Que pensez vous de ce how-to ?

[quote=“lol”][quote=“Clochette”]@ lol : J’ai pas bien compris pourquoi tu veut absolument avoir iptable sur ton noyau XEN, c’est ta “VM” qui le gère et non ton dom0 qui lui ne doit surtout pas être accessible depuis l’extérieur ( hormis une petite porte discrète avec un VPN si tu le désire ).

A moins que je n’ai pas tous compris et que tu parle des noyau aménagé dans les “VM” .[/quote]

Salut,
Oui et je dois me planter au moins sur ce point: inutile de charger un noyau Xen dans les VM, le noyau “classique” suffit…
Mon erreur est là…
Ceci dit, sur le (la ?) dom0, iptables ne fait pas de mal, chez moi le lan est ouvert à des “passants”, il faut que je me méfie aussi de ce côté…

devant et derrière! [/quote]

Ah oki, moi je suis plutôt du genre “parano” avec ce genre de chose du coup uniquement accessible depuis le lan ou le VPN ( clé de 4096 bits bientôt encore plus longue ).

[quote=“lol”]Alors… je suis un peu paumé…

J’ai choisi le noyau classique pour une domX (2.6.32-5-amd64)

FATAL: Could not load /lib/modules/2.6.32-5-amd64/modules.dep: No such file or directory iptables v1.4.8: can't initialize iptables table `filter': iptables who? (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded.

Il manque encore les modules… Et pourtant, évidemment, ils sont sur la dom0.[/quote]

Par contre pour te créer une domU tu peut aussi utiliser les outils de xen ce que j’avais fait avant : http://man.cx/xen-create-image%288%29 ça et pygrub si mes souvenirs sont bon.
Maintenant j’ai eu un week-end assez chargé en alcool et je n’ai pas beaucoup mis les mains sur le serveur, préférant bien mettre à plat ce qu’il faudra que je mette en place.

Re,
Oui moi c’est ce midi que je me suis un peu envoyé en l’air…
Dur dur ce soir

Bref, Xen!

J’ai compris.
J’ai effectivement utilisé xen-create-image, comme tout le monde.

Mais… Dans le fichier /etc/xen-tools/xen-tools.conf tu trouve ceci:

kernel = /boot/vmlinuz-`uname -r` initrd = /boot/initrd.img-`uname -r`
Bien entendu si tu a démarré sur un noyau Xen, uname -r renvoie sur celui-ci, et du coup l’image réplicable contient un noyau Xen.
Je suis en train d’essayer en ayant démarré sur le noyau classique pour voir…

[quote=“lol”]Re,
Oui moi c’est ce midi que je me suis un peu envoyé en l’air…
Dur dur ce soir

Bref, Xen!

J’ai compris.
J’ai effectivement utilisé xen-create-image, comme tout le monde.

Mais… Dans le fichier /etc/xen-tools/xen-tools.conf tu trouve ceci:

kernel = /boot/vmlinuz-`uname -r` initrd = /boot/initrd.img-`uname -r`
Bien entendu si tu a démarré sur un noyau Xen, uname -r renvoie sur celui-ci, et du coup l’image réplicable contient un noyau Xen.
Je suis en train d’essayer en ayant démarré sur le noyau classique pour voir…[/quote]

Oki et c’est pourquoi, chose que j’avais zappé la toute première fois je me suis fait un LV avec une installation basique de Debian sur laquelle je venais piocher tous ce que j’avais besoin ( je faisais ça pour m’éviter de télécharger systématiquement lors d’un test de quelques jours sur une VM ).
Rien ne t’empêche aussi d’installer un noyau supplémentaire de Debian sur ton dom0 ( et ce même si il ne servira qu’a ça ) et dernier choix te faire un répertoire à la con avec les images de plusieurs noyaux dont tu pourrai avoir besoin et en adaptant le chemin .

Re,
Je viens de faire un essai en ayant démarré sur le 2.6.32-5. Marche pas… ou je m’y suis mal pris…
Je vais continuer tranquillement mes essais avec le 2.6.35-5-xen.

Y’a tellement de trucs à configurer que ça va prendre des plombes… J’aurais bien le temps de revenir dessus.

Rien qu’iptables c’est pas une mince affaire…

Salut,
J’avance enfin… et je commence à comprendre.

J’ai une question, rapport au tuto de Raum:

Quel est l’intérêt de réserver des partitions aux VM (et en LVM) alors que ça fonctionne très bien avec les fichiers img ?
En tout cas pour la passerelle (qui ne devrait contenir presque rien d’autre que des règles iptables et quelques protections) ?

[quote=“lol”]Salut,
J’avance enfin… et je commence à comprendre.

J’ai une question, rapport au tuto de Raum:

Quel est l’intérêt de réserver des partitions aux VM (et en LVM) alors que ça fonctionne très bien avec les fichiers img ?
En tout cas pour la passerelle (qui ne devrait contenir presque rien d’autre que des règles iptables et quelques protections) ?[/quote]

Euuuuh à vrai dire la seule VM qui chez moi été toute “rikiki” c’était la vm avec le firewall ensuite en ordre de taille c’était le dom0.
J’utilisé à l’époque des LV séparé un peut comme un petit soldat ( j’avais lu et compris ça comme ça ) mais je pense que à l’avenir il n’est pas obligatoire d’utiliser autant de lv vu que les disques sont virtualisés ainsi que la ram et le cpu.
Le seule lv qui reste obligatoire d’après moi c’est celui qui dans mon cas va gérer l’espace de stockage du serveur NFS ( ah tient plus de place, attends bouge pas je rajoute un disque ), à l limite si une grappe de disque en raid 0 plutôt qu’un lv de plus pouvais hébergé le système et là je pense que ce serai parfait.

Salut,

[quote=“Clochette”]
Euuuuh à vrai dire la seule VM qui chez moi été toute “rikiki” c’était la vm avec le firewall ensuite en ordre de taille c’était le dom0.
J’utilisé à l’époque des LV séparé un peut comme un petit soldat ( j’avais lu et compris ça comme ça ) mais je pense que à l’avenir il n’est pas obligatoire d’utiliser autant de lv vu que les disques sont virtualisés ainsi que la ram et le cpu.
Le seule lv qui reste obligatoire d’après moi c’est celui qui dans mon cas va gérer l’espace de stockage du serveur NFS ( ah tient plus de place, attends bouge pas je rajoute un disque ), à l limite si une grappe de disque en raid 0 plutôt qu’un lv de plus pouvais hébergé le système et là je pense que ce serai parfait.[/quote]

C’est bien ce que je pensais, c’est se faire chier la b… pour rien

J’adore cette expression
“Ils ont bien vu à mon air que c’était pas du tout le moment de venir me faire chier la bite. (Céline)”

Je vais aller au plus simple et au plus léger… Je dois bien avoir disque de moins de 100Go qui traîne quelque part - c’est le minimum légal maintenant…
Un machine physique avec rien dessus, un VM avec le parefeu et une autre avec les services “sensibles”.
4Go de Ram histoire de respirer (j’ai des barrettes inutilisées…).

Y’a plus qu’a comme disait ma grand-mère!

Zieute mas signature camarade, je vois qu’on a les même goûts littéraire!!

Zieute mas signature camarade, je vois qu’on a les même goûts littéraire!![/quote]

J’avais déjà vu… Et j’ai pensé à toi au moment de l’écrire!

Salut,
Je reviens vers toi sur ce sujet…

Comment pratiques-tu pour installer OpenBSD dans Xen ? Ça m’intéresse pour installer une pfSense…

[quote=“lol”]Salut,
Je reviens vers toi sur ce sujet…

Comment pratiques-tu pour installer OpenBSD dans Xen ? Ça m’intéresse pour installer une pfSense… [/quote]
J’ai pas encore regardé sur la version 4 mais pour la version 3 de xen je m’étais l’installation par une méthode bien crasseuse depuis une Debian.

Je regarde ça ce soir là j’ai la petite tête blonde qui découvre les joie du crayon de couleur sur la table basse

Bon, bah mauvaise nouvelle j’avais pas fais gaffe mais depuis le passage à la version4 nous ne pouvons que nous replier vers une netBSD il y avais une archive assez sympathique avec le fichier de configuration pour le noyau BSD mais impossible de remettre la main dessus.

Du coup je fais bien la gueule car j’ai plus qu’a changer mon fusil d’épaule et soit passer par une machine à part pour gérer le routage, soit abandonner l’idée d’utiliser une Openbsd et me rabattre sur une Debian ou une netBSD

A mon humble avis je pense que je vais revoir un peut mes objectifs finaux.

• la gestion du point d’entré de mon réseau
• le filtrage et la redirection
• l’hébergement de mes différentes activités web
• l’hébergement de mon service de mon courrier
• l’hébergement d’un serveur de version
• l’hébergement d’un espace de stockage de données
• la gestion de l’authentification sur le réseau

Pour ça j’ai deux machines à disposition, une très puissantes et une autres poussive mais suffisantes à mon humble avis pour des services comme la gestion du courriel ou des sauvegardes et des versions avec Mercurial.

Maintenant si je ne peut pas gérer l’entrée de mon réseau et le filtrage par une OpenBSD par le biais de XEN, soit je continue avec du netBSD, soit je continue comme ça avec une Debian à la place, soit je casse ma bourse pour me faire une troisième machines juste pour gérer ça

Il faut que j’y réfléchisse sérieusement car je ne souhaite vraiment pas dépensé en ce moment des milles et des cents, ni abandonné l’idée de me faire la main sur du BSD.

• EDIT - bon bah je pense que je vais essayer une migration de mon gros serveur pour le passer entièrement sous OpenBSD et jouer avec les sysjails pour isoler ce qui étaient anciennement les domaine publique et privé de mon installation.
  Mais bon si je fais ça je sent bien que je vais finir par migrer toutes mes machines sous BSD

Salut,
Merci d’avoir pris la peine de répondre. Dommage…
J’ai pas mal cherché depuis quelques jours, et je n’ai rien trouvé de concluant…

[quote=“lol”]Salut,
Merci d’avoir pris la peine de répondre. Dommage…
J’ai pas mal cherché depuis quelques jours, et je n’ai rien trouvé de concluant…[/quote]

La seule façon de faire c’est de monter OpenBSD avec le support HVM ( et appliquer un patch ) autant dire la galère à moins de se rabattre sur la netBSD qui elle tourne même en domO.

C’est peut-être quelque chose qui va prêter à sourire mais je pense que d’ici quelques temps vous me verrez bien moins souvent car je commence vraiment à lorgner sur une installation à domicile FULL BSD et donc je pense que je passerai proportionnellement plus de temps sur les forums de support BSD que sur Debian-fr.org

PS : Enfin rien n’est fait pour l’instant

Salut,

Ça c’est dommage…

Pour ma part, j’ai mis de côté Xen pour l’instant. J’utiliserais des Vbox en “headless”, ça fonctionne bien aussi. Et du coup l’installation de n’importe quelle BSD est enfantine…
Je suis en train de refaire ma passerelle/pare-feu/routeur/serveur à tout faire…

[quote=“lol”]Salut,

Ça c’est dommage…

Pour ma part, j’ai mis de côté Xen pour l’instant. J’utiliserais des Vbox en “headless”, ça fonctionne bien aussi. Et du coup l’installation de n’importe quelle BSD est enfantine…
Je suis en train de refaire ma passerelle/pare-feu/routeur/serveur à tout faire…[/quote]

Ouhais bon j’ai récupéré une alimentation assez puissante pour commencer la réfection du gros serveur qui passera sous OpenBSD, et je pense que le reste des machines attendra un peut mais il y a de forte chance pour que la migration touche d’autre machine

Du coup abandon de xen au profit de sysjails astucieuses pour cloisonner le réseau

• EDIT - EEEeerrrffff alimentation bonne ouhais c’est ça, je maudit mon pote là

Pas de bras, pas de chocolat…

[quote=“lol”]Salut,

Ça c’est dommage…

Pour ma part, j’ai mis de côté Xen pour l’instant. J’utiliserais des Vbox en “headless”, ça fonctionne bien aussi. Et du coup l’installation de n’importe quelle BSD est enfantine…
Je suis en train de refaire ma passerelle/pare-feu/routeur/serveur à tout faire…[/quote]

Oui c’est dommage ici aussi…Je veux aussi une Debian avec des cornes ,

@ lol: je vais bientôt monter une machine dans le genre de ce que tu décris.(une histoire de budget pas encore réglé)

[quote=“terix”]
Oui c’est dommage ici aussi…Je veux aussi une Debian avec des cornes ,

@ lol: je vais bientôt monter une machine dans le genre de ce que tu décris.(une histoire de budget pas encore réglé)[/quote]

Ce n’est simplement que nous ne pouvons pas bénéficier de OpenBSD sous XEN de façon para virtualiser ( ce la reste possible en virtualisation complète mais c’est galère à monter et bouffe trop de ressources ), après rien ne t’empêche de récupérer des cornes sur ta Debian c’est un tous autre projet ( netBSD est disponible avec un noyau xen et freeBSD ne devrait pas tarder non plus ).

Maintenant j’avais chois cette façon de faire par souci de récupérer un gros PC qui ne me servirait plus et serait difficilement vendable sans perdre d’argent à y réfléchir le mieux serait de récupérer deux mini PC et un NAS

Il faut étudié correctement le projet et ne pas hésité à coucher sur papier le plan générale des services

Salut,

Excellent conseil! C’est du temps de gagné sur la suite.