Alt linux сервер виртуализации установка настройка

Обновлено: 07.07.2024

Имеем:

  • сеть с тремя подсетями:10.0.0.0/24, 10.0.10.0/24, 10.0.20.0/24.
  • выход во внешний мир (есть спул адресов 192.168.100.16/28, т.е. у нас 14 внешних адресов).
  • компьютер с двумя сетевыми картами.

Хотим: получить полностью функциональный Интернет-сервер со следующими возможностями (см содержание):

Установка ОС, настройка маршрутов

Раздел Объём
swap 2000 Mb
/ остаток

Можно для надёжности создать RAID массив. Мы рассмотрим простой случай - софтверный RAID1 (зеркало). Софтверный потому что далеко не всегда удаётся найти драйвера для raid-контролллера, а если и находится, то ещё реже удаётся найти второй такой контроллер в случае выхода первого из строя, а это значит, что всю информацию мы теряем. Cофтверный RAID, где роль контроллера выполняет сама ОС, таких недостатков лишён. Для RAID1 понадобится два жёстких диска, крайне желательно одной модели. Система даст им обозначения sda и sdb (или hda, hdb если интерфейс IDE).

Последовательно выполняем шаги:

  1. Для каждого диска создаём одинаковое количество разделов, одинакового размера. В нашем случае sda1=sdb1=2Gb и sda2=sdb2=73Gb. Тип файловой системы для каждого раздела Linux RAID
  2. Добавляем созданные разделы к RAID
    1. Создать RAID. MD - устройство уровня RAID1. Выделяем объекты sda1, sdb1. Выбираем файловую систему swap. Создаётся устройство md0
    2. Создать RAID. MD - устройство уровня RAID1. Выделяем объекты sda2, sdb2. Выбираем файловую систему ext2/3. Точка монтирования "/". Опции = default. Создаётся устройство md1

    4) Для дистрибутива Alt Linux 4.х Desktop выбираем тип установки: сервер.

    5) Устанавливаем загрузик в md1.

    6) Задаём пароль для Администратора системы (пользователь root).

    7) Заводим системного пользователя, например, pavel.

    8) Выбор групп пакетов: SMTP server, Proxy, NTP, POP3/IMAP, FTP.

    9) Настраиваем сетевые карты. Интерфейс eth0 для локальной сети настроим позже, сейчас настраиваем доступ в Интернет через eth1 на закладке "IP интерфейсы":

    • СтавиМ крестик на "Интерфейс включен"
    • IP-адрес 192.168.100.18
    • Маска сети 255.255.255.240
    • Шлюз: 192.168.100.17

    На закладке "Общие сетевые настройки":

    10) Выбираем часовой пояс.

    - После перезагрузки заходим пользователем root. Проверяем работоспособность сетевых настроек. Для этого пингуем адреса Интернета и проверяем внешний DNS сервер пингуя какой-нибудь узел по имени (само сабой мы должны быть 100% уверены, что все эти ресурсы сейчас доступны):

    Если пинги не проходят, то, скорее всего, проблема с сетевой картой.

    Например, 3Com 3C905-TX не единожды себя компрометировала тем, что вроде бы работает и даже пингует сама себя, но в сеть через неё выходить не удавалось.

    - Доустанавливаем столь необходимый Midnight Commander:

    - Обновляем установленную ОС через Интернет (не обязательно, но желательно). Перед обновлением раскомментируем источники обновления на Master и Sisyphus (в последнем могут быть нестабильные пакеты, т.ч. сомневающиеся могут оставить этот источник закоментированным, но там находится более свежее ПО), перечисляемые в /etc/apt/sources.list.d/server.alt.list.

    Если сервер сейчас не имеет прямого подключения к Интернет, то можно обновиться и через прокси-сервер. Для этого определим переменные окружения:

    Если прокси требует пароля, то:

    начинаем полное обновление системы:

    - Добавляем маршруты между нашими подсетями, где 10.0.0.1 маршрутизатор между локальными подсетями:

    Оба синтаксиса команд эквивалентны. Добавим эти строки в конец файла /etc/rc.d/rc, чтобы команды выполнялись при загрузке ОС.- Обновлять и доустанавливать пакеты можно и без доступа в интернет. Как это настроить можно узнать, прочитав Решение проблем в Linux

    - Настраиваем eth0. В /etc/net/ifaces/eth0/options:

    Применяем настройки и проверяем, пингуя локальную станцию:

    - Теперь можно заходить на сервер с рабочего места администратора по протоколу ssh, если из Windows, то можно использовать PuTTY (см статью Терминальное подключение к серверу Linux с помощью ключей ssh без паролей). Подключаемся пользователем pavel и меняем пользователя на root:

    В Alt Linux 4 настройка некоторых параметров системы и служб значительно упростилась благодаря использованию альтераторов (alterator), позволяющим делать это через web-интерфейс. Посмотрим, что уже установлено:

    Посмотрим, что вообще есть:

    Можно удалить некоторые ненужные альтераторы:

    Теперь можно зайти на страницу администрирования по адресу https://10.0.0.2:8080, указав имя ползователя "root". На данном этапе посетим только следующие страницы:

    1. "Web-интерфейс - Сервер" редактируем параметры сертификата и пересоздаём его, нажав соответсвующую кнопку. Нажимаем кнопку "Перезапустить HTTP-сервер"
    2. "Статистика - Сетевой трафик" . Запускаем службу и включаем в автозапуск.
    3. "Дата и Время" - "Дата и Время". Проверем, что правильно установлены дата и время.

    Firewall (брендмауэр). iptables

    - Делаем из компьютера маршрутизатор. Раньше для этого нужно было изменить 0 на 1 в /proc/sys/net/ipv4/ip_forward. Теперь, когда для управления сетевыми настройками используется проект etcnet, нужно указать в /etc/net/sysctl.conf:

    - На этом можно закончить шаг 2 и приступить к шагу 3, а можно дать доступ к Интернету для наших пользователей в локальной сети. Для этого добавим правило прямого доступа (без прокси сервера) к Интернет для адреса 10.0.0.244

    или для всей подсети

    Параметр MASQUERADE равен SNAT --to 192.168.100.18, но не привязывается к IP адресу, что удобней, однако у меня были случаи когда с ним правило не работало, а с IP адресом работало. В причинах я не разбирался, но имейте в виду при отладке.

    - Проверяем добавленную запись

    - Если ошиблись, то удаляем, изменяем и прописываем заново

    где 1 это номер правила по порядку, или удаляем все правила из таблицы POSTROUTING

    - В целях отладки можно добавить правило выпускающее команды ping и traceroute от клиентов во внешний мир

    - Запомнить конфигурацию файрвола можно командой iptables-save, восстановить iptables-restore, хранится она в /etc/sysconfig/iptables.

    - После установки прокси-сервера нужно не забыть добавленные правила убрать, иначе останется возможность попадать в Интернет в обход прокси.

    DNS. Bind

    - Устанавливаем пакет bind

    - Добавляем DNS серверы на административной странице (в веб интерфейсе) "Сеть" - "Общие настройки сети" или в файле /etc/resolv.conf:

    FTP-сервер. vsftpd

    • В Alt Linux vsftpd можно настроить через альтератор в web-интерфейсе. Зайдя на страницу "Серверы - Сетевой суперсервер", убираем ограничение "только с адресов" (оставляем поле пустым). На странице "Серверы - FTP-серве" ставим нужные галочки в "Общих настройках" (у меня все кроме анонимного пользователя), нажимаем "Принять". Добавлем локального пользователя и даём ему право на запись.

    Прокси. Squid

    • Автоматизировать загрузку squid при старте компьютера можно через альтератор в web-интерфейсе.
    • На административной веб-странице "Серверы - Прокси-сервер" добавляем squid в автозапуск.
    • Можно установить альтератор для lightsquid:

    но там статистика будет не столь подробная, как если его устанавливать отдельно.

    Web-сервера. Apache

    - На ряду с административным защищённым веб-сервером у нас будет работать и обычный. Для этого на административной странице переходим: "Серверы - Web-сервер - запустить. службу". Не забудем поставить галочку на "Запуск при старте системы".

    См. также статью Apache.

    СУБД. MySQL

    - Можно посмотреть как он запустился в /var/log/mysql/info:

    - Подсоединяемся к служебной базе MySQL c одноимённым названием:

    - Меняем пароль рута на new_pass (или другой) и выходим. Служебная команда PASSWORD зашифровывает пароль.

    - Подсоединяемся к серверу ещё раз, только теперь с паролем

    - Из таблицы user удаляем запись пользователя '%' и (какая есть), т.к. эта запись предоставляет доступ любому пользователю.

    - Проверим, осуществляется ли автоматический запуск mysqld:

    видим, что нет. Добавляем и проверяем:

    ещё раз добавляем и проверяем:

    mysqld 0:off 1:off 2:on 3:on 4:on 5:on 6:off

    - Смотрим журнал /var/log/mysql/info. Заметим, что теперь прослушивается порт 3306:

    Несколько полезных команд

    Больше информации в спец статье по MySQL.

    Почтовый сервер. Postfix

    См. также как Postfix устанавливается под Debian. Большинство настроек схожи

    Установка Postfix c поддержкой TLS и MySQL

    - Начиная с версии 2.2 поддержка TLS встроена в Postfix. Список поддерживаемых баз данных можно узнать выполнив:

    - Доустанавливаем поддержку MySQL:

    К сожалению, в Alt Linux даже после установки этого пакета, информация, выдаваемая postconf не обновилась (в отличае от Debian).

    - Заводим пользователя vmail:

    - Проверяем какой номер пользователя (uid) и группы (gid)в ситсеме:

    - Вносим изменения в /etc/postfix/main.cf. Обратите внимание, что перед названием параметра не должно быть пробела или табуляции, иначе (как я выяснил на собственном опыте) параметр игнорируется:

    - По умолчанию Postfix ограничивает размер почтового ящика 50 Мб и максимальный размер письма 10 Мб. Если нужно изменить эти параметры, то добавляем (исправляем если есть) строки:

    - Создаём виртуальный домен. Для этого добавляем следующие строки, учитывая что у нас пользователь vmail имеет uid=501 и gid=504 (если нет, то подставить свои):

    - Создадим указанный каталог для спула:

    - Создадим файлы доступа к MySQL. Пользователь postfixadmin будет создан позже, при установке Postfix Admin. Создаём файл /etc/postfix/virt_alias.cf:

    - Создаём файл /etc/postfix/virt_mailbox.cf:

    - Создаём файл /etc/postfix/transport.cf:

    указывая в hosts IP адрес, мы принуждаем Postfix соединяться с MySQL через порт, если же указать localhost, то он будет стараться соединиться через сокет, а так как оба чрутятся в разные каталоги, то найти сокет он не сможет и выдаст в /var/log/maillog ошибку:

    - Чтобы проверить, что мы задали верные параметры соединения с базой, выполним:

    - В /etc/postfix/master.cf убираем комментарии со строк (второй строки может не быть):

    - Посмотреть настройки Posfix, отличающиеся от настроек по умолчанию, можно командой:

    Так мы можем убедиться, что все заданные параметры вступили в силу, если нет, то скорее всего при его определении мы не убрали перед ними пробелы.- Перезапускаем Postfix:

    Postfix Admin

    Устанавливаем Postfix Admin для управления почтовыми ящиками через веб-интерфейс

    -Доустанавливаем пакет работы со строками для PHP и telnet для проверки:

    - Распаковываем и копируем всё содержимое каталога postfixadmin-2.2.0 в /var/www/apache2/html/postfixadmin:

    - Можно сделать резервную копию всех таблиц в виде SQL выражений. Для этого на странице администратора нажать кнопку Backup.

    - Теперь в консоли проверяем как работает доставка почты, т.е. smtp:

    Шифрование соединения и принимаемой почты.

    - Для шифрования параметров аутонтификации (по умолчанию имя пользователя и пароль передаются открытым текстом) доустанавливаем поддержку TLS:

    Если возникла ошибка:

    То, согласно подсказкам, выполняем:

    - Конфигурируем Postfix. Добавляем настройки tls в /etc/postfix/main.cf:

    - В случае сбоев смотреть лог-файл:

    - Для выхода из less нажмите q.

    ClamAV (проверка почты на вирусы)

    - Устанавливаем антивирус ClamAV:

    - Смотрим в файле /etc/clamsmtpd.conf какой порт clamsmtpd прослушивает (Listen) и на какой отдаёт обратотанную почту (OutAddress)

    - Добавляем в /etc/postfix/main.cf:

    - Добавляем в /etc/postfix/master.cf:

    На этом с Postfix всё. Можно ещё раз проверить с помощью telnet, что почта, проходя через антивирусную защиту, доходит в ящик пользователя.Дополнительную информаци по настройке postfix, защите от спама и полезные ссылки смотрите в дополнительной статье по Postfix.

    Courier-IMAP с поддержкой MySQL.

    Сourier-IMAP отвечает за отдачу почты пользователю. Исходники можно взять с ftp://ftp.andrew.cmu.edu/pub/cyrus-mail/

    Устанавливаем Courier.

    Выполняем предложенные команды:

    - Настраиваем доступ к БД MySQL. Для этого добавляем поддержку установленного модуля в /etc/courier-authlib/authdaemon.conf:


    - Редактируем файл /etc/courier-imap/imapd:

    - Редактируем файл /etc/courier-imap/pop3d:

    - Проверяем можем ли забрать почту, т.е. работоспособность pop3:

    Как видим, одно письмо на 470 байт лежит. Можно его просмотреть командой retr 1 (конечно перед quit)

    Устанавливаем Cyrus-SASL2 для шифрования отдаваемой почты.

    - Расскажем SASL, где и как искать пароли, когда к нему обратится postfix. Аутонтификацию будем проводит методом saslauthd. Для этого создадим файл /usr/lib/sasl2/smtpd.conf следующиго содержания:

    - Альтернативный метод - auxprop. Чтобы использовать его, нужно в /usr/lib/sasl2/smtpd.conf прописать:

    Создаём сертификат

    - Если в /var/lib/ssl/certs/ лежат файлы pop3d.pem и imapd.pem, то это и есть сертификаты и они уже созданы, чтобы пересоздать их со своими данными удалим эти файлы и отредактируем /etc/courier-imap/pop3d.cnf, где ST короткое (2-3 буквы) название города:

    - На этом настройка почтового сервиса закончена.

    Полезные ссылки

    Введение сервера в "боевой" режим

    Если мы устанавливали и отлаживали свой сервер, как часто бывает, в тестовом режиме, паралельно с работающим старым сервером, то перед установкой сервера в "боевой" режим нужно внести следующие изменения:

    - Изменить настройки сетевых интерфейсов на боевые (ip адрес, маска, шлюз, DNS).

    - Прописать реальные имена в /etc/hosts.

    - Squid. Внести изменения в конфигурационный файл /etc/squid/squid.conf, чтобы прокси сервер принимал запросы только из локальной сети и компьютера, где установлен:

    Альт Рабочая станция — дистрибутив на базе ядра Linux, включающий в себя операционную систему и набор приложений для полноценной работы, поддерживающий различное дополнительное оборудование. Альт Рабочая станция предназначена для установки как на физические, так и на виртуальные машины. Дистрибутив выпускается в нескольких вариантах исполнения: для x86 (Intel 32- и 64-битных), ARM64 (mini-ITX на отечественном процессоре «Байкал-М», Huawei Kunpeng Desktop, NVIDIA Jetson Nano, Raspberry Pi 3 и Pi 4), e2k и e2kv4 («Эльбрус»), mipsel («Таволга Терминал»), armh.

    Альт Рабочая станция представляет собой решение уровня предприятия, позволяющее осуществить миграцию на импортозамещающее программное и аппаратное обеспечение.

    Дистрибутив Альт Рабочая станция включен в Единый реестр российских программ для электронных вычислительных машин и баз данных. Регистрационный номер ПО: 1292.

    Дистрибутив может использоваться в инфраструктуре Active Directory (аутентификация в домене, доступ к файловым ресурсам и ресурсам печати) и гетерогенной сети под управлением Альт Сервер. Реализована поддержка групповых политик для интеграции в инфраструктуру Active Directory (для архитектуры i586/x86_64).

    Систему можно использовать для решения широкого круга задач:

    Основным языком интерфейса Альт Рабочая станция является русский, также можно выбрать дополнительно другие языки.

    Системные требования для установки Альт Рабочая станция (версия для x86):

    • архитектура: рекомендуется х86_64 (64 бита), допускается х86 (32 бита);
    • оперативная память: от 512 МБ, рекомендуется 4+ ГБ;
    • жёсткий диск: от 16 ГБ, рекомендуется 40+ ГБ;
    • сеть: рекомендуется порт Ethernet;
    • периферийное оборудование: стандартное.
    • архитектура: х86_64 (64 бита);
    • оперативная память: от 1 ГБ, рекомендуется 4+ ГБ;
    • жёсткий диск: от 16 ГБ, рекомендуется 40+ ГБ;
    • сеть: рекомендуется порт Ethernet;
    • периферийное оборудование: стандартное.

    Системные требования для установки Альт Рабочая станция на платформе Эльбрус:

    • архитектура: рекомендуется v4 («Эльбрус-8С/1С+»), допускается v3 («Эльбрус-4С»);
    • оперативная память: штатная комплектация достаточна;
    • жёсткий диск: штатная комплектация достаточна (рекомендуется SSD от 32 ГБ);
    • сеть: рекомендуется порт Ethernet;
    • периферийное оборудование: стандартное (при доступности свободных драйверов).

    Альт Сервер

    Альт Сервер — серверный дистрибутив на базе ядра Linux с широкой функциональностью, позволяющий поддерживать корпоративную инфраструктуру, а также различное дополнительное оборудование. Дистрибутив выпускается в нескольких вариантах исполнения: для x86 (64-битных), AArch64 (Huawei Kunpeng, ThunderX и другие), ppc64le (YADRO, Power 8 и 9, OpenPower), e2k и e2kv4 («Эльбрус»).

    Альт Сервер представляет собой решение уровня предприятия, позволяющее осуществить миграцию на импортозамещающее программное и аппаратное обеспечение.

    Дистрибутив Альт Сервер включен в Единый реестр российских программ для электронных вычислительных машин и баз данных. Регистрационный номер ПО: 1541.

    Система управления сервером имеет более 100 модулей и позволяет работать через графический или веб-интерфейс. Также дистрибутив может использоваться в качестве рабочей станции разработчика.

    Альт Cервер предоставляет 3 вида контроллеров домена:

    • Samba-DC (контроллер домена Active Directory). Рекомендуется для аутентификации рабочих станций под управлением Windows и Linux (гетерогенная сеть). Реализована поддержка групповых политик для интеграции в инфраструктуру Active Directory.
    • FreeIPA. Рекомендуется для аутентификации рабочих станций под управлением Linux. Возможна настройка групповых политик для пользователей.
    • ALT-домен (основан на OpenLDAP и MIT Kerberos). Рекомендуется для аутентификации рабочих станций под управлением Linux.
    • серверы баз данных PostgreSQL, MariaDB;
    • прокси-сервер Squid;
    • web-сервер Apache;
    • почтовые сервера Postfix, Dovecot;
    • сервер антиспама Spamassassin;
    • система мониторинга Zabbix;
    • сервер сетевой загрузки;
    • средства для создания зеркала репозитория для централизованного обновления рабочих мест под управлением Альт Рабочая станция.
    • сервер групповой работы с функциональностью Microsoft Exchange;
    • инструмент для установки и загрузки операционных систем по сети.
    • Системные требования для установки Альт Сервер на платформе x86:
    • оперативная память: от 1 Гб, рекомендуется(1) 8+ Гб;
    • жёсткий диск: от 32 Гб, рекомендуется(2) 200+ Гб;
    • сеть: рекомендуется порт Ethernet;
    • периферийное оборудование: стандартное, возможно использование без монитора.

    Системные требования для установки Альт Сервер на платформе Эльбрус

    • архитектура: рекомендуется v4 («Эльбрус-8С»), допускается v3 («Эльбрус-4С»);
    • оперативная память: штатная комплектация достаточна;
    • жёсткий диск: штатная комплектация достаточна (рекомендуется SSD от 32 Гб);
    • сеть: рекомендуется порт Ethernet;
    • периферийное оборудование: стандартное (при доступности свободных драйверов).

    Альт Образование

    Альт Образование — дистрибутив, ориентированный на использование в образовательных учреждениях.

    Дистрибутив включен в Единый реестр российских программ для электронных вычислительных машин и баз данных. Регистрационный номер ПО: 1912.

    Альт Образование представляет собой совокупность интегрированных программных продуктов, созданных на основе операционной системы Linux. Альт Образование выпускается для следующих аппаратных платформ: x86 (Intel 32/64 бит), AArch64 («Байкал-М», Huawei Kunpeng Desktop, Raspberry Pi 4 и другие), e2k («Эльбрус»).

    Альт Образование полностью соответствует Распоряжению Правительства РФ от 18 октября 2007 г. 1447-р.

    Основные компоненты и их версии

    • ядра Linux 5.4.51 и 5.7.8;
    • языки программирования Perl 5.28, Python 2.7 и 3.7, PHP 7.3, Free Pascal 2.5, java 1.8;
    • GCC 8.4;
    • рабочие среды XFCE 4.14, KDE 5.19;
    • офисный пакет LibreOffice-still 6.3.6;
    • веб-браузер Chromium 83.0;
    • среда запуска унаследованных приложений на Win32 API — WINE 5.0.2;
    • редактор растровой графики GIMP 2.10;
    • векторный редактор Inkscape 1.0;
    • издательская система Scribus 1.5.5;
    • 3D-редактор Blender 2.82;
    • редактор звука audacity 2.3;
    • система компьютерной алгебры wxMaxima 20.02;
    • система численных вычислений scilab 6.0;
    • система решения численных инженерных задач octave 5.2;
    • система управления дистанционным обучением Moodle 3.8.3;
    • wiki-движок Mediawiki 1.34;
    • средство для совместного хранения и обработки документов nextcloud 16.0, nextcloud-client 2.5;
    • подготовка для запуска в среде виртуализации: virtualbox-guest-additions 6.1.8;
    • сервер печати: cups 2.3.1;
    • интеграция с доменом AD: samba 4.11.9;
    • интеграция с доменом FreeIPA: freeipa-client 4.8.6;
    • пакетный менеджер rpm 4.13.
    • Минимальный размер ОЗУ: 512 Мб
    • Рекомендуемый размер ОЗУ: от 1 Гб
    • Место на жестком диске: от 10 до 30 Гб
    • Интеграция рабочих мест учащихся и преподавателя.
    • Возможность централизованного управления учебным классом.
    • Возможность сетевой загрузки бездисковых клиентов с сохранением данных на сервере позволяет не привязывать профиль учащегося к конкретной рабочей станции в ходе учебного процесса.
    • Поддержка гостевых сеансов.
    • Возможность работы в гетерогенной сети, а также в сети с контроллерами домена любого типа (Active Directory, Samba-DC или LDAP/Kerberos), доступа к совместным файловым ресурсам и принтерам.
    • Возможность установки с единого носителя не только пользовательских, но и серверных приложений, а также специализированных программ для учителя.
    • Необходимый комплект образовательных программ выбирается на этапе установки дистрибутива.
    • Наличие графических средств настройки системы, включая аутентификацию, синхронизацию времени, управление пользователями и группами, просмотр системных журналов, настройку принтеров и других периферийных устройств.
    • Широкий выбор различных программ для работы в сети Интернет, с документами, со сложной графикой и анимацией, для обработки звука и видео, разработки программного обеспечения, для образования.
    • Обеспечена совместимость с образовательными веб-сервисами, а также отечественным ПО.
    • Основным языком интерфейса Альт Образование является русский, дополнительно можно выбрать другие языки.

    Альт Сервер Виртуализации

    Альт Сервер Виртуализации — серверный дистрибутив на базе ядра Linux для предоставления функций виртуализации в корпоративной инфраструктуре.

    Дистрибутив Альт Сервер виртуализации включен в Единый реестр российских программ для электронных вычислительных машин и баз данных.

    Регистрационный номер ПО: 6487.

    Дистрибутив выпускается в нескольких вариантах исполнения:

    • x86_64 (Intel, AMD);
    • AArch64 (ARMv8, в т.ч. Huawei Kunpeng, ThunderX и др.);
    • ppc64le (YADRO, Power 8, Power 9, OpenPower).
    • вычислений (ЦПУ и память);
    • сети;
    • хранения данных.

    Управление системой виртуализации возможно через командный интерфейс, веб-интерфейс, с использованием API.

    Альт Сервер Виртуализации представляет собой решение уровня предприятия, позволяющее осуществить миграцию на импортозамещающее программное и аппаратное обеспечение.

    Варианты использования дистрибутива

    • Базовый гипервизор. Реализован на базе KVM, включает в себя утилиту запуска виртуальных машин qemu и унифицированный интерфейс управления виртуальным окружением libvirt. Для работы с гипервизором используются интерфейс командной строки virsh или графическое приложение virt-manager на рабочей станции администратора.
    • Кластер серверов виртуализации на основе проекта PVE (для x86_64 и aarch64). Устанавливается на группу серверов. Предназначен для управления виртуальным окружением KVM и контейнерами LXC, виртуальным сетевым окружением и хранилищем данных. Для управления используется интерфейс командной строки, а также веб-интерфейс. Возможна интеграция с корпоративными системами аутентификации (AD, LDAP и другие на основе PAM).
    • Облачная виртуализация уровня предприятия на основе проекта OpenNebula. Для использования необходим 1 или несколько серверов управления (могут быть виртуальными) и группа серверов для запуска виртуальных окружений KVM или контейнеров LXC. Возможна интеграция с корпоративными системами аутентификации. Позволяет создавать шаблоны виртуализации и на их основе разворачивать новые виртуальные машины с нужным набором свойств. Служит для создания корпоративного облачного ресурса IaaS (виртуальная инфраструктура как сервис), объемы которого при необходимости наращиваются за счет интеграции со сторонними публичными облаками.
    • Контейнерная виртуализация. К использования предлагаются Docker, Podman или LXC/LXD. Для построения кластера и управления контейнерами возможно использование Kubernetes.
    • ядро Linux: 5.4.68;
    • glibc 2.27;
    • openssl 1.1.1g;
    • qemu 4.2.1;
    • libivrt 5.10;
    • PVE 6.2;
    • OpenNebula 5.10;
    • Docker 19.03;
    • Podman 2.0.6;
    • LXC 4.0;
    • LXD 4.0;
    • LXD3.0 3.0;
    • sssd 2.2.

    Альт Сервер Виртуализации предоставляет набор дополнительных служб, востребованных в инфраструктуре виртуализации любой сложности и архитектуры:

    • freeipa-client 4.8;
    • сервер сетевой файловой системы NFS;
    • распределѐнная сетевая файловая система Ceph;
    • распределѐнная сетевая файловая система GlusterFS;
    • поддержка iSCSI как в качестве клиента, так и сервера;
    • сетевые службы DNS и DHCP;
    • виртуальный сетевой коммутатор Open vSwitch;
    • служба динамической маршрутизации bird с поддержкой протоколов BGP, OSPF и др.;
    • сетевой балансировщик нагрузки HAProxy, keepalived;
    • веб-серверы Apache и Nginx;
    • mariadb 10.

    Альт 8 СП Сервер и рабочая станция

    Альт 8 СП — дистрибутив операционной системы для серверов и рабочих станций со встроенными программными средствами защиты информации, сертифицированный ФСТЭК России.

    • Intel i586/x86_64;
    • Эльбрус-4С/8С;
    • AArch64 (ARMv8),
    • armh (ARMv7);
    • ppc64le (POWER).
    • Альт 8 СП Сервер;
    • Альт 8 СП Рабочая станция.

    Настоящий сертификат удостоверяет, что операционная система Альт 8 СП является операционной системой типа «А», соответствует требованиям документов «Требования безопасности информации к операционным системам» (ФСТЭК России, 2016) и «Профиль защиты операционных систем типа А четвёртого класса защиты. ИТ.ОС.А4.ПЗ» (ФСТЭК России, 2017).

    • для обеспечения выполнения программ в защищенной среде;
    • для работы со средствами виртуализации (поддерживаются на процессорах архитектур Intel x86_64, AArch64 (ARMv8), ppc64le;
    • для применения в государственных информационных системах 1 класса защищенности;
    • для применения в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности;
    • для применения в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных;
    • для применения в информационных системах общего пользования II класса.

    Дистрибутив Альт 8 СП включен в Единый реестр российских программ для электронных вычислительных машин и баз данных. Регистрационный номер ПО: 4305.

    Основным языком интерфейса Альт 8 СП является русский, также можно выбрать дополнительно другие языки.

    Альт 8 СП Сервер

    • ядро Linux 5.4;
    • файловый сервер Samba 4.11;
    • система управления пользователями FreeIPA (только для архитектуры x86_64);
    • почтовый сервер Postfix 2.11;
    • почтовый сервер Dovecot 2.3;
    • сервер антиспама Spamassassin 3.4;
    • web-сервер Apache2 2.4;
    • прокси-сервер Squid 4.13;
    • система мониторинга Zabbix 4.4;
    • сервер печати CUPS 2.3.

    В составе дистрибутива «Альт 8 СП» сертифицирован комплекс программных компонент для построения виртуальной инфраструктуры (поддерживаются на процессорах архитектур Intel x86_64, AArch64 (ARMv8), ppc64le):

    • гипервизор KVM;
    • виртуализационная платформа QEMU;
    • система виртуализации окружения LXC;
    • набор инструментов, предоставляющий единый API для технологий виртуализации (libvirt);
    • средства контейнерной виртуализации (docker, podman);
    • средства для построения кластера и управления виртуальными контейнерами (Kubernetes).
    • архитектуры: i586/x86_64, Эльбрус-4С/8С, AArch64 (ARMv8), ppc64le (POWER);
    • оперативная память: от 1 Гбайт (рекомендуется 8+ Гбайт);
    • жесткий диск: от 30 Гбайт (рекомендуется 200+ Гбайт);
    • сеть: рекомендуется порт Ethernet;
    • периферийное оборудование: стандартное, возможно использование без монитора.
    • Работа на нескольких аппаратных архитектурах.
    • Поддержка средств виртуализации для Intel x86_64, AArch64 (ARMv8), ppc64le.
    • Поддержка широкого спектра периферийного оборудования.
    • Набор серверных служб для корпоративной инфраструктуры.
    • Поддержка групповых политик для интеграции в инфраструктуру Active Directory.
    • Модульная платформа конфигурирования с графическим и веб-интерфейсом (Alterator).
    • Возможность удаленного управления компьютерами по сети по протоколу SSH и через веб-интерфейс.
    • Возможность развернуть сервер сетевой установки и сервер обновлений с помощью web-интерфейса.
    • Совместимость с отечественным программным обеспечением.
    • Оперативный выпуск обновлений по безопасности.

    Возможна совместная поставка комплектов вариантов исполнения одной архитектуры. Варианты поставки операционной системы Альт 8 СП Сервер приведены ниже:

    • 64 бит
    • 32 бит
    • Эльбрус-4С
    • Эльбрус-8С
    • AArch64(ARMv8)
    • ppc64le (POWER)

    Рабочая станция / Сервер

    • 64 бит
    • 32 бит
    • Эльбрус-4С
    • Эльбрус-8С
    • AArch64(ARMv8)

    В поставку входят:

    • Дистрибутив «Операционная система Альт 8 СП» (компакт-диск DVD-R).
    • Комплект эксплуатационных документов (компакт-диск DVD-R) в соответствии с ведомостью.
    • Формуляр.
    • Копия действующего сертификата.

    Альт 8 СП Рабочая станция

    • ядро Linux 5.4;
    • рабочая среда MATE 1.22;
    • офисный пакет LibreOffice 6.4.7;
    • веб-браузер Firefox ESR 68;
    • почтовый клиент Thunderbird 68.9;
    • графические редакторы GIMP 2.10 и Inkscape 1.0;
    • приложения для сканирования и распознавания текста gImageReader 3.3;
    • приложения для работы с мультимедийными объектами Audacity 2.3, медиаплеер VLC 3.0.
    • архитектуры: i586/x86_64, Эльбрус-4С/8С, AArch64 (ARMv8), armh (ARMv7);
    • оперативная память: от 512 Мбайт (рекомендуется 4+ Гбайт);
    • жесткий диск: от 30 Гбайт (рекомендуется 40+ Гбайт);
    • сеть: рекомендуется порт Ethernet;
    • периферийное оборудование: стандартное.
    • Работа на нескольких аппаратных архитектурах.
    • Поддержка широкого спектра периферийного оборудования.
    • Наличие графических средств настройки системы (Alterator).
    • Поддержка групповых политик для интеграции в инфраструктуру Active Directory.
    • Включен набор предустановленного прикладного ПО.
    • Дополнительные компоненты для совместимости с отечественным программным обеспечением.
    • Оперативный выпуск обновлений по безопасности.

    Возможна совместная поставка комплектов вариантов исполнения одной архитектуры. Варианты поставки операционной системы Альт 8 СП Сервер приведены ниже:

    После создаем каталог в разделе диска, в котором будем хранить файлы виртуалки. Выполняем:

    Копируем установочный образ для развертывания сервера в папку /iso
    sudo mv установочный_образ_сервера.iso /iso

    Меняем владельца установочного образа
    sudo chown libvirt-qemu:libvirt /iso/установочный_образ_сервера.iso

    Создание виртуальной машины в графике:

    Теперь перейдем к созданию виртуальной машины с помощью утилиты virt-manager.

    virt-manager
    Появится вот такое окошко:


    Выбираем Файл-> создать виртуальную машину



    В левой части мы видим пространства данных. По умолчанию пространство данных содается в /var/lib/libvirt/images

    Чтобы создать пространство данных на другом диске или в другой папке, нажимаем занчек "+" в левом нижнем углу.


    Вводим имя создаваемого хранилища с образами. Вперёд.


    Обзор и указываем путь до хранилища (папки). Открыть.



    В меню выбор тома хранилища появился наш новый том и установочные образы (которые ранее скопировали сюда).

    Выбираем установочный образ. Жмем Выбор тома.



    Настраиваем выделяемое количество ОЗУ и процессоров.


    Настраиваем размер и расположение пространства данных для нашей виртуальной машины (по умолчанию создается в папке /var/lib/libvirt/. )

    Если нужно пространство разместить на другой папке или диске-жмем "Настроить"


    Выбираем созданное на предыдущем этапе пространство данных, Около "Список томов" жмем "+"


    Называем том хранилища, ставим его размер. Нажимаем галочку проверить конфигурацию. Готово.


    При проверке конфигурации нажимаем добавить оборудование (это делается для обеспечения работоспособности мыши в виртуальной машине)


    Наводим указатель на ВВОД и выбираем Графический планшет USB EvTouch. Нажимаем готово.


    Нажимаем в верхне левом углу начать установку


    В появившейся вкладке предлагается включить дефолтную сеть. Настройка сети мостом в статье.

    Средства виртуализации

    На момент написания статьи последнее обновление безопасности - БЮЛЛЕТЕНЬ № 20190222SE16 .

    Если при установке системы "Средства виртуализации" не были выбраны, то после инсталляции это можно сделать тремя способами:

    а) с помощью псевдографики.

    Данный способ полностью повторяет процессы установки пакетов при установке системы.

    Открыть терминал нажатием комбинации горячих клавиш "ALT + T" и ввести команду:

    sudo tasksel

    • Клавишами навигации (стрелками вверх и вниз) переместится на необходимый набор программного обеспечения,
    • Пробелом обозначить необходимый набор программного обеспечения,
    • "TAB"-ом перейти на кнопку "ОК" и нажать "Enter".
    • После этого начнется установка.

    После установки всех пакетов необходимо перезагрузить операционную систему.

    Для расширенного понимания (продвинутым пользователям): Посмотреть названия наборов программного обеспечения можно командой:

    sudo tasksel --list-task

    sudo tasksel --list-task

    Нас интересует пакет Fly-virtualization - это и есть наши средства локальной виртуализации.

    Посмотреть список устанавливаемых пакетов выбранного набора программного обеспечения можно командой:

    sudo tasksel --task-packages Fly-virtualization


    Более подробную информацию можно увидеть выполнив команду:

    sudo tasksel --help

    б) с помощью командного интерфейса.

    Данный способ НЕ повторяет процессы установки пакетов при установке системы, в нем рассматривается попакетная установка необходимых компонентов.

    открыть терминал нажатием комбинации горячих клавиш "ALT + T" и ввести команду:

    sudo apt install libvirt-daemon-system qemu

    остальные необходимые пакеты, такие как ibvirt0 и libvirt-daemon установятся автоматически (подтянутся по зависимостям), так же как и пакеты qemu необходимые для эмуляции аппаратной платформы x86-64 (например такие как qemu-system-x86)

    При необходимости эмуляции аппаратного обеспечения других аппаратных платформ ввести соответствующую команду:

    Посте ввода команды несколько раз нажать кнопку "Tab" для вывода возможных вариантов выбора устанавливаемых пакетов


    После установки всех пакетов необходимо перезагрузить операционную систему.

    в) с помощью графического менеджера пакетов Synaptic

    Менеджер устанавливается автоматически при установке ОС и доступен через меню:

    "Пуск" - "Панель управления" - "Программы" - "Менеджер пакетов Synaptic"

    Для установки необходимых пакетов , воспользовавшись поиском по пакетной базе, (в поле поиска ввести libvirt ) выбрать правой кнопкой мыши пакет libvirt-daemon-system.

    Пакеты libvirt0 и libvirt-daemon и все необходимые сопутствующие пакеты будут автоматически добавлены к выборке согласно зависимостям.

    Так же для пакета qemu еще раз воспользовавшись поиском по пакетной базе, (в поле поиска ввести qemu) выбрать правой кнопкой мыши пакет qemu.

    Добавленные к выборке пакеты будут поставлены в очередь на установку после пакетов из выборки по libvirt.

    Нажать Применить .

    После установки всех пакетов необходимо перезагрузить операционную систему.

    Настройка пользователя

    Прежде чем приступать к настройке и/или использованию virt-manager, необходимо сделать так, чтобы пользователь имел необходимые права для работы с компонентами виртуализации.

    Для возможности полного управления ВМ администратор должен входить в группы kvm, libvirt-admin, libvirt-qemu, astra-console.

    Для работы с ПК СВ "Брест" обычному пользователю может потребоваться вхождение в локальные группы kvm и libvirt-qemu.

    Операции по изменению состава или конфигурации виртуальных машин требуют вхождения пользователя в специальную локальную административную группу libvirt-admin.

    Для этого необходимо добавить пользователя в следующие группы командой: (перечисление групп добавляемых пользователю необходимо делать через запятую БЕЗ пробелов)

    sudo usermod -a -G libvirt-admin,libvirt-qemu,libvirt,disk,kvm,astra-admin,astra-console <username>

    Для функционирования системы в режиме замкнутой программной среды (ЗПС) необходимо дополнительная установка пакета brest-digsig-key .

    libvirt - admin - группа для администраторов виртуальной среды, позволяет администрировать ВМ: создавать/клонировать/удалять, изменять состав и конфигурацию

    libvirt-qemu - позволяет пользователю создавать образы виртуальных машин

    libvirt - позволяет пользователю подключаться к демону

    disk - для работы с блочными устройствами

    kvm - даёт доступ пользователю непосредственно к модулю kvm для возможности запуска самого процесса виртуализации

    astra-admin - системная группа администраторов

    astra-console - необходима для доступа к консоли. Для разрешения выполнения консольных команд

    Читайте также: