3.2. Pré-requis plate-forme

Les pré-requis suivants sont nécessaires :

3.2.1. Base commune

  • Tous les serveurs hébergeant la solution logicielle VITAM doivent êre synchronisés sur un serveur de temps (protocole NTP, pas de stratum 10)
  • Disposer de la solution de déploiement basée sur ansible

Le déploiement est orchestré depuis un poste ou serveur d’administration ; les pré-requis suivants doivent y être présents :

  • packages nécessaires :
    • ansible (version 2.9 minimale et conseillée ; se référer à la documentation ansible pour la procédure d’installation)
    • openssh-client (client SSH utilisé par ansible)
    • JRE OpenJDK 11 et openssl (du fait de la génération de certificats / stores, l’utilitaire keytool est nécessaire)
  • un accès ssh vers un utilisateur d’administration avec élévation de privilèges vers les droits root, vitam, vitamdb (les comptes vitam et vitamdb sont créés durant le déploiement) sur les serveurs cibles.
  • Le compte utilisé sur le serveur d’administration doit avoir confiance dans les serveurs sur lesquels la solution logicielle VITAM doit être installée (fichier ~/.ssh/known_hosts correctement renseigné)

Note

Se référer à la documentation d’usage pour les procédures de connexion aux machines-cibles depuis le serveur ansible.

Prudence

Les adresses IP des machines sur lesquelles la solution logicielle VITAM sera installée ne doivent pas changer d’adresse IP au cours du temps. En cas de changement d’adresse IP, la plateforme ne pourra plus fonctionner.

Prudence

Aucune version pré-installée de la JRE OpenJDK ne doit être présente sur les machines cibles où sera installé VITAM.

Prudence

La solution VITAM ne tolère qu’une très courte désynchronisation de temps entre les machines (par défaut, 10 secondes). La configuration NTP doit être finement monitorée. Idéalement une synchronisation doit être planifiée chaque 5/10 minutes.

Prudence

Dans le cadre de l’installation des packages « extra », il est nécessaire, pour les partitions hébergeant des containeurs docker (mongo-express, head), qu’elles aient un accès internet (installation du paquet officiel docker, récupération des images).

Prudence

Dans le cadre de l’installation des packages « extra », il est nécessaire, pour les partitions hébergeant le composant ihm-recette, qu’elles aient un accès internet (installation du repository et installation du package git-lfs ; récupération des TNR depuis un dépôt git).

Avertissement

Dans le cas d’une installation du composant vitam-offer en filesystem-hash, il est fortement recommandé d’employer un système de fichiers xfs pour le stockage des données. Se référer au DAT pour connaître la structuration des filesystems dans la solution logicielle VITAM. En cas d’utilisation d’un autre type, s’assurer que le filesystem possède/gère bien l’option user_xattr.

Avertissement

Dans le cas d’une installation du composant vitam-offer en tape-library, il est fortement recommandé d’installer au préalable sur les machines cible associées les paquets pour les commandes mt, mtx et dd. Ces composants doivent également apporter le groupe système tape. Se reporter également à Librairie de cartouches pour offre froide.

3.2.2. PKI

La solution logicielle VITAM nécessite des certificats pour son bon fonctionnement (cf. DAT pour la liste des secrets et Vue d’ensemble de la gestion des certificats pour une vue d’ensemble de leur usage.) La gestion de ces certificats, par le biais d’une ou plusieurs PKI, est à charge de l’équipe d’exploitation. La mise à disposition des certificats et des chaînes de validation CA, placés dans les répertoires de déploiement adéquats, est un pré-requis à tout déploiement en production de la solution logicielle VITAM.

Voir aussi

Veuillez vous référer à la section Vue d’ensemble de la gestion des certificats pour la liste des certificats nécessaires au déploiement de la solution VITAM, ainsi que pour leurs répertoires de déploiement.

3.2.3. Systèmes d’exploitation

Seules deux distributions Linux suivantes sont supportées à ce jour :

  • CentOS 7
  • Debian 10 (buster)

SELinux doit être configuré en mode permissive ou disabled. Toutefois depuis la release R13, la solution logicielle VITAM prend désormais en charge l’activation de SELinux sur le périmètre du composant worker et des processus associés aux griffins (greffons de préservation).

Note

En cas de changement de mode SELinux, redémarrer les machines pour la bonne prise en compte de la modification avant de lancer le déploiement.

Prudence

En cas d’installation initiale, les utilisateurs et groupes systèmes (noms et UID) utilisés par VITAM (et listés dans le DAT) ne doivent pas être présents sur les serveurs cible. Ces comptes sont créés lors de l’installation de VITAM et gérés par VITAM.

3.2.3.1. Déploiement sur environnement CentOS

  • Disposer d’une plate-forme Linux CentOS 7 installée selon la répartition des services souhaités. En particulier, ces serveurs doivent avoir :
    • une configuration de temps synchronisée (ex: en récupérant le temps à un serveur centralisé)
    • Des autorisations de flux conformément aux besoins décrits dans le DAT
    • une configuration des serveurs de noms correcte (cette configuration sera surchargée lors de l’installation)
    • un accès à un dépôt (ou son miroir) CentOS 7 (base et extras) et EPEL 7
  • Disposer des binaires VITAM : paquets RPM de VITAM (vitam-product) ainsi que les paquets d’éditeurs tiers livrés avec VITAM (vitam-external)
  • Disposer, si besoin, des binaires pour l’installation des griffins

3.2.3.2. Déploiement sur environnement Debian

  • Disposer d’une plate-forme Linux Debian « buster » installée selon la répartition des services souhaitée. En particulier, ces serveurs doivent avoir :
    • une configuration de temps synchronisée (ex: en récupérant le temps à un serveur centralisé)
    • Des autorisations de flux conformément aux besoins décrits dans le DAT
    • une configuration des serveurs de noms correcte (cette configuration sera surchargée lors de l’installation)
    • un accès à un dépôt (ou son miroir) Debian (base et extras) et buster-backports
    • un accès internet, car le dépôt docker sera ajouté
  • Disposer des binaires VITAM : paquets deb de VITAM (vitam-product) ainsi que les paquets d’éditeurs tiers livrés avec VITAM (vitam-external)
  • Disposer, si besoin, des binaires pour l’installation des griffins

Avertissement

Pour l’installation des packages mongoDB, il est nécessaire de mettre à disposition le package libcurl3 présent en stretch uniquement (le package libcurl4 sera désinstallé).

Avertissement

Le package curl est installé depuis les dépôts stretch.

3.2.3.3. Présence d’un agent antiviral

Dans le cas de partitions sur lesquelles un agent antiviral est déjà configuré (typiquement, golden image), il est recommandé de positionner une exception sur l’arborescence /vitam et les sous-arborescences, hormis la partition hébergeant le composant ingest-exteral (emploi d’un agent antiviral en prérequis des ingest ; se reporter à Paramétrage de l’antivirus (ingest-external)).

3.2.4. Matériel

Les prérequis matériel sont définis dans le DAT ; à l’heure actuelle, le minimum recommandé pour la solution Vitam est 2 CPUs. Il également est recommandé de prévoir (paramétrage par défaut à l’installation) 512Mo de RAM disponible par composant applicatif VITAM installé sur chaque machine (hors elasticsearch et mongo).

Concernant l’espace disque, à l’heure actuelle, aucun pré-requis n’a été défini ; cependant, sont à prévoir par la suite des espaces de stockage conséquents pour les composants suivants :

  • offer
  • solution de centralisation des logs (cluster elasticsearch de log)
  • workspace
  • worker (temporairement, lors du traitement de chaque fichier à traiter)
  • cluster elasticsearch des données VITAM

L’arborescence associée sur les partitions associées est : /vitam/data/<composant>

3.2.5. Librairie de cartouches pour offre froide

Des prérequis sont à réunir pour utiliser l’offre froide de stockage « tape-library » définie dans le DAT.

  • La librairie de cartouches doit être opérationnelle et chargée en cartouches.
  • La librairie et les lecteurs doivent déjà être disponibles sur la machine devant supporter une instance de ce composant. La commande lsscsi -g peut permettre de vérifier si des périphériques sont détectés.