Les deux révisions précédentes
Révision précédente
Prochaine révision
|
Révision précédente
|
wiki:documentation:principes [2018/07/10 10:39] friscourt-s [Images et Modèles] |
wiki:documentation:principes [2022/10/05 09:05] (Version actuelle) boudard-t |
====== Présentation ====== | ====== Présentation ====== |
| |
Voici la {{ :wiki:documentation:iaas_-_presentation_dg_19032018.pdf |présentation du service}} au format PDF qui a été utilisée lors de la restitution auprès de la direction générale des services et des chefs de service informatique de proximité. | Voici la {{ :wiki:documentation:iaas_-_presentation_dg_19032018.pdf |présentation du service}} au format PDF qui a été utilisée lors de la restitution auprès de la direction générale des services et des chefs de service informatique de proximité... |
| |
====== Principes de fonctionnement ====== | ====== Principes de fonctionnement ====== |
* un réseau nommé "*_UNIV" qui est accessible depuis toute l'université. | * un réseau nommé "*_UNIV" qui est accessible depuis toute l'université. |
* un réseau nommé "*_INTRA" qui n'est accessible qu'à partir des réseaux de la composante. | * un réseau nommé "*_INTRA" qui n'est accessible qu'à partir des réseaux de la composante. |
| * un réseau nommé "*_PEDAGO" qui n'est accessible qu'à partir des réseaux de la composante. (ce réseau n'est pas systématiquement déployé) |
| |
<alert type="info">Il est **très** fortement conseillé de n'allouer que le strict minimum à une VM et de faire évoluer les ressources affectées à la VM au fur et à mesure de son cycle de vie. Par exemple, il est conseillé de n'allouer qu'une portion de CPU à une VM: 0.2 ou 0.5 CPU pour commencer.</alert> | <alert type="info">Il est **très** fortement conseillé de n'allouer que le strict minimum à une VM et de faire évoluer les ressources affectées à la VM au fur et à mesure de son cycle de vie. Par exemple, il est conseillé de n'allouer qu'une portion de CPU à une VM: 0.2 ou 0.5 CPU pour commencer.</alert> |
==== Persistance d'une VM ==== | ==== Persistance d'une VM ==== |
| |
Par défaut, lors de la destruction d'une VM, ni le modèle personnalisé | Par défaut, lors de la destruction d'une VM, ni le modèle personnalisé, ni l'image du disque ne survit. À la destruction de la VM, toutes les données du disque sont perdues si celui-ci n'a pas été sauvegardé préalablement. La persistance d'une VM permet de créer un nouveau patron servant de disque à la VM. Ainsi, toute modification faite sur les données de la VM sera automatiquement disponible pour la création de nouvelles VM, et cela, même après la destruction de la VM originale. |
ni l'image du disque ne survit. A la destruction de la VM, toutes les données du disque sont perdues si celui-ci n'a pas été sauvegardé préalablement. La persistance d'une VM permet de créer un nouveau patron servant de disque à la VM. Ainsi, toute modification faite sur les données de la VM seront automatiquement disponible pour la création de nouvelles VM et cela, même après la destruction de la VM originale. | |
| |
==== Instantanés ou snapshots ==== | ==== Instantanés ou snapshots ==== |
==== Groupe de sécurité ==== | ==== Groupe de sécurité ==== |
| |
Les principes de base de la sécurité informatique conseillent de filtrer les accès aux machines virtuelles à tous les niveaux possible: au niveau système avec un identifiant et un mot de passe mais aussi au niveau réseau avec des filtres permettant de n'autoriser que certains services. Ces règles de sécurité réseau sont appelée **Groupe de Sécurité**. | Les principes de base de la sécurité informatique conseillent de filtrer les accès aux machines virtuelles à tous les niveaux possible : au niveau système, avec un identifiant et un mot de passe, mais aussi au niveau réseau, avec des filtres permettant de n'autoriser que certains services. Ces règles de sécurité réseau sont appelées **Groupe de Sécurité**. |
| |
| |
Les groupes de sécurité permettent de filter les accès à une machine virtuelle en fonction des critères suivants: | Les groupes de sécurité permettent de filtrer les accès à une machine virtuelle en fonction des critères suivants: |
* le sens de la connexion (entrante ou sortante) | * le sens de la connexion (entrante ou sortante) |
* adresse de provenance de la connexion | * adresse de provenance de la connexion |
* adresse de destination de la connexion | * adresse de destination de la connexion |
* port de connexion (22 pour le ssh, 80 pour le http, 443 pour le https, etc.) | * port de connexion (22 pour le ssh, 80 pour le http, 443 pour le https, etc) |
| |
Les modèles de VM comportant un volet de service (par exemple, le modèle "serveur web clé en main") intègre automatiquement le groupe de sécurité qui autorise la connexion sur le service (les ports 80 et 443 pour le modèle "serveur web clé en main"). | Les modèles de VM comportant un volet de service (par exemple, le modèle "serveur web clé en main") intègrent automatiquement le groupe de sécurité qui autorise la connexion sur le service (les ports 80 et 443, pour le modèle "serveur web clé en main"). |
| |
<alert type="info"> | <alert type="info"> |
Il existe un groupe de sécurité par défaut. Toutes les VM démarrent, de base avec les règles suivantes: | Il existe un groupe de sécurité par défaut. Toutes les VM démarrent de base avec les règles suivantes: |
* en entrée: icmp (ping) et ssh | * en entrée: icmp (ping) et ssh |
* en sortie: | * en sortie: |
</alert> | </alert> |
| |
| <alert type="warning"> |
| L'ajout d'un groupe de sécurité à une VM déjà instanciée oblige de détacher et réattacher l'interface réseau (cf [[https://docs.iaas.univ-nantes.fr/wiki:documentation:groupadmin#modifier_les_regles_de_securite_reseau_d_une_vm_prealablement_creee)|ici]]) alors que la modification d'un groupe de sécurité est transparent. Il est donc fortement conseillé de prévoir un groupe de sécurité par VM en production. |
| </alert> |
==== Contextualisation ==== | ==== Contextualisation ==== |
| |
Il est possible de définir dans un modèle de machine virtuelle, de demander à l'utilisateur de saisir des informations qui permettront de configurer la VM lors de son initialisation: c'est la contextualisation. Un cas classique, par exemple, est la saisie du mot de passe administrateur. | Dans un modèle de machine virtuelle, il est possible de définir des informations à saisir par l'utilisateur, lesquelles permettront de configurer la VM lors de son initialisation : c'est la contextualisation. Un cas classique, par exemple, est la saisie du mot de passe administrateur. |
| |
| |