ADMIN-VINFRA-DC1

OBJECTIF DU TD
[Saisir votre nom]

PRÉSENTATION

1. Description du TD
Le TD ADMIN-VINFRA-DC est élaboré lors du module « Hyperviseur de Type 1 » à l’EFREI lors de la troisième
année de Bachelor Cybersécurité.

Lors de ce TD vous êtes dans la peau d’un architecte des systèmes d’informations pour l’entreprise VINFRA. Vous
êtes chargé par le directeur des services informatiques (DSI) de travailler sur le développement d’un nouveau service
commercial dans le domaine de l’infrastructure en tant que service (IAAS).

Ce service est destiné à rendre disponible pour les futurs clients une infrastructure informatique qui se trouvera
physiquement dans les datacenters de VINFRA où les serveurs, le stockage, la sauvegarde et le réseau seront
entièrement géré par VINFRA qui agit en tant que fournisseur. Le forfait se présentera sous la forme d’un
abonnement payant qui permettra au client d’accéder à l’infrastructure de Cloud Computing pour y installer et
développer ses propres applications.

Avant de lancer ce service l’entreprise souhaite préparer le terrain en simulant le déploiement d’une infrastructure
pour son premier client. C’est précisément là que vous entrez en jeu.

Votre mission, si toutefois vous l’acceptez, consiste à concevoir la migration des services informatiques d’une
association fictive vers le Cloud avec comme objectifs de réduire ces frais et sa gestion de parc informatique.

2. Interaction des systèmes existants de l’association

1
 3. Infrastructure du réseau locale de l’association

4. Livrable
Ce document doit être livré avant la fin du module avec :

 Des annotations, explications et relevés des configurations/commandes effectuées.

 Des captures d’écran attestant de la réalisation des étapes principales.

5. Systèmes ou processus d’entreprise à migrer

Ces systèmes devront être migrés suite à l’implantation de la nouvelle infrastructure de virtualisation :

 Les réseaux virtuels VLAN

 Le routeur pare-feu type pfSense
 Les règles de trafic vers la zone DMZ
 Le serveur de fichier TRUENAS
 Le serveur Windows avec son domaine Active Directory
 Le serveur de fichier Windows accessible en SMB
 L’application web containerisée Wordpress présente sur le serveur web ws1
 La base de données containerisée MariaDB bdd1 rattachée à ws1

2
 APPROBATION ET NOTATION
Nous approuvons le projet tel qu’il est décrit ci-dessus, et commençons à le mettre en œuvre.

Nom Prénom Date

ABAKAR Hamid 12/09/23

CANKIRAN Melissa 12/09/23

Livré par Date Noté par Note

COMMENTAIRES
Saisir des commentaires ci-dessous si vous souhaitez exprimer quoi que ce soit par rapport à votre travail.

3
 RÉALISATION

Installation de l’hyperviseur de type 1 – ESXi

Imaginez entrer dans une salle serveur avec une tour informatique neuve. Avant d'installer quoi que ce soit, vous
vous assurez que tous les composants sont correctement branchés, que la mémoire est suffisante et que le
processeur est compatible avec ESXi.

Vous insérez une clé USB contenant l'installateur ESXi, démarrez la machine, et suivez les étapes d'installation
affichées à l'écran jusqu'à ce que vous voyiez le DCUI (Direct Console User Interface) montrant que ESXi est
correctement installé. Dans votre cas vous allez réaliser tout ceci dans un environnement virtuel sur votre poste.

A) Préparer la configuration matérielle nécessaire à l’installation de l’hyperviseur ESXi.

B) Installer le système ESXi et le redémarrer.

4
5
 Extrait de votre configuration matérielle (Soit une liste de spécifications comme le CPU, la RAM et les disques durs) :

Capture du DCUI après installation (L’interface textuelle montrant le statut de l'hôte ESXi et différentes options de
configuration) :

6
 Configuration du réseau de l’hyperviseur ESXi
Dans le DCUI, vous naviguez vers les paramètres du système et changez le nom par défaut de l'hôte ESXi pour y
inclure vos initiales, par exemple "JD-ESXi-01".

Toujours dans le DCUI, vous configurez les paramètres réseau. Vous définissez une adresse IP statique pour que
votre ESXi soit toujours accessible à cette adresse. Ensuite, vous entrez l'adresse d'un serveur DNS public et
définissez votre passerelle.

Pour la vérification de la connectivité réseau – ESXi : Vous utilisez l'option "Test management Network" pour
confirmer que ESXi peut communiquer avec le réseau.

A) Configurer le nom d’hôte de l’ESXi avec vos initiales suivi de -ESXi-01.

B) Configurer le réseau : adresse IP statique, DNS public, passerelle.

7
 Extrait de la nouvelle configuration en tableau et en screen: (Une adresse IP, un DNS et une passerelle)

IP Adresse DNS Serveur Gateway

192.168.221.130/24 Primary DNS : 1.1.1.1 192.168.221.2
Alternate DNS : 1.0.0.1

Vérification de la connectivité réseau – ESXi

Capture du résultat à l’aide de la fonction « Test management Network » :

Connexion à l’interface client web

Sur votre ordinateur portable, vous ouvrez un navigateur et entrez l'adresse de votre ESXi "https://192.168.X.X"
(remplacez par l'adresse IP que vous avez configurée précédemment).

Une fois que la page de connexion s'affiche, vous entrez le nom d'utilisateur "root" et le mot de passe que vous avez
défini lors de l'installation.

A) Utiliser un navigateur pour se connecter à l’interface d’administration web à l’aide de l’adresse IP de l’ESX

8
 B) Ouvrir une session administrateur à l’aide du compte root et du mot de passe définit dans la console DCUI.

Capture de la fenêtre web présentant les informations principales sur l’hôte ESXi : (Un tableau de bord montrant le
statut de votre ESXi, les ressources utilisées, les machines virtuelles en cours d'exécution, etc.)

Ajout d’une nouvelle banque de données

Imaginez avoir un nouveau disque dur en main. Vous l'insérez dans un slot disponible de votre serveur ESXi.

Après avoir installé le disque dur, vous redémarrez le serveur ESXi pour qu'il reconnaisse ce nouveau périphérique.

Une fois redémarré, à travers l'interface web, vous naviguez vers la section de stockage et créez une nouvelle
banque de données VMFS à partir du disque dur que vous venez d'ajouter.

A) Ajouter un nouveau disque de stockage à la machine ESXi.

9
 B) Redémarrer ESXi pour prendre en compte le nouveau périphérique.

C) Créer une banque de données VMFS à partir du périphérique de stockage.

10
 Extrait de configuration du disque de stockage :

Extrait de configuration de la banque de données :

Création des premières machines virtuelle

Créer les premières machines virtuelles qui permettront de reproduire le parc informatique de l’association. Le
« router-core1 » et le « switch-core1 » seront virtualisés en tant qu’un pfSense et cela permettra de faire
communiquer les différents sous-réseaux entre eux. Le serveur Linux WS1 servira à reproduire l’environnement web.

Le nom des machines virtuelles devra contenir vos initiales avant le nom du serveur (par exemple : JD-WS1)

A) Créer un serveur Linux Ubuntu ou Debian au choix dans ESXi

11
12
13
 B) Créer un Router/Firewall pfSense ou autre au choix dans ESXi

14
15
 Captures de la configuration des machines virtuelles après mise sous tension :

16
 Configuration du réseau
Vous allez plonger au cœur du maillage réseau de l'association pour le modeler afin qu'il soit pleinement opérationnel
sur la plateforme ESXi. Cela implique de définir des VLANs, d'ajouter des adaptateurs, de configurer des vSwitchs et
de déterminer comment vos machines virtuelles interagiront avec ce réseau. La finalité est d'avoir un environnement
réseau fluide et bien structuré pour soutenir efficacement les opérations de l'association.
Il faudra reproduire la topologie du réseau de l’association pour qu’elle soit adaptée à fonctionner sur ESXi.

A) Déclarer chaque VLAN existant en tant qu’un nouveau vmnet sur VMWare Workstation

Nom du réseau Vmnic ESXI Mac Esxi Mac Pfsense IP Pfsense

WAN/NAT VMNIC0/VMX0 00:0C:29:69:E2:31
VLAN 10 ADMIN VMNIC1 00:0C:29:69:E2:3B
VLAN 20 DMZ VMNIC2 00:0C:29:69:E2:45
VLAN 30 SRV VMNIC3 00:0C:29:69:E2:4F
VLAN 40 BDD VMNIC4 00:0C:29:69:E2:59

B) Ajouter autant de nouveaux adaptateurs réseau (NIC) que nécessaire.

17
 C) Créer des vSwitchs pour chaque sous-réseau

18
 D) Assigner les groupes de ports aux VLANs et vSwitchs correspondants

19
20
21
 E) Connecter 2 adaptateurs réseau par machine virtuelle (une liaison NAT et une liaison au VLAN
correspondant au serveur, la liaison NAT servira tant que le routeur n’est pas fonctionnel)

Récapitulatif de toute les configurations réseau (conseil : utiliser un tableau) :

22
 Faire communiquer les VM entre elles
D'une machine virtuelle à l'autre, la communication est essentielle pour une infrastructure efficace. Dans cette partie,
vous allez vérifier la connectivité entre votre serveur Linux et le routeur pfSense, en utilisant des outils basiques mais
cruciaux comme la commande "ping".

A) Tester la communication du serveur Linux avec le routeur pfSense

Capture de l’utilisation de la commande ping entre les deux hôtes :

Session SSH et commandes esxcli

Avec un accès sécurisé et direct à votre ESXi, vous pouvez obtenir des informations détaillées et effectuer des
opérations spécifiques. Ici, nous nous concentrerons sur l'activation de la session SSH pour avoir un aperçu des
interfaces réseau de l'hôte à l'aide de commandes esxcli.

A) Activer le service SSH puis ouvrir une session depuis votre terminal.

B) Vérifier la liste des interfaces réseaux (NIC) de l’ESXI à l’aide des commandes esxcli

Capture de la liste des interfaces réseaux obtenu sur l’invité de commande :

23
 Créer une règle de pare-feu pour SSH
La sécurité est une priorité, surtout lorsqu'il s'agit d'accès à distance. Vous allez commencer par mettre en place des
mesures de sécurité pour protéger vos sessions SSH, en créant une règle de pare-feu spécifique à votre IP.

A) Autoriser uniquement l’adresse IP de votre ordinateur à pouvoir accéder en SSH à l’ESXi.

Capture de la règle de pare-feu créée :

24
 Sécurisation d’un accès SSH vers la machine virtuelle Linux
La sécurisation des connexions SSH par clés est une étape essentielle pour protéger vos serveurs. Pour ce faire
vous établirez une connexion SSH vers votre serveur Linux virtuel, puis renforcerez cette connexion en utilisant des
clés cryptographiques pour limiter l'accès uniquement à votre ordinateur.

A) Etablir une connexion SSH depuis votre ordinateur vers le serveur virtuelle Linux
B) Sécuriser l’accès SSH en utilisant des clés cryptographiques pour qu’uniquement votre ordinateur puisse se
connecter en SSH.

Extrait de la configuration du service ssh :

Capture du contenu du dossier .ssh contenant votre

clé

Mise en réseau du serveur web et du routeur pare-feu

Le dialogue entre votre serveur web et votre routeur est crucial pour une distribution fluide et sécurisée de votre
contenu. Vous allez ici configurer leurs interfaces réseau pour qu'elles communiquent efficacement et sans
encombre sur le VLAN DMZ.

A) Configurer l’adresse IP sur le VLAN DMZ du serveur web.

B) Configurer l’interface DMZ du routeur pour qu’elle puisse communiquer avec le serveur web.

25
 Capture du test ping entre le routeur et le serveur web :

Virtualisation du NAS avec TRUENAS

Les systèmes NAS (Network Attached Storage) sont des dispositifs dédiés à la mise à disposition et au stockage de
données sur un réseau. TrueNAS, une distribution populaire, offre une suite complète d'outils pour gérer un NAS
efficacement.

A) Créer la machine virtuelle qui accueillera le NAS virtuel

B) Installer le systèmeTRUENAS

Capture de la configuration de votre machine virtuelle TRUENAS :

26
 Static IP

Expliquer l’intérêt qu’il peut y avoir à utiliser un serveur de stockage TrueNAS avec un hyperviseur de type 1 :

L'utilisation d'un serveur de stockage TrueNAS avec un hyperviseur de type 1 offre une solution robuste, performante
et flexible pour la virtualisation d'infrastructures, tout en simplifiant la gestion et en fournissant des fonctionnalités
avancées de stockage et de protection des données.

Création d’un volume de stockage en RAID

Pour assurer la redondance et la performance de votre stockage, vous allez configurer un volume RAID. Ceci vous
permettra d'utiliser plusieurs disques durs comme une seule entité, tout en garantissant la sécurité et la disponibilité
de vos données.

A) Ajouter suffisamment de disques durs au TRUENAS pour faire un RAID1

B) Créer le pool de stockage RAID 1 à l’aide des disques ajoutés
C) Configurer le Dataset et ses permissions

Capture de la configuration de votre Dataset :

27
28
 Partage du volume de stockage en réseau
La mise à disposition de vos ressources de stockage sur le réseau est une étape essentielle pour une collaboration
et une utilisation optimale. Vous allez choisir le protocole de communication le plus adapté pour partager votre
volume TrueNAS avec votre infrastructure ESXi, le rendant accessible comme une banque de données à part
entière.

A) Trouver un protocole de communication compatible pour que l’ESXI puisse ajouter une banque de données
en utilisant le stockage en réseau du TRUENAS
B) Partagé à l’aide du protocole choisi le volume de stockage depuis le TRUENAS
C) Ajouter la nouvelle banque de données sur l’ESXI qui pointera vers le stockage partagé

Capture de la configuration de la nouvelle banque de données :

Les protocoles couramment utilisés pour le partage de stockage avec ESXi incluent NFS (Network File
System) et iSCSI.

NFS est souvent utilisé pour partager des fichiers, tandis que iSCSI permet de partager un volume de
stockage en tant que périphérique de bloc.

Dans notre cas on a choisi le protocole NFS

29
 Activons le services NFS.

Ajoutons le Sharing NFS pour partager les fichiers.

30
 Ajouton la banque de données sur ESXI avec le bon chemin

Transférer une machine virtuelle vers la nouvelle banque de données

Dans une infrastructure virtualisée, la gestion efficace de l'espace de stockage est essentielle. À mesure que les
besoins évoluent, il peut être nécessaire de réorganiser où les machines virtuelles résident, que ce soit pour des
raisons de performance, de capacité ou de stratégie de sauvegarde.

Le processus de transfert d'une machine virtuelle d'une banque de données à une autre est souvent appelé
"vMotion" (dans le contexte de VMware), mais cela se réfère généralement à la migration à chaud des VMs. Dans ce
cas, nous parlons de déplacer simplement les fichiers de la VM.

A) S’assurer que la machine virtuelle est éteinte ou, du moins, qu'elle n'est pas en cours d'utilisation active
B) Copie une machine virtuelle d'une banque de données à celle du TrueNAS.

Capture de la nouvelle banque de données contant la copie de la machine virtuelle :

31
 Copions les machines et les ISO vers les repertoire créer dans la banque de données TRUENAS

Expliquer l’importance d’effectuer des sauvegardes dans le cas d’une infrastructure virtualisée :

Importance des Sauvegardes dans une Infrastructure Virtualisée :

Protection contre les Pannes Matérielles

Prévention des Erreurs Humaines

Récupération après une Attaque Malveillante

Migration et Déplacement des Machines Virtuelles

Conformité Réglementaire

32
 Restauration Rapide en Cas de Problème

Tests de Reprise d'Activité (PRA)

Évolution et Adaptation

Protection contre les Risques Environnementaux

Garantie de la Continuité des Opérations

les sauvegardes sont une composante critique de la gestion des données dans une infrastructure virtualisée,
offrant une sécurité, une flexibilité et une capacité de récupération essentielles pour assurer le bon
fonctionnement des opérations.

Installation de Windows Server Datacenter avec Hyper-V

L'installation de Windows Server Datacenter avec Hyper-V vise à mettre en place une infrastructure virtualisée sous
Windows. Hyper-V est l’hyperviseur de Microsoft intégré à Windows Server qui permet de créer et gérer des
machines virtuelles.

A) Préparer la configuration matérielle nécessaire à l’installation de l’hyperviseur.

B) Installer le système Windows Server 2019 DataCenter (expérience de bureau)

Extrait de votre configuration matérielle : on a configurer avec les exigences minimal du a l’incapacité de faire avec
les exigences recommandés sur nos ordinateurs.

33
 Déploiement du domaine Active Directory
Active Directory (AD) est le service d'annuaire de Microsoft. Il permet la gestion centralisée des utilisateurs, des
ressources et des droits d'accès au sein d'une organisation.

A) Installer les rôles ADDS et DNS

B) Déployer le domaine Active Directory au nom de votre association

Nom du domaine :

Sécurisation de l’accès distant au Windows Server

Pour prévenir les accès non autorisés, il est essentiel de sécuriser les connexions à distance, notamment via le
Protocole de Bureau à Distance (RDP).

A) Sécuriser l’accès RDP à l’aide du pare-feu Windows avancé

Vos explications sur les sécurités mises en place :

Ajout de l’hôte ESXI dans le domaine Active Directory

Intégrer l'hôte ESXi au domaine AD permet une meilleure gestion des accès et une authentification centralisée pour
les administrateurs.

Joindre l’hôte ESXI au domaine depuis le client web vSphere.

Capture de la validation de jonction au domaine Active Directory :

__________________________________________________________________
L’entreprise souhaite essayer de nouvelles technologies pour comparer les potentiels avantages ou inconvénients
qui pourraient être rencontrer sur d’autres systèmes de virtualisation.

Installation de Microsoft Hyper-V

Hyper-V est la solution de virtualisation basée sur l'hyperviseur intégrée à Windows. Initialement introduit avec
Windows Server 2008, il a été amélioré et étendu au fil des versions successives de Windows Server. Hyper-V
permet de créer et gérer des machines virtuelles, chacune avec son propre système d'exploitation et ses ressources,
sur un seul serveur physique.

A) Installer le rôle Hyper-V sur le serveur Windows

B) Créer une machine virtuelle Linux avec les mêmes attributs que le serveur web ws1

Capture de la machine virtuelle mise sous tension :

34
 Installation de Proxmox VE 7.2
Proxmox est une solution de virtualisation open source qui combine des machines virtuelles et des containers pour
maximiser la densité et les performances.

C) Préparer la configuration matérielle nécessaire à l’installation de l’hyperviseur.

D) Installer le système Proxmox VE 7.2
E) Connection à l’interface d’administration de Proxmox

Extrait de votre configuration matérielle :

Capture de l’interface web d’administration de proxmox :

Création d’un container LXC sous Proxmox

Contrairement aux machines virtuelles traditionnelles, les containers LXC (Linux Containers) partagent le même
noyau que l'hôte, offrant des performances supérieures avec une empreinte minimale. Une fois Proxmox installé,
vous pouvez facilement déployer des containers LXC pour vos applications. Ces containers sont idéaux pour les
tâches ne nécessitant pas un noyau d'OS distinct.

A) Récupérer un modèle Linux

B) Configurer le container avec les mêmes attributs que le serveur web ws1
C) Exécuter le container

Capture de la configuration du container avec mise sous tension :

Création d’une VM sous Proxmox

A) Récupérer une ISO Linux
B) Configurer la machine virtuelle avec les mêmes attributs que le serveur web ws1
C) Exécuter et installer le système d’exploitation

Capture de la configuration de la machine virtuelle avec mise sous tension :

Effectuer une répliquer de sauvegarde des machines virtuelles entre TRUENAS et

un serveur de fichiers Windows
La réplication de sauvegarde entre TRUENAS et un serveur de fichiers Windows consiste à créer une copie exacte
des données des machines virtuelles d'un emplacement à l'autre. TRUENAS utilise le protocole de transfert de
fichiers ZFS pour une réplication efficace. Dans ce scénario, vous configurerez d'abord un partage SMB/CIFS sur le
serveur Windows, puis vous définirez une tâche de réplication sur TRUENAS pour transférer les sauvegardes de VM
vers ce partage. Cette réplication garantit que même en cas de défaillance d'un des systèmes, les données restent
sécurisées et accessibles depuis l'autre emplacement.

Vos explications :

35
 ____________________________________________________________________
BONUS –

1- Intégrer un site Wordpress sur ws1 fonctionnant sous Docker

Docker est une plateforme qui permet d'emballer, distribuer et exécuter des applications dans des conteneurs. Pour
intégrer un site WordPress sur ws1 avec Docker, vous commencerez par télécharger les images Docker pour
WordPress et MySQL (ou MariaDB). Ensuite, à l'aide de commandes Docker ou d'un fichier docker-compose.yml,
vous créerez et démarrerez des conteneurs pour ces deux services. Docker s'assure que toutes les dépendances
nécessaires sont contenues et isolées, facilitant ainsi la gestion, la mise à l'échelle et la migration du site WordPress.

Vos réalisations :

2- Isoler le serveur web dans la DMZ et le rendre accessible depuis l’extérieur

Une DMZ (DeMilitarized Zone) est un sous-réseau sécurisé et isolé où l'on place généralement les systèmes
accessibles depuis l'extérieur pour ajouter une couche supplémentaire de sécurité. Pour isoler le serveur web dans la
DMZ, vous commencerez par configurer un sous-réseau dédié pour la DMZ. Ensuite, placez votre serveur web dans
ce sous-réseau. Utilisez un pare-feu pour restreindre le trafic entre la DMZ et le réseau interne, tout en autorisant le
trafic entrant depuis l'Internet vers la DMZ sur les ports nécessaires (par exemple, le port 80 pour HTTP). Cette
configuration garantit que même si le serveur web est compromis, l'attaquant n'a pas un accès direct au réseau
interne de l'organisation.

Vos réalisations :

© Tous droits réservés

Sujet créé par Antoine DRIGET à l’intention de l’EFREI Paris, L’école française d'électronique
et d'informatique

Good luck.

36