Post

Hyperviseur Proxmox sur HPE ProLiant

Rootosaurus
3
Hyperviseur Proxmox sur HPE ProLiant

Le déploiement d’un nouvel hyperviseur en environnement de production ne s’improvise pas. Cet article détaille la procédure de l’installation physique d’un serveur HPE ProLiant jusqu’au durcissement de l’hyperviseur Proxmox VE, en passant par le provisionnement du stockage.

🏗️ 1. Préparation du Matériel (HPE ProLiant)

Avant même d’installer l’OS, il faut préparer les fondations matérielles et s’assurer que le serveur est à jour et sain.

Câblage et Gestion à distance (iLO)

  • Stockage : Branchement de la baie de disques externe via des câbles SAS.
  • Management : Configuration de l’IP pour l’interface iLO sur le réseau dédié (VLAN_MGMT).

    ⚠️ Attention : Il ne faut pas configurer d’étiquette VLAN (VLAN tag) directement dans la configuration iLO si le port du switch gère déjà le trafic non étiqueté pour ce VLAN.

Mises à jour critiques

Accès à l’interface iLO pour flasher les composants vitaux avant toute mise en production :

  1. Mise à jour du firmware iLO.
  2. Mise à jour du BIOS du serveur.

Configuration du RAID (Intelligent Provisioning)

Via la console iLO, lancement de l’Intelligent Provisioning pour configurer la grappe de disques de la baie de stockage.

  • Topologie : RAID 6 sur les 8 disques (tolérance à la panne de 2 disques).
  • Découpage logique :
    • Un LUN principal de 40 To.
    • Un second LUN exploitant l’espace restant sur la grappe.

🦊 2. Installation et Configuration de Proxmox VE

L’installation de l’ISO Proxmox est réalisée à distance via la console virtuelle de l’iLO.

Configuration Réseau Initiale

  • Attribution d’une adresse IP statique sur le réseau de management (VLAN_MGMT).
  • Création des interfaces virtuelles (Linux Bridge) pour distribuer les VLANs aux futures machines virtuelles.
    • vmbr0.MGMT pour le réseau d’administration.
    • vmbr0.SRV pour le trafic des serveurs. (Note : Pas d’étiquetage VLAN au niveau de l’interface physique pour le moment, géré par le switch ou les bridges).

Provisionnement du Stockage Proxmox

Découpage de l’espace pour optimiser les performances selon l’usage :

  • Pool VM-Store-1 (4 To) : Formaté en LVM-Thin pour le stockage performant des VMs (permet le thin-provisioning et les snapshots rapides).
  • Pool VM-Store-2 (4 To) : Formaté en LVM-Thin pour la répartition de charge des VMs.
  • Pool Backup-Store (40 To) : Formaté en XFS, dédié exclusivement au stockage des sauvegardes lourdes.
  • Le reste de l’espace est gardé non configuré pour une allocation future.

🛡️ 3. Durcissement (Hardening) de l’Hyperviseur

Un hyperviseur est la clé de voûte de l’infrastructure. Sa compromission entraîne la chute de toutes les VMs.

Identité et Mentions Légales

Ajout d’un MOTD (Message Of The Day) et d’une bannière de mentions légales pour prévenir de l’accès restreint lors de la connexion SSH ou console.

Sécurisation des Accès Administratifs

L’utilisateur root par défaut est une cible de choix. Ses accès directs ont été verrouillés.

1
2
3

# Dans /etc/ssh/sshd_config
PermitRootLogin no

Création d’utilisateurs nominatifs d’administration avec des privilèges restreints et activation de la Double Authentification (2FA).

  • Création au niveau du système (shell).
  • Attribution des rôles et permissions via l’interface web Proxmox (Datacenter > Permissions).

Protection contre les attaques en force (Fail2ban)

Mise en place de fail2ban pour bannir automatiquement les adresses IP tentant de forcer l’accès SSH.

1
2
3
4

sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

💾 4. Déploiement du Service de Sauvegarde (UrBackup)

La première VM déployée a pour rôle de sécuriser l’infrastructure. Il s’agit d’un serveur UrBackup.

  • Ressources allouées : 8 vCPU et 32 Go de RAM.
  • Réseau : Connectée sur le réseau des serveurs (VLAN_SRV).
  • Stockage : Montage direct du pool XFS de 40 To spécifiquement prévu pour ingérer de gros volumes de sauvegardes de manière fiable.

🗺️ 5. Roadmap : Reste à faire

La base est saine, mais la configuration doit être finalisée avec les points suivants :

  • Clés SSH : Déploiement des clés publiques des administrateurs autorisés et désactivation totale de l’authentification par mot de passe.
  • Obfuscation SSH : Modification du port d’écoute SSH par défaut (TCP 22) vers un port non standard.
  • Annuaire : Jonction de l’hyperviseur au domaine d’entreprise (Active Directory / LDAP) pour la centralisation des identités.
  • Supervision : Déploiement de l’agent de monitoring (SNMP / Zabbix / Checkmk) pour remonter les alertes matérielles et logicielles.

```

proxmox bare-metal hpe ilo sécurité virtualisation