Académique Documents
Professionnel Documents
Culture Documents
D’ANTANANARIVO
*************************
DEPARTEMENT ELECTRONIQUE
***********************************
Spécialité : ELECTRONIQUE
Présenté par :
D’ANTANANARIVO
*************************
DEPARTEMENT ELECTRONIQUE
***********************************
Spécialité : ELECTRONIQUE
Présenté par :
Encadré par :
Avant tout, Je remercie Dieu de m’avoir donné la santé et le courage afin de mener à
terme la réalisation de ce mémoire de fin d’études.
Ce mémoire a été réalisé avec l’aide et la contribution des personnes suivantes à qui
je me permets d’adresser mes vifs remerciements et mes sincères gratitudes:
Monsieur RAKOTONDRASOA Justin, mon encadreur qui n’a pas ménagé son
temps, malgré ses responsabilités tout au long de l’élaboration de notre travail ;
Tous les membres du jury d’avoir accepté d’examiner et pris le soin d’évaluer ce
travail malgré leurs obligations :
Mes parents qui n’ont pas dispensé leurs soutiens par tous les moyens dans leur
disposition durant toutes mes années d’études ;
Gilberto
i
RESUME……..
Ainsi, ce projet de fin d’étude présente la mise en place d’un serveur de domaine
Active Directory dans un environnement informatique virtualisé tout en préservant la
disponibilité des services.
ii
TABLE DES MATIERES
REMERCIEMENTS ................................................................................................................... I
RESUME……... ........................................................................................................................II
INTRODUCTION ...................................................................................................................... 1
iii
I.6.1 Conception d’ Active Directory ............................................................................... 17
I.6.2 Planification d’Active Directory .............................................................................. 18
I.6.3 Implémentation d’Active Directory ......................................................................... 20
IV.1. Applications.................................................................................................................. 48
IV.1.1. Objectif ................................................................................................................. 48
IV.1.2. Mise en place du centre de données virtualisé ..................................................... 48
IV.1.3. Mise en place du serveur virtuel [12] ................................................................... 54
iv
IV.2. Simulations ................................................................................................................... 56
IV.2.1. Mise en œuvre d’Active Directory ....................................................................... 56
IV.2.2. Perte de serveurs ESXi ......................................................................................... 56
IV.2.3. Perte de stockages partagés .................................................................................. 57
CONCLUSION ...................................................................................................................... 58
v
LISTE DES ABREVIATIONS
vi
OS: Operating System
vii
LISTE DES FIGURES
viii
Figure 4: 1 Topologie d'un Datacenter dans un environnement de production....................... 49
Figure 4: 2 Topologie du laboratoire de simulation ................................................................ 51
Figure 4: 3 Présentation du PC CRFI05 .................................................................................. 52
Figure 4: 4 Présentation du PC CRFI03 .................................................................................. 53
Figure 4: 5 Présentation du PC CRFI01 .................................................................................. 54
Figure 4: 6 Structure logique du domaine ............................................................................... 55
Figure 4: 7 organisation logique des données sur le stockage................................................. 55
ix
LISTE DES TABLEAUX
x
INTRODUCTION
1
C’est dans ce contexte que s’inscrit ce mémoire de fin d’études. Il s’agit d’étudier la
mise en place d’un serveur de domaine Active Directory dans un environnement informatique
virtuelle hautement disponible. Il s’étalera autour de quatre chapitres. Le premier chapitre
«Serveur de domaine Active Directory», consiste à présenter la généralité et le concept du
service d’annuaire proposé par Microsoft. Le second concernant «la virtualisation des
systèmes informatiques», va exposer les techniques et principe permettant la mise en place
d’un Datacenter virtualisé. Le troisième chapitre « la haute disponibilité » présentera les
solutions de disponibilité pour la sécurisation d’un centre de données. Et enfin le
dernier « Applications et simulations » présentent quelques réalisations illustrant les
chapitres présentés précédemment.
.
2
Chapitre I. SERVEUR DE DOMAINE ACTIVE DIRECTORY
Dans de grands réseaux, les ressources sont partagées par de nombreux utilisateurs et
applications. Pour permettre aux utilisateurs et aux applications d’accéder à ces ressources et
aux informations les concernant, une méthode cohérente est nécessaire. Un service d’annuaire
remplit cette fonction.
Un service d’annuaire est un service réseau qui identifie toutes les ressources d’un réseau
et met ces informations à la disposition des utilisateurs ainsi que des applications. Les services
d’annuaires sont importants, car ils fournissent un moyen cohérent de nommer, de décrire, de
localiser, d’administrer et de sécuriser les informations relatives à ces ressources et d’y
accéder.
3
Lorsqu’un utilisateur recherche un dossier partagé sur le réseau, le service d’annuaire
identifie la ressource et fournit l’information à l’utilisateur.
Le schéma Active Directory contient les définitions de tous les objets, comme les
utilisateurs, les ordinateurs et les imprimantes stockés dans l’annuaire. Un contrôleur de
domaine exécutant Windows Server ne comporte qu’un seul schéma pour toute une forêt.
Ainsi, tous les objets créés dans Active Directory se conforment aux mêmes règles. Le
schéma possède deux types de définitions : les classes d’objets et les attributs. Les classes
d’objets comme utilisateur, ordinateur et imprimante décrivent les objets d’annuaire qu’on
peut créer, et chaque classe d’objet est un ensemble d’attributs.
Les attributs sont définis séparément des classes d’objets. Chaque attribut n’est défini qu’une
seule fois et peut être utilisé dans plusieurs classes d’objets.
4
I.1.2 Catalogue global
Dans Active Directory, les ressources peuvent être partagées parmi des domaines et
des forêts. Le catalogue global d’Active Directory permet de rechercher des ressources parmi
des domaines et des forêts de manière transparente pour l’utilisateur. Par exemple, si une
recherche se porte sur toutes les imprimantes présentes dans une forêt, un serveur de
catalogue global traite la requête dans le catalogue global, puis renvoie les résultats. En
l’absence de serveur de catalogue global, cette requête exigerait une recherche dans chaque
domaine de la forêt.
Un serveur de catalogue global est un contrôleur de domaine qui traite efficacement les
requêtes intraforêts dans le catalogue global. Le premier contrôleur de domaine créé dans
Active Directory devient automatiquement un serveur de catalogue global.
5
Le catalogue global permet aux utilisateurs d’exécuter deux fonctions importantes :
Un annuaire électronique est une base de donnée spécialisée, dont la fonction première
est de retourner un ou plusieurs attributs d'un objet grâce à des fonctions de recherche
multicritères. Sa fonction peut être de servir d'entrepôt pour centraliser des informations et les
rendre disponibles, via le réseau à des applications, des systèmes d’exploitation ou des
utilisateurs.
LDAP est le protocole d'annuaire sur TCP/IP (Transfer Control Protocol / Internet
Protocol). Les annuaires permettent de partager des bases d'informations sur un réseau interne
ou externe.
b Concept
6
LDIF (Lightweight Data Interchange Format), un format d'échange de données
Active Directory offre un stockage sécurisé pour les informations concernant les
objets. Les objets Active Directory représentent des utilisateurs et des ressources tels que les
ordinateurs et les imprimantes. Certains objets en contiennent d’autres. Après avoir compris le
rôle et la fonction de ces objets, on peut effectuer des tâches diverses, comme l’installation, la
configuration, la gestion et le dépannage d’Active Directory.
Les objets
Il s’agit des composants les plus élémentaires de la structure logique. Les classes
d’objets sont des modèles pour les types d’objets qu’on peut créer dans Active Directory.
Chaque classe d’objet est définie par une liste d’attributs, qui définit les valeurs possibles
qu’on peut associer à un objet. Chaque objet possède une combinaison unique de valeurs
d’attributs. La figure ci-dessous représente quelques objets Active Directory.
7
Figure 1: 4 exemple d’objet Active Directory
Les unités d’organisations sont des objets conteneurs pour organiser d’autres objets de
telle manière qu’ils prennent en compte, par exemple, des objectifs administratifs. La
disposition des objets par unité d’organisation simplifie la recherche et la gestion des objets.
Les unités d’organisation peuvent être imbriquées les unes dans les autres, ce qui
simplifie d’autant la gestion d’objets. Il s’agit en fait d’un sous ensemble d’un domaine sur
lequel on peut réaliser une configuration différente du reste du domaine via l’utilisation des
stratégies de groupe. Il permet aussi de scinder un domaine suivant l’organisation d’une
entreprise par exemple OU Direction sur la figure ci-dessous.
8
Les domaines
Dans la structure logique d’Active Directory, un domaine est représenté un triangle comme
indiqué sur la figure ci-dessous. Un domaine est géré au moins par un Contrôleur de Domaine
(CD)
9
domaine racine de l’arborescence. Le domaine auquel un domaine enfant est attaché est
appelé domaine parent. Un domaine enfant peut à son tour avoir son propre domaine enfant.
Le nom d’un domaine enfant est associé à celui de son domaine parent pour former son nom
DNS (Domain Name System) unique.
Les forêts
Une forêt est une instance complète d’Active Directory. Elle consiste en une ou
plusieurs arborescences (figure 10). Dans une arborescence unique à deux niveaux, tous les
domaines enfants sont des enfants du domaine racine de la forêt afin de former une
arborescence contiguë. Le premier domaine de la forêt est appelé le domaine racine de la
forêt. Le nom de ce domaine fait référence à la forêt.
Par défaut, les informations dans Active Directory ne sont partagées qu’à l’intérieur de la
forêt. Ainsi, la forêt est une limite de sécurité pour les informations contenues dans l’instance
d’Active Directory.
10
I.2.2 Structure physique
Les contrôleurs de domaines sont des ordinateurs exécutant Windows Server et Active
Directory. Chaque contrôleur de domaine exécute des fonctions de stockage et de réplication,
il ne peut gérer qu’un seul domaine.
Pour assurer une disponibilité permanente d’Active Directory, chaque domaine doit disposer
de plusieurs contrôleurs de domaine.
Les sites sont des groupes d’ordinateurs connectés par des liaisons haut débit. Les
contrôleurs de domaine au sein d’un même site communiquent fréquemment. Ces
communications réduisent le délai de latence de réplication à l’intérieur du site ; autrement
dit, le temps requis pour qu’une modification effectuée sur un contrôleur de domaine soit
répliquée sur d’autres contrôleurs de domaine. L’utilisation des sites optimise l’utilisation de
la bande passante entre des contrôleurs de domaines situés à des emplacements différents.
11
I.3 Compte d’utilisateur, groupe, ordinateur Active Directory
Un compte d’utilisateur est un objet stocké dans Active Directory qui permet une
ouverture de session unique, autrement dit un utilisateur entre son mot de passe une seule fois
lors de l’ouverture de session sur une station de travail pour obtenir un accès authentifié aux
ressources réseau.
Il existe trois types de comptes d’utilisateurs, chacun ayant une fonction spécifique :
13
On distingue deux types de groupe :
Groupe de distribution
Les groupes de distribution sont utilisés uniquement avec des applications de
messagerie, telles que Microsoft Exchange, pour envoyer des messages à un ensemble
d’utilisateurs.
Groupe de sécurité
Les groupes de sécurité sont utilisés pour affecter des droits et des autorisations aux
groupes d’utilisateurs et d’ordinateurs. Les droits déterminent les fonctions que les membres
d’un groupe de sécurité peuvent effectuer dans un domaine ou une forêt. Les autorisations
déterminent quelles ressources sont accessibles à un membre d’un groupe sur le réseau.
Les stratégies de groupe (GPO : Group Policies Object) permettent la mise en œuvre de
stratégies spécifiques liées à des groupes définis dans Active Directory. Elles permettent la
gestion des éléments inscrits dans un environnement Active Directory.
Bien que les GPO soient régulièrement utilisées dans les entreprises, elles sont également
utilisées dans les écoles ou dans les petites organisations pour restreindre les actions et les
risques potentiels comme par exemple le verrouillage du panneau de configuration, la
restriction de l’accès à certains dossiers, la désactivation de l’utilisation de certains
exécutables, la gestion des imprimantes, le déploiement d'applications, etc.
14
I.4.2 Les trois phases d’utilisation des stratégies de groupes
Les stratégies de groupe peuvent être éditées à travers d’un outil accessible soit par
l'outil d'administration "Gestion des stratégies de groupe" ou par un appel direct en ligne de
commande de la Group Policy Management Console ("gpmc.msc").
Après avoir créé une stratégie de groupe, elle peut être liée à un site Active Directory,
à un domaine ou à une unité d'organisation.
Il s'agit d'une fonctionnalité très utile de Microsoft Active Directory. Elle permet à
l’administrateur d’un réseau de pouvoir déployer sur l’ensemble des machines, grâce à une
15
stratégie de groupe, les applications nécessaires aux utilisateurs ou de pouvoir procéder à des
mises à jour automatisées et uniformes sur une portion ou l'ensemble d'un parc machines.
Lors du déploiement de logiciels, on doit spécifier comment les applications sont installées et
gérées dans le domaine. Comme la montre la figure ci-dessus, les étapes suivantes sont
nécessaires pour utiliser une stratégie de groupe pour le déploiement de nouveaux logiciels :
Quel que soit le type de logiciels à installer, la première étape est de placer dans un
répertoire partagé sur le serveur de fichiers, le logiciel qu’on souhaite distribuer. Afin que
tous les utilisateurs puissent installer le logiciel, il faut mettre les droits en lecture au groupe
Tout le Monde. On appelle ce partage point de distribution.
16
Utilisez un objet Stratégie de groupe pour le déploiement des logiciels.
En fonction du besoin, on peut modifier les propriétés qui avaient été définies durant le
déploiement initial des logiciels.
Une conception d’Active Directory inclut plusieurs tâches. Chacune définit les besoins
fonctionnels pour un composant de l’implémentation. Le processus de conception d’Active
Directory inclut les tâches suivantes :
Cette première tâche définit les besoins en service d’annuaire et les besoins de
l’entreprise concernant le projet. Les informations sur l’organisation incluent notamment un
profil organisationnel de haut niveau, les implantations géographiques de l’organisation,
l’infrastructure technique et du réseau, et les plans liés aux modifications à apporter dans
l’organisation.
Les informations collectées sont analysées pour évaluer leur pertinence et leur valeur
par rapport au processus de conception. Ce procédé permet de discerner les informations les
plus importantes et quels composants de la conception d’Active Directory ces informations
affecteront.
17
Analyse des options de conception
Après avoir analysé les besoins spécifiques d’une entreprise, plusieurs options de
conception peuvent y répondre. Par exemple, un besoin administratif peut être résolu par le
biais d’une conception de domaine ou d’une structure d’unité d’organisation.
Elle indique comment est organisé les unités d’organisation pour chaque domaine dans
la forêt. Incluez une description de l’autorité d’administration qui sera appliquée à chaque
unité d’organisation, et à qui cette même autorité sera déléguée. Pour finir, incluez la stratégie
utilisée pour appliquer la stratégie de groupe à la structure de l’unité d’organisation.
La conception du site
Elle spécifie le nombre et l’emplacement des sites dans l’organisation, les liens requis
pour relier les sites et le coût de ces liens.
Stratégie de compte.
Elle inclut des informations comme les consignes d’attribution de nom aux comptes et la
18
stratégie de verrouillage, la stratégie en matière de mots de passe et les consignes portant sur
la sécurité des objets.
Il définit quelles unités d’organisation devront être créés et comment. Par exemple, si la
conception d’unité d’organisation spécifie que ces unités seront créées géographiquement et
organisées par division à l’intérieur de chaque zone géographique, le plan d’implémentation
des unités d’organisation définit les unités à implémenter, telles que celles des ventes, des
ressources humaines et de production. Le plan fournit également des consignes portant sur la
délégation d’autorité.
Il détermine qui crée, relie et gère les objets de stratégie de groupe, et comment cette
stratégie sera implémentée.
Il spécifie les sites, les liens qui les relient, et les liaisons de sites planifiées. Il spécifie
également la planification et l’intervalle de réplication ainsi que les consignes en matière de
sécurisation et de configuration de la réplication entre sites.
Il spécifie le placement des contrôleurs de domaine, des serveurs de catalogue global, des
serveurs DNS intégrés à Active Directory.
19
I.6.3 Implémentation d’Active Directory
Une fois le plan d’implémentation d’Active Directory est en place, on peut commencer à
implémenter Active Directory conformément au plan de conception.
Créez la structure d’unité d’organisation pour chaque domaine dans chaque forêt,
créez des groupes de sécurité et déléguez l’autorité administrative à des groupes administratifs
dans chaque unité d’organisation.
Créez des objets Stratégie de groupe basés sur la stratégie de groupe, puis reliez-les à
des sites, à des domaines ou à des unités d’organisation.
Créez des sites en fonction du plan des sites, créez des liens reliant ces sites, définissez
les liaisons de sites planifiées et déployez sur les sites des contrôleurs de domaine, des
serveurs de catalogue global, des serveurs DNS et des maîtres d’opérations.
20
Chapitre II. LA VIRTUALISATION DES SYSTEMES INFORMATIQUES
II.1. Généralités
II.1.1. Définitions
En d'autres termes, c'est une technique qui fait référence à l’abstraction des
caractéristiques physiques de ressources informatiques, processeurs, mémoires, stockages,
carte réseau, afin de les présenter à des systèmes, des applications ou des utilisateurs sous une
forme logique.
Les ressources logiques allouées à une machine virtuelle sont abstraites à partir de
leurs équivalents physiques. Les disques virtuels, interfaces réseau virtuelles, réseaux locaux
virtuels, commutateurs virtuels, processeurs virtuels et la mémoire virtuelle correspondent
tous à des ressources physiques sur des systèmes informatiques physiques. L’ordinateur hôte
voit ses machines virtuelles comme des applications auxquelles il distribue ses ressources.
On parle de :
21
II.1.2. Principe
a. Système informatique traditionnel
Dès son origine, une machine physique présente une couche matérielle qui représente
l’ensemble des périphériques matériels, conçue pour n’exécuter qu’un seul système
d’exploitation avec une ou plusieurs applications. Ainsi, il semble étrange de faire cohabiter
plusieurs OS sur une seule machine physique. En effet, un système d’exploitation est conçu
pour utiliser au mieux un matériel qui est entièrement sous son contrôle. La juxtaposition de
plusieurs systèmes pour exploiter les mêmes ressources physiques d’une machine hôte
paraîtrait absurde.
22
b. Système informatique avec virtualisation
23
II.2. Architecture et type
hyperviseur de type 1
hyperviseur de type 2
Machines invitées
partage des
ressources du serveur
physique par les
machines virtuelles
en mode privilégié
Présentation des
HYPERVISEUR TYPE 1 ressources physiques
en ressources
virtuelles
Serveur hôte
Processeurs
Mémoires
Disques durs
Cartes réseaux
24
Les requêtes envoyées par la machine cliente sont directement transmises aux
ressources physiques allouées sans être interceptées et retransmis par l’hyperviseur aux
ressources. Seules les requêtes critiques sont capturées et traitées mais les autres sont
exécutées directement par le processeur. Le mode privilégié a l’avantage d’être plus rapide
puisque les instructions n’ont pas besoin d’être virtualisées par l’hyperviseur.
Machines invitées
Partage de ressources
avec l’hôte
Dépend de l’OS hôte
Fonctionnement en
VM1 VM2 VM3
mode non privilégié
Couche application
Autres
HYPERVISEUR TYPE 2
applications Hyperviseur type 2
Autres applications
SYSTÈME D’EXPLOITATION
OS hôte
Serveur hôte
Processeurs
Mémoires
Disques durs
Cartes réseaux
25
Chaque machine invitée tourne au-dessus d’un système d’exploitation hôte utilisant les
ressources partagées qui lui sont attribuées par celui-ci. La vitesse des entrées-sorties est
moins importante que celle offerte par le type 1 vue que les machines invitées ne
communiquent pas directement avec le matériel via l’hyperviseur mais dépendent fortement
du système d’exploitation hôte qui gère ses ressources de la même manière qu’une application
courante.
Exemples: VMware workstation, Microsoft Virtual Server, Sun xVM (Virtual Box)
26
Une reprise automatique lors des incidents : la virtualisation permet d’améliorer la
prévention et la gestion des pannes car les machines virtuelles sont des fichiers
déplaçables, faciles à sauvegarder pour une restauration ultérieure.
Une optimisation de la sécurité des données
Une facilité de migration : La virtualisation apporte la possibilité de migrer
facilement un environnement virtuel d’une machine physique vers une autre,
facilitant ainsi l’évolutivité du centre de donnée ou le remplacement de matériel
défectueux.
Un cloisonnement : la virtualisation permet de créer des environnements isolés et
sécurisés pour la séparation de la plateforme de test avec celle de la production lors
de déploiement de logiciels afin de ne pas déstabiliser les applications déjà en
production.
De par les avantages qu’offre l’hyperviseur type 1 par rapport ceux du type 2, nous
citons particulièrement ceux de type 1 les plus utilisés dans les entreprises :
a. VMware vSphere
VMware vSphere est une suite de produits complète qui fournit un ensemble de
fonctionnalités de virtualisation. Elle virtualise et rassemble les ressources matérielles
physiques sous-jacentes et offre des « pools » (groupements) de ressources virtuelles au centre
de données. Le noyau de produits vSphere est un hyperviseur de type 1 qui sert de base au
reste du produit.
b. Microsoft Hyper-V
27
« StandAlone » dédiée à la virtualisation qui ne contient que le minimum nécessaire à son
fonctionnement : hyperviseur Windows, pilotes Windows Server et les composants de
virtualisation [5].
c. Citrix Xen
En effet, le leader mondial de la virtualisation est VMware avec plus de 65% des parts
de marché grâce à ses solutions d’hyperviseurs comme ESXi et grâce à vSphere qui sert à
déployer des infrastructures « Cloud » de façon plus aisée [7].
a. VMware ESXi
VMware ESXi est l’hyperviseur proposé par l’éditeur VMware, c’est un produit mûr
et idéal pour la virtualisation des serveurs. Il s’agit d’un noyau optimisé et basé sur une
distribution RedHat Enterprise 5 pour faire abstraction des ressources matérielles physiques
sous-jacent [5], [6].
Couche de virtualisation
Les machines virtuelles
28
Figure 2: 6 Les composants d'ESXi
i. Couche de virtualisation
29
VMM : chaque machine virtuelle possède sa propre VMM. VMM contient l’exécution
de toutes les instructions du CPU (CPU : Central Processing Unit) virtuel. Il se charge de la
correspondance entre la mémoire de la machine virtuelle et celle de la machine hôte.
VMM intercepte les requêtes d’entrées/sorties en provenance des machines virtuelles et les
soumet au VMkernel ce qui permet aussi d’isoler les VM les unes des autres.
vSphere Client est un API (Application Programming Interface) client qui s’installe
sur une machine Windows, il s’agit d’une interface principale (interface de gestion) pour
administrer un ou plusieurs hôtes ESXi. Toutes les interactions avec ESXi passent par cette
application.
L’interface utilisateur de vSphere Client est configurée selon le serveur auquel elle est
connectée :
Si le serveur est un hôte ESXi, vSphere Client n’affiche que les options
appropriées à la gestion d’un seul hôte.
30
Figure 2: 7 Administration d'un hôte ESXi via vSphere Client
Si le serveur est un vCenter Server, vSphere Client affiche toutes les options
disponibles de l’environnement vSphere.
Machines virtuelles
Hôtes ESXi
vCenter Server
Datacenter
vSphere Client
31
c. VMware vCenter Server
vCenter est un service qui permet de centraliser l’administration des hôtes ESXi. Il
permet de gérer les hôtes, ainsi, que les machines virtuelles qui tournent sur ceux-ci.
32
Chapitre III. LA HAUTE DISPONIBILITÉ
III.1 Généralité
Qu'elles soient prévues ou imprévues, les interruptions de service engendrent des coûts
considérables. Cependant, les solutions assurant des niveaux élevés de disponibilité sont
généralement chères et difficiles à implémenter et à gérer.
III.1.1 Définition
Dans le domaine de la protection des données, il existe deux indicateurs qui déterminent
la durée d’indisponibilité :
Le RPO correspond à la quantité maximale de données qu’il est acceptable de perdre lors
d’une panne.
33
Tableau I : Correspondance entre taux de disponibilité et durée d'indisponibilité [8]
Avant de choisir une solution de haute disponibilité, il faut tout d’abord identifier les
faiblesses du système informatique afin de pouvoir mettre en place un système fiable.
34
En revanche, côté matériel, un composant physique peut tomber en panne. Or la
défaillance d’une ressource critique (SPF : Single Point Of Failure) met hors service la totalité
du système informatique. On peut citer comme ressource critique :
Processeur
Carte mère
Alimentation
Interface réseau
Disque, contrôleur de disque, câblage des systèmes de stockages
On constate que les pannes d'un système informatique peuvent avoir de multiples
sources. Les origines peuvent être physiques (naturelle ou criminelle), d'origines humaines
(intentionnelle ou voire opérationnelle.
i Définition
Le RAID désigne les techniques permettant de répartir les données sur plusieurs
disques durs afin d’améliorer soit la tolérance aux pannes, soit la sécurité, soit la performance
de l’ensemble. La technologie RAID se présente sous plusieurs niveaux:
35
ii RAID 0 : striping
Le RAID 1 utilise n (n≥2) disques redondants. Chaque disque contient à tout moment
les mêmes données.
La défaillance d'un disque n'entraine pas la perte des données (sauf si c'était le dernier
disque). Lors d'une défaillance d'un disque, le contrôleur RAID désactive de manière
transparente le disque défectueux. Une fois celui-ci remplacé, le contrôleur reconstitue les
données par une synchronisation automatique ou manuellement. Après cette opération, la
redondance initiale est retrouvée.
Le mirroring est une technique adéquate pour sécuriser les données de façon optimale,
mais coté performance elle souffre considérablement du fait qu’il faut écrire les mêmes
données sur chaque disque membre de la matrice RAID et le tout de façon synchrone ce qui
altère la performance en écriture.
36
Figure 3: 2 Principe du RAID 1 : mirroring
iv RAID 5
Ainsi en cas de défaillance de l'un des disques de la grappe, il manquera soit un bloc
de données soit un bloc de parité. Si c'est le bloc de parité qui manque, cela ne présente pas de
risque puisque aucune donnée ne manque. Par contre, s’il s’agit d’un bloc de données, on peut
deviner son contenu à partir des autres blocs (données et parités). La grappe est donc toujours
capable de fonctionner, mais aussi capable de reconstituer les données une fois le disque
changé. La limitation de ce système est que le RAID 5 ne supporte la perte que d'un seul
disque à la fois sinon on ne pourra plus reconstituer les données.
37
b La répartition de charge (Load Balancing)
Elle est aussi appelée l'équilibrage de charge. Ce processus consiste à distribuer une
tâche à une grappe ou « pool » de machines ou de stockages ou de cartes réseaux.
L'objectif est de :
Lisser le trafic réseau et ainsi mieux répartir la charge globale sur les différents
équipements
Pouvoir assurer la disponibilité des équipements en envoyant des données adaptées
aux équipements. Seuls ceux pouvant répondre à la demande seront sollicités, on
gagne aussi en temps de réponse.
c La mise en cluster
La notion de mise en cluster appelée aussi mise en grappe affecte autant les serveurs que
les stockages dédiés. Le « clustering » peut être classé en trois catégories :
38
Figure 3: 4 Cluster à répartition de charge
Couramment, cette technique est très utilisée au niveau des serveurs Web dont on assiste à un
accès simultané important des pages.
39
Figure 3: 5 Cluster à mécanisme de redondance
La tolérance à la panne est une notion beaucoup plus exigeante, car elle implique un
fonctionnement normal, quelle que soit la nature de la panne. Elle consiste à mettre en miroir
40
deux serveurs avec un temps de basculement négligeable (no down time) voire même
transparent au niveau des utilisateurs.
Les systèmes tolérants aux pannes sont typiquement employés dans des systèmes
informatiques critiques tels que les données. Dans un environnement de stockage, la
réplication peut se faire soit de manière synchrone ou asynchrone.
41
et connues sous le nom DAS (Direct Attached System) comme illustré sur la figure ci-
dessous.
Du point de vue sécurité, cette technique ne permet en aucun cas de protéger les
données, car elle est fortement liée au serveur qui héberge les disques. En effet, un
dysfonctionnement de ce dernier entraînera la perte totale des données et applications qui
tournent sur celle-ci.
Cette technique affecte aussi la performance du réseau dans son ensemble, car les
sauvegardes quotidiennes des données occupent considérablement la bande passante et
altèrent les autres communications au sein de l’infrastructure.
Ainsi, il est nécessaire de sécuriser les données et donc de prévoir des mécanismes de
sauvegardes et archivages (de préférence sur des sites externes) afin de garantir la pérennité
de celles-ci. Pour pallier aux nombreux problèmes exposés précédemment, des technologies
de stockage en réseau dédié ont vu le jour tel que le SAN (Storage Area Network) ou le NAS
(Network Attached Storage).
42
b Network Attached Storage(NAS)
i Définition
ii Architecture et principe
Un périphérique de stockage NAS est un serveur à part entière formé par une matrice
de disques généralement de taille identique disposant de ses propres ressources matérielles
(CPU, Mémoire), et logiciel (système d’exploitation orienté stockage) et doté de fonctions de
Haute disponibilité tels que le RAID, le clustering, la balance de charge.
Le NAS permet le partage d’un même fichier entre plusieurs serveurs et clients dans
un environnement hétérogène (Windows, Linux, Unix,…). Cela est dû au fait que le stockage
NAS ignore le système de fichiers, et ainsi, les clients peuvent accéder aux mêmes
informations et les partager même s'ils utilisent des systèmes d'exploitation différents.
43
Figure 3: 9 Mode d'accès d'un NAS sur le réseau
iii Avantages
44
c Storage Area Network (SAN)
i Définition
Le dispositif SAN ou réseau de stockage est une technologie de stockage réseau qui
permet de concentrer les données afin que ces derniers puissent être lus simultanément par
plusieurs serveurs. Il est basé sur le protocole Fiber Channel, ou SCSI (Small Computer
System Interface) qui va permettre d’atteindre les données comme s’il se trouvait en local aux
serveurs [12], [13].
ii Architecture et principe
Comme le NAS, le stockage SAN est un nœud à part sur le réseau. C’est un serveur de
stockage mutualisé, constitué d’une armoire de disques qui peuvent être montés en RAID
afin de répliquer les données pour éviter les pannes matérielles ainsi que des fonctions de
disponibilité pour la sécurité et le sauvegarde des données.
45
Les LUN sont accédés directement par les serveurs où ils sont montés comme s’ils
étaient leurs propres disques locaux. Grâce au protocole Fiber Channel qui utilise la Fibre
Optique comme média, la performance en lecture et écriture est accrue par rapport à celle
offerte par le NAS et cela ne surcharge pas le trafic au niveau du LAN (Local Area Network)
de l’entreprise [14].
iii Avantages
Le dispositif de stockage SAN permet :
La consolidation des données dans un dispositif de stockage réseau dédié et
sécurisé
La simplification de sauvegarde et protection : prise en charge de mise en miroir,
clustering (réplication) entre SAN, temps de reprise efficace.
L’allégement du trafic réseau du fait que le réseau Fiber Channel est isolé du
LAN
D’avoir un temps d’accès (lecture et écriture) très performant grâce à la
technologie Fiber Channel
46
L’évolutivité de l’espace de stockage : ajout des disques à chaud (sans éteindre le
serveur de stockage), augmentation à chaud des tailles des LUN si besoin.
47
Chapitre IV. APPLICATIONS ET SIMULATIONS
IV.1. Applications
IV.1.1. Objectif
un cluster de serveur
En fait, les banques de données sont des baies de disques dédiés pour le stockage. La
notion de cluster de banque de données (stockage) met en jeu l’importance d’une reprise
d’activité immédiate (disponibilité des données) si un dysfonctionnement survient au niveau
du stockage.
48
données sauvegardées sont parfois situées sur un endroit sécurisé et distant du site de
production. Contrairement à la réplication, la sauvegarde présente une durée de rétention des
données, c’est-à-dire, on peut revenir à un état donné selon la configuration et les nombres de
versions accessibles. Autrement dit une restauration à un état antérieur de l’infrastructure est
possible si les données répliquées, entre le SAN actif et passif, sont corrompues.
49
b. Laboratoire de la simulation (Annexe 1)
i. Matériels utilisés
50
iii. Présentation synoptique du laboratoire
Deux serveurs ESXi montés en cluster au-dessus duquel est installé un serveur
de domaine Active Directory
Un serveur vCenter Server pour l’administration du cluster
Deux stockages NAS (actif/passif) montés en cluster pour stocker les dossiers
de partages des utilisateurs du domaine
Un SAN pour stocker la VM des serveurs ESXi c’est-à-dire le serveur de
domaine
Un poste client membre du domaine pour l’authentification des utilisateurs
Un poste vSphere Client pour gérer l’environnement virtuel dans son ensemble
51
Il est identique à celle de la réalité vue précédemment sauf sur quelques points définis
par les contraintes matérielles qu’on a dues contourner comme :
Présentation du PC CRFI05
52
Présentation du PC CRFI03
Présentation du PC CRFI01
53
Figure 4: 5 Présentation du PC CRFI01
Le serveur de domaine Active Directory est utilisé pour gérer les utilisateurs et les
groupes d’utilisateur du domaine « crfi.dom ». Suivant la structure administrative du centre, le
domaine comprend deux unités d’organisation pour bien représenter de façon logique les
classes d’utilisateurs du domaine et pour faciliter l’affectation des privilèges sur les ressources
réseaux (exemple : partage).
L’unité d’organisation « enseignant » regroupe les utilisateurs qui ont pour fonction
enseignant au niveau du centre et l’autre « étudiant » inclut tous ceux qui ont des rôles
étudiants.
54
Figure 4: 6 Structure logique du domaine
En outre, chaque étudiant dispose en fait son propre partage auquel seul
l’enseignant responsable a le privilège en lecture et écriture. Ces dossiers sont stockés
sur la baie de disque NAS afin d’assurer la pérennité des données si une défaillance
survient au niveau des disques qui le constitue.
55
L’objectif est de mettre en valeur la puissance d’un serveur virtuel par rapport à son
homologue physique en terme de fonctionnalité et puissance comme la gestion de droit de
chaque utilisateur sur un partage situé sur la baie de disque SAN qui fait office de serveur de
fichier sur le réseau.
La mise en place du service d’annuaire active Directory comprend les étapes ci-dessours
IV.2. Simulations
La mise en œuvre d’Active Directory consiste à vérifier les fonctions offertes par le serveur
comme :
La simulation de perte d’un hôte ESXi a pour but de vérifier si le serveur AD qui y
tourne fonctionne toujours. Autrement dit, les utilisateurs peuvent toujours s’authentifier à
leur compte et ont droit sur leur partage.
56
IV.2.3. Perte de stockages partagés
On constate que même si le NAS actif est arrêté, les utilisateurs peuvent toujours accéder à
leurs partages sans savoir ce qui se passe au niveau de l’espace de stockage.
57
CONCLUSION
Vu que la technologie de la virtualisation est d’une étendue très vaste, l’analyse peut
encore être élargie de façon détaillée sur chacune des sections abordées dans ce mémoire.
Pour conclure, un approfondissement n’est surtout pas à exclure concernant les facteurs
matériels et logiciels qui influent la performance des serveurs virtuels.
58
ANNEXE 1. Mise en place de l’environnement informatique
Installation de VMware ESXi
http://syskb.com/comment- installer- vmware-vsphere-esxi-5/, Février 2014
http://www.smnet.fr/esxi/esxi- install.html, Février 2014
Installation de vCenter Server
http://www.smnet.fr/esxi/esxi- vcenter- install.html, Février 2014
http://www.it-connect.fr/installer-vcenter-server-5-0-sur-windows-server-
2008%EF%BB%BF/, Février 2014
Installation de vSphere Client
http://www.it-connect.fr/executer-vmware-vsphere-client-en-anglais%ef%bb%bf/ »,
Mars 2014 explique l’installation détaillée du client vSphere.
Les stockages réseaux type SAN/NAS sont généralement distantes des serveurs ESXi, les
SAN sont souvent auto-montés dès que la cible distante est détectée par l’initiateur des ESXi.
Par contre, les NAS sont montés manuellement comme les partages disques utilisant le
protocole NFS. Pour de plus amples détails consulter
le «http://vroomblog.com/category/vmware-2/stockage/, Mars 2014».
Pour pouvoir simuler la disponibilité au niveau des baies de disques, Openfiler propose un
mécanisme très puissant et performant basé sur DRBD (Data Replicated Block Device) et
heartbeat, voici un tutoriel qui explique la mise en œuvre d’un cluster de stockage Openfiler
http://www.yakakliker.org/Informatique/NAS_SAN/Base_de_connaissance_Openfiler/Op
enfiler_HA_(Haute_dispo) , Mars 2014
59
ANNEXE 2. Mise en place du service Active Directory
Installation, configuration, gestion des utilisateurs et groupes, GPO
Lycée la Fayette, Windows Server 2008 : administration de base client/serveur.pdf
60
REFERENCES BIBLIOGRAPHIQUES
[5]: Kenneth Hess & Amy Newman, “Virtualisation en pratique”, Pearson, 2010
[6] : E414, Système d’exploitation (Linux), cours 4 ème année, Département électronique,
2011-2012
[7] : Philipe FREDDI, « Configuration d’une infrastructure réseau avec Windows Server
2008 », édition ENI
[8] : http://fr.wikipedia.org/wiki/Paravirtualisation
[9] : http://fr.wikipedia.org/wiki/VMware
[10] : Patrick Arlaud & Jérôme Dupire, « Système à haute disponibilité », CNAM 2009-
2010
[12] : E430, Théorie et pratique du codage, cours 4ème année, Département électronique, 2011-
2012
61
Auteur: ANDRIANORO Marie Gilberto
Nombre de pages : 61
Nombre de figures : 37
Nombre de tableaux : 1
RESUMÉ
L’objectif visé dans ce mémoire étant l’étude d’un serveur de domaine Active
Directory monté sur la plateforme de virtualisation des serveurs « VMware vSphere
5» et la haute disponibilité dans un centre informatique appliquée à un
environnement virtuel.
Adresse de l’auteur: