Čarovnija virtualizacije: uvodni tečaj v Proxmox VE

Danes bomo govorili o tem, kako hitro in enostavno namestiti več virtualnih strežnikov z različnimi operacijskimi sistemi na en fizični strežnik. To bo vsakemu sistemskemu skrbniku omogočilo centralno upravljanje celotne IT infrastrukture podjetja in prihranilo ogromno virov. Uporaba virtualizacije pomaga čim bolj abstrahirati fizično strežniško strojno opremo, zaščititi kritične storitve in enostavno obnoviti njihovo delovanje tudi v primeru zelo resnih okvar.

Brez dvoma je večina sistemskih skrbnikov seznanjena s tehnikami dela z virtualnim okoljem in zanje ta članek ne bo nobeno odkritje. Kljub temu obstajajo podjetja, ki zaradi pomanjkanja natančnih informacij o njih ne izkoriščajo prilagodljivosti in hitrosti virtualnih rešitev. Upamo, da vam bo naš članek na primeru pomagal razumeti, da je veliko lažje enkrat začeti uporabljati virtualizacijo, kot pa izkusiti nevšečnosti in pomanjkljivosti fizične infrastrukture.

Na srečo je povsem enostavno preizkusiti, kako deluje virtualizacija. Pokazali bomo, kako ustvariti strežnik v virtualnem okolju, na primer za prenos sistema CRM, ki se uporablja v podjetju. Skoraj vsak fizični strežnik je mogoče spremeniti v virtualnega, a najprej morate obvladati osnovne tehnike delovanja. O tem bomo razpravljali v nadaljevanju.

Kako deluje

Ko gre za virtualizacijo, mnogi strokovnjaki začetniki težko razumejo terminologijo, zato razložimo nekaj osnovnih pojmov:

• Hipervizor – posebna programska oprema, ki vam omogoča ustvarjanje in upravljanje virtualnih strojev;
• Navidezni stroj (v nadaljevanju VM) je sistem, ki je logični strežnik znotraj fizičnega z lastnim naborom lastnosti, pogonov in operacijskega sistema;
• Gostitelj virtualizacije — fizični strežnik s hipervizorjem, ki deluje na njem.

Da lahko strežnik deluje kot popoln virtualizacijski gostitelj, mora njegov procesor podpirati eno od dveh tehnologij - Intel® VT ali AMD-V™. Obe tehnologiji opravljata najpomembnejšo nalogo zagotavljanja virov strežniške strojne opreme virtualnim strojem.

Ključna značilnost je, da se vsa dejanja virtualnih strojev izvajajo neposredno na ravni strojne opreme. Hkrati so izolirani drug od drugega, zaradi česar jih je zelo enostavno nadzorovati ločeno. Hipervizor sam igra vlogo nadzornega organa, med njimi razdeljuje vire, vloge in prioritete. Hipervizor posnema tudi tisti del strojne opreme, ki je nujen za pravilno delovanje operacijskega sistema.

Uvedba virtualizacije omogoča, da imamo več delujočih kopij enega strežnika. Kritična napaka ali napaka med postopkom spreminjanja takšne kopije ne bo na noben način vplivala na delovanje trenutne storitve ali aplikacije. To tudi odpravlja dve glavni težavi – skaliranje in zmožnost ohranjanja »živalskega vrta« različnih operacijskih sistemov na isti strojni opremi. To je idealna priložnost za združevanje različnih storitev, ne da bi bilo treba za vsako posebej kupiti opremo.

Virtualizacija izboljša odpornost na napake storitev in nameščenih aplikacij. Tudi če fizični strežnik odpove in ga je treba zamenjati z drugim, bo celotna virtualna infrastruktura ostala v celoti delujoča, pod pogojem, da so diskovni mediji nedotaknjeni. V tem primeru je lahko fizični strežnik popolnoma drugega proizvajalca. To še posebej velja za podjetja, ki uporabljajo strežnike, ki so bili ukinjeni in bodo morali preiti na druge modele.

Zdaj navajamo najbolj priljubljene hipervizorje, ki obstajajo danes:

• VMware ESXi
• Microsoft Hyper-V
• Open Virtualization Alliance KVM
• Oracle VM VirtualBox

Vsi so precej univerzalni, vendar ima vsak od njih določene lastnosti, ki jih je treba vedno upoštevati v fazi izbire: stroške uvajanja/vzdrževanja in tehnične značilnosti. Stroški komercialnih licenc za VMware in Hyper-V so zelo visoki, v primeru okvar pa je težavo s temi sistemi zelo težko rešiti sami.

Po drugi strani pa je KVM popolnoma brezplačen in precej enostaven za uporabo, zlasti kot del že pripravljene rešitve, ki temelji na Debian Linuxu in se imenuje Proxmox Virtual Environment. Ta sistem lahko priporočamo za začetno spoznavanje sveta virtualne infrastrukture.

Kako hitro uvesti hipervizor Proxmox VE

Namestitev najpogosteje ne vzbuja nobenih vprašanj. Prenesite trenutno različico slike od uradne strani in ga s pomočjo pripomočka zapišite na kateri koli zunanji medij Win32DiskImager (v Linuxu se uporablja ukaz dd), nato pa strežnik zaženemo neposredno s tega medija. Naše stranke, ki pri nas najamejo namenske strežnike, lahko izkoristijo še dva enostavnejša načina – preprosto z montažo želene slike neposredno iz KVM konzole ali z naš strežnik PXE.

Namestitveni program ima grafični vmesnik in bo postavil le nekaj vprašanj.

1. Izberite disk, na katerega bo izvedena namestitev. V poglavju možnosti Določite lahko tudi dodatne možnosti označevanja.

   

2. Določite regionalne nastavitve.

   

3. Določite geslo, ki bo uporabljeno za avtorizacijo korenskega superuporabnika in e-poštni naslov skrbnika.

   

4. Določite omrežne nastavitve. FQDN pomeni popolnoma kvalificirano ime domene, npr. node01.yourcompany.com.

   

5. Po končani namestitvi lahko strežnik znova zaženete z gumbom Reboot.

   
   
   Spletni vmesnik za upravljanje bo na voljo na

   https://IP_адрес_сервера:8006

Kaj storiti po namestitvi

Po namestitvi Proxmoxa morate narediti nekaj pomembnih stvari. Pogovorimo se o vsakem od njih podrobneje.

Posodobite sistem na najnovejšo različico

Če želite to narediti, pojdimo na konzolo našega strežnika in onemogočimo plačano skladišče (na voljo samo tistim, ki so kupili plačano podporo). Če tega ne storite, bo apt sporočil napako pri posodabljanju virov paketa.

1. Odprite konzolo in uredite konfiguracijsko datoteko apt:

   nano /etc/apt/sources.list.d/pve-enterprise.list

2. V tej datoteki bo samo ena vrstica. Pred njim postavimo simbol #da onemogočite prejemanje posodobitev iz plačanega skladišča:

   #deb https://enterprise.proxmox.com/debian/pve stretch pve-enterprise

3. Bližnjica na tipkovnici Ctrl + X zapustite urejevalnik z odgovorom Y ko sistem vpraša o shranjevanju datoteke.
4. Izvedemo ukaz za posodobitev virov paketov in posodobitev sistema:

   apt update && apt -y upgrade

Poskrbite za varnost

Priporočamo namestitev najbolj priljubljenega pripomočka Fail2Ban, ki ščiti pred napadi z geslom (brute force). Načelo njegovega delovanja je, da če napadalec prekorači določeno število poskusov prijave v določenem času z napačno prijavo/geslom, bo njegov naslov IP blokiran. Obdobje blokiranja in število poskusov lahko določite v konfiguracijski datoteki.

Glede na praktične izkušnje je bilo med tednom delovanja strežnika z odprtimi vrati ssh 22 in zunanjim statičnim naslovom IPv4 več kot 5000 poskusov uganjanja gesla. In pripomoček je uspešno blokiral približno 1500 naslovov.

Za dokončanje namestitve je tukaj nekaj navodil:

1. Odprite strežniško konzolo prek spletnega vmesnika ali SSH.
2. Posodobite vire paketov:

   apt update

3. Namestite Fail2Ban:

   apt install fail2ban

4. Odprite konfiguracijo pripomočka za urejanje:

   nano /etc/fail2ban/jail.conf

5. Spreminjanje spremenljivk bantime (število sekund, za katere bo napadalec blokiran) in maxretry (število poskusov prijave/vnosa gesla) za vsako posamezno storitev.
6. Bližnjica na tipkovnici Ctrl + X zapustite urejevalnik z odgovorom Y ko sistem vpraša o shranjevanju datoteke.
7. Ponovno zaženite storitev:

   systemctl restart fail2ban

Stanje pripomočka lahko preverite, na primer odstranite statistiko blokiranja blokiranih naslovov IP, s katerih so bili poskusi nasilne uporabe gesel SSH, z enim preprostim ukazom:

fail2ban-client -v status sshd

Odgovor pripomočka bo videti nekako takole:

root@hypervisor:~# fail2ban-client -v status sshd
INFO   Loading configs for fail2ban under /etc/fail2ban
INFO     Loading files: ['/etc/fail2ban/fail2ban.conf']
INFO     Loading files: ['/etc/fail2ban/fail2ban.conf']
INFO   Using socket file /var/run/fail2ban/fail2ban.sock
Status for the jail: sshd
|- Filter
|  |- Currently failed: 3
|  |- Total failed:     4249
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 0
   |- Total banned:     410
   `- Banned IP list:

Na podoben način lahko zaščitite spletni vmesnik pred tovrstnimi napadi z ustvarjanjem ustreznega pravila. Primer takega pravila za Fail2Ban najdete v uradni priročnik.

Začetek

Rad bi vas opozoril na dejstvo, da je Proxmox pripravljen za ustvarjanje novih strojev takoj po namestitvi. Priporočamo pa, da dokončate predhodne nastavitve, da bo sistem v prihodnje enostavno upravljati. Praksa kaže, da je treba hipervizor in virtualne stroje porazdeliti po različnih fizičnih medijih. Kako to storiti, bomo razpravljali spodaj.

Konfigurirajte diskovne pogone

Naslednji korak je konfiguracija pomnilnika, ki se lahko uporablja za shranjevanje podatkov in varnostnih kopij navideznega stroja.

POZOR! Spodnji primer postavitve diska se lahko uporablja samo za namene testiranja. Za uporabo v resničnem svetu toplo priporočamo uporabo programskega ali strojnega polja RAID, da preprečite izgubo podatkov, ko pogoni odpovejo. Kako pravilno pripraviti diskovno polje za delovanje in kaj storiti v nujnih primerih, vam bomo povedali v enem od naslednjih člankov.

Predpostavimo, da ima fizični strežnik dva diska − / Dev / sda, na katerem je nameščen hipervizor in prazen disk / dev / sdb, ki naj bi se uporabljal za shranjevanje podatkov o virtualnem stroju. Da bi sistem videl novo shrambo, lahko uporabite najpreprostejši in najučinkovitejši način - povežite ga kot običajen imenik. Pred tem pa morate opraviti nekaj pripravljalnih korakov. Za primer poglejmo, kako priključiti nov pogon / dev / sdb, poljubne velikosti, formatiranje v datotečni sistem ext4.

1. Disk razdelimo in ustvarimo novo particijo:

   fdisk /dev/sdb

2. Pritisnite tipko o ali g (razdelite disk v MBR ali GPT).
3. Nato pritisnite tipko n (ustvari nov razdelek).
4. In končno w (za shranjevanje sprememb).
5. Ustvarite datotečni sistem ext4:

   mkfs.ext4 /dev/sdb1

6. Ustvarite imenik, kamor bomo priklopili particijo:

   mkdir /mnt/storage

7. Odprite konfiguracijsko datoteko za urejanje:

   nano /etc/fstab

8. Tam dodajte novo vrstico:

   /dev/sdb1	/mnt/storage	ext4	defaults	0	0

9. Ko naredite spremembe, jih shranite z bližnjico na tipkovnici Ctrl + X, odgovarjam Y na vprašanje urednika.
10. Da preverimo, ali vse deluje, pošljemo strežnik na ponovni zagon:

    shutdown -r now

11. Po ponovnem zagonu preverite nameščene particije:

    df -H

Izhod ukaza bi moral to pokazati / dev / sdb1 nameščen v imeniku /mnt/storage. To pomeni, da je naš disk pripravljen za uporabo.

Dodajte novo skladišče v Proxmox

Prijavite se v nadzorno ploščo in pojdite na razdelke Podatkovno središče ➝ skladišče ➝ Dodaj ➝ Imenik.

V oknu, ki se odpre, izpolnite naslednja polja:

• ID — ime bodočega skladišča;
• Imenik - /mnt/storage;
• Vsebina — izberite vse možnosti (po vrsti kliknite vsako možnost).

  

Po tem pritisnite gumb Dodaj. S tem je nastavitev končana.

Ustvarite virtualni stroj

Če želite ustvariti virtualni stroj, izvedite naslednje zaporedje dejanj:

1. Odločimo se za različico operacijskega sistema.
2. Vnaprej prenesite sliko ISO.
3. Izberite v meniju skladišče na novo ustvarjenem repozitoriju.
4. Potisnite Vsebina ➝ Prenesi.
5. Iz seznama izberite ISO sliko in izbiro potrdite s pritiskom na gumb Prenesi.

Po končani operaciji bo slika prikazana na seznamu razpoložljivih.

Ustvarimo naš prvi virtualni stroj:

1. Potisnite Ustvari VM.
2. Izpolnite parametre enega za drugim: ime ➝ ISO-slika ➝ Velikost in vrsta trdega diska ➝ Število procesorjev ➝ Velikost RAM-a ➝ Omrežni adapter.
3. Ko izberete vse želene parametre, kliknite Dokončati. Ustvarjeni stroj bo prikazan v meniju nadzorne plošče.
4. Izberite in kliknite Izstrelite.
5. Pojdi do točke Konzola in namestite operacijski sistem na povsem enak način kot na običajnem fizičnem strežniku.

Če morate ustvariti drug stroj, ponovite zgornje operacije. Ko so vsi pripravljeni, lahko delate z njimi hkrati, tako da odprete več oken konzole.

Nastavite samodejni zagon

Proxmox privzeto ne zažene samodejno strojev, vendar se to enostavno reši z dvema klikoma:

1. Kliknite na ime želenega stroja.
2. Izberite zavihek Možnosti ➝ Začni ob zagonu.
3. Ob istoimenskem napisu postavimo kljukico.

Zdaj, če se fizični strežnik znova zažene, se bo VM samodejno zagnal.

Za napredne skrbnike obstaja tudi možnost, da v razdelku določite dodatne parametre zagona Vrstni red zagona/izklopa. Izrecno lahko določite, v kakšnem vrstnem redu naj se zaženejo stroji. Določite lahko tudi čas, ki naj preteče, preden se zažene naslednji VM, in čas zakasnitve zaustavitve (če operacijski sistem nima časa za zaustavitev, ga bo hipervizor prisilno zaustavil po določenem številu sekund).

Zaključek

Ta članek opisuje osnove, kako začeti uporabljati Proxmox VE, in upamo, da bo novincem pomagal narediti prvi korak in preizkusiti virtualizacijo v akciji.

Proxmox VE je resnično zelo zmogljivo in priročno orodje za vsakega sistemskega skrbnika; Glavna stvar je, da se ne bojite eksperimentirati in razumeti, kako v resnici deluje.

Če imate kakršna koli vprašanja, dobrodošli v komentarjih.

Vir: www.habr.com