06 juillet 2009

Sécurité au soleil

Une mission professionnelle, c'est comme une mission d'expertise, cela se prépare consciencieusement et malgré tout cela comporte une part d'imprévu.

J'étais en déplacement sur Casablanca pour effectuer des tâches de mise à niveau du serveur de notre école marocaine. Le terrain était préparé par un stagiaire que j'ai pris pour trois mois. Il avait déjà ajouté les barrettes mémoires que je lui avais confiées le jour de son départ, testé le disque dur SAS acheté dans l'urgence et mis en place le petit NAS d'1To sur le réseau.

Ma mission consistait à étendre la capacité de stockage du serveur. La difficulté était de minimiser le temps d'arrêt du serveur.

J'envisageais l'intervention sous trois angles:
- clonage du serveur initial, extension des capacités disques par un RAID0, installation de l'hyperviseur VMware ESXi puis restauration de l'image clonée;
- installation de l'hyperviseur sur le nouveau disque (l'ancien étant mis de côté pour retour arrière), réinstallation du serveur à partir de zéro (Debian, samba, ntp, dns, dhcp et openvpn);
- ou faire l'impasse sur la virtualisation et simplement ajouter le disque dur dans le serveur.

La troisième solution étant la plus simple, mais n'offrant pas la possibilité d'installer d'autres serveurs virtualisés sur la même machine physique, elle fut écartée et gardée pour le dernier jour, au cas où nous n'arrivions à rien avec les deux premières.

Afin de nous donner le plus de chances possibles, je décidais le premier jour de sacrifier provisoirement un PC de la salle informatique pour y installer ESXi afin de faire des essais sur une machine de tests. Non sans avoir au préalable réalisé un clone de cette machine.

Avant mon arrivée, mon stagiaire avait vérifié qu'ESXi s'installait correctement sur le serveur cible en arrêtant celui-ci une demi heure pendant la pause déjeuner.

Toute l'intervention ne devait durer théoriquement qu'une journée, dont deux heures d'arrêt du serveur. L'informatique étant pleine d'imprévue, surtout au Maroc, j'avais prévu cinq jours.

Le premier jour le réseau électrique ne semble pas stable et la salle informatique où nous avons installé notre QG est sans électricité. Les utilisateurs sont content de me revoir (un an s'est passé depuis ma dernière venue). La journée passe en intervention diverses toutes aussi urgentes les unes que les autres.

Le deuxième jour, nous réalisons un clone du serveur en une heure à l'aide du logiciel Clonezilla et une sauvegarde par rsync sur le NAS à travers le switch giga nouvellement installé. Le temps que le rsync se termine, nous testons la restauration de l'image dans une machine virtuelle sur notre PC de tests. Le verdict tombe: il faut 20h pour que l'image s'installe. Trop long.

Le troisième jour, alors que la matinée commence à peine, je suis appelé par le gardien de l'école: un bruit suspect provient du tableau électrique. Une sorte de grésillement. Alors que tout le monde palabre pour savoir ce que c'est, je demande à ce que toutes les machines électriques soient éteintes: clims, PC, imprimantes, etc. Bon gré mal gré, tous s'exécutent. Je coupe le courant de l'école et ouvre le panneau électrique. Un début d'incendie commençait: une partie du plastique est noire et une partie des fils sont en train de fondre... Je demande à ce que l'électricien ayant installé le panneau soit appelé en urgence. Il interviendra dans l'après-midi (ce qui est d'une exceptionnelle rapidité au Maroc). Pendant ce temps, nous travaillons sur papier. Ceux qui disposent d'un ordinateur portable se plaignent de ne pas pouvoir imprimer et de ne pas avoir accès à internet. Le comportement des utilisateurs est universel. Je dors mal le soir, car je n'ai encore rien fait de décisif.

Le quatrième jour sera lui décisif. Nous utilisons le logiciel WMware de conversion P2V pour cloner "à chaud" le serveur et le transférer en tant que VM sur notre hyperviseur de tests. Un rsync est lancé pour sauvegarder les données du serveur sur le NAS réseau "au cas où". Ensuite, le serveur physique est arrêté, le disque dur est ajouté, le RAID0 est constitué, détruisant ainsi toutes les données d'origine. Celles ci ont été sauvegardées sur l'image Clonezilla, sur l'image P2V sur notre hyperviseur de tests et sur le NAS via un rsync. Ceinture et bretelle (et sourire de la crémière:). Nous installons l'hyperviseur ESXi sur le nouveau disque ainsi constitué et décidons de transférer la VM depuis notre hyperviseur de tests. Le transfert démarre et, malheureusement est chronométré pour durer huit heures... J'entends déjà les utilisateurs râler.

A ce moment, je me souviens d'un produit gratuit permettant d'accélerer les transferts en mode fichier entre deux hyperviseurs vmware: Veeam FastSCP. Nous lançons l'installation et l'opération de copie. Celle-ci mettra deux heures, soit le milieu de l'après-midi. En fin d'après-midi, le serveur est prêt, les utilisateurs peuvent fermer leurs sessions sans perdre de données, ce qu'ils font. Ils sont soulagés et nous aussi.

Le vendredi sera consacré à l'installation d'un disque SATA d'1To dans le serveur pour pouvoir configurer un datastore confortable pour les données des différentes VM.

Le samedi pourra finalement être consacré à la visite de la mosquée Hassan II. Superbe.

Et le septième jour, Zythom se reposa rentra chez lui.

La semaine suivante, nous allions pouvoir installer sur ce serveur depuis la France une VM Windows 2003 serveur pour Active Directory, une VM Windows 2003 avec XenApp et l'antivirus centralisé Symantec Enterprise et une VM Windows XP pour pouvoir nous servir d'une console à distance sans monopoliser un PC physique duquel nous nous faisions déconnecter régulièrement par un étudiant pressé.

Mais cela, c'est une autre histoire.

2 commentaires:

  1. "le RAID0 est constitué"

    Uhoh... Looking for trouble...

    J'espère que vous avez prévu des backups réguliers et fiables de votre NAS, parce qu'en cas de problème, vous perdez toutes les données de la grappe.

    RépondreSupprimer
  2. @Sid: Il faut savoir vivre dangereusement. L'idée de départ était de faire un RAID1, mais la taille de l'image était trop grande pour être installée en plus de l'hyperviseur.

    Par contre, le NAS est constitué de deux disques SATA en Raid1 et l'ajout dans le serveur d'un disque SATA d'1To nous permet de faire en plus des rsync une copie des VM régulièrement.

    Mon seul regret est de ne pas avoir pensé à installer l'hyperviseur sur le SATA pour pouvoir booter dessus si l'un des disques SAS lache.

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.