SME sous VMWARE mais à moitié...

[nusa]

Bonjour,

Voici l'idée qui est peut être est stupide, à votre avis? Je virtualiserais bien ma SME mais en plaçant mes données sur un disque physique.

Je m'explique, j'ai un serveur (Debian + Vmware server). J'ai créé une machine virtuelle pour SME avec un disque virtuelle. Sur mon serveur j'ai ajouté un beau disque SCSI de 146 Go, partitonnement et formatage en une seule partition en EXT3. Je l'ai ajouté à ma machine virtuelle SME en me disant que je déplacerais bien mes données dessus comme expliqué ici.

Vous me direz : mais pourquoi faire simple quand on peut faire compliqué???

2 raisons à cette installation :

- je pourrais faire mes upgrade SME en toute tranquillité, un snapshot avant le yum-upgrade, si problème on reviens en arrière.
- mes données sur un "vrai" disque : en cas de problème sur la machine virtuelle j'ai mes données dispo.


Qu'en pensez vous?

Nusa

[unnilennium]

c'est un choix personel qui est techniquement faisable depuis vmware.


l'idée est interessant car elle permet:
1 modifier le disque et sa taille sans intervenir sur le systeme.
2 faire une snapshot sans les données.

attention toutefois aux points de montages:
- si la mise a jour créé une grosse modification des dossiers utilisateurs et des ibays (rare mais autant l'imaginer) il n'yaura pas de snapshot de ca ... il faudra faire une reconfiguration des dossiers un a un pour revenir en arriere.

[Gaston]

Bsoir,
c'est une configuration que je trouve très correcte : on a pas besoin de 30GB pour le système et sécurisante (genre séparation de l'église et de l'état). Je l'ai fait sur du non virtuel, alors pourquoi pas avec du vmware.

attention toutefois aux points de montages:

tout à fait , il faut bien comprendre ce qui est / doit rester du système (db, users, ...) et ce qui est de la pure donnée

- si la mise a jour créé une grosse modification des dossiers utilisateurs et des ibays (rare mais autant l'imaginer)

euh tu penses à quelque chose de particulier là ? tu me fais peur. Si il font ça c'est criminel, autant j'arrive à imaginer qu'ils puisse modifier la partie système, autant si ils attaquent les données on va plus être copain moi et contribs . Je ne vois que trois modif possibles : user, group et quota et aucune ne me pose de problèmes de retour arrière ...
G.

[unnilennium]

j'ai comme souvenit entre la 6.0 et la 7.0 le changement des caractères spéciaux pour les dossier IMAP de ";" à "."
Aprés on peut imaginer l'apparition d'un nouveau sous dossier html chez les users ou je ne sais quoi ...


Rien de bien méchant quand on le remarque Non ca ne peut pas être de gros truc mais mieux vaut savoir que ca peut arriver que de se dire mon systeme de snapshot est imparable.

[nusa]

bon ok, l'idée n'est donc pas trop délirante. Je maquette ça la semaine et on verra le résultat.


Nusa

[jibe]

Salut,

Attention : si le montage est parfaitement correct du point de vue fonctionnement, cela ne change rien au niveau de la sécurité. Et de ce point de vue, SME sous VMWare, ça reste pas top... Déconseillé pour un serveur en prod !

[sibsib]

hey Jibé,

Je ne suis pas tout à fait d'accord avec ce propos. Mais je ne dis pas non plus l'inverse

Plutôt :

Sur une solution de type ESX (= un OS qui sert juste à charger les images virtuelles, ou pour faire dans le vent un "hyperviseur"), le système SME n'est pas vraiment en danger, et encore, s'il l'est, c'est parce que le serveur VMware est attaqué, et donc le loup est déjà dans la bergerie.

Si on installe SME sur un serveur classique, il faut être particulièrement conscient qu'une perturbation de l'hôte peut amener evidemment une perturbation de l'invité

Cependant, et c'est ce que je constate tous les jours avec certains de nos admins, la gestion de machines virtualisées demande une gymnastique cérébrale supplémentaire.

Donc, oui, un serveur SME sous VMware en prod, il faut en prendre soin, mais je ne connais pas de réelle fragilité supplémentaire.

Après se pose un problème 'intellectuel' :

VMware assure l'isolation en terme de sécu entre les machines virtuelles. Si sous avez un parc disons de 50 serveurs virtuels dans une infra VMware et qu'un trou de sécu est trouvé qui permet à un quidam de passer de machine en machine, vous êtes 'mal'. Selon votre activité, vous pouvez choisir de faire l'impasse sur ce genre d'architecture à cause de ce risque potentiel. Là, "c'est vous qui voyez"

A+,
Pascal

[jibe]

Salut,

Mais il m'en veut aujourd'hui
Bon, encore un coup tu as raison ! J'ai généralisé sur des cas particuliers, et effectivement il y en a d'autres où le montage peut être sécure... Merci de l'avoir rappelé

[nusa]

Bonjour,

Personnellement un serveur Vmware doit être dédié à sa tâche d'hôte, ce qui est encore plus vrai avec un ESX mais une Debian avec Vmware Server dessus, et juste ça, je pense que ça doit le faire.

On m'a toujours dit sous Unix une tache => un process ou un soft donc une tache => un serveur.

Nusa

[jibe]

Salut,

On m'a toujours dit sous Unix une tache => un process ou un soft donc une tache => un serveur.

Effectivement. Mais on a vu des cas où ce principe n'était pas respecté, et la virtualisation rendait l'ensemble encore moins sécurisé. Mais si tu t'en tiens au principe que tu énonces, comme l'a souligné sibsib c'est tout à fait bon.

On m'a toujours dit sous Unix une tache => un process ou un soft donc une tache => un serveur.

... ce que ne respecte pas SME qui est une solution tout-en-un. Pourtant, c'est une distrib parfaitement fiable, dans les limites prévues de son utilisation bien sûr. Comme quoi, toute théorie doit être nuancée par la pratique

[sibsib]

Salut,

Mais il m'en veut aujourd'hui

Meeeuuuhhh non

C'est juste des dialogues constructifs

A+,
Pascal