20 décembre 2012

La gestion d'un site distant

Dans mon cadre professionnel, je dois gérer à distance l'équipement informatique (ordinateurs, réseaux, serveurs...) d'un deuxième campus situé en Afrique, sans intervention physique possible sauf à prendre l'avion pour changer de continent... Cela fait cinq ans que cela dure, avec plus ou moins de bonheur. Il est temps pour moi de faire un petit retour d'expérience qui pourrait intéresser quelques lecteurs de ce blog.

La première remarque concerne la nécessaire prise de conscience de devoir faire des choix de procédures simples et fiables. Quand on ne peut pas intervenir facilement pour redémarrer un actif réseau ou pour changer un disque dur, le travail à distance peut vite devenir un vrai casse tête. J'ai le souvenir d'un système de stockage qui contenait toutes les sauvegardes, sur lequel j'intervenais via la console web d'administration. Une fois correctement paramétré, j'ai redémarré le système. Sauf qu'au lieu de cliquer sur "redémarrer", j'ai cliqué sur "éteindre". Mon système distant s'est arrêté correctement... Mais il a fallu que j'appelle une personne du site pour lui demander d'aller dans la salle serveur appuyer sur le bouton de démarrage du système de stockage. J'y ai passé plus d'une heure (décalage horaire, clef de la salle serveurs, autorisations, description du système, vérifications...). J'ai maintenant investi dans un système dont le démarrage à distance est simple et/ou programmable à heure fixe.

La deuxième remarque concerne la sécurité informatique. Il faut prévoir dès le départ un budget permettant d'avoir des actifs réseaux particulièrement performants et intelligents. Pour autant, il faut comprendre qu'un système informatique distant devant fonctionner sans informaticien est particulièrement vulnérable et fera la joie de tous les hackers passant par là. Mais la sécurité a un coût et une complexité qu'il faut nécessairement mettre en balance avec la fiabilité et le confort de l'usager. J'ai donc du faire des choix qui feront sans doute pleurer tous les informaticiens un peu sensibles sur le sujet de la sécurité...

Les réseaux :

Rien ne peut se faire à distance si les réseaux informatiques ne fonctionnement pas. Le réseau informatique filaire mis en place est un réseau classiquement encastré dans des goulottes. Il faut insister dans le cahier des charges et lors du suivi de chantier pour obtenir des goulottes suffisamment solides et d'une capacité supérieure au strict nécessaire. Il n'est pas normal qu'une goulotte fraichement installée soit pleine à craquer de câbles réseaux, empêchant l'ajout ultérieur d'une ou plusieurs prises réseaux. J'ai choisi un réseau gigabit, avec des baies de brassage intégrant les actifs réseaux. Là aussi, il faut insister pour que les baies soient suffisamment aérées pour que la chaleur dégagée par les switchs puisse s'évacuer, et qu'une climatisation soit installée, surtout lorsque la température extérieure monte très haut, ce qui est le cas en Afrique. De préférence, les actifs réseaux seront branchés sur un régulateur de tension et un onduleur. Tous les actifs réseaux doivent être configurés pour interdire le branchement de quoi que ce soit qui ne soit pas autorisé explicitement par le service informatique. Pour des raisons de coûts, j'ai choisi une gestion des autorisations d'accès basée sur l'adresse MAC du système informatique que l'on souhaite brancher sur le réseau. Que tout ceux qui connaissent l'expression "MAC Address Spoofing" arrêtent de rigoler... Il y a un VLAN pour l'administration, un VLAN pour les professeurs, un VLAN pour les salles de TP et un VLAN pour les bornes Wifi.

Une fois l'épine dorsale de votre système informatique en place, vous pouvez commencer à brancher dessus quelques éléments clefs.

Première extension: l'accès internet.
Quand un boîtier ADSL tombe en panne, la procédure la plus simple pour un membre du site distant (en général la secrétaire) est d'appeler le fournisseur d'accès pour qu'il envoie quelqu'un rapidement. Un technicien télécom débarque donc sur votre site distant, sans que vous soyez au courant, pour remplacer le modem ADSL. Autant vous dire qu'après plus rien ne marche comme prévu.

Il faut faire SIMPLE. J'ai choisi de mettre de côté le modem fourni par le FAI et d'acheter deux boîtiers que nous avons paramétrés selon nos besoins. L'un des deux sert de secours pour l'autre et est précieusement rangé dans une armoire appropriée, avec référencement précis et "formation" adhoc d'une personne de confiance sur le remplacement d'un modem par un autre. Ne pas oublier de prendre un abonnement ADSL proposant une adresse IP fixe si c'est possible.

Il faut ensuite mettre en place son propre serveur DHCP, avec une politique d'adressage claire. J'ai choisi de réserver ce rôle à une machine virtuelle GNU/linux de distribution Débian. J'ai choisi un masque réseau de 16 par pure habitude et un groupe d'adresses non routables (de type B donc, selon l'ancienne classification). J'ai conscience du risque de broadcasts élevés, mais le nombre total de machines restera relativement faible.

Deuxième extension réseau: le Wifi.
Là aussi, tant que faire se peut, choisir des bornes fiables et opter pour une configuration minimale. Chaque borne doit pouvoir être changée par un fournisseur/livreur qui se contentera de déballer la borne et de la brancher à la place de l'ancienne. Une fois la borne wifi branchée sur le réseau, elle obtiendra son adresse IP locale du serveur DHCP et pourra être utilisée immédiatement, en général en émettant en clair dans tout le voisinage... Pour des raisons pratiques, il est préférable de scanner régulièrement son réseau distant, car il n'est pas rare qu'une personne, toujours bien attentionnée, mette en place sa propre borne wifi. Dans une école, le BYOD est très bien ancré, et depuis longtemps. J'ai opté pour des bornes chiffrées avec un clef facile à retenir et donnée à tout le personnel et tous les étudiants. C'est un peu "open bar". Le réseau Wifi est donc très faiblement protégé. Il faut le cantonner à l'accès internet, mais les étudiants l'apprécient pleinement et apprennent à gérer leur propre sécurité. Et puis, si je peux aider quelques voisins à avoir un accès internet gratuit... Vive le partage ! Hadopi, Dadvsi et Loppsi nous ont un peu rabougri le cerveau.

Le VPN entre les deux campus.
C'est un confort pour l'administration à distance que de pouvoir contacter facilement un serveur ou un poste de travail. Après avoir testé la solution LogMeIn, toujours en place, nous avons mis en place un VPN permanent basé sur la solution OpenVPN sur serveurs Debian. Il faut garder à l'esprit que le lien entre les deux campus est basé d'un côté sur une simple liaison ADSL, donc très limité en bande passante (et asymétrique !).

Les serveurs :

Pour limiter le nombre de machines physiques, et donc le nombre de pannes matérielles, j'ai opté pour un serveur principal sous VMware ESXi contenant tous les serveurs sous forme de machines virtuelles (VM). Le serveur est changé tous les quatre ans et sert ensuite de serveur secondaire, pour héberger des répliques dormantes des VM dans le cadre du PRA. Les répliques sont réalisées toutes les nuit avec l'aide du logiciel Veeam Backup & Replication (version commerciale) qui nous donne pleine satisfaction. Un simple NAS (marque QNAP) permet de stocker les backups quotidiens, hebdomadaires et mensuels des VM sur un horizon de trois mois, largement suffisants pour les besoins de nos utilisateurs. Un backup complet est externalisé à chacun de nos déplacements sur site.

Toutes les machines doivent pouvoir être allumées en cas de problème par un WOL correctement paramétré.

Les logiciels :

Les serveurs physiques sont sous VMware ESXi.
Les serveurs virtualisés (VM) sont sous Windows 2008 R2 (AD et serveur de fichiers) et Debian (VPN, DHCP et Nagios).

Les postes clients physiques sont sous Windows 7, Windows XP SP3 ou Lubuntu, en fonction de leur ancienneté.

Tous les logiciels classiques (OS, bureautique, etc.) sont installés lors de nos déplacements sur site, en général avec le logiciel Clonezilla en mode multicast. Le but est d'avoir un poste client le plus standard possible pour qu'il puisse être remplacé facilement par un fournisseur local, sans avoir à ajouter trop de logiciels. Beaucoup de logiciels sont installés par simple glisser/déposer à partir de solutions de type "LiberKey", "Framakey" ou "PortableApps".

Tous les logiciels lourds (CAO, GPAO, simulations diverses, etc.) sont installés sur un serveur XenApp avec accès par client Citrix, ce qui nous permet de ne les installer qu'une seule fois, ce qui peut être fait à distance. Je vous laisse quand même imaginer l'installation d'un logiciel comme Catia par le mauvais côté d'une liaison ADSL...

La messagerie est externalisée sur Gmail avec un accord "Education" proposé par Google sur son produit "Google Apps". Les besoins de confidentialité sont gérés avec GnuPG pour les emails et TrueCrypt pour le stockage.

Les listes de distribution sont gérées à distance avec un serveur SYMPA qui sert pour les deux campus.

Les licences logicielles sont gérées à distance avec des serveurs FlexNet (ex FlexLM).

La supervision de tout le système est basée sur Nagios (et bientôt Centreon).

En conclusion :

Je n'ai pas la prétention d'avoir mis en place le système le plus performant, ni surtout le plus sûr. Par contre, il fonctionne correctement depuis plus de cinq ans avec plus de 40 ordinateurs et 150 utilisateurs. Il semble assez bien adapté aux risques inhérents à un système d'enseignement supérieur. Il protège suffisamment, sans faire peser trop de contraintes sur l'utilisateur. En même temps, les enjeux en matière de confidentialité sont quasi inexistants, en partie parce que toutes les activités de recherches, avec dépôts de brevets, restent sur le campus français.

Beaucoup des systèmes et logiciels cités dans ce billet ont des équivalents chez d'autres éditeurs. Je n'ai pas testés toutes les solutions (Hyper-V, GVPE, etc.), et il y a aussi dans certains choix une part liée à l'histoire de mon service informatique, et aux habitudes et connaissances de mon équipe. Chacun pourra adapter mes solutions avec sa propre culture. Mais si vous avez des remarques complémentaires ou des suggestions, n'hésitez pas à les faire en commentaires pour faire un retour d'expérience pouvant bénéficier à tous. Aidez-moi à faire avancer ma roue de Deming.

Et si tout cela fonctionne, même à distance, c'est avant tout grâce aux personnes qui travaillent avec moi. Le facteur humain reste prépondérant, et ne concerne pas que l'étude des raisons aboutissant à une erreur. C'est ce qui rend notre univers technologique si passionnant, non?


3 commentaires:

  1. Merci pour ce retour d'expérience. Ca me semble des choix de raison.Dans ma boite on a du windeuz 2008(domaine + wsus), w7, linux squid,ldap,dns, dhcp, VPN. ESXi. ghost (ca me fait mal de le dire mais il est beaucoup plus performant que les clonages linux (dd, ntfclone etc) glpi et nagios.

    RépondreSupprimer
  2. ewvav@notsharingmy.info21 décembre 2012 à 11:53

    Cela fait 10 ans que j'enseigne en licence réseau & Telecom et justement j'apprends à mes étudiants à manipuler des VMs sous ESXi 5, du switching virtuel, des VLANs, de l'IPv6, suivant le niveau des groupes à monter des VPNs IPSEC puis des VPNs OpenVPN (pour qu'ils apprécient la facilité d'OpenVPN), du NAGIOS/CENTREON, monter un service réseau complet à partir d'un cahier des charges, etc...
    Bref je suis loin des cours de base TCP/IP v4 couramment pratiqués dans cette université (pour ne pas citer pire exemple d'enseignants qui sont payés à ouvrir la salle et une session CNA le matin puis refermer la salle le soir quand les étudiants sont repartis...). Voir par ton exemple que ces connaissances sont nécessaires et reprises en exploitation dans d'autres universités, cela me réconforte dans mes choix pédagogiques qui consistent à former mes étudiants à ce que je rencontre en entreprise lors des mes interventions en tant que consultant (et non à un contenu recyclé d'il y a 20 ans qu'il ne faudrait "surtout pas changer ou mettre à jour sinon il faudrait revoir tous les TPs et ça fait trop de boulot...")

    Mais là petite aparté personnelle, désolé pour nos futurs étudiants j'arrête cette année (même si je suis toujours au planning) vu le peu de reconnaissance et surtout de considération du monde universitaire (enfin tout du moins de mon expérience dans celle que je fréquente) envers les intervenants professionnels (appelés vacataires).

    Voilà pourquoi je publie en anonyme (IP & email anonymes)... Inutile de jeter de l'huile sur le feu en indiquant le nom de l'IUT ou de l'université à laquelle cet IUT est rattaché ou les références de la Licence que je suis en train de décrier (surtout l'équipe pédagogique qui ne cherche qu'à faire des heures et non à former et instruire correctement nos futurs informaticiens). Je ne suis pas là pour régler mes comptes. Donc je relate simplement une expérience rendue anonyme mais qui résonne particulièrement fort chez moi à la lumière ton récit et l'importance de bien former nos étudiants...

    Bon courage Zythom et bravo pour ton professionnalisme. Ceci remonte mon estime (qui était tombé bien bas) pour le monde universitaire... Je me dis (méthode Coué) que j'ai connu les brebis galeuses du système et que le reste est beau (je sais je suis utopiste... malheureusement).

    On verra si un jour je suis contacté par une autre université plus sérieuse... Je suis toujours disponible car j'estime que c'est à mon tour de transmettre le savoir-faire que l'on a su m'enseigner. C'est probablement l'une des choses les plus gratifiantes humainement parlant que de préparer nos enfants à vivre dans le monde que l'on leur laisse en héritage... encore faut-il ne pas être le seul à pagayer dans le sens de la marche.

    Un enseignant VACATAIRE désabusé.

    RépondreSupprimer
  3. J'ai été à la recherche de nouveaux outils gestion réseau de réseau pour mon réseau. Avez-vous des recommandations? J'ai essayé quelques applications de soutien aux petites, mais rien n'a vraiment le travail.

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.