Héberger un lab Citrix sur Dedibox

Après avoir essayé différentes méthodes pour héberger ma plateforme de test Citrix (serveurs récupérés, VMware Workstation…), j’utilise depuis plusieurs mois un serveur « Dédibox », hébergé par Online.Net (société rattachée à Free). Voici un petit retour d’expérience sur le sujet…

 

1. Introduction

Le but de mon serveur de test était de permettre l’hébergement d’une petite dizaine de VMs de test, pour monter une plateforme contenant différents produits Citrix et Microsoft.

J’ai choisi un Dedibox Pro HP, basé sur un DL120 G7, avec le sizing suivant :

  • 1 CPU E3-1220 (quadcore à 3,1GHz),
  • 16 Go de RAM,
  • 2x2To de disque SATA en RAID 1 matériel (P410 standard, sans writecache),
  • Connectivité Internet 1Gb/s, avec 2 adresses IP publiques,
  • Prix : 60 € TTC / mois.

 

Même si les caractéristiques ne sont pas bouleversantes, ce choix offre l’avantage de disposer d’un serveur HP, avec une carte iLO licenciée. On peut donc prendre la main sur le serveur et monter des ISOs pour installer l’OS de son choix.
Le cout mensuel d’un tel serveur reste assez élevé. Cependant, une plateforme hébergée chez soi coûte également cher, notamment à cause de l’électricité (en cas de fonctionnement 24/7), sans compter le cout du serveur lui-même.

 

2. Installation

La configuration de base peut entièrement être effectuée via la console de gestion d’Online.net :

Cette console permet la gestion du serveur (arrêt, restart, test…), l’installation d’un OS prédéfini, la prise en main via iLO, ainsi que la configuration réseau.

 

J’ai installé un ESXi 5.0, qui offre de bonnes possibilités de sur-allocation mémoire et CPU. L’installation est un peu longue via iLO (puisque l’ISO passe par ma connexion Internet personnelle), mais en 40 minutes, mon serveur était prêt à accueillir des VMs. Des assistants permettent également de monter des OS pré-configurés par Online.

 

3. Configuration réseau

La box est directement connectée à Internet via 1 seule carte réseau, et un filtrage est effectué par Dedibox. Si celle-ci sort avec une autre adresse MAC ou une autre adresse IP que celles déclarées dans la console, la connexion est coupée, et il faut contacter le support pour la réactiver.

Puisque le port de Management de l’ESXi est directement mappé sur l’adresse IP publique, il est fortement conseillé de sécuriser celui-ci. Cette configuration permet de supprimer l’écran d’accueil, et la gestion par le Web.

 

Une fois que le serveur ESXi est connecté à Internet, il faut offrir un moyen aux VMs de se connecter. Pour cela, deux solutions sont possibles :

  • Utiliser une 2e adresse IP publique, et utiliser celle-ci avec une VM hébergeant un routeur / firewall.

  • Utiliser 1 seule adresse IP publique, et connecter le réseau de Management d’ESXi derrière une VM faisant office de firewall. En cas d’arrêt de cette VM, on ne peux plus accéder au serveur ESX autrement qu’en console.

 

Afin de simplifier la gestion de l’environnement, j’ai opté pour la 1e solution. Il faut tout d’abord faire la demande d’une 2e adresse IP publique, et fournir l’adresse MAC qui sera utilisé pour cette adresse IP. J’ai ensuite installé un routeur / firewall sous FreeBSD, et déclaré cette adresse IP publique comme sortie WAN. La patte WAN de mon firewall (en rouge ci-dessous) est directement connectée à la NIC physique du serveur, avec l’adresse de Management ESXi :

J’utilise ensuite des VLANs au niveau d’ESX pour segmenter mon réseau et créer une DMZ, également connectée au firewall.

 

4. Performances

J’avais à l’origine un peu peur du stockage, puisqu’il y a peu d’axes et aucun cache en écriture, mais après une mise à jour de firmware, le stockage offre de bonnes performances.

 

Pour donner un ordre d’idée, ce serveur héberge (en permanence) :

Rôle du serveur Nb vCPU RAM Disque
Firewall FreeBSD 1 256 Mo 8 Go
Active Directory 1 1 Go 30 Go
Infrastructure (SQL Server, IIS, share…) 2 3 Go 120 Go
Serveur d’administration 1 512 Mo 30 Go
Citrix XenApp 6.5 (n°1) 2 2 Go 30 Go
Citrix XenApp 6.5 (n°2) 2 2 Go 30 Go
Citrix Provisionning Services 1 3 Go 120 Go
Contrôleur Citrix XenDesktop 1 1 Go 30 Go
VM XenDesktop HDX3D Pro (n°1) en PVS 2 1 Go 10 Go
VM XenDesktop HDX3D Pro (n°2) en PVS 2 1 Go 10 Go
NetScaler VPX 2 2 Go 20 Go

 

En plus de cette base déjà conséquente, j’héberge des produits en cours de test sur ce même serveur (2012 Server notamment). Celui-ci peut environ contenir 3VM supplémentaires sans soucis.

 

Les performances sont correctes, tant que je reste sur une utilisation raisonnable (moins de 5 utilisateurs, 1 seule installation de produit en simultané). En dehors d’HDX 3D Pro, aucun service ne consomme la totalité du CPU. La RAM est évidemment à 100% en continu, sans pour autant avoir du swapping en permanence, ce qui effondrerai les perfs.

Le stockage étant le premier point de contention, il faut savoir être patient en cas de copie de VMs. Cependant en cas d’utilisation normale, la latence disque dépasse rarement 30ms, et les VMs peuvent disposer de 40Mo/sec pour une copie de fichiers.

La connexion Internet est irréprochable, puisque le débit atteint sans soucis 60Mo/sec, avec une latence très faible.

 

5. Conclusion

Après plusieurs mois d’utilisation, je suis très satisfait par les possibilités d’une Dedibox Pro. En dehors du confort d’utilisation, un tel système permet une flexibilité très utile en prestation, puisque je peux rapidement reproduire un cas client sur cette plateforme. La fait de pouvoir laisser  les VMs de base allumées permet également de gagner beaucoup de temps.

C’est une plateforme idéale pour tester du Citrix, ou des produits Microsoft…

par .

7 Commentaires

  1. Ammesiah dit :

    C’est clair que là dessus, il font fort !
    J’ai eu pendant pas mal de temps l’équivalent (en version précédente, avant qu’ils passent sur du HP), et franchement c’est net !
    Même leur premier serveur entré de gamme à 15€/mois fait un serveur de rebond/proxy/passerelle à merveille !

  2. Christophe dit :

    Hello,

    Super article.

    Petite question je vois que je c’est compatible esxi mais penses tu qu’il est possible d’installer du xenserver ?

  3. SebOnAir dit :

    Bonjour,

    Article très intéressant 😉

    Mais pour de la « prod » n’est-ce pas un peu risqué d’avoir un pare-feu virtualisé ?

    Après comme apparemment on ne peut pas mettre un firewall sur le host… comment faire quand on a seulement 2 ip (une pour la gestion des VM sur le host et l’autre pour la visibilité des VM sur le web) ? En faisant du nat avec un pare-feu virtualisé ? haha…

    J’ai actuellement un serveur dédié chez online (QC DELL quad core avec 8 gigas de ram) et je me pose des questions sur la sécurité des VM et du host afin de faire une config correct pour de la « prod » avec la version free de ESxi.

    Enfin quand je survole différents sites, ils déconseillent de mettre un pare-feu en VM :/ et je ne vois pas de solution alternative….

    Avez-vous une idée là-dessus, quelle meilleur réglage/config pour de la prod ?

    Merci 😉
    Seb

    • David dit :

      Hello,
      D’une manière générale, je n’irai pas me tourner vers du Dédibox pour héberger de la production.
      Cependant, il faut prendre en compte la criticité de ta plateforme, et tes besoins. Si par « prod » tu entend « héberger des sites web sur des VMs, sans données critiques », alors OK, une Dédibox suffira sans doute. Par contre, si tu veux héberger des applications métier, de la messagerie, ou des données utilisateurs, tu risque d’être confronté aux problématiques classiques des serveurs dédiés : Comment réaliser une sauvegarde sécurisée de mes VMs ?, Comment mettre en place un stockage partagé ? Et de manière générale, comment établir un réseau privé performant entre plusieurs serveurs dédiés ? Tout ça en prenant en compte le fait qu’une Dédibox (les DL120 en tout cas), est un serveur conçu low-cost (mono alim, performances moyennes…).

      Si tu souhaite héberger de petites plateformes sur Dédibox :
      – Héberger des VMs derrière un firewall virtualisé ne pose aucun soucis si c’est fait proprement. De nombreuses distributions Linux ou des appliances font ça très bien et différents réseaux (LAN / DMZ) peuvent être hébergés sur le même ESX sans conséquence sur la sécurité.
      – Héberger des VMs sur une Dédibox, où le réseau d’administration d’ESXi est une adresse IP publique : Ça me choque déjà un peu plus ! Il est possible de mettre ta patte d’administration derrière ton firewall, mais cela reste contraignant en cas de perte de celui-ci (tu sera obligé de te connecter sur l’ESXi en console, via iLO).

      Je te conseille plutôt de sécuriser la couche ESXi :
      Pour cela, le vSphere Hardening guide et le vSphere 5.0 Security Guide de VMware sont un bon début. Tu y trouveras des recommandations de sécurité.

      Concrètement, il faut notamment désactiver le Welcome Screen ESXi, et configurer le firewall d’ESXi pour n’autoriser que le minimum de protocoles (pas d’SSH par exemple), et éventuellement limiter les adresses IP autorisées à administrer la plateforme.

      En espérant que cela réponde à tes questions !
      David.

      • SebOnAir dit :

        Bonjour,

        Merci beaucoup pour cet éclaircissement 😉

        Effectivement le serveur sera surtout utilisé pour quelque sites internet, même si je pensais mettre en place un service de partage de fichiers comme dropbox (avec owncloud) mais là du coup c’est risqué…

        Et utiliser le système OpenVZ avec l’interface web proxmox2 (désactivable sur l’ip publique) au lieu de VMware ? Celui-ci offre apparemment la possibilité de faire des sauvegardes automatique, même si les VM ne sont pas autant isolé (vu que le noyau est partagé…) que sur VMware.

        En tout cas merci de tes conseils 😉
        Seb

        ps : Tu conseillerais quel pare-feu virtuel ? Pfsense ? Sophos UTM Essential Firewall Edition for VMware ? Smoothwall ? …

        • David dit :

          Bonjour,

          Tu dois avoir moyen de jouer avec le firewall d’ESXi, pour faire de la restriction de l’interface d’admin, mais je ne pense pas qu’il soit possible de s’en servir de routeur pour NATter tes VMs.

          Je ne connais pas Promox, mais pour les autres hyperviseurs, tu pourrais faire un host / routeur avec du Hyper-V.

          Si tu pars sur une VM, je te conseille PFSense, que j’utilise actuellement en tant que routeur NAT, Reverse Proxy et DHCP.
          Pour le configurer sur une VM mappée à ta 2e adresse IP publique, il y a une petite subtilité pour Dédibox, puisque tu dois sortir avec l’adresse MAC fournie par Online. Il faut donc changer l’adresse IP au niveau de VMware et changer la gateway par défaut. Tu as un tuto sur le forum de Dedibox à ce sujet.

          Amuse-toi bien !
          David.

Laisser un commentaire

*