Domaines et haute disponibilité
Olfeo On premises est conçu pour être utilisé en "domaine" composé d'une machine maître et de machines esclaves, où le maître pilote la configuration et centralise les logs de trafic tandis que les esclaves gèrent le trafic lui-même.
 |
L'usage en domaine permet d'adresser simplement de nombreux cas d'usages. Parmi ces cas :
Administrer de façon centralisée la sécurité web d'utilisateurs répartis sur différents sites physiques
Assurer une haute disponibilité du service de filtrage
Assurer des niveaux de services différents (filtrage DNS et filtrage explicite)) pour différentes populations d'utilisateurs.
Un domaine Olfeo On premises est un groupe de machines Olfeo On premises partageant une même configuration (liste des utilisateurs, politiques de filtrage, règles du moteur, authentification, pages de blocage personnalisées, script de proxy, règles ACL…) fonctionnant en système maître-esclaves.
Le maître sert à administrer la configuration de votre installation. Il centralise les journaux de navigation des utilisateurs et permet de calculer les statistiques.
Les esclaves assurent le filtrage et l'analyse du trafic ainsi que l'authentification des utilisateurs. La configuration définie sur le maître est répliquée et maintenue à jour.
Un domaine Olfeo On premises garantit ainsi :
Un point central de gestion des configurations, de centralisation des journaux de trafic et d'exploitation statistique de ces derniers.
Une homogénéité de la configuration sur toutes les machines esclaves : elle est partagée de manière synchrone et les modifications sont répliquées automatiquement sur tous les membres du domaine Olfeo On premises.
C'est aussi un prérequis à la mise en place d'une stratégie de Haute disponibilité du service de proxyfication et de filtrage.
Avant de démarrer, assurez-vous d'avoir considéré avec attention les gabarits de machines nécessaires.
Important
Si l'usage d'Olfeo On premises en mode "autonome" est bien sur possible (la machine est à la fois maître et esclave), l'usage en domaine est cependant très vivement recommandé pour les installations de production .
Quelques éléments à savoir :
Le domaine comprend une seule hiérarchie : une machine maître ne peut pas être esclave d'un autre maître.
Il n'y a pas de limite au nombre d'esclaves liée à la licence. Vous pouvez installer autant d'esclaves que nécessaire.
Tous les types d'intégration sont compatibles avec les domaines Olfeo On premises. Un domaine peut comprendre un mélange de modes d'intégration. Tous les paramétrages propres aux différents modes d'intégration devront être faits sur le maître (connecteurs, configuration du proxy...).
La configuration locale (configuration des différents services partagés entre maître et esclaves) des esclaves est stockée sur le maître et répliquée sur les autres esclaves.
Seuls quelques paramètres sont "locaux" et peuvent être configurés spécifiquement sur un esclave (hostname, NTP ou DNS dans certains cas spécifiques, jonction au domaine windows notamment).
Les logs et les statistiques sont disponibles uniquement sur la machine maître.
Dans l’extracteur de logs, si vos Olfeo On premises sont intégrés en mode proxy, le champ proxy_id indique la machine ayant reçu le flux. Dans les autres modes d'intégration, il n'est pas possible de connaître la machine.
Un esclave peut continuer à fonctionner (proxyfication, filtrage, analyse de contenus) si le maître est indisponible : toutefois, cette situation n'est pas souhaitable sur la durée. En effet dans ce cas de figure :
Les modifications de configuration ne sont plus propagées.
Les changements intervenant sur les annuaires (ajout/suppressions de groupes ou d'utilisateurs) ne sont pas répercutés.
Les journaux de trafic des utilisateurs ne sont plus centralisés sur le master et sont perdus.
La signature de chartes informatiques n'est plus possible.
L'ouverture de quotas (7.8.1 et supérieures) n'est plus possible.
Toutes les machines doivent avoir la même version. Si vous devez faire une mise à jour, mettez à jour toutes les machines à la suite, en commençant par le maître.
Les éventuels pare-feux situés entre le maître et les esclaves doivent permettre les connexions TCP sur les ports indiqués dans la matrice de flux.
Tant qu'aucun esclave n'est déclaré et joint, la machine reste autonome (elle maintient la configuration et le proxy est actif: elle est maître et esclave à la fois), c'est la jonction d'un esclave à une machine autonome qui transformera alors cette dernière en master.
Usage en mode autonome
Il est possible d'utiliser Olfeo On premises en mode autonome.
Toutefois cet usage devrait rester limité à des contextes d'évaluation ou pour de très petites installations avec peu d'utilisateurs. Veuillez noter également, qu'il n'est pas possible dans ce cas d'avoir de haute disponibilité du service.
Pour ajouter un esclave à votre domaine :
Déclarez l'esclave sur votre machine maître. Rendez-vous sur la page > et renseignez les informations requises :
Nom : un nom signifiant pour vous
(facultatif) : une description pour ajouter du détail
IP de l'esclave
IP du master, vue de l'esclave
Si l'esclave doit passer par un proxy parent pour accéder à internet pour le trafic administratif, activez l'option et renseignez les informations requises
Le cas échéant, indiquez un serveur DNS spécifique, s'il doit être différent de celui du maître.
Cliquez sur . L'esclave est créé, un identifiant de membre lui est attribué. Vous êtes redirigé vers la page de gestion du domaine.
Cliquez sur l'icône
pour téléchargez le fichier de configuration de l'esclave (à utiliser ensuite dans l'assistant de configuration initiale de cet esclave).Instanciez la machine et configurez-la en tant qu'esclave via l à son assistant de configuration.
A l'issue de la configuration, la machine est automatiquement jointe et la configuration synchronisée. Votre esclave est prêt à filtrer. Dans la page de gestion du domaine, le statut est passé de 
à 
.
Le principe même du mode domaine fait qu'il y a très peu d'éléments configurables localement pour un esclave.
Les éléments configurables sont les suivants :
Configuration "Système" :
Hostname
Date & heure : synchronisation NTP
Serveur DNS
Jonction au domaine Windows
Proxy parent pour les flux administratifs
Configuration de l'accès au serveur de pages de blocage/sensibilisation
Configuration de la supervision externe : syslog & SNMP
Consultation des éléments de supervision interne de l'esclave: Journaux, tâches, services
Mise à jour et réinitialisation
Pour configurer ces éléments, connectez-vous à l'interface d'administration local de l'esclave avec un des comptes administrateur que vous avez défini pour le maître.
Comptes administrateurs provisionnés
Remarque pour les comptes administrateurs provisionnés : tant que l'esclave n'est pas joint au domaine Windows de l'annuaire, l'authentification ne sera pas possible. Utilisez un compte administrateur local.
Pour supprimer un esclave du domaine :
Rendez-vous à la page → et affichez la liste des esclaves de votre domaine
Cliquez sur l’icône de suppression de l'esclave.
Prenez connaissance de l'avertissement et confirmez la suppression.
Supprimez ensuite la VM de votre hyperviseur
Gérer le chiffrement des communications intra-domaine
A compter de la version 7.8, toutes les communications intra-domaine sont chiffrées par défaut.
Pour résoudre certains problèmes spécifiques ou dans des situations de rétro-compatibilité avec des installations antérieures, il est possible de désactiver le chiffrement complet des communications.
Avertissement
Un redémarrage des services est nécessaire et coupera les éventuelles connexions actives. Soyez vigilants aux impacts sur le trafic de vos utilisateurs finaux si vous devez réaliser cette opération sur une installation de production.
Cliquez sur l’icône de modification du chiffrement des communications.
Désactivez le chiffrement et cliquez sur .
La page de patience est affichée pendant le redémarrage des services. Vous êtes ensuite redirigé vers la page d'authentification.
Dans un domaine Olfeo On premises le filtrage du trafic est assuré par les esclaves tandis que le maître pilote la configuration et centralise les journaux de navigation générés par les esclaves.
Ainsi, en production et selon son rôle (maître ou esclave), une VM Olfeo On premises pourra nécessiter des ajustements de la taille des disques par rapport à ses caractéristiques par défaut (30 Go par disque).
Par défaut, l'image des machines virtuelles d'Olfeo On premises est configurée avec des propriétés par défaut (disques, RAM, CPU interfaces réseau) que vous devez adapter à votre contexte opérationnel. Retrouvez ci-dessous des exemples de gabarits pour vos machines ainsi que la procédure à suivre pour ajuster la taille des partitions le cas échéant.
Les gabarits donnés ci-dessous le sont à titre d'exemple pour un usage d'Olfeo On premises avec une intégration en proxy explicite. N'hésitez pas à contacter notre équipe Consulting ou Support en cas de besoin.
Rappel des rôles dans le domaine
Maître (master) : le rôle du maître étant de maintenir les configurations des esclaves, de centraliser et de gérer les journaux et statistiques, l'accent doit plutôt être mis sur la RAM et la taille des disques dédiés au stockage des journaux de navigation.
Esclaves (slaves) : le rôle des esclaves étant d'authentifier, de proxyfier, de filtrer et d'analyser le trafic, l'accent est plutôt à mettre sur le CPU.
Dimensionnement
Les disques sont pré-configurés en thin provisionning, c'est à dire qu'ils n'occupent réellement le volume indiqué que lorsqu'ils sont effectivement pleins.
Nb utilisateurs | Rôle | vCPU | RAM | Disques | Interfaces réseau |
|---|---|---|---|---|---|
Image par défaut | N/A | 4 | 16 |
| 4 disponibles |
500 | 1 Master | 4 | 16 |
| 2 |
2 Slaves | 8 | 8 |
| 2 | |
1 000 | 1 Master | 4 | 16 |
| 2 |
2 Slaves | 8 | 8 |
| 2 | |
2 500 | 1 Master | 6 | 32 |
| 2 |
4 Slaves | 8 | 16 |
| 2 | |
5 000 | 1 Master | 6 | 32 |
| 2 |
6 Salves | 8 | 16 |
| 2 |
Pour redimensionner les disques d'une machine, procédez comme suit :
Dans votre hyperviseur, commencez par éteindre la machine ciblée puis définissez la taille de disque souhaitée.
Rallumez la machine.
Connectez-vous en SSH et lancez la commande
/opt/olfeo/bin/olfeo-resize-part /opt/olfeo/data/[partition-name](où partition-name correspond à la partition associée au disque que vous avez agrandi).Olfeo On premises va alors éteindre tous les services, redimensionner la partition du disque au maximum d'espace alloué pour le disque puis redémarrer les services.
Cette opération peut prendre plusieurs minutes selon l'importance du redimensionnement.
Attention
Si vous diminuez la taille d'une partition, procédez avec prudence : en-deçà du volume de données réel, vous perdrez des données.
D'une façon générale, sauvegardez un instantané (snapshot) de votre machine virtuelle avant de procéder.
Olfeo On premises peut être configuré pour assurer une haute disponibilité du service de proxyfication ou de filtrage.
La gestion de la Haute disponibilité d'Olfeo On premises s'appuie sur le protocole VRRP au sein de "Zones de Hautes disponibilité", configurables dans la page de gestion de votre domaine de machines Olfeo On premises.
Les Zones de Haute disponibilité permettent d'assurer la disponibilité des services Olfeo à l'aide d'adresses IP virtuelles. Sur chaque membre d'une zone, une adresse IP virtuelle est attribuée ainsi que l'adresse IP de backup d'une autre machine membre de la zone. Ainsi lorsqu'un membre d'une zone de Haute disponibilité est indisponible, son adresse IP virtuelle est alors basculée sur le membre de backup.
En fonctionnement nominal, une zone de Haute disponibilité Olfeo On premises peut être utilisée indifféremment en mode actif/actif ou actif/passif.
Une zone de haute disponibilité est un ensemble de machines membres d’un domaine Olfeo et partageant des adresses IP virtuelles afin d’offrir un service de haute disponibilité de filtrage.
 |
Les zones de haute disponibilité du domaine Olfeo utilisent le protocole VRRP (Virtual Router Redundancy Protocol) : des "messages de vie" VRRP sont échangés à intervalle régulier entre les différents membres de la zone via multicast pour vérifier la disponibilité des machines et déclencher la bascule le cas échéant.
Dans une Zone de Haute disponibilité, chaque membre dispose d’une adresse IP virtuelle en plus de son adresse IP réelle (physique).
Pour la gestion des différents nœuds, un ID VRRP est attribué au premier membre et s’incrémente pour chaque membre supplémentaire.
Prérequis
Le protocole VRPP doit donc être autorisé sur les commutateurs physiques et virtuels de votre réseau.
Les échanges entre les membres des zones de haute disponibilité ne doivent pas être bloqués par vos pare-feux.
Conditions de bascule des vip
Le basculement d’une adresse IP virtuelle d’un membre à un autre membre peut se produire dans les circonstances suivantes :
Défaillance réseau
Défaillance des services proxy (squid), filtrage (filtering) d'Olfeo On premises
Répartition de charge et de trafic
La répartition de trafic entre les différents membres d’une Zone de Haute disponibilité peut être réalisée à l’aide :
D’un enregistrement DNS résolu alternativement avec les différentes adresses IP virtuelles (tourniquet / round-robin DNS)
D’un répartiteur de charge tierce
D’un script de proxy contenant des fonctions de répartition de charges basée sur le hash de l’URL, l’IP source du client, etc.
Points d'attention et avertissements
Lorsqu'un membre est indisponible, la machine recevant l'adresse IP du membre défectueux voit son trafic se multiplier. Il est donc capital d'organiser votre réseau en anticipant les conséquences de ce trafic supplémentaire pouvant survenir lors d'une défaillance.
D'autres équipements sur le réseau sont susceptibles d'utiliser VRRP. Afin de ne pas créer de conflit, veuillez à ne pas utiliser un ID VRRP déjà utilisé ou figurant dans les identifiants des membres de votre Zone de Haute disponibilité.
Les zones de haute disponibilité d'Olfeo On premises ne couvrent pas les défaillances de systèmes dont Olfeo On premises dépend (disponibilité d'un serveur d'authentification par exemple).
La création d’une Zone de Haute disponibilité est possible depuis l'interface d'administration du domaine Olfeo, dès lors qu'au moins un esclave est déclaré.
Créer une Zone de Haute disponibilité
La création d'une Zone de Haute disponibilité est réalisée en 3 étapes :
A l'étape 1, saisissez un nom et une description éventuelle dans les champs Nom et Description.
A l'étape 2, sélectionnez les membres du domaine Olfeo à inclure dans la Zone de Haute disponibilité.
Astuce
Si vous utilisez une authentification forte de type Kerberos ou NTLM, assurez-vous que l'ensemble des membres de votre zone soient bien joints au même domaine Windows : sans quoi, l'authentification ne serait plus fonctionnelle en cas de bascule sur une machine non-jointe.
Avertissement
S’il est possible d’utiliser aussi la machine maître comme esclave dans une zone de Haute disponibilité, cette configuration n’est pas recommandée et devrait n‘être utilisée que sur de petites installations.
A l'étape 3, définissez :
un secret qui sera partagé par les membres de la Zone de Haute disponibilité pour les messages de vie.
le premier ID VRRP à utiliser.
'l'interface d'écoute des signaux de vie des machines. Cette interface doit être présente sur chaque machine de la zone !
une IP virtuelle pour chaque machine membre de la zone.
Enregistrez
La page du domaine s'affiche avec la Zone créée. La Zone de Haute disponibilité est automatiquement active.
Consulter le détail d'une Zone de Haute disponibilité
Depuis la page ,, la liste des machines esclaves membres du domaine sont listées avec leur IP réelle et leur statut de jonction au domaine. Cliquez sur le bandeau de nom d'une Zone de Haute disponibilité pour afficher son détail dans le volet latéral.
 |
Modifier une Zone de Haute disponibilité
Cliquez sur la commande d'édition d'une Zone de Haute disponibilité pour accéder à l’assistant d'édition de la Zone de Haute disponibilité.
Attention: si vous modifiez l'interface d'écoute des machines, veillez à ce que l'ensemble des machines disposent d'une telle interface.
Cliquez sur Enregistrer pour valider vos modifications ou annuler pour sortir de l'assistant sans modification.
Supprimer une Zone de Haute disponibilité
Supprimer une Zone de Haute disponibilité peut être fait à n'importe quel moment et n'a aucune incidence sur le trafic de vos utilisateurs. Toutefois, plus aucune redondance n'est alors assurée.
Cliquez sur la commande de suppression et confirmez l'action dans la modale qui apparaît.
Pensez à vérifier les éventuels impacts sur les mécanismes de répartition de charge que vous auriez pu définir par ailleurs (répartiteurs tiers, configuration DNS ou proxypac par ex.).