celar sécurité des logiciels libres haute disponibilité

50
Copyright ©2000 EADS SYCOMORE Auteur : Eric Bérenguier Référence : 00-176/200000633 Version : 1.0 Date : 30/06/2000 État : Approbateur : Guy Autier CELAR Sécurité des logiciels libres Haute disponibilité

Upload: phungkhue

Post on 05-Jan-2017

216 views

Category:

Documents


1 download

TRANSCRIPT

Page 1: CELAR Sécurité des logiciels libres Haute disponibilité

Copyright ©2000 EADS SYCOMORE

Auteur : Eric Bérenguier

Référence : 00-176/200000633

Version : 1.0

Date : 30/06/2000

État :

Approbateur : Guy Autier

CELARSécur ité des logiciels libres

Haute disponibilité

Page 2: CELAR Sécurité des logiciels libres Haute disponibilité

- 2 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

Histor ique des révisions

N° Date Auteur Contenu0.1 23/05/2000 E.B. Création1.0 30/06/2000 E.B. Mise à jour

Page 3: CELAR Sécurité des logiciels libres Haute disponibilité

- 3 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

Table des matières

1. INTRODUCTION..................................................................................5

2. FONCTIONS SPÉCIFIQUES LA HAUTE DISPONIBILITÉ.................5

2.1. Présentation générale.................................................................................................... 5

2.2. Mise en cluster ............................................................................................................... 6

2.3. Disponibilité des données.............................................................................................. 6

2.4. Redondance matér ielle locale...................................................................................... 6

2.5. Redondance multi-sites................................................................................................. 7

2.6. Equilibrage de charge................................................................................................... 7

2.7. Administration et exploitation...................................................................................... 7

3. PRODUITS ..........................................................................................8

3.1. Pr incipaux produits étudiés.......................................................................................... 83.1.1. Linux ...................................................................................................................... 83.1.2. HeartBeat.............................................................................................................. 103.1.3. Mon ...................................................................................................................... 123.1.4. DRBD................................................................................................................... 143.1.5. ReiserFS............................................................................................................... 173.1.6. GFS....................................................................................................................... 183.1.7. LVS...................................................................................................................... 20

3.2. Couver ture fonctionnelle des produits....................................................................... 26

3.3. Aspects relatifs à la sécur ité........................................................................................ 26

4. COMPARAISON................................................................................29

4.1. Cr itères......................................................................................................................... 294.1.1. Critères fonctionnels............................................................................................. 294.1.2. Critères généraux.................................................................................................. 314.1.3. Notation................................................................................................................ 33

4.2. Tableaux de comparaison ........................................................................................... 34

4.3. Synthèse........................................................................................................................ 48

5. LE FUTUR .........................................................................................49

Page 4: CELAR Sécurité des logiciels libres Haute disponibilité

- 4 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

Page 5: CELAR Sécurité des logiciels libres Haute disponibilité

- 5 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

1. Introduction

Ce document présente le résultat de l'étude sur les solutions de haute disponibilité à base delogiciels libres. Les points traités sont les suivants :

• Etude des produits existants ;

• Comparaison avec deux des principales solutions commerciales ;

• Evaluation des problèmes de sécurité posés par les produits étudiés.

Le document comprend les parties suivantes :

• Présentation des fonctions relatives à la haute disponibilité ;

• Présentation des produits étudiés : fonctionnalités et caractéristiques techniques ;

• Résultat de l'évaluation : présentation des critères, et évaluation selon ces critères (pourles produit étudiés et les deux solutions commerciales retenues) ;

• Prévisions sur les évolutions des logiciels libres dans le domaine de la hautedisponibilité.

2. Fonctions spécifiques la haute disponibilité

2.1. Présentation générale

Cette partie présente les fonctionnalités identifiées dans le cadre de la haute disponibilité.Certaines seront décomposées en sous-fonctions.

Ces fonctionnalités sont les suivantes :

• Mise en cluster ;

• Disponibilité des données ;

• Redondance matérielle locale ;

• Equilibrage de charge ;

• Redondance multi-sites.

Page 6: CELAR Sécurité des logiciels libres Haute disponibilité

- 6 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

2.2. Mise en cluster

Ce thème recouvre l'ensemble des fonctions permettant la reprise d'un service assurée parun nœud d'un cluster par un autre nœud en cas de défaillance matérielle ou logicielle.

Les sous-fonctions sont détaillées ci-dessous :

• Mécanisme de reprise : tous les mécanismes permettant de reprendre un service qui aété interrompu par une panne. Cela inclut le lancement d'applications et la reprise dedonnées et d'adresses réseau ;

• Détection de pannes : détection de problèmes matériels ou logiciels pouvant déclencherune action correctrice comme par exemple le basculement d'un service sur un nœud quin'est pas touché par le problème.

2.3. Disponibilité des données

Cette fonction garantit la haute disponibilité des données stockées sur disque, elle inclut lesmécanismes de redondance des données et la reprise. Les sous-fonctions identifiées sont lessuivantes :

• Support du RAID : indique le support de solutions matérielles existantes RAID, ou lafourniture d'une fonctionnalité équivalente purement logicielle ;

• Disques partagés entre plusieurs nœuds : support des solutions matérielles de disquespartagés où plusieurs nœuds sont directement reliés aux disques concernés ;

• Volumes partagés : présence de mécanismes permettant d'utiliser des périphériquesdistants, ou de répliquer "au fil de l'eau" un périphérique local sur un nœud distant ;

• Haute disponibilité des systèmes de fichiers distants : inclut tous les mécanismespermettant la haute disponibilité d'un système de fichiers distant (tel que NFS) dans lecas où le serveur fournissant ce système de fichiers tombe en panne ;

• Reprise après panne : inclut le support de mécanismes permettant de reprendre unsystème de fichiers après un "crash" sans perte de données.

2.4. Redondance matér ielle locale

Ce thème consiste à évaluer le support, par les produits étudiés, des solutions matérielles dehaute disponibilité telles que celles trouvées sur les serveurs Unix haut de gamme. Lessolutions matérielles incluent :

• Périphériques redondants (stockage, réseau, alimentations, CPUs, utilisation decrossbar pour rendre le bus redondant …) ;

• Changement "à chaud" de périphériques ;

• Utilisation de watchdogs (périphériques permettant de déclencher un redémarragematériel en cas de "plantage" du système d'exploitation) ;

Page 7: CELAR Sécurité des logiciels libres Haute disponibilité

- 7 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

• Gestion des onduleurs ;

• Support d'outils assurant l'arrêt ou le redémarrage d'un nœud à distance depuis uneapplication tournant sur un nœud distant.

2.5. Redondance multi-sites

Cette fonction assure la haute disponibilité en dupliquant une application et ses données surdes sites distants reliés par un WAN, et permet, en cas de panne sur un site, la reprise duservice fourni par l'application par un autre site.

2.6. Equilibrage de charge

Cette fonction permet de répartir des requêtes adressées à un service, entre plusieurs nœudsphysiques fournissant ce service. Cette fonction est généralement utilisée pour des servicesréseaux tels que serveurs Web, messagerie, DNS, …

Elle entre dans le cadre de la haute disponibilité car un produit d'équilibrage de charge neredirigera pas les requêtes vers un serveur en panne. L'intérêt d'une telle solution est que lareprise est immédiate (il n'y a pas d'application à démarrer sur un nœud de backuplorsqu'une panne est détectée).

2.7. Administration et exploitation

Cette fonction concerne l'administration et l'exploitation des produits assurant la hautedisponibilité.

Page 8: CELAR Sécurité des logiciels libres Haute disponibilité

- 8 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

3. Produits

3.1. Pr incipaux produits étudiés

Les produits étudiés sont récapitulés dans le tableau suivant :

Produit Version

Linux 2.2.15

Mon 0.38.18

Heartbeat 0.4.7b

DRBD 0.5.5

ReiserFS 3.5.21-2.2.15

GFS Version du 23/11/99

LVS 0.9.13-2.2.15

3.1.1. Linux

3.1.1.1. Fonction

Seules les fonctions du noyau Linux concernant directement la haute disponibilité sontétudiées dans cette partie. Elles sont les suivantes :

• Raid logiciel : simulation du fonctionnement de contrôleurs RAID uniquement parlogiciel ;

• Raid matériel : support de solutions RAID matérielles (contrôleurs RAID) ;

• Gestion des watchdogs : Linux supporte des solutions matérielles de watchdog pourdéclencher le redémarrage d'une machine en cas de "plantage".

3.1.1.2. Architecture

Les fonctions décrites permettent de gérer des périphériques (disques ou watchdogs) locauxau système.

Page 9: CELAR Sécurité des logiciels libres Haute disponibilité

- 9 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

3.1.1.3. Caractér istiques

Raid logiciel :

Les types de RAID supportés sont les suivants :

• RAID 0 : stripping : les informations sont découpées en "tranches" qui sont éclatéesentre les différents disques ou partitions utilisés ;

• RAID 1 : mirroring simple : les mêmes informations sont écrites sur tous les disques ;

• RAID 4 : stripping avec utilisation d'un disque supplémentaire pour stocker lesinformations de parité. Ce type de RAID supporte la panne d'un disque ;

• RAID 5 : comme le RAID 4, mais les informations de parité sont réparties entre lesdisques ;

• Linear mode (il ne s'agit pas un mode RAID standard) : fonctionnalité équivalente auRaid 0, mais sans striping (le système "voit" un volume qui est en réalité laconcaténation des informations des disques physiques ou partitions utilisés).

Les différences par rapport au RAID matériel sont les suivantes :

• Le RAID matériel ne s'applique qu'à des disques entiers, le RAID logiciel peut necomporter que certaines partitions ;

• Les traitements normalement assurés par un contrôleur RAID sont réalisés par logicieldans le cas du RAID logiciel, ce qui est susceptible de dégrader les performances ;

• Le RAID matériel rend les pannes transparentes pour l'OS et les applications (à partéventuellement une remontée d'alerte le cas échéant). Dans le cas du RAID logiciel, oùl'on utilise du matériel standard, certaines pannes peuvent empêcher le serveur defonctionner et nécessitent une intervention manuelle pour la reprise du service (arrêt duserveur, retrait et éventuellement remplacement du disque fautif) ;

• Les solutions de RAID logicielles ne supportent pas le "Hot-swap" (remplacement àchaud d'un disque) ;

• Les solution à base de RAID logiciel sont indépendantes du type de disque utilisé. Enparticulier, il est possible d'utiliser des disques IDE très peu chers.

Page 10: CELAR Sécurité des logiciels libres Haute disponibilité

- 10 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

RAID matér iel :

Le seul contrôleur RAID supporté par Linux (version 2.2.15) est celui de la société DPT(http://www.dpt.com/).

Watchdogs :

Le module watchdog du noyau linux supporte plusieurs solutions matérielles de watchdog(Berkshire et ICS pour la version 2.2.15). La liste exhaustive est présente dans le fichierDocumentation/watchdog.txt des sources du noyau Linux.

Ce module permet de déclencher un redémarrage (reset matériel) si un applicatif necommunique plus avec le watchdog pendant une certaine période de temps configurable, cequi se produit dans le cas d'un "plantage" (c'est à dire un blocage de l'ordinateur dû à unbug logiciel ou un problème matériel) : cela assure le redémarrage de l'applicatif dans tousles cas de plantage qui n'ont pas été causés par une défaillance matérielle permanente.

Il est également possible de simuler cette fonction uniquement par logiciel (utilisation d'untimer), mais cette solution s'avère beaucoup moins fiable (beaucoup de cas de plantage vontaussi bloquer le timer).

De plus certaines des solutions matérielles supportées fournissent une fonction desurveillance de la température exploitable par un applicatif, par l'intermédiaire d'uneinterface de bas niveau (device UNIX /dev/temperature).

Remarque : Les fonctions de surveillance de température, des ventilateurs, et de détectiond'intrusion physique présentes sur certaines cartes mères sont utilisables par un produit tierslm-sensors (licence GNU : accessible à l'URL http://www.netroedge.com/~lm78), nonévaluées dans cette étude.

3.1.1.4. Type de licence

Le noyau Linux est distribué sous la licence GNU version 2.

3.1.1.5. Où le trouver ?

Le site de référence pour Linux est http://www.linux.org. Ce site inclut des lienspour les documentations et le téléchargement.

3.1.2. HeartBeat

3.1.2.1. Fonction

Heartbeat est un outil de surveillance système et réseau, et de reprise.

Il constitue l'une des réalisations du projet Linux-HA (www.linux-ha.org) qui a pour butde fournir une solution de clustering avec haute disponibilité sous Linux.

Page 11: CELAR Sécurité des logiciels libres Haute disponibilité

- 11 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

Il permet de gérer un nombre quelconque de services sur deux serveurs. Chaque service estassocié à un serveur (serveur principal du service). En cas de panne d'un serveur, lesservices associés à ce serveur sont démarrés sur l'autre nœud (nœud de backup). Lorsque leserveur principal est à nouveau disponible, ces services sont arrêtés sur le nœud de backupet démarrés sur le nœud principal.

Dans le cas de services réseau, Hearbeat prend en charge la reprise d'adresses IP et la miseà jour des caches ARP des machines connectées au réseau local (clients ou routeurs) pourqu'ils tiennent compte du basculement.

3.1.2.2. Architecture

Le schéma suivant présente l'architecture physique minimale pour la mise en place d'uncluster utilisant Heartbeat :

Liaison série(surveillance)

Réseau ethernet

Serveurprincipal

Serveurde backup

3.1.2.3. Caractér istiques

La version actuelle de Heartbeat ne supporte actuellement que 2 nœuds simultanément,même si sa conception en prévoit un nombre illimité. Des versions ultérieures devraientsupprimer cette limitation (dixit les développeurs du produit).

En cas de dépendances entre plusieurs services, on peut fixer l'ordre de démarrage oud'arrêt de ces services (quand ils ont le même nœud principal).

Un service peut être matérialisé par n'importe quelle application. La seule contrainte est defournir un script permettant de démarrer, d'arrêter et de connaître l'état du service (démarréou arrêté). Ces scripts implémentent la même interface que les scripts de démarrage de ladistribution RedHat (ainsi que d'autres distributions), cela permet d'utiliser directement tousles programmes livrés avec des scripts respectant cette interface comme par exempleapache, samba, named, sendmail … sans avoir à écrire de script.

Il est possible d'arrêter ou de démarrer un des serveurs manuellement, par exemple pour desopérations de maintenance, dans ce cas tous les services sont basculés sur l'autre serveur.

Heartbeat n'offre qu'un seul mode de reprise : un service est toujours actif sur son nœudprincipal quand celui-ci fonctionne.

La surveillance s'effectue par plusieurs canaux simultanément (une ou plusieurs interfacesréseau plus une ou plusieurs liaisons série). Cela permet de distinguer une coupure réseauentre les deux serveurs d'une panne matérielle d'un noeud. En particulier cela évite de seretrouver dans une situation ou les deux nœuds lancent simultanément les mêmes services.

Page 12: CELAR Sécurité des logiciels libres Haute disponibilité

- 12 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

Ce mécanisme de surveillance ne détecte que les pannes matérielles ou les problèmesréseau. Il est nécessaire d'utiliser d'autres produits tels que Mon (cf. 3.1.3) pour réaliser lasurveillance applicative (ces produits peuvent déclencher le basculement par l'intermédiairede scripts fournis avec Heartbeat).

Heartbeat ne gère pas les interfaces réseau ou les réseaux redondants.

3.1.2.4. Type de licence

Le produit est distribué sous la licence GPL version 2.

3.1.2.5. Où le trouver ?

Les sources du produit et sa documentation peuvent être téléchargées depuis la page Webhttp://www.linux-ha.org/.

3.1.3. Mon

3.1.3.1. Fonction

Mon est un outil de monitoring généraliste. Il permet de surveiller des ressources (servicesréseau, ressources locales …) et de déclencher des actions selon leur état (lancement descripts, notification par E-Mail, pager, envoi de traps …)

3.1.3.2. Architecture

Mon présente une architecture de type client-serveur. Le serveur surveille les ressources etdéclenche des actions en fonction de sa configuration et de l'état de ces resources.

Le client permet d'administrer le serveur Mon. Il est disponible sous forme d'un outil enligne de commande, d'une interface Web (CGI), ou d'une API Perl.

Les actions possibles depuis un client comprennent (cette liste n'est pas exhaustive) :

• Marche/arrêt du serveur ;

• Marche/arrêt de la surveillance d'un service ;

• Envoi d'un accusé de réception pour une alerte. Cette alerte ne sera plus envoyée aprèsun accusé de réception ;

• Consultation de l'état des ressources surveillées et des alertes ;

• Déclenchement immédiat du test d'une ressource ;

• Déclenchement d'une alerte (pour test).

Page 13: CELAR Sécurité des logiciels libres Haute disponibilité

- 13 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

3.1.3.3. Caractér istiques

Mon est livré avec plusieurs scripts standards de surveillance de ressources : servicesréseau locaux ou distants (Telnet, FTP, NNTP, HTTP, POP3, IMAP, LDAP, DNS, SUNRPC), espace disque local, surveillance par SNMP, base de données (MySQL), latenceréseau, imprimantes… Il est possible d'ajouter ses propres scripts ou de modifier ceuxfournis (les scripts livrés sont écrits en PERL).

Les scripts d'alertes livrés sont les suivants : envoi de mail, envoi de trap, envoi de messageSMS ou vers pager. De même que pour les scripts de surveillance, il est possible d'ajouterses propres scripts (déclenchement d'actions correctrices ou autres méthodes de remontéed'alertes).

Le produit est hautement configurable : il est possible de paramétrer, pour chacune desressources, l'intervalle de surveillance, le délai de répétition des alertes et le nombred'échecs lors de la surveillance de cette ressource avant déclenchement de l'alerte. Lesrègles peuvent dépendre de la plage horaire (par exemple les traitements peuvent êtredifférents en semaine pendant la journée). Pour faciliter la configuration, il est possible dedéfinir des groupes de services réseau à surveiller, et de fixer des dépendances (parexemple si un routeur surveillé tombe en panne, Mon n'enverra pas d'alertes parce qu'unserveur accèdé par l'intermédiaire de ce routeur n'est plus disponible).

Mon surveille des ressources en parallèle. Un seul serveur est capable de surveiller unnombre important de ressources.

Les communications entre un client et un serveur sont authentifiées par un mot de passe(passé en clair).

Cohabitation Mon / Hear tbeat :

Le produit Heartbeat seul ne peut suffire à la réalisation d'un cluster redondant, car il nepropose pas de fonction de surveillance des applications. Il est possible d'utiliser encomplément le produit Mon pour pallier à ce manque.

Une solution utilisant les deux produits permet par exemple de déclencher le basculementdu cluster géré par Heartbeat si l'application ne fonctionne plus sur le nœud actif.

L'intégration des deux produits est "manuelle " : il faut développer le script qui seradéclenché par Mon en cas de problème applicatif et qui lancera le basculement du clustergéré par Heartbeat, par l'intermédiaire de l'interface en ligne de commande de ce dernier.

3.1.3.4. Type de licence

Le produit est distribué sous la licence GPL version 2.

3.1.3.5. Où le trouver ?

Les sources du produit et sa documentation peuvent être téléchargées à l'URLhttp://www.kernel.org/software/mon/.

Page 14: CELAR Sécurité des logiciels libres Haute disponibilité

- 14 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

3.1.4. DRBD

3.1.4.1. Fonction

DRBD est un outil de réplication de disques à la volée entre deux serveurs distants (cetoutil est assimilable au RAID 1, à ceci près qu'il s'applique à des disques situés sur desserveurs différents).

DRBD inclut des mécanismes de synchronisation partielle (après une déconnexion réseau)ou complète (pour une première utilisation ou après le changement de l'un des disques).

DRBD permet de réaliser des clusters hautement disponibles gérant des donnéesdynamiques (bases de données, serveurs de fichiers …).

3.1.4.2. Architecture

DRBD s'utilise sur deux serveurs reliés par un réseau IP. Le schéma ci-dessous illustrecette architecture :

Serveur principal

Partitionprimaire

Applicationactive

Réplicationà la volée

Accès AuxDonnés(lecture,écriture)

RéseauIP

Serveur de backup

Partitionsecondaire

Applicationinactive

Page 15: CELAR Sécurité des logiciels libres Haute disponibilité

- 15 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

En cas de panne du serveur principal, DRBD fonctionne selon la configuration présentéedans le schéma ci-dessous :

Serveur principal

Partitionprimaire

Applicationactive Accès Aux

Donnés(lecture,écriture)

RéseauIP

Serveur de backup

DRBD se présente sous la forme d'un module noyau réalisant la réplication de données, etd'un outil d'administration en ligne de commande permettant de configurer et de changer lemode (primaire/secondaire/arrêté) de DRBD. Toutes les fonctions de communication sontréalisées de manière asynchrone par des threads noyau, ce qui ne bloque pas lesapplications locales lors d'une écriture sur un disque répliqué.

3.1.4.3. Caractér istiques

A un instant donné, un seul serveur (serveur primaire) accède aux données (en lecture et enécriture). On ne peut donc pas utiliser DRBD dans le cadre d'un cluster où plusieursinstances d'une application sont actives (pour faire de l'équilibrage de charge par exemple).Dans ce cas il est conseillé d'utiliser un produit tel que GFS, permettant d'utiliser desdisques partagés.

DRBD supporte les déconnexions ou les pannes temporaires du serveur secondaire, ycompris un crash suivi d'un redémarrage, en conservant une copie locale des modifications.Lors de la reconnexion, le serveur primaire renvoie toutes les mises à jour qui ont été"ratées" par le secondaire.

Les mécanismes de détection de pannes et le déclenchement du basculement ne font paspartie du produit et sont à réaliser par ailleurs. DRBD est fourni avec des scripts permettantde l'intégrer à Heartbeat. Dans la version évaluée, ces scripts peuvent amener les deuxserveurs à se retrouver simultanément dans le mode primaire lors d'un basculement manuel,et nécessitent donc d'être modifiés afin d'éviter ce problème.

Le produit n'assure aucune fonction relative à la sécurité. En particulier il n'y a pas demécanisme d'authentification, de contrôle d'accès, d'intégrité ou de confidentialité desdonnées échangées sur le réseau.

Dans le cas où les deux serveurs tentent de devenir primaires simultanément, le produits'arrête immédiatement de fonctionner (ce cas ne doit pas se produire en fonctionnementnormal, mais ceci garantit que s'il se produit, les données ne sont pas perdues)

Page 16: CELAR Sécurité des logiciels libres Haute disponibilité

- 16 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

DRBD propose trois protocoles différents pour la transmission de données (par ordredécroissant de performance) :

Protocole Descr iptionA Une opération d'écriture est considérée comme terminée avec succès

dès que les données sont écrites sur le disque local et envoyées sur leréseau vers le nœud secondaire

B Une opération d'écriture est considérée comme terminée avec succèsdès que les données sont écrites sur le disque local et que le nœudsecondaire a accusé réception des données

C Une opération d'écriture est considérée comme terminée avec succèsdès que les données sont écrites sur le disque local et que le nœudsecondaire a indiqué qu'il a écrit les données sur son disque

Seul le protocole C garantit que, en cas de crash du serveur primaire, aucune écriture ayantabouti sur le primaire ne sera perdue lors de la reprise par le secondaire. Cela est expliquédans le schéma suivant :

ApplicationOS+

DRBD

DisqueOS+

DRBD

Disque

Demanded'écriture

(appel système)

Ecriture disqueNotification de lamodificaion aunœud distant

Ecriture disque

Nœud pr imaire Nœud secondaire

Succès écrituredisque

Succès écrituredisque

Acquittement dela notificationFin d'écriture

(succès de l'appelsystème)

Ce schéma correspond à l'utilisation du protocole C (attente de l'écriture pour accuserréception de la notification), où les caches disque en écriture sont désactivés (voir remarqueimportante 2 plus loin).

Remarque impor tante 1 : lors de la reprise par le secondaire après un crash du primaire,la partition répliquée est récupéré "en l'état" telle qu'elle était à l'instant du crash. On setrouve ainsi dans le même cas que lors de la reprise d'une partition locale après un crash.Un solution utilisant DRBD doit donc inclure des mécanisme de reprise de données,comme par exemple :

• La partition est utilisée par une base de données comprenant ses propres mécanismesde reconstruction des données (par exemple Oracle) ;

• Utilisation d'un système de fichiers classique avec vérification et réparation lors de lareprise (fsck). Cela peut s'avérer pénalisant en termes de performances et n'offre pas degarantie de réussite ;

Page 17: CELAR Sécurité des logiciels libres Haute disponibilité

- 17 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

• Utilisation d'un système de fichiers journalisé assurant une reprise très rapide dusystème de fichiers et garantit qu'il est dans un état cohérent vis-à-vis du système (maispas forcément des applications).

Dans les deux derniers cas, les applications gérant leurs données doivent elles aussiposséder un mécanisme de reprise de leurs données : par exemple, une application qui étaiten train d'écrire un fichier au moment du crash pourra retrouver un fichier tronqué lors deson démarrage sur le secondaire.

Remarque impor tante 2 : les systèmes d'exploitation retardent généralement les écrituressur disque pour des raisons de performances. Un tel mécanisme doit être désactivé sur unepartition répliquée par DRBD (utilisation de l'option de montage "sync" sous Linux, ouutilisation d'une application qui force la mise à jour immédiate du disque lors d'une écriturecomme par exemple l'annuaire OpenLDAP ou toute application stockant ses données dansune base gdbm). De la même manière, tous les mécanismes de caches en écriture (write-back caching) implémentés sur les contrôleurs de disques ou les disques eux-mêmesdoivent être désactivés.

Les produits gérant eux même leur cache en écriture de façon à permettre une reprise aprèsun crash (c'est par exemple le cas d'Oracle) peuvent être utilisés avec DRBD, mais celapeut impliquer un impact sur les performances (un appel système qui réalise effectivementl'écriture sur disque, tel qu'un sync ou une écriture quand le cache du système est désactivé,restera bloqué tant que l'écriture n'a pas été réalisée et acquittée par le nœud secondaire).

La roadmap du produit indique que les versions futures prévoient le mirroring simultanésur plusieurs serveurs secondaires distant (utilisation du multicast).

3.1.4.4. Type de licence

Le produit est distribué sous la licence GPL version 2.

3.1.4.5. Où le trouver ?

Les sources du produit et sa documentation peuvent être téléchargées à l'URLhttp://www.complang.tuwien.ac.at/reisner/drbd/.

3.1.5. ReiserFS

3.1.5.1. Fonction

ReiserFS est un système de fichiers journalisé.

Page 18: CELAR Sécurité des logiciels libres Haute disponibilité

- 18 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

3.1.5.2. Architecture

ReiserFS se compose d'un module noyau ajoutant le support du système de fichiersReiserFS au noyau.

3.1.5.3. Caractér istiques

Pour des raisons de performances, l'ensemble des opérations sur disque ne sont pasjournalisées. Seules les opérations modifiant des méta-données (superblock, inodes, bitmapdes blocs disque, répertoires) le sont. Les conséquences sont les suivantes :

• Après une reprise d'un système de fichiers, ReiserFS garantit que l'ensemble des méta-données sont récupérées dans un état cohérent. En particulier l'arborescence des fichiersprésents n'est pas impactée. Après un re-jeu du log lors du montage de la partition, lesystème de fichiers ne présente pas d'erreurs et ne nécessite donc pas de réparation (detype fsck) ;

• Cependant, les modifications des données elles mêmes ne sont pas journalisées. Aprèsune reprise, les fichiers qui étaient en cours de modification au moment d'un crash sontdans un état indéterminé.

D'autres produits fournissent une fonction de journalisation complète (tel que par exemplele système de fichiers ext3). Ces produits ne se situent pas à un stade très avancé deréalisation. Pour de la journalisation dans le cadre de disques partagés, voir GFS (partie3.1.6).

ReiserFS peut être utilisé comme système de fichiers de boot (système de fichierscontenant le répertoire racine) sur un système Linux.

3.1.5.4. Type de licence

ReiserFS est distribué sous la licence GPL version 2.

3.1.5.5. Où le trouver ?

Les sources du produit et sa documentation peuvent être téléchargées à l'URLhttp://devlinux.com/projects/reiserfs/.

3.1.6. GFS

3.1.6.1. Fonction

GFS est un système de fichiers prévu pour être utilisé sur des disques partagés (i.e. reliésphysiquement à plusieurs serveurs) sous Linux. Les disques peuvent être accédéssimultanément en lecture et en écriture depuis tous les serveurs qui leur sont connectés.

GFS fournit en plus une fonction de journalisation.

Page 19: CELAR Sécurité des logiciels libres Haute disponibilité

- 19 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

3.1.6.2. Architecture

Le schéma ci-dessous présente l'architecture requise pour utiliser GFS :

Disquepartagé

client client

Disquepartagé

Bus SCSIRéseau Fibre Channel

GFS supporte un nombre quelconque de clients reliés à un ou plusieurs disques par 'unmoyen de communication pouvant être l'un des suivants :

• Un bus SCSI ;

• Un réseau Fibre Channel ;

• Un réseau IP. Dans ce cas, il faut adopter une solution permettant d'utiliser un disquedistant par l'intermédiaire d'un réseau IP. Les solutions possibles comprennent NBD(Network Block Device) livré en standard avec Linux, ou GNBD, en cours dedéveloppement par l'équipe qui a réalisé GFS.

GFS permet d'accéder des disques simples ou des baies RAID.

GFS se présente sous la forme d'un module ajoutant le support du système de fichiers GFSet d'utilitaires permettant la création et la gestion de disques ou de partitions partagés.

3.1.6.3. Caractér istiques

GFS s'appuie sur un mécanisme de verrous nommé Dlock. Ce mécanisme nécessitel'implémentation, au niveau du disque ou de la baie de disques, d'une nouvelle commandeSCSI permettant de poser ou retirer un verrou sur une partie du disque, ou de consulterl'état des verrous. L'ensemble des informations concernant les verrous est stocké au niveaudu disque ou de la baie. Dlock permet aux clients de conserver des caches locaux à l'aided'un mécanisme de callbacks destinés à notifier un client si une donnée qu'il a conservédans son cache a été modifiée.

La spécification de Dlock est présente à l'URLhttp://www.globalfilesystem.org/Pages/dlock.html.

Elle a été implémentée par plusieurs constructeurs de disques (Seagate, Silicon Gear) ou debaies RAID (Dot Hill). Les versions du firmware pour ces produits avec le support de laspécification Dlock et les outils de mise à jour sont disponibles sur le site Web de GFS.

Page 20: CELAR Sécurité des logiciels libres Haute disponibilité

- 20 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

Dans le cas ou Dlock ne serait pas supporté par les disques ou les baies de disques, il estpossible d'utiliser une solution uniquement logicielle (produit GLMD) intégrée à ladistribution GFS, mais qui est encore en cours de développement.

La plus grosse configuration basée sur GFS a été présentée à la Linux World Expo 2000, etcomprenait 16 clients et 64 disques répartis en 8 baies, le tout relié par Fibre Channel.

La fonctionnalité de journalisation est en phase de développement actuellement.

3.1.6.4. Type de licence

GFS est distribué sous la licence GPL version 2.

3.1.6.5. Où le trouver ?

Le produit GFS ainsi que sa documentation sont disponibles à l'URLhttp://www.globalfilesystem.org/.

3.1.7. LVS

3.1.7.1. Fonction

LVS (Linux Virtual Server) est un outil d'équilibrage de charge pour des services réseau. Ilpermet de répartir des requêtes Web, SMTP, ou n'importe quel autre protocole TCP/IP,entre plusieurs serveurs fournissant le service. Ce mécanisme est transparent pour lesclients qui ne voient qu'une seule adresse.

Deux solutions complètes basées sur LVS sont en cours de développement :

• Virtual Monkey, réalisé par la société VA Linux compte proposer un produit intégrantLVS et Heartbeat pour fournir une solution complète pour la mise en place de "fermesde serveurs".

• Piranha, inclu avec la distribution RedHat, fournit en plus de LVS un outil permettantd'assurer la haute disponibilité du nœud dispatcher lui-même et une interfaced'administration accessible depuis un browser Web (voir copie d'écran ci-dessous).Cette interface permet de configurer le nœud dispatcher, et éventuellement un nœud debackup, de consulter l'état des serveurs, d'ajouter ou supprimer des serveurs.

Ces deux produit sont distribués sous licence GPL.

Page 21: CELAR Sécurité des logiciels libres Haute disponibilité

- 21 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

La copie d'écran ci-dessous présente l'interface Web de Piranha :

3.1.7.2. Architecture

LVS supporte trois architectures :

• Serveurs virtuels avec translation d'adresse (NAT) ;

• Serveurs virtuels avec tunneling IP ;

• Serveurs virtuels avec routage direct.

Ces trois solutions sont décrites ci-dessous.

Les schémas présentés dans les parties suivantes comportent un serveur dispatcher debackup. Le mécanisme de backup ne fait pas partie du produit LVS standard, mais estinclus dans les solutions complètes Piranha et Ultramonkey.

Page 22: CELAR Sécurité des logiciels libres Haute disponibilité

- 22 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

Translation d’adresses (NAT)

Le schéma suivant présente l'architecture réseau dans le cadre de la solution avectranslation d'adresses. Cette solution montre un fonctionnement équivalent à celui duproduit commercial CISCO Local Director.

Internet/Intranet

client

Dispatcherprincipal(produit

LVS)

Dispatcherde backup(produitLVS)Facultatif

Serveur 1 Serveur N

Le nœud dispatcher réalise la translation des adresses source et destination pour les paquetsentrants et sortants.

Avantage :

• Aucune contrainte au niveau des serveurs pour qui la solution semble transparente (dupoint de vue du serveur, les requêtes semblent venir du nœud dispatcher).

Inconvénient :

• Faible "scalabilité" : le nœud dispatcher doit réaliser la translation d'adresses pour tousles paquets entrants et sortants.

Page 23: CELAR Sécurité des logiciels libres Haute disponibilité

- 23 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

Tunneling IP

L'architecture réseau, dans la solution avec tunneling IP, est la même que dans le cas de latranslation d'adresse (voir ci-dessus).

Le dispatcher encapsule les paquets en provenance du client qui lui sont donc destinés, dansun paquet IP qu'il envoie au serveur qu'il a choisi. Le schéma suivant illustre le format d'unpaquet IP entrant (envoyé par le dispatcher à un serveur) :

En-tête IP englobant

Emetteur : adresse internedu dispatcherDestinataire : adresse duserveur choisi par ledispatcher

En-tête IP encapsulé

Emetteur : clientDestinataire : adresse"virtuelle"

Contenu du paquetencapsulé

Copie du paquet envoyépar le client

Les paquets IP sortants (envoyés par les serveurs vers un client) sont relayés par ledispatcher à l'aide du mécanisme de routage IP standard.

Avantage :

• Permet d'utiliser une architecture avec deux réseaux physiquement séparés comme dansla solution NAT, mais avec un impact moindre sur les performances : seuls les paquetsentrants doivent être réécrits, les paquets sortants sont acheminés par le mécanisme deroutage IP standard par le nœud dispatcher.

Inconvénients :

• Les serveurs doivent supporter l’encapsulation IP/IP. Aujourd’hui seul Linux lesupporte ;

• Contrainte sur les serveurs : ils doivent posséder une "adresse IP virtuelle" (parexemple une IP sur l'interface loopback) identique à celle utilisée par le client, pourpouvoir accepter les paquets encapsulés.

Page 24: CELAR Sécurité des logiciels libres Haute disponibilité

- 24 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

Routage direct

Le schéma suivant présente l'architecture réseau dans le cadre de la solution avec routagedirect. Elle présente un fonctionnement équivalent à celui du produit commercial NetworkDispatcher d'IBM.

Internet/Intranet

client

Dispatcherprincipal(produit

LVS)

Dispatcherde backup(produitLVS)Facultatif

Serveur 1 Serveur N

Dans cette configuration seuls les paquets IP en provenance des clients sont traités par ledispatcher. Les paquets à destination du client ne passent pas par le dispatcher. De mêmeque dans la solution précédente, les serveurs doivent avoir une adresse IP virtuelle qui est lamême que celle du dispatcher.

Avantage :

• Meilleure performances et "scalabilité" : seuls les paquets entrants sont traités par ledispatcher.

Inconvénients :

• Le dispatcher et les serveurs doivent tous se trouver sur le même réseau ethernetphysique ;

• Contrainte sur les serveurs : ils doivent avoir une "adresse IP virtuelle" (par exempleune IP sur l'interface loopback) identique à celle utilisée par le client, pour pouvoiraccepter les paquets encapsulés.

Page 25: CELAR Sécurité des logiciels libres Haute disponibilité

- 25 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

3.1.7.3. Caractér istiques

Les critères suivants sont exploitables par LVS pour sélectionner le serveur recevant unerequête :

• Round-Robin : les requêtes sont renvoyées vers chacun des serveurs indépendammentde leur charge ou du nombre de connexions ;

• Round-Robin avec pondération : même principe que le Round-Robin simple, maiscertains serveurs sont plus sollicités que d'autres (selon des coefficients fixés parl'administrateur) ;

• Selon le nombre de connexions actives : le serveur possédant le moins de connexionsactives reçoit la requête ;

• Selon le nombre de connexions actives avec pondération : même principe que le critèreprécédent, mais des coefficients sont appliqués aux nombres de connexions pourchaque serveur.

Il n'est pas possible d'obtenir des critères dépendant de l'état des serveurs (charge,occupation CPU…).

Les fonctions de haute disponibilité (dispatcher redondant et détection des serveurs enpanne) ne sont pas incluses dans la version standard de base de LVS, mais sont fourniesavec les solutions complètes présentées au 3.1.7.1.

Remarque impor tante : certains systèmes d'exploitation répondent à des requêtes ARParrivant sur une interface différente de celle de l'adresse demandée. C'est en particulier lecas des versions 2.2.x de Linux. Ces systèmes ne peuvent pas être utilisés comme serveursdans les architectures avec tunneling ou routage direct. Pour Linux 2.2.x un patch estdisponible sur le site de LVS afin de corriger ce problème.

3.1.7.4. Type de licence

LVS est distribué sous la licence GPL version 2.

3.1.7.5. Où le trouver ?

Les sources du produit et sa documentation peuvent être téléchargées à l'URLhttp://www.linuxvirtualserver.org/.

UltraMonkey est accessible à l'URL http://ultramonkey.sourceforge.net/.

Piranha est inclus dans les distributions RedHat 6.1 et ultérieures. Le produit est présenté àl'URL http://www.redhat.com/support/wpapers/paranha/x32.html.

Page 26: CELAR Sécurité des logiciels libres Haute disponibilité

- 26 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

3.2. Couver ture fonctionnelle des produits

Le tableau ci-dessous présente, pour chacune des fonctions, la liste des produits quiassurent cette fonction, parmi ceux étudiés dans ce document.

Fonctions Logiciels libre fournissant cette fonctionMise en cluster

Mécanismes de reprise HeartbeatDétection de panne Heartbeat, Mon

Disponibilité des donnéesSupport du RAID Linux (pour RAID matériel et logiciel)Disques partagés GFSVolumes partagés DRBDHaute disponibilité des systèmesde fichiers

ReiserFS

Equilibrage de chargeEquilibrage de charge LVS

Redondance matér ielle localeRedondance matérielle locale Linux

Redondance multi-siteRedondance multi-site Aucun

3.3. Aspects relatifs à la sécur ité

Cette partie présente les différents problèmes liés à la sécurité dans le cadre de l'utilisationdes produits étudiés :

Authentification

Les produits qui communiquent entre nœuds d'un cluster utilisent des mécanismesd'authentification variables :

• Hearbeat permet d'authentifier les paquets de surveillance à l'aide d'une clef connue parchacun des serveurs et d'une fonction de hachage (MD5 ou SHA). Cependant cemécanisme ne protège pas du re-jeu. On peut par exemple envisager une attaque detype déni de service en envoyant périodiquement des paquets de ping préalablement"reniflés" pour faire croire qu'un nœud en panne fonctionne toujours ;

• Mon authentifie ses client par un nom d'utilisateur et un mot de passe qui sont transmisen clair sur le réseau ;

• DRBD ne possède aucun mécanisme d'authentification pour ses paquets de mise à jourdu disque secondaire et d'acquittement. En particulier, il est très aisé de produire des"faux" paquets pour modifier le contenu du disque secondaire.

Page 27: CELAR Sécurité des logiciels libres Haute disponibilité

- 27 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

Contrôle d'accès

Aucun produit ne fournit de fonction de contrôle d'accès pour ses échanges réseau : lespaquets authentifiés sont toujours acceptés.

Dans le cadre de l'utilisation de DRBD, l'authentification sur les systèmes de fichiers Unixest basée sur les UID. Les UID doivent donc être les mêmes sur les deux serveurs.

Intégr ité

Hormis Heartbeat qui utilise MD5 ou SHA pour signer ses paquets, aucun des produits nepropose de fonction assurant l'intégrité des données échangées.

En particulier, DRBD ne garantit pas l'intégrité des informations écrites sur le disque dunœud secondaire.

Confidentialité :

Aucun des produits étudiés ne propose de mécanisme pour assurer la confidentialité desdonnées. En particulier, si on utilise DRBD, on peut reconstituer le disque répliqué ou unepartie de celui-ci en "reniflant" suffisamment de paquets échangés.

Solutions :

Ce paragraphe présente des solutions destinées à sécuriser l'utilisation des produits étudiés :

1ère solution : sécurité de périmètre :

Cette solution consiste à intercaler un firewall entre le cluster de serveurs hautementdisponibles et l'extérieur.

Réseau non sécurisé(Internet/Intranet) Firewall

Cluster(réseau sécurisé)

clients

Cette configuration garantit que seules les requêtes autorisées venant des clients atteignentles nœuds composant le cluster. En particulier, un client connecté au réseau non sécurisé nepeut pas interférer avec les produits assurant la haute disponibilité.

Page 28: CELAR Sécurité des logiciels libres Haute disponibilité

- 28 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

2ème solution : utilisation des réseaux physiques distincts :

Une autre possibilité consiste à utiliser des réseaux physiques différents pour lesinformations sensibles ou pour les applications dont les communications ne sont pasprotégées par des mécanismes de sécurité suffisants. Le schéma ci-dessous présente unexemple de cluster sécurisé :

Réseau "privé"(surveillance des nœuds, réplication de

disques, administration …)

Réseau "public"(utilisé par les applications)

Clients et autres machines

Les précautions suivantes doivent être prises :

• Désactiver les mécanismes de routage sur les serveurs reliés aux deux réseaux ;

• Mettre en place des règles de filtrage IP sur ces serveurs pour interdire des connexionsvers les outils utilisant le réseau privé par l'intermédiaire de l'interface reliée au réseaupublic.

Ce type d'architecture est supporté par tout les produits étudiés.

Les deux solutions présentées ci-dessus ne sont pas exclusives et il est possible de lescombiner.

Page 29: CELAR Sécurité des logiciels libres Haute disponibilité

- 29 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

4. Comparaison

4.1. Critères

Les produits seront évalués selon deux groupes de critères décrits dans les paragraphessuivants :

• Critères fonctionnels ;

• Critères généraux.

4.1.1. Critères fonctionnels

Les fonctionnalités à évaluer sont celles présentées au chapitre 2. Le résultat de cetteévaluation indiquera quelles sont les possibilités offertes par le produit.

Cette partie décrit plus précisément quels points seront considérés pour chacune desfonctions et éventuellement sous-fonctions étudiés et de quelle façon il seront évalués.

4.1.1.1. Mise en cluster

Les points suivants seront évalués :

Mécanismes de repr ise :

• Support de différents modes de "clustérisation" (attente active, "failover" en cascade…);

• Nombre maximal de nœuds supportés ;

• Sélection dynamique du nœud de backup à utiliser en cas de panne (quels sont lescritères de sélection, est-il possible d'en ajouter ?) ;

• Compatibilité avec les produits d'équilibrage de charge existants : support d'instancesmultiples de services, remontée d'informations (tels que charge CPU, nœudopérationnel ou non…) du cluster vers l'équilibreur de charge, liste des produitssupportés ;

• Actions correctrices possibles : traitements que le produit peut déclencherautomatiquement en cas de panne (basculement, redémarrage d'application …).Support de plusieurs actions correctrices (par exemple si un service ne répond pas, leservice est redémarré, et si cela échoue le nœud est redémarré).

Détection de pannes :

• Détection de pannes logicielles : capacité à détecter un problème (application ouservice réseau défaillant ou arrêté) sans modifier l'application. Quels sont lesapplications ou services réseau surveillés ? ;

Page 30: CELAR Sécurité des logiciels libres Haute disponibilité

- 30 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

• Détection de pannes matérielles : quels sont les types de pannes qui peuvent êtredétectés et peut-on déclencher une action de basculement vers un autre nœud ?mécanismes de détection, support de chemins multiples pour la détection de nœuds enpanne ;

• Détection de problèmes de ressources : déclenchement du basculement sur des critèrestels que charge, espace disque ou mémoire …. ;

• Interfaces : existence d'une interface (API ou outils en ligne de commande) permettantaux applications de déclencher un basculement ou consulter l'état du cluster.

• Extensibilité : ajout par l'administrateur de critères de basculement, de mécanismes dedétection de panne, d'actions correctrices (ajout possible de scripts personnalisés) … ;

• Réglages possibles : quels sont les paramètres réglables? Peut-on configurer les délais(pour déclarer un nœud comme en panne ou effectuer la reprise), le nombre d'essaispour les actions correctrices ?

4.1.1.2. Disponibilité des données

Suppor t du RAID :

• RAID logiciel. Types de RAID supportés (0,1,5) ;

• RAID matériel. Types de RAID supportés. Liste des solutions matérielles supportées.En particulier on vérifiera l'existence de mécanismes de remontée d'erreur pris encharge par le produit de haute disponibilité et le support du "hot-swap".

Disques par tagés physiquement entre plusieurs nœuds :

• Liste des produits supportés ;

• Accès concurrent : Plusieurs nœuds peuvent-ils accéder simultanément au disque,quelles sont les restrictions (par exemple accès en écriture limité à un seul nœud) ;

• Nombre de nœuds supportés : il s'agit du nombre de nœuds pouvant être reliéssimultanément aux disques.

Volumes par tagés :

• Utilisation de volumes distants ou réplication de volumes locaux sur un nœud différent;

• Accès concurrents ;

• Existence d'un mécanisme de resynchronisation après une déconnexion ou une panne ;

• Nombre de nœuds supportés : nombre de nœuds pouvant être reliés simultanément auxdisques.

Haute disponibilité des systèmes de fichiers :

• Maintien de l'état d'un système de fichiers distant après une panne du nœudl'hébergeant (par exemple conservation des verrous dans le cas de NFS) ;

• Support de systèmes de fichiers journalisés.

Page 31: CELAR Sécurité des logiciels libres Haute disponibilité

- 31 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

4.1.1.3. Equilibrage de charge

Les points suivants seront évalués :

• Haute disponibilité du mécanisme d'équilibrage de charge ;

• Services supportés (services réseau TCP/IP, autres …) ;

• Critères de "dispatching" supportés : quels critères sont possibles pour sélectionner lenœud traitant une requête (Round Robin, hasard, sélection selon ressourcesdisponibles… Peut-on envoyer toutes les requêtes d'un client vers un seul nœud?) ;

• Ressources surveillées et utilisées dans les critères de dispatching (CPU utilisé, charge,nombre de connexions…) ;

• Détection des nœuds en panne. Le produit ne doit pas aiguiller une requête vers unnœud en panne.

• Mécanismes supportés (NAT, tunneling, routage direct…)

4.1.1.4. Redondance matér ielle locale

Le support des produits étudiées sera évalué pour les solutions matérielles suivantes :

• Support des matériels hautement disponibles (liste des périphériques redondants et"hot-swappables"). Impact sur les applications ;

• Support des solution matérielles de watchdog. Liste des produits supportés ;

• Gestion des onduleurs (détection coupure, consultation de la batterie, gestion duredémarrage …) ;

• Support des solutions matérielles permettant de déclencher le démarrage, leredémarrage ou l'arrêt d'un nœud à distance.

4.1.1.5. Redondance multi-sites

Les points suivants seront évalués :

• Mécanismes de synchronisation de données entre sites (synchrone, asynchrone …) ;

• Mécanismes de reprise multi-sites

4.1.2. Critères généraux

Ces critères ne sont pas associés à des fonctionnalités particulières, mais permettent uneévaluation d'ensemble des produits. Ils concernent :

• La notoriété du produit et de l’éditeur ;

• La qualité technique du produit ;

• L'administrabilité du produit ;

• Le maintien en conditions opérationnelles ;

Page 32: CELAR Sécurité des logiciels libres Haute disponibilité

- 32 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

• Les aspects financiers et juridiques.

Ces critères sont détaillés ci-dessous :

Notor iété :

Appréciation de la notoriété du produit et de la société qui l'édite.

Les références connues du produit seront prises en compte.

Qualité technique du produit :

Synthèse de la qualité des produits sur le plan technique.

En particulier, les sous-critères suivants seront évalués :

• Robustesse ;

• Sécurité : ce critère estime les problèmes de sécurité posés par l'utilisation des produitsétudiés. Les questions de sécurité sont présentés plus en détail dans la partie 3.3).

Administration et exploitation :

Les points suivants seront jugés :

• Configuration à chaud (y compris ajout et suppression de nœuds dans un cluster) ;

• Configuration centralisée ;

• Console d'exploitation centralisée ;

• Mécanismes d'alertes (SNMP, notification des utilisateurs, méthodes externes : E-Mail,pager, téléphone …) ;

• Existence d'une API (pour la configuration, remontée de l'état du cluster, etdéclenchement de basculement) ;

• Centralisation de la configuration des systèmes d'exploitation des différents nœuds(nommage, paramétrage …).

Maintien en conditions opérationnelles :

Ce critère constitue une synthèse des sous-critères suivants :

• Documentation : évaluation de la qualité et de la complétude de la documentation duproduit, ainsi que de l'existence d'une aide en ligne intégrée au produit ou disponiblesur le Web ;

• Support : existence et qualité du support ;

• Prise en main : facilité de prise en main du produit.

Page 33: CELAR Sécurité des logiciels libres Haute disponibilité

- 33 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

4.1.3. Notation

Cette partie décrit la méthode d'évaluation et de comparaison des produits, et la manièredont les résultats seront présentés.

On comparera trois solutions décrites ci-dessous :

• AIX/HACMP ;

• Digital Unix/TruClusters ;

• Logiciels libres : l'ensemble des produits décrits dans ce document. Pour chacun descritères fonctionnels, on rappellera quels sont les produits concernés.

Pour chacune des solutions sont évalués :

• Les sous-critères : à chacun d'eux sera associée une notation qui dépendra du sous-critère. Elle pourra être + si la fonctionnalité est présente et implémentée de façonsatisfaisante, - pour indiquer que la fonctionnalité n'est pas implémentée ou de manièrenon satisfaisante. On indiquera n/a si la fonctionnalité ne s'applique pas, et pas denotation si la fonctionnalité n'a pu être évaluée. On pourra aussi associer à un sous-critère une évaluation informelle, par exemple une valeur numérique pour le sous-critère "nombre de nœuds supportés".

• Les critères (fonctionnels ou généraux) : à chacun des critères sera associée une note�, ��� , ����� selon que l'évaluation du critère correspondant est mauvaise, moyenne

ou bonne. Cette note sera déduite des évaluations des sous-critères dépendant de cecritère.

Ces notations seront récapitulées sous la forme de deux tableaux :

• Un tableau d'évaluation présentant l'ensemble des critères et de leurs sous-critères ;

• Un tableau de synthèse ne montrant que les critères.

Page 34: CELAR Sécurité des logiciels libres Haute disponibilité

- 34 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

Les colonnes de ces tableaux sont les suivantes :

• Critères : critères ou sous-critères évalués ;

• HACMP / Trucluster / Logiciel libres : notation du critère ou sous-critère commeprésenté ci-dessus ;

• Produits : dans le cas des critères fonctionnels, cette colonne indique quels sont lesproduits concernés par la fonction associée au critère ;

• Remarques : Cette rubrique précise la notation de la solution logiciels libres et peutéventuellement présenter des éléments de comparaison avec les autres solutions.

4.2. Tableaux de comparaison

Cette partie contient les tableaux d'évaluation et de synthèse décrits en 4.1.3.

Page 35: CELAR Sécurité des logiciels libres Haute disponibilité

- 3

5 -

CE

LA

R –

SE

CU

RIT

E D

ES

LO

GIC

IEL

S L

IBR

ES

– H

AU

TE

DIS

PO

NIB

ILIT

EA

DS

SY

CO

MO

RE

- R

EF

. 00-

176/

2000

0063

3- V

1.0

DU

30/

06/2

000

Tab

leau

1 :

Rés

ulta

t de

l'év

alua

tion

Eva

luat

ion

Log

icie

l lib

reC

ritè

res

HA

CM

PT

ruC

lust

erL

og. L

ibre

Prod

uits

Rem

arqu

es

Mis

e en

clu

ster

Méc

anis

mes

de

repr

ise

���

���

Hea

rtbe

at f

ourn

i un

e so

luti

on "

légè

re"

de c

lust

erin

g po

ur d

eux

serv

eurs

.C

e pr

odui

t es

t à

com

plét

er p

ar u

n ou

til

de d

étec

tion

de

pann

es l

ogic

iell

este

l que

Mon

.

Mod

es d

e "c

lust

eris

atio

n"su

ppor

tés

++

-C

ontr

aire

men

t aux

sol

utio

ns c

omm

erci

ales

, Hea

rtbe

at n

e su

ppor

te q

u'un

seul

mod

e de

rep

rise

(vo

ir d

escr

ipti

on 3

.1.2

). E

n pa

rtic

ulie

r, p

as d

efa

ilov

er e

n ca

scad

e, d

'inst

ance

s m

ulti

ples

de

serv

ice…

. H

eart

beat

impo

seun

bas

cule

men

t lor

sque

le n

œud

pri

ncip

al e

st d

ispo

nibl

e ap

rès

une

pann

e.

Nom

bre

de n

œud

s su

ppor

tés

328

2L

a do

cum

enta

tion

sur

Hea

rtbe

at i

ndiq

ue q

ue l

a li

mit

atio

n à

2 nœ

uds

devr

ait ê

tre

bien

tôt s

uppr

imée

(l'a

rchi

tect

ure

du p

rodu

it e

st p

révu

e po

ur u

npl

us g

rand

nom

bre

de n

œud

s).

Séle

ctio

n dy

nam

ique

du

nœud

de

back

up+

--

Cet

te f

onct

ion

n'es

t pas

impl

émen

tée

dans

Hea

rbea

t et T

ruC

lust

er.

Com

pati

bili

té a

vec

les

prod

uits

d'éq

uili

brag

e de

cha

rge

++

-

Hea

rbea

t

Hea

rtbe

at n

e su

ppor

te p

as d

'inst

ance

s m

ulti

ples

de

serv

ice.

Il n

'est

don

cpa

s po

ssib

le d

'uti

lise

r H

eart

beat

pou

r gé

rer

les

serv

eurs

dan

s le

cad

re d

'une

solu

tion

d'é

quil

ibra

ge d

e ch

arge

à l'

aide

de

ce p

rodu

it.

Page 36: CELAR Sécurité des logiciels libres Haute disponibilité

- 3

6 -

CE

LA

R –

SE

CU

RIT

E D

ES

LO

GIC

IEL

S L

IBR

ES

– H

AU

TE

DIS

PO

NIB

ILIT

EA

DS

SY

CO

MO

RE

- R

EF

. 00-

176/

2000

0063

3- V

1.0

DU

30/

06/2

000

Eva

luat

ion

Log

icie

l lib

reC

ritè

res

HA

CM

PT

ruC

lust

erL

og. L

ibre

Prod

uits

Rem

arqu

es

Act

ions

cor

rect

rice

s po

ssib

les

++

+A

ctio

ns p

ossi

bles

:•

Rep

rise

d’a

dres

se I

P ;

• R

epri

se d

'un

serv

ice

(via

scr

ipt d

e dé

mar

rage

) ;

• A

ctio

n qu

elco

nque

(sc

ript

à f

ourn

ir).

En

cas

de p

anne

d'u

ne in

terf

ace

rése

au le

pro

duit

ne

sait

pas

bas

cule

r su

run

e au

tre

inte

rfac

e (s

auf

à dé

velo

pper

cet

te f

onct

ion)

.L

es tr

ois

prod

uits

son

t équ

ival

ents

.

Dét

ecti

on d

e pa

nnes

���

���

���

Les

lo

gici

els

libr

es

étud

iés

perm

ette

nt

de

surv

eill

er

la

plup

art

des

ress

ourc

es lo

gici

elle

s et

mat

érie

lles

.

Dét

ecti

on p

anne

s lo

gici

elle

s+

++

Mon

per

met

de

surv

eill

er u

n gr

and

nom

bre

de s

ervi

ces

rése

au (

HT

TP,

LD

AP…

).

Dét

ecti

on p

anne

s m

atér

iell

es+

++

Hea

rtbe

at,

Mon

Les

pro

duit

s pe

rmet

tent

de

déte

cter

des

pan

nes

mat

érie

lle

avec

des

méc

anis

mes

de

"pin

g" (

pour

Mon

) ou

de

dial

ogue

ent

re a

gent

s pr

ésen

ts s

urle

s nœ

uds.

Les

troi

s pr

odui

ts s

ont é

quiv

alen

ts.

On

peut

not

er q

ue H

eart

beat

dia

logu

e pa

r pl

usie

urs

mét

hode

ssi

mul

tané

men

t (ré

seau

et p

ort s

érie

), c

e qu

i lui

per

met

de

dist

ingu

er le

spa

nnes

rés

eau

et p

anne

s co

mpl

ètes

d'u

n nœ

ud.

Le

prod

uit l

m-s

enso

rs (

non

étud

ié d

ans

ce r

appo

rt)

perm

et d

e co

ntrô

ler

les

sond

es d

e te

mpé

ratu

re, v

enti

late

urs,

ali

men

tati

on, p

rése

nt d

ans

les

mat

érie

ls P

C s

tand

ards

.

Page 37: CELAR Sécurité des logiciels libres Haute disponibilité

- 3

7 -

CE

LA

R –

SE

CU

RIT

E D

ES

LO

GIC

IEL

S L

IBR

ES

– H

AU

TE

DIS

PO

NIB

ILIT

EA

DS

SY

CO

MO

RE

- R

EF

. 00-

176/

2000

0063

3- V

1.0

DU

30/

06/2

000

Eva

luat

ion

Log

icie

l lib

reC

ritè

res

HA

CM

PT

ruC

lust

erL

og. L

ibre

Prod

uits

Rem

arqu

es

Dét

ecti

on d

e pr

oblè

mes

de

ress

ourc

es+

-+

La

seul

e re

ssou

rce

qu'o

n sa

it s

urve

ille

r (a

vec

Mon

) es

t l'e

spac

e di

sque

,m

ais

on p

eut e

n aj

oute

r en

écr

ivan

t ses

pro

pres

scr

ipts

.

Au

nive

au d

es s

olut

ions

com

mer

cial

es,

cett

e so

luti

on e

st i

mpl

émen

tée

dans

le p

rodu

it d

'IBM

mai

s pa

s ce

lui d

e D

igit

al.

Inte

rfac

es (

API

)+

++

Hea

rtbe

at :

Il e

st p

ossi

ble

de d

écle

nche

r le

bas

cule

men

t dep

uis

une

appl

icat

ion

par

l'int

erm

édia

ire

d'ou

tils

en

lign

e de

com

man

de. L

'API

de

cons

ulta

tion

de

l'éta

t du

clus

ter

est e

n co

urs

de d

ével

oppe

men

t et p

rése

nte

enco

re d

e gr

os p

robl

èmes

de

stab

ilit

é.M

on :

Mon

est

livr

é av

ec u

n ou

til d

'adm

inis

trat

ion

en li

gne

de c

omm

ande

que

l'ont

peu

t exé

cute

r su

r le

ud d

u se

rveu

r M

on o

u à

dist

ance

. Les

fonc

tion

s de

l'ou

til s

ont d

écri

tes

en 3

.1.3

. Le

prod

uit e

st li

vré

avec

des

exem

ples

de

scri

pts

util

isan

t cet

out

il.

Les

API

s de

s pr

odui

ts c

omm

erci

aux

sont

plu

s ho

mog

ènes

.

Ext

ensi

bili

té+

++

Hea

rtbe

at :

On

peut

ajo

uter

des

act

ions

à d

écle

nche

r lo

rs d

u ba

scul

emen

t.M

on :

On

peut

ajo

uter

des

scr

ipts

de

surv

eill

ance

de

nouv

elle

s re

sour

ces

ou d

es s

crip

ts à

déc

lenc

her

en c

as d

'ale

rte.

Les

troi

s pr

odui

ts s

ont é

quiv

alen

ts.

Rég

lage

s po

ssib

les

+

Cri

tère

s

Tou

s le

s in

terv

alle

s de

sur

veil

lanc

e, le

nom

bre

d'éc

hecs

ava

nt a

lert

e ou

basc

ulem

ent s

ont p

aram

étra

bles

.D

ans

le c

as d

e M

on o

n pe

ut d

éfin

ir d

es d

épen

danc

es e

ntre

les

reso

urce

spa

rtag

ées

pour

lim

iter

le n

ombr

e d'

alar

mes

.

Dis

poni

bilit

é de

s do

nnée

s

Page 38: CELAR Sécurité des logiciels libres Haute disponibilité

- 3

8 -

CE

LA

R –

SE

CU

RIT

E D

ES

LO

GIC

IEL

S L

IBR

ES

– H

AU

TE

DIS

PO

NIB

ILIT

EA

DS

SY

CO

MO

RE

- R

EF

. 00-

176/

2000

0063

3- V

1.0

DU

30/

06/2

000

Eva

luat

ion

Log

icie

l lib

reC

ritè

res

HA

CM

PT

ruC

lust

erL

og. L

ibre

Prod

uits

Rem

arqu

es

Supp

ort

RA

ID

��

��

��

Lin

ux f

ourn

it u

ne f

onct

ion

de R

AID

log

icie

l tr

ès c

ompl

ète,

mai

s su

ppor

tetr

ès p

eu d

e so

luti

ons

mat

érie

lles

.

RA

ID m

atér

iel

++

-U

n se

ul p

rodu

it (

cont

rôle

ur)

supp

orté

par

Lin

ux c

ontr

aire

men

t au

x au

tres

solu

tion

s..

RA

ID lo

gici

el-

-+

Lin

ux

Trè

s co

mpl

et p

our

Lin

ux.

Pas

supp

orté

par

HA

CM

P. S

uppo

rt li

mit

é pa

r D

igit

al (

pas

de R

aid

5).

Dis

ques

par

tagé

s

��

���

��

Solu

tion

s co

mm

erci

ales

:•

Com

paq

supp

orte

CFS

(C

lust

er F

ile

Syst

em)

;•

IBM

sup

port

e la

mêm

e fo

ncti

onna

lité

mai

s de

faç

on n

on c

onfo

rme

à la

norm

e PO

SIX

.•

GFS

sup

port

e pe

u de

mat

érie

ls.

Prod

uits

sup

port

és+

+-

GFS

im

pose

des

lim

itat

ions

au

mat

érie

l :

le d

isqu

e ou

la

baie

doi

vent

supp

orte

r la

spé

cifi

cati

on D

lock

qui

est

peu

rép

andu

e, e

t le

s co

nstr

ucte

urs

qui l

'ont

impl

émen

té n

e la

sup

port

ent p

as.

Supp

ort S

CSI

et F

ibre

Cha

nnel

uni

quem

ent (

pas

de S

SA).

Acc

ès c

oncu

rren

t pos

sibl

e-

++

GFS

Not

e :

GFS

sup

port

e la

jou

rnal

isat

ion

dans

le

cas

d'ac

cès

en é

crit

ure

mul

tipl

es, c

ontr

aire

men

t à la

sol

utio

n d'

IBM

.

Page 39: CELAR Sécurité des logiciels libres Haute disponibilité

- 3

9 -

CE

LA

R –

SE

CU

RIT

E D

ES

LO

GIC

IEL

S L

IBR

ES

– H

AU

TE

DIS

PO

NIB

ILIT

EA

DS

SY

CO

MO

RE

- R

EF

. 00-

176/

2000

0063

3- V

1.0

DU

30/

06/2

000

Eva

luat

ion

Log

icie

l lib

reC

ritè

res

HA

CM

PT

ruC

lust

erL

og. L

ibre

Prod

uits

Rem

arqu

es

Nom

bre

de n

œud

s su

ppor

tés

816

+

Cri

tère

s

La

mis

e en

pla

ce d

e G

FS la

plu

s im

port

ante

a u

tili

sé 1

6 nœ

uds

accé

dant

de

faço

n co

ncur

rent

e à

des

disq

ues

part

agés

.

Vol

umes

par

tagé

s

Cet

te f

onct

ionn

alit

é n'

est p

as im

plém

enté

e da

ns le

s so

luti

ons

com

mer

cial

es o

ù on

uti

lise

plu

tôt d

es d

isqu

es p

arta

gés.

Méc

anis

me

de r

épli

cati

on d

evo

lum

es /

util

isat

ion

de v

olum

esdi

stan

ts

n/a

n/a

+L

e se

ul m

ode

de f

onct

ionn

emen

t sup

port

é pa

r D

RB

D e

st la

rép

lica

tion

à la

volé

e.

Acc

ès c

oncu

rren

t pos

sibl

en/

an/

a-

Pas

d'ac

cès

conc

urre

nt p

ossi

ble

Méc

anis

me

de r

esyn

chro

nisa

tion

aprè

s dé

conn

exio

nn/

an/

a+

DR

BD

a 2

méc

anis

mes

:•

resy

nchr

onis

atio

n pa

rtie

lle

décl

ench

ée a

utom

atiq

uem

ent a

près

une

déco

nnex

ion

tem

pora

ire

(cou

pure

rés

eau

ou p

anne

du

seco

ndai

re)

• re

sync

hron

isat

ion

tota

le (

reco

pie

de l'

ense

mbl

e du

vol

ume)

: So

ndé

clen

chem

ent s

e fa

it m

anue

llem

ent p

ar u

n ou

til e

n li

gne

deco

mm

ande

.L

es d

eux

méc

anis

mes

fon

ctio

nnen

t en

tâch

e de

fon

d.

Nom

bre

de n

œud

s su

ppor

tés

n/a

n/a

2

DR

BD

La

road

map

du

pr

odui

t in

diqu

e qu

e la

li

mit

atio

n a

2 nœ

uds

sera

supp

rim

ée.

Hau

te d

ispo

nibi

lité

des

syst

èmes

de

fich

iers

Rei

serF

SR

eise

rFs

: Jo

urna

lisa

tion

des

mét

a-do

nnée

s un

ique

men

t (c

'est

aus

si l

e ca

sde

s so

luti

ons

com

mer

cial

es),

ce

qui c

orre

spon

d à

une

util

isat

ion

cour

ante

.

Page 40: CELAR Sécurité des logiciels libres Haute disponibilité

- 4

0 -

CE

LA

R –

SE

CU

RIT

E D

ES

LO

GIC

IEL

S L

IBR

ES

– H

AU

TE

DIS

PO

NIB

ILIT

EA

DS

SY

CO

MO

RE

- R

EF

. 00-

176/

2000

0063

3- V

1.0

DU

30/

06/2

000

Eva

luat

ion

Log

icie

l lib

reC

ritè

res

HA

CM

PT

ruC

lust

erL

og. L

ibre

Prod

uits

Rem

arqu

es

Syst

èmes

de

fich

iers

jour

nali

sés

++

+R

eise

rFS

Pour

le

s so

luti

ons

com

mer

cial

es,

la

jour

nali

sati

on

est

une

fonc

tion

stan

dard

des

sys

tèm

es d

'exp

loit

atio

ns s

ur le

sque

lles

ell

es f

onct

ionn

ent.

Not

e :

plus

ieur

s au

tres

sys

tèm

es d

e fi

chie

rs j

ourn

alis

és s

ont

en c

ours

de

déve

lopp

emen

t (X

FS, J

FS, e

xt3,

Lin

Log

FS…

)

Hau

te d

ispo

nibi

lité

des

sys

tèm

esde

fic

hier

s+

-A

ucun

IBM

fou

rnit

des

fon

ctio

ns d

e ré

cupé

rati

on d

e l'é

tat d

'un

syst

ème

de f

ichi

ers

(ver

rous

…)

aprè

s un

cr

ash.

A

ucun

de

s pr

odui

ts

libr

es

ne

four

nit

deso

luti

on.

Equ

ilibr

age

de c

harg

e

Equ

ilibr

age

de c

harg

e

���

���

La

solu

tion

com

mer

cial

e co

nsid

érée

pou

r IB

M e

st :

Net

wor

k D

ispa

tche

rpo

ur I

BM

/HA

CM

P

Hau

te d

ispo

nibi

lité

du

méc

anis

me

d'éq

uili

brag

e de

char

ge

++

Ça

n'es

t pas

une

fon

ctio

n du

pro

duit

de

base

: il

fau

t uti

lise

r un

e de

sso

luti

ons

Pira

nha

ou U

ltra

mon

key,

ou

cela

doi

t êtr

e ré

alis

é pa

r ai

lleu

rs.

Cri

tère

s de

"di

spat

chin

g"su

ppor

tés

+-

Cri

tère

s :

• ro

und

robi

n po

ndér

é ou

pas

,•

choi

x du

ser

veur

ave

c le

moi

ns d

e co

nnex

ions

act

ives

, pon

déré

ou

pas.

LV

S ne

sup

port

e pa

s de

cri

tère

dép

enda

nt d

e l'é

tat d

es s

erve

urs

(cha

rge,

util

isat

ion

CPU

..)

cont

rair

emen

t à la

sol

utio

n d'

IBM

.

Dét

ecti

on d

es n

œud

s en

pan

ne+

+

LV

S

Les

sol

utio

ns P

iran

ha e

t Ult

ram

onke

y ap

port

ent c

ette

fon

ctio

n.

Page 41: CELAR Sécurité des logiciels libres Haute disponibilité

- 4

1 -

CE

LA

R –

SE

CU

RIT

E D

ES

LO

GIC

IEL

S L

IBR

ES

– H

AU

TE

DIS

PO

NIB

ILIT

EA

DS

SY

CO

MO

RE

- R

EF

. 00-

176/

2000

0063

3- V

1.0

DU

30/

06/2

000

Eva

luat

ion

Log

icie

l lib

reC

ritè

res

HA

CM

PT

ruC

lust

erL

og. L

ibre

Prod

uits

Rem

arqu

es

Méc

anis

mes

sup

port

és-

+

Cri

tère

s

LV

M e

st l

a so

luti

on q

ui s

uppo

rte

le p

lus

de m

écan

ism

es d

e ro

utag

e de

paqu

ets

vers

les

serv

eurs

. IB

M n

e su

ppor

te q

ue le

rou

tage

dir

ect.

Red

onda

nce

mat

érie

lle lo

cale

Red

onda

nce

mat

érie

lle lo

cale

���

��

Lin

uxR

ien

n'es

t pr

évu

parm

i le

s lo

gici

els

libr

es, à

par

t la

ges

tion

des

wat

chdo

gset

des

ond

uleu

rs.

Supp

ort d

es m

atér

iels

hau

tem

ent

disp

onib

les

+-

Auc

unPa

s de

sol

utio

n lo

gici

el li

bre.

Ges

tion

des

ond

uleu

rs+

+C

f. r

emar

que

Il e

xist

e de

nom

breu

x pr

odui

ts d

ans

le lo

gici

el li

bre

perm

etta

nt d

e gé

rer

les

ondu

leur

s et

de

décl

ench

er d

es a

ctio

ns s

elon

l'é

tat

de l

'ond

uleu

r. C

espr

odui

ts n

'ont

pas

été

étu

diés

dan

s ce

doc

umen

t.

Supp

ort d

es w

atch

dogs

+L

inux

Supp

orté

par

Lin

ux, m

ais

le n

ombr

e de

sol

utio

ns m

atér

iell

es s

uppo

rtée

s es

ttr

ès f

aibl

e (3

pro

duit

s).

Supp

ort a

rrêt

+re

dém

arra

gem

atér

iel

+-

Auc

unD

ispo

nibl

e su

r H

AC

MP

mai

s pa

s de

sol

utio

n lo

gici

el li

bre.

Red

onda

nce

mul

ti-s

ite

Red

onda

nce

mul

ti-s

ite

Auc

unA

ucun

logi

ciel

libr

e ne

fou

rnit

cet

te f

onct

ionn

alit

é (p

arm

i les

sol

utio

nsco

mm

erci

ales

, seu

l IB

M f

ourn

it u

ne f

onct

ion

de r

epri

se m

ulti

-sit

e sa

nsli

mit

e de

dis

tanc

e vi

a un

WA

N).

Page 42: CELAR Sécurité des logiciels libres Haute disponibilité

- 4

2 -

CE

LA

R –

SE

CU

RIT

E D

ES

LO

GIC

IEL

S L

IBR

ES

– H

AU

TE

DIS

PO

NIB

ILIT

EA

DS

SY

CO

MO

RE

- R

EF

. 00-

176/

2000

0063

3- V

1.0

DU

30/

06/2

000

Eva

luat

ion

Log

icie

l lib

reC

ritè

res

HA

CM

PT

ruC

lust

erL

og. L

ibre

Prod

uits

Rem

arqu

es

Méc

anis

mes

de

sync

hron

isat

ion

de d

onné

es e

ntre

sit

es+

n/a

n/a

Méc

anis

mes

de

repr

ise

de m

ulti

-si

tes

+n/

an/

a

Cri

tère

s

Cri

tère

s gé

néra

ux

Not

orié

���

���

Les

pro

duit

s lo

gici

els

libr

es é

tudi

és (

à pa

rt le

sys

tèm

e L

inux

) pr

ésen

tent

peu

de r

éfér

ence

s à

l'heu

re a

ctue

lle.

On

peut

cit

er l'

util

isat

ion

de R

eise

rFS

pour

le s

erve

ur sourceforge.net

(850

Go

de f

ichi

ers

en li

gne

dont

la m

oiti

é es

t sou

s R

eise

rFS)

.

Qua

lité

tech

niqu

e

���

���

��

Var

iabl

e se

lon

les

logi

ciel

s li

bres

uti

lisé

s.

Rob

uste

sse

++

+V

aria

ble

selo

n le

s pr

odui

ts.

Cer

tain

s pr

odui

t né

cess

iten

t de

s co

rrec

tion

spo

ur

pouv

oir

fonc

tion

ner

corr

ecte

men

t. Pa

r ex

empl

e da

ns

cert

aine

sci

rcon

stan

ces,

l'u

tili

sati

on c

onjo

inte

de

DR

BD

et

Hea

rtbe

at c

ondu

it à

des

situ

atio

ns o

u le

s de

ux n

œud

s es

saie

nt d

'êtr

e pr

imai

re e

n m

ême

tem

ps,

cequ

i con

duit

au

bloc

age

du p

rodu

it D

RB

D.

Sécu

rité

++

-V

oir

part

ie 3

.3.

Adm

inis

trat

ion

et e

xplo

itat

ion

���

tous

Adr

min

stra

tion

très

"B

as n

ivea

u" p

our

les

logi

ciel

s li

bres

.

Page 43: CELAR Sécurité des logiciels libres Haute disponibilité

- 4

3 -

CE

LA

R –

SE

CU

RIT

E D

ES

LO

GIC

IEL

S L

IBR

ES

– H

AU

TE

DIS

PO

NIB

ILIT

EA

DS

SY

CO

MO

RE

- R

EF

. 00-

176/

2000

0063

3- V

1.0

DU

30/

06/2

000

Eva

luat

ion

Log

icie

l lib

reC

ritè

res

HA

CM

PT

ruC

lust

erL

og. L

ibre

Prod

uits

Rem

arqu

es

Con

figu

rati

on à

cha

ud p

ossi

ble

+-

Pas

de c

onfi

gura

tion

san

s re

dém

arra

ge d

es p

rodu

its,

à p

art :

• R

etra

it te

mpo

rair

e d'

un s

erve

ur d

'un

clus

ter

Hea

rtbe

at p

ossi

ble

;•

Arr

êt d

e la

sur

veil

lanc

e d'

une

ress

ourc

e pa

r M

on.

Con

figu

rati

on c

entr

alis

ée+

-A

ucun

e po

ur le

s lo

gici

els

libr

es.

API

d'a

dmin

istr

atio

n+

-L

ogic

iels

lib

res

: en

gén

éral

, ad

min

istr

atio

n "à

l'a

ncie

nne"

: f

ichi

er d

eco

nfig

urat

ion

et

redé

mar

rage

du

pr

odui

t po

ur

pren

dre

en

com

pte

les

mod

ific

atio

ns.

Seul

Mon

fou

rnit

une

vra

ie A

PI.

IBM

fou

rnit

une

API

C/C

++

.

Cen

tral

isat

ion

de la

con

figu

rati

onde

s sy

stèm

es d

'exp

loit

atio

n de

sdi

ffér

ents

noe

uds

+-

Uti

lisa

tion

des

méc

anis

mes

sta

ndar

d U

nix

pour

les

logi

ciel

s li

bres

.

Les

out

ils

d'ad

min

istr

atio

n d'

IBM

per

met

tent

d'a

dmin

istr

er l

es s

ystè

mes

d'ex

ploi

tati

on d

es d

iffé

rent

s nœ

uds

d'un

clu

ster

de

man

ière

cen

tral

isée

(ges

tion

des

uti

lisa

teur

s, n

om d

es s

erve

urs

…)

Con

sole

d'e

xplo

itat

ion

cent

rali

sée

+-

Cri

tère

s

IBM

fou

rnit

une

con

sole

gra

phiq

ue p

rése

ntan

t l'é

tat

des

diff

éren

ts n

œud

sd'

où o

n pe

ut d

écle

nche

r de

s ac

tion

s te

lles

que

le

basc

ulem

ent

d'un

ser

vice

,le

dém

arra

ge o

u l'a

rrêt

d'u

n nœ

ud …

Rie

n po

ur le

s lo

gici

els

libr

es.

Page 44: CELAR Sécurité des logiciels libres Haute disponibilité

- 4

4 -

CE

LA

R –

SE

CU

RIT

E D

ES

LO

GIC

IEL

S L

IBR

ES

– H

AU

TE

DIS

PO

NIB

ILIT

EA

DS

SY

CO

MO

RE

- R

EF

. 00-

176/

2000

0063

3- V

1.0

DU

30/

06/2

000

Eva

luat

ion

Log

icie

l lib

reC

ritè

res

HA

CM

PT

ruC

lust

erL

og. L

ibre

Prod

uits

Rem

arqu

es

Méc

anis

mes

d'a

lert

es+

-Se

ul M

on e

st c

apab

le d

e re

mon

ter

ses

prop

res

aler

tes.

N’e

xist

e pa

s su

r le

sau

tres

logi

ciel

s li

bres

..

Mai

ntie

n en

con

diti

ons

opér

atio

nnel

les

���

��

Doc

umen

tati

on "

dens

e" e

t tr

ès t

echn

ique

et

« su

ppor

t » p

ar m

aili

ng-l

ist

pour

les

logi

ciel

s li

bres

..

Doc

umen

tati

on+

+D

ocum

enta

tion

typ

e M

an U

NIX

ou

HO

WT

O,

en g

énér

al a

ssez

con

cise

et

pas

du to

ut d

idac

tiqu

e, m

ais

asse

z co

mpl

ète.

Les

pro

duit

s so

nt f

ourn

is a

vec

des

exem

ples

de

fich

iers

de

conf

igur

atio

n.

Le

prod

uit

LV

S se

dém

arqu

e de

s au

tres

en

four

niss

ant

une

docu

men

tati

onen

lign

e de

bon

ne q

uali

té c

onte

nant

plu

sieu

rs e

xem

ples

de

conf

igur

atio

n.

Bon

ne d

ocum

enta

tion

pou

r H

AC

MP.

Supp

ort

+-

Pas

de s

uppo

rt o

ffic

iel p

our

le lo

gici

el li

bre,

mai

s il

y a

une

mai

ling

-lis

t sur

la

haut

e di

spon

ibil

ité

(arc

hive

av

ec

outi

l de

re

cher

che

et

mod

alit

ésd'

insc

ript

ion

sur

ww

w.li

nux-

ha.o

rg)

à la

quel

le

les

déve

lopp

eurs

de

spr

odui

ts p

arti

cipe

nt.

Pris

e en

mai

n+

-

Cri

tère

s

Les

pro

duit

s so

nt e

n gé

néra

l si

mpl

es à

ins

tall

er (

à pa

rt R

eise

rFS

qui

néce

ssit

e un

pat

ch n

oyau

et

dont

la

mis

e en

pla

ce c

omm

e sy

stèm

e de

fich

ier

d'un

e di

stri

buti

on e

xist

ante

peu

t êt

re d

élic

at)

et à

uti

lise

r. M

ais

une

inté

grat

ion

est n

éces

sair

e po

ur le

s lo

gici

els

libr

es.

Page 45: CELAR Sécurité des logiciels libres Haute disponibilité

- 4

5 -

CE

LA

R –

SE

CU

RIT

E D

ES

LO

GIC

IEL

S L

IBR

ES

– H

AU

TE

DIS

PO

NIB

ILIT

EA

DS

SY

CO

MO

RE

- R

EF

. 00-

176/

2000

0063

3- V

1.0

DU

30/

06/2

000

Page 46: CELAR Sécurité des logiciels libres Haute disponibilité

- 4

6 -

CE

LA

R –

SE

CU

RIT

E D

ES

LO

GIC

IEL

S L

IBR

ES

– H

AU

TE

DIS

PO

NIB

ILIT

EA

DS

SY

CO

MO

RE

- R

EF

. 00-

176/

2000

0063

3- V

1.0

DU

30/

06/2

000

Tab

leau

2 :

Syn

thès

e de

l'év

alua

tion

Not

atio

nSy

nthè

se lo

gici

el li

bre

Cri

tère

s

HA

CM

PT

ruC

lust

erL

og. l

ibre

Prod

uits

Rem

arqu

es

Mis

e en

clu

ster

Méc

anis

mes

de

repr

ise

���

���

Hea

rtbe

atH

eart

beat

fou

rnit

une

sol

utio

n "l

égèr

e" d

e cl

uste

ring

pou

r de

ux s

erve

urs.

Dét

ecti

on d

e pa

nne

���

���

���

Hea

rtbe

at,

Mon

Les

lo

gici

els

libr

es

étud

iés

perm

ette

nt

de

surv

eill

er

la

plup

art

des

ress

ourc

es lo

gici

elle

s et

mat

érie

lles

.

Dis

poni

bilit

é de

s do

nnée

s

Supp

ort

RA

ID

��

��

��

Lin

uxR

AID

lo

gici

el

plus

co

mpl

et

que

les

solu

tion

s co

mm

erci

ales

. R

AID

mat

érie

l sup

port

e pe

u de

con

trôl

eurs

.

Dis

ques

par

tagé

s

��

���

��

GFS

Prod

uit

com

plet

mai

s av

ec d

es c

ontr

aint

es i

mpo

rtan

tes

sur

le m

atér

iel

(sup

port

d'u

ne e

xten

sion

à la

nor

me

SCSI

).

Vol

umes

par

tagé

s

���

DR

BD

DR

BD

fou

rnit

une

fon

ctio

n de

rép

lica

tion

de

disq

ue a

u fi

l de

l'eau

et n

'apa

s d'

équi

vale

nts

dans

les

solu

tion

s co

mm

erci

ales

.

Hau

te d

ispo

nibi

lité

des

syst

èmes

de

fich

iers

���

���

���

Rei

serF

SR

eise

rFS

est d

éjà

util

isé

en p

rodu

ctio

n su

r pl

usie

urs

gros

ser

veur

s.

Equ

ilibr

age

de c

harg

e

Page 47: CELAR Sécurité des logiciels libres Haute disponibilité

- 4

7 -

CE

LA

R –

SE

CU

RIT

E D

ES

LO

GIC

IEL

S L

IBR

ES

– H

AU

TE

DIS

PO

NIB

ILIT

EA

DS

SY

CO

MO

RE

- R

EF

. 00-

176/

2000

0063

3- V

1.0

DU

30/

06/2

000

Not

atio

nSy

nthè

se lo

gici

el li

bre

Cri

tère

s

HA

CM

PT

ruC

lust

erL

og. l

ibre

Prod

uits

Rem

arqu

es

Equ

ilibr

age

de c

harg

e

���

���

LV

SL

VS

est d

ispo

nibl

e so

us f

orm

e de

sol

utio

ns c

ompl

ètes

, le

s ou

tils

adm

inis

trat

ion

vien

nent

de

sort

ir.

Red

onda

nce

mat

érie

lle lo

cale

Red

onda

nce

mat

érie

lle lo

cale

���

��

Lin

uxL

inux

ne

supp

orte

pas

la

plup

art

des

mat

érie

ls r

edon

dant

s, m

ais

perm

et d

egé

rer

les

ondu

leur

s et

les

wat

chdo

gs.

Red

onda

nce

mul

ti-s

ite

Red

onda

nce

mul

ti-s

ite

���

Auc

unA

ucun

logi

ciel

libr

e ne

fou

rnit

cet

te f

onct

ionn

alit

é (p

arm

i les

sol

utio

nsco

mm

erci

ales

, seu

l IB

M f

ourn

it u

ne f

onct

ion

de r

epri

se m

ulti

-sit

e sa

nsli

mit

e de

dis

tanc

e vi

a un

WA

N).

Cri

tère

s gé

néra

ux

Not

orié

���

���

Trè

s pe

u de

réf

éren

ces

en p

rodu

ctio

n ac

tuel

lem

ent (

à pa

rt L

inux

).

Qua

lité

tech

niqu

e

���

���

��

Var

iabl

e se

lon

les

prod

uits

.

Adm

inis

trat

ion

���

Adr

min

stra

tion

trè

s "B

as n

ivea

u" p

our

les

logi

ciel

s li

bres

à l

'exc

epti

on d

esde

ux s

olut

ions

inté

gran

t LV

S.

Mai

ntie

n en

con

diti

ons

opér

atio

nnel

les

���

��

Tou

s

Doc

umen

tati

on "

dens

e" e

t trè

s te

chni

que

et s

uppo

rt p

ar m

aili

ng-l

ist.

Page 48: CELAR Sécurité des logiciels libres Haute disponibilité

- 48 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© SYCOMORE AEROSPATIALE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

4.3. Synthèse

On constate que dans l’environnement des logiciels libres on trouve encore peu de produitsfournissant une solution globale de haute disponibilité, et que pour mettre en place une tellesolution il faut utiliser plusieurs "petits" produits apportant chacun une fonction de la hautedisponibilité (clustering, réplication de disques, RAID, …). Les produits doivent ensuiteêtre intégrés.

Les distributions Linux incluent rarement des outils de haute disponibilité. Il faut doncinstaller ces produits soi-même et les intégrer au système d'exploitation. Par exemple, dansle cas de ReiserFS, cette opération est très lourde : elle nécessite l'installation d'unedistribution, la sauvegarde complète, le repartitionnement et mise en place des partitionsReiserFS, la restauration du système, et la mise à jour "à la main" des fichiers deconfiguration du système, étant donné que ReiserFS n'est pas pris en compte par les outilsd'administration livré avec la distribution. Les seules exceptions sont :

• Redhat (www.redhat.com) qui inclut maintenant le produit Piranha dans sa distribution;

• La distribution Suse 6.4 (www.suse.com) qui peut s'installer sur un système de fichierReiserFS ;

• La distribution Conectiva Linux qui comprend le produit Heartbeat.

Faiblesses des produits :

• La sécurité a été prise en compte de manière inégale par les produits étudiés. Enparticulier le produit DRBD fait circuler en clair sur le réseau et sans authentificationtoutes les mises à jour apportées au contenu de la partition partagée. La mise en placed'une solution de haute disponibilité sécurisée passe par des solutions de type sécuritéde périmètre telles que celles décrite dans la partie 3.3 ;

• Les produits ne fournissent pas d'outil d'administration de haut niveau à part pour lesdeux solutions d'équilibrage de charge toutes intégrées (Ultramonkey et Piranha) ;

• Les produits étudiés n'ont pratiquement pas de références en production actuellement, àpart l'utilisation des fonctions standard de Linux (RAID, Watchdog), et le produitReiserFS ;

• Les produits étudiés présentent des limitations très contraignantes (par exemple lenombre de nœuds supportés par HeartBeat et DRBD), mais les auteurs annoncent queces limitations vont être supprimées dans des versions ultérieure. En particulier, dans ledomaine de la mise en cluster : le produit Heartbeat ne supporte que 2 nœuds, n'a pasde mécanisme de détection et de reprise dans le cas d'une panne d'une interface réseau.Aucun produit n'adresse actuellement le problème de redondance entre sites distantsmultiples. La vitesse d'évolution des produits et le nombre d'intervenants participant àces projets semblent aller dans ce sens.

Page 49: CELAR Sécurité des logiciels libres Haute disponibilité

- 49 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© SYCOMORE AEROSPATIALE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

Les logiciels libres offrent des solutions de qualité comparable (à part pour les outilsd'administration) avec les produits commerciaux dans les domaines suivants :

• RAID matériel et logiciel

• Disques partagés (GFS)

• Equilibrage de charge (LVS)

Les logiciels libres permettent la mise en place de solutions hautement disponibles sur dumatériel à faible coût (PC standard) :

• Une solution de réplication de disques à la volée permet d'assurer la haute disponibilitédes données la ou une solution commerciale équivalente nécessite la mise en place dedisques partagés et donc de matériel spécifique (Fibre Channel …) ;

• La solution de RAID logiciel fournie par Linux est plus complète que celles fourniespar les solutions commerciales. Certaines fonctionnalités (RAID 5 par exemple) qu'ellefournit nécessitent forcément la mise en place d'une solution matérielle spécifique dansle cas des solutions commerciales.

En conclusion, les solutions de haute disponibilité dans l'environnement logiciel libre n'ontpas encore atteint le stade de la maturité. On peut toutefois affirmer que la hautedisponibilité est une réalité satisfaisante pour Linux si on se limite à des cas simples, et enparticulier au cas le plus couramment utilisé qui est le backup d'un serveur sur un autreavec un partage de disques.

5. Le futur

Les éditeurs de distributions incluent de plus en plus des produits concernant la hautedisponibilité dans leurs distributions :

• Redhat propose le produit Piranha et l'inclut dans sa distribution;

• La distribution Suse peut s'installer sur du ReiserFS ;

• Conectiva Linux (www.conectiva.com) est livré avec Heartbeat.

On voit un nombre croissant d'annonces de sociétés commerciales qui prennent en comptele problème de la haute disponibilité et vont proposer (ou proposent déjà) des solutionscomplètes, des nouveaux produits, ou la mise sous licence open source de leurs produitsdéjà existants. On peut citer les exemples suivants :

• IBM a diffusé une version de son système de fichier journalisé (JFS) pour Linux, maisle produit n'est pas encore utilisable (version 0.0.5 et beaucoup de fonctionnalitésmanquent). IBM a annoncé la disponibilité prochaine de son gestionnaire de volumes

Page 50: CELAR Sécurité des logiciels libres Haute disponibilité

- 50 -

CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© SYCOMORE AEROSPATIALE - REF. 00-176/200000633- V 1.0 DU 30/06/2000

(LVM) qui permet de gérer les partitions disques sans interruption de service (celainclut les déplacement, redimensionnement, etc..).

• Silicon Graphics fournit déjà son système de fichier journalisé (XFS) mais ce produitn'est pas encore utilisable. SGI a annonce, en coopération avec Suse, la disponibilitéprochaine (été 2000) de son produit FailSafe sous licence open source.

• La société de services MissionCriticalLinux (www.missioncriticallinux.com) quipropose des solutions centrés autour de la haute disponibilité sous Linux a annoncé finMars son intention de proposer des solutions spécifiques aux marchés financiers. Cettesociété vient d'annoncer la mise sous licence GPL de son produit Kimberlite ClusteringTechnology, qui inclut en particulier le support des disques partagés et le support descommande à distances pour le redémarrage des serveurs.

• VA-Linux développe le produit Ultramonkey et a réalisé une démonstration de clusterbasé sur GFS ;

Les mailing-lists et forums de discussions traitant des solutions libres pour la hautedisponibilité enregistrent un fort trafic traitant en particulier des points suivants :

• Mise au point et évolutions des produits existant ;

• Discussions pour la création de nouveaux produits (par exemple actuellement une APIde gestion des commandes à distances pour déclencher le redémarrage d'un serveurdepuis une application est en cours de définition).

L’agitation des développeurs et des sociétés commerciales autour de la haute disponibilitésur Linux et les logiciels libres montre qu’ il existe une forte attente dans ce domaine etnous assure d'avoir rapidement des produits adéquats pour apporter à cet environnementdes solutions plus performantes que les meilleures offres commerciales disponiblesaujourd’hui sur le marché.