A maxia da virtualización: un curso de iniciación a Proxmox VE

Hoxe falaremos de como implantar de forma rápida e sinxela varios servidores virtuais con diferentes sistemas operativos nun servidor físico. Isto permitirá a calquera administrador do sistema xestionar de forma centralizada toda a infraestrutura de TI da empresa e aforrar unha enorme cantidade de recursos. O uso da virtualización axuda a abstraer o máximo posible do hardware do servidor físico, protexer os servizos críticos e restaurar facilmente o seu funcionamento mesmo en caso de fallos moi graves.

Sen ningunha dúbida, a maioría dos administradores de sistemas están familiarizados coas técnicas de traballo cun ambiente virtual e para eles este artigo non será ningún descubrimento. A pesar diso, hai empresas que non aproveitan a flexibilidade e rapidez das solucións virtuais por falta de información precisa sobre elas. Agardamos que o noso artigo che axude a comprender co exemplo que é moito máis doado comezar a usar a virtualización unha vez que experimentar os inconvenientes e as deficiencias da infraestrutura física.

Afortunadamente, é bastante sinxelo probar como funciona a virtualización. Mostraremos como crear un servidor nun entorno virtual, por exemplo, para transferir un sistema CRM utilizado nunha empresa. Case calquera servidor físico pódese converter nun virtual, pero primeiro cómpre dominar as técnicas básicas de funcionamento. Isto será discutido a continuación.

Como funciona

Cando se trata de virtualización, a moitos especialistas novatos é difícil entender a terminoloxía, así que imos explicar algúns conceptos básicos:

• Hipervisor – software especial que lle permite crear e xestionar máquinas virtuais;
• Máquina virtual (en diante VM) é un sistema que é un servidor lóxico dentro dun físico cun conxunto propio de características, unidades e sistema operativo;
• Host de virtualización — un servidor físico cun hipervisor en execución.

Para que un servidor funcione como un host de virtualización completo, o seu procesador debe admitir unha das dúas tecnoloxías: Intel® VT ou AMD-V™. Ambas tecnoloxías realizan a tarefa máis importante de proporcionar recursos de hardware do servidor ás máquinas virtuais.

A característica fundamental é que calquera acción das máquinas virtuais realízase directamente a nivel de hardware. Ao mesmo tempo, están illados entre si, o que fai que sexa moi doado controlalos por separado. O propio hipervisor desempeña o papel de autoridade supervisora, distribuíndo recursos, roles e prioridades entre eles. O hipervisor tamén emula aquela parte do hardware que é necesaria para o correcto funcionamento do sistema operativo.

A introdución da virtualización fai posible ter varias copias en execución dun servidor. Un fallo ou erro crítico durante o proceso de modificación desta copia non afectará de ningún xeito ao funcionamento do servizo ou aplicación actual. Isto tamén elimina dous problemas principais: a escala e a capacidade de manter un "zoo" de diferentes sistemas operativos no mesmo hardware. Esta é unha oportunidade ideal para combinar unha variedade de servizos sen necesidade de comprar equipos separados para cada un deles.

A virtualización mellora a tolerancia a fallos dos servizos e das aplicacións despregadas. Aínda que o servidor físico falle e teña que ser substituído por outro, toda a infraestrutura virtual permanecerá totalmente operativa, sempre que os medios de disco estean intactos. Neste caso, o servidor físico pode ser dun fabricante completamente diferente. Isto é especialmente certo para as empresas que usan servidores que foron descontinuados e terán que migrar a outros modelos.

Agora enumeramos os hipervisores máis populares que existen hoxe en día:

• VMware ESXi
• Microsoft Hyper-V
• Open Virtualization Alliance KVM
• Oracle VM VirtualBox

Todos son bastante universais, con todo, cada un deles ten certas características que sempre se deben ter en conta na fase de selección: o custo de implantación/mantemento e características técnicas. O custo das licenzas comerciais para VMware e Hyper-V é moi elevado e, en caso de fallos, é moi difícil resolver o problema con estes sistemas por conta propia.

KVM, por outra banda, é completamente gratuíto e bastante fácil de usar, especialmente como parte dunha solución preparada baseada en Debian Linux chamada Proxmox Virtual Environment. Podemos recomendar este sistema para un primeiro familiarizado co mundo da infraestrutura virtual.

Como implementar rapidamente o hipervisor Proxmox VE

A instalación na maioría das veces non suscita dúbidas. Descarga a versión actual da imaxe do sitio oficial e escríbeo en calquera medio externo usando a utilidade Win32DiskImager (en Linux utilízase o comando dd), despois de que arrancamos o servidor directamente desde este medio. Os nosos clientes que nos alugan servidores dedicados poden aproveitar dúas formas aínda máis sinxelas: simplemente montando a imaxe desexada directamente desde a consola KVM ou usando o noso servidor PXE.

O instalador ten unha interface gráfica e só fará algunhas preguntas.

1. Seleccione o disco no que se realizará a instalación. No capítulo Opcións Tamén pode especificar opcións de marcado adicionais.

   

2. Especifique a configuración rexional.

   

3. Especifique o contrasinal que se utilizará para autorizar o superusuario root e o enderezo de correo electrónico do administrador.

   

4. Especifique a configuración da rede. FQDN significa nome de dominio totalmente cualificado, por exemplo. nodo01.yourcompany.com.

   

5. Despois de completar a instalación, o servidor pódese reiniciar usando o botón Reiniciar.

   
   
   A interface de xestión web estará dispoñible en

   https://IP_адрес_сервера:8006

Que facer despois da instalación

Hai algunhas cousas importantes que debes facer despois de instalar Proxmox. Falemos de cada un deles con máis detalle.

Actualiza o sistema á última versión

Para iso, imos á consola do noso servidor e desactivemos o repositorio de pago (dispoñible só para aqueles que compraron soporte de pago). Se non o fas, apt informará dun erro ao actualizar as fontes do paquete.

1. Abre a consola e edita o ficheiro de configuración de apt:

   nano /etc/apt/sources.list.d/pve-enterprise.list

2. Só haberá unha liña neste ficheiro. Poñemos un símbolo diante #para desactivar a recepción de actualizacións dun repositorio de pago:

   #deb https://enterprise.proxmox.com/debian/pve stretch pve-enterprise

3. Atallo de teclado Ctrl + X sae do editor respondendo Y cando o sistema lle pregunte sobre como gardar o ficheiro.
4. Executamos o comando para actualizar as fontes do paquete e actualizar o sistema:

   apt update && apt -y upgrade

Coida a seguridade

Podemos recomendar a instalación da utilidade máis popular Fail2Ban, que protexe contra ataques de contrasinais (forza bruta). O principio do seu funcionamento é que se un atacante supera un determinado número de intentos de inicio de sesión nun tempo especificado cun inicio de sesión/contrasinal incorrecto, entón o seu enderezo IP bloquearase. O período de bloqueo e o número de intentos pódense especificar no ficheiro de configuración.

Segundo a experiencia práctica, durante unha semana de execución dun servidor con porto ssh aberto 22 e un enderezo IPv4 estático externo, houbo máis de 5000 intentos de adiviñar o contrasinal. E a utilidade bloqueou con éxito preto de 1500 enderezos.

Para completar a instalación, aquí tes algunhas instrucións:

1. Abra a consola do servidor a través da interface web ou SSH.
2. Actualizar fontes do paquete:

   apt update

3. Instalar Fail2Ban:

   apt install fail2ban

4. Abra a configuración da utilidade para editar:

   nano /etc/fail2ban/jail.conf

5. Variables variables bantime (o número de segundos durante os que o atacante será bloqueado) e maxretry (número de intentos de entrada de inicio de sesión/contrasinal) para cada servizo individual.
6. Atallo de teclado Ctrl + X sae do editor respondendo Y cando o sistema lle pregunte sobre como gardar o ficheiro.
7. Reinicie o servizo:

   systemctl restart fail2ban

Podes comprobar o estado da utilidade, por exemplo, eliminar as estatísticas de bloqueo de enderezos IP bloqueados dos que houbo intentos de forza bruta contrasinais SSH, cun simple comando:

fail2ban-client -v status sshd

A resposta da utilidade será algo así:

root@hypervisor:~# fail2ban-client -v status sshd
INFO   Loading configs for fail2ban under /etc/fail2ban
INFO     Loading files: ['/etc/fail2ban/fail2ban.conf']
INFO     Loading files: ['/etc/fail2ban/fail2ban.conf']
INFO   Using socket file /var/run/fail2ban/fail2ban.sock
Status for the jail: sshd
|- Filter
|  |- Currently failed: 3
|  |- Total failed:     4249
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 0
   |- Total banned:     410
   `- Banned IP list:

Do mesmo xeito, pode protexer a interface web de tales ataques creando unha regra adecuada. Un exemplo desta regra para Fail2Ban pódese atopar en manual oficial.

introdución

Gustaríame chamar a súa atención sobre o feito de que Proxmox está preparado para crear novas máquinas inmediatamente despois da instalación. Non obstante, recomendámosche que completes a configuración preliminar para que o sistema se poida xestionar facilmente no futuro. A práctica mostra que o hipervisor e as máquinas virtuais deben distribuírse en diferentes medios físicos. Como facelo discutirase a continuación.

Configurar unidades de disco

O seguinte paso é configurar o almacenamento que se pode usar para gardar datos e copias de seguridade da máquina virtual.

¡ATENCIÓN! O exemplo de deseño do disco que aparece a continuación só se pode usar para probas. Para o uso no mundo real, recomendamos encarecidamente utilizar unha matriz RAID de software ou hardware para evitar a perda de datos cando fallan as unidades. Dirémosche como preparar correctamente unha matriz de discos para o seu funcionamento e que facer en caso de emerxencia nun dos seguintes artigos.

Supoñamos que o servidor físico ten dous discos − / dev / sda, no que está instalado o hipervisor e un disco baleiro / dev / sdb, que está previsto que se use para almacenar datos da máquina virtual. Para que o sistema vexa o novo almacenamento, pode usar o método máis sinxelo e eficaz: conécteo como un directorio normal. Pero antes diso, cómpre facer algúns pasos preparatorios. Como exemplo, vexamos como conectar unha nova unidade / dev / sdb, calquera tamaño, formatándoo nun sistema de ficheiros ext4.

1. Particionamos o disco, creando unha nova partición:

   fdisk /dev/sdb

2. Prema a tecla o ou g (particione o disco en MBR ou GPT).
3. A continuación, prema a tecla n (crear unha nova sección).
4. E finalmente w (para gardar os cambios).
5. Crea un sistema de ficheiros ext4:

   mkfs.ext4 /dev/sdb1

6. Crea un directorio onde montaremos a partición:

   mkdir /mnt/storage

7. Abre o ficheiro de configuración para editar:

   nano /etc/fstab

8. Engade alí unha nova liña:

   /dev/sdb1	/mnt/storage	ext4	defaults	0	0

9. Despois de facer cambios, gárdaos cun atallo de teclado Ctrl + X, respondendo Y á pregunta do editor.
10. Para comprobar que todo funciona, enviamos o servidor a reiniciar:

    shutdown -r now

11. Despois do reinicio, verifique as particións montadas:

    df -H

A saída do comando debería mostralo / dev / sdb1 montado no directorio /mnt/almacenamento. Isto significa que a nosa unidade está lista para o seu uso.

Engade un novo repositorio en Proxmox

Inicia sesión no panel de control e vai ás seccións Centro de datos ➝ Bóveda ➝ Agregar ➝ Directorio.

Na xanela que se abre, enche os seguintes campos:

• ID — nome da futura instalación de almacenamento;
• Directorio - /mnt/almacenamento;
• Contido — seleccione todas as opcións (facendo clic en cada opción á súa vez).

  

Despois diso, prema o botón Agregar. Isto completa a configuración.

Crear unha máquina virtual

Para crear unha máquina virtual, realice a seguinte secuencia de accións:

1. Decidimos a versión do sistema operativo.
2. Descarga a imaxe ISO con antelación.
3. Seleccione no menú Bóveda o repositorio recén creado.
4. Faga clic aquí Contido ➝ Descargar.
5. Seleccione unha imaxe ISO da lista e confirme a selección premendo o botón Descargar.

Despois de completar a operación, a imaxe mostrarase na lista de dispoñibles.

Imos crear a nosa primeira máquina virtual:

1. Faga clic aquí Crear VM.
2. Encha os parámetros un por un: nome ➝ ISO-Imaxe ➝ Tamaño e tipo de disco duro ➝ Número de procesadores ➝ Tamaño da memoria RAM ➝ Adaptador de rede.
3. Despois de seleccionar todos os parámetros desexados, prema Completar. A máquina creada mostrarase no menú do panel de control.
4. Seleccionalo e fai clic Lanzamento.
5. Ir ao punto Consola e instale o sistema operativo exactamente do mesmo xeito que nun servidor físico normal.

Se precisa crear outra máquina, repita as operacións anteriores. Unha vez que estean todos listos, pode traballar con eles á vez abrindo varias fiestras da consola.

Configurar a execución automática

Por defecto, Proxmox non inicia máquinas automaticamente, pero isto resólvese facilmente con só dous clics:

1. Fai clic no nome da máquina desexada.
2. Seleccione unha pestana Opcións ➝ Comeza no arranque.
3. Poñemos unha marca ao carón da inscrición do mesmo nome.

Agora, se se reinicia o servidor físico, a máquina virtual comezará automaticamente.

Para os administradores avanzados, tamén hai a oportunidade de especificar parámetros de inicio adicionais na sección Orde de inicio/apagado. Pode especificar de forma explícita en que orde se deben iniciar as máquinas. Tamén pode especificar o tempo que debe pasar antes de que se inicie a seguinte máquina virtual e o tempo de atraso do apagado (se o sistema operativo non ten tempo para apagarse, o hipervisor obrigará a apagalo despois dun determinado número de segundos).

Conclusión

Este artigo describiu os conceptos básicos de como comezar con Proxmox VE e esperamos que axude aos novatos a dar o primeiro paso e probar a virtualización en acción.

Proxmox VE é verdadeiramente unha ferramenta moi poderosa e cómoda para calquera administrador de sistemas; O principal é non ter medo de experimentar e comprender como funciona realmente.

Se tes algunha dúbida, benvido aos comentarios.

Fonte: www.habr.com