Discussion :

[Gabich21]

Mesdames et Messieurs les internautes bonjour !
Alors voilà, j’étudie une infrastructure composée de nombreux serveurs DELL (équipés de cartes Drac/Idrac) pour certains sur des sites distants non accessibles directement par l’équipe informatique. L’enjeu pour moi est de construire un réseau d’administration permettant d’interagir avec les serveurs physiques pour des actions de démarrage à distance et de configuration matériel. Ce système sera complété par la supervision hardware du matériel DELL avec l’outil DELL OpenManage/IT. Les alertes devront remonter automatiquement afin d’intervenir en conséquence.
Il m’est donc demandé d’étudier :
- La réalisation d’un réseau d’administration dédié serveur
- L’implémentation de l’outil DELL Open manage/IT Assistant
- L’intégration des remontées d’alertes hardwares dans nagios
Infrastructure mise en place
La salle serveur est constituée de deux switch (HP Procurve 4208vl) en STP (Spanning Tree Protocol) représentant le cœur de réseau. Une multitude de Vlan y sont associés intégrant les différents serveurs du site. Cinq sites distants sont reliés au pare-feu du site principal.
J’ai pensé dans un premier temps à la création d’un vlan dédié spécifiquement à l’administration des serveurs en y intégrant les cartes Drac/Idrac mais celles-ci ne supportent apparemment pas le marquage Vlan, il faudrait donc les connectées à un réseau local virtuel hébergé sur le switch.
Puis ajouter un serveur contenant l’outil OpenManage configurer comme il se doit..
N’ayant pas de grande connaissance à ce sujet le tout s’en être sûr d’avoir bien compris le fonctionnement des carte idrac/drac j’aimerai avoir vos avis et si possible quelques solutions qui pourrai m’aider à avancer. En espérant avoir été le plus clair possible,
Je vous souhaite une excellente journée !

[Invité]

Salut,

c'est une excellente idée de créer une infra dédiée à l'administration.

Puisque tu possèdes des équipements qui permettent de tirer des VLANs, le mieux sera de créer un VLAN spécifique pour tes serveurs où tu connecteras tes cartes (je suppose que sont des "interfaces ILO"). Le fait qu'elles ne supportent pas le marquage 802.1q n'est pas un problème puisqu'elles seront connectées sur des ports "access" de switches (je crois que la dénomination est "untagged" chez HP).

Tu pourrais peut-être en profiter pour dédier un VLAN pour l'administration des switches/routeurs. Mais si tu n'as que quelques équipements, ça n'en vaut peut-être pas la peine... Hormis si ton parc est appelé à grandir. Dans ce cas, autant provisionner tout de suite ce VLAN même s'il n'y aura dans un premier temps que 2 ou 3 adresses qui se battent en duel. Ca t'évitera d'avoir à faire un changement d'adressage dans le futur.
Mais perso, je trouve que c'est toujours un peu choquant d'avoir à lancer un ssh/telnet sur un coeur de réseau en prenant les gateways utilisées par le trafic utilisateur... Mieux vaut créer des interfaces IP spécifiques à un VLAN d'admin avec les accès qui vont bien...

Le déploiement ne devrait pas poser de problème particulier dans ton archi : les VLANs sont tirés jusqu'au coeur de réseau et en créant les interfaces VLANs qui vont bien, tout les réseaux seront directement connectés. Donc par construction, la connectivité IP sera totale entre ces VLANs d'admin ce qui te permettra de placer tes serveurs où tu veux (un nouveau VLAN ou un VLAN existant qui héberge déjà des serveurs).

Steph

[ram-0000]

je suppose que sont des "interfaces ILO"

Oui, les interfaces Drac ou iDrac chez Dell sont fonctionnellement équivalentes aux interfaces ILO/ILOM ou encore XSCF (Sun)

Un Vlan dédié aux interfaces de prise de contrôle à distance, quelle bonne idée. D'abord, cela veut dire que ces interfaces sont câblées ce qui est toujours une bonne idée. Un reboot qui se passe mal (ou une route mal modifiée), si tu n'as pas l'interface ILOM/iDrac et bien tu pleures

[Gabich21]

(steph) Tout d'abord merci d'avoir pris un peu de ton temps pour me répondre.

L'idée de dédier un VLAN pour l'administration des switches/routeurs me va parfaitement, le réseau est tout de même constitué :
Pour les baies serveurs d'une vingtaines de serveurs physiques + des serveurs virtualisés (25 pour le site centrale) et sur chaque sites distant (1 nas + 1 dc)
Pour la baie réseau 2 routeurs cisco (1 de secours) 2 firewall et comme je l'ai dit deux switch (dont 1 de secours)

Je te remercie beaucoup pour toutes ces précisions.

Merci également à toi raymond pour cette apport de connaissance

[Gabich21]

Un Vlan dédié aux interfaces de prise de contrôle à distance, quelle bonne idée. D'abord, cela veut dire que ces interfaces sont câblées ce qui est toujours une bonne idée. Un reboot qui se passe mal (ou une route mal modifiée), si tu n'as pas l'interface ILOM/iDrac et bien tu pleures

Quel en sont les conséquence ?

[Invité]

Quel en sont les conséquence ?

Ben, simplement tu peux plus accéder aux serveurs en IP.

Dans les réseaux très sensibles, on déploie parfois des switches et des routeurs dédiés au trafic d'administration. Si bien qu'en cas de problème sur le réseau utilisateur (défaillance matérielle d'un switch ou bien tempête de broadcasts/multicasts sur un VLAN), tu pourras toujours te connecter sur l'IP d'admin parce que ce trafic transite par une infra "parallèle" à l'infra réseau utilisateurs (on parle d'administration "out-of-band").

Steph

[Gabich21]

ah oui effectivement je comprend mieux la raison pour laquelle c'est mieux de dédier un VLAN pour l'administration des switches/routeurs
000merci encore pour tout ! =)