Vous êtes sur la page 1sur 34

Benjamin FORTE

Universit de la Mditerrane INSTITUT UNIVERSITAIRE DE TECHNOLOGIE Rseaux et Tlcommunications

RAPPORT DE STAGE Diplme Universitaire de Technologie

Infrastructure informatique virtuelle dans un environnement hospitalier.

Benjamin FORTE Service Informatique du centre Hospitalier Edmond Garcin dAubagne.

Responsable en entreprise : M. Gilbert Casanova Responsable acadmique : M. Nadir Boussoukaia

Juin - 2011

Table des Matires


Remerciements & Ambition du Rapport 2 Avant-propos 3 Prsentation de lhpital et de son service informatique 3

Objet du stage 4 Les objectifs communs 4 I/ Prsentation fondamentale Quest-ce que la virtualisation 5 1) Dfinition 5 2) Historique 5 3) Fonctionnement dun systme dexploitation 6 4) Les diffrents types de virtualisation 7 4) 4) 4) 4) A/ Virtualisation complte 8 B/ Paravirtualisation. 9 C/ Les systmes Hyperviseur 9 D/ Le cloisonnement 10

5) Pourquoi Virtualiser ? 11 II/ Etude thorique et comparative 1) Principe 13 2) Modles existants 14 3) Etude du march et valuations 15 4) Virtualisation du poste de travail 16 5) Comparatif de ESX et XEN 17 6) Connexion brocker 18 7) Authentification de lutilisateur 18 8) Gestion des pools de machines virtuelles 19 9) Allocation automatique des machines virtuelles 20 10) La virtualisation dapplications 21 10) A/ Virtualisation du logiciel GNS3 22 10) B/ (1) ) Compilation du package 24 10) B/ (2) ) Utilisation de cette mthode au CHA 24
1/2

Table

des

Matires

III/ Retours dexpriences & Tches ralises 1) Phase de mise en production des clients lgers 25 2) Lenvironnement informatique du C.H.A25 3) Engagement financier et rentabilit 25 4) Mise en production, dploiement initial cibl 25 5) Problme rencontr et raisonnements dialectiques 26

associs

Hte rseau 26 Rseau 26 Applications 27 Origine des latences 27 La solution 27 Prsentation et principe de VMware vShield 28 6) Maquette dun environnement client-serveur, de type VMware vSphre 29 6)(1)\Quest-ce que VMware vSphre ? 23 6)(2)\Virtualisation complte dun systme dexploitation Hyperviseur 30 7) Points important non-abords 30

III/ Conclusions Pourquoi ce choix de stage ? 31 Bilan 31

2/2

Table

des

Matires

Infrastructure informatique virtuelle dans un environnement hospitalier

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

1/31

Infrastructure informatique virtuelle dans un environnement hospitalier

Remerciements & Ambition du rapport.


Je tiens remercier lquipe du service informatique de lhpital, et particulirement M. Casanova, responsable du service, ainsi que les personnes qui ont fait tout leur possible pour me transmettre leurs savoirs et leurs comptences :

M. Gilbert Casanova, mon tuteur de stage, qui a su mintgrer au sein de son quipe ds le premier jour. Notamment lors des transmissions de comptences entre les ingnieurs des entreprises externes (IT-med1, Trend France2) soustraitant le projet, et les ingnieurs du service informatique. Jai pu avoir accs lensemble des documents officiels du projet comme lappel doffre de lhpital et la rponse de Systemat3. M. Pierre Sun, ingnieur du service informatique, qui ma fourni toutes les informations relatives au cur de rseau de lhpital, et qui a fait preuve de beaucoup de pdagogie dans ses explications notamment sur le packaging4 des applications des divers services de lhpital sous Thinapp5. M. Marc Sarkissian, galement ingnieur du service informatique, que je tiens tout particulirement remercier pour sa constante disponibilit et ses explications abouties. Enfin, je souhaite remercier M. Raphal Julmy, ingnieur IT-med, pour navoir fait aucune diffrence entre le statut des ingnieurs du service informatique et mon statut dtudiant stagiaire lors des transmissions de comptences. Sans oublier, lquipe de Trend Micro France, pour avoir rpondu mes questions pendant leurs interventions au sein du service.

Ambition du Rapport.
Lobjectif de mon compte-rendu est de rendre accessible la comprhension du fonctionnement dune architecture virtuelle, via une tude thorique graduelle ainsi quun retour dexprience sur la mise en production de celle-ci, dans un environnement critique.
1 2 3 4

Entreprise (matre d' uvre de 6 personnes ayant rcupre le projet, suite au dpt de bilan de Systemat. Editeur du logiciel Anti-Virus Trend-Micro. Systemat est l entreprise qui a t retenu au lancement de l appel d offre de l hpital. Consiste gnrer un excutable (fichier.exe, ou .dat partir du programme d origine, isolant l application Logiciel de packaging propritaire VMware.

encapsule, du systme d exploitation.


5

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

2/31

Infrastructure informatique virtuelle dans un environnement hospitalier

Avant-propos.
Prsentation de lhpital et de son service informatique.
En 1965 Edmond Garcin, Dput, Conseiller Gnral, entame son premier mandat de maire dAubagne. Le chantier de l'hpital est lanc. Le 14 dcembre 1971 l'ensemble hospitalier est inaugur. Grace une action permanente dEdmond Garcin, lhpital voit sa superficie augmente et ses quipements se trouvent la pointe de la technologie moderne. Depuis le Centre Hospitalier a t rgulirement entretenu et modernis. Le service informatique de lhpital est responsable de lexploitation du rseau, du commutateur principal situ au local technique, jusquau poste de lutilisateur final situ dans les services hospitaliers (pdiatrie, urgence, maternit, accueil, laboratoire). Voici lquipe qui constitue le service informatique :

Organigramme du service informatique du C.H.A (Centre Hospitalier dAubagne) Depuis 3 annes, les restrictions budgtaires ne cessent daugmenter pour le service public, (gels des salaires, dparts non remplacs, manque de personnels, matriel vieillissant). Cest pourquoi en 2009, le C.H.A a lanc un appel doffre pour le renouvellement de son infrastructure informatique vieillissante et onreuse, vers la technologie qui rpond lensemble de ces problmes : La virtualisation des serveurs et des postes de travail, avec terme un nouveau cur de rseaux totalement redond.

Les Logiciels utiliss au CHA sont dcrits dans le dtail en Annexe 1


IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE Juin 2011
3/31

Infrastructure informatique virtuelle dans un environnement hospitalier

Objet du stage.
Ma prsence au sein de ce service reflte une volont de mettre en place un certain nombre de dispositifs lis aux nouvelles technologies dinfrastructures informatiques, notamment la virtualisation du parc informatique de lhpital. Pour moi, il sagissait dans un premier temps dtre aux cts de Pierre et de Marc, et de participer la mise en place des clients lgers6 en test, aux urgences et laccueil. Ensuite, mon objectif a t de faire une tude concrte du choix et de la mise en uvre dune telle infrastructure dans un milieu hospitalier, sachant que lobjectif final pour lhpital est une virtualisation totale de son parc. Soit 440 postes clients lgers, 950 utilisateurs dont 900 profils uniques, et 50 groupes de travail globaux Active-Directory7 sur 4 annes.

Les objectifs communs.


Lobjectif principal, pour le service informatique du C.H.A par rapport mon stage, est dpauler Marc et Pierre dans le dploiement et la gestion, via VMware View8, des clients lgers dans tous les services. Pour ma part, lobjectif est de mettre en application les comptences en systmes et rseaux, acquises durant les deux annes dtudes au sein de lIUT. Cette mise en application passe par une capacit apprhender les problmes et les transmissions de comptences effectues entre les ingnieurs de la socit soustraitante et ceux du service informatique. Puis dans la connaissance du fonctionnement dune architecture rseaux dentreprise.

Il est galement important de mettre en avant le caractre bnfique de ce stage pour ma future poursuite dtude et mon projet professionnel*, ceux-ci seront directement lis avec lobjet de ce stage. Cette exprience ma permis dacqurir une connaissance thorique solide dans la mise en uvre dune infrastructure virtuelle9, et des notions pratiques.

* Voir conclusion page 31.


6 Au

sens matriel, un client lger est un ordinateur qui, dans une architecture client-serveur, n'a presque pas de

logique d'application. Il dpend donc surtout du serveur central pour le traitement.


7

Annuaire propritaire Microsoft, rpertoriant les lments d'un rseau administr tels que les comptes des VMware, Inc. est une socit, fonde en 1998, qui propose plusieurs produits propritaires lis la virtualisation de ressources informatiques potentiellement partages, distribues, htrognes, dlocalises et

utilisateurs, les serveurs, les postes de travail, les dossiers partags et les imprimantes.
8

d'architectures x86. C'est aussi par extension le nom d'une gamme de logiciels de virtualisation.
9 Ensemble

autonomes.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

4/31

Infrastructure informatique virtuelle dans un environnement hospitalier

I/ Prsentation fondamentale.
Quest-ce que la virtualisation ? 1) Dfinition.
De manire gnrale, la virtualisation : Cest lensemble des techniques matrielles et/ou logicielles qui permettent de faire fonctionner sur une seule machine plusieurs systmes dexploitation et/ou plusieurs applications, sparment les uns des autres, comme sils fonctionnaient sur des machines physiques distinctes.

2) Historique.
La virtualisation est une technologie qui suscite beaucoup dintrt depuis quelques annes au sein des entreprises et depuis peu chez un public de particuliers. Cependant cette technologie nest pas nouvelle comme nous nous prtons le croire, celle-ci remonte au dbut de linformatique. En effet lide de faire fonctionner plusieurs programmes simultanment sur une mme machine date des annes 50. Ce concept innovant avait pour but de partager les ressources matrielles de la machine entre toutes les applications. Cette notion de partage de ressources se nomme le time sharing ou temps partag et se rapproche du concept de virtualisation que lon connait aujourdhui. Cest Christopher Strachey qui est le premier introduire le principe de Time Sharing, en Juin 1959, dans une confrence internationale sur le traitement de linformation lUNESCO. En 1965, le centre de recherche dIBM dveloppe un projet nomm M44/44X. Le but de ce projet tait dtudier le concept novateur du time-sharing . En 1967, lide de virtualisation matrielle est dveloppe. Ce modle virtualise toutes les interfaces matrielles via la Virtual Machine Monitor (VMM). Le systme dexploitation est le TSS (Time-Sharing System) aussi appel le superviseur. Cest le premier systme de virtualisation complte. Au dbut des annes 2000, la socit VMware dveloppe et popularise un systme propritaire de virtualisation logicielle des architectures du type. Cependant larchitecture IA-32 (x8610) posait quelques problmes de gestion des instructions en fonction du niveau de privilge utilis par le systme hte. Cest pour cette raison quen 2006 AMD et Intel, les deux fondateurs-leader du march du processeur x86, ont repens larchitecture de leurs puces pour une meilleure prise en charge des instructions lies la virtualisation. Cest ce que lon nomme la virtualisation matrielle .

10

La norme x86 regroupe les microprocesseurs compatibles avec le jeu d'instructions de l'Intel 8086 . Cette

srie est nomme IA-32 (pour Intel architecture 32 bits par Intel pour ses processeurs partir du Pentium.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

5/31

Infrastructure informatique virtuelle dans un environnement hospitalier

3) Fonctionnement dun systme dexploitation (O Operating System).


Le systme dexploitation est un ensemble complexe faisant office de couche dabstraction11 entre le matriel (hardware, niveau physique) et le logiciel (software, niveau logique). Il est compos de multiples composants, chacun ayant un rle bien spcifique. Parmi les tches dvolues au systme dexploitation, on retrouve notamment la gestion de la mmoire vive (RAM) et des priphriques (stockage, carte rseau, imprimante, cran, clavier, etc.). La gestion de la RAM est lune des tches les plus complexes du systme dexploitation. En effet, tous les programmes (que ce soit au niveau de lutilisateur ou du systme dexploitation) ont besoin de mmoire pour fonctionner. Cest dans la RAM que seront stocks : Le code des programmes en cours dexcution, Les donnes des programmes en cours dexcution, Le code du systme dexploitation, Les donnes du systme dexploitation.

Le gestionnaire de la mmoire est un composant fondamental appartenant au noyau12 du systme dexploitation. Sa tche, est dallouer et librer de la mmoire des processus lorsquils en ont besoin (applications et systme dexploitation). Quand la RAM vient manquer, le systme peut utiliser une partie du disque dur comme extension de mmoire (le swap ). Le disque dur est toutefois beaucoup plus lent que la RAM, aussi le gestionnaire de mmoire essaie den limiter lusage. Toutefois, le systme dexploitation na pas le contrle direct sur la gestion de la mmoire au niveau physique. Ce rle est dvolu au processeur. Cest donc par le jeu dune interaction complexe entre le systme dexploitation (qui gre la RAM au niveau logique) et le processeur (niveau physique) que se droule lexcution dun programme. Le programme est interprt par le processeur, puis compos dune suite doprations lmentaires nommes instructions . Ces instructions consistent principalement en des demandes daccs la RAM, des oprations mathmatiques et des appels spcifiques au matriel (carte graphique, carte rseau, clavier, cran, disque dur, etc.). Cette suite dinstructions lmentaires excutes dans lordre donne au final le programme, qui peut tre un programme du systme dexploitation ou un programme utilisateur.
11 12

La couche d'abstraction matrielle une couche logicielle accdant au matriel informatique. En tant que partie du systme d exploitation, le noyau fournit des mcanismes d abstraction du matriel,

notamment de la mmoire, du (ou des processeur(s, et des changes d informations entre logiciels et priphriques matriels.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

6/31

Infrastructure informatique virtuelle dans un environnement hospitalier

Le systme dexploitation a aussi pour rle de faire abstraction du matriel pour les programmes utilisateurs. Ainsi, un programme doit se comporter de la mme manire quel que soit le modle de carte rseau utilis pour communiquer, de mme pour la marque ou le type de disque dur contenant les fichiers. Cette abstraction est ralise par les pilotes des priphriques. Ces pilotes sont en gnral destins un type de matriel particulier et offrent au systme dexploitation un ensemble cohrent doprations. Par exemple, tous les pilotes de disque dur permettent de lire le contenu du disque un endroit donn et tous les pilotes de la carte rseau permettent denvoyer et de recevoir des donnes. Le systme dexploitation se repose sur les pilotes de priphrique pour apporter des couches dabstraction supplmentaires, accessibles aux programmes utilisateurs, par exemple pour la gestion des fichiers, des protocoles rseaux. Les programmes utilisateurs ne peuvent accder au matriel qu travers les couches dabstractions, assurant ainsi la cohrence du systme. Le systme dexploitation doit, pour assurer cette abstraction, avoir un accs exclusif au matriel afin de le contrler. Les systmes dexploitation sont donc conus comme sils taient les seuls accder au matriel. Il est important de retenir cette notion dexclusivit, pour mieux apprhender la notion de virtualisation. Le systme virtualis ne pourra pas accder au matriel directement, comme sil tait le seul, car cest le systme hte qui a ce rle. Il y a donc des solutions de contournement mises en place, qui varient selon les produits et les technologies utiliss. La sparation en couches du systme dexploitation fait quune grande partie du code est indpendante du matriel.

4) Les diffrents types de virtualisation.


Tout dabord, il est important de savoir quil nexiste pas quun seul type de virtualisation. A lheure actuelle, il existe plusieurs technologies de virtualisation et nous pouvons les sparer en deux groupes distincts : Virtualisation matrielle , nous pouvons citer les virtualisations compltes, la paravirtualisation, le systme hyperviseur et le cloisonnement, que nous dtaillons dans les pages suivantes. Virtualisation logicielle , notamment la virtualisation dapplications. Le principe de fonctionnement, ainsi que les spcificits de chaque solution tant diffrentes, nous tudierons dans ce rapport, la solution propose par VMware grce au logiciel ThinApp.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

7/31

Infrastructure informatique virtuelle dans un environnement hospitalier

4) A/ Virtualisation complte.
La virtualisation complte a pour principe dmuler13 la globalit dune machine physique. Le systme invit (systme virtualis, en surcouche du systme dexploitation natif) a lillusion de sexcuter sur une machine physique part entire. Le systme invit est alors considr comme une application standard par le systme hte. Or nous avons vu prcdemment que le systme dexploitation a une interaction trs forte avec le matriel ce qui nest pas le cas avec une application classique tel quun diteur de texte par exemple. Nous pouvons alors nous demander comment est gr, dans un systme de virtualisation complet, les changes que doit avoir lOS avec le matriel ? Pour que le systme invit puisse tre mul il est ncessaire quune couche applicative comprenne les instructions du systme invit et que celles-ci soient relayes au systme hte puis transmises aux matriels et inversement. Ce mcanisme de transcription dinstructions est ralis par la machine virtuelle. Elle mule galement pour le systme invit, le matriel standard de base ncessaire (souris, clavier, interfaces rseaux, carte graphique, etc.) La particularit de la virtualisation complte est que le systme invit nest pas modifi lors de son installation. Ce qui nest pas le cas avec dautres solutions de virtualisation que nous verrons plus tard dans le document. Il est important de noter que le matriel mul ne pourra jamais tre plus performant que le matriel disponible sur le systme hte. Seule une catgorie limite de matriel standard est propos lmulation par les machines virtuelles. Ceci pour limiter le nombre dinstructions devant tre traduites pour passer de la machine virtuelle au matriel, afin dviter des dgradations de performance trop importantes.

13

Substitution ou imitation d un lment matriel informatique, par un logiciel.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

8/31

Infrastructure informatique virtuelle dans un environnement hospitalier

4) B/ Paravirtualisation.
Ce systme est proche de la virtualisation complte car seul le systme hte un accs directe au matriel. Mais contrairement au prcdent systme, le systme invit est amlior pour traduire la machine virtuelle les actions raliser. Le systme a conscience quil sexcute dans une machine virtuelle. Cela vite la machine virtuelle de traduire tous les appels aux matriels effectus par lOS invit. Certaines sont traduites directement grce des pilotes paravirtualiss, notamment en ce qui concerne la gestion de la mmoire et des Entres/Sorties. La paravirtualisation apporte donc un gain de performance et de ractivit grce au contournement de couche dabstraction. Cette solution implique des modifications dans les systmes invits pour que ces dernires soient supportes par la machine virtuelle. Pour cela, il est donc ncessaire davoir un accs au code source et les permissions de le modifier ce qui limite son utilisation seulement quelques systmes dexploitation.

4) C/ Les systmes Hyperviseur.


Cest lvolution logique de la paravirtualisation compte tenu des amliorations de performance. Lhyperviseur est un systme minimaliste qui sera linterlocuteur unique du matriel ds le dmarrage du systme. Cest lui qui rgule lutilisation des ressources matrielles entre les systmes dexploitation installs en surcouche. Le systme hte complet install au-dessus de cette couche ne peut accder au matriel que via celui-ci. Il est donc simple dinstancier14 un ou plusieurs OS.
14

L instanciation consiste crer un nouvel objet partir d'un objet existant. Dans ce cas, installer des nouveaux

OS, partir d un original (ici, l hyperviseur.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

9/31

Infrastructure informatique virtuelle dans un environnement hospitalier

Ce systme permet dassurer une rpartition efficace des ressources entre systmes de faon ce quaucun dentre eux ninflue sur les performances lautre. Pour modifier les paramtres de lhyperviseur, il est ncessaire dlire systme privilgi qui en aura la charge. Il permettra galement dinstancier nouveaux systmes invits.

les de un de

5) D/ Le cloisonnement.
Une autre pratique rpandue dans le domaine de la virtualisation est le cloisonnement. Derrire ce nom se cachent plusieurs technologies visant sparer fortement les processus sexcutant sur un mme systme dexploitation. Le cloisonnement vise isoler chaque processus dans un conteneur dont il est thoriquement impossible de sortir. Un processus isol de la sorte ne saura pas quels autres processus sexcutent sur le mme systme, et naura quune vision limite de son environnement. Le but principal de cette technologie est damliorer la scurit du systme dexploitation et des applications.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

10/31

Infrastructure informatique virtuelle dans un environnement hospitalier

6) Pourquoi virtualiser ?
Aujourdhui les services informatiques sont toujours en qute de comptitivit, ils essaient continuellement damliorer leurs productivits mais aussi de diminuer leurs cots. Cette recherche de performance se traduit souvent chez les DSI15 par ladoption de nouvelles technologies matrielles et/ou logiciels. Une des technologies qui suscite un intrt grandissant est la virtualisation . Ce n'est pas un concept nouveau, mais son omniprsence qui est plus rcente. On l'attribue ainsi tout processus touchant la virtualisation dans sa dfinition la plus lmentaire, savoir tout processus d'abstraction des ressources informatiques de leur couche matrielle sous-jacente. Bien des projets de virtualisation ont ainsi pour motivation premire de redfinir le parc matriel comme un ensemble de ressources partages, qui pourront alors tre gres de faon centralise via une interface unique. Il existe de nombreuses dfinitions du terme virtualisation , lequel est utilis pour l'infrastructure dans son ensemble ou toute composante de celle-ci. Avant de considrer la virtualisation du centre de donnes, il est capital pour une entreprise de dfinir quelle technologie ou catgorie de service elle souhaite virtualiser. Globalement, il existe trois domaines de virtualisation : le systme d'exploitation, le systme de stockage et les applications. Trs vastes, ces domaines ne dlimitent pas clairement les aspects parfois les plus pertinents de la virtualisation du centre de donnes. Dans ce rapport de stage, la virtualisation sera dune part aborde dans son ensemble, et dautre part un focus sera effectu sur la virtualisation applicative, (galement connu sous le nom de portabilit dapplications ou virtualisation de services applicatifs ). Cette procdure consiste excuter le logiciel sur un serveur distant plutt que sur l'ordinateur de l'utilisateur. Les DLL16 des programmes redirigent tous les appels de lapplication virtualise vers le systme de fichiers du serveur. Lorsque le logiciel est excut partir du serveur, aucune modification n'est apporte au systme d'exploitation de l'ordinateur local (OS17), au systme de fichiers ou au registre18.
Le Directeur des Systmes d'Information d'une organisation (entreprise, association, etc., est responsable de

15

l'ensemble des composants matriels (postes de travail, serveurs, quipements de rseau, systmes de stockage, de sauvegarde et d'impression, etc. et logiciels du systme d informations.
16 17

Dynamic Link Library, librairie de routines utilises par diffrents programmes. Un systme d'exploitation (SE ou OS en anglais pour Operating System est un ensemble cohrent de logiciels Le base de registre, est une base de donnes utilise par le systme d'exploitation Windows. Elle contient les

permettant d'utiliser un ordinateur et tous ses lments (ou priphriques.


18

donnes de configuration du systme d'exploitation et des autres logiciels installs dsirant s'en servir.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

11/31

Infrastructure informatique virtuelle dans un environnement hospitalier

Les avantages de la virtualisation sont nombreux : Augmenter lespace de stockage disponible. Accs unifi aux donnes. Fiabiliser des connexions. Faciliter de gestion pour les administrateurs, centralisation des postes de travail pour les mises jour. Faciliter la gestion du parc matriel. Sinscrire dans une politique de dveloppement durable. Exemple plus spcifique : Support informatique ais du projet DPI19 qui entraine de nombreuses contraintes sur les infrastructures des systmes de communications tels que la haute-disponibilit20 des postes de travail. En effet les donnes du patient tant compltements dmatrialises, un agent hospitalier se doit daccder ces informations en 24h/24 et 7j/7 sur son poste.

19

Projet public lanc par le ministre franais de la Sant visant ce que chaque franais dispose d'un dossier

mdical informatis reprenant tout son pass et son actualit mdicale. Le projet est lanc par la loi n2004-810 du 13 aot 2004 relative l'assurance maladie. Son but est de fournir au mdecin traitant l'information la plus complte pour qu'il puisse proposer le traitement ou les examens les plus adapts et galement d'viter des redondances inutiles d'examens ou de prescriptions. Les principaux obstacles son emploi sont la scurisation des accs et la mise en
20 La

uvre.

haute disponibilit dsigne une architecture informatique, ou un service, disposant d'un taux de disponibilit

convenable. On entend par disponible le fait d'tre accessible et rendre le service demand. La disponibilit est aujourd'hui un enjeu trs important en cas d'indisponibilit, les rpercussions en termes de cots et de productions peuvent avoir un effet catastrophique.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

12/31

Infrastructure informatique virtuelle dans un environnement hospitalier

II/ tude thorique et comparative.


1) Principe.
La virtualisation du poste de travail peut se comparer aux systmes centraliss des annes 70 avant larrive de la micro-informatique. On va fournir un utilisateur un environnement de travail utilisant les ressources (CPU, mmoire) du Datacenter de la socit. De ce fait, on dsolidarise la partie interface homme machine (cran, clavier et souris), de la partie calcul et stockage. Il circule donc sur le rseau entre le client et le Datacenter : le dport daffichage, le son, les dplacements de la souris et les frappes clavier. Toutes ces donnes sont transportes travers une session RDP21 ou ici PCoIP22

Larchitecture comporte deux couches distinctes : Le connection broker23 attribuant une session lutilisateur. Le serveur hbergeant lenvironnement de travail des utilisateurs. Ces deux parties seront abordes dans lanalyse des solutions du march. Une architecture de virtualisation du poste client peut se schmatiser de la manire suivante :

21

Remote Desktop Protocol, dfini par Microsoft. C est le protocole standard de connexion de terminaux PC-Over-IP a t dvelopp par la socit Teradici, ce protocole a la particularit d tre auto-adaptative en Intermdiaire entre les utilisateurs et le service final. Il identifie les machines virtuelles pour les utilisateurs afin

graphiques sur un serveur Windows distant.


22

fonction du besoin du contenu et de la quantit de bande passante disponible sur le rseau.


23

d initier la connexion distance (ici, c est le View Manager.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

13/31

Infrastructure informatique virtuelle dans un environnement hospitalier

Ce type dinfrastructure apporte les avantages suivants : Administration centralise des postes de travail. Haute disponibilit Mise jour des systmes et applications facilites Stockage centralis des donnes

2) Modles existants.
Aujourdhui, 3 modles de consolidation de poste de travail existent sur le march : Services partags. VDI (Virtual Desktop Infrastructure). Poste de travail Blade. Ces diffrents types dinfrastructure se diffrencient de la manire suivante :

Services partags : Il sagit de la technologie de consolidation la plus implante du march grce la solution MetaFrame de Citrix. Le principe est que, le mme OS est partag par plusieurs utilisateurs, grce lutilisation des sessions Windows. Soit un serveur pour un OS pour plusieurs utilisateurs. VDI : Cette technique sinscrit dans la continuit de la virtualisation de serveur. Elle se base donc sur le mme hyperviseur24 que pour les serveurs. Le principe est quun utilisateur accde son propre poste de travail mais que celui-ci est virtualis et partage ainsi les ressources du serveur avec dautres postes virtuels. Soit un serveur pour plusieurs OS pour plusieurs utilisateurs. Poste de travail Blade : Il sagit de la technologie la moins rpandue du march car cest la plus onreuse. Le principe est quun serveur de type Blade soit ddi un utilisateur. Soit un serveur pour un OS par utilisateur.
Cat1 : s'excute directement sur une plateforme matrielle donne (Noyau hte. Un systme d'exploitation

24

secondaire peut de ce fait tre excut au-dessus (OS invit. (VMware ESX, Xen de Citrix. Cat2 : logiciel qui s'excute l'intrieur d'un autre systme d'exploitation. (VMware Workstation, VirtualBox.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

14/31

Infrastructure informatique virtuelle dans un environnement hospitalier

3) tude du march et volutions.


Aujourdhui la virtualisation, des serveurs et des postes de travail, est la technologie la plus en vogue dans les dpartements IT25. Le march de la virtualisation de poste de travail a connu une trs forte croissance entre 2006 et 2011. Cette technologie est un bon compromis entre les postes de travail trop onreux et les services partags trop limits du point de vue des applications. Et mme en consolidant, les environnements de travail sont parfaitement isols grce la virtualisation.

25 Administrer,

grer, maintenir l utilisation des technologies d Information et de Communication, (l informatique.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

15/31

Infrastructure informatique virtuelle dans un environnement hospitalier

Comme nous lavons vu prcdemment, la consolidation du poste de travail comporte deux couches distinctes : Le connection broker attribuant une session lutilisateur. Le serveur hbergeant les sessions utilisateurs. Nous allons dabord commencer traiter cette dernire partie en comparant les principaux hyperviseurs du march.

4) Virtualisation du poste de travail.


Le prcurseur de la virtualisation est VMware, qui a su ces cinq dernires annes dmocratiser la virtualisation des serveurs grce son hyperviseur nomm ESX. Citrix a t quant lui le premier dmocratiser la consolidation du poste client avec son offre MetaFrame. La virtualisation prenant de plus en plus de part sur ce march, cette compagnie a fait lacquisition de la socit XenSource en Aout 2007. Ainsi, elle a pu proposer une solution avec lhyperviseur Xen. Dautres, se sont lancs dans cette technologie, tant bien que mal, comme Microsoft avec lhyperviseur Hyper-V lanc difficilement en Juin 2008 pour la sortie de Windows Server 2008. ce jour, seules les solutions de VMware et Citrix sont arrives maturit. Cest pour cela que nous ne comparerons que ces deux produits. Pour le choix de lhyperviseur, le C.H.A a plusieurs contraintes, il faut quil soit compatible et optimis avec le rseau SAN26 du C.H.A existant. Puis que le systme de packaging dapplications, fonctionne avec toutes les plates-formes spcifiques aux divers services ( Urqual pour la gestion des urgences, et Pharma qui est une plate-forme de suivi, commande et gestion des mdicaments, utilise par lensemble du personnel soignant).
26

Storage Area Network, est un rseau spcialis permettant de mutualiser des ressources de stockage. Assure la redondance du stockage, c'est--dire l accessibilit au systme de stockage en cas de panne de l un de ses lments, en doublant au minimum chacun des lments du systme (haute disponibilit. Fonctionne dans un environnement compltement htrogne : serveurs Unix, Windows. Agrgation de liens (fibre channel, et assure le fait que la requte envoye par un serveur a bien t reue et prise en compte par les systmes de stockage.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

16/31

Infrastructure informatique virtuelle dans un environnement hospitalier

5) Comparatif de ESX et XEN.


ESX effectue une virtualisation complte, c'est--dire que les machines virtuelles ne sont pas conscientes dtre excutes au-dessus dun systme hte et quelles nont pas directement accs aux ressources matrielles du serveur. Au contraire, les machines virtuelles sous Xen en sont conscientes puisque les ressources ne sont pas virtualises comme sur VMware, seul laccs celles-ci lest. Cette paravirtualisation oblige la machine hte avoir un processeur de type VT (Intel VT ou AMD-V27) pour faire tourner des systmes htrognes de Windows XP Ubuntu.

Dans ce comparatif, on saperoit quESX est en avance sur XEN. Cela est d au fait que la solution de VMware existe depuis plusieurs annes. Les deux fonctionnalits qui mettent en dfaut lhyperviseur de Citrix sont importantes. En effet, le partage transparent des emplacements mmoires permet de rduire considrablement lutilisation mmoire. Par exemple, si plusieurs machines virtuelles excutent Windows XP, elles possderont de nombreuses pages identiques. Dans ce cas, les pages identiques seront stockes dans le mme emplacement mmoire. Le surdimensionnement28 de la mmoire RAM permet quant lui dexcuter plus de machines virtuelles simultanment sur le mme serveur. Par exemple, la quantit de mmoire cumule des machines virtuelles qui sexcutent sur un serveur disposant de 8 Go de mmoire physique peut tre de 16 Go. Concrtement si lon cumule ces deux fonctionnalits, on pourra dmarrer beaucoup plus de machines virtuelles sur ESX que sur XEN. La solution de VMware a donc t retenue par le C.H.A pour virtualiser les postes de travail et les serveurs.
27

Jeu d instruction processeur visant rsoudre de manire matrielle les difficults lies la virtualisation du

CPU, la virtualisation de la mmoire, et la virtualisation des priphriques du systme. (Technologie prsente chez les 2 principaux leaders des micro-processeurs Intel et AMD.
28

Ressources systmes de la machine virtuelle dpassant celle du serveur physique. Exemple : la quantit de

mmoire cumule des machines virtuelles qui s excutent sur un serveur disposant de 8 Go de mmoire physique peut tre de 16 Go grce une attribution intelligente et dynamique des ressources physiques aux VM.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

17/31

Infrastructure informatique virtuelle dans un environnement hospitalier

6) Connection broker.
On peut considrer le connection broker comme le point central dune architecture de consolidation de poste de travail. En effet, cest le serveur qui va mettre disposition de lutilisateur un environnement de travail.

7) Authentification de lutilisateur.
Le connection broker est interfac avec un annuaire de type LDAP29 (Active Directory de Windows) contenant les paramtres dauthentification de chaque utilisateur.

29

Protocole permettant l'interrogation et la modification des services d'annuaire. Ce protocole repose sur TCP/IP. Il

a cependant volu pour reprsenter une norme pour les systmes d'annuaires, incluant un modle de donnes, un modle de nommage. C est une structure arborescente dont chacun des n uds est constitu d'attributs associs leurs valeurs. Le nommage des lments constituant l'arbre (racine, branches, feuilles reflte souvent le modle politique, gographique ou organisationnel de la structure reprsente par l annuaire.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

18/31

Infrastructure informatique virtuelle dans un environnement hospitalier

8) Gestion des pools de machines virtuelles.


Un utilisateur A, faisant parti du groupe M dans lannuaire, a accs une machine virtuelle du pool S. Alors quun utilisateur B, faisant parti du groupe N, a accs une machine virtuelle du pool T. Dans ce cas, le profil itinrant de Windows30 doit tre mise en place car lutilisateur naura jamais la mme machine virtuelle attribue.

30 Le

profil itinrant de Windows est une fonction de l Active Directory. C est la dfinition d un profil qui est

disponible sur l ensemble des postes de travail rfrencs dans l AD. Ainsi l utilisateur du profil itinrant n est pas dpendant de son poste pour s authentifier et accder son environnement de travail. L ensemble de l architecture VMware View (notamment la gestion des pools est interface avec le(s domaine(s AD existant.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

19/31

Infrastructure informatique virtuelle dans un environnement hospitalier

9) Allocation automatique des machines virtuelles (Provisionning).


Un poste de travail virtuel peut tre cr la connexion dun utilisateur ou de manire prventive pour viter des priodes de surcharge. Nous allons comparer maintenant les principaux connection broker du march laide dun tableau :

Comparatif des connexions brokers SSO : Single Sign-On est une mthode permettant un utilisateur de ne procder qu' une seule authentification pour accder plusieurs applications.

Les brokers choisis offrent pratiquement les mmes fonctionnalits. Seules les solutions de Quest Software et VMware se dmarquent grce au provisioning de machines virtuelles. Il reste une fonction que seul VMware propose aujourdhui savoir le View Composer . Ce composant permet de crer des images virtuelles partageants le disque virtuel dune image maitre (clones-lis31). Cela permet ainsi de rduire jusqu 90% le stockage des postes de travail virtuels. Grce cette dernire fonctionnalit, VMware a pris une avance non ngligeable sur la concurrence.

31

Provisionner des postes de travail virtuel partir d'une seule machine virtuelle (c'est une VM qui fait 15 Go et qui

permet de dployer jusqu' 64 VM de 2Go. Ainsi une image maitresse (Rplica sera la source de plusieurs VM. On spare donc les donnes systmes (maintenant communes, des donnes utilisateurs.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

20/31

Infrastructure informatique virtuelle dans un environnement hospitalier

10) A/ La virtualisation dapplication.


Cette technologie est un complment de la virtualisation du poste de travail. La virtualisation dapplication permet dexcuter diffrentes applications, sous diffrentes versions, sans conflit car elles sont isoles du systme.

Cet outil de cration de package dapplication permet davoir une isolation complte de lapplication. Cela permet dtre compltement indpendant des droits de lutilisateur sur sa machine. La cration dun package se droule selon les tapes suivante :

Dmarrage de la capture avec ThinApp Installation complte de lapplication Finir la capture ThinApp aprs linstallation Cration du package en .exe32 Utilisation du package

Cette technologie permet de maintenir les versions des applications jour sans rinstaller compltement les logiciels sur les postes. Ainsi, placer un tel package sur un partage rseau permet un ensemble dutilisateurs dexcuter le mme package et donc la mme application. Exemple : Il est possible davoir plusieurs versions de client Oracle33 , excutes sur le mme poste. Plutt que de rajouter des serveurs (en rack) autonomes, larchitecture prvoit lutilisation de tous les serveurs dinfrastructure : Serveur active directory, supervision, administration, sauvegarde, travers des machines virtuelles (VM) VMware.
32 Un

Fichier excutable est un fichier contenant un programme et identifi par le systme d'exploitation en tant que

tel. Le chargement d'un tel fichier entrane la cration d'un processus dans le systme, et l'excution du programme.
33

Systme de gestion de base de donnes relationnelles (SGBDR qui, depuis l'introduction du support du modle

objet dans sa version 8, peut tre aussi qualifi de systme de gestion de base de donnes relationnel-objet (SGBDRO.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

21/31

Infrastructure informatique virtuelle dans un environnement hospitalier

10) B/ Virtualisation du logiciel GNS3 sous ThinApp 4.6.

Scannage du systme (Prescan).

Registres, dossiers dinstallations.

Attente dune nouvelle installation.

Installation de GNS 3 .

Nouveau Scannage (Postcan).

Composants de GNS3 packager . Juin 2011


22/31

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Infrastructure informatique virtuelle dans un environnement hospitalier

Slection du type de profil dutilisateur, autoris excuter le package , ou non daprs lAD.

Merged Isolation mode : Le logiciel ne peut pas crire dans les rpertoires du systme dexploitation. WriteCopy Isolation Mode : Le logiciel peut crire partout sur le disque.

Dossier o sont stockes les modifications de l'application (Delta). Exemple : Lors dune mise jour dun logiciel packag , cette modification sera stocke dans la sendbox. Celle-ci se trouve par dfaut, dans %users%\AppData\Thinstall\ et sous Windows Seven dans C:\Users\\AppData\Roaming\Thinstall\, ou sur un partage rseau spcifique.

1) Package .exe seulement : de trs grande taille, le package ralenti considrablement lanalyse anti-virus, et fait perdre des performances au systme. 2) Package .exe et .dat : ici, le .exe joue le rle de point dentre dans le .dat contenant les donnes. 3) Package .msi : permettant une intgration conventionnelle dans lenvironnement Windows (visible dans ajout/supp programme, indexation) Juin 2011
23/31

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Infrastructure informatique virtuelle dans un environnement hospitalier

10) B/(1) Compilation du package.


Une fois la procdure de ThinApp termine, nous pouvons voir lensemble des fichiers systmes (DDL, base de registres, dpendances du logiciel packag) dans le dossier du projet. Pour finaliser la procdure, il suffit deffectuer le rassemblement de cet ensemble de fichiers via un script build.bat en un .exe qui sera un point daccs de quelques Kilos/octets vers un .dat qui contient lensemble des donnes du programme packag.

10) B/(2) Utilisation de cette mthode au C.H.A .


Aujourdhui, uniquement deux applications packages sont en production, Urqual (Logiciel de gestion des urgences en temps rel), et pharma (Logiciel de commande et de gestion des mdicaments). Elles transitent via linfrastructure virtuelle prcdemment tudie. La dmarche de packaging de ces applications est identique celle de GNS3, dtaille ci-dessus.

terme, lensemble des applications des services de lhpital seront ainsi packages. Hormis Microsoft Office et Convergence34 qui sont directement intgrs au master35 des VM. Voir en Annexe 2, la cration dun master optimis.

34

Convergence (Logiciel administratif du C.H.A dtaill en annexe 1 utilis par l ensemble du personnel est

dpendant d un module de Microsoft Word nomm Word fusion pour l impression des documents administratifs, notamment pour la prise en charge des macros=> (excution automatique d une suite de taches

toujours dans le mme ordre et de faon rptitive. D o l intrt d inclure la suite Microsoft Office et Convergence
dans les masters des VM.
35

Image d origine du systme d exploitation (Ici Windows XP servant de base aux clones-lis des VM crent

dynamiquement.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

24/31

Infrastructure informatique virtuelle dans un environnement hospitalier

III/ Retours dexpriences & Tches ralises.


1) Phase de mise en production des clients lgers.
Durant le mois de Mai et Juin, jai particip avec Marc et Pierre au dbut de la mise en production des clients lgers. Nous avons ralis les contraintes et les difficults quune telle infrastructure engendre divers niveaux.

2) Lenvironnement informatique du CHA.


Au sein de lhpital, loutil informatique est omniprsent et doit tre disponible 24h/24 et 7j/7 (voir les logiciels du C.H.A en Annexe 1). Il existe deux types dutilisateurs relativement diffrents : les utilisateurs polyvalents ayant une exprience basique, et ceux qui se limitent exclusivement au(x) logiciel(s) indispensable(s) leur travail, avec une certaine forme de contrainte . Le dfi de lquipe du C.H.A est dimplanter une telle architecture, mais aussi de faire en sorte que celle-ci soit la plus transparente possible vis--vis des diffrents types dutilisateurs (habitudes, aucun login/mot de passe personnel, besoins cibls).

3) Engagement financier et rentabilit.


Pour obtenir les ressources budgtaires ncessaires au financement du projet (avoisinant les un million deux-cent mille euros), M. Casanova a d dmontrer les rels gains et conomies permises par ce type darchitecture (nergies, non remplacement des machines, augmentation de la productivit, facilit dadministration). Aucun retour nest donc possible, le projet doit arriver terme.

4) Mise en production : dploiement initial cibl.


La haute disponibilit et la diversit des utilisateurs, rendent le dploiement et les essais difficiles. Lquipe du C.H.A a dans un premier temps privilgi un dploiement limit dans deux services contrasts : Urgences : quatre clients-lgers, exploitation du logiciel Urqual packag, utilisation continue, utilisateurs peu coopratifs. Bureau des entres : huit clients-lgers, exploitation du logiciel Noyau Convergence packag/non-packag, utilisation journalire, utilisateurs coopratifs.

Ce type de dmarche permet de faire des essais dintgration et de fonctionnement de manire transparente dans diverses situations avant de rpandre le dploiement lensemble du centre hospitalier.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

25/31

Infrastructure informatique virtuelle dans un environnement hospitalier

5) Problme rencontr et raisonnements dialectiques associs.


Les douze utilisateurs concerns par le dploiement ont fait part lquipe du C.H.A dun phnomne de latences durant lutilisation de leur poste virtuel. Ces latences se traduisent par des gels dimages et/ou du systme de quelques secondes, de manire alatoire, et notamment lors de lutilisation des logiciels Urqual et Convergence . Suite ce phnomne avr, une large investigation va tre amorce sur larchitecture virtuelle, de la premire couche jusqu la septime. Les domaines dessais raliss tant vastes, je vais mappuyer sur le modle TCP/IP ci-dessous, pour rpertorier ainsi chaque essai une couche de larchitecture (la couche transport nentre pas dans ltude). Jeffectue par la suite un focus sur les essais qui ont majoritairement influencs notre vision du problme.

Hte rseau : Les essais au niveau client sont : changement client lgers par une
configuration plus onreuse (puce Teradici spciale PCoIP). Essais avec diffrents raccordements divers points du rseau. Au niveau serveur : statistiques des performances des ESX et de la baie de stockage.

Rseau : Le rseau local du C.H.A est relativement vaste et peu optimis :


absence de VLANs36, commutation exclusivement de niveaux 1 et 237, domaines de diffusions38 importants, vision et administration du rseau perfectibles, cblage du btiment en rnovation. Ces faiblesses du rseau laissent aisment penser que le phnomne de latence provient de celles-ci. Nous avons donc directement raccord un client lger sur la baie des serveurs virtuels, de manire tre indpendant du rseau, et nous avons constat le mme phnomne de latence.
36

Un rseau local virtuel, communment appel VLAN (pour Virtual LAN est un rseau informatique logique

indpendant. De nombreux VLAN peuvent coexister sur un mme commutateur rseau. Avantages : rduire la taille d'un domaine de diffusion permet de crer un ensemble logique isol, pour amliorer la scurit.
37

Dsigne, dans le modle en couche OSI d un rseau, la couche physique et liaison de donnes. La commutation Zone du rseau compose de tous les ordinateurs et quipements de communication qui peuvent tre contacts

est uniquement effectu grce l adresse MAC (physique des machines, il n y a donc pas de routage.
38

en envoyant une trame l'adresse de diffusion de la couche liaison de donnes (nombreuses collisions possibles.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

26/31

Infrastructure informatique virtuelle dans un environnement hospitalier

Applications : Nous avons test plusieurs configurations : Logiciels installs sur le


master et packags ; nous avons constat un gain de performances avec le logiciel Urqual uniquement, une fois celui-ci install sur le master. Nous avons approfondi les paramtrages du protocole PCoiP.

Origine des latences.


Comme nous lavons prcis en introduction, la protection anti-virus est assure par Trend Micro. Initialement, la solution OfficeScan 10.5 a t mise en place dans linfrastructure virtuelle de manire conventionnelle, savoir : serveur virtuel ddi lapplication, ainsi quun agent39 sur chaque VM (intgr au master de chaque pool40 de VM). Nous avons dsactiv lagent anti-virus sur les VM et constat une absence totale de latences, ainsi quune ractivit digne dun PC conventionnel sur lOS, comme sur les applications mtiers du C.H.A .

La solution.
VMware vShield Endpoint41 dporte lanalyse anti-virus vers une machine virtuelle renforce et ddie sur laquelle une base virale dun diteur antivirus est installe. Grace cette API42 VMware vShield Endpoint, Trend Micro propose une protection anti-virus, nomme Deep Security 7.5, qui fournit une protection complte aux VM sans agents tiers installs. Rduisant ainsi de manire significative, la charge mmoire et CPU de lensemble des VM. Une protection qui minimise limpact de ses ressources sur lESX, et qui participe une plus grande banalisation43 du poste de travail virtuel.
39 Programme

rsident qui accomplit des tches la manire d'un automate en

arrire-plan/ou non du systme d exploitation, qui est souvent install sur une machine cliente qui excute un service install sur un serveur distant. Exemples : le passage de messages, l'appel de procdure distance, l'valuation distance
40 Le

etc.

pool est la base de la notion de clones-lis . 1 Crer un pool

correspondant un groupe d utilisateur prcis. 2 Crer un master, savoir une image d un OS ou vont pointer, l ensemble des VM. 3 Crer les VM (cloneslis au master du pool correspondant, qui reprsentent en terme de taille, le delta des modifications de l utilisateur, du master, par rapport la VM (Voir le

schma ci-contre illustrant le principe, avec un serveur ThinApp.


41

Module de scurit s intgrant dans vSphre. (Dtaill en page 29. permettant l'interaction des programmes les uns avec les autres, de

42 Interface

manire analogue une interface homme-machine, qui rend possible l'interaction entre un homme et une machine.
43 Postes

de travail identiques, sans dpendances et simpliste.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

27/31

Infrastructure informatique virtuelle dans un environnement hospitalier

Prsentation et Principe de VMware vShield.


Voici, une prsentation succincte des modules existant de VMware vShield : vShield Manager est loutil centralis permettant dactiver et dinstaller les diffrents lments que compose la famille vShield.

1. vShield zone : vAPI de scurisation, dlivr par VMware, permettant dintgrer un pare-feu directement dans linfrastructure VMware et de segmenter les rseaux lintrieur de lHyperviseur. 2. vShield Edge : Permet la scurisation primtrique de linfrastructure virtuelle intgrant du VPN, du DHCP, de la journalisation et de laudit. 3. vShield app : scurisation au niveau des applications hberges par les VM. Il analyse les applications et les paquets changs (firewalling).

4. vShield Endpoint : Solution utilise par le C.H.A, avec Trend Micro.

Afin danalyser les flux rseau, CPU et mmoire, vShield Endpoint sintgre directement lenvironnement vSphre et se compose dune machine virtuelle ddie la scurit (SVM voir schma ci-dessus). Cest les API VMsafe de VMware, qui permettent ses partenaires (ici Trend Micro avec Deep Security 10.5), de dvelopper une solution de scurit oriente virtualisation. Sous la forme d'une machine virtuelle de scurit capable d'accder, de rapprocher et de modifier les informations en fonction des matriels virtuels suivants : Excution des processus (gestion des clients) : API clients et processus qui surveillent et contrlent entirement l'excution des processus sur la VM. Stockage : les fichiers de disque de la machine virtuelle (VMDK) peuvent tre installs, manipuls et modifis lorsqu'ils sont conservs sur des priphriques de stockage. IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE Juin 2011
28/31

Infrastructure informatique virtuelle dans un environnement hospitalier

Mmoire et processeur : VMsafe permet l'introspection44 des pages de mmoire et de l'tat des processeurs de la machine virtuelle cliente. VMsafe Memory & CPU API (VMsafe-Mem/CPU). Mise en rseau : filtrage des paquets rseau sur l'hyperviseur et sur une machine virtuelle de scurit. VMsafe Network Packet Inspection API (VMsafe-Net).

Tous ces composants renvoient les flux directement la SVM de scurit qui a toutes les paternes (dfinition de virus, comportements, prises de dcisionsetc). Lavantage, est que lon ne conserve quun seul paterne par serveur ESX. Cela soulage le rseau lors des mises jour, et concerne seulement la SVM.

6) Maquette dun environnement client-serveur, de type VMware vSphre.


Comme nous pouvons le constater daprs les chapitres prcdents, la comprhension de cette infrastructure et de ses composants nest pas aise. Cest pourquoi jai ralis une maquette de principe, modlisant un environnement clientserveur vSphre, de manire ce que le principe de base soit probant.

6) (1) )\ Quest-ce que VMware vSphre ?


La plateforme vSphre, est une suite dune quinzaine de modules permettant : la virtualisation, la mise en production, et ladministration des serveurs dentreprises. Ces modules, (que nous ne dtaillons pas ici) interviennent dans tous les domaines : stockages, rseaux, ressources systmes, scurit, maintenance, administration et applicatif. La maquette concerne uniquement les ressources systmes (ESXi, qui est lhyperviseur voir les pages 9 et 10 de VMware dans sa version gratuite), et ladministration (client vSphre permettant le management de lESXi).

44 Adjectif

signifiant une analyse du sujet par lui-mme. Dans la lutte que se livrent virus et antivirus, c est

aujourd hui en effet celui qui excute son programme le premier : si un code malveillant parvient dmarrer avant l antivirus, il sera particulirement difficile pour ce dernier d avoir confiance dans les donnes qu il pourra lire sur la machine. Le parasite contrlant le systme, il pourra lui prsenter des lectures errones et laisser voir un systme sain. Et jusqu aujourd hui, le code malveillant et l antivirus partaient sur un pied d galit dans cette course, car ils sont tous les deux de simples applications hberges sur le mme systme. L API VMsafe permet aux diteurs de solutions de scurit, d excuter leur code au mme niveau que l hyperviseur, c est dire l extrieur des machines, totalement intouchable et jouissant surtout d une vue imprenable sur le systme : contrler la mmoire, les entres/sorties, le processeur et les units de stockage. Cela signifie qu en dehors de toute vulnrabilit propre VMware, un code malveillant s imaginera seul au monde et n aura aucun moyen de se savoir observ par la solution de scurit, d o le terme d introspection.

IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE

Juin 2011

29/31

Infrastructure informatique virtuelle dans un environnement hospitalier

6) (2) )\ Virtualisation complte dun systme dexploitation Hyperviseur.

Schma de principe dune maquette client-serveur de type vSphre

Le systme dexploitation hte est Windows Seven Professional Edition 64 Bits . La virtualisation complte page 8 de lhyperviseur ESXi est ralise grce au logiciel VMware Workstation , install en tant que programme utilisateur sur lOS hte. Les ressources physiques mules correspondent au minimum requis dun serveur ESX physique en production, savoir : 4 Go de mmoire vive, un minimum de 60 Go de disque dur (cela dpend du nombre de VM), dun processeur quadruple curs supportant les instructions, intel VT ou AMD-V. Ainsi, les ressources de la machine physique sont totalement mules et mises la disposition de la maquette.

7) Points importants non-abords.


Il est important de prciser que techniquement, une infrastructure virtuelle de cette envergure est extrmement dense en domaines de comptences. Cest pourquoi, je souhaite numrer les composantes de larchitecture non-abordes dans ce rapport. Mise en place et fonctionnement du PRA (Plan de reprise dactivit) Mise en place et fonctionnement du rseau SAN, des backups, de la gestion des bandes magntiques LTO. Etudes davant-projet ralises par lquipe du C.H.A (tudes et essais des technologies existantes, choix de la technologie, enqutes sur la compatibilit des logiciels mtiers par rapport lenvironnement virtuel). Etude concrte des capacits du rseau local, avant le renouvellement du cur du rseau prvu pour septembre 2012. IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE Juin 2011
30/31

Infrastructure informatique virtuelle dans un environnement hospitalier

IV/ Conclusions.
Pourquoi ce choix de stage ? Virtualisation, dmatrialisation, plateforme, en ligne, autant de
termes troitement lis linformatique dans les nuages. De faon quasi unanime, les fournisseurs de solutions de virtualisation estiment que le dcollage du march aura lieu dbut 2012, notamment sous limpulsion du secteur public en France. La monte en puissance de la virtualisation prcipitera le recul des ventes de micro-ordinateurs, notamment pour les PC de bureau et les serveurs. Les seuls formats pargns seraient ainsi les ordinateurs portables. Selon ce scnario trs probable, on ne verra plus sur les bureaux des entreprises que des configurations cran-clavier-souris , le cerveau des clients lgers logeant dans le socle de lcran ou dans la structure du btiment, au mme titre quune prise lectrique. Extrait dun article du journal Le Monde Fvrier 2011. Pour tre comptent en tant quintgrateur de ce type darchitecture, les domaines de comptences requis, dpendants des uns des autres, sont : rseaux, administrations des systmes Windows/Unix, stockage, scurit et maitrise des technologies VMware et Citrix. Durant ces 12 semaines au sein du C.H.A, jai pu me rendre compte, que ce mtier est pluridisciplinaire et son domaine mergeant, o lexprience est une forte valeur ajoute. Aujourdhui, le C.H.A est une vritable vitrine technologique, reprsentant actuellement une des rares architectures virtuelles en production, dune telle envergure en France. Ce stage ma permis de me rendre compte, de manire concrte, du potentiel de ce mtier vers lequel je prtends me diriger (licence professionnelle IRI oriente virtualisation, alterne par un contrat dapprentissage, avec un intgrateur spcialis qui est NEXTO. www.nexto.fr). Et au-del, ce stage a rvl une passion pour cette technologie, autant sur la technique que sur la morale. En effet, laspect de participation une dmarche de dveloppement durable, lie aux conomies dnergies, me comble.

Bilan.
Mon stage, au sein du service informatique du C.H.A, fut complet et considrablement formateur, tant sur le plan technique que thorique. Mes recherches de documentations techniques furent importantes afin dtre capable de suivre les transmissions de comptences et raliser les taches qui mont t confies. Il tait galement intressant de constater les similitudes entre certaines problmatiques rencontres durant le stage et celles soumises durant les TP/TD de rseaux. Je pense particulirement M. Roland Depeyre, pour ses explications et exemples extrmement concrets. Que jai pu retrouver lors de rflexions techniques que jai pu avoir durant le stage concernant les caractristiques dun rseau local. Je souhaite galement souligner limpact majeur qua pu avoir lpreuve du TCS (http://jeuxj.free.fr/cisco_acacia_2011/), sur ma motivation et mon intrt concernant les rseaux et ses applications. IUT Rseaux & Tlcommunications site de Luminy Benjamin FORTE Juin 2011
31/31