Магија виртуелизације: уводни курс у Прокмок ВЕ

Данас ћемо причати о томе како брзо и једноставно поставити неколико виртуелних сервера са различитим оперативним системима на једном физичком серверу. Ово ће омогућити сваком администратору система да централно управља целокупном ИТ инфраструктуром компаније и уштеди огромну количину ресурса. Употреба виртуелизације помаже да се што више апстрахује од хардвера физичког сервера, заштити критичне услуге и лако обнови њихов рад чак и у случају веома озбиљних кварова.

Без икакве сумње, већина систем администратора је упозната са техникама рада са виртуелним окружењем и за њих овај чланак неће бити никакво откриће. Упркос томе, постоје компаније које не користе предности флексибилности и брзине виртуелних решења због недостатка тачних информација о њима. Надамо се да ће вам наш чланак помоћи да на примеру разумете да је много лакше једном почети да користите виртуелизацију него искусити непријатности и недостатке физичке инфраструктуре.

На срећу, прилично је лако испробати како виртуелизација функционише. Показаћемо како да направите сервер у виртуелном окружењу, на пример, да пренесете ЦРМ систем који се користи у компанији. Скоро сваки физички сервер се може претворити у виртуелни, али прво морате савладати основне технике рада. О томе ће бити речи у наставку.

Како то функционише

Када је у питању виртуелизација, многим стручњацима почетницима је тешко да разумеју терминологију, па хајде да објаснимо неколико основних концепата:

• Хипервизор – посебан софтвер који вам омогућава да креирате виртуелне машине и управљате њима;
• Виртуелна машина (у даљем тексту ВМ) је систем који је логички сервер унутар физичког са сопственим скупом карактеристика, диск јединицама и оперативним системом;
• Виртуализатион Хост — физички сервер на коме ради хипервизор.

Да би сервер функционисао као потпуни хост виртуелизације, његов процесор мора да подржава једну од две технологије – или Интел® ВТ или АМД-В™. Обе технологије обављају најважнији задатак обезбеђивања серверских хардверских ресурса виртуелним машинама.

Кључна карактеристика је да се све радње виртуелних машина изводе директно на хардверском нивоу. Истовремено, они су изоловани једни од других, што их чини прилично лаким за контролу одвојено. Сам хипервизор игра улогу надзорног органа, распоређујући ресурсе, улоге и приоритете између њих. Хипервизор такође емулира онај део хардвера који је неопходан за исправан рад оперативног система.

Увођење виртуелизације омогућава да постоји неколико покренутих копија једног сервера. Критичан квар или грешка током процеса уношења измена у такву копију ни на који начин неће утицати на рад тренутне услуге или апликације. Ово такође елиминише два главна проблема – скалирање и могућност задржавања „зоолошког врта“ различитих оперативних система на истом хардверу. Ово је идеална прилика за комбиновање разних услуга без потребе за куповином посебне опреме за сваку од њих.

Виртуелизација побољшава толеранцију грешака услуга и примењених апликација. Чак и ако физички сервер поквари и треба га заменити другим, цела виртуелна инфраструктура ће остати у потпуности оперативна, под условом да су дискови нетакнути. У овом случају, физички сервер може бити потпуно другог произвођача. Ово посебно важи за компаније које користе сервере који су укинути и који ће морати да мигрирају на друге моделе.

Сада наводимо најпопуларније хипервизоре који данас постоје:

• ВМваре ЕСКСи
• Мицрософт Хипер-В
• Опен Виртуализатион Аллианце КВМ
• Орацле ВМ ВиртуалБок

Сви су прилично универзални, међутим, сваки од њих има одређене карактеристике које увек треба узети у обзир у фази одабира: трошкове распоређивања/одржавања и техничке карактеристике. Цена комерцијалних лиценци за ВМваре и Хипер-В је веома висока, а у случају кварова веома је тешко самостално решити проблем са овим системима.

КВМ је, с друге стране, потпуно бесплатан и прилично једноставан за коришћење, посебно као део готовог решења заснованог на Дебиан Линук-у под називом Прокмок Виртуал Енвиронмент. Овај систем можемо препоручити за почетно упознавање света виртуелне инфраструктуре.

Како брзо применити Прокмок ВЕ хипервизор

Инсталација најчешће не поставља никаква питања. Преузмите тренутну верзију слике са званичног сајта и запишите га на било који спољни медиј користећи услужни програм ВинКСНУМКСДискИмагер (у Линуку се користи команда дд), након чега покрећемо сервер директно са овог медија. Наши клијенти који од нас изнајмљују наменске сервере могу да искористе два још једноставнија начина - једноставно монтирањем жељене слике директно са КВМ конзоле или коришћењем наш ПКСЕ сервер.

Инсталатер има графички интерфејс и поставиће само неколико питања.

1. Изаберите диск на коме ће се извршити инсталација. У поглављу Опције Такође можете одредити додатне опције за означавање.

   

2. Одредите регионална подешавања.

   

3. Наведите лозинку која ће се користити за ауторизацију роот суперкорисника и адресу е-поште администратора.

   

4. Одредите мрежна подешавања. ФКДН је скраћеница за потпуно квалификовано име домена, нпр. ноде01.иоурцомпани.цом.

   

5. Након завршетка инсталације, сервер се може поново покренути помоћу дугмета Ребоот.

   
   
   Интерфејс за веб управљање биће доступан на адреси

   https://IP_адрес_сервера:8006

Шта урадити након инсталације

Постоји неколико важних ствари које треба да урадите након инсталирања Прокмок-а. Хајде да разговарамо о сваком од њих детаљније.

Ажурирајте систем на најновију верзију

Да бисмо то урадили, идемо на конзолу нашег сервера и онемогућимо плаћено спремиште (доступно само онима који су купили плаћену подршку). Ако то не урадите, апт ће пријавити грешку приликом ажурирања извора пакета.

1. Отворите конзолу и уредите конфигурациону датотеку апт:

   nano /etc/apt/sources.list.d/pve-enterprise.list

2. У овој датотеци ће бити само један ред. Испред њега стављамо симбол #да онемогућите примање ажурирања из плаћеног спремишта:

   #deb https://enterprise.proxmox.com/debian/pve stretch pve-enterprise

3. Пречица на тастатури Цтрл + Кс изађите из уредника одговором Y на питање система о чувању датотеке.
4. Покрећемо наредбу за ажурирање извора пакета и ажурирање система:

   apt update && apt -y upgrade

Водите рачуна о безбедности

Можемо препоручити инсталирање најпопуларнијег услужног програма Фаил2Бан, који штити од напада лозинком (бруте форце). Принцип његовог рада је да ако нападач премаши одређени број покушаја пријаве у одређеном времену са погрешним логом/лозинком, онда ће његова ИП адреса бити блокирана. Период блокирања и број покушаја могу се навести у конфигурационој датотеци.

На основу практичног искуства, током недеље рада сервера са отвореним ссх портом 22 и спољном статичком ИПв4 адресом, било је више од 5000 покушаја да се погоди лозинка. А услужни програм је успешно блокирао око 1500 адреса.

Да бисте довршили инсталацију, ево неколико упутстава:

1. Отворите конзолу сервера преко веб интерфејса или ССХ.
2. Ажурирај изворе пакета:

   apt update

3. Инсталирај Фаил2Бан:

   apt install fail2ban

4. Отворите конфигурацију услужног програма за уређивање:

   nano /etc/fail2ban/jail.conf

5. Промена променљивих бантиме (број секунди у којима ће нападач бити блокиран) и макретри (број покушаја уноса пријаве/лозинке) за сваку појединачну услугу.
6. Пречица на тастатури Цтрл + Кс изађите из уредника одговором Y на питање система о чувању датотеке.
7. Поново покрените услугу:

   systemctl restart fail2ban

Можете да проверите статус услужног програма, на пример, да уклоните статистику блокирања блокираних ИП адреса са којих је било покушаја да се наметну ССХ лозинке, једном једноставном командом:

fail2ban-client -v status sshd

Одговор услужног програма ће изгледати отприлике овако:

root@hypervisor:~# fail2ban-client -v status sshd
INFO   Loading configs for fail2ban under /etc/fail2ban
INFO     Loading files: ['/etc/fail2ban/fail2ban.conf']
INFO     Loading files: ['/etc/fail2ban/fail2ban.conf']
INFO   Using socket file /var/run/fail2ban/fail2ban.sock
Status for the jail: sshd
|- Filter
|  |- Currently failed: 3
|  |- Total failed:     4249
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 0
   |- Total banned:     410
   `- Banned IP list:

На сличан начин можете заштитити веб интерфејс од таквих напада креирањем одговарајућег правила. Пример таквог правила за Фаил2Бан се може наћи у званични приручник.

Први кораци

Желео бих да вам скренем пажњу на чињеницу да је Прокмок спреман за креирање нових машина одмах након инсталације. Међутим, препоручујемо да довршите прелиминарна подешавања како би се убудуће лако управљало системом. Пракса показује да хипервизор и виртуелне машине треба дистрибуирати преко различитих физичких медија. Како то учинити, биће речи у наставку.

Конфигуришите диск јединице

Следећи корак је да конфигуришете складиште које се може користити за чување података виртуелне машине и резервних копија.

ПАЖЊА! Пример распореда диска испод може се користити само у сврхе тестирања. За употребу у стварном свету, топло препоручујемо коришћење софтверског или хардверског РАИД низа да бисте спречили губитак података када дискови покваре. Рећи ћемо вам како правилно припремити дисковни низ за рад и шта учинити у случају нужде у једном од следећих чланака.

Претпоставимо да физички сервер има два диска − / дев / сда, на којој је инсталиран хипервизор и празан диск / дев / сдб, који је планиран да се користи за складиштење података виртуелне машине. Да би систем видео ново складиште, можете користити најједноставнији и најефикаснији метод - повезати га као обичан директоријум. Али пре тога морате урадити неке припремне кораке. Као пример, да видимо како да повежемо нови диск / дев / сдб, било које величине, форматирајући га у систем датотека ектКСНУМКС.

1. Партиционирамо диск, стварајући нову партицију:

   fdisk /dev/sdb

2. Притисните тастер o или g (партиционирајте диск у МБР или ГПТ).
3. Затим притисните тастер n (направи нови одељак).
4. И коначно w (да бисте сачували промене).
5. Направите ект4 систем датотека:

   mkfs.ext4 /dev/sdb1

6. Направите директоријум у који ћемо монтирати партицију:

   mkdir /mnt/storage

7. Отворите конфигурациону датотеку за уређивање:

   nano /etc/fstab

8. Додајте нови ред тамо:

   /dev/sdb1	/mnt/storage	ext4	defaults	0	0

9. Након што извршите промене, сачувајте их помоћу пречице на тастатури Цтрл + Кс, одговарајући Y на питање уредника.
10. Да бисмо проверили да ли све ради, шаљемо сервер да се поново покрене:

    shutdown -r now

11. Након поновног покретања, проверите монтиране партиције:

    df -H

Излаз команде то треба да покаже / дев / сдб1 монтиран у директоријум /мнт/стораге. То значи да је наш диск спреман за употребу.

Додајте ново спремиште у Прокмок

Пријавите се на контролну таблу и идите на одељке Центар за податке ➝ складиште ➝ Додати ➝ Именик.

У прозору који се отвори попуните следећа поља:

• ID — назив будућег складишног објекта;
• Именик - /мнт/стораге;
• Садржај — изаберите све опције (кликните на сваку опцију редом).

  

Након тога, притисните дугме Додати. Овим је подешавање завршено.

Направите виртуелну машину

Да бисте креирали виртуелну машину, извршите следећи низ радњи:

1. Одлучујемо о верзији оперативног система.
2. Преузмите ИСО слику унапред.
3. Изаберите из менија складиште новостворено спремиште.
4. Притисни Садржај ➝ Преузимање.
5. Изаберите ИСО слику са листе и потврдите избор притиском на дугме Преузимање.

Након што се операција заврши, слика ће бити приказана на листи доступних.

Хајде да направимо нашу прву виртуелну машину:

1. Притисни Креирајте ВМ.
2. Попуните параметре један по један: име ➝ ИСО-Имаге ➝ Величина и тип чврстог диска ➝ Број процесора ➝ Величина РАМ-а ➝ Мрежни адаптер.
3. Након одабира свих жељених параметара, кликните Завршити. Креирана машина ће бити приказана у менију контролне табле.
4. Изаберите га и кликните Покретање.
5. Иди на тачку Конзола и инсталирајте оперативни систем на потпуно исти начин као на обичном физичком серверу.

Ако треба да направите другу машину, поновите горе наведене операције. Када су сви спремни, можете радити са њима истовремено отварањем неколико прозора конзоле.

Подесите аутоматско покретање

Подразумевано, Прокмок не покреће аутоматски машине, али ово се лако решава са само два клика:

1. Кликните на назив жељене машине.
2. Изаберите картицу Опције ➝ Почните при покретању.
3. Ставили смо квачицу поред натписа истог имена.

Сада, ако се физички сервер поново покрене, ВМ ће се аутоматски покренути.

За напредне администраторе, постоји и могућност да наведу додатне параметре покретања у одељку Редослед покретања/искључивања. Можете експлицитно одредити којим редоследом машине треба да се покрену. Такође можете одредити време које треба да прође пре него што се следећи ВМ покрене и време кашњења при гашењу (ако оперативни систем нема времена да се искључи, хипервизор ће га приморати да се искључи након одређеног броја секунди).

Закључак

Овај чланак је изложио основе како да започнете са Прокмок ВЕ и надамо се да ће помоћи почетницима да направе први корак и испробају виртуелизацију на делу.

Прокмок ВЕ је заиста веома моћан и згодан алат за сваког администратора система; Главна ствар је да се не плашите експериментисања и разумете како то заиста функционише.

Ако имате било каквих питања, добродошли у коментаре.

Извор: ввв.хабр.цом