Oct 28

VMWare Server 2.0 sur dédiés OVH et mise en oeuvre d’une solution de haute disponibilité avec datastore en DRBD

Ecrit le 28 octobre 2008 par guiguiabloc

Dans la continuité de la découverte des petites spécificités de la plateforme d’hébergement dédié d’OVH, aujourd’hui l’installation de VMWare Server 2.0.

Nous allons tout d’abord voir son installation en tenant compte des particularités d’OVH, l’utilisation de l’IpFailover et/ou des blocs ip RIPE fournis avec les serveurs et pour finir, en bonus, une petite bidouille à la Guiguiabloc pour intégrer un datastore VMWare en Raid1 over ip et bascule automatique.

Bien entendu, je pars d’une distribution Linux de base (Debian Etch ici) et pas la distribution VMware que fourni OVH.

Pré-Requis : Vous avez lu CE PRECEDENT BILLET avant et donc vous avez recompilé votre noyau sur vos serveurs. (il vous faut les sources du kernel).

Les switchs OVH ont une sécurité sur leurs interfaces empêchant de faire du bridging sur l’interface eth0 de votre serveur (ce qui est très bien en soi).

En gros, vous ne pouvez pas sortir sur l’interface du switch avec une adresse MAC différente de celle de votre carte réseau, si vous brigder l’interface vmnet0 avec eth0, le switch se mettra en « défense » (scénario bien connu des bidouilleurs de Cisco 🙂 ) et vous coupera le port.

A savoir que le principe est le même avec XEN 😉 donc attention a ce que vous faites…

Nous allons donc bridger VMware sur une interface bidon et configurer le Host-Only pour les interfaces réseaux de nos Machines Virtuelles.

On commence par monter une fausse interface ethernet, en éditant notre fichier /etc/network/interfaces (Debian) :

auto dummy0
iface dummy0 inet static
address 10.0.0.1 netmask 255.0.0.0 [ATTENTION CHOISIR UNE IP DE CLASSE PRIVEE]

Puis on l’active : ifup dummy0

(on vérifier par ifconfig que cette interface est bien présente).

On peut attaquer l’installation de VMware Server (je vous passe la phase de vous rendre sur le site de VMware pour récuperer le package et le numéro de série gratuit…)

tar xzvf VMware-server-2.0.0-116503.i386.tar.gz

cd vmware-server-distrib/

./vmware-install.pl
Creating a new VMware Server installer database using the tar4 format.

Installing VMware Server.

Vous répondez aux questions qui s’affichent (en changeant selon vos désirs les réponses pré-définies)

Si tout ce passe bien, vous devriez arrivé ici :

The installation of VMware Server 2.0.0 build-116503 for Linux completed
successfully. You can decide to remove this software from your system at any
time by invoking the following command: « /usr/bin/vmware-uninstall.pl ».

Before running VMware Server for the first time, you need to configure it by
invoking the following command: « /usr/bin/vmware-config.pl ». Do you want this
program to invoke the command for you now? [yes]

Vous suivez la procédure jusqu’au paramétrage du réseau :

La, on devient un peu plus attentif 🙂

Do you want networking for your virtual machines? (yes/no/help) [yes]

Configuring a bridged network for vmnet0.

Please specify a name for this network.
[Bridged]

Your computer has multiple ethernet network interfaces available: dummy0, eth0 . Which one do you want to bridge to
vmnet0? [eth0] dummy0

The following bridged networks have been defined:

. vmnet0 is bridged to dummy0

Do you wish to configure another bridged network? (yes/no) [no] no

Do you want to be able to use NAT networking in your virtual machines? (yes/no)
[yes] no

Do you want to be able to use host-only networking in your virtual machines?
[no] yes

Configuring a host-only network for vmnet1.

Please specify a name for this network.
[HostOnly]

Do you want this program to probe for an unused private subnet? (yes/no/help)
[yes] no

What will be the IP address of your host on the private
network? 192.168.1.1 [ATTENTION CHOISIR UNE IP DE CLASSE PRIVEE]

What will be the netmask of your private network? 255.255.255.0
the following host-only networks have been defined:

. vmnet1 is a host-only network on private subnet 192.168.0.

Do you wish to configure another host-only network? (yes/no) [no] (vous pouvez créer d’autres interfaces si vous le souhaitez)

None of the pre-built vmnet modules for VMware Server is suitable for your
running kernel. Do you want this program to try to build the vmnet module for
your system (you need to have a C compiler installed on your system)? [yes]

Extracting the sources of the vmnet module.

Building the vmnet module etc..

The configuration of VMware Server 2.0.0 build-116503 for Linux for this
running kernel completed successfully.

Et voila, vous pouvez faire pareil sur l’autre serveur (si vous en avez deux 😀 )

Vous pouvez vous connecter sur l’excellente interface d’administration : https://votrededieovh:8333

Lancer la création et l’installation d’une nouvelle machine virtuelle en donnant comme interface réseau, l’interface Host-only VMNET1.

(je ne parle pas du fonctionnement de VMware server ici, Google vous rapportera pleins de tutos 🙂 )

  • Configuration du réseau

On commence par activiter le forwarding entre vos cartes réseaux (en l’occurence etho et vmnet1 ici) :

/bin/echo « 1 » > /proc/sys/net/ipv4/ip_forward

(n’oublier pas de le mettre en dur dans votre /etc/sysctl.conf : sysctl net.ipv4.ip_forward=1)

Puis le proxy ARP :

echo "net.ipv4.conf.vmnet1.proxy_arp=1" >> /etc/sysctl.conf && sysctl -p

Sur la machine virtuelle, on configure notre ipfailover et/ou notre ip bloc RIPE :
/etc/network/interfaces :

iface eth0 inet static
address 91.x.x.x
netmask 255.255.255.240
broadcast 91.x.x.x
post-up /sbin/route add default dev eth0
Pour une IP bloc RIPE (voir les infos que vous donne OVH pour le netmask et le broadcast lorsque vous commander votre bloc ip ou utiliser l’excellent « sipcalc » pour calculer vos masques/reseau 😀 )

Pour un ipfailover (a adapter a votre ipfailover):

auto eth0
iface eth0 inet static
address 87.98.99.90
netmask 255.255.255.255
post-up /sbin/route add default dev eth0

La commande importante étant de lui spécifier eth0 comme passerelle par défaut ( /sbin/route add default dev eth0).

Sur votre dédié maintenant (le serveur VMware), il faut lui donner la route vers votre machine virtuelle :

/sbin/ip route add 87.88.89.90 dev vmnet1

Pour le rendre permanent, vous pouvez rajouter la commande dans /etc/init.d/vmware apres le chargement des modules réseaux ou vous basez sur la bidouille de Kro : http://forum.ovh.com/showthread.php?t=37645

(attention a adapter hein !!!).

EDIT : Pour l’explication détaillée pour VMWare Server 2.0, le billet de Superkikim ICI vous donnera toute satisafaction.

Voila, vous pouvez désormais pinguer le net depuis votre machine virtuelle et inversement.

(ne pas oublier le /etc/resolv.conf et tutti quanti…)

EDIT 2 : J’ai écris un billet sur la façon d’affecter une ip failover à votre VM, c’est ICI.

  • Bidouille Guiguiabloc

Bon maintenant que tout cela tourne très bien, le plus « amusant » serait de pouvoir basculer notre machine virtuelle sur notre deuxième serveur en cas de crash du premier…

Je vous préviens tout de suite, cela ne sera pas transparent 😀 VMotion n’existe pas sur VMware server 🙂 🙂

Pré-requis : la lecture du précédent billet :-p (encore), un drbd actif, un heartbeat actif et une ipfailover disponible.

On se créer un volume DRBD (j’espère que vous avez prévu un stock de partitions de libre lors de l’installation de votre dédié OVH 😀 )

en éditant notre fichier /etc/drbd.conf et on ajoute :

resource r1 { (ou r0 si c’est votre premiere ressource drbd)
protocol C;
handlers {
pri-on-incon-degr « echo o > /proc/sysrq-trigger ; halt -f »;
pri-lost-after-sb « echo o > /proc/sysrq-trigger ; halt -f »;
local-io-error « echo o > /proc/sysrq-trigger ; halt -f »;

}

startup {
degr-wfc-timeout 120; # 2 minutes.
}

disk {
on-io-error detach;

}

net {
after-sb-0pri disconnect;
after-sb-1pri disconnect;
after-sb-2pri disconnect;
rr-conflict disconnect;
}

syncer {
rate 20M;
al-extents 257;
}
on ns11111 {
device /dev/drbd1;
disk /dev/sda11;
address 192.168.20.20:7789; (attention a ne pas mettre le meme port de la ressource r0)
meta-disk internal;
}

on ns22222 {
device /dev/drbd1;
disk /dev/sda11;
address 192.168.20.30:7789;
meta-disk internal;
}
}

On se coltine les définitions Maitre/Esclave (voir billet précédent), on formate /dev/drbd1.

Sur le serveur ns11111, on monte /dev/drdb1 sur /vmfs (par exemple) et on l’ajoute au datastore :

datastore1

datastore2

Vous devriez voir votre datastore apparaitre dans la liste :

datastore3

Créer une machine virtuelle dedans ou comme moi, copier le repertoire de votre Machine Virtuelle et utilisez le « Add to Inventory » :

datastore4

On stoppe VMware, on démonte /vmfs et on inverse les roles Maitre esclave :

sur ns11111 : drbdadm secondary r1

sur ns22222: drbdadm primary r1

on vérifie que l’on voit bien tout avec un cat /proc/drbd puis on monte /dev/drbd1 sur /vmfs.

Sur le VMware server de ns22222, on refait la meme manip, déclaration d’un nouveau datastore et « AddVirtual Machine to Inventory ».

  • premier test

On se remet en environnement nomimal (vmware qui tourne sur ns11111, drbd1 en maitre et mount sur /vmfs)

On lance la VM sur ns11111.

On vérifie que tout marche bien et maintenant, simulons le crash manuellement.

– on kill -9 tout les process VMware (oui c’est crade, j’adore 😀 )

– on démonte /vmfs

– on bascule les ressources DrBD

– on lance vmware sur ns22222

– on lance la machine virtuelle.

Les soucis rencontrés sont les suivants :

L’uid disque a changer et il faut cliquer sur « i ‘ve copied it »

datastore5

Ca c’est facile a régler, vous ajouter

uuid.action = "keep"

Dans le fichier *.vmx de votre machine virtuelle 😀

Un répertoire « lock » verrouille le démarrage.

datastore6

Il suffit de faire un petit rm -rf Guiguiabloc.vmdk.lck pour que ca parte.

Donc cela marche, mais il faut automatiser tout cela.

Heureusement, il existe les commandes vmrun.

La syntaxe est la suivante :

vmrun -T server -h https://localhost:8333/sdk -u adminvmware -p motdepasse stop « [VMFS-DRBD] Guiguiabloc/Guiguiabloc.vmx »

Pour arreter la VM par exemple (je vous laisse consulter la doc VMRUN sur le site de VMware 😉 ).

Vous avez donc tout les éléments pour inclure cela dans les scripts de Heartbeat (basez vous sur les exemples du précédent billet) :

  1. bascule du DRBD et montage sur /vmfs
  2. Démarrage de VMware sur le nouveau Maître
  3. rm -r /vmfs/machinevirtuelle/machinevirtuellevmdk.lck
  4. vmrun start

Tout bête quoi 😀

Après plusieurs tests cela marche vraiment pas mal 🙂 , bien évidemment le crash du maitre entraîne le « crash » de la VM, donc elle peut repartir un peu en vrac.

C’est pour cela que je vous conseille de programmer des « Snapshots » des VM toutes les nuits (si vous ne connaissez pas, jetez vous dessus et mangez en !!! 😀 )

Au pire vous pourrez repartir sur le snapshot de la veille.

En tout cas, avec cela l’indisponibilité est de quelques minutes…

Classé dans architecture, linux | Taggé , , , , , , , | 28 Commentaires
Oct 17

Cluster Haute-Disponibilité chez OVH, avec IpFailover, Heartbeat et DRBD via IPSEC

Ecrit le 17 octobre 2008 par guiguiabloc

Ayant récemment commandé 2 serveurs dédiés chez OVH (des EG Best-of pour les curieux dont vous trouverez le détail ICI ), dans le but d’en faire un cluster Haute-disponibilité, voici un « petit » tuto et retour d’expérience.

 

Les configs qui suivent sont spécifiques à OVH pour la partie IP FailOver (ip load balancée) et la compilation du noyau pour DRBD mais le reste peut s’adapter à d’autres hébergeurs bien sûr (i.e Dedibox par exemple).

 

Je ne rentrerais pas dans le troll de pourquoi OVH et pas Dédibox, mais j’ai un « gros » faible pour OVH qui avec son Directeur Général des plus actifs, présent sur les forums (Octave Klaba aka Oles, le fils d’Henryk, le fondateur d’OVH (un chti lien), voila pour la partie People), une communauté de passionnés et des services hallucinant ont naturellement fait que je les préfère à son « concurrent » direct. Bref, je suis et connais OVH depuis sa « naissance » et ils ont prouvés depuis longtemps leur statut. Les agitateurs de l’hébergement c’est eux comme Free pour les FAI, mais cela reste ma propre opinion 🙂 , et puis tout le monde a ses défauts 🙁

 

Donc suite a l’acquisition de ses 2 serveurs, voici les contraintes que je me suis imposées :

 

  • IP virtuelle basculable d’un serveur à l’autre
  • Partition synchronisée en temps réel et utilisable par simple bascule sur un serveur ou sur l’autre
  • Interruption de service < 300 secondes
  • Automatisation de la bascule
  • Cryptage des flux réseaux entre les 2 serveurs
  • Alerte par Texto + Mail sur mon téléphone portable en cas de bascule

Bien évidemment, les surveillances Nagios des 2 serveurs ne seront pas évoqués ici, c’est de la routine 😉 (en mode nsca crypté hein 😀 )

 

Je partirai du principe que mes serveurs s’appellent ns11111 et ns22222 (nsxxxx.ovh.net étant le hostname par défaut des serveurs d’OVH, a changer bien entendu rapidement et positionner un reverse également).

On va considérer que ns11111 a l’ip 192.168..20.20 et ns22222 192.168.20.30 (c’est juste pour l’exemple hein, je vais pas mettre d’ip publiques dans le tuto 😉 vous changer par l’ip publique principale de votre serveur = eth0

On est parti, phase 1.

 

  • Configuration d’un tunnel VPN IPSEC en mode transport

Pour que les échanges d’information réseau entre les deux serveurs dédiés soient un minimum sécurisé (comprendre difficilement « sniffable »), j’ai décider de monter un tunnel VPN en IPSEC entre les deux.

Les serveurs sont sous Debian Etch. (vous adapter si vous avez un autre OS)

IPSEC autorise 2 modes de communication le mode tunnel (1 serveur/réseau vers 1 réseau) et le mode Transport (1 serveur vers 1 serveur) (en résumé hein, venez pas me saouler avec mon simplicisme 😉 )

Donc le mode transport.

apt-get install ipsec-tools

 

on se configure le /etc/ipsec-tools.conf sur les deux serveurs.

ns11111 :

 

#!/usr/sbin/setkey -f 

flush;

spdflush;

# AH

add 192.168.20.30 192.168.20.20 ah 15700 -A hmac-md5 "1234567890123456";

add 192.168.20.20 192.168.20.30 ah 24500 -A hmac-md5 "1234567890123456";

# ESP

add 192.168.20.30 192.168.20.20 esp 15701 -E 3des-cbc "123456789012123456789012";

add 192.168.20.20 192.168.20.30 esp 24501 -E 3des-cbc "123456789012123456789012";

spdadd 192.168.20.20 192.168.20.30 any -P out ipsec

           esp/transport//require

           ah/transport//require;

spdadd 192.168.20.30 192.168.20.20 any -P in ipsec

           esp/transport//require

           ah/transport//require;

ns22222 :

#!/usr/sbin/setkey -f 

flush;

spdflush;

# AH

add 192.168.20.30 192.168.20.20 ah 15700 -A hmac-md5 "1234567890123456";

add 192.168.20.20 192.168.20.30 ah 24500 -A hmac-md5 "1234567890123456";

# ESP

add 192.168.20.30 192.168.20.20 esp 15701 -E 3des-cbc "123456789012123456789012";

add 192.168.20.20 192.168.20.30 esp 24501 -E 3des-cbc "123456789012123456789012";

spdadd 192.168.20.30 192.168.20.20 any -P out ipsec

        esp/transport//require

 ah/transport//require;

spdadd 192.168.20.20 192.168.20.30 any -P in ipsec

           esp/transport//require

           ah/transport//require;

Vous remarquerez que les changements portent sur les sens de trafic.

Bien évidemment, vous changez les clés (32 octets hexadecimaux, et 48 pour les clés 3des-cbc), générable faisable facilement par un :

 

hexdump -e ‘8/2 “%04x” ‘ /dev/urandom -n 16; echo (pour les 32 caractères)

hexdump -e ‘8/2 “%04x” ‘ /dev/urandom -n 24; echo (pour 48)

 

Exemple :

hexdump -e ‘8/2 « %04x » ‘ /dev/urandom -n 16; echo
6e99170129b4bc1b774161f0c7ecf50f

la clé = 0x6e99170129b4bc1b774161f0c7ecf50f (sans les guillemets).

 

Un ping vers l’autre serveur et un tcpdump vous démontreront le cryptage effectif :

 

# tcpdump -n "host 192.168.20.30"

01:23:27.996891 IP 192.168.20.20 > 192.168.20.30: AH(spi=0x00000302,seq=0x1): ESP(spi=0x00000303,seq=0x1), length 88

01:23:27.998282 IP 192.168.20.30 > 192.168.20.20: AH(spi=0x00000202,seq=0x277ac2): ESP(spi=0x00000203,seq=0x277ac2), length 88

01:23:28.999853 IP 192.168.20.20 > 192.168.20.30: AH(spi=0x00000302,seq=0x2): ESP(spi=0x00000303,seq=0x2), length 88

01:23:29.001726 IP 192.168.20.30 > 192.168.20.20: AH(spi=0x00000202,seq=0x277ac3): ESP(spi=0x00000203,seq=0x277ac3), length 88

4 packets captured

15653 packets received by filter

0 packets dropped by kernel

 

Un petit Mémo Ipsec ICI.

 

Comme nous ne faisons que du 1 pour 1, inutile de se fatiguer à installer une gestion des clés (type isakmpd ou Racoon).

 

NB : Pour sécuriser tout cela, vous peaufiner votre Iptables pour n’accepter que du trafic Ipsec entre les deux serveurs.

 

  • DRBD

Pour ceux qui ne connaissent pas DRBD, il s’agit en résumé d’un RAID 1 sur IP. Comprendre une synchronisation de deux partitions via le réseau en mode bloc.

 

drbd

 

Je vous invite à consulter l’excellent site www.drbd.org pour en savoir plus.

 

Le noyau par défaut des serveurs OVH n’inclus pas le support des modules. Il faut donc le recompiler et également ajouter le driver Connector.

 

– Récupérer les sources du Kernel

cd /usr/src/
wget ftp://ftp.ovh.net/made-in-ovh/bzImage/linux-2.6.24.5-ovh.tar.bz2
tar -jxvf linux-2.6.24.5-ovh.tar.bz2
ln -s linux-2.6.24.5-ovh linux

– Récuperer le .config standard

wget ftp://ftp.ovh.net/made-in-ovh/bzImage/2.6-config-xxxx-std-ipv4-32
cp 2.6-config-xxxx-std-ipv4-32 linux/.config
cd linux

– Recompiler le noyau

make menuconfig (ou votre méthode préférée).

Activer le support des modules :
« Enable loadable module support » -> « Module unloading » et « Automatic kernel module loading »

Activer le kernel userspace connector:

Device Drivers —> Connector – unified userspace <-> kernelspace linker

make
make modules_install
cp arch/i386/bzimage /boot/vmlinux-2.6.24.5-xxxx-std-ipv4-32
cp Sytem.map /boot/System.map-2.6.24.5-xxxx-std-ipv4-32

Editer lilo.conf ou menu.lst de Grub pour pointer sur le bon kernel.

lilo -v -v ou grub-install hd0

Rebooter.

– DRBD

wget http://oss.linbit.com/drbd/8.0/drbd-8.0.13.tar.gz
tar xzvf drbd-8.0.13.tar.gz
cd drbd-8.0.13
cd drbd
make
cd ..
make tools
make install
make install-tools

Editer votre /etc/drbd.conf

 

(A adapter à votre configuration bien sur) :

#
# drbd.conf
#
global {
usage-count yes;
}

common {
syncer { rate 20M; }
}

resource r0 {

protocol C;

handlers {
pri-on-incon-degr « echo o > /proc/sysrq-trigger ; halt -f »;
pri-lost-after-sb « echo o > /proc/sysrq-trigger ; halt -f »;
local-io-error « echo o > /proc/sysrq-trigger ; halt -f »;
outdate-peer « /usr/lib/heartbeat/drbd-peer-outdater -t 5 »;
}

startup {
degr-wfc-timeout 120; # 2 minutes.
}

disk {
on-io-error detach;
}

net {
after-sb-1pri disconnect;
after-sb-2pri disconnect;
rr-conflict disconnect;
}

syncer {
rate 20M;
al-extents 257;
}

on ns11111 {
device /dev/drbd0;
disk /dev/sda10;
address 192.168.20.20:7788;
meta-disk internal;
}

on ns22222 {
device /dev/drbd0;
disk /dev/sda10;
address 192.168.20.30:7788;
meta-disk internal;
}
}

 

NB: Vous verrouillez le port 7788 dans Iptables bien sûr…

(en cas de soucis avec une partition prélablement créée, il suffit de passer un : dd if=/dev/zero bs=1M count=1 of=/dev/sdaX; sync )

A faire sur chacun des noeuds :



drbdadm create-md r0
modprobe drbd
drbdadm attach r0
drbdadm connect r0
cat /proc/drbd


/etc/init.d/drbd start

Sur le serveur primaire : drbdadm — –overwrite-data-of-peer primary r0

Pour suivre la synchro initiale :


cat /proc/drbd

Vous pouvez formater la partition :


mkfs.ext3 /dev/drbd0


 


Je vous invite à consulter Google pour pousser plus en avant votre compréhension de DRBD.


 


    

  • Heartbeat
    • 



 


Heartbeat est un système de prise de pouls pour un cluster (définition détaillée ICI).


Il se charge de surveiller son « confrère » et d’executer certains commandes pré-définis en cas de perte de l’un des noeuds.


Sur les 2 serveurs :


apt-get install heartbeat


 


Créer le fichier /etc/ha.d/ha.cf :


 


ucast eth0 192.168.20.30 (pour ns11111, 192.168.20.20 pour ns22222)
debugfile /var/log/ha-debug
logfile /var/log/ha-log
logfacility local0
# Délai entre deux battements de pouls
keepalive 2
# Temps nécessaire avant de considérer un noeud comme mort
deadtime 30
# délai avant d'envoyer un avertissement pour les pouls en retard
warntime 6
# deadtime spécifique pour les conf ou le reseau met du temps a démarrer
initdead 60
# port a utiliser pour la prise de pouls
udpport 694
# uname -n pour connaitre le nom des serveurs
node ns11111.ovh.net
node ns22222.ovh.net
# met la valeur on, pour master auto
auto_failback off


 


Créer le fichier /etc/ha.d/authkeys :


 


auth 1
1 md5 "supermotdepasse"
2 crc


chmod 600 /etc/ha.d/authkeys


 


La partie la plus importante maintenant, les scripts à lancer :


 


/etc/ha.d/haresources  :


ns11111.ovh.net IPaddrFO::10.10.10.10/32/eth0 drbddisk::r0 Filesystem::/dev/drbd0::/data::ext3


 


Petite explication sur cette ligne :


On spécifie tout d’abord le noeud Maître, ici ns11111.


Puis on utilise le script IPaddrFO (on va voir cela après) pour monter l’adresse IP 10.10.10.10 en masque 255.255.255.255 sur eth0


 


Puis on définie le DRBD comme Primaire et on monte la partition DRBD dans /data en type ext3.


 


Si le Maitre (ns11111) tombe, alors ns2222 devient le nouveau maitre et récupère l’adresse IP et la partition.


 


IPaddrFO est en fait une copie de /etc/ha.d/ressource.d/IPaddr que j’ai un peu modifier… (on voit cela plus bas).


 


    

  • IPFailOver
    • 



 


Chez OVH, vous avez la possibilité de disposer d’ips « failover ». Explication ICI.


 


L’ipfailover est routée sur l’un ou l’autre des serveurs selon votre choix dans le « Manager », l’interface d’administration de votre compte OVH.


 


J’ai donc tout d’abord demander une IP failover pour mon serveur ns11111.ovh.net. Cette IP est 10.10.10.10 dans mon exemple.


Elle est routée sur 192.168.20.20.


 


Et là vous me dites « ahan mais c’est nul, t’es obligé d’aller dans ton interface pour affecter la nouvelle redirection, SAPU !!! Je vais pas faire ça a la main moi !!! »


 


Et ben non, jeune Padawan, on vas automatiser tout cela grace à…. SOAP.


 


Car OVH propose des API SOAP pour attaquer directement l’interface via un script perl, php, C ou python…  Fort non ?


 


Le site est ici : http://www.ovh.com/soapi/fr/


 


Perso, j’ai choisi Python. Parce que Pyhon, SAYBIEN et pis c’est tout.


 


On a juste besoin de Python (dingue non ?) et de soappy suur les serveurs.


 


apt-get install python-soappy python


 


Le script que j’utilise :


 


ns11111-failoverupdate.py :


#!/usr/bin/python

from SOAPpy import WSDL

soap = WSDL.Proxy('https://www.ovh.com/soapi/ovh.wsdl')

#login
nic = 'monlogin-ovh'
password = 'xxxxxxx'

try:
 session = soap.login( nic, password )
 print "login successfull"
except:
 print "Error login"

#dedicatedFailoverUpdate
try:
 result = soap.dedicatedFailoverUpdate( session, 'ns11111.ovh.net', '10.10.10.10', '192.168.20.20' );
 print "dedicatedFailoverUpdate successfull";
 # your code here ...
except:
 print "Error dedicatedFailoverUpdate"

#logout
try:
 result = soap.logout( session )
 print "logout successfull"
except:
 print "Error logout"


 


ns22222-failoverupdate.py :


#!/usr/bin/python

from SOAPpy import WSDL

soap = WSDL.Proxy('https://www.ovh.com/soapi/ovh.wsdl')

#login
nic = 'monlogin-ovh'
password = 'xxxxx'

try:
 session = soap.login( nic, password )
 print "login successfull"
except:
 print "Error login"

#dedicatedFailoverUpdate
try:
 result = soap.dedicatedFailoverUpdate( session, 'ns11111.ovh.net', '10.10.10.10', '192.168.20.30' );
 print "dedicatedFailoverUpdate successfull";
 # your code here ...
except:
 print "Error dedicatedFailoverUpdate"

#logout
try:
 result = soap.logout( session )
 print "logout successfull"
except:
 print "Error logout"


 


Explication sur la ligne « soap.dedicatedFailoverUpdate » :


Le premier champ correspond au hostname OVH sur serveur sur lequel vous avez pris (comprendre commander) votre ip failover. Ici ns11111.ovh.net


Ensuite l’ip failover elle même.


Puis l’ip sur laquelle router la failover .


 


Facile non ?


 


On se modifie notre script /etc/ha.d/ressource.d/IPaddrFO (copie de IPaddr) :


A la fin :


case $2 in
  start)        /etc/ha.d/ns11111-failoverupdate.py
                ip_start $1;;
  stop)         /etc/ha.d/ns22222-failoverupdate.py
                ip_stop $1;;
  status)       ip_status $1;;
  monitor)      ip_monitor $1;;
  *)            usage
                exit 1
                ;;
esac


 


Vous inverser les scripts sur ns2222 bien sûr…


 


Vous pouvez maintenant lancer heartbeat sur ns1111 puis sur ns2222 et vous devriez voir les annonces défilaient dans le syslog et l’ipfailover monté sur ns11111 ainsi que le partition /data en DRBD.


 


Un reboot de ns11111 et l’ip failover bascule sur ns22222, la partition /data en DRBD monte et le script python force l’update du failover sur l’interface OVH.


 


Après de multiples tests, le plus long est cette mise à jour dans l’interface, dans l’ensemble les 2 serveurs mettent quelques secondes à basculer mais la mise à jour prend entre 60 et 90 secondes.


 


Ce qui entraine une indispo maximum d’1 minute 30. Ca va encore hein 😀


 


Dernière chose, l’alerte SMS 🙂


 


Alors là, je me suis pas foulé 😀 , autant utiliser les services de nos opérateurs de téléphonie mobile.


 


Etant chez SFR, je peux me créer une BAL type @sfr.fr consultable sur leur Webmail : http://sfr-messagerie.fr


 


Le petit plus de cette BAL c’est que lorsque vous recevez un email sur cette adresse, vous recevez un texto sur votre mobile avec le sujet du mail 😀


 


Il n’en faut pas plus pour être alerté par SMS en temps quasi réel.


 


On ajoute une entrée dans le /etc/ha.d/haresources (sur les deux serveurs) :


 


ns11111.ovh.net IPaddrFO::10.10.10.10/32/eth0 drbddisk::r0 Filesystem::/dev/drbd0::/data::ext3 MailTo::monadresse@sfr.fr::Alerte_Bascule


 


De plus, OVH vous envoie un email quand vous forcer l’update de l’ipfailover, si avec tout ca, vous n’etes pas informé que votre cluster à basculer…


 


Petite précision, dans ma configuration, j’empeche le serveur ns11111 de redevenir Maître automatiquement quand il revient (en cas de soucis électrique ou reboot en boucle par exemple), c’est a vous de vérifier que tout va bien sur ns1111 et de lancer un simple « /etc/init.d/heartbeat restart » sur ns22222 pour que les noeuds repassent en mode master/slave comme à l’origine.


 


Voila, une petite architecture poilue comme je l’aime 🙂


 


En espérant vous avoir apporter des idées et vous donner envie de découvrir Heartbeat et DRBD, car bien sur, dans mon exemple, je ne parle pas des relances de services type Mysql ou Apache en mode « cluster » 😉


 


EDIT : Suite aux différents tests via Ipsec, je vous conseille fortement d’utiliser l’algo AES plutot que 3DES pour l’ESP. Donc profiter la recompilation de votre noyau pour inclure le support crypto AES (désactivé par défaut dans la config OVH) et modifier vos conf ipsec-tools.conf ainsi :


add 192.168.20.30 192.168.20.20 esp 15701 -E rijndael-cbc "123456789012123456789012";


 


 


 


 

							

	
			

									
						Classé dans architecture, linux					
					|
													
						Taggé , , , , , , , , , , 					
					|
								57 Commentaires
				 
			

		


		
	


			

										

					Oct
					03
				
			
Vidéosurveillance avec webcam usb et ZoneMinder


			

				Ecrit le 3 octobre 2008 par guiguiabloc			


				

				
S’il y a bien une chose où je suis à la ramasse, c’est tout les gadgets censé composé un pc normal.


En l’occurence par exemple, une webcam.


Une petite publicité e.leclerc dans ma boîte aux lettres (celle en feraille dehors, pas l’autre la vrai…), me fit part d’une promotion sur les webcams et poussait par je ne sais quelle envie compulsive, j’ai donc fait l’acquisition d’une Logitech S 5500 pour 49 euros.


 


Logitech S5500


 


Ne me croyez pas idiot, j’ai quand même vérifier sur le nain ternet qu’elle fonctionnait sous Linux.


 


Cette webcam fonctionne avec le driver UVC V4L2 (http://linux-uvc.berlios.de/)


 


Si vous avez un kernel récent (supérieur au 2.6.26-rc9), il est inclus dedans, sinon, tout comme moi, recompiler le noyau pour intégrer le support V4L que j’avais désactiver :


 


<*> Video For Linux

       [*]   Enable Video For Linux API 1 (DEPRECATED)

       ---   Enable Video For Linux API 1 compatible Layer

       [*]   Video capture adapters  --->

       [ ]   Radio Adapters  --->

       < > DVB for Linux

       [*] DAB adapters


 


Video capture adapters

     [ ]   Enable advanced debug functionality

     [*]   Autoselect pertinent encoders/decoders and other helper chips

     [*]   V4L USB devices  --->




 


Et pis c’est tout.


 


Après c’est du standard :


svn checkout svn://svn.berlios.de/linux-uvc/linux-uvc/trunk


make
make install
rmmod uvcvideo
modprobe uvcvideo


 


Pour streamer facilement et sans bouffer les ressources CPU, il existe un excellent outil : UVCSTREAMER.


 


On récupère les sources :


svn co https://mjpg-streamer.svn.sourceforge.net/svnroot/mjpg-streamer


On s epositionne dans le bon répertoire :


cd uvc-streamer


make


cp ./uvc_stream /usr/local/bin


Et voila, vous pouvez lancer le stream :


/usr/local/bin/uvc_stream -f 1 -r 320x240 -b




l’option f = le nombre de frame par seconde


l’option r = la résolution


l’option b = en tache de fond


bref -h vous donnera toutes les options.


 


Un petit tour de navigateur sur l’ip du pc : http://ipdupc:8080


Et voila, le flux s’affiche, magique.


 


C’est rigolo mais pas assez geek…


 


Après quelques recherches sur divers forums, je découvris enfin un produit intéressant et opensource : ZoneMinder.


Je vous laisse lire la présentation succinte ICI .


 


Si vous êtes sous Debian SID, le package est présent dans les dépôts.


 


Pour les autres, comme moi, qui etes sous Etch, vous  devez vous coltiner tout à la main.


 


Les dépendances sont nombreuses (mysql5-dev, apache2, php5, pleins de modules perl etc…)


Le moyen le plus simple est de se baser sur les dépendances de SID sur http://packages.debian.org/sid/zoneminder et de l’adapter à Etch.


 


On downloade les sources ICI .


 


J’ai utiliser les option des compilation suivantes :


./configure –prefix=/opt/zoneminder –with-libarch=lib  –with-webdir=/opt/www/zm –with-cgidir=/opt/www/zm/cgi-bin –with-webuser=www-data –with-webgroup=www-data ZM_SSL_LIB=openssl


make


J’ai eu quelques soucis à la compilation, surtout dans le fichier zm_mpeg.cpp, et bourin, j’ai virer le bout de code génant dedans 🙂


 


Ensuite, on créer une base mysql et on injecte le SQL dedans :


 


cd db

mysql -u root -p -h localhost

mysql -u root -p -h localhost < zm_create.sql

mysql -u root -p -h localhost


puis


make install


 


Un petit vhost sous Apache2 dans le genre :


 


<VirtualHost 192.168.0.1:80>

ServerAdmin webmaster@localhost


DocumentRoot /opt/www/zm


<Directory />

Options FollowSymLinks

AllowOverride None

</Directory>

<Directory /opt/www/zm>

Options Indexes FollowSymLinks MultiViews

AllowOverride None

Order allow,deny

allow from all


</Directory>

ScriptAlias /cgi-bin/ /opt/www/zm/cgi-bin/

<Directory « /opt/www/zm/cgi-bin/ »>

AllowOverride None

Options ExecCGI -MultiViews +SymLinksIfOwnerMatch

Order allow,deny

Allow from all

</Directory>

</VirtualHost>


Et voila, vous pouvez lancer le bouzin :


zmpkg.pl start


La documentation est bien faite pour pouvoir vous dépatouiller :


http://www.zoneminder.com/wiki/index.php/Documentation


 


 


Le problème sur lequel j’ai passer le plus de temps, c’est la gestion directe de ma webcam par ZoneMinder.


 


Impossible de la faire marcher avec des erreurs dans tout les sens et après avoir essayer toutes les bidouilles possibles, j’ai découvert que le support V4L2 n’est pas encore supporté !!! 🙁


 


Argh… il faudra attendre la version 1.24.


 


Mais pas de soucis, ZoneMinder sait lire un flux distant.. donc celui d’UVCStreamer 😀


 


zm1


zm2


zm3


 


Un clic sur Cam01 et une fenêtre s’ouvre pour voir ce qu’il se passe en direct (mode monitor).


En mode Record, cela enregistre (dingue non 🙂 )


 


La force de ce logiciel, c’est la définition de zone dans votre flux webcam. Vous pouvez sélectionner certaines zones de surveillance et de non-surveillance et pour lequel vous établissez des actions d’alarmes (envoi d’un mail, d’un sms, enregistrement de la vidéo et transfert en FTP etc…)


 


Bref, un VRAI logiciel de Vidéosurveillance.


 


Je vous invite chaudement à consulter la page de Marcel Ryser ici : http://www.m-ryser.ch/surveillance.php


 


Savez également que ZoneMinder sait utiliser le protocole X10 (pour la domotique).


 


Bref, je n’ai pas fait tout le tour des possiblités de ZoneMinder mais il est vraiment impressionnant et les forums sont très actifs.


 


Vous pouvez mettre plusieurs webcam bien sûr et devenir le Bigbrother de votre domicile 😀  😀


 


1984


 


EDIT : Comme me le signale un visiteur, je vous rappelle que la videosurveillance est soumise aux lois en vigueur dans notre pays.


Ah ces commerciaux, ils sont très fort pour nous coller des backlinks :-p (après enquète, cette société est tellement plus intéréssée par sa pub et son CA que par l’esprit Opensource que je vire le backlink)


Si par contre, au point de vue professionnel, la vidéosurveillance vous intéresse, allez la :


http://www.entreprise-transparence.com/


Eux, ce sont des vrais, des pros, des purs 😉


 

							

	
			

									
						Classé dans geekerie, linux, matériel					
					|
													
						Taggé , , 					
					|
								15 Commentaires
				 
			

		


		
	


			

										

					Sep
					26
				
			
SSL-Explorer, une passerelle d’accès VPN a votre Intranet en 5 minutes


			

				Ecrit le 26 septembre 2008 par guiguiabloc			


				

				
Mouarf, OK, oubliez les 5 minutes mais en 1 heure je vous propose de monter une passerelle VPN vers les ressources de votre LAN,  sans installer de client sur les postes, fort hein ?


Un dessin valant toujours mieux qu’un long discours :


 


ssl-explorer


 


En fait, je ne suis pas naturellement friand de ce genre de gadget, et je préfère passer du temps a monter mes VPNs et mes ACLs blindés dans tout les sens, mais cet article fait suite à une discussion au détour d’un couloir avec mon ami Horacio, un bloggeur KIFOVOIR, une personne attachante et très sympathique et qui le plus peut le moins, mon JAVA Man à moi (avec Fred bien sûr (non non Fred, je ne t’oublie pas 😀 ).

Bref, revenons à nos moutons : permettre à nos « amis », « client », « fournrisseurs » (etc, etc, cochez la mention inutile), d’accéder à des ressources de notre LAN sans pour autant leur faire passer la sempiternelle installation du client VPN Cisco, d’OpenVPN ou de Racoon (etc, etc…)


Impossible direz-vous ? Et bien si…


 


Horacio me sort donc il y a quelques jours « bah…. avec ssl-explorer. » (dixit et sans l’accent 😉 )


Scrongneugneu, « fichtre diantre » (en langage  Fred), « tin bordel » (en langage  Guiguiabloc), je look… et surprise, ce produit est bluffant.


Je cite :


« SSL-Explorer: Community Edition was an open source SSL VPN product developed by 3SP Ltd. The solution is licensed under the GNU General Public License (GPL) and is aimed primarily at smaller businesses to fulfill a requirement for remote access to internal network resources.


It is designed to be installed upon a standalone server and allows a user to connect remotely to internal corporate resources such as intranet websites, network file shares, ‘fat client’ applications and other data via a regular web browser. From the perspective of the end user the main advantage is that they have access to the applications that they would use everyday at work through a simple web browser without needing to install dedicated VPN client software. »


 


Google tranlate pour les anglophobes (/query pour Elwina :-p)


 


Pour résumé, un « portail » en java permettant d’accéder en VPN aux applis/ressources/services/web de notre LAN depuis l’extérieur sur un simple port 443 (https) ouvert depuis votre point de connexion.


Ca tue.


 


Donc ni une, ni deux, install :


go on : http://sourceforge.net/projects/sslexplorer


 


Pour les pré-requis, ANT (apt-get install ant sur Debian, yum install ant sur les redhat like ou ce que vous voulez install ant sur votre distrib easy ou compilation depuis les sources).


 


Un JDK focntionnel. (pas un JRE hein 😉 )


NB: lors de mes premiers tests, je suis parti sur un JDK 1.6 mais ca plante grave a la compil, donc je vous recommande chaudement de télécharger le JDK 1.5 chez Sun. (vous trouvez votre bonheur LA )


 


Une fois télécharger, un chmod +x sur le fichier téléchargé, on  installe.


Un lien symbolique pour pas s’embêter : ln -s jdk1.5.0_12 java


On se modifie bien comme il faut notre .bashrc (.profile, ou tout autre fichier de conf de votre shell favori (Oui Poupinade, KSH, je sais 😉 … )


 


PATH= »/opt/java/bin:$PATH »

JAVA_HOME= »/opt/java »

export JAVA_HOME PATH


 


(enfin vous gérez suivant votre config hein 🙂 )


 


On détarreGZ l’appli :  tar xzvf sslexplorer-1.0.0_RC17-src.tar.gz ( du grec, detarrosgézèdes)


 


cd  sslexplorer-1.0.0_RC17


# ant install


et ça compil…


Au bout d’un temps variable suivant que vous ayez un pentium 233mhz de récup ou un Octo-pro Quad coeur de votre boulot, l’url de l’installer s’affiche (http://lamachinedinstall:28xxx).


Un coup de navigateur pour terminer l’installation et voila, ne reste plus qu’a lancer le service.


Je ne détaille pas l’interface d’admin qui découle de souce.


#ant run


PS: je vous invite a liancer un « ant service-install » pour compiler et installer les scripts de démarrage. Peit bémol, un bug existe sous Debian, il faut passer un chmod +x sur /opt/sslexplorer-1.0.0_RC17/sslexplorer/install/platforms/linux/x86/wrapper


 


un /etc/init.d/sslexplorer start ou un ant run lancera le programme.


J’ai juste créer pour mon test un accés web (via Web-forward) sur un site web interne a mon LAN, en l’occurence, mon wiki.


Connexion sur https://serveurssl et on s’identifie en tant qu’admin. (suivant ce que vous avez renseigné à l’installation).


J’ai créer tout de suite un utilisateur lambda.


Puis on clique sur « Web-forward » :


 


wf1


wf2


wf3


wf4







 


 


On se déconnecte et on se reloggue sous l’utilisateur Lambda :


 


wf5


 


Le lien apparait, on clic dessus et un ssl-explorer-agent (en java) s’installe sur votre pc (le client doit avec un Jre quand même 😉 ).


Et une nouvelle fenêtre s’ouvre :


 


wf6


 


Magique 😀 😀


 


Vous pouvez « publier » ainsi des partages Windows, des accès FTP, des tunneling SSL sur tout les ports que vous souhaitez, bref, je vous laisse jeter un oeil à ce produit qui a d’immenses possibilités.


 


EDIT : 3SP, la société qui a développer SSL-Explorer offrait gracieusement 1 licence pour 2 user simultanées pour son edition Entreprise. Malheureusement, depuis plusieurs semaines, le lien direct depuis l’interface d’admin de SSL-Explorer ou l’accès direct à  http://3sp.com/en/free-sslx-license/ nous amène irrémédiablement à une page « Not Working »…


C’est bien dommage et surtout un manque de tac incompréhensible. Que le produit existe en OpenSource dans sa version Community, c’est très bien et remarquable, mais dire qu’on offre 1 licence pour 2 utilisateurs (ce qui convient à la majorité des geeks que nous sommes) et ne pas tenir ses engagements, je trouve cela plus que moyen…


Coup de gueule donc, ce soir, sur l’attitude un peu sournoise de 3SP qui, au moins, pourrait communiquer sur ce sujet…


 


 


 

							

	
			

									
						Classé dans architecture, réseau, sécurité					
					|
													
						Taggé , , 					
					|
								4 Commentaires