Академический Документы
Профессиональный Документы
Культура Документы
Juin - 2011
Objet du stage 4 Les objectifs communs 4 I/ Prsentation fondamentale Quest-ce que la virtualisation 5 1) Dfinition 5 2) Historique 5 3) Fonctionnement dun systme dexploitation 6 4) Les diffrents types de virtualisation 7 4) 4) 4) 4) A/ Virtualisation complte 8 B/ Paravirtualisation. 9 C/ Les systmes Hyperviseur 9 D/ Le cloisonnement 10
5) Pourquoi Virtualiser ? 11 II/ Etude thorique et comparative 1) Principe 13 2) Modles existants 14 3) Etude du march et valuations 15 4) Virtualisation du poste de travail 16 5) Comparatif de ESX et XEN 17 6) Connexion brocker 18 7) Authentification de lutilisateur 18 8) Gestion des pools de machines virtuelles 19 9) Allocation automatique des machines virtuelles 20 10) La virtualisation dapplications 21 10) A/ Virtualisation du logiciel GNS3 22 10) B/ (1) ) Compilation du package 24 10) B/ (2) ) Utilisation de cette mthode au CHA 24
1/2
Table
des
Matires
III/ Retours dexpriences & Tches ralises 1) Phase de mise en production des clients lgers 25 2) Lenvironnement informatique du C.H.A25 3) Engagement financier et rentabilit 25 4) Mise en production, dploiement initial cibl 25 5) Problme rencontr et raisonnements dialectiques 26
associs
Hte rseau 26 Rseau 26 Applications 27 Origine des latences 27 La solution 27 Prsentation et principe de VMware vShield 28 6) Maquette dun environnement client-serveur, de type VMware vSphre 29 6)(1)\Quest-ce que VMware vSphre ? 23 6)(2)\Virtualisation complte dun systme dexploitation Hyperviseur 30 7) Points important non-abords 30
2/2
Table
des
Matires
Juin 2011
1/31
M. Gilbert Casanova, mon tuteur de stage, qui a su mintgrer au sein de son quipe ds le premier jour. Notamment lors des transmissions de comptences entre les ingnieurs des entreprises externes (IT-med1, Trend France2) soustraitant le projet, et les ingnieurs du service informatique. Jai pu avoir accs lensemble des documents officiels du projet comme lappel doffre de lhpital et la rponse de Systemat3. M. Pierre Sun, ingnieur du service informatique, qui ma fourni toutes les informations relatives au cur de rseau de lhpital, et qui a fait preuve de beaucoup de pdagogie dans ses explications notamment sur le packaging4 des applications des divers services de lhpital sous Thinapp5. M. Marc Sarkissian, galement ingnieur du service informatique, que je tiens tout particulirement remercier pour sa constante disponibilit et ses explications abouties. Enfin, je souhaite remercier M. Raphal Julmy, ingnieur IT-med, pour navoir fait aucune diffrence entre le statut des ingnieurs du service informatique et mon statut dtudiant stagiaire lors des transmissions de comptences. Sans oublier, lquipe de Trend Micro France, pour avoir rpondu mes questions pendant leurs interventions au sein du service.
Ambition du Rapport.
Lobjectif de mon compte-rendu est de rendre accessible la comprhension du fonctionnement dune architecture virtuelle, via une tude thorique graduelle ainsi quun retour dexprience sur la mise en production de celle-ci, dans un environnement critique.
1 2 3 4
Entreprise (matre d' uvre de 6 personnes ayant rcupre le projet, suite au dpt de bilan de Systemat. Editeur du logiciel Anti-Virus Trend-Micro. Systemat est l entreprise qui a t retenu au lancement de l appel d offre de l hpital. Consiste gnrer un excutable (fichier.exe, ou .dat partir du programme d origine, isolant l application Logiciel de packaging propritaire VMware.
Juin 2011
2/31
Avant-propos.
Prsentation de lhpital et de son service informatique.
En 1965 Edmond Garcin, Dput, Conseiller Gnral, entame son premier mandat de maire dAubagne. Le chantier de l'hpital est lanc. Le 14 dcembre 1971 l'ensemble hospitalier est inaugur. Grace une action permanente dEdmond Garcin, lhpital voit sa superficie augmente et ses quipements se trouvent la pointe de la technologie moderne. Depuis le Centre Hospitalier a t rgulirement entretenu et modernis. Le service informatique de lhpital est responsable de lexploitation du rseau, du commutateur principal situ au local technique, jusquau poste de lutilisateur final situ dans les services hospitaliers (pdiatrie, urgence, maternit, accueil, laboratoire). Voici lquipe qui constitue le service informatique :
Organigramme du service informatique du C.H.A (Centre Hospitalier dAubagne) Depuis 3 annes, les restrictions budgtaires ne cessent daugmenter pour le service public, (gels des salaires, dparts non remplacs, manque de personnels, matriel vieillissant). Cest pourquoi en 2009, le C.H.A a lanc un appel doffre pour le renouvellement de son infrastructure informatique vieillissante et onreuse, vers la technologie qui rpond lensemble de ces problmes : La virtualisation des serveurs et des postes de travail, avec terme un nouveau cur de rseaux totalement redond.
Objet du stage.
Ma prsence au sein de ce service reflte une volont de mettre en place un certain nombre de dispositifs lis aux nouvelles technologies dinfrastructures informatiques, notamment la virtualisation du parc informatique de lhpital. Pour moi, il sagissait dans un premier temps dtre aux cts de Pierre et de Marc, et de participer la mise en place des clients lgers6 en test, aux urgences et laccueil. Ensuite, mon objectif a t de faire une tude concrte du choix et de la mise en uvre dune telle infrastructure dans un milieu hospitalier, sachant que lobjectif final pour lhpital est une virtualisation totale de son parc. Soit 440 postes clients lgers, 950 utilisateurs dont 900 profils uniques, et 50 groupes de travail globaux Active-Directory7 sur 4 annes.
Il est galement important de mettre en avant le caractre bnfique de ce stage pour ma future poursuite dtude et mon projet professionnel*, ceux-ci seront directement lis avec lobjet de ce stage. Cette exprience ma permis dacqurir une connaissance thorique solide dans la mise en uvre dune infrastructure virtuelle9, et des notions pratiques.
sens matriel, un client lger est un ordinateur qui, dans une architecture client-serveur, n'a presque pas de
Annuaire propritaire Microsoft, rpertoriant les lments d'un rseau administr tels que les comptes des VMware, Inc. est une socit, fonde en 1998, qui propose plusieurs produits propritaires lis la virtualisation de ressources informatiques potentiellement partages, distribues, htrognes, dlocalises et
utilisateurs, les serveurs, les postes de travail, les dossiers partags et les imprimantes.
8
d'architectures x86. C'est aussi par extension le nom d'une gamme de logiciels de virtualisation.
9 Ensemble
autonomes.
Juin 2011
4/31
I/ Prsentation fondamentale.
Quest-ce que la virtualisation ? 1) Dfinition.
De manire gnrale, la virtualisation : Cest lensemble des techniques matrielles et/ou logicielles qui permettent de faire fonctionner sur une seule machine plusieurs systmes dexploitation et/ou plusieurs applications, sparment les uns des autres, comme sils fonctionnaient sur des machines physiques distinctes.
2) Historique.
La virtualisation est une technologie qui suscite beaucoup dintrt depuis quelques annes au sein des entreprises et depuis peu chez un public de particuliers. Cependant cette technologie nest pas nouvelle comme nous nous prtons le croire, celle-ci remonte au dbut de linformatique. En effet lide de faire fonctionner plusieurs programmes simultanment sur une mme machine date des annes 50. Ce concept innovant avait pour but de partager les ressources matrielles de la machine entre toutes les applications. Cette notion de partage de ressources se nomme le time sharing ou temps partag et se rapproche du concept de virtualisation que lon connait aujourdhui. Cest Christopher Strachey qui est le premier introduire le principe de Time Sharing, en Juin 1959, dans une confrence internationale sur le traitement de linformation lUNESCO. En 1965, le centre de recherche dIBM dveloppe un projet nomm M44/44X. Le but de ce projet tait dtudier le concept novateur du time-sharing . En 1967, lide de virtualisation matrielle est dveloppe. Ce modle virtualise toutes les interfaces matrielles via la Virtual Machine Monitor (VMM). Le systme dexploitation est le TSS (Time-Sharing System) aussi appel le superviseur. Cest le premier systme de virtualisation complte. Au dbut des annes 2000, la socit VMware dveloppe et popularise un systme propritaire de virtualisation logicielle des architectures du type. Cependant larchitecture IA-32 (x8610) posait quelques problmes de gestion des instructions en fonction du niveau de privilge utilis par le systme hte. Cest pour cette raison quen 2006 AMD et Intel, les deux fondateurs-leader du march du processeur x86, ont repens larchitecture de leurs puces pour une meilleure prise en charge des instructions lies la virtualisation. Cest ce que lon nomme la virtualisation matrielle .
10
La norme x86 regroupe les microprocesseurs compatibles avec le jeu d'instructions de l'Intel 8086 . Cette
srie est nomme IA-32 (pour Intel architecture 32 bits par Intel pour ses processeurs partir du Pentium.
Juin 2011
5/31
Le gestionnaire de la mmoire est un composant fondamental appartenant au noyau12 du systme dexploitation. Sa tche, est dallouer et librer de la mmoire des processus lorsquils en ont besoin (applications et systme dexploitation). Quand la RAM vient manquer, le systme peut utiliser une partie du disque dur comme extension de mmoire (le swap ). Le disque dur est toutefois beaucoup plus lent que la RAM, aussi le gestionnaire de mmoire essaie den limiter lusage. Toutefois, le systme dexploitation na pas le contrle direct sur la gestion de la mmoire au niveau physique. Ce rle est dvolu au processeur. Cest donc par le jeu dune interaction complexe entre le systme dexploitation (qui gre la RAM au niveau logique) et le processeur (niveau physique) que se droule lexcution dun programme. Le programme est interprt par le processeur, puis compos dune suite doprations lmentaires nommes instructions . Ces instructions consistent principalement en des demandes daccs la RAM, des oprations mathmatiques et des appels spcifiques au matriel (carte graphique, carte rseau, clavier, cran, disque dur, etc.). Cette suite dinstructions lmentaires excutes dans lordre donne au final le programme, qui peut tre un programme du systme dexploitation ou un programme utilisateur.
11 12
La couche d'abstraction matrielle une couche logicielle accdant au matriel informatique. En tant que partie du systme d exploitation, le noyau fournit des mcanismes d abstraction du matriel,
notamment de la mmoire, du (ou des processeur(s, et des changes d informations entre logiciels et priphriques matriels.
Juin 2011
6/31
Le systme dexploitation a aussi pour rle de faire abstraction du matriel pour les programmes utilisateurs. Ainsi, un programme doit se comporter de la mme manire quel que soit le modle de carte rseau utilis pour communiquer, de mme pour la marque ou le type de disque dur contenant les fichiers. Cette abstraction est ralise par les pilotes des priphriques. Ces pilotes sont en gnral destins un type de matriel particulier et offrent au systme dexploitation un ensemble cohrent doprations. Par exemple, tous les pilotes de disque dur permettent de lire le contenu du disque un endroit donn et tous les pilotes de la carte rseau permettent denvoyer et de recevoir des donnes. Le systme dexploitation se repose sur les pilotes de priphrique pour apporter des couches dabstraction supplmentaires, accessibles aux programmes utilisateurs, par exemple pour la gestion des fichiers, des protocoles rseaux. Les programmes utilisateurs ne peuvent accder au matriel qu travers les couches dabstractions, assurant ainsi la cohrence du systme. Le systme dexploitation doit, pour assurer cette abstraction, avoir un accs exclusif au matriel afin de le contrler. Les systmes dexploitation sont donc conus comme sils taient les seuls accder au matriel. Il est important de retenir cette notion dexclusivit, pour mieux apprhender la notion de virtualisation. Le systme virtualis ne pourra pas accder au matriel directement, comme sil tait le seul, car cest le systme hte qui a ce rle. Il y a donc des solutions de contournement mises en place, qui varient selon les produits et les technologies utiliss. La sparation en couches du systme dexploitation fait quune grande partie du code est indpendante du matriel.
Juin 2011
7/31
4) A/ Virtualisation complte.
La virtualisation complte a pour principe dmuler13 la globalit dune machine physique. Le systme invit (systme virtualis, en surcouche du systme dexploitation natif) a lillusion de sexcuter sur une machine physique part entire. Le systme invit est alors considr comme une application standard par le systme hte. Or nous avons vu prcdemment que le systme dexploitation a une interaction trs forte avec le matriel ce qui nest pas le cas avec une application classique tel quun diteur de texte par exemple. Nous pouvons alors nous demander comment est gr, dans un systme de virtualisation complet, les changes que doit avoir lOS avec le matriel ? Pour que le systme invit puisse tre mul il est ncessaire quune couche applicative comprenne les instructions du systme invit et que celles-ci soient relayes au systme hte puis transmises aux matriels et inversement. Ce mcanisme de transcription dinstructions est ralis par la machine virtuelle. Elle mule galement pour le systme invit, le matriel standard de base ncessaire (souris, clavier, interfaces rseaux, carte graphique, etc.) La particularit de la virtualisation complte est que le systme invit nest pas modifi lors de son installation. Ce qui nest pas le cas avec dautres solutions de virtualisation que nous verrons plus tard dans le document. Il est important de noter que le matriel mul ne pourra jamais tre plus performant que le matriel disponible sur le systme hte. Seule une catgorie limite de matriel standard est propos lmulation par les machines virtuelles. Ceci pour limiter le nombre dinstructions devant tre traduites pour passer de la machine virtuelle au matriel, afin dviter des dgradations de performance trop importantes.
13
Juin 2011
8/31
4) B/ Paravirtualisation.
Ce systme est proche de la virtualisation complte car seul le systme hte un accs directe au matriel. Mais contrairement au prcdent systme, le systme invit est amlior pour traduire la machine virtuelle les actions raliser. Le systme a conscience quil sexcute dans une machine virtuelle. Cela vite la machine virtuelle de traduire tous les appels aux matriels effectus par lOS invit. Certaines sont traduites directement grce des pilotes paravirtualiss, notamment en ce qui concerne la gestion de la mmoire et des Entres/Sorties. La paravirtualisation apporte donc un gain de performance et de ractivit grce au contournement de couche dabstraction. Cette solution implique des modifications dans les systmes invits pour que ces dernires soient supportes par la machine virtuelle. Pour cela, il est donc ncessaire davoir un accs au code source et les permissions de le modifier ce qui limite son utilisation seulement quelques systmes dexploitation.
L instanciation consiste crer un nouvel objet partir d'un objet existant. Dans ce cas, installer des nouveaux
Juin 2011
9/31
Ce systme permet dassurer une rpartition efficace des ressources entre systmes de faon ce quaucun dentre eux ninflue sur les performances lautre. Pour modifier les paramtres de lhyperviseur, il est ncessaire dlire systme privilgi qui en aura la charge. Il permettra galement dinstancier nouveaux systmes invits.
les de un de
5) D/ Le cloisonnement.
Une autre pratique rpandue dans le domaine de la virtualisation est le cloisonnement. Derrire ce nom se cachent plusieurs technologies visant sparer fortement les processus sexcutant sur un mme systme dexploitation. Le cloisonnement vise isoler chaque processus dans un conteneur dont il est thoriquement impossible de sortir. Un processus isol de la sorte ne saura pas quels autres processus sexcutent sur le mme systme, et naura quune vision limite de son environnement. Le but principal de cette technologie est damliorer la scurit du systme dexploitation et des applications.
Juin 2011
10/31
6) Pourquoi virtualiser ?
Aujourdhui les services informatiques sont toujours en qute de comptitivit, ils essaient continuellement damliorer leurs productivits mais aussi de diminuer leurs cots. Cette recherche de performance se traduit souvent chez les DSI15 par ladoption de nouvelles technologies matrielles et/ou logiciels. Une des technologies qui suscite un intrt grandissant est la virtualisation . Ce n'est pas un concept nouveau, mais son omniprsence qui est plus rcente. On l'attribue ainsi tout processus touchant la virtualisation dans sa dfinition la plus lmentaire, savoir tout processus d'abstraction des ressources informatiques de leur couche matrielle sous-jacente. Bien des projets de virtualisation ont ainsi pour motivation premire de redfinir le parc matriel comme un ensemble de ressources partages, qui pourront alors tre gres de faon centralise via une interface unique. Il existe de nombreuses dfinitions du terme virtualisation , lequel est utilis pour l'infrastructure dans son ensemble ou toute composante de celle-ci. Avant de considrer la virtualisation du centre de donnes, il est capital pour une entreprise de dfinir quelle technologie ou catgorie de service elle souhaite virtualiser. Globalement, il existe trois domaines de virtualisation : le systme d'exploitation, le systme de stockage et les applications. Trs vastes, ces domaines ne dlimitent pas clairement les aspects parfois les plus pertinents de la virtualisation du centre de donnes. Dans ce rapport de stage, la virtualisation sera dune part aborde dans son ensemble, et dautre part un focus sera effectu sur la virtualisation applicative, (galement connu sous le nom de portabilit dapplications ou virtualisation de services applicatifs ). Cette procdure consiste excuter le logiciel sur un serveur distant plutt que sur l'ordinateur de l'utilisateur. Les DLL16 des programmes redirigent tous les appels de lapplication virtualise vers le systme de fichiers du serveur. Lorsque le logiciel est excut partir du serveur, aucune modification n'est apporte au systme d'exploitation de l'ordinateur local (OS17), au systme de fichiers ou au registre18.
Le Directeur des Systmes d'Information d'une organisation (entreprise, association, etc., est responsable de
15
l'ensemble des composants matriels (postes de travail, serveurs, quipements de rseau, systmes de stockage, de sauvegarde et d'impression, etc. et logiciels du systme d informations.
16 17
Dynamic Link Library, librairie de routines utilises par diffrents programmes. Un systme d'exploitation (SE ou OS en anglais pour Operating System est un ensemble cohrent de logiciels Le base de registre, est une base de donnes utilise par le systme d'exploitation Windows. Elle contient les
donnes de configuration du systme d'exploitation et des autres logiciels installs dsirant s'en servir.
Juin 2011
11/31
Les avantages de la virtualisation sont nombreux : Augmenter lespace de stockage disponible. Accs unifi aux donnes. Fiabiliser des connexions. Faciliter de gestion pour les administrateurs, centralisation des postes de travail pour les mises jour. Faciliter la gestion du parc matriel. Sinscrire dans une politique de dveloppement durable. Exemple plus spcifique : Support informatique ais du projet DPI19 qui entraine de nombreuses contraintes sur les infrastructures des systmes de communications tels que la haute-disponibilit20 des postes de travail. En effet les donnes du patient tant compltements dmatrialises, un agent hospitalier se doit daccder ces informations en 24h/24 et 7j/7 sur son poste.
19
Projet public lanc par le ministre franais de la Sant visant ce que chaque franais dispose d'un dossier
mdical informatis reprenant tout son pass et son actualit mdicale. Le projet est lanc par la loi n2004-810 du 13 aot 2004 relative l'assurance maladie. Son but est de fournir au mdecin traitant l'information la plus complte pour qu'il puisse proposer le traitement ou les examens les plus adapts et galement d'viter des redondances inutiles d'examens ou de prescriptions. Les principaux obstacles son emploi sont la scurisation des accs et la mise en
20 La
uvre.
haute disponibilit dsigne une architecture informatique, ou un service, disposant d'un taux de disponibilit
convenable. On entend par disponible le fait d'tre accessible et rendre le service demand. La disponibilit est aujourd'hui un enjeu trs important en cas d'indisponibilit, les rpercussions en termes de cots et de productions peuvent avoir un effet catastrophique.
Juin 2011
12/31
Larchitecture comporte deux couches distinctes : Le connection broker23 attribuant une session lutilisateur. Le serveur hbergeant lenvironnement de travail des utilisateurs. Ces deux parties seront abordes dans lanalyse des solutions du march. Une architecture de virtualisation du poste client peut se schmatiser de la manire suivante :
21
Remote Desktop Protocol, dfini par Microsoft. C est le protocole standard de connexion de terminaux PC-Over-IP a t dvelopp par la socit Teradici, ce protocole a la particularit d tre auto-adaptative en Intermdiaire entre les utilisateurs et le service final. Il identifie les machines virtuelles pour les utilisateurs afin
Juin 2011
13/31
Ce type dinfrastructure apporte les avantages suivants : Administration centralise des postes de travail. Haute disponibilit Mise jour des systmes et applications facilites Stockage centralis des donnes
2) Modles existants.
Aujourdhui, 3 modles de consolidation de poste de travail existent sur le march : Services partags. VDI (Virtual Desktop Infrastructure). Poste de travail Blade. Ces diffrents types dinfrastructure se diffrencient de la manire suivante :
Services partags : Il sagit de la technologie de consolidation la plus implante du march grce la solution MetaFrame de Citrix. Le principe est que, le mme OS est partag par plusieurs utilisateurs, grce lutilisation des sessions Windows. Soit un serveur pour un OS pour plusieurs utilisateurs. VDI : Cette technique sinscrit dans la continuit de la virtualisation de serveur. Elle se base donc sur le mme hyperviseur24 que pour les serveurs. Le principe est quun utilisateur accde son propre poste de travail mais que celui-ci est virtualis et partage ainsi les ressources du serveur avec dautres postes virtuels. Soit un serveur pour plusieurs OS pour plusieurs utilisateurs. Poste de travail Blade : Il sagit de la technologie la moins rpandue du march car cest la plus onreuse. Le principe est quun serveur de type Blade soit ddi un utilisateur. Soit un serveur pour un OS par utilisateur.
Cat1 : s'excute directement sur une plateforme matrielle donne (Noyau hte. Un systme d'exploitation
24
secondaire peut de ce fait tre excut au-dessus (OS invit. (VMware ESX, Xen de Citrix. Cat2 : logiciel qui s'excute l'intrieur d'un autre systme d'exploitation. (VMware Workstation, VirtualBox.
Juin 2011
14/31
25 Administrer,
Juin 2011
15/31
Comme nous lavons vu prcdemment, la consolidation du poste de travail comporte deux couches distinctes : Le connection broker attribuant une session lutilisateur. Le serveur hbergeant les sessions utilisateurs. Nous allons dabord commencer traiter cette dernire partie en comparant les principaux hyperviseurs du march.
Storage Area Network, est un rseau spcialis permettant de mutualiser des ressources de stockage. Assure la redondance du stockage, c'est--dire l accessibilit au systme de stockage en cas de panne de l un de ses lments, en doublant au minimum chacun des lments du systme (haute disponibilit. Fonctionne dans un environnement compltement htrogne : serveurs Unix, Windows. Agrgation de liens (fibre channel, et assure le fait que la requte envoye par un serveur a bien t reue et prise en compte par les systmes de stockage.
Juin 2011
16/31
Dans ce comparatif, on saperoit quESX est en avance sur XEN. Cela est d au fait que la solution de VMware existe depuis plusieurs annes. Les deux fonctionnalits qui mettent en dfaut lhyperviseur de Citrix sont importantes. En effet, le partage transparent des emplacements mmoires permet de rduire considrablement lutilisation mmoire. Par exemple, si plusieurs machines virtuelles excutent Windows XP, elles possderont de nombreuses pages identiques. Dans ce cas, les pages identiques seront stockes dans le mme emplacement mmoire. Le surdimensionnement28 de la mmoire RAM permet quant lui dexcuter plus de machines virtuelles simultanment sur le mme serveur. Par exemple, la quantit de mmoire cumule des machines virtuelles qui sexcutent sur un serveur disposant de 8 Go de mmoire physique peut tre de 16 Go. Concrtement si lon cumule ces deux fonctionnalits, on pourra dmarrer beaucoup plus de machines virtuelles sur ESX que sur XEN. La solution de VMware a donc t retenue par le C.H.A pour virtualiser les postes de travail et les serveurs.
27
Jeu d instruction processeur visant rsoudre de manire matrielle les difficults lies la virtualisation du
CPU, la virtualisation de la mmoire, et la virtualisation des priphriques du systme. (Technologie prsente chez les 2 principaux leaders des micro-processeurs Intel et AMD.
28
Ressources systmes de la machine virtuelle dpassant celle du serveur physique. Exemple : la quantit de
mmoire cumule des machines virtuelles qui s excutent sur un serveur disposant de 8 Go de mmoire physique peut tre de 16 Go grce une attribution intelligente et dynamique des ressources physiques aux VM.
Juin 2011
17/31
6) Connection broker.
On peut considrer le connection broker comme le point central dune architecture de consolidation de poste de travail. En effet, cest le serveur qui va mettre disposition de lutilisateur un environnement de travail.
7) Authentification de lutilisateur.
Le connection broker est interfac avec un annuaire de type LDAP29 (Active Directory de Windows) contenant les paramtres dauthentification de chaque utilisateur.
29
Protocole permettant l'interrogation et la modification des services d'annuaire. Ce protocole repose sur TCP/IP. Il
a cependant volu pour reprsenter une norme pour les systmes d'annuaires, incluant un modle de donnes, un modle de nommage. C est une structure arborescente dont chacun des n uds est constitu d'attributs associs leurs valeurs. Le nommage des lments constituant l'arbre (racine, branches, feuilles reflte souvent le modle politique, gographique ou organisationnel de la structure reprsente par l annuaire.
Juin 2011
18/31
30 Le
profil itinrant de Windows est une fonction de l Active Directory. C est la dfinition d un profil qui est
disponible sur l ensemble des postes de travail rfrencs dans l AD. Ainsi l utilisateur du profil itinrant n est pas dpendant de son poste pour s authentifier et accder son environnement de travail. L ensemble de l architecture VMware View (notamment la gestion des pools est interface avec le(s domaine(s AD existant.
Juin 2011
19/31
Comparatif des connexions brokers SSO : Single Sign-On est une mthode permettant un utilisateur de ne procder qu' une seule authentification pour accder plusieurs applications.
Les brokers choisis offrent pratiquement les mmes fonctionnalits. Seules les solutions de Quest Software et VMware se dmarquent grce au provisioning de machines virtuelles. Il reste une fonction que seul VMware propose aujourdhui savoir le View Composer . Ce composant permet de crer des images virtuelles partageants le disque virtuel dune image maitre (clones-lis31). Cela permet ainsi de rduire jusqu 90% le stockage des postes de travail virtuels. Grce cette dernire fonctionnalit, VMware a pris une avance non ngligeable sur la concurrence.
31
Provisionner des postes de travail virtuel partir d'une seule machine virtuelle (c'est une VM qui fait 15 Go et qui
permet de dployer jusqu' 64 VM de 2Go. Ainsi une image maitresse (Rplica sera la source de plusieurs VM. On spare donc les donnes systmes (maintenant communes, des donnes utilisateurs.
Juin 2011
20/31
Cet outil de cration de package dapplication permet davoir une isolation complte de lapplication. Cela permet dtre compltement indpendant des droits de lutilisateur sur sa machine. La cration dun package se droule selon les tapes suivante :
Dmarrage de la capture avec ThinApp Installation complte de lapplication Finir la capture ThinApp aprs linstallation Cration du package en .exe32 Utilisation du package
Cette technologie permet de maintenir les versions des applications jour sans rinstaller compltement les logiciels sur les postes. Ainsi, placer un tel package sur un partage rseau permet un ensemble dutilisateurs dexcuter le mme package et donc la mme application. Exemple : Il est possible davoir plusieurs versions de client Oracle33 , excutes sur le mme poste. Plutt que de rajouter des serveurs (en rack) autonomes, larchitecture prvoit lutilisation de tous les serveurs dinfrastructure : Serveur active directory, supervision, administration, sauvegarde, travers des machines virtuelles (VM) VMware.
32 Un
Fichier excutable est un fichier contenant un programme et identifi par le systme d'exploitation en tant que
tel. Le chargement d'un tel fichier entrane la cration d'un processus dans le systme, et l'excution du programme.
33
Systme de gestion de base de donnes relationnelles (SGBDR qui, depuis l'introduction du support du modle
objet dans sa version 8, peut tre aussi qualifi de systme de gestion de base de donnes relationnel-objet (SGBDRO.
Juin 2011
21/31
Installation de GNS 3 .
Slection du type de profil dutilisateur, autoris excuter le package , ou non daprs lAD.
Merged Isolation mode : Le logiciel ne peut pas crire dans les rpertoires du systme dexploitation. WriteCopy Isolation Mode : Le logiciel peut crire partout sur le disque.
Dossier o sont stockes les modifications de l'application (Delta). Exemple : Lors dune mise jour dun logiciel packag , cette modification sera stocke dans la sendbox. Celle-ci se trouve par dfaut, dans %users%\AppData\Thinstall\ et sous Windows Seven dans C:\Users\\AppData\Roaming\Thinstall\, ou sur un partage rseau spcifique.
1) Package .exe seulement : de trs grande taille, le package ralenti considrablement lanalyse anti-virus, et fait perdre des performances au systme. 2) Package .exe et .dat : ici, le .exe joue le rle de point dentre dans le .dat contenant les donnes. 3) Package .msi : permettant une intgration conventionnelle dans lenvironnement Windows (visible dans ajout/supp programme, indexation) Juin 2011
23/31
terme, lensemble des applications des services de lhpital seront ainsi packages. Hormis Microsoft Office et Convergence34 qui sont directement intgrs au master35 des VM. Voir en Annexe 2, la cration dun master optimis.
34
Convergence (Logiciel administratif du C.H.A dtaill en annexe 1 utilis par l ensemble du personnel est
dpendant d un module de Microsoft Word nomm Word fusion pour l impression des documents administratifs, notamment pour la prise en charge des macros=> (excution automatique d une suite de taches
toujours dans le mme ordre et de faon rptitive. D o l intrt d inclure la suite Microsoft Office et Convergence
dans les masters des VM.
35
Image d origine du systme d exploitation (Ici Windows XP servant de base aux clones-lis des VM crent
dynamiquement.
Juin 2011
24/31
Ce type de dmarche permet de faire des essais dintgration et de fonctionnement de manire transparente dans diverses situations avant de rpandre le dploiement lensemble du centre hospitalier.
Juin 2011
25/31
Hte rseau : Les essais au niveau client sont : changement client lgers par une
configuration plus onreuse (puce Teradici spciale PCoIP). Essais avec diffrents raccordements divers points du rseau. Au niveau serveur : statistiques des performances des ESX et de la baie de stockage.
Un rseau local virtuel, communment appel VLAN (pour Virtual LAN est un rseau informatique logique
indpendant. De nombreux VLAN peuvent coexister sur un mme commutateur rseau. Avantages : rduire la taille d'un domaine de diffusion permet de crer un ensemble logique isol, pour amliorer la scurit.
37
Dsigne, dans le modle en couche OSI d un rseau, la couche physique et liaison de donnes. La commutation Zone du rseau compose de tous les ordinateurs et quipements de communication qui peuvent tre contacts
est uniquement effectu grce l adresse MAC (physique des machines, il n y a donc pas de routage.
38
en envoyant une trame l'adresse de diffusion de la couche liaison de donnes (nombreuses collisions possibles.
Juin 2011
26/31
La solution.
VMware vShield Endpoint41 dporte lanalyse anti-virus vers une machine virtuelle renforce et ddie sur laquelle une base virale dun diteur antivirus est installe. Grace cette API42 VMware vShield Endpoint, Trend Micro propose une protection anti-virus, nomme Deep Security 7.5, qui fournit une protection complte aux VM sans agents tiers installs. Rduisant ainsi de manire significative, la charge mmoire et CPU de lensemble des VM. Une protection qui minimise limpact de ses ressources sur lESX, et qui participe une plus grande banalisation43 du poste de travail virtuel.
39 Programme
arrire-plan/ou non du systme d exploitation, qui est souvent install sur une machine cliente qui excute un service install sur un serveur distant. Exemples : le passage de messages, l'appel de procdure distance, l'valuation distance
40 Le
etc.
correspondant un groupe d utilisateur prcis. 2 Crer un master, savoir une image d un OS ou vont pointer, l ensemble des VM. 3 Crer les VM (cloneslis au master du pool correspondant, qui reprsentent en terme de taille, le delta des modifications de l utilisateur, du master, par rapport la VM (Voir le
Module de scurit s intgrant dans vSphre. (Dtaill en page 29. permettant l'interaction des programmes les uns avec les autres, de
42 Interface
manire analogue une interface homme-machine, qui rend possible l'interaction entre un homme et une machine.
43 Postes
Juin 2011
27/31
1. vShield zone : vAPI de scurisation, dlivr par VMware, permettant dintgrer un pare-feu directement dans linfrastructure VMware et de segmenter les rseaux lintrieur de lHyperviseur. 2. vShield Edge : Permet la scurisation primtrique de linfrastructure virtuelle intgrant du VPN, du DHCP, de la journalisation et de laudit. 3. vShield app : scurisation au niveau des applications hberges par les VM. Il analyse les applications et les paquets changs (firewalling).
Afin danalyser les flux rseau, CPU et mmoire, vShield Endpoint sintgre directement lenvironnement vSphre et se compose dune machine virtuelle ddie la scurit (SVM voir schma ci-dessus). Cest les API VMsafe de VMware, qui permettent ses partenaires (ici Trend Micro avec Deep Security 10.5), de dvelopper une solution de scurit oriente virtualisation. Sous la forme d'une machine virtuelle de scurit capable d'accder, de rapprocher et de modifier les informations en fonction des matriels virtuels suivants : Excution des processus (gestion des clients) : API clients et processus qui surveillent et contrlent entirement l'excution des processus sur la VM. Stockage : les fichiers de disque de la machine virtuelle (VMDK) peuvent tre installs, manipuls et modifis lorsqu'ils sont conservs sur des priphriques de stockage. IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE Juin 2011
28/31
Mmoire et processeur : VMsafe permet l'introspection44 des pages de mmoire et de l'tat des processeurs de la machine virtuelle cliente. VMsafe Memory & CPU API (VMsafe-Mem/CPU). Mise en rseau : filtrage des paquets rseau sur l'hyperviseur et sur une machine virtuelle de scurit. VMsafe Network Packet Inspection API (VMsafe-Net).
Tous ces composants renvoient les flux directement la SVM de scurit qui a toutes les paternes (dfinition de virus, comportements, prises de dcisionsetc). Lavantage, est que lon ne conserve quun seul paterne par serveur ESX. Cela soulage le rseau lors des mises jour, et concerne seulement la SVM.
44 Adjectif
signifiant une analyse du sujet par lui-mme. Dans la lutte que se livrent virus et antivirus, c est
aujourd hui en effet celui qui excute son programme le premier : si un code malveillant parvient dmarrer avant l antivirus, il sera particulirement difficile pour ce dernier d avoir confiance dans les donnes qu il pourra lire sur la machine. Le parasite contrlant le systme, il pourra lui prsenter des lectures errones et laisser voir un systme sain. Et jusqu aujourd hui, le code malveillant et l antivirus partaient sur un pied d galit dans cette course, car ils sont tous les deux de simples applications hberges sur le mme systme. L API VMsafe permet aux diteurs de solutions de scurit, d excuter leur code au mme niveau que l hyperviseur, c est dire l extrieur des machines, totalement intouchable et jouissant surtout d une vue imprenable sur le systme : contrler la mmoire, les entres/sorties, le processeur et les units de stockage. Cela signifie qu en dehors de toute vulnrabilit propre VMware, un code malveillant s imaginera seul au monde et n aura aucun moyen de se savoir observ par la solution de scurit, d o le terme d introspection.
Juin 2011
29/31
Le systme dexploitation hte est Windows Seven Professional Edition 64 Bits . La virtualisation complte page 8 de lhyperviseur ESXi est ralise grce au logiciel VMware Workstation , install en tant que programme utilisateur sur lOS hte. Les ressources physiques mules correspondent au minimum requis dun serveur ESX physique en production, savoir : 4 Go de mmoire vive, un minimum de 60 Go de disque dur (cela dpend du nombre de VM), dun processeur quadruple curs supportant les instructions, intel VT ou AMD-V. Ainsi, les ressources de la machine physique sont totalement mules et mises la disposition de la maquette.
IV/ Conclusions.
Pourquoi ce choix de stage ? Virtualisation, dmatrialisation, plateforme, en ligne, autant de
termes troitement lis linformatique dans les nuages. De faon quasi unanime, les fournisseurs de solutions de virtualisation estiment que le dcollage du march aura lieu dbut 2012, notamment sous limpulsion du secteur public en France. La monte en puissance de la virtualisation prcipitera le recul des ventes de micro-ordinateurs, notamment pour les PC de bureau et les serveurs. Les seuls formats pargns seraient ainsi les ordinateurs portables. Selon ce scnario trs probable, on ne verra plus sur les bureaux des entreprises que des configurations cran-clavier-souris , le cerveau des clients lgers logeant dans le socle de lcran ou dans la structure du btiment, au mme titre quune prise lectrique. Extrait dun article du journal Le Monde Fvrier 2011. Pour tre comptent en tant quintgrateur de ce type darchitecture, les domaines de comptences requis, dpendants des uns des autres, sont : rseaux, administrations des systmes Windows/Unix, stockage, scurit et maitrise des technologies VMware et Citrix. Durant ces 12 semaines au sein du C.H.A, jai pu me rendre compte, que ce mtier est pluridisciplinaire et son domaine mergeant, o lexprience est une forte valeur ajoute. Aujourdhui, le C.H.A est une vritable vitrine technologique, reprsentant actuellement une des rares architectures virtuelles en production, dune telle envergure en France. Ce stage ma permis de me rendre compte, de manire concrte, du potentiel de ce mtier vers lequel je prtends me diriger (licence professionnelle IRI oriente virtualisation, alterne par un contrat dapprentissage, avec un intgrateur spcialis qui est NEXTO. www.nexto.fr). Et au-del, ce stage a rvl une passion pour cette technologie, autant sur la technique que sur la morale. En effet, laspect de participation une dmarche de dveloppement durable, lie aux conomies dnergies, me comble.
Bilan.
Mon stage, au sein du service informatique du C.H.A, fut complet et considrablement formateur, tant sur le plan technique que thorique. Mes recherches de documentations techniques furent importantes afin dtre capable de suivre les transmissions de comptences et raliser les taches qui mont t confies. Il tait galement intressant de constater les similitudes entre certaines problmatiques rencontres durant le stage et celles soumises durant les TP/TD de rseaux. Je pense particulirement M. Roland Depeyre, pour ses explications et exemples extrmement concrets. Que jai pu retrouver lors de rflexions techniques que jai pu avoir durant le stage concernant les caractristiques dun rseau local. Je souhaite galement souligner limpact majeur qua pu avoir lpreuve du TCS (http://jeuxj.free.fr/cisco_acacia_2011/), sur ma motivation et mon intrt concernant les rseaux et ses applications. IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE Juin 2011
31/31