressources de l'hôte par l'intermédiaire du VMBus, grâce aux couches VSC / VSP. Le seul prérequis est qu'un drivers soit disponible pour l'OS de l'hôte (Windows Server 2008), sauf dans de rares cas où il peut être nécessaire d'adapter ces drivers (en théorie, car je n'ai jamais vu de cas ou cela s'est avéré nécessaire...)

A vérifier si VMWare a un système similaire, mais il me semblait que oui...

[lateo]

Maintenant, reste à savoir si les cartes d'extensions en question sont reconnues correctement sous nux...

tu veux dire à l'install? non.

mais on a les softs qui-vont-bien pour exploiter les cartes sous linux.

Citation

- certaines de ces VM doivent avoir un accès à des cartes d'extension de façon exclusive (idéalement les VM hébergées ne doivent même pas « voir » la carte utilisée par telle ou telle autre VM : une VM ne voit que ce qui l'intéresse)

Ceci risque de ne pas être possible. Du moins n'ai-je jamais vu personne parler de ce type de cloisonnement matériel sur les forums Proxmox.

Le cloisonnement n'est pas in-dis-pen-sable. C'est surtout pour conserver la logique actuelle et donc rassurer la hiérarchie tout en m'évitant des tonnes de paperasse

Comme dit plus haut, de toute façon seule une machine disposant du soft ad hoc peut exploiter ces cartes, elles ne sont pas reconnues de base ; si on me cherche des poux sur le sujet, je pense que je pourrai jouer sur ça.

[seboss666]

Ou alors la solution hybride : Les logiciels ayant besoin de la carte sont installé sur l'hôte "en direct", et tout ce qui n'a pas besoin du matériel est virtualisé. C'est ce que je fais chez moi : le serveur avec son stockage (en cours de basculement de RAID1 à RAID5) et le DLNA sont géré au niveau de l'hôte, et j'ai deux VM (virtualbox) qui servent l'une pour un serveur web perso sous squeeze, l'autre pour tester les modifs et mises à jour d'un site hébergé chez 1and1 (et dont la config logicielle se rapproche au max de l'hébergement original).

C'est peut-être pas aussi puissant et propre qu'un hyperviseur simple avec tout au dessus, mais c'est plus souple. En tout cas, juste pour du DLNA (fourni par minidlna), je me voyais pas me faire chier à virtualiser. Au pire si je veux me fouiller, je chercherais à le chrooter, mais c'est vraiment chercher la petite bête.