Portfolio
Retour aux projets

Mise en place d'un serveur de sauvegarde externe avec l'outil Restic

2026-02-09
Cisco Firmware Infrastructure Legacy sauvegarde Restic

Ce projet documente toute les étapes menant à la mise en place du serveur externe de sauvegarde, il ne s'agit pas là que d'une documentation mais aussi des échecs rencontrés.

Objectif

L'objectif principal est de mettre en liaison le serveur externe et l'infrastructure réseau sur Opennebula afin de pouvoir sauvegarder les mavchines vrituelles efficacement.

Architecture et Composants

Le projet repose sur une chaîne d'outils spécifiques permettant de communiquer avec un matériel dont les protocoles de sécurité sont dépréciés.

Environnement de Gestion (PC Client)

Rôle : Poste de contrôle pour l'administration du serveur. Composants clés :

  • Navigateur Basilisk : Permet de forcer l'utilisation de protocoles TLS 1.0/SSLv3 rejetés par les navigateurs modernes.
  • Adobe Flash Player (v29.0.0.171) : Indispensable pour l'interface graphique du firmware CIMC d'origine.
  • Java 8 Update 45 (x86) : Version spécifique permettant encore l'exécution de code non signé pour la console KVM.
  • HFS (HTTP File Server) : Simule un serveur distant pour distribuer l'ISO de mise à jour via le réseau.

Stratégie de Mise à Jour (HUU)

Rôle : Utilisation de l'utilitaire "Host Upgrade Utility" de Cisco.

  • Étape Intermédiaire (v2.0) : Passage obligatoire par la version 2.0(13n) pour restructurer le stockage interne sans corrompre le système.
  • Étape Finale (v3.0) : Migration vers la branche 3.0(4s) incluant la mise à jour critique du BIOS.

Média Virtuel (CIMC-Mapped vMedia)

Rôle : Alternative au montage USB physique défaillant.

  • Fonctionnement : Le serveur Cisco monte l'ISO directement depuis l'URL fournie par le logiciel HFS sur le PC de l'administrateur.
  • Avantage : Élimine les erreurs de lecture (Code 906) liées aux ports USB physiques instables sur les anciens châssis.

Configuration et Préparation

Configuration Réseau et Accès Legacy

Le serveur et le PC de gestion doivent être isolés sur un segment réseau dédié pour permettre une communication directe.

  • CIMC IP : 192.168.1.10 (Fixée via le menu F8 au boot).
  • PC IP : 192.168.1.11.
  • Navigateur Basilisk : Configuration via about:config pour abaisser le seuil TLS (security.tls.version.min = 0).

Paramétrage de Java pour la Console KVM

Pour que la console vidéo s'ouvre, Java doit être configuré de manière permissive :

  1. Ajout de l'IP du serveur dans la Exception Site List du panneau Java.
  2. Désactivation de la vérification du Code Mixte (onglet Avancé).
  3. Désactivation de la vérification de révocation des certificats.
  4. Décocher "Enable Video Encryption" dans les paramètres vKVM du CIMC pour stabiliser le flux.

Scénario d'Exécution (Processus de Flash)

Le processus suit un cycle rigoureux pour éviter le "brick" du serveur lors des sauts de version.

Phase 1 : Transition vers la version 2.0

  • Montage de l'ISO 2.0 via HFS.
  • Boot sur le média virtuel (CIMC-Mapped vDVD) configuré dans le BIOS.
  • Exécution de "Update All" dans l'utilitaire HUU.
  • Observation : Le serveur effectue plusieurs cycles d'alimentation. Le CIMC redémarre, provoquant une déconnexion temporaire de l'interface.

Phase 2 : Passage en version 3.0 et BIOS

  • Remplacement de l'ISO dans HFS par la version 3.0(4s).
  • Répétition de la procédure de boot via vMedia.
  • Action critique : Forcer la mise à jour du BIOS si celui-ci est resté en version 1.x.
  • Attente : Le provisionnement du nouveau BIOS peut prendre jusqu'à 10 minutes avec un écran noir. Ne pas forcer le rallumage.

Annexe : Troubleshooting et Analyses

Pourquoi la méthode Java/KVM a échoué ?

Malgré les configurations, la console affiche souvent "Connection failed".

  • Expiration des jetons : Le temps de valider les alertes de sécurité Java dépasse souvent la durée de vie du jeton de session JNLP.
  • Chiffrement obsolète : Le firmware 1.5 utilise des méthodes de chiffrement vidéo incompatibles avec les couches réseau modernes de Windows.

Pourquoi l'USB physique a échoué ?

  • Erreur 906 : Interruption brutale lors du chargement des fichiers de mise à jour.
  • Cause : Instabilités de tension sur les ports USB physiques des anciens châssis M3 lors de transferts de gros volumes (ISO > 2Go).
  • Solution : Utilisation du vMedia via HTTP qui garantit l'intégrité des données via le réseau.

Dictionnaire

  • CIMC (Cisco Integrated Management Controller) : Interface d'administration hors-bande du serveur.
  • HUU (Host Upgrade Utility) : Utilitaire Cisco flashant BIOS, CIMC et firmwares composants.
  • vMedia : Technologie présentant un fichier ISO distant au serveur comme un lecteur local.
  • HFS (HTTP File Server) : Logiciel léger transformant un PC en serveur de fichiers HTTP.
  • Legacy : Systèmes anciens nécessitant des protocoles dépréciés pour fonctionner.
  • Boot Order : Ordre de priorité des périphériques au démarrage du serveur.

Souhaitez-vous que je développe davantage la partie sur la configuration spécifique du BIOS Legacy vs UEFI après la mise à jour 3.0 ?

Informations Générales

  • Modèle : Dell PowerEdge R540
  • Contrôleur RAID : PERC H730P Adapter
  • Stockage Système : 2x SSD 240 Go (RAID-1 / Virtual Disk 0)
  • Stockage Données : 6x HDD 1 To (RAID-5 / Virtual Disk 1 - ~4.6 To)
  • Interface de gestion : iDRAC 9 (Accès Web & Console Virtuelle)

État de Santé Initial (Alertes Critiques)

Avant toute opération, le serveur présentait les erreurs matérielles suivantes via l'iDRAC :

  • SYS275 : Tension VPP PG hors plage sur le processeur (Risque d'instabilité).
  • MEM0001 : Erreur de configuration mémoire (RAM non optimisée ou défaillante).
  • Firmware : BIOS obsolète (v1.6.9) empêchant certaines mises à jour de sécurité.

Sommaire

  1. Maintenance Firmware (Mise à jour BIOS/iDRAC)
  2. Préparation de l'installation Linux
  3. Partitionnement et Gestion du Stockage Hybride
  4. Post-Installation et Sécurisation (Sudo & SSH)
  5. Stratégie de Sauvegarde (WireGuard & Restic)

1. Maintenance Firmware (Mise à jour)

1.1 Tentatives et Échecs

  • Échec via .BIN : Les fichiers binaires téléchargés n'ont pas pu être exécutés directement via l'interface iDRAC standard.
  • Solution préconisée : Utiliser les packages .EXE (Windows 64-bits). Même sous Linux, l'iDRAC extrait lui-même les composants de ces exécutables.

1.2 Ordre de mise à jour critique

Pour corriger les erreurs de tension et de détection RAM, l'ordre suivant est impératif :

  1. Mise à jour du BIOS vers une version intermédiaire (v2.x).
  2. Mise à jour de l'iDRAC vers la version pont 3.30.30.30.

2. Préparation de l'installation Linux

2.1 Choix de la distribution

  • Version : Debian 13 (Trixie) - Image Live GNOME amd64.
  • Méthode : Utilisation du Support Virtuel iDRAC (Mappage d'ISO via réseau) pour éviter l'usage de clés USB physiques.

2.2 Problèmes rencontrés (Console Virtuelle)

  • Latence réseau : Chargement lent de l'image Live.
  • Bugs clavier : Le pavé numérique n'était pas reconnu par la console Java/HTML5.
  • Solution : Utilisation des touches numériques supérieures (au-dessus de AZERTY) et bascule en mode "Partitionnement Assisté" pour éviter la saisie manuelle de tailles.

3. Partitionnement et Gestion du Stockage

3.1 Configuration des disques (RAID Intact)

Nous avons fait le choix de conserver la configuration RAID matérielle existante pour gagner en performance et sécurité.

Disque VirtuelTypePoint de MontageFormat
VD 0 (223 Go)RAID-1 (SSD)/ (Racine) + /boot/efiGPT / EXT4
VD 1 (4.6 To)RAID-5 (HDD)/homeGPT / EXT4

3.2 Points clés du partitionnement GPT

  • Partition EFI : 512 Mo en FAT32, indispensable pour le boot UEFI du PowerEdge.
  • Choix GPT : Obligatoire pour supporter la partition /home de 4.6 To (le MBR est limité à 2 To).

4. Post-Installation et Sécurisation

4.1 Activation de Sudo

Par défaut, Debian ne donne pas les droits sudo au premier utilisateur si un mot de passe root a été défini.

su -
apt update && apt install sudo
usermod -aG sudo <votre_utilisateur>

Reconnexion nécessaire pour appliquer les droits

4.2 Personnalisation de l'environnement

  • Terminal "Black Mode" : Configuration du profil GNOME Terminal pour un contraste élevé (Fond #000000, Texte #FFFFFF).
  • Style Visuel : Activation du "Dark Style" dans les paramètres rapides de GNOME pour harmoniser l'ensemble des applications système.
  • Optimisation Clavier : Configuration de la disposition "French (AZERTY)" pour corriger les erreurs de saisie rencontrées lors de l'installation via la console iDRAC.

5. Stratégie d'accès et Sauvegarde (VPN & Restic)

5.1 Tunnel Sécurisé WireGuard

Plutôt que d'exposer le port SSH (22) directement sur Internet via le routeur, un tunnel VPN a été choisi pour sécuriser les flux de données.

  • Rôle du serveur : Point d'entrée VPN (Peer principal).
  • Port UDP : 51820 (Redirection NAT nécessaire sur la Box).
  • Sécurité : Utilisation de clés asymétriques (Curve25519) pour l'authentification.

5.2 Stockage de Sauvegarde avec Restic

Le serveur R540 est configuré comme un dépôt de sauvegarde immuable grâce à sa grande capacité de stockage.

  • Répertoire de dépôt : /home/sauvegardes/ (situé sur le Virtual Disk 1 de 4.6 To).
  • Fonctionnalités : Déduplication à la source et chiffrement AES-256 des données.
  • Accès Distant : Les clients externes se connectent via l'adresse IP interne du tunnel WireGuard pour envoyer leurs snapshots.

6. Dépannage et Maintenance Matérielle

6.1 Monitoring des erreurs iDRAC sous Linux

Il est impératif de surveiller les erreurs de tension (VPP PG voltage) et de mémoire via le système de fichiers /var/log/. Commande de vérification périodique :

sudo dmesg | grep -iE "voltage|memory|error"