Re: Automatiser la configuration initiale de machines physiques
Docker à toute les sauces ... ce n'est pas adapté à la quasi majorité des productions IT des entreprises. Pour la simple et bonne raison c'est qu'on voit des clients utiliser des images docker comme des VM, ils n'intègrent pas le côté éphémère d'une image docker. Il faut en créer une nouvelle, migrer et détruire l'ancienne pour faire les maj et ça leur passe des km au dessus de la tête. En audit sécurité on arrive à des cas d'école croustillants, un gros serveur dédié avec tout en docker dessus, la prod, prep, rec, dev du site de prod, la compta, le crm, le partage de fichier, le mattermost, ... en ayant accès à un docker on a réussit à se connecter à tous les autres, quand on leur a sorti des infos de leur partage de fichier ils étaient choqués. Docker en production c'est fait pour ceux qui font du vrai déploiement continu avec test unitaires obligatoires, où les images sont reconstruites tous les 3 à 5 jours max, mieux c'est quand on maintient ses propres images car l'image d'un dev tout seul qui part en vacances ou se plante en moto et est arrêté 6 mois ou laisse tomber le projet car pas le temps et tout le monde l'utilise en prod en pensant que c'est à jour c'est du déjà vu. Docker les seuls personnes qui font cela sérieusement c'est ceux qui font des clusters par env et par type d'instances. Une DMZ = un cluster de prod pour tel service (DB ou web ou ...). Là oui c'est sérieux et arriver à entrer sur un docker est déjà fortement improbable par la configuration réseau autour. Bref Docker c'est génial sur son poste ou sur une dev / rec collective mais en prod vu le manque de temps / moyens de la quasi globalité des pros, autant mettre une VM ou un dédié géré avec Ansible ou à la main pour les plus artisants, ils ont plus de supervision et de remontée et savent faire un upgrade de l'os de temps en temps. Le 14/12/2018 à 01:56, Florian Blanc a écrit : > https://kubernetes.io/ > > Le mar. 11 déc. 2018 à 22:24, Étienne Mollier > mailto:etienne.moll...@mailoo.org>> a écrit : > > Bonjour Olivier, > > TL;DR: Si TFTP est un problème parce que le WAN est très morcelé > et cloisonné, alors peut-être que preseed sera plus adapté à > votre environnement. Mais n'ayant pas travaillé avec preseed, > je ne me rend pas compte de la charge de travail qu'il > représente, en terme de déploiement et maintenance. > > Olivier, au 2018-12-11 : > > 1. Je trouve preseed extrêmement difficile à maîtriser. FAI > > simplifie-t-il les choses à cet égard ? > > Étant tombé dans FAI étant petit, je n'ai pas pris le temps de > m'intéresser à preseed et aurai du mal à répondre. N'ayant que > survolé la page de Wiki, je serais à côté de la plaque si je me > risquait à répondre : > > https://wiki.debian.org/DebianInstaller/Preseed > > Le déploiement initial de FAI demande beaucoup de travail avant > d'arriver à la première installation selon le modèle voulu. Une > fois que le système roule, l'ajout de nouvelles configurations > se fait sans trop de difficultés, pour peu que le résultat voulu > soit bien défini par le demandeur, et l'ajout de nouvelles > machines au parc existant est trivial. > > Il est éventuellement possible de maintenir la configuration des > machines avec fai-update, mais ça sous-entend de respecter le > caractère idempotent des scripts (si c'est déjà fait, le > résultat doit être le même), ce qui peut rapidement ne plus être > le cas, au fur et à mesure que le temps passe. Une solution > comme Ansible serait préférable pour maintenir la configuration > après installation. > > > 2. Est-il exact de penser que FAI est adapté une installation > > sur un réseau local, pas sur un WAN, à cause de l'utilisation > > de TFTP ou bien est-ce inexact ? > > S'il n'y a que deux ou trois réseaux à gérer, il y a moyen de se > rattraper avec des relais. Mais si le WAN est très morcelé, > cette configuration devient ingérable. En effet il faudra > prévoir un serveur TFTP local par réseau, pour distribuer les > noyaux, initrd et options de démarrage adéquates. L'export du > NFS root aura peut-être besoin d'être revus, ainsi que les > règles de pare feux. Avoir un réseau dédié à l'administration > peut aider dans ce cas. > > Sinon, il est aussi possible de se rattraper avec fai-cd, pour > produire une ISO à partir de la configuration existante, à > coller sur une clé USB sur laquelle démarrer, et qui va > configurer la machine proprement, sans avoir besoin du moindre > réseau. L'ajout de nouvelles configurations au serveur FAI va > nécessiter de régénérer les clés, ce qui rend la solution moins > souple. Peut-être qu'à ce stade preseed sera plus simple que de > gérer la quasi-totalité du parc avec fai-cd. > > Si à cause de la limitation inhérente à TFTP, vous considéreriez > fai-cd pour l'essentiel de votre parc,
Re: Automatiser la configuration initiale de machines physiques
https://kubernetes.io/ Le mar. 11 déc. 2018 à 22:24, Étienne Mollier a écrit : > Bonjour Olivier, > > TL;DR: Si TFTP est un problème parce que le WAN est très morcelé > et cloisonné, alors peut-être que preseed sera plus adapté à > votre environnement. Mais n'ayant pas travaillé avec preseed, > je ne me rend pas compte de la charge de travail qu'il > représente, en terme de déploiement et maintenance. > > Olivier, au 2018-12-11 : > > 1. Je trouve preseed extrêmement difficile à maîtriser. FAI > > simplifie-t-il les choses à cet égard ? > > Étant tombé dans FAI étant petit, je n'ai pas pris le temps de > m'intéresser à preseed et aurai du mal à répondre. N'ayant que > survolé la page de Wiki, je serais à côté de la plaque si je me > risquait à répondre : > > https://wiki.debian.org/DebianInstaller/Preseed > > Le déploiement initial de FAI demande beaucoup de travail avant > d'arriver à la première installation selon le modèle voulu. Une > fois que le système roule, l'ajout de nouvelles configurations > se fait sans trop de difficultés, pour peu que le résultat voulu > soit bien défini par le demandeur, et l'ajout de nouvelles > machines au parc existant est trivial. > > Il est éventuellement possible de maintenir la configuration des > machines avec fai-update, mais ça sous-entend de respecter le > caractère idempotent des scripts (si c'est déjà fait, le > résultat doit être le même), ce qui peut rapidement ne plus être > le cas, au fur et à mesure que le temps passe. Une solution > comme Ansible serait préférable pour maintenir la configuration > après installation. > > > 2. Est-il exact de penser que FAI est adapté une installation > > sur un réseau local, pas sur un WAN, à cause de l'utilisation > > de TFTP ou bien est-ce inexact ? > > S'il n'y a que deux ou trois réseaux à gérer, il y a moyen de se > rattraper avec des relais. Mais si le WAN est très morcelé, > cette configuration devient ingérable. En effet il faudra > prévoir un serveur TFTP local par réseau, pour distribuer les > noyaux, initrd et options de démarrage adéquates. L'export du > NFS root aura peut-être besoin d'être revus, ainsi que les > règles de pare feux. Avoir un réseau dédié à l'administration > peut aider dans ce cas. > > Sinon, il est aussi possible de se rattraper avec fai-cd, pour > produire une ISO à partir de la configuration existante, à > coller sur une clé USB sur laquelle démarrer, et qui va > configurer la machine proprement, sans avoir besoin du moindre > réseau. L'ajout de nouvelles configurations au serveur FAI va > nécessiter de régénérer les clés, ce qui rend la solution moins > souple. Peut-être qu'à ce stade preseed sera plus simple que de > gérer la quasi-totalité du parc avec fai-cd. > > Si à cause de la limitation inhérente à TFTP, vous considéreriez > fai-cd pour l'essentiel de votre parc, alors /peut-être/ que > votre temps serait mieux investit à l'étude de preseed. > > Si toutefois FAI vous intéresse toujours, la liste de diffusion > peut être d'un grand secours, quand vous allez buter sur des > écueils lors du déploiement : > > http://fai-project.org/mailinglist/ > https://lists.uni-koeln.de/pipermail/linux-fai/ > > > > PS: Désolé pour le temps mis pour réagir aux messages mais > > j'ai été happé par d'autres priorités. > > Ce n'est pas bien grave, on a tout notre temps sur la liste des > utilisateurs de Debian. :^) > > Amicalement, > -- > Étienne Mollier > > >
Re: Automatiser la configuration initiale de machines physiques
Bonjour Olivier, TL;DR: Si TFTP est un problème parce que le WAN est très morcelé et cloisonné, alors peut-être que preseed sera plus adapté à votre environnement. Mais n'ayant pas travaillé avec preseed, je ne me rend pas compte de la charge de travail qu'il représente, en terme de déploiement et maintenance. Olivier, au 2018-12-11 : > 1. Je trouve preseed extrêmement difficile à maîtriser. FAI > simplifie-t-il les choses à cet égard ? Étant tombé dans FAI étant petit, je n'ai pas pris le temps de m'intéresser à preseed et aurai du mal à répondre. N'ayant que survolé la page de Wiki, je serais à côté de la plaque si je me risquait à répondre : https://wiki.debian.org/DebianInstaller/Preseed Le déploiement initial de FAI demande beaucoup de travail avant d'arriver à la première installation selon le modèle voulu. Une fois que le système roule, l'ajout de nouvelles configurations se fait sans trop de difficultés, pour peu que le résultat voulu soit bien défini par le demandeur, et l'ajout de nouvelles machines au parc existant est trivial. Il est éventuellement possible de maintenir la configuration des machines avec fai-update, mais ça sous-entend de respecter le caractère idempotent des scripts (si c'est déjà fait, le résultat doit être le même), ce qui peut rapidement ne plus être le cas, au fur et à mesure que le temps passe. Une solution comme Ansible serait préférable pour maintenir la configuration après installation. > 2. Est-il exact de penser que FAI est adapté une installation > sur un réseau local, pas sur un WAN, à cause de l'utilisation > de TFTP ou bien est-ce inexact ? S'il n'y a que deux ou trois réseaux à gérer, il y a moyen de se rattraper avec des relais. Mais si le WAN est très morcelé, cette configuration devient ingérable. En effet il faudra prévoir un serveur TFTP local par réseau, pour distribuer les noyaux, initrd et options de démarrage adéquates. L'export du NFS root aura peut-être besoin d'être revus, ainsi que les règles de pare feux. Avoir un réseau dédié à l'administration peut aider dans ce cas. Sinon, il est aussi possible de se rattraper avec fai-cd, pour produire une ISO à partir de la configuration existante, à coller sur une clé USB sur laquelle démarrer, et qui va configurer la machine proprement, sans avoir besoin du moindre réseau. L'ajout de nouvelles configurations au serveur FAI va nécessiter de régénérer les clés, ce qui rend la solution moins souple. Peut-être qu'à ce stade preseed sera plus simple que de gérer la quasi-totalité du parc avec fai-cd. Si à cause de la limitation inhérente à TFTP, vous considéreriez fai-cd pour l'essentiel de votre parc, alors /peut-être/ que votre temps serait mieux investit à l'étude de preseed. Si toutefois FAI vous intéresse toujours, la liste de diffusion peut être d'un grand secours, quand vous allez buter sur des écueils lors du déploiement : http://fai-project.org/mailinglist/ https://lists.uni-koeln.de/pipermail/linux-fai/ > PS: Désolé pour le temps mis pour réagir aux messages mais > j'ai été happé par d'autres priorités. Ce n'est pas bien grave, on a tout notre temps sur la liste des utilisateurs de Debian. :^) Amicalement, -- Étienne Mollier
Re: Automatiser la configuration initiale de machines physiques
Le lun. 19 nov. 2018 à 20:09, Étienne Mollier a écrit : > > > http://fai-project.org/ > http://fai-project.org/fai-guide/ > > > Bonjour Étienne, Merci pour ces conseils. En effet semble une solution intéressante, d'autant que de mémoire, pas mal de machines bootent par défaut par le réseau. Il me reste plusieurs questions: 1. Je trouve preseed extrêmement difficile à maîtriser. FAI simplifie-t-il les choses à cet égard ? Je pense en particulier au partitionnement des disques. 2. Est-il exact de penser que FAI est adapté une installation sur un réseau local, pas sur un WAN, à cause de l'utilisation de TFTP ou bien est-ce inexact ? Slts PS: Désolé pour le temps mis pour réagir aux messages mais j'ai été happé par d'autres priorités.
Re: Automatiser la configuration initiale de machines physiques
Olivier, au 2018-11-19 : > J'utilise intensivement des machines virtuelles KVM pour > mettre au point la configuration de serveurs physiques. > Le serveur host KVM est sous Debian Stretch (pas > d'environnement graphique). > Les cibles sont aussi sous Debian Stretch et sans > environnement graphique. > > Je procède en rédigeant un script d'installation que j'adapte > et relance régulièrement sur une machine virtuelle. > Quand j'estime que ce script est au point : > 1. je lance l'installeur Debian sur mon serveur physique avec > un partitionnement standard > 2. je modifie le partitionnement standard avec une clé > RescueCD (*) > 3. je copie mon script d'installation sur mon serveur physique > 4. je lance mon script d'installation en corrigeant les > éventuelles erreurs résiduelles. [...] > J'aimerai améliorer ce processus particulièrement sur les > étapes 1 et 2 au terme desquelles je dispose d'une machine > physique [...] > Qu'en pensez-vous ? > Que conseillez-vous ? Bonsoir Olivier, À vous lire, et si vous avez à maintenir plus de machines physiques que vous ne pouvez en compter avec vos doigts, qui plus est, des machines qui se ressemblent comme deux goûtes d'eau, alors je pense que vous êtes mûr pour un déploiement de serveur FAI (Fully Automated Installation) : http://fai-project.org/ http://fai-project.org/fai-guide/ Avant installation, vous allez définir une ou plusieurs classes de machines. Une arborescence d'exemple est disponible pour vous mettre le pied à l'étrier ; elle vous sera recommandée lors de la configuration de l'infrastructure, après installation des paquets. Pour procéder à une installation, vous allez démarrer vos machines physiques via PXE, le système de base pour l'installation sera fourni par une racine NFS depuis votre serveur FAI, racine qui hébergera également des scripts qui se lanceront automatiquement dans cet environnement dédié à l'installation. Le déroulé de l'installation sera journalisé et envoyé via SSH au serveur FAI à la fin de l'installation. La machine reste joignable en cours d'opération et des options peuvent être passées pour ouvrir l'accès aux terminaux annexes, pendant les phases de débogage de vos classes. Les classes de machines peuvent être assez longues à mettre au point, mais une fois qu'un script d'installation est rodé, des grappes de machines entières peuvent être installées en assez peu de temps. Voilà ce que j'en pense et ce que je vous conseille, en particulier vis-à-vis de l'amélioration des points 1 et 2 ; c'est similaire au preseed, mais sous stéroïdes. Si c'est pour une poignée de machines qui ne sont réinstallées que très occasionnellement, alors c'est peut-être un peu surdimensionné par contre. Amicalement, -- Étienne Mollier