wiki:documentation:principes

Ceci est une ancienne révision du document !


Présentation

Voici la présentation du service au format PDF qui a été utilisée lors de la restitution auprès de la direction générale des services et des chefs de service informatique de proximité.

Principes de fonctionnement

A l'université, chaque composante dispose d'un ensemble de ressources sur la plateforme IaaS (nombres de CPU, de VM, espace disque, etc.) et un administrateur IaaS se charge de répartir ces ressources entre les utilisateurs qui en font la demande.

Un utilisateur a accès, par défaut, à la gestion simple de ses propres VM.

L'administrateur IaaS d'une composante a accès à toutes les VM de sa composante avec des droits étendus permettant d'assister et dépanner ses utilisateurs.

Les administrateurs de la plateforme IaaS ont accès à toutes les VM de la plateforme et assistent les administrateurs de composantes.

Chaque composante a accès à deux réseaux pour ses VM:

  • un réseau nommé “*_UNIV” qui est accessible de toute l'université.
  • un réseau nommé “*_INTRA” qui n'est accessible qu'à partir des réseaux de la composante.

Au 24/11/2016, la plateforme IaaS est dotée de:

  • 1.4To de mémoire
  • 200 CPU
  • 57 To de stockage

Un utilisateur ayant des besoins en hébergement doit contacter le service informatique de sa composante. Il sera mis en contact son administrateur IaaS qui fera le nécessaire pour que des ressources (CPU, mémoire, disque, etc.) soient affectés à l'utilisateur.

  1. Les administrateurs infrastructure (DSIN) gèrent le matériel supportant la plateforme IaaS
  2. Les administrateurs de plateforme (8 personnes de différentes composantes) gèrent le service IaaS et assure le support aux administrateurs de composantes
  3. les administrateurs de composantes (1 ou 2 personnes par composante) gère les ressources allouées à la composante et gèrent le support aux utilisateurs finaux
  4. les utilisateurs finaux gèrent les ressources qui leur sont allouées par les administrateurs de leur composante.

Principes de base de l'IaaS

Une VM est constituée d'un modèle définissant les ressources allouées à celle-ci et d'une image de disque servant de “patron”. A la création d'une VM vous complétez le modèle pour convenir à vos besoin (nombre de CPU, taille de la RAM, etc.) et vous choisissez le patron. À l'usage, vous modifiez une copie du patron en y ajoutant des données.

Une image est un disque virtuel. Ce disque peut être vierge ou contenir un OS préinstallé. L'université fournit des images contenant des versions préparées des OS les plus utilisés:

  • Ubuntu
  • Debian
  • CentOS
  • Windows (prochainement).

Un modèle est une définition de VM. C'est le modèle qui définit les propriétés de la VM et dans quelle mesure l'utilisateur peut les modifier:

  • l'image a utiliser,
  • le nombre de CPU,
  • la taille de la mémoire,
  • le ou les réseaux sur lesquelles la VM devra se trouver,
  • la présence ou non de périphériques supplémentaires,
  • des informations concernant la préparation de l'image au moment de la création de la VM.

Par défaut, lors de la destruction d'une VM, ni le modèle personnalisé ni l'image du disque ne survit. A la destruction de la VM, toutes les données du disque sont perdues si celui-ci n'a pas été sauvegardé préalablement. La persistance d'une VM permet de créer un nouveau patron servant de disque à la VM. Ainsi, toute modification faite sur les données de la VM seront automatiquement disponible pour la création de nouvelles VM et cela, même après la destruction de la VM originale.

L'instantané d'un disque est une copie de l'état du disque à un point précis dans le temps. Il ne s'agit pas d'une copie de ce disque en lui-même mais d'une sauvegarde de son état permettant de revenir à cet état dans le futur. L'instantané d'un disque est lié au disque et ne peut être dissocié. Contrairement à la copie, il n'occupe que très peu de place sur l'infrastructure.

Les principes de base de la sécurité informatique conseillent de filtrer les accès aux machines virtuelles à tous les niveaux possible: au niveau système avec un identifiant et un mot de passe mais aussi au niveau réseau avec des filtres permettant de n'autoriser que certains services. Ces règles de sécurité réseau sont appelée Groupe de Sécurité.

Les groupes de sécurité permettent de filter les accès à une machine virtuelle en fonction des critères suivants:

  • le sens de la connexion (entrante ou sortante)
  • adresse de provenance de la connexion
  • adresse de destination de la connexion
  • port de connexion (22 pour le ssh, 80 pour le http, 443 pour le https, etc.)

Les modèles de VM comportant un volet de service (par exemple, le modèle “serveur web clé en main”) intègre automatiquement le groupe de sécurité qui autorise la connexion sur le service (les ports 80 et 443 pour le modèle “serveur web clé en main”).

Il est possible de définir dans un modèle de machine virtuelle, de demander à l'utilisateur de saisir des informations qui permettront de configurer la VM lors de son initialisation: c'est la contextualisation. Un cas classique, par exemple, est la saisie du mot de passe administrateur.

  • wiki/documentation/principes.1527171096.txt.gz
  • Dernière modification: 2018/05/24 16:11
  • de abelard-a