Suite à mon précédent article où je fais mon coming out (Je passe du côté obscur - Windows Phone), j'ai pris soin de vérifier s'il y avait un support de Caldav / Carddav afin que je puisse synchroniser mon agenda et mes contacts avec mon serveur Yunohost. Apparemment non, du moins pas sans bidouiller. Bon, de toutes manières j'ai toujours trouvé pénible le fait de configurer 3 comptes : un IMAP pour les mails, un Caldav pour le calendrier, et un Carddav pour les contacts; il est à mon sens bien plus pratique d'avoir 1 connecteur qui fait tout.

Et c'est exactement ce que fait ActiveSync, le connecteur de Microsoft, un connecteur pour tous les gouverner. J'ai donc cherché un moyen de mettre en place ActiveSync sur Yunohost, et devinez quoi, il existe une application pour installer Z-Push. Entrez dans votre backoffice Yunohost, et installez une application personnalisée en spécifiant l'adresse du repo github.

Ensuite sur Windows Phone, ajoutez un compte avancé de type Exchange avec les paramètres suivants :

• Adresse serveur : https://votreyunohost.com/Microsoft-Server-ActiveSync/
• Utilisateur : votre utilisateur Yunohost (sans le @votreyunohost.com)
• Mot de passe : votre mot de passe Yunohost
• Domaine : vide

Et voilà ! Vos contacts, mails et calendrier synchronisés sans effort !

Xen Orchestra est une interface web qui s'appuie sur xapi pour piloter un serveur Xen. Il est possible créer des VMs, les monitorer, faire des snapshot, attacher des SR et gérer des ACL pour les utilisateurs autorisés à se connecter à la console. Étant très intéressé par la virtualisation et Xen, j'ai testé cette solution et je dois dire que je suis plutôt impressionné.

Lire la suite de Aperçu de Xen Orchestra

Depuis 5 ans environ je m'intéresse de près aux solutions de virtualisation sur Linux. J'ai eu l'occasion d'en utiliser plusieurs et j'ai décidé de rédiger un court article à ce sujet. Pourquoi court ? Simplement parce que chaque solution mérite un livre entier et qu'en un article je ne peux tout résumer efficacement.

Notez que dans l'article je vais omettre volontairement 3 solutions :

• VServer car je ne l'ai jamais utilisé
• Docker car je ne l'ai jamais utilisé non plus et selon moi il se destine plus au packaging d'applications
• Virtualbox car trop vaste et pas très utilisé sur les serveurs

OpenVZ

OpenVZ est en quelques sortes la solution historique de virtualisation basée sur les containers sous Linux. C'est un outil puissant qui permet de faire fonctionner plusieurs systèmes invités avec limitation du CPU, RAM, quota de disque mais surtout émulation du /proc et /sys ce qui permet au système invité de voir réellement les ressources allouées. Par exemple si on définit une limite de 256Mo de RAM, un htop montrera que votre système dispose 256Mo de RAM. Si on alloue 10GB de disque, df montrera 10GB. Cela rend OpenVZ idéal si vous souhaitez fournir des VPS à vos clients, car ils seront à la fois isolés et transparents pour l'utilisateur.

Deux inconvénients majeurs à OpenVZ : ce n'est pas un projet upstream (nécessite d'utiliser un kernel patché) et l'inertie du projet. Le dernier kernel supporté par OpenVZ est le 2.6.32 ce qui nous ramène tout de même en 2010 (c'est le kernel de rhel6). Dans un billet de blog l'équipe d'OpenVZ défend ce choix : le 2.6.32 n'est pas vieux, il est "stable et éprouvé". Il faut tout de même constater qu'en 2015 le 2.6.32 peut être pesant, face à certaines technologies qui nécessitent un kernel récent (systemd). Un travail est en cours pour qu'OpenVZ soit utilisable sur un kernel upstream récent, malheureusement il est loin d’être fonctionnel. Fin 2014 l'équipe OpenVZ a annoncé une simplification dans leur fonctionnement : Virtuozzo (version propriétaire) et OpenVZ (version libre) vont fusionner et une version compatible kernel 3.10 sera disponible. Pas de date annoncée, juste "début 2015" et pas de nouvelles depuis.

Il faut noter également que dans un container il n'est pas possible de charger des modules noyau, vous devez le faire sur l'hôte. Par exemple si vous souhaitez utiliser fuse ou iptables, vous devez au préalable charger les modules sur l'hôte. Cela peut être un avantage (sécurité) ou un inconvénient (si votre hébergeur n'a pas chargé les bons modules sur l'hôte, c'est fichu pour vous). Autre point intéressant : OpenVZ est la solution utilisée par OVH pour ses VPS Classic.

LXC

LXC est un ensemble d'outils permettant d'utiliser les cgroups pour la virtualisation basée sur les containers. Contrairement à OpenVZ qu'il vise à remplacer, LXC est upstream. Malheureusement son évolution est très lente, et il y a encore beaucoup de manques qui ne sont toujours pas comblés malgré les années. Cela va de la faille de sécurité au désagrément. Deux exemples : tout d'abord un utilisateur root dans un container qui arriverait à écrire sur l'hôte serait toujours considéré comme root, l'isolement n'est donc pas parfait. Ce point est colmaté plus ou moins efficacement par SELinux, Apparmor ou par le mode "unprivileged" de LXC qui pose à mon sens beaucoup plus de désagréments que d'avantages. Autre point négatif, LXC n'émule pas de /proc ni /sys. Donc si on alloue 256Mo de RAM à notre container et que l'on lance htop dans ce dernier, la quantité de RAM affichée sera faussée (ce sera celle de l'hôte, par exemple 8GB), idem pour df et l'espace disque. Impossible de louer des VPS à des clients puisque les informations du système qu'ils verront seront seront celles de l'hôte, donc faussées.

LXD et LXCFS doivent palier ce manque, malheureusement ces projets sont encore jeunes (fin 2014) et pas du tout utilisables à l'heure actuelle. LXD va permettre de lancer de manière simple des containers en mode "unprivileged" avec une surcouche Apparmor pour parfaire l'isolement. LXCFS va émuler /proc et /sys ce qui va non seulement permettre au container de voir réellement les ressources qui lui sont allouées, mais aussi résoudre certains problèmes quand on empile les instances de systemd.

Xen

Xen est une solution complexe et particulière, à mi chemin entre la vraie virtualisation et les containers. C'est un mini système d'exploitation qui démarre en premier et qui se comporte comme une sorte de switch entre vos systèmes invités pour l'accès au matériel. C'est une solution particulière pour deux raisons : votre système d'exploitation hôte devient Dom0, il n'est plus le maître, c'est un invité tournant sur Xen pour lequel vous devez allouer des ressources. Le rôle Dom0 lui permet de piloter Xen. Ensuite il nécessite que vos systèmes invités soient "compatibles" Xen. C'est le cas pour Linux en upstream ainsi que FreeBSD et NetBSD dans des versions spécifiques, mais pas Windows.

Pour faire tourner Windows dans Xen, il faut invoquer le mode "HVM" qui va alors fonctionner plus ou moins comme KVM, c'est à dire avec la virtualisation CPU. A cela s'ajoutent différents modes: PVHVM et PHV qui correspondent à différents niveaux de mélanges entre la virtualisation CPU et la paravirtualisation. Xen est une science à lui tout seul et il y a de quoi y passer des jours.

Contrairement aux containers limités à Linux, Xen supporte plusieurs systèmes d'exploitations, dans plusieurs versions. En effet chaque système invité (DomU) charge son kernel, ce qui offre plus de libertés (par exemple la possibilité de charger des modules). Et là encore, l'isolement est très bon ainsi que la visibilité des ressources allouées, ce qui permet d'utiliser Xen si vous souhaitez fournir des VPS.

Xen est utilisé entre autres par AWS (le cloud Amazon).

KVM

KVM est la solution phare de virtualisation sous Linux, poussée par Red Hat qui base plusieurs solutions dessus. KVM est une puissance brute entourée d'excellents composants tels que VirtIO qui ajoute de la paravirtualisation dans les périphériques virtuels. Avec les instructions de virtualisation et un bios émulé, KVM permet de faire fonctionner quasiment n'importe quel système d'exploitation.

Malheureusement, le gros défaut selon moi de KVM est le manque d'outils simples à utiliser. Virt-manager est à mon sens trop bugué pour convaincre, et ce depuis des années. oVirt est en revanche excellent mais taillé pour les grosses infrastructures. Au final KVM est peut être un peu trop restreint aux professionnels qui peuvent bâtir une infrastructure conséquente pour y faire tourner du oVirt ou de l'Openstack.

Conclusion

A chaque solution son usage et le sujet est tellement vaste qu'il est difficile de conclure. Néanmoins je constate que LXC n'est toujours pas mûr, OpenVZ reste devant. Pour ceux qui ont les moyens, l'infrastructure et des besoins spécifiques, KVM et Xen sont des solutions toutes indiquées même si à mon sens KVM sera plus logique pour les sysadmin habitués à VMware.

J'ai eu l'occasion de bidouiller un ordinateur portable DELL fonctionnant avec un hardware Intel + Nvidia Optimus. Le principe est intéressant sur papier, c'est l'APU Intel qui est relié physiquement à l'écran ainsi qu'aux connecteurs, et il est capable de déléguer les calculs de rendu au GPU Nvidia lorsque nécessaire. Bien sûr en pratique cela ne fonctionne pas très bien sur Linux, à cause des pilotes Nvidia non libres et du vieillissant Xorg pas vraiment prévu pour fonctionner comme ça.

Cependant des courageux ont développé des outils comme bumblebee pour gérer la cohabitation Intel / Nvidia sur Linux. Manjaro va plus loin encore plus loin puisqu'un outil graphique facilitant la mise en place est disponible. De plus, si vous démarrez un LiveCD / LiveUSB, une option est disponible dès le boot pour activer les pilotes propriétaires (Optimus est pris en charge).

Cependant je ne sais pas si cela fonctionne correctement. Selon les applications utilisées, l'APU Intel sera parfois plus performant que le GPU Nvidia. Par exemple Stellarium est beaucoup plus rapide sur Intel que Nvidia, alors que pour Minecraft c'est l'inverse. Au moins, par défaut, c'est l'Intel qui fonctionne et la Nvidia semble désactivée puisque l'autonomie batterie est excellente.

$ java -jar Minecraft.jar # 30FPS avec Intel
$ optirun java -jar Minecraft.jar # 70FPS avec Nvidia GT720M

Si la solution semble fonctionner correctement et surtout ne pas pénaliser l'autonomie batterie, ce n'est pas encore parfait. Les technologies "hybrides" graphiques sont à éviter si vous utilisez autre chose que Windows. Le mieux reste de choisir du 100% Intel.

Openbay est une version libre du moteur utilisé par thepiratebay.org créé par isohunt. Le code est hébergé sur github et peut être installé sur un simple serveur web avec php.

Pour aller le plus vite possible, votre instance peut utiliser le moteur de requêtes et la base de données d'isohunt. Ainsi pas besoin d'installer sphinx ou mysql, pratique sur un hébergement mutualisé. Mais si vous disposez d'un serveur dédié, vous pouvez tout de même le faire.

Et voilà ma petite instance openbay privée tout à fait fonctionnelle.

Attention tout de même aux limites du système. En effet on peut disposer de sa propre instance privée d'openbay, mais dans la configuration par défaut les requêtes passent toutes par isohunt. On dépend donc d'un noeud qui n'est pas infaillible : s'il ferme ou se fait saisir à son tour, il est probable que votre IP apparaisse dans les logs, bien que techniquement cela ne concerne que les requêtes effectuées et non les fichiers réellements téléchargés.