Synthèses
Permets de mettre différents hôtes physiques dans un même pool appelé Cluster. Si des VM sont interrompues dû à un problème, vSphere HA va les redémarrer sur un autre hôte physique du même cluster.
Gère le partage de ressources à travers un cluster. Il fait du load balancing d'hôtes en déplaçant les VM vers de nouveaux hôtes. Son but est d'avoir un équilibre entre l'utilisation des hôtes pour améliorer le fonctionnement de toutes les VM.
Un SAN est un réseau spécialisé dans la mise en relation de ressources de stockage et des serveurs. Contrairement aux NAS les machines ont un accès bas niveau aux ressources leur faisant croire que le stockage est directement attaché en local. Un SAN permets à plusieurs serveurs de partager le même espace de stockage.
En général une machine directement connectés aux disques physiques gère les grappes RAID et partage celles-ci sur le réseau sous forme de LUN (Logical Unit Number).
// à développer
TrueNAS est un logiciel OpenSource offrant des fonctionnalités NAS et SAN que nous utilisons dans nos laboratoires. Il permet de gérer sur un serveur physique l'accès aux disques durs. Il agrégera les disques en grappes RAID appelés pool qu'il découpera en volumes. Il rends les volumes disponibles au moyen de différent protocoles (CIFS, NFS, rsync, AFP, iSCSI). Dans nos labos nous utiliserons iSCSI.
// à développer
iSCSI est un protocole de stockage en réseau qui permets de relier des stockages de données. C'est un protocole SAN permettant de représenter un ensemble de disque physiques distant comme étant un disque directement connecté à une machine.
iSCSI est un protocole définissant une manière de transporter des paquets SCSI (Small Computer System Interface) directement au dessus de TCP/IP, sur des réseaux LAN, WAN ou via internet. Il transporte des commandes et des blocs de données entre un initiateur et une cible. Dans le cas de nos labos, les initiateurs sont nos ESX et la cible est la TrueNAS sur lesquels on a mis en place des LUNs.
Pour configurer iSCSI dans TrueNAS on va paramètres plusieurs choses :
- l'IP/port sur lequel TrueNAS écoute des requêtes entrantes
- l'accès en fonction : des id et IP des hôtes et des logins user/mot de passe
- le/les volumes utilisés
Ce paramètre se fait au moyens de plusieurs objets :
- pool : ensemble des disques physiques agrégés
- plusieurs volumes : découpages d'un pool
- Portal : l'IP et le port d'écoute
- Initiator Group : défini les hôtes autorisés en fonction des IP et ID (IQN)
- Authorized Access : définit une authentification CHAP
- Target : fait le lien entre le Portal, l'Initiation Group et l'Authorized Access
- Extent : indique quel volume utiliser et quel paramètres y sont associés
- Associated Target : lie un Target et un Extent, attribue au groupement un LUN ID.
CHAP ou Challenge-Handshake Authentication Protocol est un protocole d'authentification notamment utilisé par iSCSI pour que les membres d'une communication puissent s'authentifier. CHAP est un protocole d'authentification à base de challenges, les deux membres de la connexion possède un "secret", une clé unique qui va leur permettre de s'authentifier. Au tout début de la connexion l'un des deux envoie un "challenge" à l'autre. Le second doit répondre en envoyant une valeur calculée par hachage à l'aide du secret et du défi. Le premier compare la réponse avec la valeur qu'il à lui-même calculé. La procédure est répété régulièrement.
Ce système permets de ne pas envoyer de mot de passe en clair sur le réseau (contrairement à on prédécesseur, PAP) et d'empêcher une autre personne sur le réseau de réutiliser l'échange. Le défi change constamment et il faut le secret pour le résoudre.
Voici l'ordre de la communication CHAP fournie par la documentation Oracle :
Le pair (l'authentificateur) défie l'appelant (l'authentifié) de prouver son identité.
-
Deux pairs sur le point d'initialiser la communication conviennent d'un secret à utiliser pour l'authentification lors de la négociation d'une liaison PPP.
-
Les administrateurs des deux machines ajoutent le secret, les noms d'utilisateur CHAP et d'autres informations d'identification CHAP dans la base de données /etc/ppp/chap-secrets de leur machine respective.
-
L'appelant (l'authentifié) appelle le pair distant (l'authentificateur).
-
L'authentificateur génère un numéro aléatoire et un ID, et envoie ces données à l'authentifié sous forme de défi.
-
L'authentifié recherche le nom et le secret du pair dans sa base de données /etc/ppp/chap-secrets.
-
L'authentifié calcule une réponse en appliquant l'algorithme de calcul MD5 au secret et au défi de numéro aléatoire du pair. Ensuite, l'authentifié envoie pour réponse les résultats à l'authentificateur.
-
L'authentificateur recherche le nom et le secret de l'authentifié dans sa base de données /etc/ppp/chap-secrets,
-
L'authentificateur calcule son propre chiffre en appliquant MD5 au numéro généré en tant que défi et secret pour l'authentifié dans la base de données /etc/ppp/chap-secrets.
-
L'authentificateur compare les résultats avec la réponse de l'appelant. Si les deux valeurs sont identiques, le pair a authentifié l'appelant et la négociation de liaison se poursuit. Dans le cas contraire, la liaison est interrompue.
Question : Au début il y a un accord sur le secret à utiliser. Comment le partager sans que quelqu'un le récupères et se fasse passer pour l'un des deux ?
Pendant le labo 3 nous avons créé et paramètré un LUN et l'avons attaché à nos deux ESX. Lors de la création nous avons paramètré les différents objets. Nous avons créé un nouveau volume (Zvol) dans un pool "SAN Students" (point 2). Nous avons paramètré une authentification CHAP et l'avons lié avec un Portal et un Initiator Group déjà présent en un Target (point 3 et 4). Nous avons créé un Extent et l'avons lié à un Target pour créer un Associated Target et lui avons donné un LUN ID (point 5 et 6).
Documentation TrueNAS sur la création de partages iSCSI : https://www.truenas.com/docs/core/coretutorials/sharing/iscsi/addingiscsishare/
| N° | Auteur | Date de rédaction | Date de consultation | Titre | Lien |
|---|---|---|---|---|---|
| 1 | Professeurs d'administration des réseaux de l'EPHEC | - | 9 Novembre 2022 | Administration des réseaux - Travaux pratiques - vCenter Clusters et iSCSI | https://moodle.ephec.be/pluginfile.php/458088/mod_resource/content/0/vCenter%20clusters%20et%20iSCSi.pdf |
| 2 | Écrit et vérifié par la communauté | 28 octobre 2021 | 8 Novembre 2022 | Wikipedia - TrueNAS | https://fr.wikipedia.org/w/index.php?title=TrueNas&oldid=187517015 |
| 3 | TechTarget -iSCSI | Mars 2016 | 8 Octobre 2022 | iSCSI | https://www.lemagit.fr/definition/iSCSI |
| 4 | Écrit et vérifié par la communauté | 19 août 2020 | 8 Novembre 2022 | Wikipedia - iSCSI | https://fr.wikipedia.org/w/index.php?title=ISCSI&oldid=173954908 |
| 5 | The internet society | Avril 2004 | 13 Novembre 2022 | RFC 3720 - Internet Small Computer Systems Interface (iSCSI) | https://datatracker.ietf.org/doc/html/rfc3720 |
| 6 | Documentation Oracle | Juillet 2014 | 13 Novembre 2022 | Protocole CHAP (Challenge-Handshake Authentication Protocol) | https://docs.oracle.com/cd/E56338_01/html/E53884/pppsvrconfig.reference-21.html |
| 7 | Encyclopédie informatique comment ça marche | - | 13 Novembre 2022 | Authentification - Le protocole CHAP | https://web.maths.unsw.edu.au/~lafaye/CCM/authentification/chap.htm |