• dans Apache 2, vous avez la possibilité de configurer plusieurs virtualhosts SSL partageant un certificat SSL commun, issu par exemple d'une autorité de certification comme CAcert, en utilisant la directive :

NameVirtualHost *:443

• si vous disposez de plusieurs IPv4, vous pouvez dans ce cas spécifier un certificat SSL distinct pour chaque vhost SSL, tout se passera en principe pour le mieux ;

• mais si ce n'est pas le cas, et que vous souhaitez tout de même doter chaque virtualhost SSL de son propre certificat SSL, un problème se pose. En effet, lorsque la connexion SSL est établit entre le client (par exemple, un navigateur web) et le serveur, il vous faut forcément sélectionner un certificat au niveau du serveur, mais le nom d'hôte demandé n'est présent que dans des paquets SSL, et vous n'avez donc pas (encore) accès à cette information, qui ne devient exploitable qu'après la finalisation du handshake SSL. En bref, trop tardivement...

Une solution existe cependant, et se nomme SNI (pour Server Name Indication). L'idée est d'ajouter le hostname demandé dans le premier paquet envoyé pour le handshake SSL. Ainsi, il n'est pas nécessaire d'attendre l'établissement de la connexion pour savoir vers quel virtualhost la requête doit être envoyée.

Pour plus de précisions, vous pouvez consulter NameBasedSSLVHostsWithSNI.

En terme de prérequis, il est nécessaire d'avoir :

• côté serveur, une version d'OpenSSL supérieure à 0.9.8f, ainsi qu'une version d'Apache 2 récente (pour les utilisateurs de Debian, les versions d'Apache 2 dans Squeeze comme 2.2.9 ne supportent pas encore SNI, et il est préférable de se tourner par exemple vers la version de Squeeze) ;

• côté client, un navigateur récent. Aucun problème si les postes client disposent d'un navigateur Firefox 3.x par exemple.

Le site de l'évènement V6 WORLD CONGRESS 2011 indique que les principaux opérateurs seront présents, ainsi que des représentants d'organisation comme Renater, le G6, etc.

Au programme : pénurie des ressources IPv4, intérêts d'IPv6, impact pour les opérateurs, études de cas, tutoriaux techniques, etc.

Bon nombre de technologies alternatives existent (Hyper-V, OpenVZ, etc.) bien que se plaçant à des niveaux différents (virtualisation, para-virtualisation, simple système de conteneurs, etc.) ; on trouve notamment KVM, en vogue dans le monde Linux, et dont l'intérêt majeur est d'être pleinement intégré aux OS récents. C'est sur ce dernier que s'appuie Redhat Deltacloud.

KVM (pour "Kernel Based Virtual Machine") est initialement un dérivé de Qemu (le bien connu système d'émulation) apportant des fonctionnalités de virtualisation ; le monde Open Source connait de nombreux forks mais aussi des regroupements, et ces fonctionnalités ont été intégrées aux sources de Qemu, ce qui simplifiera les évolutions.

Pour les habitués de VMware ou de Xen, notons au passage que KVM n'est pas un hyperviseur ; il s'agit d'une suite d'outils permettant de créer et d'administrer des machines virtuelles sans lien les unes avec les autres, si ce n'est qu'elles fonctionnement au sein de systèmes partagés comme le scheduler du noyau ; pour un fonctionnement avec hyperviseur, on peut utiliser des systèmes comme l'API libvirt.

Voici quelques informations minimales au sujet de cette solution.

KVM dispose d'une ensemble de services réseau intégrés au mode utilisateur (comme un serveur DHCP), notons que :

• le réseau par défaut est 10.0.2.0/8 ;
• la passerelle est en 10.0.2.2 ;
• le serveur de noms est en 10.0.2.3 ;
• le serveur SMB est en 10.0.2.4 ;
• les machines virtuelles sont adressés à partir de 10.0.2.15.

Notons également que plusieurs outils d'administration existent (voir la liste complète), qu'il est possible de travailler avec le switch virtuel vde dont les fonctionnalités sont pleinement supportées, et que LVM peut représenter un bon complément dans certains cas.

Enfin, notons que la version intégrée à Debian Lenny peut poser quelques problèmes (par exemple, l'installation d'une vm s'arrêtait pour ma part à la dernière étape, soit à l'exécution de grub-install) et il est préférable de passer aux packages de Squeeze (le package "qemu-kvm" remplace par la même occasion "kvm").

Passons à l'installation (réalisée pour l'occasion sur une Dedibox).

• Connexion au serveur en SSH (X forwarding + compression), en vérifiant au préalable que votre USER ait des privilèges suffisants au niveau de sudo) :

$ ssh -XC USER@VOTRE_SERVEUR

• Ajout dans /etc/apt/sources.list de :

# squeeze
deb http://ftp.fr.debian.org/debian/ squeeze main contrib non-free
deb-src http://ftp.fr.debian.org/debian/ squeeze main contrib non-free

# squeeze security
deb http://security.debian.org/ squeeze/updates main contrib non-free
deb-src http://security.debian.org/ squeeze/updates main contrib non-free

• Dans /etc/apt/preferences :

Package: qemu-kvm
Pin: release a=testing
Pin-Priority: 999

Package: *
Pin: release a=stable
Pin-Priority: 500

Package: *
Pin: release a=lenny-backports
Pin-Priority: 400

Package: *
Pin: release a=testing
Pin-Priority: 200

• Puis :

# aptitude install bridge-utils qemu-kvm

• Vérification de la présence des modules :

$ lsmod|grep kvm
kvm_intel 37600 0
kvm 213196 1 kvm_intel

• Téléchargement d'un media d'installation de Debian Lenny 64 :

$ mkdir installs && cd installs
$ wget http://cdimage.debian.org/debian-cd/5.0.5/amd64/iso-cd/debian-505-amd64-netinst.iso

• Création d'un disque virtuel de 30Go, au format qcow2 :

$ sudo kvm-img create -f qcow2 /home/vms/srv01-vm01.qcow 30G

• Le format qcow2 est nécessaire aux fonctionnalités de type snapshot. Si vous ne choisissez pas le format qcow2, le disque virtuel sera créé au format raw. Pour convertir un tel disque ou un disque au format qcow au format qcow2, vous pouvez utiliser la commande (comptez 15 minutes pour un disque de 30 Go) :

$ qemu-img info /home/vms/srv01-vm01.qcow
image: /home/vms/srv01-vm01.qcow
file format: qcow
virtual size: 30G (32212254720 bytes)
disk size: 2.0G
cluster_size: 4096

$ kvm-img convert -O qcow2 /home/vms/srv01-vm01.qcow /home/vms/srv01-vm01.qcow2

• Lancement de l'installation :

$ sudo kvm -no-kvm -k fr -hda /home/vms/srv01-vm01.qcow2 -cdrom ~/installs/debian-504-amd64-netinst.iso -boot d

• Lancement de la vm (avec 1 vcpu, 128 Mo de RAM, un serveur VNC activé, et le service SSH accessible sur le port 23 via l'adresse IP du serveur) :

$ sudo kvm -no-kvm -k fr -hda /home/vms/srv01-vm01.qcow2 -redir tcp:23::22 -daemonize -vnc localhost:0

• Lancement de la vm, cette fois-ci avec 2 vcpus et 256Mo de RAM :

$ sudo kvm -no-kvm -k fr -hda /home/vms/srv01-vm01.qcow2 -redir tcp:23::22 -daemonize -vnc localhost:0 -smp 2 -m 256

• Après avoir installé un client VNC sur votre poste de travail (par exemple via le package xtightvncviewer sous Ubuntu), vous pouvez vous connectez à la vm :

$ vncviewer -via VOTRE_SERVEUR localhost:0

• Il est alors possible de switcher avec control+alt+1/2/3 entre la console de la vm, le moniteur Qemu, et le port série de la vm.

• Démarrage auto dans /etc/rc.local :

+ /usr/bin/kvm -no-kvm -k fr -hda /home/vms/srv01-vm01.qcow2 -redir tcp:23::22 -daemonize -vnc localhost:0
+
exit 0

• Pour créer un snapshot dans le moniteur Qemu, vous pouvez exécuter :

(qemu) savevm snap1

• Pour visionner vos snapshots :

(qemu) info snapshots

• Pour le restaurer en temps réel, depuis le moniteur Qemu :

(qemu) loadvm snap1

• Si votre vm n'est pas up et ne démarre plus, vous pouvez également le restaurer en ligne de commande :

$ sudo kvm -no-kvm -k fr -hda /home/vms/srv01-vm01.qcow2 -redir tcp:23::22 -daemonize -vnc localhost:0 -loadvm snap1

Je suis tombé récemment sur un nouveau prix de l'ISOC, le Itojun Service Award, un hommage bien mérité...

Ce blog n'existait pas encore, et voici pour l'historique un très bon article sur le sujet, intitulé Silver Needle in the Skype (par Philippe BIONDI et Fabrice DESCLAUX - EADS CCR/STI/C) ; le fonctionnement du protocole y est décrypté (process debugging, Softice, etc.) et une technique de filtrage (via Netfilter et u32) est également expliquée.

Les utilisateurs d'OpenBSD pourront quant à eux se référer à l'article Blocking Skype Using Squid and OpenBSD (par rootn0de) mais je n'ai pas eu l'occasion de tester cette technique.

En complément, il est utile de préciser que ce générateur est écrit en Perl, et que certains de ces papiers ont pu être acceptés dans le cadre d'évènements scientifiques... Bonne découverte

Au programme aujourd'hui, "On the Investigation of the Internet" (PDF).

Vous pouvez retrouver le communiqué officiel sur le blog de Bob Sutor, vice-président de la division Linux et Open Source d'IBM.

L'accès à l'API est restreint via le protocole OAuth, on peut voir quelques exemples ci-dessous.

• L'installation est très rapide, exemple sur un système Ubuntu :

# aptitude install python-gdata
# dpkg -i googlecl_0.9.7-1_all.deb

• Lancement :

$ google
Did not find config / preferences file at /home/alexandre/.googlecl/config
... making new one.
> help
Welcome to the Google CL tool!
Commands are broken into several parts: service, task, options, and arguments.
For example, in the command
"> picasa post --title "My Cat Photos" photos/cats/*"
the service is "picasa", the task is "post", the single option is a name of "My Cat Photos", and the argument is the path to the photos.
The available services are 'picasa', 'blogger', 'youtube', 'docs', 'contacts', 'calendar'
Enter "> help <service>" for more information on a service.
Or, just "quit" to quit.

• Le fichier de configuration nouvellement créé ressemble à :

[DOCS]
spreadsheet_format = xls
format = txt
spreadsheet_editor = openoffice.org
presentation_format = ppt
presentation_editor = openoffice.org
document_format = txt
user = alexandre.anriot

[PICASA]
access = public

[CONTACTS]
list_style = title,email
user = alexandre.anriot

[GENERAL]
regex = True
date_print_format = %b %d %H:%M
delete_by_default = False
missing_field_value = N/A
tags_prompt = False
list_style = title,url-site
delete_prompt = True
url_style = site

• Récupération de la liste des documents stockés dans votre espace Google Docs :

> docs list
Please specify user: alexandre.anriot
Please log in and/or grant access via your browser at https://www.google.com/accounts /OAuthAuthorizeToken?oauth_token=4%2FYgIEarHcmp_3MPUdjFbtOYXorog then hit enter.
>

• Lors du premier accès aux données d'une application Google, le fait d'accéder aux ressources d'un profil Google entraîne l'apparition dans votre navigateur d'une demande d'autorisation d'accès à ces informations. Si vous l'acceptez, l'autorisation est mémorisée et peut si besoin est être supprimée par la suite.

• Récupération de la liste des contacts du carnet d'adresses Gmail :

> contacts list

Test,test@atlantilde.com

Pour précision, il s'agit d'une architecture i386, et les remarques ci-dessous sont adaptées à un media de type CompactFlash, et non à un disque dur 2,5" ou à une architecture diskless.

Voici les trois méthodes d'installation que j'ai eu l'occasion d'utiliser :

• Boot PXE + port console + installation traditionnelle de l'OS : c'est probablement la méthode la plus simple, mais également la moins recommandée à mon sens ; en effet, vous installez un système OpenBSD complet, sans prendre en compte les spécificités de cette plateforme de type embarqué (briques logicielles inutiles, écriture de nombreux logs, liste complète des drivers intégrée au noyau, etc.) ;

• Flashdist ou Opensoekris (dérivé) : la logique est différente car cette fois, il s'agit d'utiliser un script (et l'arborescence OpenBSD locale) afin de copier les briques nécessaires au fonctionnement de votre carte Soekris directement sur la carte CompactFlash, par exemple via un lecteur USB. De cette manière, un noyau sera compilé / copié, ainsi que la liste de binaires programmée, et les configurations que vous aurez placé dans le répertoire du kit d'installation seront également mises en place. J'ai utilisé cette méthode à mes débuts mais j'ai rapidement opté pour l'alternative Flashboot ;

• Flashboot : c'est la méthode que je préconise. En effet, ce système est à installer depuis un poste de travail traditionnel, il faut simplement qu'il soit doté de l'OS que vous souhaitez installer sur la carte Soekris. Ainsi, vous allez pouvoir compiler un kernel, choisir certaines options, ajouter vos réglages et d'éventuels binaires, etc. Après une phase de crunchgen, vous serez en mesure de déposer sur votre carte CompatFlash un ramdisk bsd.rd prêt à l'emploi (il devra juste être accompagné d'un boot.conf fonctionnel ;

Si cet article suscite des interrogations, n'hésitez pas à me contacter

Tous les détails sur cette nouvelle release sont disponibles dans les release notes.