Kouzlo virtualizace: úvodní kurz Proxmox VE

Dnes si povíme, jak rychle a snadno nasadit několik virtuálních serverů s různými operačními systémy na jeden fyzický server. To umožní jakémukoli správci systému centrálně spravovat celou IT infrastrukturu společnosti a ušetřit obrovské množství zdrojů. Využití virtualizace pomáhá co nejvíce abstrahovat od hardwaru fyzického serveru, chránit kritické služby a snadno obnovit jejich provoz i v případě velmi vážných poruch.

Bezpochyby většina systémových administrátorů zná techniky práce s virtuálním prostředím a tento článek pro ně nebude objevem. Navzdory tomu existují společnosti, které flexibilitu a rychlost virtuálních řešení nevyužívají kvůli nedostatku přesných informací o nich. Doufáme, že náš článek pomůže na příkladu pochopit, že je mnohem jednodušší začít používat virtualizaci jednou, než zažít nepříjemnosti a nevýhody fyzické infrastruktury.

Naštěstí vyzkoušet, jak virtualizace funguje, je poměrně snadné. Ukážeme si, jak vytvořit server ve virtuálním prostředí, například pro migraci CRM systému používaného ve firmě. Téměř každý fyzický server lze přeměnit na virtuální, ale nejprve je třeba zvládnout základní pracovní metody. To bude probráno níže.

Jak to funguje

Pokud jde o virtualizaci, pro mnoho začátečníků je obtížné porozumět terminologii, proto si pojďme vysvětlit několik základních pojmů:

• hypervizor - speciální software, který umožňuje vytvářet virtuální stroje a spravovat je;
• Virtuální stroj (dále jen VM) je systém, který je logickým serverem uvnitř fyzického serveru s vlastní sadou charakteristik, disků a operačního systému;
• Hostitel virtualizace - fyzický server, na kterém běží hypervizor.

Aby server fungoval jako plnohodnotný virtualizační hostitel, jeho procesor musí podporovat jednu ze dvou technologií, buď Intel® VT nebo AMD-V™. Obě technologie plní nejdůležitější úkol – poskytování serverových hardwarových prostředků virtuálním strojům.

Klíčovou vlastností je, že veškeré akce virtuálních strojů se provádějí přímo na úrovni hardwaru. Zároveň jsou od sebe izolované, díky čemuž je celkem snadné je samostatně spravovat. Samotný hypervizor hraje roli kontrolního orgánu, který mezi ně rozděluje zdroje, role a priority. Hypervizor také emuluje tu část hardwaru, která je nezbytná pro správnou funkci operačního systému.

Zavedení virtualizace umožňuje provozovat více kopií jednoho serveru. Kritická chyba nebo chyba v procesu provádění změn takové kopie žádným způsobem neovlivní provoz aktuální služby nebo aplikace. Zároveň jsou také odstraněny dva hlavní problémy – škálování a možnost udržet na stejném zařízení „zoo“ různých operačních systémů. Jedná se o ideální příležitost pro kombinaci široké škály služeb bez nutnosti pořizovat pro každou z nich samostatné vybavení.

Virtualizace zvyšuje odolnost služeb a nasazených aplikací. I v případě, že fyzický server selže a bude nutné jej vyměnit za jiný, celá virtuální infrastruktura zůstane plně funkční za předpokladu, že diskové médium bude neporušené. V tomto případě může být fyzický server úplně jiného výrobce. To platí zejména pro společnosti, které používají servery, které byly ukončeny a budou muset přejít na jiné modely.

Nyní uvádíme nejoblíbenější hypervizory, které dnes existují:

• VMware ESXi
• Microsoft Hyper-V
• Open Virtualization Alliance KVM
• Oracle VM VirtualBox

Všechny jsou poměrně univerzální, ale každý z nich má určité vlastnosti, které je třeba vždy vzít v úvahu ve fázi výběru: náklady na nasazení/údržbu a technické vlastnosti. Náklady na komerční licence VMware a Hyper-V jsou velmi vysoké a v případě poruch je velmi obtížné vyřešit problém s těmito systémy vlastními silami.

KVM je na druhé straně zcela zdarma a docela snadno se používá, zejména jako součást kompletního řešení založeného na Debian Linuxu s názvem Proxmox Virtual Environment. Právě tento systém můžeme doporučit pro prvotní seznámení se světem virtuální infrastruktury.

Jak rychle nasadit hypervizor Proxmox VE

Instalace většinou nezpůsobuje žádné problémy. Stažení nejnovější verze obrázku z oficiálních stránek a zapište jej na jakékoli externí médium pomocí nástroje Win32DiskImager (na Linuxu se používá příkaz dd), po kterém nabootujeme server přímo z tohoto média. Naši zákazníci, kteří si od nás pronajmou dedikované servery, mohou využít dva ještě jednodušší způsoby – jednoduše namontovat požadovaný obraz přímo z konzole KVM nebo použít náš PXE server.

Instalační program má grafické rozhraní a položí pouze několik otázek.

1. Vyberte disk, na kterém bude instalace provedena. V kapitole možnosti můžete také nastavit další možnosti označení.

   

2. Zadejte místní nastavení.

   

3. Zadejte heslo, které bude použito k autorizaci superuživatele root a e-mailovou adresu správce.

   

4. Zadejte nastavení sítě. FQDN znamená plně kvalifikovaný název domény, např. uzel01.vasespolečnost.com.

   

5. Po dokončení instalace lze server odeslat k restartu pomocí tlačítka Reboot.

   
   
   Webové rozhraní pro správu bude dostupné na

   https://IP_адрес_сервера:8006

Co dělat po instalaci

Po instalaci Proxmoxu je třeba udělat několik důležitých věcí. Promluvme si o každém z nich podrobněji.

Aktualizujte systém na nejnovější verzi

Chcete-li to provést, přejděte do konzoly našeho serveru a deaktivujte placené úložiště (dostupné pouze těm, kteří si zakoupili placenou podporu). Pokud tak neučiníte, apt ohlásí chybu při aktualizaci zdrojů balíčků.

1. Otevřete konzolu a upravte konfigurační soubor apt:

   nano /etc/apt/sources.list.d/pve-enterprise.list

2. Tento soubor bude mít pouze jeden řádek. Dáme před něj symbol #zakázat přijímání aktualizací z placeného úložiště:

   #deb https://enterprise.proxmox.com/debian/pve stretch pve-enterprise

3. Klávesová zkratka Ctrl + X opusťte editor odpovědí Y na otázku systému o uložení souboru.
4. Provedeme příkaz pro aktualizaci zdrojů balíčků a aktualizaci systému:

   apt update && apt -y upgrade

Postarejte se o bezpečnost

Můžeme doporučit instalaci nejoblíbenějšího nástroje Fail2Ban, která chrání před útoky hrubou silou. Princip jeho fungování spočívá v tom, že pokud útočník překročí určitý počet pokusů o přihlášení po stanovenou dobu s nesprávným loginem / heslem, bude jeho IP adresa zablokována. Dobu blokování a počet pokusů lze zadat v konfiguračním souboru.

Na základě praktických zkušeností bylo za týden provozu serveru s otevřeným ssh portem 22 a externí statickou IPv4 adresou více než 5000 pokusů uhodnout heslo. A nástroj úspěšně zablokoval asi 1500 adres.

Pro dokončení instalace je zde malý návod:

1. Otevřete konzolu serveru přes webové rozhraní nebo SSH.
2. Aktualizovat zdroje balíčků:

   apt update

3. Nainstalujte Fail2Ban:

   apt install fail2ban

4. Otevřete konfiguraci nástroje pro úpravy:

   nano /etc/fail2ban/jail.conf

5. Změňte proměnné bantime (počet sekund, které útočník zablokuje) a maxretry (počet pokusů o přihlášení/zadání hesla) pro každou jednotlivou službu.
6. Klávesová zkratka Ctrl + X opusťte editor odpovědí Y na otázku systému o uložení souboru.
7. Restartování služby:

   systemctl restart fail2ban

Můžete zkontrolovat stav nástroje, například odstranit statistiku blokování blokovaných IP adres, ze kterých došlo k pokusům o hrubé vynucení hesel SSH, jedním jednoduchým příkazem:

fail2ban-client -v status sshd

Odpověď nástroje bude vypadat nějak takto:

root@hypervisor:~# fail2ban-client -v status sshd
INFO   Loading configs for fail2ban under /etc/fail2ban
INFO     Loading files: ['/etc/fail2ban/fail2ban.conf']
INFO     Loading files: ['/etc/fail2ban/fail2ban.conf']
INFO   Using socket file /var/run/fail2ban/fail2ban.sock
Status for the jail: sshd
|- Filter
|  |- Currently failed: 3
|  |- Total failed:     4249
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 0
   |- Total banned:     410
   `- Banned IP list:

Obdobným způsobem lze před podobnými útoky uzavřít webové rozhraní vytvořením příslušného pravidla. Příklad takového pravidla pro Fail2Ban lze nalézt v oficiální průvodce.

Začínáme

Upozorňuji na skutečnost, že Proxmox je připraven k vytvoření nových strojů ihned po instalaci. Doporučujeme však provést předběžná nastavení, aby bylo možné systém později snadno spravovat. Praxe ukazuje, že hypervizor a virtuální stroje by měly být umístěny na různých fyzických médiích. Jak to udělat, bude diskutováno níže.

Nastavte diskové jednotky

Dalším krokem je nastavení úložiště, které lze použít k ukládání dat a záloh virtuálních strojů.

POZORNOST! Níže uvedený příklad rozložení disku lze použít pouze pro testovací účely. Pro použití v reálném světě důrazně doporučujeme používat softwarové nebo hardwarové pole RAID, abyste zabránili ztrátě dat při selhání disků. Jak správně připravit diskové pole pro práci a jak si počínat v případě nouze, vám prozradíme v některém z následujících článků.

Předpokládejme, že fyzický server má dva disky − / dev / sda, na kterém je nainstalován hypervizor a prázdný disk / dev / sdb, který se plánuje používat k ukládání dat virtuálního stroje. Aby systém viděl nové úložiště, můžete použít nejjednodušší a nejúčinnější metodu - připojit jej jako běžný adresář. Před tím je ale potřeba udělat nějaké přípravy. Jako příklad se podívejme, jak připojit nový disk / dev / sdb, libovolné velikosti, naformátováním na systém souborů ext4.

1. Rozdělte disk vytvořením nového oddílu:

   fdisk /dev/sdb

2. Stiskněte klávesu o nebo g (rozdělení disku na MBR nebo GPT).
3. Poté stiskněte klávesu n (vytvořit novou sekci).
4. A konečně w (pro uložení změn).
5. Vytvořte souborový systém ext4:

   mkfs.ext4 /dev/sdb1

6. Vytvořte adresář, kam připojíme oddíl:

   mkdir /mnt/storage

7. Otevřete konfigurační soubor pro úpravy:

   nano /etc/fstab

8. Přidejte tam nový řádek:

   /dev/sdb1	/mnt/storage	ext4	defaults	0	0

9. Po provedení změn je uložte pomocí klávesové zkratky. Ctrl + X, odpovídání Y na dotaz redaktora.
10. Abychom zkontrolovali, že vše funguje, pošleme server k restartu:

    shutdown -r now

11. Po restartu zkontrolujte připojené oddíly:

    df -H

Výstup příkazu by to měl ukázat / dev / sdb1 připojený do adresáře /mnt/storage. To znamená, že naše jednotka je připravena vyrazit.

Přidejte nové úložiště do Proxmox

Přihlaste se do ovládacího panelu a přejděte do sekcí Datové centrum ➝ sklad ➝ přidat ➝ Adresář.

V okně, které se otevře, vyplňte následující pole:

• ID — název budoucího úložiště;
• Adresář - /mnt/storage;
• Obsah - vyberte všechny možnosti (střídavě klikněte na každou možnost).

  

Poté stiskněte tlačítko přidat. Tím je nastavení dokončeno.

Vytvořte virtuální stroj

Chcete-li vytvořit virtuální počítač, proveďte následující posloupnost akcí:

1. Zjistíme verzi operačního systému.
2. Nejprve nahrajte obraz ISO.
3. Vyberte si z nabídky sklad nově vytvořené úložiště.
4. Klikněte zde Obsah ➝ Stažení.
5. Vyberte obraz ISO ze seznamu a potvrďte výběr stisknutím tlačítka Stažení.

Po dokončení operace se obrázek zobrazí v seznamu dostupných.

Pojďme vytvořit náš první virtuální stroj:

1. Klikněte zde Vytvořte VM.
2. Postupně vyplňte parametry: název ➝ Obraz ISO ➝ Velikost a typ pevného disku ➝ Počet procesorů ➝ velikost RAM ➝ Síťový adaptér.
3. Po výběru všech požadovaných možností stiskněte Dokončeno. Vytvořený stroj se zobrazí v nabídce ovládacího panelu.
4. Vyberte jej a klikněte Spusťte.
5. Pojďme k pointě konzola a nainstalujte operační systém přesně stejným způsobem jako na běžném fyzickém serveru.

Pokud potřebujete vytvořit další stroj, opakujte výše uvedené operace. Až budou všechny připraveny, můžete s nimi pracovat současně otevřením několika oken konzoly.

Nastavte automatické spouštění

Ve výchozím nastavení Proxmox automaticky nespouští stroje, ale to lze snadno vyřešit pouhými dvěma kliknutími:

1. Klikněte na název požadovaného stroje.
2. Vyberte kartu Možnosti ➝ Spustit při spuštění.
3. Před stejnojmenný nápis jsme dali zaškrtnutí.

Nyní, pokud se fyzický server restartuje, virtuální počítač se spustí automaticky.

Pro pokročilé administrátory je v sekci také možnost zadat další možnosti spouštění Pořadí spuštění/vypnutí. Můžete explicitně určit, v jakém pořadí se mají stroje spouštět. Můžete také určit čas, který musí uplynout, než se spustí další virtuální počítač, a dobu zpoždění vypnutí (pokud operační systém nestihne vypnout, hypervizor jej po určitém počtu sekund vynutí vypnout).

Závěr

Tento článek popsal základy toho, jak můžete začít s Proxmox VE, a doufáme, že pomůže začátečníkům udělat první krok a vyzkoušet virtualizaci v akci.

Proxmox VE je skutečně velmi výkonný a praktický nástroj pro každého správce systému; hlavní je nebát se experimentovat a pochopit, jak to doopravdy funguje.

Pokud máte nějaké dotazy, vítám vás v komentářích.

Zdroj: www.habr.com