Vous êtes ici : Formations en Ligne Gratuites » Catalogue » workbooks » CentOS » CentOS 8 » LCF600 - Présentation de la Formation » LCF604 - Présentation, Installation et Configuration de KVM

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

--- elearning:workbooks:centos:8:avance:l104 [2021/08/23 10:46] – admin
+++ elearning:workbooks:centos:8:avance:l104 [2022/02/22 15:15] (Version actuelle) – created admin
@@ Ligne 1: / Ligne 1: @@
 ~~PDF:LANDSCAPE~~
+Version : **2022.01**
 Dernière mise-à-jour : ~~LASTMOD~~
-======LCF604 - Gestion du Réseau======
+======LCF604 - Présentation, Installation et Configuration de KVM======
 =====Contenu du Module=====
-  * **LCF604 - Gestion du Réseau**
+  * **LCF604 - Présentation, Installation et Configuration de KVM**
     * Contenu du Module
-    * Configuration du Réseau
+    * Présentation
-      * La Commande nmcli
+    * LAB #1 - Installation de KVM
-      * Connections et Profils
+      * 1.1 - Installation des Paquets Requis
-      * Ajouter une Deuxième Adresse IP à un Profil
+      * 1.2 - Activation et Démarrage du Service libvirtd
-      * La Commande hostname
+      * 1.3 - Modules du Noyau
-      * La Commande ip
+    * LAB #2 - Configuration de KVM
-      * Activer/Désactiver une Interface Manuellement
+      * 2.1 - Configuration du Pare-feu
-      * Routage Statique
+      * 2.2 - Configuration du Réseau des VMs
-        * La commande ip
+      * 2.3 - Configuration du Stockage
-        * Activer/désactiver le routage sur le serveur
-    * Diagnostique du Réseau
-      * ping
-      * netstat -i
-      * traceroute
-    * Connexions à Distance
-      * Telnet
-      * wget
-      * ftp
-      * SSH
-        * Introduction
-          * SSH-1
-          * SSH-2
-        * L'authentification par mot de passe
-        * L'authentification par clef asymétrique
-          * Installation
-          * Configuration
-            * Serveur
-          * Utilisation
-          * Tunnels SSH
-      * SCP
-        * Introduction
-        * Utilisation
-        * Mise en place des clefs
-      * La Configuration par firewalld
-        * La Configuration de Base de firewalld
-        * La Commande firewall-cmd
-        * La Configuration Avancée de firewalld
-        * Le mode Panic de firewalld
-=====Configuration du Réseau=====
+=====Présentation=====
-RHEL/CentOS 7 utilise exclusivement **Network Manager** pour gérer le réseau. Network Manager est composé de deux éléments :
+====La Virtualisation====
-  * un service qui gère les connexions réseaux et rapporte leurs états,
+Le système de base hébergeant les machines virtuelles est appelé l'**hôte** tandis que les machines virtuelles sont appelées les **invités**.
-  * des front-ends qui passent par un API de configuration du service.
-<WRAP center round important>
+Il existe différentes méthodes de virtualisation :
-**Important** : Notez qu'avec cette version de NetworkManager, IPv6 est activée par défaut.
-</WRAP>
-Le service NetworkManager doit toujours être lancé :
+  * **Virtualisation au niveau du système d'exploitation ou //L'Isolation//**
+    * **Description** : Les systèmes invités utilisent le même noyau et une partie du système de fichiers de l'hôte.
+    * **L'avantage principal** : Économise des ressources.
+    * **L'inconvénient principal** : Les OS des invités ont besoin d'être modifiés pour fonctionner en tant que machine virtuelle. L'hôte et les invités doivent utiliser le même OS.
+    * **Logiciels concernés** : %%OpenVZ%%, Linux %%VServer%%, BSD Jails, LXC (Linux Containers), Solaris Zones, Docker.
-<code>
+{{ :elearning:workbooks:centos:6:senior:inheritedpackageszones.png?nolink&300 |}}
-[root@centos7 ~]# systemctl status NetworkManager.service
-● NetworkManager.service - Network Manager
-   Loaded: loaded (/usr/lib/systemd/system/NetworkManager.service; enabled; vendor preset: enabled)
-   Active: active (running) since Sun 2016-08-07 09:18:20 CEST; 1 day 1h ago
- Main PID: 673 (NetworkManager)
-   CGroup: /system.slice/NetworkManager.service
-           ├─ 673 /usr/sbin/NetworkManager --no-daemon
-           └─2673 /sbin/dhclient -d -q -sf /usr/libexec/nm-dhcp-helper -pf /var/run/dhclient-enp0s3.pid -lf /var/lib/NetworkManager/dhclient-45b701c1-0a21-4d76-a795-...
-Aug 08 11:03:55 centos7.fenestros.loc NetworkManager[673]: <info>    nameserver '8.8.8.8'
+  * **Paravirtualisation ou //Hyperviseur de type 1//**
-Aug 08 11:03:55 centos7.fenestros.loc NetworkManager[673]: <info>  (enp0s3): DHCPv4 state changed unknown -> bound
+    * **Description** : Le système hôte met à disposition une machine virtuelle dans laquelle les autres invités s'exécutent. Les systèmes invités sont modifiés et communiquent directement avec l'hyperviseur.
-Aug 08 11:03:55 centos7.fenestros.loc NetworkManager[673]: <info>  (enp0s3): device state change: ip-config -> ip-check (reason 'none') [70 80 0]
+    * **L'avantage principal** : Efficacité.
-Aug 08 11:03:55 centos7.fenestros.loc NetworkManager[673]: <info>  (enp0s3): device state change: ip-check -> secondaries (reason 'none') [80 90 0]
+    * **L'inconvénient principal** : Les OS des invités ont besoin d'être modifiés pour fonctionner en tant que machine virtuelle.
-Aug 08 11:03:55 centos7.fenestros.loc NetworkManager[673]: <info>  (enp0s3): device state change: secondaries -> activated (reason 'none') [90 100 0]
+    * **Logiciels concernés** : Xen, VMWare(tm) ESX, Microsoft(tm) Hyper-V.
-Aug 08 11:03:55 centos7.fenestros.loc NetworkManager[673]: <info>  NetworkManager state is now CONNECTED_LOCAL
-Aug 08 11:03:55 centos7.fenestros.loc NetworkManager[673]: <info>  NetworkManager state is now CONNECTED_GLOBAL
-Aug 08 11:03:55 centos7.fenestros.loc NetworkManager[673]: <info>  Policy set 'Wired connection 1' (enp0s3) as default for IPv4 routing and DNS.
-Aug 08 11:03:55 centos7.fenestros.loc NetworkManager[673]: <info>  (enp0s3): Activation: successful, device activated.
-Aug 08 11:03:55 centos7.fenestros.loc dhclient[2673]: bound to 10.0.2.15 -- renewal in 39589 seconds.
-</code>
-====La Commande nmcli====
+{{ :elearning:workbooks:centos:6:senior:hyperviseur1.png?nolink&300 |}}
-La commande **nmcli** (Network Manager Command Line Interface) est utilisée pour configurer NetworkManager.
+  * **Virtualisation complète ou //Hyperviseur de type 2//**
+    * **Description** : Le programme simule du matériel virtuel qui apparaît du point de vue de l'invité comme du matériel réellement existant. Un **hyperviseur** ou **VMM** ( //Virtual Machine Manager// ) contrôle l'invité et remplace certaines opérations par d'autres afin de gérer le processeur, le disque dur, la mémoire, les processus etc..
+    * **L'avantage principal** : Les OS des invités n'ont pas besoin d'être modifiés pour fonctionner en tant que machine virtuelle.
+    * **L'inconvénient principal** : La lenteur.
+    * **Logiciels concernés** : VMWare(tm) Fusion, VMWare(tm) Player, VMWare(tm) Server, VMWare(tm) Fusion, Parallels Desktop, Parallels Server, Sun/Oracle %%VirtualBox%%, Microsoft(tm) VirtualPC, Microsoft(tm) VirtualServer, QEMU, BOCHS.
-Les options et les sous-commandes peuvent être consultées en utilisant les commandes suivantes :
+{{ :elearning:workbooks:centos:6:senior:hyperviseur2.png?nolink&300 |}}
-<code>
+  * **Paravirtualisation avec prise en charge de matériel**
-[root@centos7 ~]# nmcli help
+    * **Description** : Les processeurs Intel-VT et AMD-V contiennent des instructions matérielles pour faciliter la virtualisation. Pour déterminer si le processeur dispose des fonctionnalités de virtualisation matérielles, soit Intel-VT, soit AMD-V, lancez la commande **# egrep '^flags.*(vmx|svm)' /proc/cpuinfo [Entrée]**. Dans le cas où vous ne voyez rien, le processeur ne dispose **pas** de fonctionnalités de virtualisation matérielles. Par contre, même dans le cas de la prise en charge, vérifiez que les fonctionnalités soient activées dans le BIOS de la machine.
-Usage: nmcli [OPTIONS] OBJECT { COMMAND | help }
+    * **L'avantage principal** : Efficacité liée au fait que la plupart des OS des invités n'ont pas besoin d'être modifiés pour fonctionner en tant que machine virtuelle.
+    * **L'inconvénient principal** : Nécessite un processeur spécial.
+    * **Logiciels concernés** : Xen, KVM
-OPTIONS
+{{ :elearning:workbooks:centos:6:senior:xen-schema.png?nolink&300 |}}
-  -t[erse]                                   terse output
-  -p[retty]                                  pretty output
-  -m[ode] tabular|multiline                  output mode
-  -f[ields] <field1,field2,...>|all|common   specify fields to output
-  -e[scape] yes|no                           escape columns separators in values
-  -n[ocheck]                                 don't check nmcli and NetworkManager versions
-  -a[sk]                                     ask for missing parameters
-  -w[ait] <seconds>                          set timeout waiting for finishing operations
-  -v[ersion]                                 show program version
-  -h[elp]                                    print this help
-OBJECT
+====Xen====
-  g[eneral]       NetworkManager's general status and operations
-  n[etworking]    overall networking control
-  r[adio]         NetworkManager radio switches
-  c[onnection]    NetworkManager's connections
-  d[evice]        devices managed by NetworkManager
-  a[gent]         NetworkManager secret agent or polkit agent
-[root@centos7 ~]# nmcli g help
+  * **[[http://www.xenproject.org/|Xen]]** a vu le jour en 2001 à l'**[[http://www.cl.cam.ac.uk/research/srg/netos/xen/index.html|Université de Cambridge]]**,
-Usage: nmcli general { COMMAND | help }
+  * Xen est un produit en licence GPL,
+  * Il existe des systèmes de virtualisation commerciaux à base de Xen dont le plus connu est actuellement **Citrix %%XenServer%%**,
+  * Xen est un système de virtualisation principalement destiné à la virtualisation de serveurs,
+  * Xen est un système de **paravirtualisation** qui nécessite un noyau Linux modifié,
+  * Xen ne peut pas lancé donc un système non-modifié tel Windows(tm) en mode paravirtualisation,
+  * Xen peut lancer des systèmes non modifiés dans des **HVM** ( //Hardware Virtual Machine// ) depuis sa version 3 en utilisant une partie du code de QEMU combinée avec l'utilisation d'un processeur de virtualisation
-COMMAND := { status | hostname | permissions | logging }
+====KVM====
-  status
+**[[http://www.linux-kvm.org|KVM]]** ou **K**ernel based **V**irtual **M**achine :
-  hostname [<hostname>]
+  * est un hyperviseur libre sous Linux,
+  * ne fonctionne que sur les architectures x86 disposant des extensions Intel-VT ou AMD-V,
+  * est un projet issu de QEMU.
-  permissions
+<WRAP center round important 60%>
+Important : Le module KVM est intégré dans le noyau Linux depuis la version 2.6.20 et permet la paravirtualisation depuis le noyau **2.6.25**.
+</WRAP>
-  logging [level <log level>] [domains <log domains>]
+**KVM** appartient à la société **Red Hat**.
+KVM permet de virtualiser :
-[root@centos7 ~]# nmcli g status help
+  * Windows(tm) à partir de Windows(tm) 2000,
-Usage: nmcli general status { help }
+  * Toutes les distributions Linux,
+  * La majorité des Unix BSD,
+  * Solaris(tm) et openSolaris,
+  * Minux, Hurd, QNX,
+  * MSDOS.
-Show overall status of NetworkManager.
+KVM offre un support du matériel suivant :
-'status' is the default action, which means 'nmcli gen' calls 'nmcli gen status'
-</code>
+  * USB,
+  * Ethernet,
+  * PCI Hotplug,
+  * Carte Son,
+  * **Virtuo** - un périphérique disque paravirtualisé.
-====Connections et Profils====
+Les avantages de KVM par rapport à Xen sont :
-NetworkManager inclus la notion de **connections** ou **profils** permettant des configurations différentes en fonction de la localisation. Pour voir les connections actuelles, utilisez la commande **nmcli c** avec la sous-commande **show** :
+  * l’utilisation de noyaux non-modifiés au niveaux des invités,
+  * l'intégration direct dans le noyau Linux.
-<code>
+=====LAB #1 - Installation de KVM=====
-[root@centos7 ~]# nmcli c show
-NAME                UUID                                  TYPE            DEVICE
-Wired connection 1  45b701c1-0a21-4d76-a795-2f2bcba86955  802-3-ethernet  enp0s3
-</code>
-Comme on peut constater ici, il n'existe pour le moment, qu'un seul profil.
+====1.1 - Installation des Paquets Requis====
-Créez donc un profil IP fixe rattaché au périphérique **enp0s3** :
+Avant d'installer KVM, il convient de savoir si le processeur de l'hôte supporte les extensions de virtualisation. Les extensions necessaires sont soit **vmx** soit **svm** selon que le processeur du système hôte soit de la marque Intel(tm) ou AMD(tm) :
 <code>
-[root@centos7 ~]# nmcli connection add con-name ip_fixe ifname enp0s3 type ethernet ip4 10.0.2.16/24 gw4 10.0.2.2
+[root@centos8 ~]# egrep '(vmx|svm)' /proc/cpuinfo | wc -l
-Connection 'ip_fixe' (fb3a11d9-4e03-4032-b26e-09d1195d2bcd) successfully added.
 </code>
-Constatez sa présence :
+La majorité des paquets necéssaires pour la virtualisation sous KVM ont été regroupés dans un **module** dénommé **virt**. Il convient donc de l'installer avec la commande **dnf** :
 <code>
-[root@centos7 ~]# nmcli c show
+[root@centos8 ~]# dnf module install virt -y
-NAME                UUID                                  TYPE            DEVICE
-ip_fixe             fb3a11d9-4e03-4032-b26e-09d1195d2bcd  802-3-ethernet  --
-Wired connection 1  45b701c1-0a21-4d76-a795-2f2bcba86955  802-3-ethernet  enp0s3
 </code>
-Notez que la sortie n'indique pas que le profil **ip_fixe** soit associé au periphérique **enp0s3** car le profil **ip_fixe** n'est pas activé :
+Si vous souhaitez utiliser l'interface graphique (non-recommandée) pour administrer les machines virtuelles, vous devez installer le paquet **virt-viewer** :
 <code>
-[root@centos7 ~]# nmcli d show
+[root@centos8 ~]# dnf install virt-install virt-viewer -y
-GENERAL.DEVICE:                         enp0s3
-GENERAL.TYPE:                           ethernet
-GENERAL.HWADDR:                         08:00:27:03:97:DD
-GENERAL.MTU:                            1500
-GENERAL.STATE:                          100 (connected)
-GENERAL.CONNECTION:                     Wired connection 1
-GENERAL.CON-PATH:                       /org/freedesktop/NetworkManager/ActiveConnection/2
-WIRED-PROPERTIES.CARRIER:               on
-IP4.ADDRESS[1]:                         10.0.2.15/24
-IP4.GATEWAY:                            10.0.2.2
-IP4.DNS[1]:                             8.8.8.8
-IP6.ADDRESS[1]:                         fe80::a00:27ff:fe03:97dd/64
-IP6.GATEWAY:
-GENERAL.DEVICE:                         lo
-GENERAL.TYPE:                           loopback
-GENERAL.HWADDR:                         00:00:00:00:00:00
-GENERAL.MTU:                            65536
-GENERAL.STATE:                          10 (unmanaged)
-GENERAL.CONNECTION:                     --
-GENERAL.CON-PATH:                       --
-IP4.ADDRESS[1]:                         127.0.0.1/8
-IP4.GATEWAY:
-IP6.ADDRESS[1]:                         ::1/128
-IP6.GATEWAY:
 </code>
-Pour activer le profil ip_fixe, utilisez la commande suivante :
+Le paquet **bridge-utils** est requis pour la gestion des bridges réseau. Installez donc celui-ci :
 <code>
-[root@centos7 ~]# nmcli connection up ip_fixe
+[root@centos8 ~]# dnf install epel-release -y
+[root@centos8 ~]# dnf install bridge-utils -y
 </code>
-Le profil ip_fixe est maintenant activé tandis que le profil enp0s3 a été désactivé :
+Dernièrement, les outils dont vous aurez besoin se trouvent dans les paquets **virt-top** et **libguestfs-tools** :
 <code>
-[root@centos7 ~]# nmcli c show
+[root@centos8 ~]# dnf install virt-top libguestfs-tools -y
-NAME                UUID                                  TYPE            DEVICE
-ip_fixe             fb3a11d9-4e03-4032-b26e-09d1195d2bcd  802-3-ethernet  enp0s3
-Wired connection 1  45b701c1-0a21-4d76-a795-2f2bcba86955  802-3-ethernet  --
-[root@centos7 ~]# nmcli d show
-GENERAL.DEVICE:                         enp0s3
-GENERAL.TYPE:                           ethernet
-GENERAL.HWADDR:                         08:00:27:03:97:DD
-GENERAL.MTU:                            1500
-GENERAL.STATE:                          100 (connected)
-GENERAL.CONNECTION:                     ip_fixe
-GENERAL.CON-PATH:                       /org/freedesktop/NetworkManager/ActiveConnection/3
-WIRED-PROPERTIES.CARRIER:               on
-IP4.ADDRESS[1]:                         10.0.2.16/24
-IP4.GATEWAY:                            10.0.2.2
-IP6.ADDRESS[1]:                         fe80::a00:27ff:fe03:97dd/64
-IP6.GATEWAY:
-GENERAL.DEVICE:                         lo
-GENERAL.TYPE:                           loopback
-GENERAL.HWADDR:                         00:00:00:00:00:00
-GENERAL.MTU:                            65536
-GENERAL.STATE:                          10 (unmanaged)
-GENERAL.CONNECTION:                     --
-GENERAL.CON-PATH:                       --
-IP4.ADDRESS[1]:                         127.0.0.1/8
-IP4.GATEWAY:
-IP6.ADDRESS[1]:                         ::1/128
-IP6.GATEWAY:
 </code>
-Pour consulter les paramètres d'un profil, utilisez la commande suivante :
+====1.2 - Activation et Démarrage du Service libvirtd====
+Activez et démarrez le service **libvirtd** pour démarrer KVM. Notez l'utilisation de l'option **--now** qui permet de faire les deux actions en une seule ligne de commande :
 <code>
-[root@centos7 ~]# nmcli -p connection show "Wired connection 1"
+[root@centos8 ~]# systemctl enable --now libvirtd
-===============================================================================
-                Connection profile details (Wired connection 1)
-===============================================================================
-connection.id:                          Wired connection 1
-connection.uuid:                        45b701c1-0a21-4d76-a795-2f2bcba86955
-connection.interface-name:              --
-connection.type:                        802-3-ethernet
-connection.autoconnect:                 yes
-connection.autoconnect-priority:        0
-connection.timestamp:                   1470647387
-connection.read-only:                   no
-connection.permissions:
-connection.zone:                        --
-connection.master:                      --
-connection.slave-type:                  --
-connection.autoconnect-slaves:          -1 (default)
-connection.secondaries:
-connection.gateway-ping-timeout:        0
-connection.metered:                     unknown
--------------------------------------------------------------------------------
--3-ethernet.port:                    --
--3-ethernet.speed:                   0
--3-ethernet.duplex:                  --
--3-ethernet.auto-negotiate:          yes
--3-ethernet.mac-address:             08:00:27:03:97:DD
--3-ethernet.cloned-mac-address:      --
--3-ethernet.mac-address-blacklist:
--3-ethernet.mtu:                     auto
--3-ethernet.s390-subchannels:
--3-ethernet.s390-nettype:            --
--3-ethernet.s390-options:
--3-ethernet.wake-on-lan:             1 (default)
--3-ethernet.wake-on-lan-password:    --
--------------------------------------------------------------------------------
-ipv4.method:                            auto
-ipv4.dns:
-ipv4.dns-search:
-ipv4.addresses:
-ipv4.gateway:                           --
-ipv4.routes:
-ipv4.route-metric:                      -1
-ipv4.ignore-auto-routes:                no
-ipv4.ignore-auto-dns:                   no
-ipv4.dhcp-client-id:                    --
-ipv4.dhcp-send-hostname:                yes
-ipv4.dhcp-hostname:                     --
-ipv4.never-default:                     no
-ipv4.may-fail:                          yes
--------------------------------------------------------------------------------
-ipv6.method:                            auto
-ipv6.dns:
-ipv6.dns-search:
-ipv6.addresses:
-ipv6.gateway:                           --
-ipv6.routes:
-ipv6.route-metric:                      -1
-ipv6.ignore-auto-routes:                no
-ipv6.ignore-auto-dns:                   no
-ipv6.never-default:                     no
-ipv6.may-fail:                          yes
-ipv6.ip6-privacy:                       -1 (unknown)
-ipv6.dhcp-send-hostname:                yes
-ipv6.dhcp-hostname:                     --
--------------------------------------------------------------------------------
-[root@centos7 ~]# nmcli -p connection show ip_fixe
-===============================================================================
-                     Connection profile details (ip_fixe)
-===============================================================================
-connection.id:                          ip_fixe
-connection.uuid:                        fb3a11d9-4e03-4032-b26e-09d1195d2bcd
-connection.interface-name:              enp0s3
-connection.type:                        802-3-ethernet
-connection.autoconnect:                 yes
-connection.autoconnect-priority:        0
-connection.timestamp:                   1470647577
-connection.read-only:                   no
-connection.permissions:
-connection.zone:                        --
-connection.master:                      --
-connection.slave-type:                  --
-connection.autoconnect-slaves:          -1 (default)
-connection.secondaries:
-connection.gateway-ping-timeout:        0
-connection.metered:                     unknown
--------------------------------------------------------------------------------
--3-ethernet.port:                    --
--3-ethernet.speed:                   0
--3-ethernet.duplex:                  --
--3-ethernet.auto-negotiate:          yes
--3-ethernet.mac-address:             --
--3-ethernet.cloned-mac-address:      --
--3-ethernet.mac-address-blacklist:
--3-ethernet.mtu:                     auto
--3-ethernet.s390-subchannels:
--3-ethernet.s390-nettype:            --
--3-ethernet.s390-options:
--3-ethernet.wake-on-lan:             1 (default)
--3-ethernet.wake-on-lan-password:    --
--------------------------------------------------------------------------------
-ipv4.method:                            manual
-ipv4.dns:
-ipv4.dns-search:
-ipv4.addresses:                         10.0.2.16/24
-ipv4.gateway:                           10.0.2.2
-ipv4.routes:
-ipv4.route-metric:                      -1
-ipv4.ignore-auto-routes:                no
-ipv4.ignore-auto-dns:                   no
-ipv4.dhcp-client-id:                    --
-ipv4.dhcp-send-hostname:                yes
-ipv4.dhcp-hostname:                     --
-ipv4.never-default:                     no
-ipv4.may-fail:                          yes
--------------------------------------------------------------------------------
-ipv6.method:                            auto
-ipv6.dns:
-ipv6.dns-search:
-ipv6.addresses:
-ipv6.gateway:                           --
-ipv6.routes:
-ipv6.route-metric:                      -1
-ipv6.ignore-auto-routes:                no
-ipv6.ignore-auto-dns:                   no
-ipv6.never-default:                     no
-ipv6.may-fail:                          yes
-ipv6.ip6-privacy:                       -1 (unknown)
-ipv6.dhcp-send-hostname:                yes
-ipv6.dhcp-hostname:                     --
--------------------------------------------------------------------------------
-===============================================================================
-      Activate connection details (fb3a11d9-4e03-4032-b26e-09d1195d2bcd)
-===============================================================================
-GENERAL.NAME:                           ip_fixe
-GENERAL.UUID:                           fb3a11d9-4e03-4032-b26e-09d1195d2bcd
-GENERAL.DEVICES:                        enp0s3
-GENERAL.STATE:                          activated
-GENERAL.DEFAULT:                        yes
-GENERAL.DEFAULT6:                       no
-GENERAL.VPN:                            no
-GENERAL.ZONE:                           --
-GENERAL.DBUS-PATH:                      /org/freedesktop/NetworkManager/ActiveConnection/3
-GENERAL.CON-PATH:                       /org/freedesktop/NetworkManager/Settings/1
-GENERAL.SPEC-OBJECT:                    /
-GENERAL.MASTER-PATH:                    --
--------------------------------------------------------------------------------
-IP4.ADDRESS[1]:                         10.0.2.16/24
-IP4.GATEWAY:                            10.0.2.2
--------------------------------------------------------------------------------
-IP6.ADDRESS[1]:                         fe80::a00:27ff:fe03:97dd/64
-IP6.GATEWAY:
--------------------------------------------------------------------------------
 </code>
-Pour consulter la liste profils associés à un périphérique, utilisez la commande suivante :
+Vérifiez le statut du service avant de poursuivre :
 <code>
-[root@centos7 ~]# nmcli -f CONNECTIONS device show enp0s3
+[root@centos8 ~]# systemctl status libvirtd
-CONNECTIONS.AVAILABLE-CONNECTION-PATHS: /org/freedesktop/NetworkManager/Settings/{0,1}
+● libvirtd.service - Virtualization daemon
-CONNECTIONS.AVAILABLE-CONNECTIONS[1]:   45b701c1-0a21-4d76-a795-2f2bcba86955 | Wired connection 1
+   Loaded: loaded (/usr/lib/systemd/system/libvirtd.service; enabled; vendor preset: enabled)
-CONNECTIONS.AVAILABLE-CONNECTIONS[2]:   fb3a11d9-4e03-4032-b26e-09d1195d2bcd | ip_fixe
+   Active: active (running) since Wed 2021-09-01 10:19:05 EDT; 11s ago
+     Docs: man:libvirtd(8)
+           https://libvirt.org
+ Main PID: 7502 (libvirtd)
+    Tasks: 19 (limit: 32768)
+   Memory: 49.3M
+   CGroup: /system.slice/libvirtd.service
+           ├─1942 /usr/sbin/dnsmasq --conf-file=/var/lib/libvirt/dnsmasq/default.conf --leasefile-ro --dhcp-script=/usr/libexec/libvirt_leaseshelper
+           ├─1943 /usr/sbin/dnsmasq --conf-file=/var/lib/libvirt/dnsmasq/default.conf --leasefile-ro --dhcp-script=/usr/libexec/libvirt_leaseshelper
+           └─7502 /usr/sbin/libvirtd --timeout 120
+Sep 01 10:19:05 centos8.ittraining.loc systemd[1]: Starting Virtualization daemon...
+Sep 01 10:19:05 centos8.ittraining.loc systemd[1]: Started Virtualization daemon.
+Sep 01 10:19:06 centos8.ittraining.loc dnsmasq[1942]: read /etc/hosts - 2 addresses
+Sep 01 10:19:06 centos8.ittraining.loc dnsmasq[1942]: read /var/lib/libvirt/dnsmasq/default.addnhosts - 0 addresses
+Sep 01 10:19:06 centos8.ittraining.loc dnsmasq-dhcp[1942]: read /var/lib/libvirt/dnsmasq/default.hostsfile
 </code>
-Les fichiers de configuration pour le periphérique **enp0s3** se trouvent dans le répertoire **/etc/sysconfig/network-scripts/** :
+====1.3 - Modules du Noyau====
-<code>
+Votre VM présente aux système hôte un processeur de type Intel(tm). Pour que KVM puisse fonctionner dans cet environnement il a besoin que deux modules soient chargés :
-[root@centos7 ~]# ls -l /etc/sysconfig/network-scripts/ | grep ifcfg
--rw-r--r--. 1 root root   296 Aug  8 11:08 ifcfg-ip_fixe
--rw-r--r--. 1 root root   254 Sep 16  2015 ifcfg-lo
-</code>
-L'étude du fichier **/etc/sysconfig/network-scripts/ifcfg-ip_fixe** démontre l'abscence de directives concernant les DNS :
+  * **kvm**
+  * **kvm-intel**
+Vérifiez donc le bon chargement des modules concernés :
 <code>
-[root@centos7 ~]# cat /etc/sysconfig/network-scripts/ifcfg-ip_fixe
+[root@centos8 ~]# modinfo kvm
-TYPE=Ethernet
+filename:       /lib/modules/4.18.0-305.7.1.el8.i2tch.x86_64/kernel/arch/x86/kvm/kvm.ko.xz
-BOOTPROTO=none
+license:        GPL
-IPADDR=10.0.2.16
+author:         Qumranet
-PREFIX=24
+rhelversion:    8.4
-GATEWAY=10.0.2.2
+srcversion:     0B52FB25C4DD9865FC4FABA
-DEFROUTE=yes
+depends:        irqbypass
-IPV4_FAILURE_FATAL=no
+intree:         Y
-IPV6INIT=yes
+name:           kvm
-IPV6_AUTOCONF=yes
+vermagic:       4.18.0-305.7.1.el8.i2tch.x86_64 SMP mod_unload modversions
-IPV6_DEFROUTE=yes
+sig_id:         PKCS#7
-IPV6_PEERDNS=yes
+signer:         CentOS kernel signing key
-IPV6_PEERROUTES=yes
+sig_key:        38:77:B1:DF:46:4F:B7:5C:99:8B:B9:BF:70:A4:10:85:91:7F:50:C1
-IPV6_FAILURE_FATAL=no
+sig_hashalgo:   sha256
-NAME=ip_fixe
+signature:      24:2A:F9:57:2C:FB:D8:B1:3B:4B:FA:70:3B:FC:7E:23:E1:AC:06:5B:
-UUID=fb3a11d9-4e03-4032-b26e-09d1195d2bcd
+D:0B:83:15:A5:56:43:04:23:FD:89:B1:BD:2C:8B:D0:0D:99:8C:9B:
-DEVICE=enp0s3
+:E5:E8:BB:C2:32:EE:62:18:E2:38:F9:2D:9D:1A:68:CA:63:3C:3B:
-ONBOOT=yes
+                B1:02:2E:46:FF:DF:6C:28:33:79:6D:FA:63:0A:B3:BA:DC:C7:FC:1D:
+                FF:14:21:6C:AC:4B:67:2E:EC:A3:B8:96:A0:02:8C:BB:34:CA:CE:23:
+                BD:34:10:B0:87:B6:55:7C:A9:24:1C:3A:94:9B:05:66:0D:E5:EE:28:
+                CF:EE:74:9C:D3:CD:96:07:92:F6:D0:6C:FF:94:67:7A:C2:BB:26:BD:
+                A9:AA:04:7C:19:64:1C:3D:9D:20:EE:1F:12:C1:D2:64:D3:36:62:22:
+                CD:3D:F7:45:0F:E3:09:89:AC:11:54:AA:C5:56:E7:FE:CA:0C:AD:2A:
+                FB:60:47:5A:70:6D:AF:F2:4D:6B:60:53:EA:95:4B:E9:BB:F0:F7:71:
+:6A:60:F5:12:6D:C9:E3:86:37:AF:41:88:E3:08:47:F0:C1:C4:76:
+:FE:47:81:36:3C:CE:BD:C9:44:30:99:B8:44:3E:F6:85:B3:44:9A:
+                D9:76:64:92:3A:49:5A:67:91:35:B1:C7:E0:82:AF:8F:05:2C:CB:18:
+:F1:4F:4E:B0:C3:D4:AE:37:9F:1B:FF:E9:AC:4C:7B:23:65:DA:0E:
+                FE:98:1B:5A:D3:AB:6B:6A:EA:3C:7B:EC:54:84:CB:DB:EE:CD:F1:43:
+:F0:A3:DB:9B:0A:F2:0A:1F:59:5C:88:3C:3C:CB:CF:3D:60:54:50:
+:CC:C1:41:6A:C6:8B:7E:23:F6:D8:1B:5F:A1:73:98:D4:F8:1E:C7:
+                D0:F5:F0:DF:E7:2A:79:A1:E6:A1:EE:B4:69:4C:15:DC:A8:A1:40:54:
+                EC:9D:86:AF:B2:1D:DB:33:F8:63:5D:CD:58:12:F9:C2:FB:B6:19:EE:
+F:CC:6E:6E
+parm:           tdp_mmu:bool
+parm:           nx_huge_pages:bool
+parm:           nx_huge_pages_recovery_ratio:uint
+parm:           flush_on_reuse:bool
+parm:           ignore_msrs:bool
+parm:           report_ignored_msrs:bool
+parm:           min_timer_period_us:uint
+parm:           kvmclock_periodic_sync:bool
+parm:           tsc_tolerance_ppm:uint
+parm:           lapic_timer_advance_ns:int
+parm:           vector_hashing:bool
+parm:           enable_vmware_backdoor:bool
+parm:           force_emulation_prefix:bool
+parm:           pi_inject_timer:bint
+parm:           halt_poll_ns:uint
+parm:           halt_poll_ns_grow:uint
+parm:           halt_poll_ns_grow_start:uint
+parm:           halt_poll_ns_shrink:uint
 </code>
-La résolution des noms est donc inactive :
 <code>
-[root@centos7 ~]# ping www.free.fr
+[root@centos8 ~]# modinfo kvm_intel
-ping: unknown host www.free.fr
+filename:       /lib/modules/4.18.0-305.7.1.el8.i2tch.x86_64/kernel/arch/x86/kvm/kvm-intel.ko.xz
+license:        GPL
+author:         Qumranet
+rhelversion:    8.4
+srcversion:     E25F50CB67CEEDD925DE618
+alias:          cpu:type:x86,ven*fam*mod*:feature:*0085*
+depends:        kvm
+intree:         Y
+name:           kvm_intel
+vermagic:       4.18.0-305.7.1.el8.i2tch.x86_64 SMP mod_unload modversions
+sig_id:         PKCS#7
+signer:         CentOS kernel signing key
+sig_key:        38:77:B1:DF:46:4F:B7:5C:99:8B:B9:BF:70:A4:10:85:91:7F:50:C1
+sig_hashalgo:   sha256
+signature:      7A:B3:78:ED:6D:A0:85:21:C0:5B:21:FC:7D:54:A1:04:99:38:11:3B:
+:A3:D6:05:DF:C2:DE:46:CE:CB:86:DD:1D:0E:7F:D5:6B:44:BC:DA:
+:EC:0C:D8:F1:BA:60:BF:B1:D5:3A:DE:A7:DA:9B:F0:16:FD:B1:37:
+                BB:DC:28:39:0D:99:92:45:1D:9B:19:42:9D:F7:9F:79:BB:31:86:8C:
+                E4:00:18:B8:40:85:96:D2:F3:91:11:9A:8A:CD:90:1F:2A:A6:99:3A:
+B:B1:D7:A5:52:D5:DA:5A:C9:57:23:42:7B:36:91:F1:CD:21:DC:87:
+:53:C9:2F:23:9E:E3:F2:C7:17:46:90:F0:A5:46:C4:C7:46:8A:09:
+B:17:34:8F:EB:C8:42:1C:06:E8:21:AB:D5:BA:66:3E:71:9C:0E:A1:
+C:51:7B:19:DF:02:F5:39:8A:8D:09:87:8E:F0:61:04:5E:A7:01:76:
+:E6:7A:C7:56:D5:AF:29:02:C1:0D:13:28:C1:5C:01:D9:13:44:3C:
+                D0:B9:58:0C:46:AF:ED:9E:BE:C2:70:48:35:5F:DE:77:F4:29:16:FA:
+:E2:FC:93:A4:8A:CC:69:DC:C1:11:0B:3A:24:D0:81:A2:2A:B8:E7:
+:4F:EB:EF:AB:75:85:63:4D:DA:C9:45:D1:AE:86:A3:B2:66:97:48:
+D:4D:2A:59:B6:AC:F7:CF:14:2A:5B:9D:40:5A:AF:DC:62:A7:EC:55:
+                AC:4D:5F:E6:C1:EA:51:2B:EF:59:30:67:91:39:C1:E9:9D:A9:70:30:
+E:25:37:A3:F2:3E:5A:5B:98:A6:EA:75:E7:AE:42:31:62:C1:A5:6A:
+D:CA:7F:28:A3:52:C4:65:6F:6D:BA:D1:BA:47:1A:AC:25:E0:CB:58:
+                D7:27:D2:85:88:45:3D:4A:AB:39:5E:FE:42:22:43:79:B4:AC:7C:39:
+                A3:5E:8B:8E:81:6B:18:DB:4F:F3:A4:D8:72:6D:97:9B:85:D2:18:35:
+                E6:C7:D9:84
+parm:           enable_shadow_vmcs:bool
+parm:           nested_early_check:bool
+parm:           vpid:bool
+parm:           vnmi:bool
+parm:           flexpriority:bool
+parm:           ept:bool
+parm:           unrestricted_guest:bool
+parm:           eptad:bool
+parm:           emulate_invalid_guest_state:bool
+parm:           fasteoi:bool
+parm:           enable_apicv:bool
+parm:           nested:bint
+parm:           pml:bool
+parm:           dump_invalid_vmcs:bool
+parm:           preemption_timer:bool
+parm:           allow_smaller_maxphyaddr:bool
+parm:           ple_gap:uint
+parm:           ple_window:uint
+parm:           ple_window_grow:uint
+parm:           ple_window_shrink:uint
+parm:           ple_window_max:uint
+parm:           pt_mode:int
+parm:           enlightened_vmcs:bool
 </code>
-Modifiez donc la configuration du profil **ip_fixe** :
+=====LAB #2 - Configuration de KVM======
-<code>
+====2.1 - Configuration du Pare-feu====
-[root@centos7 ~]# nmcli connection mod ip_fixe ipv4.dns 8.8.8.8
-</code>
-L'étude du fichier **/etc/sysconfig/network-scripts/ifcfg-ip_fixe** démontre que la directive concernant le serveur DNS a été ajoutée :
+Si vous souhaitez vous connecter aux machines virtuelles créées sous KVM en utilisant le protocole VNC, vous devez ouvrir le port **5900/tcp** dans le système hôte :
 <code>
-[root@centos7 ~]# cat /etc/sysconfig/network-scripts/ifcfg-ip_fixe
+[root@centos8 ~]# firewall-cmd --permanent --add-port=5901/tcp
-TYPE=Ethernet
+success
-BOOTPROTO=none
-DEFROUTE=yes
+[root@centos8 ~]# firewall-cmd --reload
-IPV4_FAILURE_FATAL=no
+success
-IPV6INIT=yes
-IPV6_AUTOCONF=yes
-IPV6_DEFROUTE=yes
-IPV6_FAILURE_FATAL=no
-NAME=ip_fixe
-UUID=fb3a11d9-4e03-4032-b26e-09d1195d2bcd
-DEVICE=enp0s3
-ONBOOT=yes
-IPADDR=10.0.2.16
-PREFIX=24
-GATEWAY=10.0.2.2
-DNS1=8.8.8.8
-IPV6_PEERDNS=yes
-IPV6_PEERROUTES=yes
 </code>
-Afin que la modification du serveur DNS soit prise en compte, re-démarrez le service NetworkManager :
+====2.2 - Configuration du Réseau des VMs====
-<code>
+Lors de l'installation de KVM un pont a été créé ayant le nom **virbr0** et l'adresse IP **192.168.122.1/24** :
-[root@centos7 ~]# systemctl restart NetworkManager.service
-[root@centos7 ~]# systemctl status NetworkManager.service
-● NetworkManager.service - Network Manager
-   Loaded: loaded (/usr/lib/systemd/system/NetworkManager.service; enabled; vendor preset: enabled)
-   Active: active (running) since Mon 2016-08-08 11:16:53 CEST; 7s ago
- Main PID: 8394 (NetworkManager)
-   CGroup: /system.slice/NetworkManager.service
-           └─8394 /usr/sbin/NetworkManager --no-daemon
-Aug 08 11:16:53 centos7.fenestros.loc NetworkManager[8394]: <info>  (enp0s3): device state change: prepare -> config (reason 'none') [40 50 0]
+  * La plage des adresses IP disponible pour les machines virtuelles KVM va de **192.168.122.2/24** à **192.168.122.254/24**,
-Aug 08 11:16:53 centos7.fenestros.loc NetworkManager[8394]: <info>  (enp0s3): device state change: config -> ip-config (reason 'none') [50 70 0]
+  * Ce pont met en place une connectivité de type **NAT** pour les machines virtuelles,
-Aug 08 11:16:53 centos7.fenestros.loc NetworkManager[8394]: <info>  (enp0s3): device state change: ip-config -> ip-check (reason 'none') [70 80 0]
+  * Une interface réseau fictive, **virbr0-nic** et appelée une esclave, a été ajoutée à ce pont principalement pour fournir une adresse MAC stable,
-Aug 08 11:16:53 centos7.fenestros.loc NetworkManager[8394]: <info>  (enp0s3): device state change: ip-check -> secondaries (reason 'none') [80 90 0]
+  * Normalement au fur et au mesure que d'autres VMs soient créées, d'autres interfaces fictives seraient ajoutées, une par VM.
-Aug 08 11:16:53 centos7.fenestros.loc NetworkManager[8394]: <info>  (enp0s3): device state change: secondaries -> activated (reason 'none') [90 100 0]
-Aug 08 11:16:53 centos7.fenestros.loc NetworkManager[8394]: <info>  NetworkManager state is now CONNECTED_LOCAL
+Les configurations ci-dessus peuvent être visualisées grâce à la commande **ip a ** :
-Aug 08 11:16:53 centos7.fenestros.loc NetworkManager[8394]: <info>  NetworkManager state is now CONNECTED_GLOBAL
-Aug 08 11:16:53 centos7.fenestros.loc NetworkManager[8394]: <info>  Policy set 'ip_fixe' (enp0s3) as default for IPv4 routing and DNS.
-Aug 08 11:16:53 centos7.fenestros.loc NetworkManager[8394]: <info>  (enp0s3): Activation: successful, device activated.
-Aug 08 11:16:53 centos7.fenestros.loc NetworkManager[8394]: <info>  wpa_supplicant running
-</code>
-Vérifiez que le fichier **/etc/resolv.conf** ait été modifié par NetworkManager :
 <code>
-[root@centos7 ~]# cat /etc/resolv.conf
+[root@centos8 ~]# ip a
-# Generated by NetworkManager
+...
-search fenestros.loc
+: virbr0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default qlen 1000
-nameserver 8.8.8.8
+    link/ether 52:54:00:79:02:66 brd ff:ff:ff:ff:ff:ff
+    inet 192.168.122.1/24 brd 192.168.122.255 scope global virbr0
+       valid_lft forever preferred_lft forever
+: virbr0-nic: <BROADCAST,MULTICAST> mtu 1500 qdisc fq_codel master virbr0 state DOWN group default qlen 1000
+    link/ether 52:54:00:79:02:66 brd ff:ff:ff:ff:ff:ff
 </code>
-Dernièrement vérifiez la resolution des noms :
+Dans le cas où on ne souhaite pas ou on ne peut pas utiliser le pont créé par défaut, il convient de créer un autre pont. Dans notre cas, l'hôte KVM possède deux interfaces **ens18** et **ens19**. Nous allons donc dédier l'interface **ens19** au trafic réseau des machines virtuelles. Actuellement cette interface ne possède pas d'adresse IP :
 <code>
-[root@centos7 ~]# ping www.free.fr
+[root@centos8 ~]# ip a show ens19
-PING www.free.fr (212.27.48.10) 56(84) bytes of data.
+: ens19: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
-bytes from www.free.fr (212.27.48.10): icmp_seq=1 ttl=63 time=10.4 ms
+    link/ether 46:de:37:c0:55:6c brd ff:ff:ff:ff:ff:ff
-bytes from www.free.fr (212.27.48.10): icmp_seq=2 ttl=63 time=9.44 ms
-bytes from www.free.fr (212.27.48.10): icmp_seq=3 ttl=63 time=12.1 ms
-^C
---- www.free.fr ping statistics ---
-packets transmitted, 3 received, 0% packet loss, time 2002ms
-rtt min/avg/max/mdev = 9.448/10.680/12.171/1.126 ms
 </code>
-<WRAP center round important>
+Elle n'est pas visible dans la sortie de la commande **nmcli c show** :
-**Important** : Notez qu'il existe un front-end graphique en mode texte, **nmtui**, pour configurer NetworkManager.
-</WRAP>
+<code>
+[root@centos8 ~]# nmcli c show
-====Ajouter une Deuxième Adresse IP à un Profil====
+NAME     UUID                                  TYPE      DEVICE
+ip_fixe  0f48c74d-5d16-4c37-8220-24644507b589  ethernet  ens18
+virbr0   d330b8f4-d08b-4b15-93cc-45c61e26ca6a  bridge    virbr0
+ens18    fc4a4d23-b15e-47a7-bcfa-b2e08f49553e  ethernet  --
+</code>
-Pour ajouter une deuxième adresse IP à un profil sous RHEL/CentOS 7, il convient d'utiliser la commande suivante :
+Créez donc une adresse IP de 192.168.56.2/24 pour l'interface **ens19** :
 <code>
-[root@centos7 ~]# nmcli connection mod ip_fixe +ipv4.addresses 192.168.1.2/24
+[root@centos8 ~]# nmcli connection add con-name ip_kvm ifname ens19 type ethernet ip4 192.168.56.2/24 gw4 192.168.56.1
+Connection 'ip_kvm' (afc8b175-f2cb-47b2-baca-66454058c36f) successfully added.
+[root@centos8 ~]# nmcli c show
+NAME     UUID                                  TYPE      DEVICE
+ip_fixe  0f48c74d-5d16-4c37-8220-24644507b589  ethernet  ens18
+ip_kvm   afc8b175-f2cb-47b2-baca-66454058c36f  ethernet  ens19
+virbr0   d330b8f4-d08b-4b15-93cc-45c61e26ca6a  bridge    virbr0
+ens18    fc4a4d23-b15e-47a7-bcfa-b2e08f49553e  ethernet  --
 </code>
-Redémarrez la machine virtuelle puis en tant que root saisissez la commande suivante :
+Utilisez la commande **ip** pour vérifier la prise en compte de la configuration :
 <code>
-[root@centos7 ~]# nmcli connection show ip_fixe
+[root@centos8 ~]# ip a show ens19
-connection.id:                          ip_fixe
+: ens19: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
-connection.uuid:                        fb3a11d9-4e03-4032-b26e-09d1195d2bcd
+    link/ether 46:de:37:c0:55:6c brd ff:ff:ff:ff:ff:ff
-connection.interface-name:              enp0s3
+    inet 192.168.56.2/24 brd 192.168.56.255 scope global noprefixroute ens19
-connection.type:                        802-3-ethernet
+       valid_lft forever preferred_lft forever
-connection.autoconnect:                 yes
+    inet6 fe80::4b01:d543:147:dd6d/64 scope link noprefixroute
-connection.autoconnect-priority:        0
+       valid_lft forever preferred_lft forever
-connection.timestamp:                   1470555543
-connection.read-only:                   no
-connection.permissions:
-connection.zone:                        --
-connection.master:                      --
-connection.slave-type:                  --
-connection.autoconnect-slaves:          -1 (default)
-connection.secondaries:
-connection.gateway-ping-timeout:        0
-connection.metered:                     unknown
--3-ethernet.port:                    --
--3-ethernet.speed:                   0
--3-ethernet.duplex:                  --
--3-ethernet.auto-negotiate:          yes
--3-ethernet.mac-address:             --
--3-ethernet.cloned-mac-address:      --
--3-ethernet.mac-address-blacklist:
--3-ethernet.mtu:                     auto
--3-ethernet.s390-subchannels:
--3-ethernet.s390-nettype:            --
--3-ethernet.s390-options:
--3-ethernet.wake-on-lan:             1 (default)
--3-ethernet.wake-on-lan-password:    --
-ipv4.method:                            manual
-ipv4.dns:                               8.8.8.8
-ipv4.dns-search:
-ipv4.addresses:                         10.0.2.16/24, 192.168.1.2/24
-ipv4.gateway:                           10.0.2.2
-ipv4.routes:
-ipv4.route-metric:                      -1
-ipv4.ignore-auto-routes:                no
-ipv4.ignore-auto-dns:                   no
-ipv4.dhcp-client-id:                    --
-ipv4.dhcp-send-hostname:                yes
-ipv4.dhcp-hostname:                     --
-ipv4.never-default:                     no
-ipv4.may-fail:                          yes
-ipv6.method:                            auto
-ipv6.dns:
-ipv6.dns-search:
-ipv6.addresses:
-ipv6.gateway:                           --
-ipv6.routes:
-ipv6.route-metric:                      -1
-ipv6.ignore-auto-routes:                no
-ipv6.ignore-auto-dns:                   no
-ipv6.never-default:                     no
-ipv6.may-fail:                          yes
-ipv6.ip6-privacy:                       -1 (unknown)
-ipv6.dhcp-send-hostname:                yes
-ipv6.dhcp-hostname:                     --
-GENERAL.NAME:                           ip_fixe
-GENERAL.UUID:                           fb3a11d9-4e03-4032-b26e-09d1195d2bcd
-GENERAL.DEVICES:                        enp0s3
-GENERAL.STATE:                          activated
-GENERAL.DEFAULT:                        yes
-GENERAL.DEFAULT6:                       no
-GENERAL.VPN:                            no
-GENERAL.ZONE:                           --
-GENERAL.DBUS-PATH:                      /org/freedesktop/NetworkManager/ActiveConnection/0
-GENERAL.CON-PATH:                       /org/freedesktop/NetworkManager/Settings/0
-GENERAL.SPEC-OBJECT:                    /
-GENERAL.MASTER-PATH:                    --
-IP4.ADDRESS[1]:                         10.0.2.16/24
-IP4.ADDRESS[2]:                         192.168.1.2/24
-IP4.GATEWAY:                            10.0.2.2
-IP4.DNS[1]:                             8.8.8.8
-IP6.ADDRESS[1]:                         fe80::a00:27ff:fe03:97dd/64
-IP6.GATEWAY:
 </code>
-<WRAP center round important>
+Notez que cette configuration a été stockée dans le fichier **/etc/sysconfig/network-scripts/ifcfg-ip_kvm** :
-**Important** : Notez l'ajout de la ligne **IP4.ADDRESS[2]:**.
-</WRAP>
-Consultez maintenant le contenu du fichier **/etc/sysconfig/network-scripts/ifcfg-ip_fixe** :
 <code>
-[root@centos7 ~]# cat /etc/sysconfig/network-scripts/ifcfg-ip_fixe
+[root@centos8 ~]# cat /etc/sysconfig/network-scripts/ifcfg-ip_kvm
 TYPE=Ethernet
+PROXY_METHOD=none
+BROWSER_ONLY=no
 BOOTPROTO=none
+IPADDR=192.168.56.2
+PREFIX=24
+GATEWAY=192.168.56.1
 DEFROUTE=yes
 IPV4_FAILURE_FATAL=no
@@ Ligne 624: / Ligne 396: @@
 IPV6_DEFROUTE=yes
 IPV6_FAILURE_FATAL=no
-NAME=ip_fixe
+IPV6_ADDR_GEN_MODE=stable-privacy
-UUID=fb3a11d9-4e03-4032-b26e-09d1195d2bcd
+NAME=ip_kvm
-DEVICE=enp0s3
+UUID=afc8b175-f2cb-47b2-baca-66454058c36f
+DEVICE=ens19
 ONBOOT=yes
-DNS1=8.8.8.8
-IPADDR=10.0.2.16
-PREFIX=24
-IPADDR1=192.168.1.2
-PREFIX1=24
-GATEWAY=10.0.2.2
-IPV6_PEERDNS=yes
-IPV6_PEERROUTES=yes
 </code>
-<WRAP center round important>
+Vérifiez maintenant que vous pouvez communiquer avec la passerelle par défaut **192.168.56.1/24** :
-**Important** : Notez l'ajout de la ligne **IPADDR1=192.168.1.2**.
-</WRAP>
-====La Commande hostname====
-La procédure de la modification du hostname est simplifiée et sa prise en compte est immédiate :
 <code>
-[root@centos7 ~]# nmcli general hostname centos.fenestros.loc
+[root@centos8 ~]# ping 192.168.56.1
-[root@centos7 ~]# cat /etc/hostname
+PING 192.168.56.1 (192.168.56.1) 56(84) bytes of data.
-centos.fenestros.loc
+bytes from 192.168.56.1: icmp_seq=1 ttl=64 time=14.6 ms
-[root@centos7 ~]# hostname
+bytes from 192.168.56.1: icmp_seq=2 ttl=64 time=0.209 ms
-centos.fenestros.loc
+bytes from 192.168.56.1: icmp_seq=3 ttl=64 time=0.160 ms
-[root@centos7 ~]# nmcli general hostname centos7.fenestros.loc
+^C
-[root@centos7 ~]# cat /etc/hostname
+--- 192.168.56.1 ping statistics ---
-centos7.fenestros.loc
+packets transmitted, 3 received, 0% packet loss, time 2002ms
-[root@centos7 ~]# hostname
+rtt min/avg/max/mdev = 0.160/4.990/14.601/6.796 ms
-centos7.fenestros.loc
 </code>
-====La Commande ip====
+Pour pouvoir gérer l'esclave par le pont qui va être créé, il faut modifier le fichier  **/etc/sysconfig/network-scripts/ifcfg-ip_kvm** :
-Sous RHEL/CentOS 7 la commande **ip** est préférée par rapport à la commande ifconfig :
 <code>
-[root@centos7 ~]# ip address
+[root@centos8 ~]# vi /etc/sysconfig/network-scripts/ifcfg-ip_kvm
-: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
+[root@centos8 ~]# cat /etc/sysconfig/network-scripts/ifcfg-ip_kvm
-    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
+TYPE=Ethernet
-    inet 127.0.0.1/8 scope host lo
+BOOTPROTO=none
-       valid_lft forever preferred_lft forever
+NAME=ip_kvm
-    inet6 ::1/128 scope host
+UUID=afc8b175-f2cb-47b2-baca-66454058c36f
-       valid_lft forever preferred_lft forever
+DEVICE=ens19
-: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
+ONBOOT=yes
-    link/ether 08:00:27:03:97:dd brd ff:ff:ff:ff:ff:ff
+BRIDGE=virbr0
-    inet 10.0.2.16/24 brd 10.0.2.255 scope global enp0s3
-       valid_lft forever preferred_lft forever
-    inet 192.168.1.2/24 brd 192.168.1.255 scope global enp0s3
-       valid_lft forever preferred_lft forever
-    inet6 fe80::a00:27ff:fe03:97dd/64 scope link
-       valid_lft forever preferred_lft forever
-[root@centos7 ~]# ip addr
-: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
-    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
-    inet 127.0.0.1/8 scope host lo
-       valid_lft forever preferred_lft forever
-    inet6 ::1/128 scope host
-       valid_lft forever preferred_lft forever
-: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
-    link/ether 08:00:27:03:97:dd brd ff:ff:ff:ff:ff:ff
-    inet 10.0.2.16/24 brd 10.0.2.255 scope global enp0s3
-       valid_lft forever preferred_lft forever
-    inet 192.168.1.2/24 brd 192.168.1.255 scope global enp0s3
-       valid_lft forever preferred_lft forever
-    inet6 fe80::a00:27ff:fe03:97dd/64 scope link
-       valid_lft forever preferred_lft forever
 </code>
-===Options de la Commande ip===
+Pour créer le pont, il convient de créer le fichier **/etc/sysconfig/network-scripts/ifcfg-virbr0** :
-Les options de cette commande sont :
 <code>
-[root@centos7 ~]# ip --help
+[root@centos8 ~]# ls -l /etc/sysconfig/network-scripts/ifcfg-virbr0
-Usage: ip [ OPTIONS ] OBJECT { COMMAND | help }
+ls: cannot access '/etc/sysconfig/network-scripts/ifcfg-virbr0': No such file or directory
-       ip [ -force ] -batch filename
-where  OBJECT := { link | addr | addrlabel | route | rule | neigh | ntable |
-                   tunnel | tuntap | maddr | mroute | mrule | monitor | xfrm |
-                   netns | l2tp | tcp_metrics | token }
-       OPTIONS := { -V[ersion] | -s[tatistics] | -d[etails] | -r[esolve] |
-                    -f[amily] { inet | inet6 | ipx | dnet | bridge | link } |
-                    -4 | -6 | -I | -D | -B | -0 |
-                    -l[oops] { maximum-addr-flush-attempts } |
-                    -o[neline] | -t[imestamp] | -b[atch] [filename] |
-                    -rc[vbuf] [size]}
+[root@centos8 ~]# vi /etc/sysconfig/network-scripts/ifcfg-virbr0
+[root@centos8 ~]# cat /etc/sysconfig/network-scripts/ifcfg-virbr0
+TYPE=BRIDGE
+DEVICE=virbr0
+BOOTPROTO=non
+ONBOOT=yes
+IPADDR=192.168.56.2
+NETMASK=255.255.255.0
+GATEWAY=192.168.56.1
 </code>
-====Activer/Désactiver une Interface Manuellement====
+<WRAP center round important 60%>
+**Important** : Notez que le nom du pont est identique au pont existant. Ceci n'a pas d'importance. Notez aussi que l'adresse IP, le masque du réseau ainsi que la passerelle sont configurés dans le fichier décrivant le pont.
-Deux commandes existent pour désactiver et activer manuellement une interface réseau :
-<code>
-[root@centos7 ~]# nmcli device disconnect enp0s3
-[root@centos7 ~]# nmcli device connect enp0s3
-</code>
-====Routage Statique====
-===La commande ip===
-Sous RHEL/CentOS 7, pour supprimer la route vers le réseau 192.168.1.0 il convient d'utiliser la commande ip et non pas la commande route :
-<code>
-[root@centos7 ~]# ip route
-default via 10.0.2.2 dev enp0s3  proto static  metric 100
-.0.2.0/24 dev enp0s3  proto kernel  scope link  src 10.0.2.16  metric 100
-.168.1.0/24 dev enp0s3  proto kernel  scope link  src 192.168.1.2  metric 100
-[root@centos7 ~]# ip route del 192.168.1.0/24 via 0.0.0.0
-[root@centos7 ~]# ip route
-default via 10.0.2.2 dev enp0s3  proto static  metric 100
-.0.2.0/24 dev enp0s3  proto kernel  scope link  src 10.0.2.16  metric 100
-</code>
-Pour ajouter la route vers le réseau 192.168.1.0 :
-<code>
-[root@centos7 ~]# ip route add 192.168.1.0/24 via 10.0.2.2
-[root@centos7 ~]# ip route
-default via 10.0.2.2 dev enp0s3  proto static  metric 100
-.0.2.0/24 dev enp0s3  proto kernel  scope link  src 10.0.2.16  metric 100
-.168.1.0/24 via 10.0.2.2 dev enp0s3
-</code>
-<WRAP center round important>
-La commande utilisée pour ajouter une passerelle par défaut prend la forme suivante **ip route add default via //adresse ip//**.
 </WRAP>
-===Activer/désactiver le routage sur le serveur===
+Pour que la configuration puisse fonctionner, il est necéssaire d'activer le routage entre les interfaces dans l'hôte KVM :
-Pour activer le routage sur le serveur, il convient d'activer la retransmission des paquets:
 <code>
-[root@centos7 ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
+[root@centos8 ~]# echo net.ipv4.ip_forward = 1 >> /usr/lib/sysctl.d/60-libvirtd.conf
-[root@centos7 ~]# cat /proc/sys/net/ipv4/ip_forward
+[root@centos8 ~]# cat /usr/lib/sysctl.d/60-libvirtd.conf
+# The kernel allocates aio memory on demand, and this number limits the
+# number of parallel aio requests; the only drawback of a larger limit is
+# that a malicious guest could issue parallel requests to cause the kernel
+# to set aside memory.  Set this number at least as large as
+#   128 * (number of virtual disks on the host)
+# Libvirt uses a default of 1M requests to allow 8k disks, with at most
+# 64M of kernel memory if all disks hit an aio request at the same time.
+fs.aio-max-nr = 1048576
+net.ipv4.ip_forward = 1
 </code>
-Pour désactiver le routage sur le serveur, il convient de désactiver la retransmission des paquets:
+En utilisant la commande **sysctl**, appliquez la nouvelle configuration :
 <code>
-[root@centos7 ~]# echo 0 > /proc/sys/net/ipv4/ip_forward
+[root@centos8 ~]# /sbin/sysctl -p /usr/lib/sysctl.d/60-libvirtd.conf
-[root@centos7 ~]# cat /proc/sys/net/ipv4/ip_forward
+fs.aio-max-nr = 1048576
+net.ipv4.ip_forward = 1
 </code>
-=====Diagnostique du Réseau=====
+Dernièrement, il est important de configurer le pare-feu pour le pont :
-====ping====
-Pour tester l'accessibilité d'une machine, vous devez utiliser la commande **ping** :
 <code>
-[root@centos7 ~]# ping 10.0.2.2
+[root@centos8 ~]# firewall-cmd --permanent --direct --passthrough ipv4 -I FORWARD -o virbr0 -j ACCEPT
-PING 10.0.2.2 (10.0.2.2) 56(84) bytes of data.
+success
-bytes from 10.0.2.2: icmp_seq=1 ttl=63 time=0.602 ms
+[root@centos8 ~]# firewall-cmd --permanent --direct --passthrough ipv4 -I FORWARD -i virbr0 -j ACCEPT
-bytes from 10.0.2.2: icmp_seq=2 ttl=63 time=0.375 ms
+success
-bytes from 10.0.2.2: icmp_seq=3 ttl=63 time=0.512 ms
-bytes from 10.0.2.2: icmp_seq=4 ttl=63 time=0.547 ms
-^C
---- 10.0.2.2 ping statistics ---
-packets transmitted, 4 received, 0% packet loss, time 3035ms
-rtt min/avg/max/mdev = 0.375/0.509/0.602/0.083 ms
 </code>
-===Options de la commande ping===
-Les options de cette commande sont :
 <code>
-[root@centos7 ~]# ping --help
+[root@centos8 ~]# firewall-cmd --reload
-ping: invalid option -- '-'
+success
-Usage: ping [-aAbBdDfhLnOqrRUvV] [-c count] [-i interval] [-I interface]
-            [-m mark] [-M pmtudisc_option] [-l preload] [-p pattern] [-Q tos]
-            [-s packetsize] [-S sndbuf] [-t ttl] [-T timestamp_option]
-            [-w deadline] [-W timeout] [hop1 ...] destination
 </code>
-====netstat -i====
+La configuration faite, vérifiez la prise en charge en utilisant la commande **ip** :
-Pour visualiser les statistiques réseaux, vous disposez de la commande **netstat** :
 <code>
-[root@centos7 ~]# netstat -i
+[root@centos8 ~]# ip a
-Kernel Interface table
+: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
-Iface      MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
+    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
-enp0s3    1500   101676      0      0 0         72270      0      0      0 BMRU
+    inet 127.0.0.1/8 scope host lo
-lo       65536  1606599      0      0 0       1606599      0      0      0 LRU
+       valid_lft forever preferred_lft forever
+    inet6 ::1/128 scope host
+       valid_lft forever preferred_lft forever
+: ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
+    link/ether 4e:b1:31:bd:5d:b2 brd ff:ff:ff:ff:ff:ff
+    inet 10.0.2.46/24 brd 10.0.2.255 scope global noprefixroute ens18
+       valid_lft forever preferred_lft forever
+    inet 192.168.1.2/24 brd 192.168.1.255 scope global noprefixroute ens18
+       valid_lft forever preferred_lft forever
+    inet6 fe80::5223:aee1:998e:9f27/64 scope link noprefixroute
+       valid_lft forever preferred_lft forever
+: ens19: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
+    link/ether 46:de:37:c0:55:6c brd ff:ff:ff:ff:ff:ff
+    inet 192.168.56.2/24 brd 192.168.56.255 scope global noprefixroute ens19
+       valid_lft forever preferred_lft forever
+    inet6 fe80::4b01:d543:147:dd6d/64 scope link noprefixroute
+       valid_lft forever preferred_lft forever
+: virbr0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default qlen 1000
+    link/ether 52:54:00:79:02:66 brd ff:ff:ff:ff:ff:ff
+    inet 192.168.122.1/24 brd 192.168.122.255 scope global virbr0
+       valid_lft forever preferred_lft forever
+: virbr0-nic: <BROADCAST,MULTICAST> mtu 1500 qdisc fq_codel master virbr0 state DOWN group default qlen 1000
+    link/ether 52:54:00:79:02:66 brd ff:ff:ff:ff:ff:ff
 </code>
-===Options de la commande netstat===
+<WRAP center round important 60%>
+**Important** : Notez que la configuration n'as **pas** été prise en compte. En effet, l'adresse IP de **virbr0** est toujours **192.168.122.1**.
-Les options de cette commande sont :
-<code>
-[root@centos7 ~]# netstat --help
-usage: netstat [-vWeenNcCF] [<Af>] -r         netstat {-V|--version|-h|--help}
-       netstat [-vWnNcaeol] [<Socket> ...]
-       netstat { [-vWeenNac] -I[<Iface>] | [-veenNac] -i | [-cnNe] -M | -s [-6tuw] } [delay]
-        -r, --route              display routing table
-        -I, --interfaces=<Iface> display interface table for <Iface>
-        -i, --interfaces         display interface table
-        -g, --groups             display multicast group memberships
-        -s, --statistics         display networking statistics (like SNMP)
-        -M, --masquerade         display masqueraded connections
-        -v, --verbose            be verbose
-        -W, --wide               don't truncate IP addresses
-        -n, --numeric            don't resolve names
-        --numeric-hosts          don't resolve host names
-        --numeric-ports          don't resolve port names
-        --numeric-users          don't resolve user names
-        -N, --symbolic           resolve hardware names
-        -e, --extend             display other/more information
-        -p, --programs           display PID/Program name for sockets
-        -o, --timers             display timers
-        -c, --continuous         continuous listing
-        -l, --listening          display listening server sockets
-        -a, --all                display all sockets (default: connected)
-        -F, --fib                display Forwarding Information Base (default)
-        -C, --cache              display routing cache instead of FIB
-        -Z, --context            display SELinux security context for sockets
-  <Socket>={-t|--tcp} {-u|--udp} {-U|--udplite} {-w|--raw} {-x|--unix}
-           --ax25 --ipx --netrom
-  <AF>=Use '-6|-4' or '-A <af>' or '--<af>'; default: inet
-  List of possible address families (which support routing):
-    inet (DARPA Internet) inet6 (IPv6) ax25 (AMPR AX.25)
-    netrom (AMPR NET/ROM) ipx (Novell IPX) ddp (Appletalk DDP)
-    x25 (CCITT X.25)
-</code>
-====La commande traceroute====
-La commande ping est à la base de la commande **traceroute**. Cette commande sert à découvrir la route empruntée pour accéder à un site donné :
-<code>
-[root@centos7 ~]# traceroute www.i2tch.eu
-traceroute to www.i2tch.eu (217.160.122.33), 30 hops max, 60 byte packets
-  gateway (10.0.2.2)  0.245 ms  0.098 ms  0.196 ms
-  192.168.0.1 (192.168.0.1)  0.334 ms  0.312 ms  0.391 ms
-  * * *
-  195-132-10-137.rev.numericable.fr (195.132.10.137)  13.868 ms  13.799 ms  19.753 ms
-  ip-190.net-80-236-8.asnieres.rev.numericable.fr (80.236.8.190)  20.041 ms  19.949 ms  19.859 ms
-  ip-185.net-80-236-8.asnieres.rev.numericable.fr (80.236.8.185)  19.811 ms  15.239 ms  22.338 ms
-  172.19.132.146 (172.19.132.146)  27.180 ms  27.044 ms  26.839 ms
-  oneandone.franceix.net (37.49.236.42)  65.178 ms  64.946 ms  64.618 ms
-  ae-8-0.bb-a.bap.rhr.de.oneandone.net (212.227.120.42)  30.706 ms  30.599 ms  30.493 ms
-  * * *
-  * * *
-  * * *
-  * * *
-  * * *
-  * * *
-  * * *
-  * * *
-  * * *
-...
-</code>
-===Options de la commande traceroute===
-Les options de cette commande sont :
-<code>
-[root@centos7 ~]# traceroute --help
-Usage:
-  traceroute [ -46dFITnreAUDV ] [ -f first_ttl ] [ -g gate,... ] [ -i device ] [ -m max_ttl ] [ -N squeries ] [ -p port ] [ -t tos ] [ -l flow_label ] [ -w waittime ] [ -q nqueries ] [ -s src_addr ] [ -z sendwait ] [ --fwmark=num ] host [ packetlen ]
-Options:
-  -4                          Use IPv4
-  -6                          Use IPv6
-  -d  --debug                 Enable socket level debugging
-  -F  --dont-fragment         Do not fragment packets
-  -f first_ttl  --first=first_ttl
-                              Start from the first_ttl hop (instead from 1)
-  -g gate,...  --gateway=gate,...
-                              Route packets through the specified gateway
-                              (maximum 8 for IPv4 and 127 for IPv6)
-  -I  --icmp                  Use ICMP ECHO for tracerouting
-  -T  --tcp                   Use TCP SYN for tracerouting (default port is 80)
-  -i device  --interface=device
-                              Specify a network interface to operate with
-  -m max_ttl  --max-hops=max_ttl
-                              Set the max number of hops (max TTL to be
-                              reached). Default is 30
-  -N squeries  --sim-queries=squeries
-                              Set the number of probes to be tried
-                              simultaneously (default is 16)
-  -n                          Do not resolve IP addresses to their domain names
-  -p port  --port=port        Set the destination port to use. It is either
-                              initial udp port value for "default" method
-                              (incremented by each probe, default is 33434), or
-                              initial seq for "icmp" (incremented as well,
-                              default from 1), or some constant destination
-                              port for other methods (with default of 80 for
-                              "tcp", 53 for "udp", etc.)
-  -t tos  --tos=tos           Set the TOS (IPv4 type of service) or TC (IPv6
-                              traffic class) value for outgoing packets
-  -l flow_label  --flowlabel=flow_label
-                              Use specified flow_label for IPv6 packets
-  -w waittime  --wait=waittime
-                              Set the number of seconds to wait for response to
-                              a probe (default is 5.0). Non-integer (float
-                              point) values allowed too
-  -q nqueries  --queries=nqueries
-                              Set the number of probes per each hop. Default is
-  -r                          Bypass the normal routing and send directly to a
-                              host on an attached network
-  -s src_addr  --source=src_addr
-                              Use source src_addr for outgoing packets
-  -z sendwait  --sendwait=sendwait
-                              Minimal time interval between probes (default 0).
-                              If the value is more than 10, then it specifies a
-                              number in milliseconds, else it is a number of
-                              seconds (float point values allowed too)
-  -e  --extensions            Show ICMP extensions (if present), including MPLS
-  -A  --as-path-lookups       Perform AS path lookups in routing registries and
-                              print results directly after the corresponding
-                              addresses
-  -M name  --module=name      Use specified module (either builtin or external)
-                              for traceroute operations. Most methods have
-                              their shortcuts (`-I' means `-M icmp' etc.)
-  -O OPTS,...  --options=OPTS,...
-                              Use module-specific option OPTS for the
-                              traceroute module. Several OPTS allowed,
-                              separated by comma. If OPTS is "help", print info
-                              about available options
-  --sport=num                 Use source port num for outgoing packets. Implies
-                              `-N 1'
-  --fwmark=num                Set firewall mark for outgoing packets
-  -U  --udp                   Use UDP to particular port for tracerouting
-                              (instead of increasing the port per each probe),
-                              default port is 53
-  -UL                         Use UDPLITE for tracerouting (default dest port
-                              is 53)
-  -D  --dccp                  Use DCCP Request for tracerouting (default port
-                              is 33434)
-  -P prot  --protocol=prot    Use raw packet of protocol prot for tracerouting
-  --mtu                       Discover MTU along the path being traced. Implies
-                              `-F -N 1'
-  --back                      Guess the number of hops in the backward path and
-                              print if it differs
-  -V  --version               Print version info and exit
-  --help                      Read this help and exit
-Arguments:
-+     host          The host to traceroute to
-      packetlen     The full packet length (default is the length of an IP
-                    header plus 40). Can be ignored or increased to a minimal
-                    allowed value
-</code>
-=====Connexions à Distance=====
-==== Telnet ====
-<WRAP center round important>
-La commande **telnet** n'est pas installée par défaut sous CentOS 7. Installez-le à l'aide de la commande **yum install telnet** en tant que root.
 </WRAP>
-La commande **telnet** est utilisée pour établir une connexion à distance avec un serveur telnet :
+Consultez maintenant la list des réseaux configurés pour KVM :
-<file>
-  # telnet numero_ip
-</file>
-<WRAP center round important>
-Le service telnet revient à une redirection des canaux standards d'entrée et de sortie. Notez que la connexion n'est **pas** sécurisée. Pour fermer la connexion, il faut saisir la commande **exit**. La commande telnet n'offre pas de services de transfert de fichiers. Pour cela, il convient d'utiliser la command **ftp**.
-</WRAP>
-===Options de la commande telnet===
-Les options de cette commande sont :
 <code>
-[root@centos7 ~]# telnet --help
+[root@centos8 ~]# virsh net-list
-telnet: invalid option -- '-'
+ Name      State    Autostart   Persistent
-Usage: telnet [-8] [-E] [-L] [-S tos] [-a] [-c] [-d] [-e char] [-l user]
+--------------------------------------------
-	[-n tracefile] [-b hostalias ] [-r]
+ default   active   yes         yes
- [host-name [port]]
 </code>
-==== wget ====
+En utilisant la commande **virsh net-dumpxml**, il est possible de constater la configuration **actuelle** du pont :
-La commande **wget** est utilisée pour récupérer un fichier via http, https ou ftp :
 <code>
-[root@centos7 ~]# wget https://www.dropbox.com/s/li5tyou8msofuwb/fichier_test?dl=0
+[root@centos8 ~]# virsh net-dumpxml default
---2017-06-22 16:53:39--  https://www.dropbox.com/s/li5tyou8msofuwb/fichier_test?dl=0
+<network>
-Resolving www.dropbox.com (www.dropbox.com)... 162.125.65.1
+  <name>default</name>
-Connecting to www.dropbox.com (www.dropbox.com)|162.125.65.1|:443... connected.
+  <uuid>0679ee40-befd-4f48-841e-7fc64885eb49</uuid>
-HTTP request sent, awaiting response... 302 Found
+  <forward mode='nat'>
-Location: https://dl.dropboxusercontent.com/content_link/enf8fglFyPxthmTsBfruPFaaOD7pStW4llpPQbU6SjeYhsRDwtN76xpVXuHrLIsZ/file [following]
+    <nat>
---2017-06-22 16:53:40--  https://dl.dropboxusercontent.com/content_link/enf8fglFyPxthmTsBfruPFaaOD7pStW4llpPQbU6SjeYhsRDwtN76xpVXuHrLIsZ/file
+      <port start='1024' end='65535'/>
-Resolving dl.dropboxusercontent.com (dl.dropboxusercontent.com)... 162.125.65.6
+    </nat>
-Connecting to dl.dropboxusercontent.com (dl.dropboxusercontent.com)|162.125.65.6|:443... connected.
+  </forward>
-HTTP request sent, awaiting response... 200 OK
+  <bridge name='virbr0' stp='on' delay='0'/>
-Length: 17 [text/plain]
+  <mac address='52:54:00:79:02:66'/>
-Saving to: ‘fichier_test?dl=0’
+  <ip address='192.168.122.1' netmask='255.255.255.0'>
+    <dhcp>
-%[====================================================================================>] 17          --.-K/s   in 0s
+      <range start='192.168.122.2' end='192.168.122.254'/>
+    </dhcp>
--06-22 16:53:41 (480 KB/s) - ‘fichier_test?dl=0’ saved [17/17]
+  </ip>
-</code>
+</network>
-===Options de la commande wget===
-Les options de cette commande sont :
-<code>
-[root@centos7 ~]# wget --help
-GNU Wget 1.14, a non-interactive network retriever.
-Usage: wget [OPTION]... [URL]...
-Mandatory arguments to long options are mandatory for short options too.
-Startup:
-  -V,  --version           display the version of Wget and exit.
-  -h,  --help              print this help.
-  -b,  --background        go to background after startup.
-  -e,  --execute=COMMAND   execute a `.wgetrc'-style command.
-Logging and input file:
-  -o,  --output-file=FILE    log messages to FILE.
-  -a,  --append-output=FILE  append messages to FILE.
-  -d,  --debug               print lots of debugging information.
-  -q,  --quiet               quiet (no output).
-  -v,  --verbose             be verbose (this is the default).
-  -nv, --no-verbose          turn off verboseness, without being quiet.
-       --report-speed=TYPE   Output bandwidth as TYPE.  TYPE can be bits.
-  -i,  --input-file=FILE     download URLs found in local or external FILE.
-  -F,  --force-html          treat input file as HTML.
-  -B,  --base=URL            resolves HTML input-file links (-i -F)
-                             relative to URL.
-       --config=FILE         Specify config file to use.
-Download:
-  -t,  --tries=NUMBER            set number of retries to NUMBER (0 unlimits).
-       --retry-connrefused       retry even if connection is refused.
-  -O,  --output-document=FILE    write documents to FILE.
-  -nc, --no-clobber              skip downloads that would download to
-                                 existing files (overwriting them).
-  -c,  --continue                resume getting a partially-downloaded file.
-       --progress=TYPE           select progress gauge type.
-  -N,  --timestamping            don't re-retrieve files unless newer than
-                                 local.
-  --no-use-server-timestamps     don't set the local file's timestamp by
-                                 the one on the server.
-  -S,  --server-response         print server response.
-       --spider                  don't download anything.
-  -T,  --timeout=SECONDS         set all timeout values to SECONDS.
-       --dns-timeout=SECS        set the DNS lookup timeout to SECS.
-       --connect-timeout=SECS    set the connect timeout to SECS.
-       --read-timeout=SECS       set the read timeout to SECS.
-  -w,  --wait=SECONDS            wait SECONDS between retrievals.
-       --waitretry=SECONDS       wait 1..SECONDS between retries of a retrieval.
-       --random-wait             wait from 0.5*WAIT...1.5*WAIT secs between retrievals.
-       --no-proxy                explicitly turn off proxy.
-  -Q,  --quota=NUMBER            set retrieval quota to NUMBER.
-       --bind-address=ADDRESS    bind to ADDRESS (hostname or IP) on local host.
-       --limit-rate=RATE         limit download rate to RATE.
-       --no-dns-cache            disable caching DNS lookups.
-       --restrict-file-names=OS  restrict chars in file names to ones OS allows.
-       --ignore-case             ignore case when matching files/directories.
-  -4,  --inet4-only              connect only to IPv4 addresses.
-  -6,  --inet6-only              connect only to IPv6 addresses.
-       --prefer-family=FAMILY    connect first to addresses of specified family,
-                                 one of IPv6, IPv4, or none.
-       --user=USER               set both ftp and http user to USER.
-       --password=PASS           set both ftp and http password to PASS.
-       --ask-password            prompt for passwords.
-       --no-iri                  turn off IRI support.
-       --local-encoding=ENC      use ENC as the local encoding for IRIs.
-       --remote-encoding=ENC     use ENC as the default remote encoding.
-       --unlink                  remove file before clobber.
-Directories:
-  -nd, --no-directories           don't create directories.
-  -x,  --force-directories        force creation of directories.
-  -nH, --no-host-directories      don't create host directories.
-       --protocol-directories     use protocol name in directories.
-  -P,  --directory-prefix=PREFIX  save files to PREFIX/...
-       --cut-dirs=NUMBER          ignore NUMBER remote directory components.
-HTTP options:
-       --http-user=USER        set http user to USER.
-       --http-password=PASS    set http password to PASS.
-       --no-cache              disallow server-cached data.
-       --default-page=NAME     Change the default page name (normally
-                               this is `index.html'.).
-  -E,  --adjust-extension      save HTML/CSS documents with proper extensions.
-       --ignore-length         ignore `Content-Length' header field.
-       --header=STRING         insert STRING among the headers.
-       --max-redirect          maximum redirections allowed per page.
-       --proxy-user=USER       set USER as proxy username.
-       --proxy-password=PASS   set PASS as proxy password.
-       --referer=URL           include `Referer: URL' header in HTTP request.
-       --save-headers          save the HTTP headers to file.
-  -U,  --user-agent=AGENT      identify as AGENT instead of Wget/VERSION.
-       --no-http-keep-alive    disable HTTP keep-alive (persistent connections).
-       --no-cookies            don't use cookies.
-       --load-cookies=FILE     load cookies from FILE before session.
-       --save-cookies=FILE     save cookies to FILE after session.
-       --keep-session-cookies  load and save session (non-permanent) cookies.
-       --post-data=STRING      use the POST method; send STRING as the data.
-       --post-file=FILE        use the POST method; send contents of FILE.
-       --content-disposition   honor the Content-Disposition header when
-                               choosing local file names (EXPERIMENTAL).
-       --content-on-error      output the received content on server errors.
-       --auth-no-challenge     send Basic HTTP authentication information
-                               without first waiting for the server's
-                               challenge.
-HTTPS (SSL/TLS) options:
-       --secure-protocol=PR     choose secure protocol, one of auto, SSLv2,
-                                SSLv3, and TLSv1.
-       --no-check-certificate   don't validate the server's certificate.
-       --certificate=FILE       client certificate file.
-       --certificate-type=TYPE  client certificate type, PEM or DER.
-       --private-key=FILE       private key file.
-       --private-key-type=TYPE  private key type, PEM or DER.
-       --ca-certificate=FILE    file with the bundle of CA's.
-       --ca-directory=DIR       directory where hash list of CA's is stored.
-       --random-file=FILE       file with random data for seeding the SSL PRNG.
-       --egd-file=FILE          file naming the EGD socket with random data.
-FTP options:
-       --ftp-user=USER         set ftp user to USER.
-       --ftp-password=PASS     set ftp password to PASS.
-       --no-remove-listing     don't remove `.listing' files.
-       --no-glob               turn off FTP file name globbing.
-       --no-passive-ftp        disable the "passive" transfer mode.
-       --preserve-permissions  preserve remote file permissions.
-       --retr-symlinks         when recursing, get linked-to files (not dir).
-WARC options:
-       --warc-file=FILENAME      save request/response data to a .warc.gz file.
-       --warc-header=STRING      insert STRING into the warcinfo record.
-       --warc-max-size=NUMBER    set maximum size of WARC files to NUMBER.
-       --warc-cdx                write CDX index files.
-       --warc-dedup=FILENAME     do not store records listed in this CDX file.
-       --no-warc-compression     do not compress WARC files with GZIP.
-       --no-warc-digests         do not calculate SHA1 digests.
-       --no-warc-keep-log        do not store the log file in a WARC record.
-       --warc-tempdir=DIRECTORY  location for temporary files created by the
-                                 WARC writer.
-Recursive download:
-  -r,  --recursive          specify recursive download.
-  -l,  --level=NUMBER       maximum recursion depth (inf or 0 for infinite).
-       --delete-after       delete files locally after downloading them.
-  -k,  --convert-links      make links in downloaded HTML or CSS point to
-                            local files.
-  --backups=N   before writing file X, rotate up to N backup files.
-  -K,  --backup-converted   before converting file X, back up as X.orig.
-  -m,  --mirror             shortcut for -N -r -l inf --no-remove-listing.
-  -p,  --page-requisites    get all images, etc. needed to display HTML page.
-       --strict-comments    turn on strict (SGML) handling of HTML comments.
-Recursive accept/reject:
-  -A,  --accept=LIST               comma-separated list of accepted extensions.
-  -R,  --reject=LIST               comma-separated list of rejected extensions.
-       --accept-regex=REGEX        regex matching accepted URLs.
-       --reject-regex=REGEX        regex matching rejected URLs.
-       --regex-type=TYPE           regex type (posix|pcre).
-  -D,  --domains=LIST              comma-separated list of accepted domains.
-       --exclude-domains=LIST      comma-separated list of rejected domains.
-       --follow-ftp                follow FTP links from HTML documents.
-       --follow-tags=LIST          comma-separated list of followed HTML tags.
-       --ignore-tags=LIST          comma-separated list of ignored HTML tags.
-  -H,  --span-hosts                go to foreign hosts when recursive.
-  -L,  --relative                  follow relative links only.
-  -I,  --include-directories=LIST  list of allowed directories.
-  --trust-server-names             use the name specified by the redirection
-                                   url last component.
-  -X,  --exclude-directories=LIST  list of excluded directories.
-  -np, --no-parent                 don't ascend to the parent directory.
-Mail bug reports and suggestions to <bug-wget@gnu.org>.
-</code>
-==== ftp ====
-<WRAP center round important>
-La commande **ftp** n'est pas installée par défaut sous CentOS 7. Installez-le à l'aide de la commande **yum install ftp** en tant que root.
-</WRAP>
-La commande **ftp** est utilisée pour le transfert de fichiers:
-<code>
-[root@centos7 ~]# ftp ftp2.fenestros.com
-Connected to ftp2.fenestros.com (213.186.33.14).
-anonymous.ftp.ovh.net NcFTPd Server (licensed copy) ready.
-Name (ftp2.fenestros.com:root): anonymous
-Guest login ok, send your complete e-mail address as password.
-Password:
-Logged in anonymously.
-Remote system type is UNIX.
-Using binary mode to transfer files.
-ftp>
-</code>
-Une fois connecté, il convient d'utiliser la commande **help** pour afficher la liste des commandes disponibles :
-<code>
-ftp> help
-Commands may be abbreviated.  Commands are:
-!		debug		mdir		sendport	site
-$		dir		mget		put		size
-account		disconnect	mkdir		pwd		status
-append		exit		mls		quit		struct
-ascii		form		mode		quote		system
-bell		get		modtime		recv		sunique
-binary		glob		mput		reget		tenex
-bye		hash		newer		rstatus		tick
-case		help		nmap		rhelp		trace
-cd		idle		nlist		rename		type
-cdup		image		ntrans		reset		user
-chmod		lcd		open		restart		umask
-close		ls		prompt		rmdir		verbose
-cr		macdef		passive		runique		?
-delete		mdelete		proxy		send
-ftp>
 </code>
-Le caractère **!** permet d'exécuter une commande sur la machine cliente
+Il est donc nécessaire d'éditer cette configuration pour refléter les modifications déjà apportées en utilisant la commande **virsh net-edit** :
 <code>
-ftp> !pwd
+[root@centos8 ~]# virsh net-edit default
-/root
 </code>
-Pour transférer un fichier vers le serveur, il convient d'utiliser la commande **put** :
+A l'issu de votre édition, votre fichier doit correspondre à l'exemple suivant :
 <file>
-ftp> put nom_fichier_local nom_fichier_distant
+<network>
+  <name>default</name>
+  <uuid>0679ee40-befd-4f48-841e-7fc64885eb49</uuid>
+  <forward mode='nat'/>
+  <bridge name='virbr0' stp='on' delay='0'/>
+  <mac address='52:54:00:79:02:66'/>
+  <ip address='192.168.56.10' netmask='255.255.255.0'>
+    <dhcp>
+      <range start='192.168.56.11' end='192.168.56.254'/>
+    </dhcp>
+  </ip>
+</network>
 </file>
-Vous pouvez également transférer plusieurs fichiers à la fois grâce à la commande **mput**. Dans ce cas précis, il convient de saisir la commande suivante:
+Sortez du mode édition. Vous noterez que la commande vous indique que le fichier a été modifié :
-<file>
-ftp> mput nom*.*
-</file>
-Pour transférer un fichier du serveur, il convient d'utiliser la commande **get** :
-<file>
-ftp> get nom_fichier
-</file>
-Vous pouvez également transférer plusieurs fichiers à la fois grâce à la commande **mget** ( voir la commande **mput** ci-dessus ).
-Pour supprimer un fichier sur le serveur, il convient d'utiliser la commande **del** :
-<file>
-ftp> del nom_fichier
-</file>
-Pour fermer la session, il convient d'utiliser la commande **quit** :
 <code>
-ftp> quit
+[ESC]:q
-[root@centos7 ~]#
+[root@centos8 ~]# virsh net-edit default
+Network default XML configuration edited.
 </code>
-====SSH====
+Par contre, la simple édition du fichier n'a pas modifiée la configuration en cours :
-===Introduction===
-La commande **[[wpfr>Ssh|ssh]]** est le successeur et la remplaçante de la commande **[[wpfr>Rlogin|rlogin]]**. Il permet d'établir des connexions sécurisées avec une machine distante. SSH comporte cinq acteurs :
-  * Le **serveur SSH**
-    * le démon sshd, qui s'occupe des authentifications et autorisations des clients,
-  * Le **client SSH**
-    * ssh ou scp, qui assure la connexion et le dialogue avec le serveur,
-  * La **session** qui représente la connexion courante et qui commence juste après l'authentification réussie,
-  * Les **clefs**
-    * **Couple de clef utilisateur asymétriques** et persistantes qui assurent l'identité d'un utilisateur et qui sont stockés sur disque dur,
-    * **Clef hôte asymétrique et persistante** garantissant l'identité du serveur er qui est conservé sur disque dur
-    * **Clef serveur asymétrique et temporaire** utilisée par le protocole SSH1 qui sert au chiffrement de la clé de session,
-    * **Clef de session symétrique qui est générée aléatoirement** et qui permet le chiiffrement de la communication entre le client et le serveur. Elle est détruite en fin de session. SSH-1 utilise une seule clef tandis que SSH-2 utilise une clef par direction de la communication,
-  * La **base de données des hôtes connus** qui stocke les clés des connexions précédentes.
-SSH fonctionne de la manière suivante pour la la mise en place d'un canal sécurisé:
-  * Le client contacte le serveur sur son port 22,
-  * Les client et le serveur échangent leur version de SSH. En cas de non-compatibilité de versions, l'un des deux met fin au processus,
-  * Le serveur SSH s'identifie auprès du client en lui fournissant :
-    * Sa clé hôte,
-    * Sa clé serveur,
-    * Une séquence aléatoire de huit octets à inclure dans les futures réponses du client,
-    * Une liste de méthodes de chiffrage, compression et authentification,
-  * Le client et le serveur produisent un identifiant identique, un haché MD5 long de 128 bits contenant la clé hôte, la clé serveur et la séquence aléatoire,
-  * Le client génère sa clé de session symétrique et la chiffre deux fois de suite, une fois avec la clé hôte du serveur et la deuxième fois avec la clé serveur. Le client envoie cette clé au serveur accompagnée de la séquence aléatoire et un choix d'algorithmes supportés,
-  * Le serveur déchiffre la clé de session,
-  * Le client et le serveur mettent en place le canal sécurisé.
-==SSH-1==
-SSH-1 utilise une paire de clefs de type RSA1. Il assure l'intégrité des données par une **[[wpfr>Contrôle_de_redondance_cyclique|Contrôle de Redondance Cyclique]]** (CRC) et est un bloc dit **monolithique**.
-Afin de s'identifier, le client essaie chacune des six méthodes suivantes :
-  * **Kerberos**,
-  * **Rhosts**,
-  * **%%RhostsRSA%%**,
-  * Par **clef asymétrique**,
-  * **TIS**,
-  * Par **mot de passe**.
-==SSH-2==
-SSH-2 utilise **DSA** ou **RSA**. Il assure l'intégrité des données par l'algorithme **HMAC**. SSH-2 est organisé en trois **couches** :
-  * **SSH-TRANS** – Transport Layer Protocol,
-  * **SSH-AUTH** – Authentification Protocol,
-  * **SSH-CONN** – Connection Protocol.
-SSH-2 diffère de SSH-1 essentiellement dans la phase authentification.
-Trois méthodes d'authentification :
-  * Par **clef asymétrique**,
-    * Identique à SSH-1 sauf avec l'algorithme DSA,
-  * **%%RhostsRSA%%**,
-  * Par **mot de passe**.
-==Options de la commande==
-Les options de cette commande sont :
 <code>
-[root@centos6 ~]# ssh --help
+[root@centos8 ~]# virsh net-dumpxml default
-usage: ssh [-1246AaCfgKkMNnqsTtVvXxYy] [-b bind_address] [-c cipher_spec]
+<network>
-           [-D [bind_address:]port] [-e escape_char] [-F configfile]
+  <name>default</name>
-           [-i identity_file] [-L [bind_address:]port:host:hostport]
+  <uuid>0679ee40-befd-4f48-841e-7fc64885eb49</uuid>
-           [-l login_name] [-m mac_spec] [-O ctl_cmd] [-o option] [-p port]
+  <forward mode='nat'>
-           [-R [bind_address:]port:host:hostport] [-S ctl_path]
+    <nat>
-           [-w local_tun[:remote_tun]] [user@]hostname [command]
+      <port start='1024' end='65535'/>
+    </nat>
+  </forward>
+  <bridge name='virbr0' stp='on' delay='0'/>
+  <mac address='52:54:00:79:02:66'/>
+  <ip address='192.168.122.1' netmask='255.255.255.0'>
+    <dhcp>
+      <range start='192.168.122.2' end='192.168.122.254'/>
+    </dhcp>
+  </ip>
+</network>
 </code>
-===L'authentification par mot de passe===
+Notez que même en cas de re-démarrage du service, la configuration actuelle est persistante :
-L'utilisateur fournit un mot de passe au client ssh. Le client ssh le transmet de façon sécurisée au serveur ssh puis  le serveur vérifie le mot de passe et l'accepte ou non.
-Avantage:
-  * Aucune configuration de clef asymétrique n'est nécessaire.
-Inconvénients:
-  * L'utilisateur doit fournir à chaque connexion un identifiant et un mot de passe,
-  * Moins sécurisé qu'un système par clef asymétrique.
-===L'authentification par clef asymétrique===
-  * Le **client** envoie au serveur une requête d'authentification par clé asymétrique qui contient le module de la clé à utiliser,
-  * Le **serveur** recherche une correspondance pour ce module dans le fichier des clés autorisés **~/.ssh/authorized_keys**,
-    * Dans le cas où une correspondance n'est pas trouvée, le serveur met fin à la communication,
-    * Dans le cas contraire le serveur génère une chaîne aléatoire de 256 bits appelée un **challenge** et la chiffre avec la **clé publique du client**,
-  * Le **client** reçoit le challenge et le décrypte avec la partie privée de sa clé. Il combine le challenge avec l'identifiant de session et chiffre le résultat. Ensuite il envoie le résultat chiffré au serveur.
-  * Le **serveur** génère le même haché et le compare avec celui reçu du client. Si les deux hachés sont identiques, l'authentification est réussie.
-===Installation===
-Pour installer/mettre à jour le serveur **sshd**, utilisez **yum** :
 <code>
-[root@centos7 ~]# yum install openssh-server
+[root@centos8 ~]# systemctl restart libvirtd
-Loaded plugins: fastestmirror, langpacks
+[root@centos8 ~]# systemctl status libvirtd
-Loading mirror speeds from cached hostfile
+● libvirtd.service - Virtualization daemon
- * base: centos.mirror.fr.planethoster.net
+   Loaded: loaded (/usr/lib/systemd/system/libvirtd.service; enabled; vendor preset: enabled)
- * extras: ftp.ciril.fr
+   Active: active (running) since Thu 2021-09-02 10:27:41 EDT; 7s ago
- * updates: centos.mirrors.ovh.net
+     Docs: man:libvirtd(8)
-Package openssh-server-6.6.1p1-25.el7_2.x86_64 already installed and latest version
+           https://libvirt.org
-Nothing to do
+ Main PID: 4037 (libvirtd)
-</code>
+    Tasks: 19 (limit: 32768)
+   Memory: 57.5M
+   CGroup: /system.slice/libvirtd.service
+           ├─1950 /usr/sbin/dnsmasq --conf-file=/var/lib/libvirt/dnsmasq/default.conf --leasefile-ro --dhcp-script=/usr/libexec/libvirt_leaseshelper
+           ├─1951 /usr/sbin/dnsmasq --conf-file=/var/lib/libvirt/dnsmasq/default.conf --leasefile-ro --dhcp-script=/usr/libexec/libvirt_leaseshelper
+           └─4037 /usr/sbin/libvirtd --timeout 120
-<WRAP center round important>
+Sep 02 10:27:41 centos8.ittraining.loc systemd[1]: Starting Virtualization daemon...
-**Important** - Pour les stations de travail, installez le client : **openssh-clients**.
+Sep 02 10:27:41 centos8.ittraining.loc systemd[1]: Started Virtualization daemon.
-</WRAP>
+Sep 02 10:27:41 centos8.ittraining.loc dnsmasq[1950]: read /etc/hosts - 2 addresses
+Sep 02 10:27:41 centos8.ittraining.loc dnsmasq[1950]: read /var/lib/libvirt/dnsmasq/default.addnhosts - 0 addresses
-==Options de la commande==
+Sep 02 10:27:41 centos8.ittraining.loc dnsmasq-dhcp[1950]: read /var/lib/libvirt/dnsmasq/default.hostsfile
-Les options de la commande sont :
-<file>
-SYNOPSIS
-     sshd [-46DdeiqTt] [-b bits] [-C connection_spec] [-f config_file] [-g login_grace_time] [-h host_key_file] [-k key_gen_time] [-o option] [-p port]  [-u len]
-</file>
-===Configuration===
-<WRAP center round important>
-**Important** - La configuration doit s'effectuer dans la fenêtre de la VM sous VirtualBox. Les connexions en ssh doivent de faire à partir d'un terminal ou à partir de l'application putty.
-</WRAP>
-==Serveur==
-La configuration du serveur s'effectue dans le fichier **/etc/ssh/sshd_config** :
-<code>
-[root@centos7 ~]# cat /etc/ssh/sshd_config
-#	$OpenBSD: sshd_config,v 1.93 2014/01/10 05:59:19 djm Exp $
-# This is the sshd server system-wide configuration file.  See
-# sshd_config(5) for more information.
-# This sshd was compiled with PATH=/usr/local/bin:/usr/bin
-# The strategy used for options in the default sshd_config shipped with
-# OpenSSH is to specify options with their default value where
-# possible, but leave them commented.  Uncommented options override the
-# default value.
-# If you want to change the port on a SELinux system, you have to tell
-# SELinux about this change.
-# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER
-#
-#Port 22
-#AddressFamily any
-#ListenAddress 0.0.0.0
-#ListenAddress ::
-# The default requires explicit activation of protocol 1
-#Protocol 2
-# HostKey for protocol version 1
-#HostKey /etc/ssh/ssh_host_key
-# HostKeys for protocol version 2
-HostKey /etc/ssh/ssh_host_rsa_key
-#HostKey /etc/ssh/ssh_host_dsa_key
-HostKey /etc/ssh/ssh_host_ecdsa_key
-HostKey /etc/ssh/ssh_host_ed25519_key
-# Lifetime and size of ephemeral version 1 server key
-#KeyRegenerationInterval 1h
-#ServerKeyBits 1024
-# Ciphers and keying
-#RekeyLimit default none
-# Logging
-# obsoletes QuietMode and FascistLogging
-#SyslogFacility AUTH
-SyslogFacility AUTHPRIV
-#LogLevel INFO
-# Authentication:
-#LoginGraceTime 2m
-#PermitRootLogin yes
-#StrictModes yes
-#MaxAuthTries 6
-#MaxSessions 10
-#RSAAuthentication yes
-#PubkeyAuthentication yes
-# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2
-# but this is overridden so installations will only check .ssh/authorized_keys
-AuthorizedKeysFile	.ssh/authorized_keys
-#AuthorizedPrincipalsFile none
-#AuthorizedKeysCommand none
-#AuthorizedKeysCommandUser nobody
-# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
-#RhostsRSAAuthentication no
-# similar for protocol version 2
-#HostbasedAuthentication no
-# Change to yes if you don't trust ~/.ssh/known_hosts for
-# RhostsRSAAuthentication and HostbasedAuthentication
-#IgnoreUserKnownHosts no
-# Don't read the user's ~/.rhosts and ~/.shosts files
-#IgnoreRhosts yes
-# To disable tunneled clear text passwords, change to no here!
-#PasswordAuthentication yes
-#PermitEmptyPasswords no
-PasswordAuthentication yes
-# Change to no to disable s/key passwords
-#ChallengeResponseAuthentication yes
-ChallengeResponseAuthentication no
-# Kerberos options
-#KerberosAuthentication no
-#KerberosOrLocalPasswd yes
-#KerberosTicketCleanup yes
-#KerberosGetAFSToken no
-#KerberosUseKuserok yes
-# GSSAPI options
-GSSAPIAuthentication yes
-GSSAPICleanupCredentials no
-#GSSAPIStrictAcceptorCheck yes
-#GSSAPIKeyExchange no
-#GSSAPIEnablek5users no
-# Set this to 'yes' to enable PAM authentication, account processing,
-# and session processing. If this is enabled, PAM authentication will
-# be allowed through the ChallengeResponseAuthentication and
-# PasswordAuthentication.  Depending on your PAM configuration,
-# PAM authentication via ChallengeResponseAuthentication may bypass
-# the setting of "PermitRootLogin without-password".
-# If you just want the PAM account and session checks to run without
-# PAM authentication, then enable this but set PasswordAuthentication
-# and ChallengeResponseAuthentication to 'no'.
-# WARNING: 'UsePAM no' is not supported in Red Hat Enterprise Linux and may cause several
-# problems.
-UsePAM yes
-#AllowAgentForwarding yes
-#AllowTcpForwarding yes
-#GatewayPorts no
-X11Forwarding yes
-#X11DisplayOffset 10
-#X11UseLocalhost yes
-#PermitTTY yes
-#PrintMotd yes
-#PrintLastLog yes
-#TCPKeepAlive yes
-#UseLogin no
-UsePrivilegeSeparation sandbox		# Default for new installations.
-#PermitUserEnvironment no
-#Compression delayed
-#ClientAliveInterval 0
-#ClientAliveCountMax 3
-#ShowPatchLevel no
-#UseDNS yes
-#PidFile /var/run/sshd.pid
-#MaxStartups 10:30:100
-#PermitTunnel no
-#ChrootDirectory none
-#VersionAddendum none
-# no default banner path
-#Banner none
-# Accept locale-related environment variables
-AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
-AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
-AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
-AcceptEnv XMODIFIERS
-# override default of no subsystems
-Subsystem	sftp	/usr/libexec/openssh/sftp-server
-# Example of overriding settings on a per-user basis
+[root@centos8 ~]# virsh net-dumpxml default
-#Match User anoncvs
+<network>
-#	X11Forwarding no
+  <name>default</name>
-#	AllowTcpForwarding no
+  <uuid>0679ee40-befd-4f48-841e-7fc64885eb49</uuid>
-#	PermitTTY no
+  <forward mode='nat'>
-#	ForceCommand cvs server
+    <nat>
+      <port start='1024' end='65535'/>
+    </nat>
+  </forward>
+  <bridge name='virbr0' stp='on' delay='0'/>
+  <mac address='52:54:00:79:02:66'/>
+  <ip address='192.168.122.1' netmask='255.255.255.0'>
+    <dhcp>
+      <range start='192.168.122.2' end='192.168.122.254'/>
+    </dhcp>
+  </ip>
+</network>
 </code>
-Pour ôter les lignes de commentaires dans ce fichier, utilisez la commande suivante :
+Re-démarrez donc votre VM :
 <code>
-[root@centos7 ~]# cd /tmp ; grep -E -v '^(#|$)'  /etc/ssh/sshd_config > sshd_config
+[root@centos8 ~]# reboot
-[root@centos7 tmp]# cat sshd_config
-HostKey /etc/ssh/ssh_host_rsa_key
-HostKey /etc/ssh/ssh_host_ecdsa_key
-HostKey /etc/ssh/ssh_host_ed25519_key
-SyslogFacility AUTHPRIV
-AuthorizedKeysFile	.ssh/authorized_keys
-PasswordAuthentication yes
-ChallengeResponseAuthentication no
-GSSAPIAuthentication yes
-GSSAPICleanupCredentials no
-UsePAM yes
-X11Forwarding yes
-UsePrivilegeSeparation sandbox		# Default for new installations.
-AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
-AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
-AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
-AcceptEnv XMODIFIERS
-Subsystem	sftp	/usr/libexec/openssh/sftp-server
 </code>
-Pour sécuriser le serveur ssh, ajoutez ou modifiez les directives suivantes :
+Connectez-vous de nouveau à votre VM et contrôler la sortie de la commande **nmcli c show** :
-<file>
-AllowGroups adm
-Banner /etc/issue.net
-HostbasedAuthentication no
-IgnoreRhosts yes
-LoginGraceTime 60
-LogLevel INFO
-PermitEmptyPasswords no
-PermitRootLogin no
-PrintLastLog yes
-Protocol 2
-StrictModes yes
-X11Forwarding no
-</file>
-Votre fichier ressemblera à celui-ci :
-<file>
-AllowGroups adm
-Banner /etc/issue.net
-HostbasedAuthentication no
-IgnoreRhosts yes
-LoginGraceTime 60
-LogLevel INFO
-PermitEmptyPasswords no
-PermitRootLogin no
-PrintLastLog yes
-Protocol 2
-StrictModes yes
-X11Forwarding no
-HostKey /etc/ssh/ssh_host_rsa_key
-HostKey /etc/ssh/ssh_host_ecdsa_key
-HostKey /etc/ssh/ssh_host_ed25519_key
-SyslogFacility AUTHPRIV
-AuthorizedKeysFile	.ssh/authorized_keys
-PasswordAuthentication yes
-ChallengeResponseAuthentication no
-GSSAPIAuthentication yes
-GSSAPICleanupCredentials no
-UsePAM yes
-UsePrivilegeSeparation sandbox		# Default for new installations.
-AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
-AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
-AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
-AcceptEnv XMODIFIERS
-Subsystem	sftp	/usr/libexec/openssh/sftp-server
-</file>
-<WRAP center round todo>
-**A Faire** - Renommez le fichier **/etc/ssh/sshd_config** en **/etc/ssh/sshd_config.old** puis copiez le fichier **/tmp/sshd_config** vers **/etc/ssh/**. Redémarrez ensuite le service sshd. N'oubliez pas de mettre l'utilisateur **trainee** dans le groupe **adm** !
-</WRAP>
-Pour générer les clefs sur le serveur saisissez la commande suivante en tant que **root**:
-Lors de la génération des clefs, la passphrase doit être **vide**.
 <code>
-[root@centos7 ~]# ssh-keygen -t dsa
+[root@centos8 ~]# nmcli c show
-Generating public/private dsa key pair.
+NAME     UUID                                  TYPE      DEVICE
-Enter file in which to save the key (/root/.ssh/id_dsa): /etc/ssh/ssh_host_dsa_key
+ip_fixe  0f48c74d-5d16-4c37-8220-24644507b589  ethernet  ens18
-Enter passphrase (empty for no passphrase):
+virbr0   289e0fdd-2eb5-4dd3-811a-65a878926e56  bridge    virbr0
-Enter same passphrase again:
+ip_kvm   afc8b175-f2cb-47b2-baca-66454058c36f  ethernet  ens19
-Your identification has been saved in /etc/ssh/ssh_host_dsa_key.
+ens18    fc4a4d23-b15e-47a7-bcfa-b2e08f49553e  ethernet  --
-Your public key has been saved in /etc/ssh/ssh_host_dsa_key.pub.
-The key fingerprint is:
-d5:54:d3:30:1c:f5:da:f8:21:15:1f:c8:6c:3b:b1:ff root@centos7.fenestros.loc
-The key's randomart image is:
-+--[ DSA 1024]----+
-|            +oBB.|
-|           o *.o*|
-|          . o +.o|
-|         .   +.+ |
-|        S    .=..|
-|              .o.|
-|                o|
-|                E|
-|                 |
-+-----------------+
 </code>
-<WRAP center round important>
+Utilisez ensuite la commande **ip** pour vérifier l'adresse IP de **virbr0** :
-Le chemin à indiquer pour le fichier est **/etc/ssh/ssh_host_dsa_key**. De la même façon, il est possible de générer les clefs au format **[[https://fr.wikipedia.org/wiki/Chiffrement_RSA|RSA]]**, **[[https://fr.wikipedia.org/wiki/Elliptic_curve_digital_signature_algorithm|ECDSA]]** et **[[https://fr.wikipedia.org/wiki/EdDSA|ED25519]]**.
-</WRAP>
-Les clefs publiques générées possèdent l'extension **.pub**. Les clefs privées n'ont pas d'extension :
 <code>
-[root@centos7 ~]# ls /etc/ssh
+[root@centos8 ~]# ip a
-moduli      sshd_config       ssh_host_dsa_key.pub  ssh_host_ecdsa_key.pub  ssh_host_ed25519_key.pub  ssh_host_rsa_key.pub
+: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
-ssh_config  ssh_host_dsa_key  ssh_host_ecdsa_key    ssh_host_ed25519_key    ssh_host_rsa_key
+    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
+    inet 127.0.0.1/8 scope host lo
+       valid_lft forever preferred_lft forever
+    inet6 ::1/128 scope host
+       valid_lft forever preferred_lft forever
+: ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
+    link/ether 4e:b1:31:bd:5d:b2 brd ff:ff:ff:ff:ff:ff
+    inet 10.0.2.46/24 brd 10.0.2.255 scope global noprefixroute ens18
+       valid_lft forever preferred_lft forever
+    inet 192.168.1.2/24 brd 192.168.1.255 scope global noprefixroute ens18
+       valid_lft forever preferred_lft forever
+    inet6 fe80::5223:aee1:998e:9f27/64 scope link noprefixroute
+       valid_lft forever preferred_lft forever
+: ens19: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel master virbr0 state UP group default qlen 1000
+    link/ether 46:de:37:c0:55:6c brd ff:ff:ff:ff:ff:ff
+: virbr0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
+    link/ether 52:54:00:79:02:66 brd ff:ff:ff:ff:ff:ff
+    inet 192.168.56.10/24 brd 192.168.56.255 scope global virbr0
+       valid_lft forever preferred_lft forever
+: virbr0-nic: <BROADCAST,MULTICAST> mtu 1500 qdisc fq_codel master virbr0 state DOWN group default qlen 1000
+    link/ether 52:54:00:79:02:66 brd ff:ff:ff:ff:ff:ff
 </code>
-Re-démarrez ensuite le service sshd :
+Dernièrement, vérifier la connectivité avec la passerelle **192.162.56.1/24** :
 <code>
-[root@centos7 ~]# systemctl restart sshd.service
+[root@centos8 ~]# ping 192.168.56.1
+PING 192.168.56.1 (192.168.56.1) 56(84) bytes of data.
+bytes from 192.168.56.1: icmp_seq=1 ttl=64 time=14.8 ms
+bytes from 192.168.56.1: icmp_seq=2 ttl=64 time=0.154 ms
+bytes from 192.168.56.1: icmp_seq=3 ttl=64 time=0.153 ms
+^C
+--- 192.168.56.1 ping statistics ---
+packets transmitted, 3 received, 0% packet loss, time 2023ms
+rtt min/avg/max/mdev = 0.153/5.030/14.785/6.897 ms
 </code>
-Saisissez maintenant les commandes suivantes en tant que **trainee** :
+====2.3 - Configuration du Stockage====
-<WRAP center round important>
+KVM a besoin d'un emplacement pour stocker les VMs créées. L'hôte KVM a été configuré avec un disque supplémentaire **sdd** d'une taille de **32 Go** à cet effet :
-Lors de la génération des clefs, la passphrase doit être **vide**.
-</WRAP>
 <code>
-[trainee@centos7 ~]$ ssh-keygen -t dsa
+[root@centos8 ~]# lsblk
-Generating public/private dsa key pair.
+NAME                MAJ:MIN RM  SIZE RO TYPE MOUNTPOINT
-Enter file in which to save the key (/home/trainee/.ssh/id_dsa):
+sda                   8:0    0   32G  0 disk
-Created directory '/home/trainee/.ssh'.
+├─sda1                8:1    0    1G  0 part /boot
-Enter passphrase (empty for no passphrase):
+└─sda2                8:2    0   31G  0 part
-Enter same passphrase again:
+  ├─cl_centos8-root 253:0    0 27.8G  0 lvm  /
-Your identification has been saved in /home/trainee/.ssh/id_dsa.
+  └─cl_centos8-swap 253:1    0  3.2G  0 lvm  [SWAP]
-Your public key has been saved in /home/trainee/.ssh/id_dsa.pub.
+sdb                   8:16   0    4G  0 disk
-The key fingerprint is:
+sdc                   8:32   0   64G  0 disk
-:92:85:d1:ae:97:f7:64:d2:54:45:89:eb:57:b1:66 trainee@centos7.fenestros.loc
+└─sdc1                8:33   0   64G  0 part /home
-The key's randomart image is:
+sdd                   8:48   0   32G  0 disk
-+--[ DSA 1024]----+
+sr0                  11:0    1 1024M  0 rom
-|        ..    ..=|
-|         o.  . o.|
-|        ...   ..o|
-|         o.. ..E.|
-|        S.o..oo .|
-|        .oo o.+. |
-|         . . =.  |
-|              .  |
-|                 |
-+-----------------+
-[trainee@centos7 ~]$ ssh-keygen -t rsa
-Generating public/private rsa key pair.
-Enter file in which to save the key (/home/trainee/.ssh/id_rsa):
-Enter passphrase (empty for no passphrase):
-Enter same passphrase again:
-Your identification has been saved in /home/trainee/.ssh/id_rsa.
-Your public key has been saved in /home/trainee/.ssh/id_rsa.pub.
-The key fingerprint is:
-:4c:5a:bf:d0:2f:d1:a1:34:7c:09:a1:9c:0d:ed:2d trainee@centos7.fenestros.loc
-The key's randomart image is:
-+--[ RSA 2048]----+
-|    +o=o..       |
-|   * Xo+o.       |
-|  . B.Bo.        |
-|     .E=.        |
-|      o.S        |
-|       .         |
-|                 |
-|                 |
-|                 |
-+-----------------+
-[trainee@centos7 ~]$ ssh-keygen -t ecdsa
-Generating public/private ecdsa key pair.
-Enter file in which to save the key (/home/trainee/.ssh/id_ecdsa):
-Enter passphrase (empty for no passphrase):
-Enter same passphrase again:
-Your identification has been saved in /home/trainee/.ssh/id_ecdsa.
-Your public key has been saved in /home/trainee/.ssh/id_ecdsa.pub.
-The key fingerprint is:
-:5d:64:cf:d6:4a:ce:8e:a9:a8:4a:62:04:57:09:fc trainee@centos7.fenestros.loc
-The key's randomart image is:
-+--[ECDSA  256]---+
-| .....  .. o+    |
-|  ...  .  .. o . |
-|. ..    .     = .|
-| o  E    .   = . |
-|  .     S     +  |
-| .           +   |
-|  o .       o .  |
-| . o     . .     |
-|    ..... .      |
-+-----------------+
-[trainee@centos7 ~]$ ssh-keygen -t ed25519
-Generating public/private ed25519 key pair.
-Enter file in which to save the key (/home/trainee/.ssh/id_ed25519):
-Enter passphrase (empty for no passphrase):
-Enter same passphrase again:
-Your identification has been saved in /home/trainee/.ssh/id_ed25519.
-Your public key has been saved in /home/trainee/.ssh/id_ed25519.pub.
-The key fingerprint is:
-:3a:83:d1:6d:79:46:48:88:7c:d9:65:59:bb:e6:d0 trainee@centos7.fenestros.loc
-The key's randomart image is:
-+--[ED25519  256--+
-|   . . +..oo.    |
-|    o +..o.  .   |
-|     .  . . .    |
-|     . . o . .   |
-|    . . S + E    |
-|     o = o +     |
-|    . +     .    |
-|       o         |
-|                 |
-+-----------------+
 </code>
-<WRAP center round important>
+Créez donc sur **/dev/sdd** un volume physique ainsi qu'un groupe de volumes appelé **kvm_storage** :
-Les clés générées seront placées dans le répertoire **~/.ssh/**.
-</WRAP>
-==Utilisation==
-La commande ssh prend la forme suivante:
-  ssh -l nom_de_compte numero_ip (nom_de_machine)
-En saisissant cette commande sur votre propre machine, vous obtiendrez un résultat similaire à celle-ci :
 <code>
-[trainee@centos7 ~]$ su -
+[root@centos8 ~]# pvcreate /dev/sdd
-Mot de passe :
+  Physical volume "/dev/sdd" successfully created.
-Dernière connexion : lundi  9 mai 2016 à 22:47:48 CEST sur pts/0
+[root@centos8 ~]# vgcreate kvm_storage /dev/sdd
+  Volume group "kvm_storage" successfully created
-[root@centos7 ~]# ssh -l trainee localhost
-The authenticity of host 'localhost (127.0.0.1)' can't be established.
-ECDSA key fingerprint is 19:cd:05:58:af:2c:10:82:52:ba:e3:31:df:bd:72:54.
-Are you sure you want to continue connecting (yes/no)? yes
-Warning: Permanently added 'localhost' (ECDSA) to the list of known hosts.
-trainee@localhost's password: trainee
-Last login: Mon May  9 23:25:15 2016 from localhost.localdomain
 </code>
-===Tunnels SSH===
-Le protocole SSH peut être utilisé pour sécuriser les protocoles tels telnet, pop3 etc.. En effet, on peut créer un //tunnel// SSH dans lequel passe les communications du protocole non-sécurisé.
-La commande pour créer un tunnel ssh prend la forme suivante :
-  ssh -N -f compte@hôte -Lport-local:localhost:port_distant
-Dans votre cas, vous allez créer un tunnel dans votre propre vm entre le port 15023 et le port 23 :
 <code>
-[root@centos7 ~]# ssh -N -f trainee@localhost -L15023:localhost:23
+[root@centos8 ~]# vgs
-trainee@localhost's password:
+  VG          #PV #LV #SN Attr   VSize   VFree
+  cl_centos8    1   2   0 wz--n- <31.00g      0
+  kvm_storage   1   0   0 wz--n- <32.00g <32.00g
 </code>
-Installez maintenant le client et le serveur telnet :
+Créez ensuite un volume logique, dénommé **kvm_lv**, occupant toute l'espace disponible dans le groupe de volumes :
 <code>
-[root@centos7 ~]# yum install telnet telnet-server
+[root@centos8 ~]# lvcreate -l +100%FREE -n kvm_lv kvm_storage
+  Logical volume "kvm_lv" created.
+[root@centos8 ~]# lvs
+  LV     VG          Attr       LSize   Pool Origin Data%  Meta%  Move Log Cpy%Sync Convert
+  root   cl_centos8  -wi-ao----  27.79g
+  swap   cl_centos8  -wi-ao----   3.20g
+  kvm_lv kvm_storage -wi-a----- <32.00g
 </code>
-Telnet n'est ni démarré ni activé. Il convient donc de le démarrer et de l'activer :
+Créez ensuite un système de fichiers de type **xfs** sur le volume logique **kvm_lv** :
 <code>
-[root@centos7 ~]# systemctl status telnet.socket
+[root@centos8 ~]# mkfs.xfs /dev/mapper/kvm_storage-kvm_lv
-● telnet.socket - Telnet Server Activation Socket
+meta-data=/dev/mapper/kvm_storage-kvm_lv isize=512    agcount=4, agsize=2096896 blks
-   Loaded: loaded (/usr/lib/systemd/system/telnet.socket; disabled; vendor preset: disabled)
+         =                       sectsz=512   attr=2, projid32bit=1
-   Active: inactive (dead)
+         =                       crc=1        finobt=1, sparse=1, rmapbt=0
-     Docs: man:telnetd(8)
+         =                       reflink=1
-   Listen: [::]:23 (Stream)
+data     =                       bsize=4096   blocks=8387584, imaxpct=25
- Accepted: 0; Connected: 0
+         =                       sunit=0      swidth=0 blks
+naming   =version 2              bsize=4096   ascii-ci=0, ftype=1
-[root@centos7 ~]# systemctl start telnet.socket
+log      =internal log           bsize=4096   blocks=4095, version=2
+         =                       sectsz=512   sunit=0 blks, lazy-count=1
-[root@centos7 ~]# systemctl status telnet.socket
+realtime =none                   extsz=4096   blocks=0, rtextents=0
-● telnet.socket - Telnet Server Activation Socket
+Discarding blocks...Done.
-   Loaded: loaded (/usr/lib/systemd/system/telnet.socket; disabled; vendor preset: disabled)
-   Active: active (listening) since Mon 2016-05-09 23:40:13 CEST; 3s ago
-     Docs: man:telnetd(8)
-   Listen: [::]:23 (Stream)
- Accepted: 0; Connected: 0
-May 09 23:40:13 centos7.fenestros.loc systemd[1]: Listening on Telnet Server Activation Socket.
-May 09 23:40:13 centos7.fenestros.loc systemd[1]: Starting Telnet Server Activation Socket.
-[root@centos7 ~]# systemctl enable telnet.socket
-Created symlink from /etc/systemd/system/sockets.target.wants/telnet.socket to /usr/lib/systemd/system/telnet.socket.
-[root@centos7 ~]# systemctl status telnet.socket
-● telnet.socket - Telnet Server Activation Socket
-   Loaded: loaded (/usr/lib/systemd/system/telnet.socket; enabled; vendor preset: disabled)
-   Active: active (listening) since Mon 2016-05-09 23:40:13 CEST; 36s ago
-     Docs: man:telnetd(8)
-   Listen: [::]:23 (Stream)
- Accepted: 0; Connected: 0
-May 09 23:40:13 centos7.fenestros.loc systemd[1]: Listening on Telnet Server Activation Socket.
-May 09 23:40:13 centos7.fenestros.loc systemd[1]: Starting Telnet Server Activation Socket.
 </code>
-Connectez-vous ensuite via telnet sur le port 15023, vous constaterez que votre connexion n'aboutit pas :
+Éditez ensuite le fichier **/etc/fstab** afin de monter automatiquement le volume logique sur **/var/lib/libvirt/images** :
 <code>
-[root@centos7 ~]# telnet localhost 15023
+[root@centos8 ~]# vi /etc/fstab
-Trying 127.0.0.1...
+[root@centos8 ~]# cat /etc/fstab
-Connected to localhost.
-Escape character is '^]'.
-Kernel 3.10.0-327.13.1.el7.x86_64 on an x86_64
+#
-centos7 login: trainee
+# /etc/fstab
-Password:
+# Created by anaconda on Wed Jun 16 06:21:32 2021
-Last login: Mon May  9 23:26:32 from localhost.localdomain
+#
-[trainee@centos7 ~]$
+# Accessible filesystems, by reference, are maintained under '/dev/disk/'.
+# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info.
+#
+# After editing this file, run 'systemctl daemon-reload' to update systemd
+# units generated from this file.
+#
+/dev/mapper/cl_centos8-root /                       xfs     defaults        0 0
+UUID=1c04981e-5317-4b73-9695-3ce25246835d /boot                   ext4    defaults        1 2
+/dev/mapper/cl_centos8-swap swap                    swap    defaults        0 0
+UUID=f76d6b66-985b-4a91-af9c-4987e8c1443c /home     ext4          defaults,usrquota,grpquota            1 2
+## KVM Guest Image Store
+/dev/mapper/kvm_storage-kvm_lv		  /var/lib/libvirt/images	xfs	defaults	0 0
 </code>
-<WRAP center round important>
+Montez ensuite le volume logique :
-Notez bien que votre communication telnet passe par le tunnel SSH.
-</WRAP>
-====SCP====
-===Introduction===
-La commande **scp** est le successeur et la remplaçante de la commande **rcp** de la famille des commandes **remote**. Il permet de faire des transferts sécurisés à partir d'une machine distante :
-  $ scp compte@numero_ip(nom_de_machine):/chemin_distant/fichier_distant /chemin_local/fichier_local
-ou vers une machine distante :
-  $ scp /chemin_local/fichier_local compte@numero_ip(nom_de_machine):/chemin_distant/fichier_distant
-===Utilisation===
-Nous allons maintenant utiliser **scp** pour chercher un fichier sur le <<serveur>> :
-Créez le fichier **/home/trainee/scp_test** :
 <code>
-[trainee@centos7 ~]$ pwd
+[root@centos8 ~]# df -h
-/home/trainee
+Filesystem                   Size  Used Avail Use% Mounted on
-[trainee@centos7 ~]$ touch scp_test
+devtmpfs                     1.8G     0  1.8G   0% /dev
-</code>
+tmpfs                        1.9G     0  1.9G   0% /dev/shm
+tmpfs                        1.9G  9.5M  1.9G   1% /run
+tmpfs                        1.9G     0  1.9G   0% /sys/fs/cgroup
+/dev/mapper/cl_centos8-root   28G   17G   12G  58% /
+/dev/sda1                    976M  453M  457M  50% /boot
+/dev/sdc1                     63G   22G   39G  36% /home
+tmpfs                        374M   20K  374M   1% /run/user/1000
+tmpfs                        374M  1.2M  373M   1% /run/user/42
-Récupérez le fichier **scp_test** en utilisant scp :
+[root@centos8 ~]# mount -a
-<code>
+[root@centos8 ~]# df -h
-[trainee@centos7 ~]$ touch /home/trainee/scp_test
+Filesystem                      Size  Used Avail Use% Mounted on
-[trainee@centos7 ~]$ scp trainee@127.0.0.1:/home/trainee/scp_test /tmp/scp_test
+devtmpfs                        1.8G     0  1.8G   0% /dev
-The authenticity of host '127.0.0.1 (127.0.0.1)' can't be established.
+tmpfs                           1.9G     0  1.9G   0% /dev/shm
-ECDSA key fingerprint is 19:cd:05:58:af:2c:10:82:52:ba:e3:31:df:bd:72:54.
+tmpfs                           1.9G  9.5M  1.9G   1% /run
-Are you sure you want to continue connecting (yes/no)? yes
+tmpfs                           1.9G     0  1.9G   0% /sys/fs/cgroup
-Warning: Permanently added '127.0.0.1' (ECDSA) to the list of known hosts.
+/dev/mapper/cl_centos8-root      28G   17G   12G  58% /
-trainee@127.0.0.1's password: trainee
+/dev/sda1                       976M  453M  457M  50% /boot
-scp_test                                                                                         100%    0     0.0KB/s   00:00
+/dev/sdc1                        63G   22G   39G  36% /home
-[trainee@centos7 ~]$ ls /tmp/scp_test
+tmpfs                           374M   20K  374M   1% /run/user/1000
-/tmp/scp_test
+tmpfs                           374M  1.2M  373M   1% /run/user/42
+/dev/mapper/kvm_storage-kvm_lv   32G  261M   32G   1% /var/lib/libvirt/images
 </code>
-==Mise en place des clefs==
+Notez que ce volume est actuellement vide :
-Il convient maintenant de se connecter sur le <<serveur>> en utilisant ssh et vérifiez la présence du répertoire ~/.ssh :
-En saisissant cette commande, vous obtiendrez une fenêtre similaire à celle-ci :
 <code>
-[trainee@centos7 ~]$ ssh -l trainee 127.0.0.1
+[root@centos8 ~]# ls -l /var/lib/libvirt/images/
-trainee@127.0.0.1's password:
-Last login: Mon May  9 23:42:46 2016 from localhost.localdomain
-[trainee@centos7 ~]$ ls -la | grep .ssh
-drwx------.  2 trainee trainee 4096 May  9 23:25 .ssh
-[trainee@centos7 ~]$ exit
-logout
-Connection to 127.0.0.1 closed.
-</code>
-<WRAP center round important>
-Si le dossier distant .ssh n'existe pas dans le répertoire personnel de l'utilisateur connecté, il faut le créer avec des permissions de 700. Dans votre cas, puisque votre machine joue le rôle de serveur **et** du client, le dossier /home/trainee/.ssh existe **déjà**.
-</WRAP>
-Ensuite, il convient de transférer le fichier local **.ssh/id_ecdsa.pub** du <<client>> vers le <<serveur>> en le renommant en **authorized_keys** :
-<code>
-[trainee@centos7 ~]$ scp .ssh/id_ecdsa.pub trainee@127.0.0.1:/home/trainee/.ssh/authorized_keys
-trainee@127.0.0.1's password: trainee
-id_ecdsa.pub                                                                                     100%  227     0.2KB/s   00:00
-</code>
-Connectez-vous via telnet et insérer les clefs publiques restantes dans le fichier .ssh/authorized_keys :
-<code>
-root@centos7 ~]# ssh -l trainee localhost
-trainee@localhost's password: trainee
-Last login: Tue May 10 01:39:33 2016 from localhost.localdomain
-[trainee@centos7 ~]$ cat .ssh/id_rsa.pub >> .ssh/authorized_keys
-[trainee@centos7 ~]$ cat .ssh/id_dsa.pub >> .ssh/authorized_keys
-[trainee@centos7 ~]$ cat .ssh/id_ed25519.pub >> .ssh/authorized_keys
-[trainee@centos7 ~]$ cat .ssh/authorized_keys
-ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBG5BtOMFLrUbxD//RLELvkkA06CQvXuJqKSjSB2dlUXgaPyEJXuwHO0pxcdbrg4qqb0f9sE75oMVowXxYgqhWDE= trainee@centos7.fenestros.loc
-ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC9KOuEH5+kyihhm99Na8UTA4Gi5AfiOVeJyS3UzH7ta73ewmv7JZqaXzar1NlHcpEMkCUs2yKxHyO/yAfjbCSdow5vfwJiuJTes+HbpvsJqKp1+OR7tf+OMgjDcajoGi7DYuybIs9QrbWgh57QclbldHQXRO+xbeUTykxcRun7AvR5uWZe4zMooBAmVVEms+l1rn8CUi+D811jqQGSpU39PxkojTAwgbxlevT/Twy4sfeRR47UHc3AbrHb8SgyKqbx5/S9UxkbkhJjckx0s58fnAwf9nX5rKE7RdCQisRvdLeLHozq3EOomvc7kzejefBtUDWxBEjnSeAgIP3+OEQl trainee@centos7.fenestros.loc
-ssh-dss AAAAB3NzaC1kc3MAAACBAK9/4siucBnf/NAHBMjZWIx1coA/wYVBjfudVyKArip1fVUuYqf0Ri9vTorG8KJ2zzLRbW5z7V5ZDSn4f6P5Kv7K5xVPne9dYQHxImkZIljpFseUW56BwCvcgTNZVLD0tYZzF+B0/Py4waJW+pnTDfZush6DYyAhVnEuxIPI4i+PAAAAFQCeCZyDRo1o41lf19qWGJTG7W+ChQAAAIAKtQe9QlkW4CA9kP+q4v3N07WR5TzWsvfZARjGXgrSqTo0BeQgMLwRJHeEOhdsgJ30cNbl6QXlB4G4J6dUoTiN/sY1dFbXzjzsT/MHLedsllVfXXRQxgvN2nsbsKEUnmqEBWzgw5s6KOkGX33+0Six0E3xvOrYxkMNLP/5VT4aQwAAAIEAmOS94peBeo78yCKzCvSFnEL72dUCFFA6CGFGqgffhK1vP5H5pG5vQxzBn9NnIXURCACF7ZxtZaxohSoB1M0/s0DfrfNIvXRMGvsJpZ9B2psTMDl9qBffIfIARnwkWKG1gC/lWaovUpDByE1wl09ZCDCnZp/16ULJY0zvJ566Seg= trainee@centos7.fenestros.loc
-ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIENas3A3hmXFj1cb+lrn2NAt6g95Pla6qUFQHd1wg2y1 trainee@centos7.fenestros.loc
-ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBG5BtOMFLrUbxD//RLELvkkA06CQvXuJqKSjSB2dlUXgaPyEJXuwHO0pxcdbrg4qqb0f9sE75oMVowXxYgqhWDE= trainee@centos7.fenestros.loc
-</code>
-Lors de la connexion suivante au serveur, l'authentification utilise le couple de clefs asymétrique et aucun mot de passe n'est requis :
-<code>
-[trainee@centos7 ~]$ ssh -l trainee localhost
-Last login: Tue May 10 01:50:39 2016 from localhost.localdomain
-[trainee@centos7 ~]$ exit
-déconnexion
-Connection to localhost closed.
-</code>
-<WRAP center round important>
-Le fichier **authorized_keys** doit avoir les permissions de 600.
-</WRAP>
-=====La Configuration par firewalld sous RHEL/CentOS 7=====
-<WRAP center round important>
-**Important** : Importez une machine virtuelle vierge de CentOS 7.
-</WRAP>
-firewalld est à Netfilter ce que NetworkManager est au réseau. firewalld utilise des **zones** - des jeux de règles pré-définis dans lesquels sont placés les interfaces :
-  * **trusted** - un réseau fiable. Dans ce cas tous les ports sont autorisés,
-  * **work**, **home**, **internal** - un réseau partiellement fiable. Dans ce cas quelques ports sont autorisés,
-  * **dmz**, **public**, **external** - un réseau non fiable. Dans ce cas peu de ports sont autorisés,
-  * **block**, **drop** - tout est interdit. La zone drop n'envoie pas de messages d'erreurs.
-<WRAP center round important>
-Une interface ne peut être que dans une zone à la fois tandis que plusieurs interfaces peuvent être dans la même zone.
-</WRAP>
-Le service firewalld doit toujours être lancé :
-<code>
-[root@centos7 ~]# systemctl status firewalld.service
-firewalld.service - firewalld - dynamic firewall daemon
-   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)
-   Active: active (running) since Tue 2015-07-07 15:53:56 CEST; 1 day 21h ago
- Main PID: 493 (firewalld)
-   CGroup: /system.slice/firewalld.service
-           └─493 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
-Jul 07 15:53:56 centos7.fenestros.loc systemd[1]: Started firewalld - dynamic firewall daemon.
-</code>
-==La Configuration de Base de firewalld==
-La configuration par défaut de firewalld se trouve dans **/usr/lib/firewalld** :
-<code>
-[root@centos7 ~]# ls -l /usr/lib/firewalld/
-total 12
-drwxr-x---. 2 root root 4096 Jun  4 09:52 icmptypes
-drwxr-x---. 2 root root 4096 Jun  4 09:52 services
-drwxr-x---. 2 root root 4096 Jun  4 09:52 zones
-[root@centos7 ~]# ls -l /usr/lib/firewalld/zones
-total 36
--rw-r-----. 1 root root 299 Mar  6 00:35 block.xml
--rw-r-----. 1 root root 293 Mar  6 00:35 dmz.xml
--rw-r-----. 1 root root 291 Mar  6 00:35 drop.xml
--rw-r-----. 1 root root 304 Mar  6 00:35 external.xml
--rw-r-----. 1 root root 400 Mar  6 00:35 home.xml
--rw-r-----. 1 root root 415 Mar  6 00:35 internal.xml
--rw-r-----. 1 root root 315 Mar  6 00:35 public.xml
--rw-r-----. 1 root root 162 Mar  6 00:35 trusted.xml
--rw-r-----. 1 root root 342 Mar  6 00:35 work.xml
-[root@centos7 ~]# ls -l /usr/lib/firewalld/services
-total 192
--rw-r-----. 1 root root 412 Mar  6 00:35 amanda-client.xml
--rw-r-----. 1 root root 320 Mar  6 00:35 bacula-client.xml
--rw-r-----. 1 root root 346 Mar  6 00:35 bacula.xml
--rw-r-----. 1 root root 305 Mar  6 00:35 dhcpv6-client.xml
--rw-r-----. 1 root root 234 Mar  6 00:35 dhcpv6.xml
--rw-r-----. 1 root root 227 Mar  6 00:35 dhcp.xml
--rw-r-----. 1 root root 346 Mar  6 00:35 dns.xml
--rw-r-----. 1 root root 374 Mar  6 00:35 ftp.xml
--rw-r-----. 1 root root 476 Mar  6 00:35 high-availability.xml
--rw-r-----. 1 root root 448 Mar  6 00:35 https.xml
--rw-r-----. 1 root root 353 Mar  6 00:35 http.xml
--rw-r-----. 1 root root 372 Mar  6 00:35 imaps.xml
--rw-r-----. 1 root root 454 Mar  6 00:35 ipp-client.xml
--rw-r-----. 1 root root 427 Mar  6 00:35 ipp.xml
--rw-r-----. 1 root root 517 Mar  6 00:35 ipsec.xml
--rw-r-----. 1 root root 233 Mar  6 00:35 kerberos.xml
--rw-r-----. 1 root root 221 Mar  6 00:35 kpasswd.xml
--rw-r-----. 1 root root 232 Mar  6 00:35 ldaps.xml
--rw-r-----. 1 root root 199 Mar  6 00:35 ldap.xml
--rw-r-----. 1 root root 385 Mar  6 00:35 libvirt-tls.xml
--rw-r-----. 1 root root 389 Mar  6 00:35 libvirt.xml
--rw-r-----. 1 root root 424 Mar  6 00:35 mdns.xml
--rw-r-----. 1 root root 211 Mar  6 00:35 mountd.xml
--rw-r-----. 1 root root 190 Mar  6 00:35 ms-wbt.xml
--rw-r-----. 1 root root 171 Mar  6 00:35 mysql.xml
--rw-r-----. 1 root root 324 Mar  6 00:35 nfs.xml
--rw-r-----. 1 root root 389 Mar  6 00:35 ntp.xml
--rw-r-----. 1 root root 335 Mar  6 00:35 openvpn.xml
--rw-r-----. 1 root root 433 Mar  6 00:35 pmcd.xml
--rw-r-----. 1 root root 474 Mar  6 00:35 pmproxy.xml
--rw-r-----. 1 root root 544 Mar  6 00:35 pmwebapis.xml
--rw-r-----. 1 root root 460 Mar  6 00:35 pmwebapi.xml
--rw-r-----. 1 root root 357 Mar  6 00:35 pop3s.xml
--rw-r-----. 1 root root 181 Mar  6 00:35 postgresql.xml
--rw-r-----. 1 root root 261 Mar  6 00:35 proxy-dhcp.xml
--rw-r-----. 1 root root 446 Mar  6 00:35 radius.xml
--rw-r-----. 1 root root 517 Mar  6 00:35 RH-Satellite-6.xml
--rw-r-----. 1 root root 214 Mar  6 00:35 rpc-bind.xml
--rw-r-----. 1 root root 384 Mar  6 00:35 samba-client.xml
--rw-r-----. 1 root root 461 Mar  6 00:35 samba.xml
--rw-r-----. 1 root root 550 Mar  6 00:35 smtp.xml
--rw-r-----. 1 root root 463 Mar  6 00:35 ssh.xml
--rw-r-----. 1 root root 393 Mar  6 00:35 telnet.xml
--rw-r-----. 1 root root 301 Mar  6 00:35 tftp-client.xml
--rw-r-----. 1 root root 437 Mar  6 00:35 tftp.xml
--rw-r-----. 1 root root 211 Mar  6 00:35 transmission-client.xml
--rw-r-----. 1 root root 475 Mar  6 00:35 vnc-server.xml
--rw-r-----. 1 root root 310 Mar  6 00:35 wbem-https.xml
-[root@centos7 ~]# ls -l /usr/lib/firewalld/icmptypes/
-total 36
--rw-r-----. 1 root root 222 Mar  6 00:35 destination-unreachable.xml
--rw-r-----. 1 root root 173 Mar  6 00:35 echo-reply.xml
--rw-r-----. 1 root root 210 Mar  6 00:35 echo-request.xml
--rw-r-----. 1 root root 225 Mar  6 00:35 parameter-problem.xml
--rw-r-----. 1 root root 185 Mar  6 00:35 redirect.xml
--rw-r-----. 1 root root 227 Mar  6 00:35 router-advertisement.xml
--rw-r-----. 1 root root 223 Mar  6 00:35 router-solicitation.xml
--rw-r-----. 1 root root 248 Mar  6 00:35 source-quench.xml
--rw-r-----. 1 root root 253 Mar  6 00:35 time-exceeded.xml
-</code>
-Ces fichiers sont au format **xml**, par exemple :
-<code>
-[root@centos7 ~]# cat /usr/lib/firewalld/zones/home.xml
-<?xml version="1.0" encoding="utf-8"?>
-<zone>
-  <short>Home</short>
-  <description>For use in home areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
-  <service name="ssh"/>
-  <service name="ipp-client"/>
-  <service name="mdns"/>
-  <service name="samba-client"/>
-  <service name="dhcpv6-client"/>
-</zone>
-</code>
-La configuration de firewalld ainsi que les définitions et règles personnalisées se trouvent dans **/etc/firewalld** :
-<code>
-[root@centos7 ~]# ls -l /etc/firewalld/
-total 8
--rw-r-----. 1 root root 1026 Mar  6 00:35 firewalld.conf
-drwxr-x---. 2 root root    6 Mar  6 00:35 icmptypes
--rw-r-----. 1 root root  271 Mar  6 00:35 lockdown-whitelist.xml
-drwxr-x---. 2 root root    6 Mar  6 00:35 services
-drwxr-x---. 2 root root   23 Mar  6 00:35 zones
-[root@centos7 ~]# ls -l /etc/firewalld/zones/
-total 4
--rw-r--r--. 1 root root 315 Mar  8 14:05 public.xml
-[root@centos7 ~]# ls -l /etc/firewalld/services/
-total 0
-[root@centos7 ~]# ls -l /etc/firewalld/icmptypes/
 total 0
 </code>
-Le fichier de configuration de firewalld est **/etc/firewalld/firewalld.conf** :
+Utilisez la commande **virsh pool-list** pour voir les pools de stockage déjà configurés. Cette liste devrait être vide :
 <code>
-[root@centos7 ~]# cat /etc/firewalld/firewalld.conf
+[root@centos8 ~]# virsh pool-list
-# firewalld config file
+ Name   State   Autostart
+---------------------------
-# default zone
-# The default zone used if an empty zone string is used.
-# Default: public
-DefaultZone=public
-# Minimal mark
-# Marks up to this minimum are free for use for example in the direct
-# interface. If more free marks are needed, increase the minimum
-# Default: 100
-MinimalMark=100
-# Clean up on exit
-# If set to no or false the firewall configuration will not get cleaned up
-# on exit or stop of firewalld
-# Default: yes
-CleanupOnExit=yes
-# Lockdown
-# If set to enabled, firewall changes with the D-Bus interface will be limited
-# to applications that are listed in the lockdown whitelist.
-# The lockdown whitelist file is lockdown-whitelist.xml
-# Default: no
-Lockdown=no
-# IPv6_rpfilter
-# Performs a reverse path filter test on a packet for IPv6. If a reply to the
-# packet would be sent via the same interface that the packet arrived on, the
-# packet will match and be accepted, otherwise dropped.
-# The rp_filter for IPv4 is controlled using sysctl.
-# Default: yes
-IPv6_rpfilter=yes
 </code>
-===La Commande firewall-cmd===
+Définissez le pool de stockage **kvm-storagepool** dans KVM grâce à la commande **virsh pool-define-as** :
-firewalld s'appuie sur netfilter. Pour cette raison, l'utilisation de firewall-cmd est incompatible avec l'utilisation des commandes iptables et system-config-firewall.
-<WRAP center round important>
-firewall-cmd est le front-end de firewalld en ligne de commande. Il existe aussi la commande **firewall-config** qui lance un outi de configuration graphique.
-</WRAP>
-Pour obtenir la liste de toutes les zones prédéfinies, utilisez la commande suivante :
 <code>
-[root@centos7 ~]# firewall-cmd --get-zones
+[root@centos8 ~]# virsh pool-define-as kvm-storagepool --type=dir --target /var/lib/libvirt/images/
-block dmz drop external home internal public trusted work
+Pool kvm-storagepool defined
-</code>
-Pour obtenir la liste de toutes les services prédéfinis, utilisez la commande suivante :
-<code>
-[root@centos7 ~]# firewall-cmd --get-services
-RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https
-</code>
-Pour obtenir la liste de toutes les types ICMP prédéfinis, utilisez la commande suivante :
-<code>
-[root@centos7 ~]# firewall-cmd --get-icmptypes
-destination-unreachable echo-reply echo-request parameter-problem redirect router-advertisement router-solicitation source-quench time-exceeded
-</code>
-Pour obtenir la liste des zones de la configuration courante, utilisez la commande suivante :
-<code>
-[root@centos7 ~]# firewall-cmd --get-active-zones
-public
-  interfaces: enp0s3
-</code>
-Pour obtenir la liste des zones de la configuration courante pour une interface spécifique, utilisez la commande suivante :
-<code>
-[root@centos7 ~]# firewall-cmd --get-zone-of-interface=enp0s3
-public
-</code>
-Pour obtenir la liste des services autorisés pour la zone public, utilisez la commande suivante :
-<code>
-[root@centos7 ~]# firewall-cmd --zone=public --list-services
-dhcpv6-client ssh
-</code>
-Pour obtenir toute la configuration pour la zone public, utilisez la commande suivante :
-<code>
-[root@centos7 ~]# firewall-cmd --zone=public --list-all
-public (default, active)
-  interfaces: enp0s3
-  sources:
-  services: dhcpv6-client ssh
-  ports:
-  masquerade: no
-  forward-ports:
-  icmp-blocks:
-  rich rules:
-</code>
-Pour obtenir la liste complète de toutes les zones et leurs configurations, utilisez la commande suivante :
-<code>
-[root@centos7 ~]# firewall-cmd --list-all-zones
-block
-  interfaces:
-  sources:
-  services:
-  ports:
-  masquerade: no
-  forward-ports:
-  icmp-blocks:
-  rich rules:
-dmz
-  interfaces:
-  sources:
-  services: ssh
-  ports:
-  masquerade: no
-  forward-ports:
-  icmp-blocks:
-  rich rules:
-drop
-  interfaces:
-  sources:
-  services:
-  ports:
-  masquerade: no
-  forward-ports:
-  icmp-blocks:
-  rich rules:
-external
-  interfaces:
-  sources:
-  services: ssh
-  ports:
-  masquerade: yes
-  forward-ports:
-  icmp-blocks:
-  rich rules:
-home
-  interfaces:
-  sources:
-  services: dhcpv6-client ipp-client mdns samba-client ssh
-  ports:
-  masquerade: no
-  forward-ports:
-  icmp-blocks:
-  rich rules:
-internal
-  interfaces:
-  sources:
-  services: dhcpv6-client ipp-client mdns samba-client ssh
-  ports:
-  masquerade: no
-  forward-ports:
-  icmp-blocks:
-  rich rules:
-public (default, active)
-  interfaces: enp0s3
-  sources:
-  services: dhcpv6-client ssh
-  ports:
-  masquerade: no
-  forward-ports:
-  icmp-blocks:
-  rich rules:
-trusted
-  interfaces:
-  sources:
-  services:
-  ports:
-  masquerade: no
-  forward-ports:
-  icmp-blocks:
-  rich rules:
-work
-  interfaces:
-  sources:
-  services: dhcpv6-client ipp-client ssh
-  ports:
-  masquerade: no
-  forward-ports:
-  icmp-blocks:
-  rich rules:
-</code>
-Pour changer la zone par défaut de public à work, utilisez la commande suivante :
-<code>
-[root@centos7 ~]# firewall-cmd --set-default-zone=work
-success
-[root@centos7 ~]# firewall-cmd --get-active-zones
-work
-  interfaces: enp0s3
-</code>
-Pour ajouter l'interface ip_fixe à la zone work, utilisez la commande suivante :
-<code>
-[root@centos7 ~]# firewall-cmd --zone=work --add-interface=ip_fixe
-success
-[root@centos7 ~]# firewall-cmd --get-active-zones
-work
-  interfaces: enp0s3 ip_fixe
-</code>
-Pour supprimer l'interface ip_fixe à la zone work, utilisez la commande suivante :
-<code>
-[root@centos7 ~]# firewall-cmd --zone=work --remove-interface=ip_fixe
-success
-[root@centos7 ~]# firewall-cmd --get-active-zones
-work
-  interfaces: enp0s3
-</code>
-Pour ajouter le service **http** à la zone **work**, utilisez la commande suivante :
-<code>
-[root@centos7 ~]# firewall-cmd --zone=work --add-service=http
-success
-[root@centos7 ~]# firewall-cmd --zone=work --list-services
-dhcpv6-client http ipp-client ssh
-</code>
-Pour supprimer le service **http** de la zone **work**, utilisez la commande suivante :
-<code>
-[root@centos7 ~]# firewall-cmd --zone=work --remove-service=http
-success
-[root@centos7 ~]# firewall-cmd --zone=work --list-services
-dhcpv6-client ipp-client ssh
-</code>
-Pour ajouter un nouveau bloc ICMP, utilisez la commande suivante :
-<code>
-[root@centos7 ~]# firewall-cmd --zone=work --add-icmp-block=echo-reply
-success
-[root@centos7 ~]# firewall-cmd --zone=work --list-icmp-blocks
-echo-reply
-</code>
-Pour supprimer un bloc ICMP, utilisez la commande suivante :
-<code>
-[root@centos7 ~]# firewall-cmd --zone=work --remove-icmp-block=echo-reply
-success
-[root@centos7 ~]# firewall-cmd --zone=work --list-icmp-blocks
-[root@centos7 ~]#
-</code>
-Pour ajouter le port 591/tcp à la zone work, utilisez la commande suivante :
-<code>
-[root@centos7 ~]# firewall-cmd --zone=work --add-port=591/tcp
-success
-[root@centos7 ~]# firewall-cmd --zone=work --list-ports
-/tcp
-</code>
-Pour supprimer le port 591/tcp à la zone work, utilisez la commande suivante :
-<code>
-[root@centos7 ~]# firewall-cmd --zone=work --remove-port=591/tcp
-success
-[root@centos7 ~]# firewall-cmd --zone=work --list-ports
-[root@centos7 ~]#
-</code>
-Pour créer un nouveau service, il convient de :
-  * copier un fichier existant se trouvant dans le répertoire **/usr/lib/firewalld/services** vers **/etc/firewalld/services**,
-  * modifier le fichier,
-  * recharger la configuration de firewalld,
-  * vérifier que firewalld voit le nouveau service.
-Par exemple :
-<code>
-[root@centos7 ~]# cp /usr/lib/firewalld/services/http.xml /etc/firewalld/services/filemaker.xml
-[root@centos7 ~]#
-[root@centos7 ~]# cat /etc/firewalld/services/filemaker.xml
-<?xml version="1.0" encoding="utf-8"?>
-<service>
-  <short>FileMakerPro</short>
-  <description>fichier de service firewalld pour FileMaker Pro</description>
-  <port protocol="tcp" port="591"/>
-</service>
-[root@centos7 ~]#
-[root@centos7 ~]# firewall-cmd --reload
-success
-[root@centos7 ~]#
-[root@centos7 ~]# firewall-cmd --get-services
-RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns filemaker ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https
-</code>
-==La Configuration Avancée de firewalld==
-La configuration de base de firewalld ne permet que la configuration des zones, services, blocs ICMP et les ports non-standard. Cependant firewalld peut également être configuré avec des **Rich Rules** ou **//Règles Riches//**. Rich Rules ou Règles Riches évaluent des **critères** pour ensuite entreprendre une **action**.
-Les **Critères** sont :
-  * **source address="<adresse_IP>"**
-  * **destination address="<adresse_IP>"**,
-  * **rule port port="<numéro_du_port>"**,
-  * **service name=<nom_d'un_sevice_prédéfini>**.
-Les **Actions** sont :
-  * **accept**,
-  * **reject**,
-    * une Action reject peut être associée avec un message d'erreur spécifique par la clause **type="<type_d'erreur>**,
-  * **drop**.
-Saisissez la commande suivante pour ouvrir le port 80 :
-<code>
-[root@centos7 ~]# firewall-cmd --add-rich-rule='rule port port="80" protocol="tcp" accept'
-success
 </code>
-<WRAP center round important 50%>
+<WRAP center round important 60%>
-Notez que la Rich Rule doit être entourée de caractères **'**.
+**Important** : Consultez **[[https://libvirt.org/storage.html#StorageBackendDir|cette page]]** pour connaître les types de pool utilisés par libvirt.
 </WRAP>
-Saisissez la commande suivante pour visualiser la règle iptables pour IPv4 :
+Consultez **[[https://libvirt.org/storage.html#StorageBackendDir|cette page]]** pour connaître les types de pool utilisés par libvirt.
-<code>
+Démarrez maintenant le pool **kvm-storagepool** :
-[root@centos7 ~]# iptables -L -n | grep 80
-ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 ctstate NEW
-</code>
-Saisissez la commande suivante pour visualiser la règle iptables pour IPv6 :
 <code>
-[root@centos7 ~]# ip6tables -L -n | grep 80
+[root@centos8 ~]# virsh pool-start kvm-storagepool
-ACCEPT     udp      ::/0                 fe80::/64            udp dpt:546 ctstate NEW
+Pool kvm-storagepool started
-ACCEPT     tcp      ::/0                 ::/0                 tcp dpt:80 ctstate NEW
 </code>
-<WRAP center round important 50%>
+Contrôlez l'état du pool **kvm-storagepool** :
-Notez que la Rich Rule a créé deux règles, une pour IPv4 et une deuxième pour IPv6. Une règle peut être créée pour IPv4 seul en incluant le Critère **family=ipv4**. De la même façon, une règle peut être créée pour IPv6 seul en incluant le Critère **family=ipv6**.
-</WRAP>
-Cette nouvelle règle est écrite en mémoire mais non pas sur disque. Pour l'écrire sur disque dans le fichier zone se trouvant dans **/etc/firewalld**, il faut ajouter l'option **--permanent** :
 <code>
-[root@centos7 ~]# firewall-cmd --add-rich-rule='rule port port="80" protocol="tcp" accept' --permanent
+[root@centos8 ~]# virsh pool-list
-success
+ Name              State    Autostart
-[root@centos7 ~]#
+---------------------------------------
-[root@centos7 ~]# cat /etc/firewalld/zones/work.xml
+ kvm-storagepool   active   no
-<?xml version="1.0" encoding="utf-8"?>
-<zone>
-  <short>Work</short>
-  <description>For use in work areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
-  <service name="ipp-client"/>
-  <service name="dhcpv6-client"/>
-  <service name="ssh"/>
-  <rule>
-    <port protocol="tcp" port="80"/>
-    <accept/>
-  </rule>
-</zone>
 </code>
-<WRAP center round important 50%>
+<WRAP center round important 60%>
-Attention ! La règle ajoutée avec l'option --permanent n'est pas prise en compte imédiatement mais uniquement au prochain redémmarge. Pour qu'une règle soit appliquée immédiatement **et** être écrite sur disque, il faut saisir la commande deux fois dont une avec l'option --permanent et l'autre sans l'option --permanent.
+**Important** : Notez que le pool ne sera pas démarré automatiquement parce que la valeur d**'autostart** est **no**.
 </WRAP>
-Pour visualiser cette règle dans la configuration de firewalld, il convient de saisir la commande suivante :
+Fixez la valeur d'autostart à **yes** grâce à la commande **virsh pool-autostart** :
 <code>
-[root@centos7 ~]# firewall-cmd --list-all-zones
+[root@centos8 ~]# virsh pool-autostart kvm-storagepool
-...
+Pool kvm-storagepool marked as autostarted
-work (default, active)
-  interfaces: enp0s3
-  sources:
-  services: dhcpv6-client ipp-client ssh
-  ports:
-  masquerade: no
-  forward-ports:
-  icmp-blocks:
-  rich rules:
-	rule port port="80" protocol="tcp" accept
+[root@centos8 ~]# virsh pool-list
+ Name              State    Autostart
+---------------------------------------
+ kvm-storagepool   active   yes
 </code>
-Notez que la Rich Rule est créée dans la Zone par Défaut. Il est possible de créer une Rich Rule dans une autre zone en utilisant l'option **--zone=<zone>** de la commande firewall-cmd :
+Dernièrement, constatez les détails du pool configuré :
 <code>
-[root@centos7 ~]# firewall-cmd --zone=public --add-rich-rule='rule port port="80" protocol="tcp" accept'
+[root@centos8 ~]# virsh pool-list --all --details
-success
+ Name              State     Autostart   Persistent   Capacity    Allocation   Available
-[root@centos7 ~]# firewall-cmd --list-all-zones
+------------------------------------------------------------------------------------------
-...
+ kvm-storagepool   running   yes         yes          31.98 GiB   260.61 MiB   31.73 GiB
-public
-  interfaces:
-  sources:
-  services: dhcpv6-client ssh
-  ports:
-  masquerade: no
-  forward-ports:
-  icmp-blocks:
-  rich rules:
-	rule port port="80" protocol="tcp" accept
-trusted
-  interfaces:
-  sources:
-  services:
-  ports:
-  masquerade: no
-  forward-ports:
-  icmp-blocks:
-  rich rules:
-work (default, active)
-  interfaces: enp0s3
-  sources:
-  services: dhcpv6-client ipp-client ssh
-  ports:
-  masquerade: no
-  forward-ports:
-  icmp-blocks:
-  rich rules:
-	rule port port="80" protocol="tcp" accept
 </code>
-Pour supprimer une Rich Rule, il faut copier la ligne entière la concernant qui se trouve dans la sortie de la commande **firewall-cmd --list-all-zones** :
 <code>
-[root@centos7 ~]# firewall-cmd --zone=public --remove-rich-rule='rule port port="80" protocol="tcp" accept'
+[root@centos8 ~]# df -h /var/lib/libvirt/images/
-success
+Filesystem                      Size  Used Avail Use% Mounted on
+/dev/mapper/kvm_storage-kvm_lv   32G  261M   32G   1% /var/lib/libvirt/images
 </code>
-==Le mode Panic de firewalld==
-Le mode Panic de firewalld permet de bloquer tout le trafic avec une seule commande. Pour connaître l'état du mode Panic, utilisez la commande suivante :
-<code>
-[root@centos7 ~]# firewall-cmd --query-panic
-no
-</code>
-Pour activer le mode Panic, il convient de saisir la commande suivante :
-<code>
-[root@centos7 ~]# firewall-cmd --panic-on
-success
-[root@centos7 ~]# firewall-cmd --query-panic
-yes
-</code>
-Pour désactiver le mode Panic, il convient de saisir la commande suivante :
-<code>
-[root@centos7 ~]# firewall-cmd --panic-off
-success
-[root@centos7 ~]# firewall-cmd --query-panic
-no
-</code>
-======LCF307 - Gestion du Serveur NFS======
-=====Contenu du Module=====
-  * **LCF307 - Gestion du Serveur NFS**
-    * Contenu du Module
-    * Présentation
-      * Les Services et Processus du Serveur NFSv3
-        * Les Services RPC
-      * Options d'un Partage NFS
-      * Commandes de Base
-    * Installation
-    * Mise en Place
-      * Configuration du Serveur
-      * Configuration du Client
-    * Surveillance du Serveur
-      * La Commande rpcinfo
-      * La Commande nfsstat
-=====Présentation=====
-Quand on parle de NFS, on parle d'**exportation** d'un répertoire sur le serveur afin que celui-ci puisse être vu par des clients sur le réseau. Ces clients peuvent ensuite monter le répertoire et l'utiliser comme si celui-ci faisait partie de son propre filesystem.
-Le Network File System (NFS) est le protocole de partage de fichiers historique sur des systèmes Unix. Lors de l'introduction de Samba, NFS a vu sa popularité diminuée, essentiellement parce que la connexion est non-sécurisée :
-  * le partage ainsi que ses caractéristiques sont configurés par rapport à l'adresse IP du client, or l'IP Spoofing est de plus en plus répandu,
-  * aucun mot de passe n'est demandé lors de la connexion d'un utilisateur à une ressource car le serveur NFS présume que l'utilisateur //jean// distant est le même utilisateur du compte //jean// sur le serveur NFS.
-Cependant l'arrivée sur le marché de serveurs NAS domestiques ainsi que l'utilisation de la virtualisation dans le milieu professionnel fait que NFS connait un regain d'intérêt en tant que stockage mutualisé raid, simple à mettre en œuvre.
-Il existe actuellement 3 versions de NFS :
-^ Version ^ Protocole Utilisé ^ Dépendance ^
-| **NFSv2** | TCP et UDP | portmap |
-| **NFSv3** | TCP et UDP | portmap |
-| **NFSv4** | TCP | Aucune - les fonctions de portmap sont incluses dans NFSv4 |
-La version utilisée par défaut sous CentOS/Redhat est **NFSv3**.
-====Les Services et Processus du Serveur NFSv3====
-La version NFSv3 utilise les services suivants :
-^ Services ^ Fonction ^
-| **nfs** | Démarre le service NFS ainsi que les processus RPC pour recevoir et traiter les demandes des clients |
-| **nfslock** | Démarre les processus RPC qui permettent aux clients de verrouiller les fichiers sur le serveur  |
-| **portmap** | Gestion des réservations des ports pour les services RPC locaux afin que les services RPC distants puissent se connecter |
-===Les Services RPC===
-Les services RPC ( //Remote Procedure Calls// ou appel de procédures distantes ) ont été inventé par SUN Microsystem pour faciliter le travail des développeurs  de pous des échanges entre mchines distantes. Les RPC s'appuient sur des numéros de programmes.
-Lorsque le client veut faire une requête à un service RPC, il contacte en premier lieu le service **rpcbind** qui assigne un numéro de port au délà du numéro **32768** à un numéro de programme RPC.
-====Options d'un Partage NFS====
-Certaines options, appliquées à un partage, modifient le comportement du serveur NFS pour le partage concerné lors de son démarrage :
-^ Option ^ Comportement ^
-| **ro** | Accès en lecture seule |
-| **rw** | Accès en lecture / écriture |
-| **sync** | Ecriture synchrone ( écriture immédiate sur disque ) |
-| **async** | Ecriture asynchrone ( écriture sur disque en utilisant une cache ) |
-| **root_squash** | Root perd ses prérogatives sur le partage concerné |
-| **no_root_squash** | Root garde ses prérogatives sur le partage concerné |
-| **no_lock** | Pas de verrous sur les fichiers accédés |
-| **all_squash** | Force la mapping de tous les utilisateurs vers l'utilisateur **nobody** |
-| **anonuid** | Fixe l'UID de l'utilisateur anonyme |
-| **anongid** | Fixe le GID de l'utilisateur anonyme |
-<WRAP center round important>
-**Important** : Si plusieurs options sont spécifiées, celles-ci doivent être séparées par des virgules.
-</WRAP>
-====Commandes de Base====
-Plusieurs commandes permettent de gérer et de s'informer sur l'activité du serveur NFS :
-^ Commande ^ Comportement ^
-| **exportfs** | Affiche les partages actifs sur le serveur courant |
-| **nfsstat** | Affiche les statistiques de l'activité NFS |
-| **rpcinfo** | Affiche les démons gérés en effectuant une requête RPC sur le serveur courant |
-| **showmount** | Affiche les partages actifs sur un serveur distant |
-| **mount** | Permet de monter un partage distant sur un répertoire local |
-=====Mise en Place=====
-====Configuration du Serveur====
-<WRAP center round important>
-**Important** : Arrêtez votre VM. Dans la fenêtre de Oracle VM VirtualBox, cliquez sur **Fichier > Paramètres > Réseau** et créez un réseau NAT appelé **NatNetwork**. Dans les paramètres de votre VM, cliquez sur **Réseau** et configurez la Carte 1 en Réseau NAT dans le réseau NatNetwork. Démarrez votre VM.
-</WRAP>
-Configurez votre interface réseau si ce n'est pas déjà fait :
-<code>
-[root@centos7 ~]# nmcli connection add con-name ip_fixe ifname enp0s3 type ethernet ip4 10.0.2.16/24 gw4 10.0.2.2
-Connection 'ip_fixe' (5ac899e6-3f7b-415e-b9d7-c950fab007d5) successfully added.
-[root@centos7 ~]# nmcli connection mod ip_fixe ipv4.dns 8.8.8.8
-[root@centos7 ~]# nmcli connection up ip_fixe
-Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/1)
-[root@centos7 ~]# systemctl restart NetworkManager.service
-</code>
-Ajoutez une autre adresse IP pour le NFS :
-<code>
-[root@centos7 ~]# nmcli connection mod ip_fixe +ipv4.addresses 192.168.1.2/24
-</code>
-Continuez maintenant par la mise en place du service **nfs** :
-<code>
-[root@centos7 ~]# systemctl status nfs.service
-nfs-server.service - NFS server and services
-   Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; disabled)
-   Active: inactive (dead)
-[root@centos7 ~]# systemctl enable nfs-server.service
-ln -s '/usr/lib/systemd/system/nfs-server.service' '/etc/systemd/system/multi-user.target.wants/nfs-server.service'
-[root@centos7 ~]# systemctl status nfs.service
-nfs-server.service - NFS server and services
-   Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; enabled)
-   Active: inactive (dead)
-</code>
-La mise en place d'un partage ponctuel se fait en utilisant la commande **exportfs** en indiquant en argument le répertoire sous la forme de //adresse_ip_du_serveur:chemin_du_partage// :
-<code>
-[root@centos7 ~]# exportfs
-[root@centos7 ~]# exportfs 192.168.1.2:/home/trainee
-[root@centos7 ~]# exportfs
-/home/trainee 	192.168.1.2
-</code>
-Démarrez maintenant le service **nfs** :
-<code>
-[root@centos7 ~]# systemctl start nfs.service
-[root@centos7 ~]# systemctl status nfs.service
-nfs-server.service - NFS server and services
-   Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; enabled)
-   Active: active (exited) since Thu 2015-10-01 13:18:13 CEST; 4s ago
-  Process: 9552 ExecStart=/usr/sbin/rpc.nfsd $RPCNFSDARGS (code=exited, status=0/SUCCESS)
-  Process: 9551 ExecStartPre=/usr/sbin/exportfs -r (code=exited, status=0/SUCCESS)
- Main PID: 9552 (code=exited, status=0/SUCCESS)
-   CGroup: /system.slice/nfs-server.service
-Oct 01 13:18:13 centos7.fenestros.loc systemd[1]: Starting NFS server and services...
-Oct 01 13:18:13 centos7.fenestros.loc systemd[1]: Started NFS server and services.
-</code>
-Afin de mettre en place un ou des partages **permanents**, il est nécessaire d'éditer le fichier **/etc/exports** :
-<code>
-/home/trainee	192.168.1.1
-/tmp		*(fsid=0)
-</code>
-<WRAP center round important>
-**Important** : Dans ce cas, nous avons partagé le répertoire **/home/trainee** pour la seule adresse IP 192.168.1.1.
-</WRAP>
-Redémarrez maintenant le service nfs afin que le fichier **/etc/exports** soit re-lu :
-<code>
-[root@centos7 ~]# systemctl restart nfs.service
-[root@centos7 ~]# systemctl status nfs.service
-nfs-server.service - NFS server and services
-   Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; enabled)
-   Active: active (exited) since Thu 2015-10-01 14:24:50 CEST; 18s ago
-  Process: 4642 ExecStopPost=/usr/sbin/exportfs -f (code=exited, status=0/SUCCESS)
-  Process: 4639 ExecStopPost=/usr/sbin/exportfs -au (code=exited, status=0/SUCCESS)
-  Process: 4638 ExecStop=/usr/sbin/rpc.nfsd 0 (code=exited, status=0/SUCCESS)
-  Process: 4650 ExecStart=/usr/sbin/rpc.nfsd $RPCNFSDARGS (code=exited, status=0/SUCCESS)
-  Process: 4649 ExecStartPre=/usr/sbin/exportfs -r (code=exited, status=0/SUCCESS)
- Main PID: 4650 (code=exited, status=0/SUCCESS)
-   CGroup: /system.slice/nfs-server.service
-Oct 01 14:24:50 centos7.fenestros.loc systemd[1]: Starting NFS server and services...
-Oct 01 14:24:50 centos7.fenestros.loc exportfs[4649]: exportfs: No options for /home/trainee 192.168.1.1: suggest 192.168.1.1(sync) to avoid warning
-Oct 01 14:24:50 centos7.fenestros.loc exportfs[4649]: exportfs: No options for /tmp *: suggest *(sync) to avoid warning
-Oct 01 14:24:50 centos7.fenestros.loc systemd[1]: Started NFS server and services.
-</code>
-Puisque aucune option ne soit spécifiée pour les montages, ceux-ci ont été exportés avec des option par défaut. En utilisant l'option **-v** de la commande **exportfs**, il est possible de consulter ces options :
-<code>
-[root@centos7 ~]# exportfs -v
-/home/trainee 	192.168.1.1(ro,wdelay,root_squash,no_subtree_check,sec=sys,ro,secure,root_squash,no_all_squash)
-/tmp          	<world>(ro,wdelay,root_squash,no_subtree_check,fsid=0,sec=sys,ro,secure,root_squash,no_all_squash)
-</code>
-====Configuration du Client====
-<WRAP center round important>
-**Important** : Arrêtez votre VM. Créez une clône de votre VM. Démarrez la VM clonée.
-</WRAP>
-Re-configurez ensuite l'interface réseau de votre VM Client :
-<code>
-[root@centos7 ~]# nmcli connection del ip_fixe
-[root@centos7 ~]# nmcli connection show ip_fixe
-Error: ip_fixe - no such connection profile.
-[root@centos7 ~]# nmcli connection add con-name ip_fixe ifname enp0s3 type ethernet ip4 10.0.2.17/24 gw4 10.0.2.2
-Connection 'ip_fixe' (5b54ad20-c3e2-4606-b54d-38b225cc578f) successfully added.
-[root@centos7 ~]# nmcli connection mod ip_fixe ipv4.dns 8.8.8.8
-[root@centos7 ~]# nmcli connection mod ip_fixe +ipv4.addresses 192.168.1.1/24
-[root@centos7 ~]# nmcli connection up ip_fixe
-Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/1)
-[root@centos7 ~]# systemctl restart NetworkManager.service
-</code>
-<WRAP center round important >
-**Important** : Démarrez la VM d'origine.
-</WRAP>
-Dans la VM d'origine (serveur) passez SELinux en mode permissive et arrêtez le pare-feu :
-<code>
-[root@centos7 ~]# getenforce
-Enforcing
-[root@centos7 ~]# setenforce permissive
-[root@centos7 ~]# systemctl status firewalld.service
-firewalld.service - firewalld - dynamic firewall daemon
-   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)
-   Active: active (running) since Thu 2015-10-01 14:54:57 CEST; 19min ago
- Main PID: 479 (firewalld)
-   CGroup: /system.slice/firewalld.service
-           └─479 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
-Oct 01 14:54:57 centos7.fenestros.loc systemd[1]: Started firewalld - dynamic firewall daemon.
-[root@centos7 ~]# systemctl stop firewalld.service
-</code>
-A partir de votre client, consultez les répertoire exportés du serveur :
-<code>
-[root@centos7 ~]# showmount --exports 192.168.1.2
-Export list for 192.168.1.2:
-/tmp          *
-/home/trainee 192.168.1.1
-</code>
-Créez maintenant le répertoire **/nfs** dans le client et montez le partage **192.168.1.2:/home/trainee** :
-<code>
-[root@centos7 ~]# mkdir /nfs
-[root@centos7 ~]# mount -t nfs 192.168.1.2:/home/trainee /nfs
-</code>
-Notez que quand vous essayer de rentrer dans le répertoire en tant que root, vous obtenez le message **-bash: cd: /nfs: Permission non accordée** :
-<code>
-[root@centos7 ~]# cd /nfs
--bash: cd: /nfs: Permission denied
-</code>
-<WRAP center round important>
-**Important** : Puisque le répertoire **/home/trainee** a été exporté avec l'option par défaut **root_squash**. Ceci implique que root perd ses droits sur le répertoire quand il est monté. En fait, le service nfs remplace l'UID de 0 avec l'UID de l'utilisateur **nobody**.
-</WRAP>
-Retournez donc dans le serveur et modifiez le fichier **/etc/exports** ainsi :
-<code>
-[root@centos7 ~]# cat /etc/exports
-/home/trainee	192.168.1.1(async,rw,no_root_squash)
-/tmp		*
-</code>
-Redémarrez le service nfs :
-<code>
-[root@centos7 ~]# systemctl restart nfs.service
-</code>
-Vous noterez que maintenant vous êtes capable de vous positionner dans le répertoire **/nfs** du client en tant que **root**
-<code>
-[root@centos7 ~]# cd /nfs
-[root@centos7 nfs]#
-</code>
-=====Surveillance du Serveur=====
-====La Commande rpcinfo====
-La commande **rpcinfo** permet de faire une requête RPC sur le serveur et de voir les démons gérés :
-<code>
-[root@centos6 ~]# rpcinfo
-   program version netid     address                service    owner
-    4    tcp6      ::.0.111               portmapper superuser
-    3    tcp6      ::.0.111               portmapper superuser
-    4    udp6      ::.0.111               portmapper superuser
-    3    udp6      ::.0.111               portmapper superuser
-    4    tcp       0.0.0.0.0.111          portmapper superuser
-    3    tcp       0.0.0.0.0.111          portmapper superuser
-    2    tcp       0.0.0.0.0.111          portmapper superuser
-    4    udp       0.0.0.0.0.111          portmapper superuser
-    3    udp       0.0.0.0.0.111          portmapper superuser
-    2    udp       0.0.0.0.0.111          portmapper superuser
-    4    local     /var/run/rpcbind.sock  portmapper superuser
-    3    local     /var/run/rpcbind.sock  portmapper superuser
-    1    udp       0.0.0.0.182.127        status     29
-    1    tcp       0.0.0.0.182.157        status     29
-    1    udp6      ::.146.50              status     29
-    1    tcp6      ::.139.119             status     29
-    1    udp       0.0.0.0.3.107          rquotad    superuser
-    2    udp       0.0.0.0.3.107          rquotad    superuser
-    1    tcp       0.0.0.0.3.107          rquotad    superuser
-    2    tcp       0.0.0.0.3.107          rquotad    superuser
-    1    udp       0.0.0.0.204.191        mountd     superuser
-    1    tcp       0.0.0.0.196.122        mountd     superuser
-    1    udp6      ::.177.18              mountd     superuser
-    1    tcp6      ::.229.141             mountd     superuser
-    2    udp       0.0.0.0.215.201        mountd     superuser
-    2    tcp       0.0.0.0.174.127        mountd     superuser
-    2    udp6      ::.199.96              mountd     superuser
-    2    tcp6      ::.147.162             mountd     superuser
-    3    udp       0.0.0.0.210.10         mountd     superuser
-    3    tcp       0.0.0.0.155.14         mountd     superuser
-    3    udp6      ::.147.130             mountd     superuser
-    3    tcp6      ::.220.126             mountd     superuser
-    2    tcp       0.0.0.0.8.1            nfs        superuser
-    3    tcp       0.0.0.0.8.1            nfs        superuser
-    4    tcp       0.0.0.0.8.1            nfs        superuser
-    2    tcp       0.0.0.0.8.1            nfs_acl    superuser
-    3    tcp       0.0.0.0.8.1            nfs_acl    superuser
-    2    udp       0.0.0.0.8.1            nfs        superuser
-    3    udp       0.0.0.0.8.1            nfs        superuser
-    4    udp       0.0.0.0.8.1            nfs        superuser
-    2    udp       0.0.0.0.8.1            nfs_acl    superuser
-    3    udp       0.0.0.0.8.1            nfs_acl    superuser
-    2    tcp6      ::.8.1                 nfs        superuser
-    3    tcp6      ::.8.1                 nfs        superuser
-    4    tcp6      ::.8.1                 nfs        superuser
-    2    tcp6      ::.8.1                 nfs_acl    superuser
-    3    tcp6      ::.8.1                 nfs_acl    superuser
-    2    udp6      ::.8.1                 nfs        superuser
-    3    udp6      ::.8.1                 nfs        superuser
-    4    udp6      ::.8.1                 nfs        superuser
-    2    udp6      ::.8.1                 nfs_acl    superuser
-    3    udp6      ::.8.1                 nfs_acl    superuser
-    1    udp       0.0.0.0.163.78         nlockmgr   superuser
-    3    udp       0.0.0.0.163.78         nlockmgr   superuser
-    4    udp       0.0.0.0.163.78         nlockmgr   superuser
-    1    tcp       0.0.0.0.137.82         nlockmgr   superuser
-    3    tcp       0.0.0.0.137.82         nlockmgr   superuser
-    4    tcp       0.0.0.0.137.82         nlockmgr   superuser
-    1    udp6      ::.175.250             nlockmgr   superuser
-    3    udp6      ::.175.250             nlockmgr   superuser
-    4    udp6      ::.175.250             nlockmgr   superuser
-    1    tcp6      ::.188.197             nlockmgr   superuser
-    3    tcp6      ::.188.197             nlockmgr   superuser
-    4    tcp6      ::.188.197             nlockmgr   superuser
-</code>
-<code>
-[root@centos7 ~]# rpcinfo
-   program version netid     address                service    owner
-    4    tcp6      ::.0.111               portmapper superuser
-    3    tcp6      ::.0.111               portmapper superuser
-    4    udp6      ::.0.111               portmapper superuser
-    3    udp6      ::.0.111               portmapper superuser
-    4    tcp       0.0.0.0.0.111          portmapper superuser
-    3    tcp       0.0.0.0.0.111          portmapper superuser
-    2    tcp       0.0.0.0.0.111          portmapper superuser
-    4    udp       0.0.0.0.0.111          portmapper superuser
-    3    udp       0.0.0.0.0.111          portmapper superuser
-    2    udp       0.0.0.0.0.111          portmapper superuser
-    4    local     /var/run/rpcbind.sock  portmapper superuser
-    3    local     /var/run/rpcbind.sock  portmapper superuser
-    1    udp       0.0.0.0.231.232        status     29
-    1    tcp       0.0.0.0.176.90         status     29
-    1    udp6      ::.168.173             status     29
-    1    tcp6      ::.234.102             status     29
-    1    udp       0.0.0.0.78.80          mountd     superuser
-    1    tcp       0.0.0.0.78.80          mountd     superuser
-    1    udp6      ::.78.80               mountd     superuser
-    1    tcp6      ::.78.80               mountd     superuser
-    2    udp       0.0.0.0.78.80          mountd     superuser
-    2    tcp       0.0.0.0.78.80          mountd     superuser
-    2    udp6      ::.78.80               mountd     superuser
-    2    tcp6      ::.78.80               mountd     superuser
-    3    udp       0.0.0.0.78.80          mountd     superuser
-    3    tcp       0.0.0.0.78.80          mountd     superuser
-    3    udp6      ::.78.80               mountd     superuser
-    3    tcp6      ::.78.80               mountd     superuser
-    3    tcp       0.0.0.0.8.1            nfs        superuser
-    4    tcp       0.0.0.0.8.1            nfs        superuser
-    3    tcp       0.0.0.0.8.1            nfs_acl    superuser
-    3    udp       0.0.0.0.8.1            nfs        superuser
-    4    udp       0.0.0.0.8.1            nfs        superuser
-    3    udp       0.0.0.0.8.1            nfs_acl    superuser
-    3    tcp6      ::.8.1                 nfs        superuser
-    4    tcp6      ::.8.1                 nfs        superuser
-    3    tcp6      ::.8.1                 nfs_acl    superuser
-    3    udp6      ::.8.1                 nfs        superuser
-    4    udp6      ::.8.1                 nfs        superuser
-    3    udp6      ::.8.1                 nfs_acl    superuser
-    1    udp       0.0.0.0.193.97         nlockmgr   superuser
-    3    udp       0.0.0.0.193.97         nlockmgr   superuser
-    4    udp       0.0.0.0.193.97         nlockmgr   superuser
-    1    tcp       0.0.0.0.132.11         nlockmgr   superuser
-    3    tcp       0.0.0.0.132.11         nlockmgr   superuser
-    4    tcp       0.0.0.0.132.11         nlockmgr   superuser
-    1    udp6      ::.151.89              nlockmgr   superuser
-    3    udp6      ::.151.89              nlockmgr   superuser
-    4    udp6      ::.151.89              nlockmgr   superuser
-    1    tcp6      ::.234.241             nlockmgr   superuser
-    3    tcp6      ::.234.241             nlockmgr   superuser
-    4    tcp6      ::.234.241             nlockmgr   superuser
-</code>
-====La Commande nfsstat====
-La Commande **nfsstat** permet de vérifier l'activité sur le serveur NFS :
-<code>
-[root@centos6 ~]# nfsstat
-Server rpc stats:
-calls      badcalls   badauth    badclnt    xdrcall
-         0          0          0          0
-Server nfs v4:
-null         compound
-         4% 48       96%
-Server nfs v4 operations:
-op0-unused   op1-unused   op2-future   access       close        commit
-         0% 0         0% 0         0% 5         4% 0         0% 0         0%
-create       delegpurge   delegreturn  getattr      getfh        link
-         0% 0         0% 0         0% 45       41% 5         4% 0         0%
-lock         lockt        locku        lookup       lookup_root  nverify
-         0% 0         0% 0         0% 3         2% 0         0% 0         0%
-open         openattr     open_conf    open_dgrd    putfh        putpubfh
-         0% 0         0% 0         0% 0         0% 46       42% 0         0%
-putrootfh    read         readdir      readlink     remove       rename
-         1% 0         0% 3         2% 0         0% 0         0% 0         0%
-renew        restorefh    savefh       secinfo      setattr      setcltid
-         0% 0         0% 0         0% 0         0% 0         0% 0         0%
-setcltidconf verify       write        rellockowner bc_ctl       bind_conn
-         0% 0         0% 0         0% 0         0% 0         0% 0         0%
-exchange_id  create_ses   destroy_ses  free_stateid getdirdeleg  getdevinfo
-         0% 0         0% 0         0% 0         0% 0         0% 0         0%
-getdevlist   layoutcommit layoutget    layoutreturn secinfononam sequence
-         0% 0         0% 0         0% 0         0% 0         0% 0         0%
-set_ssv      test_stateid want_deleg   destroy_clid reclaim_comp
-         0% 0         0% 0         0% 0         0% 0         0%
-</code>
-<code>
-[root@centos7 ~]# nfsstat
-Server rpc stats:
-calls      badcalls   badclnt    badauth    xdrcall
-         0          0          0          0
-Server nfs v4:
-null         compound
-         2% 33       97%
-Server nfs v4 operations:
-op0-unused   op1-unused   op2-future   access       close        commit
-         0% 0         0% 0         0% 5         7% 0         0% 0         0%
-create       delegpurge   delegreturn  getattr      getfh        link
-         0% 0         0% 0         0% 22       31% 4         5% 0         0%
-lock         lockt        locku        lookup       lookup_root  nverify
-         0% 0         0% 0         0% 5         7% 0         0% 0         0%
-open         openattr     open_conf    open_dgrd    putfh        putpubfh
-         0% 0         0% 0         0% 0         0% 23       33% 0         0%
-putrootfh    read         readdir      readlink     remove       rename
-         1% 0         0% 0         0% 0         0% 0         0% 0         0%
-renew        restorefh    savefh       secinfo      setattr      setcltid
-         7% 0         0% 0         0% 0         0% 0         0% 2         2%
-setcltidconf verify       write        rellockowner bc_ctl       bind_conn
-         2% 0         0% 0         0% 0         0% 0         0% 0         0%
-exchange_id  create_ses   destroy_ses  free_stateid getdirdeleg  getdevinfo
-         0% 0         0% 0         0% 0         0% 0         0% 0         0%
-getdevlist   layoutcommit layoutget    layoutreturn secinfononam sequence
-         0% 0         0% 0         0% 0         0% 0         0% 0         0%
-set_ssv      test_stateid want_deleg   destroy_clid reclaim_comp
-         0% 0         0% 0         0% 0         0% 0         0%
-</code>
 -----
-<html>
+Copyright © 2022 Hugh Norris.
-<div align="center">
-Copyright © 2021 Hugh Norris.
-</html>

Piste : • DOF600 - Prérequis • RH12401 - Système de Fichiers • SER406 - Sauvegardes et Replication • LCF511 - Gestion des Paramètres du matériel et les Ressources • GP500 - Gérer ses projets avec les méthodes Agile • LRF412 - Validation de la Formation • LCF514 - Validation de la Formation • LCF606 - Gestion des Clones, des Snapshots et des Sauvegardes sous KVM • AWS100 - Amazon Web Services - Mise en œuvre • Red Hat / CentOS 6.6

Différences

Recherche

Imprimer/exporter

Menu