| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente |
| technique:infrastructure:vm [2021/11/23 00:01] – qduchemi | technique:infrastructure:vm [2022/09/23 10:04] (Version actuelle) – [Installer l'OS et partitionner] rdelaage |
|---|
| {{indexmenu_n>20}} | {{indexmenu_n>20}} |
| |
| # Créer une machine virtuelle Picasoft | # Créer une machine virtuelle Picasoft |
| |
| <bootnote critical>Toute l'opération se fait depuis l'interface d'administration de [[technique:infrastructure:install_proxmox|Proxmox]], sur `<machine>.picasoft.net:8006`, *e.g.* `caribou.picasoft.net:8006`. Il faut se connecter avec l'utilisateur `root` de la machine. Les identifiants sont dans le [[technique:adminsys:secu:password_store:start|pass]].</bootnote> | <bootnote critical>Toute l'opération se fait depuis l'interface d'administration de [[technique:infrastructure:install_proxmox|Proxmox]], sur `<machine>.picasoft.net:8006`, *e.g.* `caribou.picasoft.net:8006`. Il faut se connecter avec l'utilisateur `root` de la machine. Les identifiants sont dans le [[asso:tuto:vaultwarden|vaultwarden]].</bootnote> |
| |
| ## Création de la machine | ## Création de la machine |
| |
| {{ :technique:infrastructure:machines_virtuelles:install_vm_console.png?direct |}} | {{ :technique:infrastructure:machines_virtuelles:install_vm_console.png?direct |}} |
| |
| ## Installer l'OS et partitionner | ## Installer l'OS et partitionner |
| |
| Une fois la machine virtuelle créée dans Proxmox, on peut procéder à son installation. On ne détaille pas la procédure d'installation, qui peut dépendre de l'OS. | Une fois la machine virtuelle créée dans Proxmox, on peut procéder à son installation. On ne détaille pas la procédure d'installation, qui peut dépendre de l'OS. |
| |
| <bootnote warning>Le mot de passe `root` est à renseigner dans le [[technique:adminsys:secu:password_store:start|pass]].</bootnote> | <bootnote warning>Le mot de passe `root` est à renseigner dans le [[asso:tuto:vaultwarden|vaultwarden]].</bootnote> |
| |
| Si possible dans l'installateur, on activera le serveur SSH et on désactivera l'environnement de bureau et le serveur d'impression. | Si possible dans l'installateur, on activera le serveur SSH et on désactivera l'environnement de bureau et le serveur d'impression. |
| |
| * `root`, `ext4`, monté sur `/`, qui contient le système d'exploitation et ses logiciels | * `root`, `ext4`, monté sur `/`, qui contient le système d'exploitation et ses logiciels |
| * `data`, `ext4`, monté sur `/DATA/docker`, qui contient les données des services qui ne sont pas dans un volume Docker | |
| * `docker`, `ext4`, monté sur `/var/lib/docker`, qui contient tout ce qui concerne Docker | * `docker`, `ext4`, monté sur `/var/lib/docker`, qui contient tout ce qui concerne Docker |
| * `swap`, pour le SWAP. | * `swap`, pour le SWAP. |
| |
| ## Configuration réseau | ## Configuration réseau |
| | |
| | <bootnote> |
| | Sur Debian 11, tout se fait dans l'installateur graphique! |
| | </bootnote> |
| |
| <bootnote warning> | <bootnote warning> |
| S'assurer que le serveur SSH est installé (sur Debian, c'est le paquet `openssh`). | S'assurer que le serveur SSH est installé (sur Debian, c'est le paquet `openssh`). |
| |
| Dans `/etc/sshd_config`, on vérifie que la connexion par mot de passe pour `root` est **désactivée**, c'est-à-dire que la ligne commençant par `PermitRootLogin` est commentée. | À ce stade, la connexion via l'utilisateur `root` - dont le mot de passe a été configuré à l'installation - est possible. |
| | |
| | <bootnote critical>C'est **très** dangereux : `root` a tous les droits sur la machine, et l'authentification par mot de passe peut être _bruteforcée_ (essayer de nombreux mots de passe). On ne laisse jamais ce genre de configuration, à part pour le setup.</bootnote> |
| | |
| | <bootnote question>Et il faut faire quoi du coup ?</bootnote> |
| |
| Aujourd'hui, on utilise un serveur LDAP pour les connexions aux machines virtuelles : se référer au [[technique:adminsys:ldap:installation|tutoriel de mise en place de l'authentification LDAP]]. | ## Rendre la machine picasoftienne |
| |
| <bootnote critical>Il est préférable d'installer un [[technique:adminsys:secu:firewall|pare-feu basique]] et [[technique:adminsys:secu:fail2ban|fail2ban]], puis de [[technique:infrastructure:backup|configurer un backup de la machine virtuelle]].</bootnote> | Direction [[technique:infrastructure:setup_machine|cette page]] pour finir la configuration ! :-) |
| |
| La configuration est terminée, la machine est accessible via son IP publique et SSH, avec authentification LDAP. | |