25
25
30
L’installation d’OpenBSD sur un serveur hébergé pose parfois problème, ce choix n’étant pas proposé dans le menu d’installation. La procédure ci-dessous propose une solution pour ce cas et a été testé sur l’offre DigiOne de Digicube.
Installer une distribution Debian mais en partitionnant le disque et en ne conservant qu’une faible partie pour la distribution Linux.
Installer GRUB
Installer QEMU
Créer une partition OpenBSD (type A6) sur le reste du disque.
Relever dans le dmesg de Linux, le modèle de la carte réseau, Realtek 8168 dans notre cas.
07
Les cartes Alix peuvent démarrer soit d’un disque dur (ou d’une carte flash), soit en mode PXE sur le réseau en activant l’option E dans le bios setup de la carte.
Quand le mode PXE est activé, la carte tente de démarrer du réseau en recherchant un serveur de boot PXE (dhcpd et tftpd); en cas d’échec, elle tente de démarrer du disque local.
Il est donc assez aisé d’obtenir deux modes de démarrage, un mode normal du disque dur en désactivant le serveur de boot et un mode de maintenance permettant les mises à jour, les contrôles des disques, etc …
14
Le logiciel Cacti est installé sur une machine OpenBSD basée sur une carte Alix; cette carte a une consommation électrique faible, de l’ordre de 7w avec le disque dur, mais une capacité de traitement limitée du fait de son processeur Géode et de sa mémoire limitée à 256Mo, ce qui est sensible en visualisation des graphiques qui est assez lente.
Cette visualisation a été déporté sur une autre machine plus puissante, également sous OpenBSD, tout en gardant la collecte et les données Cacti sur la carte Alix. Cette nouvelle machine n’a pas besoin de courant secouru – en cas de panne EDF, la visualisation peut toujours se faire sur le Cacti d’origine -, ni même d’être en permanence sous tension.
L’installation Cacti sur cette nouvelle machine, présente les particularités suivantes :
la base Mysql est celle du Cacti d’origine,
le répertoire rra des données rrdtool est un montage NFS.
Les modifications suivantes ont été faites sur la machine Cacti d’origine :
Démarrer les services portmap et nfs_server (variables dans /etc/rc.conf.local)
Exporter le répertoire $CACTI_HOME/rra en read-only dans /etc/exports
Autoriser l’accès à la base Mysql depuis la nouvelle machine
18
Les VPN d’exploitation étaient encore sur le modèle point à point d’OpenVPN 1.x, la version disponible sous NetBSD en 2006.
Avec la migration de la machine d’exploitation sous OpenBSD et l’apparition du support OpenVPN sur les cartes Mikrotik (à partir des versions 3.x de RouterOS), c’était l’occasion de faire la bascule en OpenVPN 2.x et d’implanter un serveur VPN au coeur du réseau.
Pour des raisons de compatibilité avec RouterOS, le protocole utilisé est le TCP et la compression LZO n’est pas utilisée, le gain est de toute manière marginal compte tenu des flux passants sur ces liaisons.
Coté serveur, la configuration par client (répertoire ccd) est utilisée pour fixer les adresses IP et distribuer les routages.
Coté client, le paramètre shaper semble poser problème et a été désactivé.
22
Depuis bientôt cinq ans les couches s’étaient un peu superposées dans le grenier de l’ancienne école et un peu de remise en ordre s’avérait nécessaire.
L’ensemble des éléments de tête du réseau, terminaisons des liaisons SDSL, passerelles pfSense (FreeBsd), serveurs OpenBsd pour le Http et la maintenance, a été installé dans une armoire rack au standard 19 pouces, dans une pièce plus claire que le grenier.
Le bâti intègre deux onduleurs pour des traitements différenciés des coupures EDF (avec un secouru de longue durée pour le coeur de réseau et de durée plus ordinaire pour la périphérie) et le dispositif de coupure à distance des charges.
28
Sous OpenBSD, après l’installation du package nut, en fonctionnant sur le câble USB avec le driver usbhid-ups, on obtient le message d’erreur :
Network UPS Tools: 0.29 USB communication driver - core 0.32 () No matching HID UPS found Driver failed to start (exit status=1)
Ce message met sur une fausse piste pour la résolution du problème, il s’agit en fait d’un simple problème de droits d’écriture sur les devices /dev/ugen*, il suffit de les rendre accessibles à l’utilisateur _ups pour que tout fonctionne.
A noter que l’entrée port du fichier de configuration /etc/nut/ups.conf doit absolument être renseignée pour que le daemon upsd se lance, mais qu’on peut y mettre n’importe quoi comme valeur (auto, toto, /dev/tty00, …), le driver se chargeant de trouver lui même les bon ports (/dev/ugen0.00 et /dev/ugen0.01 d’après la commande fstat -u _ups -n), ce qui donne la configuration ci-dessous, pour un onduleur MGE Ellipse 1500 :
[ellipse] driver=usbhid-ups # La valeur port est ignore par ce driver port=auto vendorid=0463 productid=ffff desc="MGE Ellipse 1500"
Instabilités du driver usbhid-ups
Elles se traduisent par des erreurs ‘Data stale‘, pour les corriger augmenter la valeur MAXAGE dans upsd.conf; si cette modification ne suffit pas, un script bien bourrin de relance du driver, en crontab, fait aussi l’affaire :
#!/usr/local/bin/bash TST=$(/usr/local/bin/upsc ellipse ups.status 2>/dev/null) if [ "x$TST" == "x" ]; then /usr/local/bin/upsdrvctl stop /usr/local/bin/upsdrvctl start logger -p local0.notice -t NUT "Relance daemon UPS" fi
Depuis la version 4.6 d’OpenBSD, ces erreurs semblent avoir disparues.
28
Suite à l’incident sur le serveur, les services liés à l’exploitation du réseau sont séparés des services purement Web et placés sur une carte Alix 2D3, avec un disque dur 2,5″, sous OpenBSD.
Cette séparation permet une meilleure tenue des onduleurs du fait de la faible consommation de l’ensemble Alix, de l’ordre de 7W avec le disque dur; en contrepartie l’affichage des graphes de Cacti n’est pas foudroyant mais la collecte des données est ok, jusqu’à 150 devices par minute avec Spine.
Liens :
Monitoring du Net Kermeur, (document PDF)
30
14
Les mails en @lekermeur.net ne sont plus reçus sur une machine locale, mais sur un serveur distant d’un hébergeur. Les gains attendus de cette bascule sont un allègement des tâches de maintenance, mais aussi et surtout une moindre consommation électrique, ce qui devrait permettre une plus grande autonomie sur onduleur en cas de coupure EDF.
La diminution de la charge de l’onduleur est de 30 watts environ.
Les autres tâches qu’effectuait cette machine, en particulier l’enregistrement des logs de connexions des passerelles (syslogd) et la surveillance de l’onduleur (logiciel nut), sont reprises par un OpenBSD sur une carte Alix2D3, qui a la particularité de peu consommer (moins de 5W).
Les notes d’installation de ce système sont à cette page.