Proxmox publie un système de miroir hors ligne : proxmox-offline-mirror
Toutes les EIV (Entreprises d’Interêt Vital) ou sociétés pour lesquelles la cybersécurité est critique ont souvent l’obligation d’utiliser des réseaux hors ligne déconnectés de l’Internet.
Dans ce cas d’usage il devient difficile de maintenir à jour une infrastructure d’hyperviseurs sans mettre en danger son infrastructure en la connectant sur Internet.
Il est donc nécessaire de disposer d’une méthode permettant de mettre à jour ses hyperviseurs sans pour autant mettre en danger son infrastructure en la connectant sur Internet.
Jusqu’à présent ces opérations étaient problématiques car Proxmox n’offrait pas de possibilité de synchronisation offline.
Ce problème est désormais résolu grâce à proxmox-offline-mirror.
Qu’est-ce que proxmox-offline-mirror ?
Avec l’outil Proxmox Offline Mirror, les sociétés vont désormais pouvoir gérer un miroir apt local pour toutes les mises à jour de paquets aussi bien pour Proxmox que Debian.
À partir de ce miroir apt local, les sociétés pourront créer un support externe, par exemple une clé USB ou un partage réseau local, permettant de mettre à jour les systèmes qui ne peuvent ou ne doivent pas accéder aux dépôts de paquets directement via Internet. Ces systèmes peuvent être limités par des politiques d’accès à l’Internet public ou être complètement protégés par un air-gap / air-wall.
Avec le système mis au point par Proxmox, il est possible de gérer des abonnements spécifiques pour ces hôtes restreints.
Y-a-t-il des contraintes fonctionnelles ?
Pour utiliser proxmox-offline-mirror, il est nécessaire de disposer d’un serveur de paquet qui s’installe simplement sur un serveur disposant d’un accès internet (uniquement pour son installation initiale !).
Mais pas d’inquiétude : les fichiers Release dans les dépôts sont signés avec GnuPG. APT utilise ces signatures pour vérifier que tous les paquets proviennent bien d’une source fiable (en l’occurrence de Proxmox).
# apt update
# apt install proxmox-offline-mirror
L’avantage est qu’il est ensuite possible d’utiliser des souscriptions spécifiques pour ce type de sytèmes afin de disposer d’un support et d’assurer un maintenance de haut niveau hyper-sécurisée.
Rassembler les ID des serveurs pour les systèmes qui seront configurés avec des clés hors ligne.
Vous trouverez l’ID du serveur dans le panneau de souscription de chaque hôte, ou en utilisant le CLI avec les commandes suivantes :
pvesubscription get
pour Proxmox VEproxmox-backup-manager subscription get
pour Proxmox Backup serverpmgsubscription get
pour Proxmox Mail Gateway
Les clés peuvent ensuite être synchronisées assez simplement avec la commande : proxmox-offline-mirror key add pve2p-12345... ABCDEF0123...
Où commander vos abonnements ?
La société DynFi en tant que partenaire de Proxmox dispose du droit de commercialiser les abonnements / souscriptions pour Proxmox Offline Mirror au même prix que ceux de Proxmox.
N’hésitez pas à nous faire part de vos projets Proxmox Offline en utilisant le formulaire ci-dessous ou appelez nous au numéro figurant en haut à gauche de cet écran.