Virtualización do Ciclo ASIR do IES de Rodeira

De Wiki do Ciclo ASIR do IES de Rodeira
Saltar á navegación Saltar á procura

Virtualización do IES de Rodeira

Introducción

A virtualización hoxe en día ofrece numerosas vantaxes sobre a execución en hardware:

  • Maior aproveitamento dos recursos
  • Menor prezo, aforrando electricidade e hardware
  • Facilidade de actualización
  • Maior flexibilidade na rede e nos servizos
  • Facilidade para montar estructuras de alta dispoñibilidade.

Debido a esto, e de modo experimental, se vai a diseñar unha estructura de máquinas virtuais que permita ofrecer os mesmos servizos (e nun futuro mais) que se teñen agora.

Hoxe en día, o IES de Rodeira conta con un servidor Linux que ofrece servizos de DNS, Firewall, Mail, Proxy, Escritorio, Almacenamento, Mirror Linux, Acceso remoto SSH e NX... e cun servidor Windows 2003 Server que ofrece o servizo de directorio activo e dominio aos equipos Windows das aulas. Se trata de ofrecer estos servizos a través de máquinas virtuais, o que nos permitirá unha maior flexibilidade na configuración e mantemento dos mesmos.

Planificación

Redes

A Rede do IES de Rodeira actualmente sigue o seguinte esquema:

Esquema da rede actual do IES de Rodeira

Se trata de sustituir este esquema por outro que faga uso se servidores virtualizados aproveitando as VLAN 802.11q soportadas polos switches do departamento, modelo D-LINK DGS-1500-28 aula 3 e aula 4.

Necesitamos proveer de 4 redes ailladas: A rede do ciclo ASIR (Rede ASIR), a rede utilizada polos CICLOS (Rede CICLOS), a rede de acceso a internet (Rede XUNTA) e a rede de acceso ás ADSL (Rede ADSL). Como os ciclos e as ADSL se atopan nun switch que non soporta 802.11q, se separarán en dúas VLAN tradicionais por portos, de xeito que os ordenadores da Rede CICLOS non podan acceder directamente a Rede ADSL, aínda que dende o punto de vista das VLAN 802.11q que imos montar será unha rede única (Rede CICLOS_ADSL). A asignación dos Tag 802.11q será a seguinte:

  • RedeASIR: default (Tag 1)
  • RedeXUNTA: Tag 3
  • RedeCICLOS_ADSL: Tag 4

Os servidores de virtualización poderán estar situados en calqueira punto da rede 802.11q (switches do Aula 3, Aula 4 ou Departamento). Chamaremos ao porto onde se vai poñer un servidor de virtualizacion PV. As conexións nos switches son as seguintes:

Departamento
[UPL3,UPL4,PCA,PXU,PV] - Conexións aos switches do Aula 3 e Aula 4, aos equipos da Rede CICLOS_ADSL, a saída hacia a rede de acceso a internet (Rede XUNTA) e os portos de virtualización.

O esquema 802.11q quedaría así: 

 VLAN ASIR: default. Eliminamos os portos PXU e PCA
 VLAN XUNTA (VID 3): PV (tagged),PXU (untagged, PVID 3),UPL3 (tagged), UPL4 (tagged)
 VLAN CICLOS_ADSL (VID 4): PV (tagged),PCA (untagged, PVID 4), UPL3 (tagged), UPL4(tagged)
Aula 3 e Aula 4
[UPL, PV] - Conexión ao switch do departamento e portos de virtualización.

O esquema 802.11q sería: 

 VLAN ASIR: default
 VLAN XUNTA (VID 3): PV (tagged), UPL (tagged)
 VLAN CICLOS_ADSL (VID 4): PV (tagged), UPL (tagged)

Servizos

Os servizos ofrecidos a cada rede serán os seguintes:

Rede ASIR
A rede de ASIR precisará de servicios Web, DNS, Control de acceso a Internet, Mail e escritorio remoto, ademáis de poder recibir conexións externas dende internet a estes e a futuros servizos (servicio de rutado). Se crearán as máquinas virtuais VM_PROXY (Control de Acceso a Internet e DNS interno e externo), VM_ROUTER (Rutado dende as conexións ADSL á rede interna), VM_WEB (Proporciona servicio Web LAMP á rede interna e externa, WebMail e e-mail) e VM_DESKTOP (Ofrece servizo de escritorio). VM_ROUTER permitirá que dende Internet se poda acceder ao correo (SMTP, POP, iMAP), ás páxinas web ao DNS e acceder mediante SSH aos hosts da rede (o que permite escritorios remotos NX/X2GO, túneis SSH e SFTP).
Rede CICLOS_ADSL
A rede de Ciclos únicamente precisa o control de acceso a internet e o DNS, polo que únicamente terán acceso a VM_PROXY. VM_ROUTER precisa acceder ás ADSL, polo que tamén ten que pertencer a esta rede.
Rede XUNTA
Esta rede únicamente se utiliza para ofrecer servizo de acceso a internet, polo que a única máquina que vai ter acceso a ela é VM_PROXY.

Sistemas de Virtualización

Os sistemas de virtualización elexidos son Xen para virtualizar as máquinas Linux mediante paravirtualización, e KVM para virtualización hardware (HVM) que utilizarán sobre todo as máquinas virtuais Windows. O que nos ocupa agora utilizará máquinas virtuais Paravirtualizadas con Xen, que son de vital importancia para o funcionamento da rede, polo que implantaremos unha solución de alta dispoñibilidade mediante dous servidores Xen.

Estos servidores estarán duplicando o espazo en disco a compartir mediante DRBD, e ofrecerán servicios de almacenamento SAN (NFS, SMB, iSCSI, NBD). En un momento determiñado únicamente un servidor SAN estará activo, actuando o outro como reserva. En caso de fallo do activo, o servidor reserva pasará a ofrecer estes servicios, e se fará cargo das máquinas virtuais que estaban funcionando no outro. Calqueira dos dous servidores poderá aloxar VMS Xen en calqueira momento.

Para detectar o posible fallo dun servidor e realizar a activación/migración de servizos poderemos facer uso de heartbeat ou corosync.

Esta solución permitirá ademais que calqueira outro servidor de máquinas virtuais ou calqueira sistema que necesite acceso aos volumes compartidos poda seguir en funcionamento aínda que falle un dos servidores.

Os servidores Xen precisarán de 3 tarxetas de rede, aínda que se pode mellorar o rendimento mediante bonding de mais tarxetas:

  • NIC estándar: E a tarxeta pola que se accederá normalmente aos equipos.
  • Tarxeta Ethernet de HA: Esta tarxeta compartirá a mesma IP entre os dous equipos. Cando cae o equipo 'activo', a IP pasa ao equipo 'pasivo'
  • Tarxeta Ethernet DRBD: Se encarga de transmitir o tráfico de duplicación de disco.

Configuración da Rede

Configuración da LAN

Configuración de Servicios

Router

A Máquina Virtual "Router" será a encargada de redirixir a entrada aos servizos ofrecidos pola rede hacia o mundo exterior. Estes servicios fundamentalmente serán:

  • Servizos de Acceso Remoto
    • RDP hacia o Servidor de Dominio Windows
    • NX/X2GO hacia o Servidor de Escritorio Linux
    • SSH hacia os distintos servers: (Router,Proxy,Servidor Web e Servidor de Escritorio)
  • Servizos de Correo
    • SMTP,POP,e IMAP
    • WebMail
  • Servizo DNS
  • SFTP (mediante o acceso SSH)

Esta máquina deberá tamen facilitar acceso a Internet, sempre e cando a solicitude sexa no porto 80 ou 443 e a mesma se produza dende o Proxy.

Datos Técnicos

Máquina Virtual Xen e modo paravirtualizado (PVM) executando Debian Jessie 

 * 2 Cores
 * 512M de RAM
 * 3 Ethernet:
    eth0 - 172.20.0.1 (untagged), acceso a rede local ASIR
    eth1 - 192.168.1.3 (tag 4), acceso a ADSL1 na rede CICLOS
    eth1 - 192.168.2.3 (tag 4), acceso a ADSL2 na rede CICLOS

Configuración

Partimos dun disco VHD cunha instalación básica de Debian Jessie.

  1. Creamos unha copia utilizando a imaxe como base:
 vhd-util snapshot -n RouterRodeira.vhd -p JessieBase.vhd
  1. Creamos a configuración da VM no ficheiro RodeiraRouter.cfg
 bootloader = 'pygrub'
 vcpus = '2'
 memory = '512'
 disk = ['tap2:tapdisk:vhd:RodeiraRouter.vhd,xvda,w']
 name = 'RodeiraRouter'
 vif =   [ 'mac=XX:XX:XX:XX:XX:XX,bridge=xenbr0,model=e1000','mac=XX:XX:XX:XX:XX:XX,bridge=xenbr0.4,model=e1000',
           'mac=XX:XX:XX:XX:XX:XX,bridge=xenbr0.4,model=e1000'
         ]
 on_poweroff = 'destroy'
 on_reboot = 'restart'
 on_crash = 'restart'
 acpi = '1'
 apic = '1'
 viridian = '1'
 xen_platform_pci='1'
 sdl = '0'
 vnc = '0'
 vnclisten = '0.0.0.0'
 vncpasswd = 
 stdvga = '0'
 usb = '1'
 usbdevice = 'tablet'
  1. Arrancamos a VM
 xm create RodeiraRouter.cfg
  1. Iniciamos sesión a través de ssh (usuario root e password root, a máquina iniciará con IP dinámica) ou co seguinte comando
 xm console RodeiraRouter
  1. Configurar as ethernet editando /etc/network/interfaces
 # This file describes the network interfaces available on your system
 # and how to activate them. For more information, see interfaces(5).
 #
 # The loopback network interface
 auto lo
 iface lo inet loopback
 #
 # The primary network interface
 #allow-hotplug eth0
 #iface eth0 inet dhcp
 auto eth0
 iface eth0 inet static
 address 172.20.0.1
 netmask 255.255.0.0
 gateway 172.20.2.1
 nameserver 172.20.2.1
 #
 auto eth1
 iface eth1 inet static
 address 192.168.1.3
 netmask 255.255.255.0
 #
 auto eth2
 iface eth2 inet static
 address 192.168.2.3
 netmask 255.255.255.0
  1. Configurar hostname a RouterRodeira
 hostname "RouterRodeira" && echo "RouterRodeira">/etc/hostname
  1. Cambiar a password de root
 passwd root
  1. Reiniciamos a máquina
 shutdown -r now

Proxy

Servidor Web

Servidor de Escritorio

Outros Servizos

Kerberos e LDAP

DNS

E-Mail

Servizos de Dominio e Active Directory

Servidor de Espazo en Disco (NAS)

Mantemento

Copias de Seguridade

Actualizacións

Traído desde «http://web.iesrodeira.com/mediawiki/index.php?title=Virtualización_do_Ciclo_ASIR_do_IES_de_Rodeira&oldid=90»