| Les deux révisions précédentes
Révision précédente
Prochaine révision
|
Révision précédente
|
wiki:documentation:principes [2018/07/10 10:40]
friscourt-s [Persistance d'une VM] |
wiki:documentation:principes [2022/10/05 09:05] (Version actuelle)
boudard-t |
| ====== Présentation ====== | ====== Présentation ====== |
| |
| Voici la {{ :wiki:documentation:iaas_-_presentation_dg_19032018.pdf |présentation du service}} au format PDF qui a été utilisée lors de la restitution auprès de la direction générale des services et des chefs de service informatique de proximité. | Voici la {{ :wiki:documentation:iaas_-_presentation_dg_19032018.pdf |présentation du service}} au format PDF qui a été utilisée lors de la restitution auprès de la direction générale des services et des chefs de service informatique de proximité... |
| |
| ====== Principes de fonctionnement ====== | ====== Principes de fonctionnement ====== |
| * un réseau nommé "*_UNIV" qui est accessible depuis toute l'université. | * un réseau nommé "*_UNIV" qui est accessible depuis toute l'université. |
| * un réseau nommé "*_INTRA" qui n'est accessible qu'à partir des réseaux de la composante. | * un réseau nommé "*_INTRA" qui n'est accessible qu'à partir des réseaux de la composante. |
| | * un réseau nommé "*_PEDAGO" qui n'est accessible qu'à partir des réseaux de la composante. (ce réseau n'est pas systématiquement déployé) |
| |
| <alert type="info">Il est **très** fortement conseillé de n'allouer que le strict minimum à une VM et de faire évoluer les ressources affectées à la VM au fur et à mesure de son cycle de vie. Par exemple, il est conseillé de n'allouer qu'une portion de CPU à une VM: 0.2 ou 0.5 CPU pour commencer.</alert> | <alert type="info">Il est **très** fortement conseillé de n'allouer que le strict minimum à une VM et de faire évoluer les ressources affectées à la VM au fur et à mesure de son cycle de vie. Par exemple, il est conseillé de n'allouer qu'une portion de CPU à une VM: 0.2 ou 0.5 CPU pour commencer.</alert> |
| ==== Groupe de sécurité ==== | ==== Groupe de sécurité ==== |
| |
| Les principes de base de la sécurité informatique conseillent de filtrer les accès aux machines virtuelles à tous les niveaux possible: au niveau système avec un identifiant et un mot de passe mais aussi au niveau réseau avec des filtres permettant de n'autoriser que certains services. Ces règles de sécurité réseau sont appelée **Groupe de Sécurité**. | Les principes de base de la sécurité informatique conseillent de filtrer les accès aux machines virtuelles à tous les niveaux possible : au niveau système, avec un identifiant et un mot de passe, mais aussi au niveau réseau, avec des filtres permettant de n'autoriser que certains services. Ces règles de sécurité réseau sont appelées **Groupe de Sécurité**. |
| |
| |
| Les groupes de sécurité permettent de filter les accès à une machine virtuelle en fonction des critères suivants: | Les groupes de sécurité permettent de filtrer les accès à une machine virtuelle en fonction des critères suivants: |
| * le sens de la connexion (entrante ou sortante) | * le sens de la connexion (entrante ou sortante) |
| * adresse de provenance de la connexion | * adresse de provenance de la connexion |
| * adresse de destination de la connexion | * adresse de destination de la connexion |
| * port de connexion (22 pour le ssh, 80 pour le http, 443 pour le https, etc.) | * port de connexion (22 pour le ssh, 80 pour le http, 443 pour le https, etc) |
| |
| Les modèles de VM comportant un volet de service (par exemple, le modèle "serveur web clé en main") intègre automatiquement le groupe de sécurité qui autorise la connexion sur le service (les ports 80 et 443 pour le modèle "serveur web clé en main"). | Les modèles de VM comportant un volet de service (par exemple, le modèle "serveur web clé en main") intègrent automatiquement le groupe de sécurité qui autorise la connexion sur le service (les ports 80 et 443, pour le modèle "serveur web clé en main"). |
| |
| <alert type="info"> | <alert type="info"> |
| Il existe un groupe de sécurité par défaut. Toutes les VM démarrent, de base avec les règles suivantes: | Il existe un groupe de sécurité par défaut. Toutes les VM démarrent de base avec les règles suivantes: |
| * en entrée: icmp (ping) et ssh | * en entrée: icmp (ping) et ssh |
| * en sortie: | * en sortie: |
| </alert> | </alert> |
| |
| | <alert type="warning"> |
| | L'ajout d'un groupe de sécurité à une VM déjà instanciée oblige de détacher et réattacher l'interface réseau (cf [[https://docs.iaas.univ-nantes.fr/wiki:documentation:groupadmin#modifier_les_regles_de_securite_reseau_d_une_vm_prealablement_creee)|ici]]) alors que la modification d'un groupe de sécurité est transparent. Il est donc fortement conseillé de prévoir un groupe de sécurité par VM en production. |
| | </alert> |
| ==== Contextualisation ==== | ==== Contextualisation ==== |
| |
| Il est possible de définir dans un modèle de machine virtuelle, de demander à l'utilisateur de saisir des informations qui permettront de configurer la VM lors de son initialisation: c'est la contextualisation. Un cas classique, par exemple, est la saisie du mot de passe administrateur. | Dans un modèle de machine virtuelle, il est possible de définir des informations à saisir par l'utilisateur, lesquelles permettront de configurer la VM lors de son initialisation : c'est la contextualisation. Un cas classique, par exemple, est la saisie du mot de passe administrateur. |
| |
| |