Configuration du serveur PXE / DHCP, script de post-configuration PowerCli et configuration cible de l’hôte.
Configuration Vmware ESXi 4.1
Configuration du serveur PXE / DHCP
La configuration du serveur PXE se fait normalement. Seul le fichier /var/lib/tftpboot/menu doit être modifié pour prendre en compte le middleware et le fichier kickstart : voir listing 1 et figure 2.
default local
display grph
prompt 1
timeout 300
label NEWESXi
kernel mboot.c32
append vmkboot.gz — vmkernel.gz — sys.vgz — cim.vgz — ienviron.tgz — image.tgz — install.tgz ksdevice=vmnic0 ks=http://IP du serveur DHCP/ks.cfg PBHOST=«IP du VCENTER»:3333 — lance-boot.tgz
Il faut donc ajouter les paramètres suivants :
- – PBHOST=«IP du VCENTER»:3333
Spécifie l’adresse du serveur destiné à recevoir le « birthmessage », ici, le vCenter.
- — lance-boot.tgz
Permet d’ajouter le middleware à la liste des fichiers à télécharger lors de l’installation de l’esxi
- ks=http://IP du serveur DHCP/ks.cfg
Spécifie le repository du fichier d’insallation kickstart
Remarque
Le fichier lance-boot.tgz est à ajouter au repository contenant les fichiers d’installation d’ESXi . Ce fichier doit avoir les droits UNIX 755 (chmod 755 lance-boot.tgz pour éviter une erreur lors du téléchargement via TFTP.
# Exemple de fichier kickstart : voir listing 2.
rootpw –iscrypted “mot de passe root crypté”
bootloader –location=mbr
auth –enableshadow –enablemd5
install url ks=http://IP du serveur DHCP/esxi/
keyboard fr
reboot
modifié pour prendre en compte le middleware et le fichier kickstart :
default local
display grph
prompt 1
timeout 300
label NEWESXi
kernel mboot.c32
append vmkboot.gz — vmkernel.gz — sys.vgz — cim.vgz — ienviron.tgz — image.tgz — install.tgz ksdevice=vmnic0 ks=http://IP du serveur DHCP/ks.cfg PBHOST=«IP du VCENTER»:3333 — lance-boot.tgz
Remarque
Si aucun serveur DHCP n’est disponible sur le réseau, il faut le configurer sur le serveur PXE (fichier dhcpd.conf).
# Exemple de fichier dhcpd.conf : voir listing 3.
allow booting;
allow bootp;
# option definitions common to all supported networks…
option domain-name « esx.deploiement.com »;
option domain-name-servers 10.0.XX.XXX;
option subnet-mask 255.255.255.0;
default-lease-time 600;
max-lease-time 7200;
subnet 10.0.XX.0 mask 255.255.255.0 {
range 10.0.XX.1 10.0.XX.254
option broadcast-address 10.0.XX.255;
option routers 10.0.XX.1;
next-server 10.0.XX.71;
filename « pxelinux.0 »;
}
Les deux options importantes sont :
- next-server : spécifie l’adresse ip du serveur TFTP pour le réseau 10.0.XX.0
- filename : spécifie le nom du client PXE à télécharger sur la machine demandant une configuration réseau.
Remarque
S’il s’agit d’un serveur DHCP Windows, les options 66 et 67 correspondent respectivement à next-server et filename.
Ci-dessous une capture d’écran de la console de configuration DHCP de Windows 2008 : voir figure 3.
Script de post-configuration PowerCli
La partie PowerCli est divisée en plusieurs fichiers :
- esxi-tuner.ps1 : fichier principal du script
- config-network.ps1 : permet la configuration du réseau
- config-security.ps1 : permet l’intégration du nouvel hôte à un domaine Active Directory pour l’authentification
- config-time.ps1 : permet de configurer le service NTP
- functions.ps1 : contient les fonctions utiles au script
- tuner.ini.ps1 : fichier de contenant les variables de configuration du script.
Configuration cible de l’hôte
Réseau :
– 1 Dvswitch (nombre d’Uplink à définir dans le fichier tuner.ini.ps1 en fonction du nombre de cartes réseaux de l’hôte) :
- 1 Dvportgroup par VLAN reliés à deux Dvuplinks en « loadbalancing on SRCID »
- 1 Dvportgroup pour le stockage contenant deux vmkernel configuré pour ISCSI .
– 1 vSwitch (vswitch par défaut relié à une vmnic) :
- 1 portgroup + vmkernel Vmotion,
- 1 portgroup + vmkernel de management.
Services :
– Authentification
- Jonction au domaine AD spécifié dans le fichier tuner.ini.ps1
– NTP
- Ajout des serveurs Ntp spécifiés dans le fichier de configuration du script, ajout d’une exception pour NTP dans le firewall de l’hôte
– VMware
- Ajout de l’hôte dans le cluster ESX spécifié dans le fichier de configuration.
Téléchargez cette ressource
Comment sécuriser une PME avec l’approche par les risques ?
Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.
Les articles les plus consultés
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Une baie de stockage c’est quoi ?
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Et si les clients n’avaient plus le choix ?