Copyright ©2000 EADS SYCOMORE
Auteur : Eric Bérenguier
Référence : 00-176/200000633
Version : 1.0
Date : 30/06/2000
État :
Approbateur : Guy Autier
CELARSécur ité des logiciels libres
Haute disponibilité
- 2 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
Histor ique des révisions
N° Date Auteur Contenu0.1 23/05/2000 E.B. Création1.0 30/06/2000 E.B. Mise à jour
- 3 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
Table des matières
1. INTRODUCTION..................................................................................5
2. FONCTIONS SPÉCIFIQUES LA HAUTE DISPONIBILITÉ.................5
2.1. Présentation générale.................................................................................................... 5
2.2. Mise en cluster ............................................................................................................... 6
2.3. Disponibilité des données.............................................................................................. 6
2.4. Redondance matér ielle locale...................................................................................... 6
2.5. Redondance multi-sites................................................................................................. 7
2.6. Equilibrage de charge................................................................................................... 7
2.7. Administration et exploitation...................................................................................... 7
3. PRODUITS ..........................................................................................8
3.1. Pr incipaux produits étudiés.......................................................................................... 83.1.1. Linux ...................................................................................................................... 83.1.2. HeartBeat.............................................................................................................. 103.1.3. Mon ...................................................................................................................... 123.1.4. DRBD................................................................................................................... 143.1.5. ReiserFS............................................................................................................... 173.1.6. GFS....................................................................................................................... 183.1.7. LVS...................................................................................................................... 20
3.2. Couver ture fonctionnelle des produits....................................................................... 26
3.3. Aspects relatifs à la sécur ité........................................................................................ 26
4. COMPARAISON................................................................................29
4.1. Cr itères......................................................................................................................... 294.1.1. Critères fonctionnels............................................................................................. 294.1.2. Critères généraux.................................................................................................. 314.1.3. Notation................................................................................................................ 33
4.2. Tableaux de comparaison ........................................................................................... 34
4.3. Synthèse........................................................................................................................ 48
5. LE FUTUR .........................................................................................49
- 4 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
- 5 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
1. Introduction
Ce document présente le résultat de l'étude sur les solutions de haute disponibilité à base delogiciels libres. Les points traités sont les suivants :
• Etude des produits existants ;
• Comparaison avec deux des principales solutions commerciales ;
• Evaluation des problèmes de sécurité posés par les produits étudiés.
Le document comprend les parties suivantes :
• Présentation des fonctions relatives à la haute disponibilité ;
• Présentation des produits étudiés : fonctionnalités et caractéristiques techniques ;
• Résultat de l'évaluation : présentation des critères, et évaluation selon ces critères (pourles produit étudiés et les deux solutions commerciales retenues) ;
• Prévisions sur les évolutions des logiciels libres dans le domaine de la hautedisponibilité.
2. Fonctions spécifiques la haute disponibilité
2.1. Présentation générale
Cette partie présente les fonctionnalités identifiées dans le cadre de la haute disponibilité.Certaines seront décomposées en sous-fonctions.
Ces fonctionnalités sont les suivantes :
• Mise en cluster ;
• Disponibilité des données ;
• Redondance matérielle locale ;
• Equilibrage de charge ;
• Redondance multi-sites.
- 6 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
2.2. Mise en cluster
Ce thème recouvre l'ensemble des fonctions permettant la reprise d'un service assurée parun nœud d'un cluster par un autre nœud en cas de défaillance matérielle ou logicielle.
Les sous-fonctions sont détaillées ci-dessous :
• Mécanisme de reprise : tous les mécanismes permettant de reprendre un service qui aété interrompu par une panne. Cela inclut le lancement d'applications et la reprise dedonnées et d'adresses réseau ;
• Détection de pannes : détection de problèmes matériels ou logiciels pouvant déclencherune action correctrice comme par exemple le basculement d'un service sur un nœud quin'est pas touché par le problème.
2.3. Disponibilité des données
Cette fonction garantit la haute disponibilité des données stockées sur disque, elle inclut lesmécanismes de redondance des données et la reprise. Les sous-fonctions identifiées sont lessuivantes :
• Support du RAID : indique le support de solutions matérielles existantes RAID, ou lafourniture d'une fonctionnalité équivalente purement logicielle ;
• Disques partagés entre plusieurs nœuds : support des solutions matérielles de disquespartagés où plusieurs nœuds sont directement reliés aux disques concernés ;
• Volumes partagés : présence de mécanismes permettant d'utiliser des périphériquesdistants, ou de répliquer "au fil de l'eau" un périphérique local sur un nœud distant ;
• Haute disponibilité des systèmes de fichiers distants : inclut tous les mécanismespermettant la haute disponibilité d'un système de fichiers distant (tel que NFS) dans lecas où le serveur fournissant ce système de fichiers tombe en panne ;
• Reprise après panne : inclut le support de mécanismes permettant de reprendre unsystème de fichiers après un "crash" sans perte de données.
2.4. Redondance matér ielle locale
Ce thème consiste à évaluer le support, par les produits étudiés, des solutions matérielles dehaute disponibilité telles que celles trouvées sur les serveurs Unix haut de gamme. Lessolutions matérielles incluent :
• Périphériques redondants (stockage, réseau, alimentations, CPUs, utilisation decrossbar pour rendre le bus redondant …) ;
• Changement "à chaud" de périphériques ;
• Utilisation de watchdogs (périphériques permettant de déclencher un redémarragematériel en cas de "plantage" du système d'exploitation) ;
- 7 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
• Gestion des onduleurs ;
• Support d'outils assurant l'arrêt ou le redémarrage d'un nœud à distance depuis uneapplication tournant sur un nœud distant.
2.5. Redondance multi-sites
Cette fonction assure la haute disponibilité en dupliquant une application et ses données surdes sites distants reliés par un WAN, et permet, en cas de panne sur un site, la reprise duservice fourni par l'application par un autre site.
2.6. Equilibrage de charge
Cette fonction permet de répartir des requêtes adressées à un service, entre plusieurs nœudsphysiques fournissant ce service. Cette fonction est généralement utilisée pour des servicesréseaux tels que serveurs Web, messagerie, DNS, …
Elle entre dans le cadre de la haute disponibilité car un produit d'équilibrage de charge neredirigera pas les requêtes vers un serveur en panne. L'intérêt d'une telle solution est que lareprise est immédiate (il n'y a pas d'application à démarrer sur un nœud de backuplorsqu'une panne est détectée).
2.7. Administration et exploitation
Cette fonction concerne l'administration et l'exploitation des produits assurant la hautedisponibilité.
- 8 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
3. Produits
3.1. Pr incipaux produits étudiés
Les produits étudiés sont récapitulés dans le tableau suivant :
Produit Version
Linux 2.2.15
Mon 0.38.18
Heartbeat 0.4.7b
DRBD 0.5.5
ReiserFS 3.5.21-2.2.15
GFS Version du 23/11/99
LVS 0.9.13-2.2.15
3.1.1. Linux
3.1.1.1. Fonction
Seules les fonctions du noyau Linux concernant directement la haute disponibilité sontétudiées dans cette partie. Elles sont les suivantes :
• Raid logiciel : simulation du fonctionnement de contrôleurs RAID uniquement parlogiciel ;
• Raid matériel : support de solutions RAID matérielles (contrôleurs RAID) ;
• Gestion des watchdogs : Linux supporte des solutions matérielles de watchdog pourdéclencher le redémarrage d'une machine en cas de "plantage".
3.1.1.2. Architecture
Les fonctions décrites permettent de gérer des périphériques (disques ou watchdogs) locauxau système.
- 9 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
3.1.1.3. Caractér istiques
Raid logiciel :
Les types de RAID supportés sont les suivants :
• RAID 0 : stripping : les informations sont découpées en "tranches" qui sont éclatéesentre les différents disques ou partitions utilisés ;
• RAID 1 : mirroring simple : les mêmes informations sont écrites sur tous les disques ;
• RAID 4 : stripping avec utilisation d'un disque supplémentaire pour stocker lesinformations de parité. Ce type de RAID supporte la panne d'un disque ;
• RAID 5 : comme le RAID 4, mais les informations de parité sont réparties entre lesdisques ;
• Linear mode (il ne s'agit pas un mode RAID standard) : fonctionnalité équivalente auRaid 0, mais sans striping (le système "voit" un volume qui est en réalité laconcaténation des informations des disques physiques ou partitions utilisés).
Les différences par rapport au RAID matériel sont les suivantes :
• Le RAID matériel ne s'applique qu'à des disques entiers, le RAID logiciel peut necomporter que certaines partitions ;
• Les traitements normalement assurés par un contrôleur RAID sont réalisés par logicieldans le cas du RAID logiciel, ce qui est susceptible de dégrader les performances ;
• Le RAID matériel rend les pannes transparentes pour l'OS et les applications (à partéventuellement une remontée d'alerte le cas échéant). Dans le cas du RAID logiciel, oùl'on utilise du matériel standard, certaines pannes peuvent empêcher le serveur defonctionner et nécessitent une intervention manuelle pour la reprise du service (arrêt duserveur, retrait et éventuellement remplacement du disque fautif) ;
• Les solutions de RAID logicielles ne supportent pas le "Hot-swap" (remplacement àchaud d'un disque) ;
• Les solution à base de RAID logiciel sont indépendantes du type de disque utilisé. Enparticulier, il est possible d'utiliser des disques IDE très peu chers.
- 10 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
RAID matér iel :
Le seul contrôleur RAID supporté par Linux (version 2.2.15) est celui de la société DPT(http://www.dpt.com/).
Watchdogs :
Le module watchdog du noyau linux supporte plusieurs solutions matérielles de watchdog(Berkshire et ICS pour la version 2.2.15). La liste exhaustive est présente dans le fichierDocumentation/watchdog.txt des sources du noyau Linux.
Ce module permet de déclencher un redémarrage (reset matériel) si un applicatif necommunique plus avec le watchdog pendant une certaine période de temps configurable, cequi se produit dans le cas d'un "plantage" (c'est à dire un blocage de l'ordinateur dû à unbug logiciel ou un problème matériel) : cela assure le redémarrage de l'applicatif dans tousles cas de plantage qui n'ont pas été causés par une défaillance matérielle permanente.
Il est également possible de simuler cette fonction uniquement par logiciel (utilisation d'untimer), mais cette solution s'avère beaucoup moins fiable (beaucoup de cas de plantage vontaussi bloquer le timer).
De plus certaines des solutions matérielles supportées fournissent une fonction desurveillance de la température exploitable par un applicatif, par l'intermédiaire d'uneinterface de bas niveau (device UNIX /dev/temperature).
Remarque : Les fonctions de surveillance de température, des ventilateurs, et de détectiond'intrusion physique présentes sur certaines cartes mères sont utilisables par un produit tierslm-sensors (licence GNU : accessible à l'URL http://www.netroedge.com/~lm78), nonévaluées dans cette étude.
3.1.1.4. Type de licence
Le noyau Linux est distribué sous la licence GNU version 2.
3.1.1.5. Où le trouver ?
Le site de référence pour Linux est http://www.linux.org. Ce site inclut des lienspour les documentations et le téléchargement.
3.1.2. HeartBeat
3.1.2.1. Fonction
Heartbeat est un outil de surveillance système et réseau, et de reprise.
Il constitue l'une des réalisations du projet Linux-HA (www.linux-ha.org) qui a pour butde fournir une solution de clustering avec haute disponibilité sous Linux.
- 11 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
Il permet de gérer un nombre quelconque de services sur deux serveurs. Chaque service estassocié à un serveur (serveur principal du service). En cas de panne d'un serveur, lesservices associés à ce serveur sont démarrés sur l'autre nœud (nœud de backup). Lorsque leserveur principal est à nouveau disponible, ces services sont arrêtés sur le nœud de backupet démarrés sur le nœud principal.
Dans le cas de services réseau, Hearbeat prend en charge la reprise d'adresses IP et la miseà jour des caches ARP des machines connectées au réseau local (clients ou routeurs) pourqu'ils tiennent compte du basculement.
3.1.2.2. Architecture
Le schéma suivant présente l'architecture physique minimale pour la mise en place d'uncluster utilisant Heartbeat :
Liaison série(surveillance)
Réseau ethernet
Serveurprincipal
Serveurde backup
3.1.2.3. Caractér istiques
La version actuelle de Heartbeat ne supporte actuellement que 2 nœuds simultanément,même si sa conception en prévoit un nombre illimité. Des versions ultérieures devraientsupprimer cette limitation (dixit les développeurs du produit).
En cas de dépendances entre plusieurs services, on peut fixer l'ordre de démarrage oud'arrêt de ces services (quand ils ont le même nœud principal).
Un service peut être matérialisé par n'importe quelle application. La seule contrainte est defournir un script permettant de démarrer, d'arrêter et de connaître l'état du service (démarréou arrêté). Ces scripts implémentent la même interface que les scripts de démarrage de ladistribution RedHat (ainsi que d'autres distributions), cela permet d'utiliser directement tousles programmes livrés avec des scripts respectant cette interface comme par exempleapache, samba, named, sendmail … sans avoir à écrire de script.
Il est possible d'arrêter ou de démarrer un des serveurs manuellement, par exemple pour desopérations de maintenance, dans ce cas tous les services sont basculés sur l'autre serveur.
Heartbeat n'offre qu'un seul mode de reprise : un service est toujours actif sur son nœudprincipal quand celui-ci fonctionne.
La surveillance s'effectue par plusieurs canaux simultanément (une ou plusieurs interfacesréseau plus une ou plusieurs liaisons série). Cela permet de distinguer une coupure réseauentre les deux serveurs d'une panne matérielle d'un noeud. En particulier cela évite de seretrouver dans une situation ou les deux nœuds lancent simultanément les mêmes services.
- 12 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
Ce mécanisme de surveillance ne détecte que les pannes matérielles ou les problèmesréseau. Il est nécessaire d'utiliser d'autres produits tels que Mon (cf. 3.1.3) pour réaliser lasurveillance applicative (ces produits peuvent déclencher le basculement par l'intermédiairede scripts fournis avec Heartbeat).
Heartbeat ne gère pas les interfaces réseau ou les réseaux redondants.
3.1.2.4. Type de licence
Le produit est distribué sous la licence GPL version 2.
3.1.2.5. Où le trouver ?
Les sources du produit et sa documentation peuvent être téléchargées depuis la page Webhttp://www.linux-ha.org/.
3.1.3. Mon
3.1.3.1. Fonction
Mon est un outil de monitoring généraliste. Il permet de surveiller des ressources (servicesréseau, ressources locales …) et de déclencher des actions selon leur état (lancement descripts, notification par E-Mail, pager, envoi de traps …)
3.1.3.2. Architecture
Mon présente une architecture de type client-serveur. Le serveur surveille les ressources etdéclenche des actions en fonction de sa configuration et de l'état de ces resources.
Le client permet d'administrer le serveur Mon. Il est disponible sous forme d'un outil enligne de commande, d'une interface Web (CGI), ou d'une API Perl.
Les actions possibles depuis un client comprennent (cette liste n'est pas exhaustive) :
• Marche/arrêt du serveur ;
• Marche/arrêt de la surveillance d'un service ;
• Envoi d'un accusé de réception pour une alerte. Cette alerte ne sera plus envoyée aprèsun accusé de réception ;
• Consultation de l'état des ressources surveillées et des alertes ;
• Déclenchement immédiat du test d'une ressource ;
• Déclenchement d'une alerte (pour test).
- 13 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
3.1.3.3. Caractér istiques
Mon est livré avec plusieurs scripts standards de surveillance de ressources : servicesréseau locaux ou distants (Telnet, FTP, NNTP, HTTP, POP3, IMAP, LDAP, DNS, SUNRPC), espace disque local, surveillance par SNMP, base de données (MySQL), latenceréseau, imprimantes… Il est possible d'ajouter ses propres scripts ou de modifier ceuxfournis (les scripts livrés sont écrits en PERL).
Les scripts d'alertes livrés sont les suivants : envoi de mail, envoi de trap, envoi de messageSMS ou vers pager. De même que pour les scripts de surveillance, il est possible d'ajouterses propres scripts (déclenchement d'actions correctrices ou autres méthodes de remontéed'alertes).
Le produit est hautement configurable : il est possible de paramétrer, pour chacune desressources, l'intervalle de surveillance, le délai de répétition des alertes et le nombred'échecs lors de la surveillance de cette ressource avant déclenchement de l'alerte. Lesrègles peuvent dépendre de la plage horaire (par exemple les traitements peuvent êtredifférents en semaine pendant la journée). Pour faciliter la configuration, il est possible dedéfinir des groupes de services réseau à surveiller, et de fixer des dépendances (parexemple si un routeur surveillé tombe en panne, Mon n'enverra pas d'alertes parce qu'unserveur accèdé par l'intermédiaire de ce routeur n'est plus disponible).
Mon surveille des ressources en parallèle. Un seul serveur est capable de surveiller unnombre important de ressources.
Les communications entre un client et un serveur sont authentifiées par un mot de passe(passé en clair).
Cohabitation Mon / Hear tbeat :
Le produit Heartbeat seul ne peut suffire à la réalisation d'un cluster redondant, car il nepropose pas de fonction de surveillance des applications. Il est possible d'utiliser encomplément le produit Mon pour pallier à ce manque.
Une solution utilisant les deux produits permet par exemple de déclencher le basculementdu cluster géré par Heartbeat si l'application ne fonctionne plus sur le nœud actif.
L'intégration des deux produits est "manuelle " : il faut développer le script qui seradéclenché par Mon en cas de problème applicatif et qui lancera le basculement du clustergéré par Heartbeat, par l'intermédiaire de l'interface en ligne de commande de ce dernier.
3.1.3.4. Type de licence
Le produit est distribué sous la licence GPL version 2.
3.1.3.5. Où le trouver ?
Les sources du produit et sa documentation peuvent être téléchargées à l'URLhttp://www.kernel.org/software/mon/.
- 14 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
3.1.4. DRBD
3.1.4.1. Fonction
DRBD est un outil de réplication de disques à la volée entre deux serveurs distants (cetoutil est assimilable au RAID 1, à ceci près qu'il s'applique à des disques situés sur desserveurs différents).
DRBD inclut des mécanismes de synchronisation partielle (après une déconnexion réseau)ou complète (pour une première utilisation ou après le changement de l'un des disques).
DRBD permet de réaliser des clusters hautement disponibles gérant des donnéesdynamiques (bases de données, serveurs de fichiers …).
3.1.4.2. Architecture
DRBD s'utilise sur deux serveurs reliés par un réseau IP. Le schéma ci-dessous illustrecette architecture :
Serveur principal
Partitionprimaire
Applicationactive
Réplicationà la volée
Accès AuxDonnés(lecture,écriture)
RéseauIP
Serveur de backup
Partitionsecondaire
Applicationinactive
- 15 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
En cas de panne du serveur principal, DRBD fonctionne selon la configuration présentéedans le schéma ci-dessous :
Serveur principal
Partitionprimaire
Applicationactive Accès Aux
Donnés(lecture,écriture)
RéseauIP
Serveur de backup
DRBD se présente sous la forme d'un module noyau réalisant la réplication de données, etd'un outil d'administration en ligne de commande permettant de configurer et de changer lemode (primaire/secondaire/arrêté) de DRBD. Toutes les fonctions de communication sontréalisées de manière asynchrone par des threads noyau, ce qui ne bloque pas lesapplications locales lors d'une écriture sur un disque répliqué.
3.1.4.3. Caractér istiques
A un instant donné, un seul serveur (serveur primaire) accède aux données (en lecture et enécriture). On ne peut donc pas utiliser DRBD dans le cadre d'un cluster où plusieursinstances d'une application sont actives (pour faire de l'équilibrage de charge par exemple).Dans ce cas il est conseillé d'utiliser un produit tel que GFS, permettant d'utiliser desdisques partagés.
DRBD supporte les déconnexions ou les pannes temporaires du serveur secondaire, ycompris un crash suivi d'un redémarrage, en conservant une copie locale des modifications.Lors de la reconnexion, le serveur primaire renvoie toutes les mises à jour qui ont été"ratées" par le secondaire.
Les mécanismes de détection de pannes et le déclenchement du basculement ne font paspartie du produit et sont à réaliser par ailleurs. DRBD est fourni avec des scripts permettantde l'intégrer à Heartbeat. Dans la version évaluée, ces scripts peuvent amener les deuxserveurs à se retrouver simultanément dans le mode primaire lors d'un basculement manuel,et nécessitent donc d'être modifiés afin d'éviter ce problème.
Le produit n'assure aucune fonction relative à la sécurité. En particulier il n'y a pas demécanisme d'authentification, de contrôle d'accès, d'intégrité ou de confidentialité desdonnées échangées sur le réseau.
Dans le cas où les deux serveurs tentent de devenir primaires simultanément, le produits'arrête immédiatement de fonctionner (ce cas ne doit pas se produire en fonctionnementnormal, mais ceci garantit que s'il se produit, les données ne sont pas perdues)
- 16 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
DRBD propose trois protocoles différents pour la transmission de données (par ordredécroissant de performance) :
Protocole Descr iptionA Une opération d'écriture est considérée comme terminée avec succès
dès que les données sont écrites sur le disque local et envoyées sur leréseau vers le nœud secondaire
B Une opération d'écriture est considérée comme terminée avec succèsdès que les données sont écrites sur le disque local et que le nœudsecondaire a accusé réception des données
C Une opération d'écriture est considérée comme terminée avec succèsdès que les données sont écrites sur le disque local et que le nœudsecondaire a indiqué qu'il a écrit les données sur son disque
Seul le protocole C garantit que, en cas de crash du serveur primaire, aucune écriture ayantabouti sur le primaire ne sera perdue lors de la reprise par le secondaire. Cela est expliquédans le schéma suivant :
ApplicationOS+
DRBD
DisqueOS+
DRBD
Disque
Demanded'écriture
(appel système)
Ecriture disqueNotification de lamodificaion aunœud distant
Ecriture disque
Nœud pr imaire Nœud secondaire
Succès écrituredisque
Succès écrituredisque
Acquittement dela notificationFin d'écriture
(succès de l'appelsystème)
Ce schéma correspond à l'utilisation du protocole C (attente de l'écriture pour accuserréception de la notification), où les caches disque en écriture sont désactivés (voir remarqueimportante 2 plus loin).
Remarque impor tante 1 : lors de la reprise par le secondaire après un crash du primaire,la partition répliquée est récupéré "en l'état" telle qu'elle était à l'instant du crash. On setrouve ainsi dans le même cas que lors de la reprise d'une partition locale après un crash.Un solution utilisant DRBD doit donc inclure des mécanisme de reprise de données,comme par exemple :
• La partition est utilisée par une base de données comprenant ses propres mécanismesde reconstruction des données (par exemple Oracle) ;
• Utilisation d'un système de fichiers classique avec vérification et réparation lors de lareprise (fsck). Cela peut s'avérer pénalisant en termes de performances et n'offre pas degarantie de réussite ;
- 17 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
• Utilisation d'un système de fichiers journalisé assurant une reprise très rapide dusystème de fichiers et garantit qu'il est dans un état cohérent vis-à-vis du système (maispas forcément des applications).
Dans les deux derniers cas, les applications gérant leurs données doivent elles aussiposséder un mécanisme de reprise de leurs données : par exemple, une application qui étaiten train d'écrire un fichier au moment du crash pourra retrouver un fichier tronqué lors deson démarrage sur le secondaire.
Remarque impor tante 2 : les systèmes d'exploitation retardent généralement les écrituressur disque pour des raisons de performances. Un tel mécanisme doit être désactivé sur unepartition répliquée par DRBD (utilisation de l'option de montage "sync" sous Linux, ouutilisation d'une application qui force la mise à jour immédiate du disque lors d'une écriturecomme par exemple l'annuaire OpenLDAP ou toute application stockant ses données dansune base gdbm). De la même manière, tous les mécanismes de caches en écriture (write-back caching) implémentés sur les contrôleurs de disques ou les disques eux-mêmesdoivent être désactivés.
Les produits gérant eux même leur cache en écriture de façon à permettre une reprise aprèsun crash (c'est par exemple le cas d'Oracle) peuvent être utilisés avec DRBD, mais celapeut impliquer un impact sur les performances (un appel système qui réalise effectivementl'écriture sur disque, tel qu'un sync ou une écriture quand le cache du système est désactivé,restera bloqué tant que l'écriture n'a pas été réalisée et acquittée par le nœud secondaire).
La roadmap du produit indique que les versions futures prévoient le mirroring simultanésur plusieurs serveurs secondaires distant (utilisation du multicast).
3.1.4.4. Type de licence
Le produit est distribué sous la licence GPL version 2.
3.1.4.5. Où le trouver ?
Les sources du produit et sa documentation peuvent être téléchargées à l'URLhttp://www.complang.tuwien.ac.at/reisner/drbd/.
3.1.5. ReiserFS
3.1.5.1. Fonction
ReiserFS est un système de fichiers journalisé.
- 18 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
3.1.5.2. Architecture
ReiserFS se compose d'un module noyau ajoutant le support du système de fichiersReiserFS au noyau.
3.1.5.3. Caractér istiques
Pour des raisons de performances, l'ensemble des opérations sur disque ne sont pasjournalisées. Seules les opérations modifiant des méta-données (superblock, inodes, bitmapdes blocs disque, répertoires) le sont. Les conséquences sont les suivantes :
• Après une reprise d'un système de fichiers, ReiserFS garantit que l'ensemble des méta-données sont récupérées dans un état cohérent. En particulier l'arborescence des fichiersprésents n'est pas impactée. Après un re-jeu du log lors du montage de la partition, lesystème de fichiers ne présente pas d'erreurs et ne nécessite donc pas de réparation (detype fsck) ;
• Cependant, les modifications des données elles mêmes ne sont pas journalisées. Aprèsune reprise, les fichiers qui étaient en cours de modification au moment d'un crash sontdans un état indéterminé.
D'autres produits fournissent une fonction de journalisation complète (tel que par exemplele système de fichiers ext3). Ces produits ne se situent pas à un stade très avancé deréalisation. Pour de la journalisation dans le cadre de disques partagés, voir GFS (partie3.1.6).
ReiserFS peut être utilisé comme système de fichiers de boot (système de fichierscontenant le répertoire racine) sur un système Linux.
3.1.5.4. Type de licence
ReiserFS est distribué sous la licence GPL version 2.
3.1.5.5. Où le trouver ?
Les sources du produit et sa documentation peuvent être téléchargées à l'URLhttp://devlinux.com/projects/reiserfs/.
3.1.6. GFS
3.1.6.1. Fonction
GFS est un système de fichiers prévu pour être utilisé sur des disques partagés (i.e. reliésphysiquement à plusieurs serveurs) sous Linux. Les disques peuvent être accédéssimultanément en lecture et en écriture depuis tous les serveurs qui leur sont connectés.
GFS fournit en plus une fonction de journalisation.
- 19 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
3.1.6.2. Architecture
Le schéma ci-dessous présente l'architecture requise pour utiliser GFS :
Disquepartagé
client client
Disquepartagé
Bus SCSIRéseau Fibre Channel
GFS supporte un nombre quelconque de clients reliés à un ou plusieurs disques par 'unmoyen de communication pouvant être l'un des suivants :
• Un bus SCSI ;
• Un réseau Fibre Channel ;
• Un réseau IP. Dans ce cas, il faut adopter une solution permettant d'utiliser un disquedistant par l'intermédiaire d'un réseau IP. Les solutions possibles comprennent NBD(Network Block Device) livré en standard avec Linux, ou GNBD, en cours dedéveloppement par l'équipe qui a réalisé GFS.
GFS permet d'accéder des disques simples ou des baies RAID.
GFS se présente sous la forme d'un module ajoutant le support du système de fichiers GFSet d'utilitaires permettant la création et la gestion de disques ou de partitions partagés.
3.1.6.3. Caractér istiques
GFS s'appuie sur un mécanisme de verrous nommé Dlock. Ce mécanisme nécessitel'implémentation, au niveau du disque ou de la baie de disques, d'une nouvelle commandeSCSI permettant de poser ou retirer un verrou sur une partie du disque, ou de consulterl'état des verrous. L'ensemble des informations concernant les verrous est stocké au niveaudu disque ou de la baie. Dlock permet aux clients de conserver des caches locaux à l'aided'un mécanisme de callbacks destinés à notifier un client si une donnée qu'il a conservédans son cache a été modifiée.
La spécification de Dlock est présente à l'URLhttp://www.globalfilesystem.org/Pages/dlock.html.
Elle a été implémentée par plusieurs constructeurs de disques (Seagate, Silicon Gear) ou debaies RAID (Dot Hill). Les versions du firmware pour ces produits avec le support de laspécification Dlock et les outils de mise à jour sont disponibles sur le site Web de GFS.
- 20 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
Dans le cas ou Dlock ne serait pas supporté par les disques ou les baies de disques, il estpossible d'utiliser une solution uniquement logicielle (produit GLMD) intégrée à ladistribution GFS, mais qui est encore en cours de développement.
La plus grosse configuration basée sur GFS a été présentée à la Linux World Expo 2000, etcomprenait 16 clients et 64 disques répartis en 8 baies, le tout relié par Fibre Channel.
La fonctionnalité de journalisation est en phase de développement actuellement.
3.1.6.4. Type de licence
GFS est distribué sous la licence GPL version 2.
3.1.6.5. Où le trouver ?
Le produit GFS ainsi que sa documentation sont disponibles à l'URLhttp://www.globalfilesystem.org/.
3.1.7. LVS
3.1.7.1. Fonction
LVS (Linux Virtual Server) est un outil d'équilibrage de charge pour des services réseau. Ilpermet de répartir des requêtes Web, SMTP, ou n'importe quel autre protocole TCP/IP,entre plusieurs serveurs fournissant le service. Ce mécanisme est transparent pour lesclients qui ne voient qu'une seule adresse.
Deux solutions complètes basées sur LVS sont en cours de développement :
• Virtual Monkey, réalisé par la société VA Linux compte proposer un produit intégrantLVS et Heartbeat pour fournir une solution complète pour la mise en place de "fermesde serveurs".
• Piranha, inclu avec la distribution RedHat, fournit en plus de LVS un outil permettantd'assurer la haute disponibilité du nœud dispatcher lui-même et une interfaced'administration accessible depuis un browser Web (voir copie d'écran ci-dessous).Cette interface permet de configurer le nœud dispatcher, et éventuellement un nœud debackup, de consulter l'état des serveurs, d'ajouter ou supprimer des serveurs.
Ces deux produit sont distribués sous licence GPL.
- 21 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
La copie d'écran ci-dessous présente l'interface Web de Piranha :
3.1.7.2. Architecture
LVS supporte trois architectures :
• Serveurs virtuels avec translation d'adresse (NAT) ;
• Serveurs virtuels avec tunneling IP ;
• Serveurs virtuels avec routage direct.
Ces trois solutions sont décrites ci-dessous.
Les schémas présentés dans les parties suivantes comportent un serveur dispatcher debackup. Le mécanisme de backup ne fait pas partie du produit LVS standard, mais estinclus dans les solutions complètes Piranha et Ultramonkey.
- 22 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
Translation d’adresses (NAT)
Le schéma suivant présente l'architecture réseau dans le cadre de la solution avectranslation d'adresses. Cette solution montre un fonctionnement équivalent à celui duproduit commercial CISCO Local Director.
Internet/Intranet
client
Dispatcherprincipal(produit
LVS)
Dispatcherde backup(produitLVS)Facultatif
Serveur 1 Serveur N
Le nœud dispatcher réalise la translation des adresses source et destination pour les paquetsentrants et sortants.
Avantage :
• Aucune contrainte au niveau des serveurs pour qui la solution semble transparente (dupoint de vue du serveur, les requêtes semblent venir du nœud dispatcher).
Inconvénient :
• Faible "scalabilité" : le nœud dispatcher doit réaliser la translation d'adresses pour tousles paquets entrants et sortants.
- 23 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
Tunneling IP
L'architecture réseau, dans la solution avec tunneling IP, est la même que dans le cas de latranslation d'adresse (voir ci-dessus).
Le dispatcher encapsule les paquets en provenance du client qui lui sont donc destinés, dansun paquet IP qu'il envoie au serveur qu'il a choisi. Le schéma suivant illustre le format d'unpaquet IP entrant (envoyé par le dispatcher à un serveur) :
En-tête IP englobant
Emetteur : adresse internedu dispatcherDestinataire : adresse duserveur choisi par ledispatcher
En-tête IP encapsulé
Emetteur : clientDestinataire : adresse"virtuelle"
Contenu du paquetencapsulé
Copie du paquet envoyépar le client
Les paquets IP sortants (envoyés par les serveurs vers un client) sont relayés par ledispatcher à l'aide du mécanisme de routage IP standard.
Avantage :
• Permet d'utiliser une architecture avec deux réseaux physiquement séparés comme dansla solution NAT, mais avec un impact moindre sur les performances : seuls les paquetsentrants doivent être réécrits, les paquets sortants sont acheminés par le mécanisme deroutage IP standard par le nœud dispatcher.
Inconvénients :
• Les serveurs doivent supporter l’encapsulation IP/IP. Aujourd’hui seul Linux lesupporte ;
• Contrainte sur les serveurs : ils doivent posséder une "adresse IP virtuelle" (parexemple une IP sur l'interface loopback) identique à celle utilisée par le client, pourpouvoir accepter les paquets encapsulés.
- 24 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
Routage direct
Le schéma suivant présente l'architecture réseau dans le cadre de la solution avec routagedirect. Elle présente un fonctionnement équivalent à celui du produit commercial NetworkDispatcher d'IBM.
Internet/Intranet
client
Dispatcherprincipal(produit
LVS)
Dispatcherde backup(produitLVS)Facultatif
Serveur 1 Serveur N
Dans cette configuration seuls les paquets IP en provenance des clients sont traités par ledispatcher. Les paquets à destination du client ne passent pas par le dispatcher. De mêmeque dans la solution précédente, les serveurs doivent avoir une adresse IP virtuelle qui est lamême que celle du dispatcher.
Avantage :
• Meilleure performances et "scalabilité" : seuls les paquets entrants sont traités par ledispatcher.
Inconvénients :
• Le dispatcher et les serveurs doivent tous se trouver sur le même réseau ethernetphysique ;
• Contrainte sur les serveurs : ils doivent avoir une "adresse IP virtuelle" (par exempleune IP sur l'interface loopback) identique à celle utilisée par le client, pour pouvoiraccepter les paquets encapsulés.
- 25 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
3.1.7.3. Caractér istiques
Les critères suivants sont exploitables par LVS pour sélectionner le serveur recevant unerequête :
• Round-Robin : les requêtes sont renvoyées vers chacun des serveurs indépendammentde leur charge ou du nombre de connexions ;
• Round-Robin avec pondération : même principe que le Round-Robin simple, maiscertains serveurs sont plus sollicités que d'autres (selon des coefficients fixés parl'administrateur) ;
• Selon le nombre de connexions actives : le serveur possédant le moins de connexionsactives reçoit la requête ;
• Selon le nombre de connexions actives avec pondération : même principe que le critèreprécédent, mais des coefficients sont appliqués aux nombres de connexions pourchaque serveur.
Il n'est pas possible d'obtenir des critères dépendant de l'état des serveurs (charge,occupation CPU…).
Les fonctions de haute disponibilité (dispatcher redondant et détection des serveurs enpanne) ne sont pas incluses dans la version standard de base de LVS, mais sont fourniesavec les solutions complètes présentées au 3.1.7.1.
Remarque impor tante : certains systèmes d'exploitation répondent à des requêtes ARParrivant sur une interface différente de celle de l'adresse demandée. C'est en particulier lecas des versions 2.2.x de Linux. Ces systèmes ne peuvent pas être utilisés comme serveursdans les architectures avec tunneling ou routage direct. Pour Linux 2.2.x un patch estdisponible sur le site de LVS afin de corriger ce problème.
3.1.7.4. Type de licence
LVS est distribué sous la licence GPL version 2.
3.1.7.5. Où le trouver ?
Les sources du produit et sa documentation peuvent être téléchargées à l'URLhttp://www.linuxvirtualserver.org/.
UltraMonkey est accessible à l'URL http://ultramonkey.sourceforge.net/.
Piranha est inclus dans les distributions RedHat 6.1 et ultérieures. Le produit est présenté àl'URL http://www.redhat.com/support/wpapers/paranha/x32.html.
- 26 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
3.2. Couver ture fonctionnelle des produits
Le tableau ci-dessous présente, pour chacune des fonctions, la liste des produits quiassurent cette fonction, parmi ceux étudiés dans ce document.
Fonctions Logiciels libre fournissant cette fonctionMise en cluster
Mécanismes de reprise HeartbeatDétection de panne Heartbeat, Mon
Disponibilité des donnéesSupport du RAID Linux (pour RAID matériel et logiciel)Disques partagés GFSVolumes partagés DRBDHaute disponibilité des systèmesde fichiers
ReiserFS
Equilibrage de chargeEquilibrage de charge LVS
Redondance matér ielle localeRedondance matérielle locale Linux
Redondance multi-siteRedondance multi-site Aucun
3.3. Aspects relatifs à la sécur ité
Cette partie présente les différents problèmes liés à la sécurité dans le cadre de l'utilisationdes produits étudiés :
Authentification
Les produits qui communiquent entre nœuds d'un cluster utilisent des mécanismesd'authentification variables :
• Hearbeat permet d'authentifier les paquets de surveillance à l'aide d'une clef connue parchacun des serveurs et d'une fonction de hachage (MD5 ou SHA). Cependant cemécanisme ne protège pas du re-jeu. On peut par exemple envisager une attaque detype déni de service en envoyant périodiquement des paquets de ping préalablement"reniflés" pour faire croire qu'un nœud en panne fonctionne toujours ;
• Mon authentifie ses client par un nom d'utilisateur et un mot de passe qui sont transmisen clair sur le réseau ;
• DRBD ne possède aucun mécanisme d'authentification pour ses paquets de mise à jourdu disque secondaire et d'acquittement. En particulier, il est très aisé de produire des"faux" paquets pour modifier le contenu du disque secondaire.
- 27 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
Contrôle d'accès
Aucun produit ne fournit de fonction de contrôle d'accès pour ses échanges réseau : lespaquets authentifiés sont toujours acceptés.
Dans le cadre de l'utilisation de DRBD, l'authentification sur les systèmes de fichiers Unixest basée sur les UID. Les UID doivent donc être les mêmes sur les deux serveurs.
Intégr ité
Hormis Heartbeat qui utilise MD5 ou SHA pour signer ses paquets, aucun des produits nepropose de fonction assurant l'intégrité des données échangées.
En particulier, DRBD ne garantit pas l'intégrité des informations écrites sur le disque dunœud secondaire.
Confidentialité :
Aucun des produits étudiés ne propose de mécanisme pour assurer la confidentialité desdonnées. En particulier, si on utilise DRBD, on peut reconstituer le disque répliqué ou unepartie de celui-ci en "reniflant" suffisamment de paquets échangés.
Solutions :
Ce paragraphe présente des solutions destinées à sécuriser l'utilisation des produits étudiés :
1ère solution : sécurité de périmètre :
Cette solution consiste à intercaler un firewall entre le cluster de serveurs hautementdisponibles et l'extérieur.
Réseau non sécurisé(Internet/Intranet) Firewall
Cluster(réseau sécurisé)
clients
Cette configuration garantit que seules les requêtes autorisées venant des clients atteignentles nœuds composant le cluster. En particulier, un client connecté au réseau non sécurisé nepeut pas interférer avec les produits assurant la haute disponibilité.
- 28 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
2ème solution : utilisation des réseaux physiques distincts :
Une autre possibilité consiste à utiliser des réseaux physiques différents pour lesinformations sensibles ou pour les applications dont les communications ne sont pasprotégées par des mécanismes de sécurité suffisants. Le schéma ci-dessous présente unexemple de cluster sécurisé :
Réseau "privé"(surveillance des nœuds, réplication de
disques, administration …)
Réseau "public"(utilisé par les applications)
Clients et autres machines
Les précautions suivantes doivent être prises :
• Désactiver les mécanismes de routage sur les serveurs reliés aux deux réseaux ;
• Mettre en place des règles de filtrage IP sur ces serveurs pour interdire des connexionsvers les outils utilisant le réseau privé par l'intermédiaire de l'interface reliée au réseaupublic.
Ce type d'architecture est supporté par tout les produits étudiés.
Les deux solutions présentées ci-dessus ne sont pas exclusives et il est possible de lescombiner.
- 29 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
4. Comparaison
4.1. Critères
Les produits seront évalués selon deux groupes de critères décrits dans les paragraphessuivants :
• Critères fonctionnels ;
• Critères généraux.
4.1.1. Critères fonctionnels
Les fonctionnalités à évaluer sont celles présentées au chapitre 2. Le résultat de cetteévaluation indiquera quelles sont les possibilités offertes par le produit.
Cette partie décrit plus précisément quels points seront considérés pour chacune desfonctions et éventuellement sous-fonctions étudiés et de quelle façon il seront évalués.
4.1.1.1. Mise en cluster
Les points suivants seront évalués :
Mécanismes de repr ise :
• Support de différents modes de "clustérisation" (attente active, "failover" en cascade…);
• Nombre maximal de nœuds supportés ;
• Sélection dynamique du nœud de backup à utiliser en cas de panne (quels sont lescritères de sélection, est-il possible d'en ajouter ?) ;
• Compatibilité avec les produits d'équilibrage de charge existants : support d'instancesmultiples de services, remontée d'informations (tels que charge CPU, nœudopérationnel ou non…) du cluster vers l'équilibreur de charge, liste des produitssupportés ;
• Actions correctrices possibles : traitements que le produit peut déclencherautomatiquement en cas de panne (basculement, redémarrage d'application …).Support de plusieurs actions correctrices (par exemple si un service ne répond pas, leservice est redémarré, et si cela échoue le nœud est redémarré).
Détection de pannes :
• Détection de pannes logicielles : capacité à détecter un problème (application ouservice réseau défaillant ou arrêté) sans modifier l'application. Quels sont lesapplications ou services réseau surveillés ? ;
- 30 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
• Détection de pannes matérielles : quels sont les types de pannes qui peuvent êtredétectés et peut-on déclencher une action de basculement vers un autre nœud ?mécanismes de détection, support de chemins multiples pour la détection de nœuds enpanne ;
• Détection de problèmes de ressources : déclenchement du basculement sur des critèrestels que charge, espace disque ou mémoire …. ;
• Interfaces : existence d'une interface (API ou outils en ligne de commande) permettantaux applications de déclencher un basculement ou consulter l'état du cluster.
• Extensibilité : ajout par l'administrateur de critères de basculement, de mécanismes dedétection de panne, d'actions correctrices (ajout possible de scripts personnalisés) … ;
• Réglages possibles : quels sont les paramètres réglables? Peut-on configurer les délais(pour déclarer un nœud comme en panne ou effectuer la reprise), le nombre d'essaispour les actions correctrices ?
4.1.1.2. Disponibilité des données
Suppor t du RAID :
• RAID logiciel. Types de RAID supportés (0,1,5) ;
• RAID matériel. Types de RAID supportés. Liste des solutions matérielles supportées.En particulier on vérifiera l'existence de mécanismes de remontée d'erreur pris encharge par le produit de haute disponibilité et le support du "hot-swap".
Disques par tagés physiquement entre plusieurs nœuds :
• Liste des produits supportés ;
• Accès concurrent : Plusieurs nœuds peuvent-ils accéder simultanément au disque,quelles sont les restrictions (par exemple accès en écriture limité à un seul nœud) ;
• Nombre de nœuds supportés : il s'agit du nombre de nœuds pouvant être reliéssimultanément aux disques.
Volumes par tagés :
• Utilisation de volumes distants ou réplication de volumes locaux sur un nœud différent;
• Accès concurrents ;
• Existence d'un mécanisme de resynchronisation après une déconnexion ou une panne ;
• Nombre de nœuds supportés : nombre de nœuds pouvant être reliés simultanément auxdisques.
Haute disponibilité des systèmes de fichiers :
• Maintien de l'état d'un système de fichiers distant après une panne du nœudl'hébergeant (par exemple conservation des verrous dans le cas de NFS) ;
• Support de systèmes de fichiers journalisés.
- 31 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
4.1.1.3. Equilibrage de charge
Les points suivants seront évalués :
• Haute disponibilité du mécanisme d'équilibrage de charge ;
• Services supportés (services réseau TCP/IP, autres …) ;
• Critères de "dispatching" supportés : quels critères sont possibles pour sélectionner lenœud traitant une requête (Round Robin, hasard, sélection selon ressourcesdisponibles… Peut-on envoyer toutes les requêtes d'un client vers un seul nœud?) ;
• Ressources surveillées et utilisées dans les critères de dispatching (CPU utilisé, charge,nombre de connexions…) ;
• Détection des nœuds en panne. Le produit ne doit pas aiguiller une requête vers unnœud en panne.
• Mécanismes supportés (NAT, tunneling, routage direct…)
4.1.1.4. Redondance matér ielle locale
Le support des produits étudiées sera évalué pour les solutions matérielles suivantes :
• Support des matériels hautement disponibles (liste des périphériques redondants et"hot-swappables"). Impact sur les applications ;
• Support des solution matérielles de watchdog. Liste des produits supportés ;
• Gestion des onduleurs (détection coupure, consultation de la batterie, gestion duredémarrage …) ;
• Support des solutions matérielles permettant de déclencher le démarrage, leredémarrage ou l'arrêt d'un nœud à distance.
4.1.1.5. Redondance multi-sites
Les points suivants seront évalués :
• Mécanismes de synchronisation de données entre sites (synchrone, asynchrone …) ;
• Mécanismes de reprise multi-sites
4.1.2. Critères généraux
Ces critères ne sont pas associés à des fonctionnalités particulières, mais permettent uneévaluation d'ensemble des produits. Ils concernent :
• La notoriété du produit et de l’éditeur ;
• La qualité technique du produit ;
• L'administrabilité du produit ;
• Le maintien en conditions opérationnelles ;
- 32 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
• Les aspects financiers et juridiques.
Ces critères sont détaillés ci-dessous :
Notor iété :
Appréciation de la notoriété du produit et de la société qui l'édite.
Les références connues du produit seront prises en compte.
Qualité technique du produit :
Synthèse de la qualité des produits sur le plan technique.
En particulier, les sous-critères suivants seront évalués :
• Robustesse ;
• Sécurité : ce critère estime les problèmes de sécurité posés par l'utilisation des produitsétudiés. Les questions de sécurité sont présentés plus en détail dans la partie 3.3).
Administration et exploitation :
Les points suivants seront jugés :
• Configuration à chaud (y compris ajout et suppression de nœuds dans un cluster) ;
• Configuration centralisée ;
• Console d'exploitation centralisée ;
• Mécanismes d'alertes (SNMP, notification des utilisateurs, méthodes externes : E-Mail,pager, téléphone …) ;
• Existence d'une API (pour la configuration, remontée de l'état du cluster, etdéclenchement de basculement) ;
• Centralisation de la configuration des systèmes d'exploitation des différents nœuds(nommage, paramétrage …).
Maintien en conditions opérationnelles :
Ce critère constitue une synthèse des sous-critères suivants :
• Documentation : évaluation de la qualité et de la complétude de la documentation duproduit, ainsi que de l'existence d'une aide en ligne intégrée au produit ou disponiblesur le Web ;
• Support : existence et qualité du support ;
• Prise en main : facilité de prise en main du produit.
- 33 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
4.1.3. Notation
Cette partie décrit la méthode d'évaluation et de comparaison des produits, et la manièredont les résultats seront présentés.
On comparera trois solutions décrites ci-dessous :
• AIX/HACMP ;
• Digital Unix/TruClusters ;
• Logiciels libres : l'ensemble des produits décrits dans ce document. Pour chacun descritères fonctionnels, on rappellera quels sont les produits concernés.
Pour chacune des solutions sont évalués :
• Les sous-critères : à chacun d'eux sera associée une notation qui dépendra du sous-critère. Elle pourra être + si la fonctionnalité est présente et implémentée de façonsatisfaisante, - pour indiquer que la fonctionnalité n'est pas implémentée ou de manièrenon satisfaisante. On indiquera n/a si la fonctionnalité ne s'applique pas, et pas denotation si la fonctionnalité n'a pu être évaluée. On pourra aussi associer à un sous-critère une évaluation informelle, par exemple une valeur numérique pour le sous-critère "nombre de nœuds supportés".
• Les critères (fonctionnels ou généraux) : à chacun des critères sera associée une note�, ��� , ����� selon que l'évaluation du critère correspondant est mauvaise, moyenne
ou bonne. Cette note sera déduite des évaluations des sous-critères dépendant de cecritère.
Ces notations seront récapitulées sous la forme de deux tableaux :
• Un tableau d'évaluation présentant l'ensemble des critères et de leurs sous-critères ;
• Un tableau de synthèse ne montrant que les critères.
- 34 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© EADS SYCOMORE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
Les colonnes de ces tableaux sont les suivantes :
• Critères : critères ou sous-critères évalués ;
• HACMP / Trucluster / Logiciel libres : notation du critère ou sous-critère commeprésenté ci-dessus ;
• Produits : dans le cas des critères fonctionnels, cette colonne indique quels sont lesproduits concernés par la fonction associée au critère ;
• Remarques : Cette rubrique précise la notation de la solution logiciels libres et peutéventuellement présenter des éléments de comparaison avec les autres solutions.
4.2. Tableaux de comparaison
Cette partie contient les tableaux d'évaluation et de synthèse décrits en 4.1.3.
- 3
5 -
CE
LA
R –
SE
CU
RIT
E D
ES
LO
GIC
IEL
S L
IBR
ES
– H
AU
TE
DIS
PO
NIB
ILIT
E©
EA
DS
SY
CO
MO
RE
- R
EF
. 00-
176/
2000
0063
3- V
1.0
DU
30/
06/2
000
Tab
leau
1 :
Rés
ulta
t de
l'év
alua
tion
Eva
luat
ion
Log
icie
l lib
reC
ritè
res
HA
CM
PT
ruC
lust
erL
og. L
ibre
Prod
uits
Rem
arqu
es
Mis
e en
clu
ster
Méc
anis
mes
de
repr
ise
���
���
�
Hea
rtbe
at f
ourn
i un
e so
luti
on "
légè
re"
de c
lust
erin
g po
ur d
eux
serv
eurs
.C
e pr
odui
t es
t à
com
plét
er p
ar u
n ou
til
de d
étec
tion
de
pann
es l
ogic
iell
este
l que
Mon
.
Mod
es d
e "c
lust
eris
atio
n"su
ppor
tés
++
-C
ontr
aire
men
t aux
sol
utio
ns c
omm
erci
ales
, Hea
rtbe
at n
e su
ppor
te q
u'un
seul
mod
e de
rep
rise
(vo
ir d
escr
ipti
on 3
.1.2
). E
n pa
rtic
ulie
r, p
as d
efa
ilov
er e
n ca
scad
e, d
'inst
ance
s m
ulti
ples
de
serv
ice…
. H
eart
beat
impo
seun
bas
cule
men
t lor
sque
le n
œud
pri
ncip
al e
st d
ispo
nibl
e ap
rès
une
pann
e.
Nom
bre
de n
œud
s su
ppor
tés
328
2L
a do
cum
enta
tion
sur
Hea
rtbe
at i
ndiq
ue q
ue l
a li
mit
atio
n à
2 nœ
uds
devr
ait ê
tre
bien
tôt s
uppr
imée
(l'a
rchi
tect
ure
du p
rodu
it e
st p
révu
e po
ur u
npl
us g
rand
nom
bre
de n
œud
s).
Séle
ctio
n dy
nam
ique
du
nœud
de
back
up+
--
Cet
te f
onct
ion
n'es
t pas
impl
émen
tée
dans
Hea
rbea
t et T
ruC
lust
er.
Com
pati
bili
té a
vec
les
prod
uits
d'éq
uili
brag
e de
cha
rge
++
-
Hea
rbea
t
Hea
rtbe
at n
e su
ppor
te p
as d
'inst
ance
s m
ulti
ples
de
serv
ice.
Il n
'est
don
cpa
s po
ssib
le d
'uti
lise
r H
eart
beat
pou
r gé
rer
les
serv
eurs
dan
s le
cad
re d
'une
solu
tion
d'é
quil
ibra
ge d
e ch
arge
à l'
aide
de
ce p
rodu
it.
- 3
6 -
CE
LA
R –
SE
CU
RIT
E D
ES
LO
GIC
IEL
S L
IBR
ES
– H
AU
TE
DIS
PO
NIB
ILIT
E©
EA
DS
SY
CO
MO
RE
- R
EF
. 00-
176/
2000
0063
3- V
1.0
DU
30/
06/2
000
Eva
luat
ion
Log
icie
l lib
reC
ritè
res
HA
CM
PT
ruC
lust
erL
og. L
ibre
Prod
uits
Rem
arqu
es
Act
ions
cor
rect
rice
s po
ssib
les
++
+A
ctio
ns p
ossi
bles
:•
Rep
rise
d’a
dres
se I
P ;
• R
epri
se d
'un
serv
ice
(via
scr
ipt d
e dé
mar
rage
) ;
• A
ctio
n qu
elco
nque
(sc
ript
à f
ourn
ir).
En
cas
de p
anne
d'u
ne in
terf
ace
rése
au le
pro
duit
ne
sait
pas
bas
cule
r su
run
e au
tre
inte
rfac
e (s
auf
à dé
velo
pper
cet
te f
onct
ion)
.L
es tr
ois
prod
uits
son
t équ
ival
ents
.
Dét
ecti
on d
e pa
nnes
���
���
���
Les
lo
gici
els
libr
es
étud
iés
perm
ette
nt
de
surv
eill
er
la
plup
art
des
ress
ourc
es lo
gici
elle
s et
mat
érie
lles
.
Dét
ecti
on p
anne
s lo
gici
elle
s+
++
Mon
per
met
de
surv
eill
er u
n gr
and
nom
bre
de s
ervi
ces
rése
au (
HT
TP,
LD
AP…
).
Dét
ecti
on p
anne
s m
atér
iell
es+
++
Hea
rtbe
at,
Mon
Les
pro
duit
s pe
rmet
tent
de
déte
cter
des
pan
nes
mat
érie
lle
avec
des
méc
anis
mes
de
"pin
g" (
pour
Mon
) ou
de
dial
ogue
ent
re a
gent
s pr
ésen
ts s
urle
s nœ
uds.
Les
troi
s pr
odui
ts s
ont é
quiv
alen
ts.
On
peut
not
er q
ue H
eart
beat
dia
logu
e pa
r pl
usie
urs
mét
hode
ssi
mul
tané
men
t (ré
seau
et p
ort s
érie
), c
e qu
i lui
per
met
de
dist
ingu
er le
spa
nnes
rés
eau
et p
anne
s co
mpl
ètes
d'u
n nœ
ud.
Le
prod
uit l
m-s
enso
rs (
non
étud
ié d
ans
ce r
appo
rt)
perm
et d
e co
ntrô
ler
les
sond
es d
e te
mpé
ratu
re, v
enti
late
urs,
ali
men
tati
on, p
rése
nt d
ans
les
mat
érie
ls P
C s
tand
ards
.
- 3
7 -
CE
LA
R –
SE
CU
RIT
E D
ES
LO
GIC
IEL
S L
IBR
ES
– H
AU
TE
DIS
PO
NIB
ILIT
E©
EA
DS
SY
CO
MO
RE
- R
EF
. 00-
176/
2000
0063
3- V
1.0
DU
30/
06/2
000
Eva
luat
ion
Log
icie
l lib
reC
ritè
res
HA
CM
PT
ruC
lust
erL
og. L
ibre
Prod
uits
Rem
arqu
es
Dét
ecti
on d
e pr
oblè
mes
de
ress
ourc
es+
-+
La
seul
e re
ssou
rce
qu'o
n sa
it s
urve
ille
r (a
vec
Mon
) es
t l'e
spac
e di
sque
,m
ais
on p
eut e
n aj
oute
r en
écr
ivan
t ses
pro
pres
scr
ipts
.
Au
nive
au d
es s
olut
ions
com
mer
cial
es,
cett
e so
luti
on e
st i
mpl
émen
tée
dans
le p
rodu
it d
'IBM
mai
s pa
s ce
lui d
e D
igit
al.
Inte
rfac
es (
API
)+
++
Hea
rtbe
at :
Il e
st p
ossi
ble
de d
écle
nche
r le
bas
cule
men
t dep
uis
une
appl
icat
ion
par
l'int
erm
édia
ire
d'ou
tils
en
lign
e de
com
man
de. L
'API
de
cons
ulta
tion
de
l'éta
t du
clus
ter
est e
n co
urs
de d
ével
oppe
men
t et p
rése
nte
enco
re d
e gr
os p
robl
èmes
de
stab
ilit
é.M
on :
Mon
est
livr
é av
ec u
n ou
til d
'adm
inis
trat
ion
en li
gne
de c
omm
ande
que
l'ont
peu
t exé
cute
r su
r le
nœ
ud d
u se
rveu
r M
on o
u à
dist
ance
. Les
fonc
tion
s de
l'ou
til s
ont d
écri
tes
en 3
.1.3
. Le
prod
uit e
st li
vré
avec
des
exem
ples
de
scri
pts
util
isan
t cet
out
il.
Les
API
s de
s pr
odui
ts c
omm
erci
aux
sont
plu
s ho
mog
ènes
.
Ext
ensi
bili
té+
++
Hea
rtbe
at :
On
peut
ajo
uter
des
act
ions
à d
écle
nche
r lo
rs d
u ba
scul
emen
t.M
on :
On
peut
ajo
uter
des
scr
ipts
de
surv
eill
ance
de
nouv
elle
s re
sour
ces
ou d
es s
crip
ts à
déc
lenc
her
en c
as d
'ale
rte.
Les
troi
s pr
odui
ts s
ont é
quiv
alen
ts.
Rég
lage
s po
ssib
les
+
Cri
tère
s
Tou
s le
s in
terv
alle
s de
sur
veil
lanc
e, le
nom
bre
d'éc
hecs
ava
nt a
lert
e ou
basc
ulem
ent s
ont p
aram
étra
bles
.D
ans
le c
as d
e M
on o
n pe
ut d
éfin
ir d
es d
épen
danc
es e
ntre
les
reso
urce
spa
rtag
ées
pour
lim
iter
le n
ombr
e d'
alar
mes
.
Dis
poni
bilit
é de
s do
nnée
s
- 3
8 -
CE
LA
R –
SE
CU
RIT
E D
ES
LO
GIC
IEL
S L
IBR
ES
– H
AU
TE
DIS
PO
NIB
ILIT
E©
EA
DS
SY
CO
MO
RE
- R
EF
. 00-
176/
2000
0063
3- V
1.0
DU
30/
06/2
000
Eva
luat
ion
Log
icie
l lib
reC
ritè
res
HA
CM
PT
ruC
lust
erL
og. L
ibre
Prod
uits
Rem
arqu
es
Supp
ort
RA
ID
��
��
��
Lin
ux f
ourn
it u
ne f
onct
ion
de R
AID
log
icie
l tr
ès c
ompl
ète,
mai
s su
ppor
tetr
ès p
eu d
e so
luti
ons
mat
érie
lles
.
RA
ID m
atér
iel
++
-U
n se
ul p
rodu
it (
cont
rôle
ur)
supp
orté
par
Lin
ux c
ontr
aire
men
t au
x au
tres
solu
tion
s..
RA
ID lo
gici
el-
-+
Lin
ux
Trè
s co
mpl
et p
our
Lin
ux.
Pas
supp
orté
par
HA
CM
P. S
uppo
rt li
mit
é pa
r D
igit
al (
pas
de R
aid
5).
Dis
ques
par
tagé
s
��
���
��
Solu
tion
s co
mm
erci
ales
:•
Com
paq
supp
orte
CFS
(C
lust
er F
ile
Syst
em)
;•
IBM
sup
port
e la
mêm
e fo
ncti
onna
lité
mai
s de
faç
on n
on c
onfo
rme
à la
norm
e PO
SIX
.•
GFS
sup
port
e pe
u de
mat
érie
ls.
Prod
uits
sup
port
és+
+-
GFS
im
pose
des
lim
itat
ions
au
mat
érie
l :
le d
isqu
e ou
la
baie
doi
vent
supp
orte
r la
spé
cifi
cati
on D
lock
qui
est
peu
rép
andu
e, e
t le
s co
nstr
ucte
urs
qui l
'ont
impl
émen
té n
e la
sup
port
ent p
as.
Supp
ort S
CSI
et F
ibre
Cha
nnel
uni
quem
ent (
pas
de S
SA).
Acc
ès c
oncu
rren
t pos
sibl
e-
++
GFS
Not
e :
GFS
sup
port
e la
jou
rnal
isat
ion
dans
le
cas
d'ac
cès
en é
crit
ure
mul
tipl
es, c
ontr
aire
men
t à la
sol
utio
n d'
IBM
.
- 3
9 -
CE
LA
R –
SE
CU
RIT
E D
ES
LO
GIC
IEL
S L
IBR
ES
– H
AU
TE
DIS
PO
NIB
ILIT
E©
EA
DS
SY
CO
MO
RE
- R
EF
. 00-
176/
2000
0063
3- V
1.0
DU
30/
06/2
000
Eva
luat
ion
Log
icie
l lib
reC
ritè
res
HA
CM
PT
ruC
lust
erL
og. L
ibre
Prod
uits
Rem
arqu
es
Nom
bre
de n
œud
s su
ppor
tés
816
+
Cri
tère
s
La
mis
e en
pla
ce d
e G
FS la
plu
s im
port
ante
a u
tili
sé 1
6 nœ
uds
accé
dant
de
faço
n co
ncur
rent
e à
des
disq
ues
part
agés
.
Vol
umes
par
tagé
s
Cet
te f
onct
ionn
alit
é n'
est p
as im
plém
enté
e da
ns le
s so
luti
ons
com
mer
cial
es o
ù on
uti
lise
plu
tôt d
es d
isqu
es p
arta
gés.
Méc
anis
me
de r
épli
cati
on d
evo
lum
es /
util
isat
ion
de v
olum
esdi
stan
ts
n/a
n/a
+L
e se
ul m
ode
de f
onct
ionn
emen
t sup
port
é pa
r D
RB
D e
st la
rép
lica
tion
à la
volé
e.
Acc
ès c
oncu
rren
t pos
sibl
en/
an/
a-
Pas
d'ac
cès
conc
urre
nt p
ossi
ble
Méc
anis
me
de r
esyn
chro
nisa
tion
aprè
s dé
conn
exio
nn/
an/
a+
DR
BD
a 2
méc
anis
mes
:•
resy
nchr
onis
atio
n pa
rtie
lle
décl
ench
ée a
utom
atiq
uem
ent a
près
une
déco
nnex
ion
tem
pora
ire
(cou
pure
rés
eau
ou p
anne
du
seco
ndai
re)
• re
sync
hron
isat
ion
tota
le (
reco
pie
de l'
ense
mbl
e du
vol
ume)
: So
ndé
clen
chem
ent s
e fa
it m
anue
llem
ent p
ar u
n ou
til e
n li
gne
deco
mm
ande
.L
es d
eux
méc
anis
mes
fon
ctio
nnen
t en
tâch
e de
fon
d.
Nom
bre
de n
œud
s su
ppor
tés
n/a
n/a
2
DR
BD
La
road
map
du
pr
odui
t in
diqu
e qu
e la
li
mit
atio
n a
2 nœ
uds
sera
supp
rim
ée.
Hau
te d
ispo
nibi
lité
des
syst
èmes
de
fich
iers
Rei
serF
SR
eise
rFs
: Jo
urna
lisa
tion
des
mét
a-do
nnée
s un
ique
men
t (c
'est
aus
si l
e ca
sde
s so
luti
ons
com
mer
cial
es),
ce
qui c
orre
spon
d à
une
util
isat
ion
cour
ante
.
- 4
0 -
CE
LA
R –
SE
CU
RIT
E D
ES
LO
GIC
IEL
S L
IBR
ES
– H
AU
TE
DIS
PO
NIB
ILIT
E©
EA
DS
SY
CO
MO
RE
- R
EF
. 00-
176/
2000
0063
3- V
1.0
DU
30/
06/2
000
Eva
luat
ion
Log
icie
l lib
reC
ritè
res
HA
CM
PT
ruC
lust
erL
og. L
ibre
Prod
uits
Rem
arqu
es
Syst
èmes
de
fich
iers
jour
nali
sés
++
+R
eise
rFS
Pour
le
s so
luti
ons
com
mer
cial
es,
la
jour
nali
sati
on
est
une
fonc
tion
stan
dard
des
sys
tèm
es d
'exp
loit
atio
ns s
ur le
sque
lles
ell
es f
onct
ionn
ent.
Not
e :
plus
ieur
s au
tres
sys
tèm
es d
e fi
chie
rs j
ourn
alis
és s
ont
en c
ours
de
déve
lopp
emen
t (X
FS, J
FS, e
xt3,
Lin
Log
FS…
)
Hau
te d
ispo
nibi
lité
des
sys
tèm
esde
fic
hier
s+
-A
ucun
IBM
fou
rnit
des
fon
ctio
ns d
e ré
cupé
rati
on d
e l'é
tat d
'un
syst
ème
de f
ichi
ers
(ver
rous
…)
aprè
s un
cr
ash.
A
ucun
de
s pr
odui
ts
libr
es
ne
four
nit
deso
luti
on.
Equ
ilibr
age
de c
harg
e
Equ
ilibr
age
de c
harg
e
���
���
La
solu
tion
com
mer
cial
e co
nsid
érée
pou
r IB
M e
st :
Net
wor
k D
ispa
tche
rpo
ur I
BM
/HA
CM
P
Hau
te d
ispo
nibi
lité
du
méc
anis
me
d'éq
uili
brag
e de
char
ge
++
Ça
n'es
t pas
une
fon
ctio
n du
pro
duit
de
base
: il
fau
t uti
lise
r un
e de
sso
luti
ons
Pira
nha
ou U
ltra
mon
key,
ou
cela
doi
t êtr
e ré
alis
é pa
r ai
lleu
rs.
Cri
tère
s de
"di
spat
chin
g"su
ppor
tés
+-
Cri
tère
s :
• ro
und
robi
n po
ndér
é ou
pas
,•
choi
x du
ser
veur
ave
c le
moi
ns d
e co
nnex
ions
act
ives
, pon
déré
ou
pas.
LV
S ne
sup
port
e pa
s de
cri
tère
dép
enda
nt d
e l'é
tat d
es s
erve
urs
(cha
rge,
util
isat
ion
CPU
..)
cont
rair
emen
t à la
sol
utio
n d'
IBM
.
Dét
ecti
on d
es n
œud
s en
pan
ne+
+
LV
S
Les
sol
utio
ns P
iran
ha e
t Ult
ram
onke
y ap
port
ent c
ette
fon
ctio
n.
- 4
1 -
CE
LA
R –
SE
CU
RIT
E D
ES
LO
GIC
IEL
S L
IBR
ES
– H
AU
TE
DIS
PO
NIB
ILIT
E©
EA
DS
SY
CO
MO
RE
- R
EF
. 00-
176/
2000
0063
3- V
1.0
DU
30/
06/2
000
Eva
luat
ion
Log
icie
l lib
reC
ritè
res
HA
CM
PT
ruC
lust
erL
og. L
ibre
Prod
uits
Rem
arqu
es
Méc
anis
mes
sup
port
és-
+
Cri
tère
s
LV
M e
st l
a so
luti
on q
ui s
uppo
rte
le p
lus
de m
écan
ism
es d
e ro
utag
e de
paqu
ets
vers
les
serv
eurs
. IB
M n
e su
ppor
te q
ue le
rou
tage
dir
ect.
Red
onda
nce
mat
érie
lle lo
cale
Red
onda
nce
mat
érie
lle lo
cale
���
��
Lin
uxR
ien
n'es
t pr
évu
parm
i le
s lo
gici
els
libr
es, à
par
t la
ges
tion
des
wat
chdo
gset
des
ond
uleu
rs.
Supp
ort d
es m
atér
iels
hau
tem
ent
disp
onib
les
+-
Auc
unPa
s de
sol
utio
n lo
gici
el li
bre.
Ges
tion
des
ond
uleu
rs+
+C
f. r
emar
que
Il e
xist
e de
nom
breu
x pr
odui
ts d
ans
le lo
gici
el li
bre
perm
etta
nt d
e gé
rer
les
ondu
leur
s et
de
décl
ench
er d
es a
ctio
ns s
elon
l'é
tat
de l
'ond
uleu
r. C
espr
odui
ts n
'ont
pas
été
étu
diés
dan
s ce
doc
umen
t.
Supp
ort d
es w
atch
dogs
+L
inux
Supp
orté
par
Lin
ux, m
ais
le n
ombr
e de
sol
utio
ns m
atér
iell
es s
uppo
rtée
s es
ttr
ès f
aibl
e (3
pro
duit
s).
Supp
ort a
rrêt
+re
dém
arra
gem
atér
iel
+-
Auc
unD
ispo
nibl
e su
r H
AC
MP
mai
s pa
s de
sol
utio
n lo
gici
el li
bre.
Red
onda
nce
mul
ti-s
ite
Red
onda
nce
mul
ti-s
ite
Auc
unA
ucun
logi
ciel
libr
e ne
fou
rnit
cet
te f
onct
ionn
alit
é (p
arm
i les
sol
utio
nsco
mm
erci
ales
, seu
l IB
M f
ourn
it u
ne f
onct
ion
de r
epri
se m
ulti
-sit
e sa
nsli
mit
e de
dis
tanc
e vi
a un
WA
N).
- 4
2 -
CE
LA
R –
SE
CU
RIT
E D
ES
LO
GIC
IEL
S L
IBR
ES
– H
AU
TE
DIS
PO
NIB
ILIT
E©
EA
DS
SY
CO
MO
RE
- R
EF
. 00-
176/
2000
0063
3- V
1.0
DU
30/
06/2
000
Eva
luat
ion
Log
icie
l lib
reC
ritè
res
HA
CM
PT
ruC
lust
erL
og. L
ibre
Prod
uits
Rem
arqu
es
Méc
anis
mes
de
sync
hron
isat
ion
de d
onné
es e
ntre
sit
es+
n/a
n/a
Méc
anis
mes
de
repr
ise
de m
ulti
-si
tes
+n/
an/
a
Cri
tère
s
Cri
tère
s gé
néra
ux
Not
orié
té
���
���
�
Les
pro
duit
s lo
gici
els
libr
es é
tudi
és (
à pa
rt le
sys
tèm
e L
inux
) pr
ésen
tent
peu
de r
éfér
ence
s à
l'heu
re a
ctue
lle.
On
peut
cit
er l'
util
isat
ion
de R
eise
rFS
pour
le s
erve
ur sourceforge.net
(850
Go
de f
ichi
ers
en li
gne
dont
la m
oiti
é es
t sou
s R
eise
rFS)
.
Qua
lité
tech
niqu
e
���
���
��
Var
iabl
e se
lon
les
logi
ciel
s li
bres
uti
lisé
s.
Rob
uste
sse
++
+V
aria
ble
selo
n le
s pr
odui
ts.
Cer
tain
s pr
odui
t né
cess
iten
t de
s co
rrec
tion
spo
ur
pouv
oir
fonc
tion
ner
corr
ecte
men
t. Pa
r ex
empl
e da
ns
cert
aine
sci
rcon
stan
ces,
l'u
tili
sati
on c
onjo
inte
de
DR
BD
et
Hea
rtbe
at c
ondu
it à
des
situ
atio
ns o
u le
s de
ux n
œud
s es
saie
nt d
'êtr
e pr
imai
re e
n m
ême
tem
ps,
cequ
i con
duit
au
bloc
age
du p
rodu
it D
RB
D.
Sécu
rité
++
-V
oir
part
ie 3
.3.
Adm
inis
trat
ion
et e
xplo
itat
ion
���
�
tous
Adr
min
stra
tion
très
"B
as n
ivea
u" p
our
les
logi
ciel
s li
bres
.
- 4
3 -
CE
LA
R –
SE
CU
RIT
E D
ES
LO
GIC
IEL
S L
IBR
ES
– H
AU
TE
DIS
PO
NIB
ILIT
E©
EA
DS
SY
CO
MO
RE
- R
EF
. 00-
176/
2000
0063
3- V
1.0
DU
30/
06/2
000
Eva
luat
ion
Log
icie
l lib
reC
ritè
res
HA
CM
PT
ruC
lust
erL
og. L
ibre
Prod
uits
Rem
arqu
es
Con
figu
rati
on à
cha
ud p
ossi
ble
+-
Pas
de c
onfi
gura
tion
san
s re
dém
arra
ge d
es p
rodu
its,
à p
art :
• R
etra
it te
mpo
rair
e d'
un s
erve
ur d
'un
clus
ter
Hea
rtbe
at p
ossi
ble
;•
Arr
êt d
e la
sur
veil
lanc
e d'
une
ress
ourc
e pa
r M
on.
Con
figu
rati
on c
entr
alis
ée+
-A
ucun
e po
ur le
s lo
gici
els
libr
es.
API
d'a
dmin
istr
atio
n+
-L
ogic
iels
lib
res
: en
gén
éral
, ad
min
istr
atio
n "à
l'a
ncie
nne"
: f
ichi
er d
eco
nfig
urat
ion
et
redé
mar
rage
du
pr
odui
t po
ur
pren
dre
en
com
pte
les
mod
ific
atio
ns.
Seul
Mon
fou
rnit
une
vra
ie A
PI.
IBM
fou
rnit
une
API
C/C
++
.
Cen
tral
isat
ion
de la
con
figu
rati
onde
s sy
stèm
es d
'exp
loit
atio
n de
sdi
ffér
ents
noe
uds
+-
Uti
lisa
tion
des
méc
anis
mes
sta
ndar
d U
nix
pour
les
logi
ciel
s li
bres
.
Les
out
ils
d'ad
min
istr
atio
n d'
IBM
per
met
tent
d'a
dmin
istr
er l
es s
ystè
mes
d'ex
ploi
tati
on d
es d
iffé
rent
s nœ
uds
d'un
clu
ster
de
man
ière
cen
tral
isée
(ges
tion
des
uti
lisa
teur
s, n
om d
es s
erve
urs
…)
Con
sole
d'e
xplo
itat
ion
cent
rali
sée
+-
Cri
tère
s
IBM
fou
rnit
une
con
sole
gra
phiq
ue p
rése
ntan
t l'é
tat
des
diff
éren
ts n
œud
sd'
où o
n pe
ut d
écle
nche
r de
s ac
tion
s te
lles
que
le
basc
ulem
ent
d'un
ser
vice
,le
dém
arra
ge o
u l'a
rrêt
d'u
n nœ
ud …
Rie
n po
ur le
s lo
gici
els
libr
es.
- 4
4 -
CE
LA
R –
SE
CU
RIT
E D
ES
LO
GIC
IEL
S L
IBR
ES
– H
AU
TE
DIS
PO
NIB
ILIT
E©
EA
DS
SY
CO
MO
RE
- R
EF
. 00-
176/
2000
0063
3- V
1.0
DU
30/
06/2
000
Eva
luat
ion
Log
icie
l lib
reC
ritè
res
HA
CM
PT
ruC
lust
erL
og. L
ibre
Prod
uits
Rem
arqu
es
Méc
anis
mes
d'a
lert
es+
-Se
ul M
on e
st c
apab
le d
e re
mon
ter
ses
prop
res
aler
tes.
N’e
xist
e pa
s su
r le
sau
tres
logi
ciel
s li
bres
..
Mai
ntie
n en
con
diti
ons
opér
atio
nnel
les
���
��
Doc
umen
tati
on "
dens
e" e
t tr
ès t
echn
ique
et
« su
ppor
t » p
ar m
aili
ng-l
ist
pour
les
logi
ciel
s li
bres
..
Doc
umen
tati
on+
+D
ocum
enta
tion
typ
e M
an U
NIX
ou
HO
WT
O,
en g
énér
al a
ssez
con
cise
et
pas
du to
ut d
idac
tiqu
e, m
ais
asse
z co
mpl
ète.
Les
pro
duit
s so
nt f
ourn
is a
vec
des
exem
ples
de
fich
iers
de
conf
igur
atio
n.
Le
prod
uit
LV
S se
dém
arqu
e de
s au
tres
en
four
niss
ant
une
docu
men
tati
onen
lign
e de
bon
ne q
uali
té c
onte
nant
plu
sieu
rs e
xem
ples
de
conf
igur
atio
n.
Bon
ne d
ocum
enta
tion
pou
r H
AC
MP.
Supp
ort
+-
Pas
de s
uppo
rt o
ffic
iel p
our
le lo
gici
el li
bre,
mai
s il
y a
une
mai
ling
-lis
t sur
la
haut
e di
spon
ibil
ité
(arc
hive
av
ec
outi
l de
re
cher
che
et
mod
alit
ésd'
insc
ript
ion
sur
ww
w.li
nux-
ha.o
rg)
à la
quel
le
les
déve
lopp
eurs
de
spr
odui
ts p
arti
cipe
nt.
Pris
e en
mai
n+
-
Cri
tère
s
Les
pro
duit
s so
nt e
n gé
néra
l si
mpl
es à
ins
tall
er (
à pa
rt R
eise
rFS
qui
néce
ssit
e un
pat
ch n
oyau
et
dont
la
mis
e en
pla
ce c
omm
e sy
stèm
e de
fich
ier
d'un
e di
stri
buti
on e
xist
ante
peu
t êt
re d
élic
at)
et à
uti
lise
r. M
ais
une
inté
grat
ion
est n
éces
sair
e po
ur le
s lo
gici
els
libr
es.
- 4
5 -
CE
LA
R –
SE
CU
RIT
E D
ES
LO
GIC
IEL
S L
IBR
ES
– H
AU
TE
DIS
PO
NIB
ILIT
E©
EA
DS
SY
CO
MO
RE
- R
EF
. 00-
176/
2000
0063
3- V
1.0
DU
30/
06/2
000
- 4
6 -
CE
LA
R –
SE
CU
RIT
E D
ES
LO
GIC
IEL
S L
IBR
ES
– H
AU
TE
DIS
PO
NIB
ILIT
E©
EA
DS
SY
CO
MO
RE
- R
EF
. 00-
176/
2000
0063
3- V
1.0
DU
30/
06/2
000
Tab
leau
2 :
Syn
thès
e de
l'év
alua
tion
Not
atio
nSy
nthè
se lo
gici
el li
bre
Cri
tère
s
HA
CM
PT
ruC
lust
erL
og. l
ibre
Prod
uits
Rem
arqu
es
Mis
e en
clu
ster
Méc
anis
mes
de
repr
ise
���
���
�
Hea
rtbe
atH
eart
beat
fou
rnit
une
sol
utio
n "l
égèr
e" d
e cl
uste
ring
pou
r de
ux s
erve
urs.
Dét
ecti
on d
e pa
nne
���
���
���
Hea
rtbe
at,
Mon
Les
lo
gici
els
libr
es
étud
iés
perm
ette
nt
de
surv
eill
er
la
plup
art
des
ress
ourc
es lo
gici
elle
s et
mat
érie
lles
.
Dis
poni
bilit
é de
s do
nnée
s
Supp
ort
RA
ID
��
��
��
Lin
uxR
AID
lo
gici
el
plus
co
mpl
et
que
les
solu
tion
s co
mm
erci
ales
. R
AID
mat
érie
l sup
port
e pe
u de
con
trôl
eurs
.
Dis
ques
par
tagé
s
��
���
��
GFS
Prod
uit
com
plet
mai
s av
ec d
es c
ontr
aint
es i
mpo
rtan
tes
sur
le m
atér
iel
(sup
port
d'u
ne e
xten
sion
à la
nor
me
SCSI
).
Vol
umes
par
tagé
s
�
�
���
DR
BD
DR
BD
fou
rnit
une
fon
ctio
n de
rép
lica
tion
de
disq
ue a
u fi
l de
l'eau
et n
'apa
s d'
équi
vale
nts
dans
les
solu
tion
s co
mm
erci
ales
.
Hau
te d
ispo
nibi
lité
des
syst
èmes
de
fich
iers
���
���
���
Rei
serF
SR
eise
rFS
est d
éjà
util
isé
en p
rodu
ctio
n su
r pl
usie
urs
gros
ser
veur
s.
Equ
ilibr
age
de c
harg
e
- 4
7 -
CE
LA
R –
SE
CU
RIT
E D
ES
LO
GIC
IEL
S L
IBR
ES
– H
AU
TE
DIS
PO
NIB
ILIT
E©
EA
DS
SY
CO
MO
RE
- R
EF
. 00-
176/
2000
0063
3- V
1.0
DU
30/
06/2
000
Not
atio
nSy
nthè
se lo
gici
el li
bre
Cri
tère
s
HA
CM
PT
ruC
lust
erL
og. l
ibre
Prod
uits
Rem
arqu
es
Equ
ilibr
age
de c
harg
e
���
���
LV
SL
VS
est d
ispo
nibl
e so
us f
orm
e de
sol
utio
ns c
ompl
ètes
, le
s ou
tils
adm
inis
trat
ion
vien
nent
de
sort
ir.
Red
onda
nce
mat
érie
lle lo
cale
Red
onda
nce
mat
érie
lle lo
cale
���
��
Lin
uxL
inux
ne
supp
orte
pas
la
plup
art
des
mat
érie
ls r
edon
dant
s, m
ais
perm
et d
egé
rer
les
ondu
leur
s et
les
wat
chdo
gs.
Red
onda
nce
mul
ti-s
ite
Red
onda
nce
mul
ti-s
ite
���
�
�
Auc
unA
ucun
logi
ciel
libr
e ne
fou
rnit
cet
te f
onct
ionn
alit
é (p
arm
i les
sol
utio
nsco
mm
erci
ales
, seu
l IB
M f
ourn
it u
ne f
onct
ion
de r
epri
se m
ulti
-sit
e sa
nsli
mit
e de
dis
tanc
e vi
a un
WA
N).
Cri
tère
s gé
néra
ux
Not
orié
té
���
���
�
Trè
s pe
u de
réf
éren
ces
en p
rodu
ctio
n ac
tuel
lem
ent (
à pa
rt L
inux
).
Qua
lité
tech
niqu
e
���
���
��
Var
iabl
e se
lon
les
prod
uits
.
Adm
inis
trat
ion
���
�
Adr
min
stra
tion
trè
s "B
as n
ivea
u" p
our
les
logi
ciel
s li
bres
à l
'exc
epti
on d
esde
ux s
olut
ions
inté
gran
t LV
S.
Mai
ntie
n en
con
diti
ons
opér
atio
nnel
les
���
��
Tou
s
Doc
umen
tati
on "
dens
e" e
t trè
s te
chni
que
et s
uppo
rt p
ar m
aili
ng-l
ist.
- 48 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© SYCOMORE AEROSPATIALE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
4.3. Synthèse
On constate que dans l’environnement des logiciels libres on trouve encore peu de produitsfournissant une solution globale de haute disponibilité, et que pour mettre en place une tellesolution il faut utiliser plusieurs "petits" produits apportant chacun une fonction de la hautedisponibilité (clustering, réplication de disques, RAID, …). Les produits doivent ensuiteêtre intégrés.
Les distributions Linux incluent rarement des outils de haute disponibilité. Il faut doncinstaller ces produits soi-même et les intégrer au système d'exploitation. Par exemple, dansle cas de ReiserFS, cette opération est très lourde : elle nécessite l'installation d'unedistribution, la sauvegarde complète, le repartitionnement et mise en place des partitionsReiserFS, la restauration du système, et la mise à jour "à la main" des fichiers deconfiguration du système, étant donné que ReiserFS n'est pas pris en compte par les outilsd'administration livré avec la distribution. Les seules exceptions sont :
• Redhat (www.redhat.com) qui inclut maintenant le produit Piranha dans sa distribution;
• La distribution Suse 6.4 (www.suse.com) qui peut s'installer sur un système de fichierReiserFS ;
• La distribution Conectiva Linux qui comprend le produit Heartbeat.
Faiblesses des produits :
• La sécurité a été prise en compte de manière inégale par les produits étudiés. Enparticulier le produit DRBD fait circuler en clair sur le réseau et sans authentificationtoutes les mises à jour apportées au contenu de la partition partagée. La mise en placed'une solution de haute disponibilité sécurisée passe par des solutions de type sécuritéde périmètre telles que celles décrite dans la partie 3.3 ;
• Les produits ne fournissent pas d'outil d'administration de haut niveau à part pour lesdeux solutions d'équilibrage de charge toutes intégrées (Ultramonkey et Piranha) ;
• Les produits étudiés n'ont pratiquement pas de références en production actuellement, àpart l'utilisation des fonctions standard de Linux (RAID, Watchdog), et le produitReiserFS ;
• Les produits étudiés présentent des limitations très contraignantes (par exemple lenombre de nœuds supportés par HeartBeat et DRBD), mais les auteurs annoncent queces limitations vont être supprimées dans des versions ultérieure. En particulier, dans ledomaine de la mise en cluster : le produit Heartbeat ne supporte que 2 nœuds, n'a pasde mécanisme de détection et de reprise dans le cas d'une panne d'une interface réseau.Aucun produit n'adresse actuellement le problème de redondance entre sites distantsmultiples. La vitesse d'évolution des produits et le nombre d'intervenants participant àces projets semblent aller dans ce sens.
- 49 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© SYCOMORE AEROSPATIALE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
Les logiciels libres offrent des solutions de qualité comparable (à part pour les outilsd'administration) avec les produits commerciaux dans les domaines suivants :
• RAID matériel et logiciel
• Disques partagés (GFS)
• Equilibrage de charge (LVS)
Les logiciels libres permettent la mise en place de solutions hautement disponibles sur dumatériel à faible coût (PC standard) :
• Une solution de réplication de disques à la volée permet d'assurer la haute disponibilitédes données la ou une solution commerciale équivalente nécessite la mise en place dedisques partagés et donc de matériel spécifique (Fibre Channel …) ;
• La solution de RAID logiciel fournie par Linux est plus complète que celles fourniespar les solutions commerciales. Certaines fonctionnalités (RAID 5 par exemple) qu'ellefournit nécessitent forcément la mise en place d'une solution matérielle spécifique dansle cas des solutions commerciales.
En conclusion, les solutions de haute disponibilité dans l'environnement logiciel libre n'ontpas encore atteint le stade de la maturité. On peut toutefois affirmer que la hautedisponibilité est une réalité satisfaisante pour Linux si on se limite à des cas simples, et enparticulier au cas le plus couramment utilisé qui est le backup d'un serveur sur un autreavec un partage de disques.
5. Le futur
Les éditeurs de distributions incluent de plus en plus des produits concernant la hautedisponibilité dans leurs distributions :
• Redhat propose le produit Piranha et l'inclut dans sa distribution;
• La distribution Suse peut s'installer sur du ReiserFS ;
• Conectiva Linux (www.conectiva.com) est livré avec Heartbeat.
On voit un nombre croissant d'annonces de sociétés commerciales qui prennent en comptele problème de la haute disponibilité et vont proposer (ou proposent déjà) des solutionscomplètes, des nouveaux produits, ou la mise sous licence open source de leurs produitsdéjà existants. On peut citer les exemples suivants :
• IBM a diffusé une version de son système de fichier journalisé (JFS) pour Linux, maisle produit n'est pas encore utilisable (version 0.0.5 et beaucoup de fonctionnalitésmanquent). IBM a annoncé la disponibilité prochaine de son gestionnaire de volumes
- 50 -
CELAR – SECURITE DES LOGICIELS LIBRES – HAUTE DISPONIBILITE© SYCOMORE AEROSPATIALE - REF. 00-176/200000633- V 1.0 DU 30/06/2000
(LVM) qui permet de gérer les partitions disques sans interruption de service (celainclut les déplacement, redimensionnement, etc..).
• Silicon Graphics fournit déjà son système de fichier journalisé (XFS) mais ce produitn'est pas encore utilisable. SGI a annonce, en coopération avec Suse, la disponibilitéprochaine (été 2000) de son produit FailSafe sous licence open source.
• La société de services MissionCriticalLinux (www.missioncriticallinux.com) quipropose des solutions centrés autour de la haute disponibilité sous Linux a annoncé finMars son intention de proposer des solutions spécifiques aux marchés financiers. Cettesociété vient d'annoncer la mise sous licence GPL de son produit Kimberlite ClusteringTechnology, qui inclut en particulier le support des disques partagés et le support descommande à distances pour le redémarrage des serveurs.
• VA-Linux développe le produit Ultramonkey et a réalisé une démonstration de clusterbasé sur GFS ;
Les mailing-lists et forums de discussions traitant des solutions libres pour la hautedisponibilité enregistrent un fort trafic traitant en particulier des points suivants :
• Mise au point et évolutions des produits existant ;
• Discussions pour la création de nouveaux produits (par exemple actuellement une APIde gestion des commandes à distances pour déclencher le redémarrage d'un serveurdepuis une application est en cours de définition).
L’agitation des développeurs et des sociétés commerciales autour de la haute disponibilitésur Linux et les logiciels libres montre qu’ il existe une forte attente dans ce domaine etnous assure d'avoir rapidement des produits adéquats pour apporter à cet environnementdes solutions plus performantes que les meilleures offres commerciales disponiblesaujourd’hui sur le marché.