[https://www.suse.com/support/kb/doc/?id=000016951](https://www.suse.com/support/kb/doc/?id=000016951)
Pour faire simple il faut arrêter la VM et ajouter un attribut sur les VM Ubuntu 20 : ```bash disk.EnableUUID = "TRUE" ``` ##### **VMware tools :** ``` # Installation des VMware Tools : apt install open-vm-tools ``` ### **1. Gestion date et heure:** ```bash # Changer la date : date -s "02/18/2017 12:34:00" # Changer le fuseau horaire : rm /etc/localtime ln -s /usr/share/zoneinfo/Europe/Paris /etc/localtime # Pour que le changement de fuseau survive au redémarrage de la machine, il faut aussi le mettre dans le bon fichier. vi /etc/timezone ZONE="Europe/Paris" # Ce qui donne en une seule commande : sudo su rm /etc/localtime ln -s /usr/share/zoneinfo/Europe/Paris /etc/localtime cat > /etc/timezone << eof ZONE="Europe/Paris" eof cat /etc/timezone exit date ``` ### **3. Accès SSH :**L'algorithme ssh-rsa est désactivé dans la version de SSH livrée dans Ubuntu 22.04 car il utilise la fonction cryptographique SHA-1 qui est jugée dangereuse depuis des années. La connexion SSH de guacamole vers ce serveur ne fonctionne pas. Il est nécessaire de réactiver temporairement la connexion RSA en attendant la mise à jour de Guacamole.
Source : [http://shaarli.guiguishow.info/?4DVyLA](http://shaarli.guiguishow.info/?4DVyLA)
```bash vi /etc/ssh/sshd_config ``` ```bash # JKT-20220517 - Connexion Guacamole : # Source : http://shaarli.guiguishow.info/?4DVyLA HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms +ssh-rsa /etc/init.d/ssh restart ``` ### **4. Prérequis :** ```bash # Mise à jour du serveur : apt-get update && apt-get upgrade -y # Installation des utilitaires : apt-get install ntp postfix # Installation de la supervision : apt-get install nagios-nrpe-server nagios-plugins -y ``` #### ***Ajout du disque de stockage BTRFS pour LXC :*** ##### **Disque LXC :** Ce disque est dédié pour stocker les CT LXC. On ne configure pas de base ce disque qui va être géré directement par LXC en BTRFS. Il ne faut pas configurer le disque en ZFS car cela nécessite une configuration avancé du paramètre ashift. Par défaut l'ashift est de 512byte =2^9 Hors sur les serveurs les secteurs sont à minima 4k = 2^12 Ce qui fait qu'il va écrire sur les disques 8 fois plus et cela va également générer un problème de fragmentation du disque et à terme une panne accéléré du disque. ### **5. Installation de LXC :** Certaines terminologies courantes utilisées avec LXC incluent : chroot - Chroot, également appelé changement de racine ou changement de racine, est une section du système de fichiers isolée du reste du système de fichiers. Un programme exécuté dans cet environnement ne peut pas accéder aux fichiers en dehors de l'arborescence de répertoires désignée. cgroups - Il s'agit d'une fonctionnalité du noyau qui permet d'agréger ou de partitionner des tâches (processus) et tous leurs enfants en groupes organisés hiérarchiquement pour isoler les ressources. ```bash # Installation de lxd et des outils associés : # sudo apt install lxd lxc-utils iraf-dev zfsutils-linux -y sudo apt install lxc lxd-installer ``` #### ***Ajouter un utilisateur au groupe LXD à des fins de gestion :*** Pas besoin d'être l'utilisateur root pour gérer le démon LXD. Pour gérer le serveur LXD, ajoutez votre nom d'utilisateur au groupe lxd à l'aide de la commande adduser sur Ubuntu Linux: ```bash sudo adduser adminme lxd ``` #### ***Configurer les options de mise en réseau et de stockage LXD :*** Maintenant que nous avons installé LXD, il est temps de configurer le serveur LXD. Vous devez configurer l'option de mise en réseau et de stockage telle que le répertoire, ZFS, Btrfs, etc., entrez : ```bash sudo lxd init ``` Ensuite, vous devez répondre à une série de questions sur la façon de configurer le serveur LXD, y compris l'option de stockage et de mise en réseau. Voici un exemple de session que j'ai configuré pour ZFS et le sous-réseau NAT 10.105.28.1/24. N'hésitez pas à choisir les options selon vos besoins: Prérequis pour la préparation du stockage en ZFS : ```bash sudo lxd init Would you like to use LXD clustering? (yes/no) [default=no]: # no Do you want to configure a new storage pool? (yes/no) [default=yes]: # yes Name of the new storage pool [default=default]: # lxc-storage01 Name of the storage backend to use (ceph, btrfs, dir, lvm, zfs) [default=zfs]: # btrfs Create a new BTRFS pool? (yes/no) [default=yes]: # yes Would you like to use an existing empty block device (e.g. a disk or partition)? (yes/no) [default=no]: # yes Path to the existing block device: /dev/disk/by-id/scsi-36000c2920fa37484c1bbc95b339370e5 # Stockage sdb Would you like to connect to a MAAS server? (yes/no) [default=no]: # no Would you like to create a new local network bridge? (yes/no) [default=yes]: # yes What should the new bridge be called? [default=lxdbr0]: # lxdbr0 What IPv4 address should be used? (CIDR subnet notation, “auto” or “none”) [default=auto]: # 192.168.25.1/24 Would you like LXD to NAT IPv4 traffic on your bridge? [default=yes]: # yes What IPv6 address should be used? (CIDR subnet notation, “auto” or “none”) [default=auto]: # none Would you like the LXD server to be available over the network? (yes/no) [default=no]: # no Would you like stale cached images to be updated automatically? (yes/no) [default=yes] # yes Would you like a YAML "lxd init" preseed to be printed? (yes/no) [default=no]: # no # Redémarrer le serveur : reboot ``` Vous êtes ensuite invité à configurer un pont réseau pour les conteneurs LXD. Cela active les fonctionnalités suivantes : \- Chaque conteneur obtient automatiquement une adresse IP privée. \- Chaque conteneur peut communiquer entre eux sur le réseau privé. \- Chaque conteneur peut initier des connexions à Internet. \- Chaque conteneur reste inaccessible depuis Internet par défaut ; vous ne pouvez pas initier une connexion à partir d'Internet et atteindre un conteneur à moins que vous ne l'activiez explicitement. Vous apprendrez à autoriser l'accès à un conteneur spécifique à l'étape suivante. Nous pouvons vérifier les informations en tapant les commandes suivantes: ```bash lxc profile list lxc profile show default lxc network list lxc network show lxdbr0 lxc storage list lxc storage show lxc-storage01 sudo btrfs filesystem show ``` #### ***Configurer VIM pour éditer la configuration des CT à la place de nano*** Par défaut, nano est utilisé pour l'éditer de la configuration des containers. La documentation suivante permet de modifier l'éditeur et utilise vim. Source : https://askubuntu.com/questions/1116800/change-default-editor-in-lxd-snap ```bash # Modification de l'éditeur : echo 'export EDITOR=vim' >> ~/.profile source ~/.profile # Test : lxc config edit $CTNAME ``` # 03-Exploitation ## **A - Commandes :** ### **1. Gestion du stockage :** #### ***Gestion du storage pool BTRFS*** ```bash # Afficher le storage pool : lxc storage list lxc storage show lxc-storage01 lxc storage list info lxc-storage01 # Affiche l'espace disque du volume BTRFS : sudo btrfs filesystem show ``` #### ***Gestion des fichiers des CT :*** ```bash Accès au stockage des CT : # Emplacement : /var/snap/lxd/common/mntns/var/snap/lxd/common/lxd/storage-pools/lxc-storage01/containers/CT/rootfs # Lien symbolique du CT : ln -s /var/snap/lxd/common/mntns/var/snap/lxd/common/lxd/storage-pools/lxc-storage01/containers/CT/rootfs/ /home/adminme/CT ``` ### **2. Commandes LXC :** #### ***Gestion LXC*** ```bash # Gestion des profiles : lxc profile list lxc profile show default # Gestion des réseaux : lxc network list lxc network show lxdbr0 # Afficher les informations d'un CT : lxc info CT-NAME lxc info --show-log CT-NAME lxc show CT-NAME # Se connecter dans un CT : lxc exec CT-NAME bash # Editer la configuration d'un CT : lxc config edit CT-NAME # Démarrage d'un serveur d'un CT : lxc exec CT-NAME service -- ssh start ################################### Source : https://www.cyberciti.biz/faq/create-snapshots-with-lxc-command-lxd/ ### Gestion des snapshots d'un CT : # Créer un snapshot : lxc snapshot CT-NAME Snapname # Vérifier les snapshots : lxc info CT-NAME # Restaurer un snapshot : lxc restore CT-NAME Snapname # Supprimer un snapshot : lxc delete CT-NAME/Snapname lxc delete CT-NAME/Snapname -i # Force la confirmation lxc copy CT-NAME01/base030423 CT-NAME02 lxc delete CT-NAME/base090323 # Liste de l'image LXD intégrée pour diverses distributions Linux : # Pour répertorier toutes les images LXD, exécutez : lxc image list images: | grep -i ubuntu ``` #### ***Gestion des conteneurs*** ```bash # Création d'un conteneur BASE qui servira de template : # Syntaxe : lxc launch images:{distro}/{version}/{arch} {container-name-here} lxc launch ubuntu:22.04 BASE # Lister les conteneurs : lxc list # Répertorier les instances de conteneur Linux # Nous pouvons répertorier les conteneurs existants en utilisant la syntaxe suivante et la commande grep / commande egrep en tant que pipe : lxc list --fast lxc list | grep RUNNING lxc list | grep STOPPED lxc list | grep -i opensuse lxc list "*c1*" lxc list "*c2*" ``` ##### **Comment exécuter/exécuter la commande spécifiée dans un conteneur** Nous exécutons ou exécutons des commandes dans des conteneurs à l'aide de la commande exec comme suit : ```bash lxc exec containerName -- command lxc exec containerName -- /path/to/script lxc exec containerName --env EDITOR=/usr/bin/vim -- command ### run date, ip a, ip rm and other commands on various containers ### lxc exec cenots-8-c2 -- date lxc exec cenots-8-c2 -- ip a lxc exec ubuntu-focal-c5 -- ip r lxc exec fedora-31-c9 -- dnf -y update lxc exec debian-10-www -- cat /etc/debian_version ``` ##### **Comment obtenir l'accès au shell bash dans un conteneur** Vous voulez obtenir un accès login/shell dans un conteneur nommé debian-10-www, entrez : Maintenant, vous pouvez exécuter des commandes ou installer des packages. Par exemple, utilisez la commande apt / la commande apt-get à l' intérieur du conteneur : tapez simplement exit pour revenir à l'hôte : ```bash lxc exec {container-name} {shell-name} lxc exec debian-10-www bash lxc exec CT-NAME bash lxc exec alpine-c1 sh # cat /etc/*issue* # apt update # apt upgrade # exit ``` ##### **Autres commandes** ```bash # Comment afficher des informations sur les serveurs et conteneurs LXD ? lxc info lxc info {container-name} lxc info opensuse15-1-c10 lxc info -n CT-ID # Vérifier la config : lxc checkconfig # Extraire un fichier du conteneur lxc file pull {continer-nane}/{path/to/file} {/path/to/local/dest} lxc file pull ubuntu-xenial-c3/var/www/nginx/app/config.php . # Copier et récupérer des fichiers d'un CT : # Il est possible de transférer des fichiers vers un CT : PUSH # Mais également de récupérer des fichiers depuis un CT : PULL # Pousser un fichier vers le conteneur lxc file push {/path/to/file} {continer-nane}/path/to/dest/dir/ lxc file push config.php ubuntu-xenial-c3/var/www/nginx/app/ # PUSH d'un fichier vers un CT : lxc file push /home/adminme/file.txt CT-NAME/tmp/ # PUSH d'un dossier vers un CT : lxc file push -r /home/adminme/DOSSIER CT-NAME/tmp/ # PULL d'un fichier depuis un CT : lxc file pull /home/adminme/file.txt CT-NAME/tmp/ # PULL d'un dossier depuis un CT : lxc file pull -r CT-NAME/tmp/DOSSIER /home/adminme/ # Obtenir de l'aide sur les commandes lxc lxc --help lxc {command} --help lxc list --help # Gestion d'in Conteneur : lxc start CT-ID lxc restart CT-ID lxc stop CT-ID lxc delete CT-ID lxc stop ubuntu-xenial-c3 && lxc delete ubuntu-xenial-c3 # Configurer l'autostart d'un CT : lxc config set CT-ID boot.autostart true ``` ## **B - Procédure de création d'un CT :** ### **1.** **Création d'un CT :** ```bash # Déclarer la variable : CTNAME=MONCT01 # Création du conteneur : lxc launch ubuntu:22.04 $CTNAME # Configurer l'autostart d'un CT : lxc config set $CTNAME boot.autostart true ``` ### **2. Paramétrage :** Editer le fichier de configuration afin de paramétrer une adresse IP fixe et le forward de port. #### ***Configuration réseau et forward de port :*** Il est nécessaire de bien renseigner le fichier de zone DNZ "lxc.morbihan-energies.fr" afin d'attribuer une adresse IP sur le réseau LXC (non routé). ```bash # Editer le fichier de configuration : lxc config edit $CTNAME ``` Ajouter les lignes suivantes : ```bash devices: eth0: ipv4.address: 192.168.25.XXX name: eth0 network: lxdbr0 type: nic port52201: connect: tcp:0.0.0.0:22 listen: tcp:192.168.1.31:52201 type: proxy port53080: connect: tcp:0.0.0.0:80 listen: tcp:192.168.1.31:53080 type: proxy ``` #### ***Création du compte d'admin :*** ```bash # Se connecter dans le conteneur : lxc exec $CTNAME bash # Créer un utilisateur : useradd adminme # Ajouter un utilisateur au groupe sudo : usermod -aG sudo adminme # Modifier le mot de passe : passwd adminme passwd root # Création de l'arborescence pour le déploiement des clés SSH : mkdir /home/adminme/.ssh vi /home/adminme/.ssh/auadminmethorized_keys chown -R adminme:adminme /home/adminme/.ssh # Autoriser un sudo sans demande de mot de passe : sudo visudo # Ajouter les lignes ci-dessous : %sudo ALL=(ALL:ALL) NOPASSWD:ALL ``` #### ***Configuration de la connexion SSH :*** ```bash # Autoriser la connexion par mot de passe : vi /etc/ssh/sshd_config #Ajouter les lignes suivantes à la fin du fichier de conf : ---------------------------------------------------------- # Autoriser connexion par mot de passe : PasswordAuthentication yes # JKT-20220517 - Connexion Guacamole : # Source : http://shaarli.guiguishow.info/?4DVyLA HostkeyAlgorithms +ssh-rsa PubkeyAcceptedAlgorithms +ssh-rsa ---------------------------------------------------------- # Redémarrer le service SSH : /etc/init.d/ssh restart ``` ## **B - CT-BASE :** ### **1.** **Description :** #### ***SSS-Titre 1*** ##### **Titre 1** Ce Conteneur a pour objectif d'être un Template qui pourra être déployé en dupliquant un snapshot. ### **1.** **Installation :**Cette procédure n'est pas encore terminée
```bash # Prérequis : apt update && apt upgrade -y apt install software-properties-common bash-completion wget git -y # Installation de nginx : # Installation de php-fpm : $ sudo apt install php-fpm vi parametres.php vi /etc/nginx/sites-enabled/ vi /etc/nginx/sites-enabled/default ``` ### **1.** **Exploitation :**Cette procédure n'est pas encore terminée
# 04-Gestion réseau et port forwarding ## **A - Gestion du réseau LXC :** >Afin de réserver les adresses IP en cas de plusieurs serveur LXC et éviter les conflits. Il est nécessaire de renseigner le fichier de zone DNS "/etc/named/zone/lxc.morbihan-energies.fr".
La zone sert uniquement d'inventaire et n'est pas publiée.| **Nom du CT** | **Adresse IP** |
| BASE | 192.168.25.150 |
| WIKI | 192.168.25.151 |
| BASH | 192.168.25.152 |
| DASHBOARD | 192.168.25.153 |
| RACKTABLES | 192.168.25.232 |
| KANBOARD | 192.168.25.156 |