Windows 10 on Zwindler's Reflection

Installer Microk8s dans WSL 2

Mon, 01 Jun 2020 06:25:00 +0000

Microk8s sur Windows 10

Dans un article que je vais bientôt sortir sur OPA et Gatekeeper, j’ai épuisé mon crédit mensuel et mon cluster AKS s’est éteint… “Qu’à cela ne tienne” me dis-je, “je vais installer Kubernetes dans mon Windows” ! Mais plutôt que de partir sur Microk8s (le titre de l’article, vous l’aurez noté), je suis initialement parti sur Minikube…

Ce n’est pas la première fois que je ~~fais du~~ me prend la tête avec Kubernetes dans un Windows 10, notamment avec Minikube.

Installer Minikube sur Windows 10 et Hyper-V - part 1

Pour rappel, Minikube utilise une VM (bah oui, Docker partage le kernel et j’ai pas envie de faire des containers avec celui de Windows). Par défaut sous Windows, cette VM c’est via Virtual Box.

Et si vous utilisez Hyper-V à côté (au hasard, Docker pour windows) et ben vous aurez un conflit car Windows/Hyper-V interdit les autres logiciels de virtualisation quand il est activé. Me demandez pas pourquoi, c’est comme ça.

Bref, c’est relou.

En fait, les VMs tout court, c’est un peu relou

Des fois, je me demande si je ne me fais pas du mal pour rien…

Mon PC pro est sous Ubuntu, mais à la maison, les habitudes ont la vie dure (je joue un peu sous Windows du coup c’est mon OS)…

Heureusement pour moi, WSL (Windows Subsystem for Linux) a pas mal évolué. Quand je suis sous Windows, j’utilise beaucoup cette fonctionnalité, car, même si c’est effectivement une VM (moins lourde qu’Hyper-V), Microsoft fait beaucoup d’efforts pour que l’expérience utilisateur se rapproche le plus possible d’une machine classique.

Du coup, plutôt que me reprendre la tête avec Hyper-V et VritualBox, je me suis demandé s’il n’était pas possible maintenant de faire tourner Kuberbetes dans WSL2.

Et je ne suis pas le seul à avoir eu l’idée comme on peut le voir dans cette issue Github!

Les solutions disponibles

Pour l’instant, dans Ubuntu, je connais 4 façons de mettre un pseudo Kubernetes sur un PC/laptop de manière “rapide” :

minikube
microk8s (via les snaps)
k3s
kind (que j’ai pas encore testé)

La plus connue (pas forcément le plus simple), c’est minikube. Si vous me suivez sur Twitter, vous aurez vu que pour l’instant j’ai pas encore réussi à le faire marcher, malgré 2 méthodes différentes (driver=none et driver=docker).

(Lien mort, je ne suis plus sur Twitter)

Pourtant, en théorie, c’est possible, car plusieurs témoignages dans l’issue Github et même des articles sur ubuntu.com et kubernetes.io en parlent. J’y reviendrais donc quand je serais plus fâché ;). Mon second plan était donc microk8s, qui est un déploiement de kube proposé par Canonical via les snaps d’Ubuntu. C’est parti pour du fun !

Prérequis

WSL 2

Ici on part du principe que vous venez d’installer un Ubuntu sur votre Windows 10 avec WSL2 et que tout est correctement à jour.

Bon déjà ça commençait mal pour moi… Je pensais être sous WSL2 quand j’ai commencé l’article, mais en fait non…

Au moment de la rédaction de l’article, et comme l’explique cet article Docker in WSL2, WSL2 est disponible avec Windows 10 2004 (20h1). Avant, il n’est pour l’instant accessible que pour les Windows Insiders qui utilisent les versions previews.

Heureusement vous avez de la chance, depuis hier elle commence à être déployée sur tous les Windows 10 et vous allez pouvoir sauter l’étape suivante.

20H1 ou devenir Insider ? (oh la chance)

Si vous n’êtes toujours pas en 20H1, vous pouvez toujours faire comme moi et devenir Insider (bêta tester c’était moins sexy comme terme).

Équipez-vous d’un peu de temps libre et armez-vous de patience, vous en aurez besoin… Il faudra aussi accepter d’envoyer de la télémétrie à Microsoft (n’est pas Insider qui veut…).

On suit donc cet article pour devenir Insider, puis celui-ci pour upgrader de WSL à WSL2.

La modification est assez pénible, demande de redémarrer plusieurs fois et d’aller télécharger soi-même le dernier kernel WSL2 ici.

Migration WSL 1 => WSL 2

La “bonne nouvelle” quand même, c’est qu’il est possible de migrer des OS WSL existants vers la nouvelle version. Si vous avez déjà une machine WSL configurée aux petits oignons, vous pourrez éviter de tout réinstaller.

Dans un Powershell (en tant qu’administrateur), exécutez la commande suivante :

wsl --list --verbose
NAME STATE VERSION
* Ubuntu Running 1

Si comme moi vous êtes en version 1, mettez à jour (et ouais, ça va prendre quelques minutes. Genre, euphémisme…).

wsl --set-version Ubuntu 2
La conversion est en cours. Cette opération peut prendre quelques minutes...
Pour plus d’informations sur les différences de clés avec WSL 2, visitez https://aka.ms/wsl2
#TREEEEES LONGTEMPS plus tard sur mon laptop
La conversion est terminée.
wsl --list --verbose
NAME STATE VERSION
* Ubuntu Stopped 2

Ok, on peut reprendre…

Docker

Même une fois WSL2 installé, si vous essayez d’installer Docker (CE) comme si on était pas dans WSL2, vous n’allez pas rigoler…

sudo systemctl status docker
Failed to connect to bus: No such file or directory

C’est un échec

(Pour ceux qui ne l’ont pas, c’est ici que ça se passe)

On va devoir passer par Docker desktop (ancien Docker for Windows) qui a une option pour installer Docker dans WSL2.

Allez sur cette doc de Docker, qui donne les instructions.

Une fois Docker Desktop installé (n’oubliez pas de cocher la case qui propose d’utiliser WSL2), on vous demandera de vous délogguer de Windows.

Au démarrage de la session, normalement Docker for Windows devrait vous informer qu’il a démarré. On peut vérifier que tout est bien configuré :

On utilise WSL2 comme moteur plutôt qu’hyper-V, fini les conflits avec virtualbox

Vous pouvez retourner dans votre WSL.

Note : normalement ça ne devrait pas être nécessaire, mais si vous comme moi pour une obscure raison, n’avez pas les droits de faire du Docker, il faut ajouter à votre utilisateur WSL le groupe qui va bien.

votreuser@awesomelaptop:~$ sudo usermod -aG docker votreuser
exit

Vérifier que maintenant Docker fonctionne correctement

Relancez WSL2, vous pouvez maintenant utiliser docker.

votreuser@awesomelaptop:~$ docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
votreuser@awesomelaptop:~$ docker container run hello-world
Unable to find image 'hello-world:latest' locally
latest: Pulling from library/hello-world
0e03bdcc26d7: Pull complete
Digest: sha256:6a65f928fb91fcfbc963f7aa6d57c8eeb426ad9a20c7ee045538ef34847f44f1
Status: Downloaded newer image for hello-world:latest
Hello from Docker!

Maintenant qu’on a un Docker qui marche, on va pouvoir essayer de faire marcher Microk8s. Je préviens, il y a pas mal de bidouille, car WSL ne s’appuie pas sur systemd (contrairement à presque toutes les distribs mainstream aujourd’hui).

La procédure détaillée est disponible ici, ainsi que les scripts, dans le post suivant.

sudo apt install -y daemonize dbus-user-session fontconfig

/usr/sbin/start-systemd-namespace
/usr/sbin/enter-systemd-namespace

sudo chmod +x /usr/sbin/enter-systemd-namespace

Ajoutez les lignes suivantes dans les sudoers :

sudo vi /etc/sudoers
Defaults env_keep += WSLPATH
Defaults env_keep += WSLENV
Defaults env_keep += WSL_INTEROP
Defaults env_keep += WSL_DISTRO_NAME
Defaults env_keep += PRE_NAMESPACE_PATH
%sudo ALL=(ALL) NOPASSWD: /usr/sbin/enter-systemd-namespace

Et enfin, lancez la commande suivante pour que le script s’exécute au démarrage de la session :

sudo sed -i 2a"# Start or enter a PID namespace in WSL2\nsource /usr/sbin/start-systemd-namespace\n" /etc/bash.bashrc

Lancez un nouveau WSL2 en parallèle pour voir si ça fonctionne toujours (moi la première fois, j’ai loupé une étape et flingué mon Ubuntu…).

Si ça marche toujours, on passe à l’étape suivante !

DNS dans systemd

A priori, quand on bascule WSL2 vers systemd, on se retrouve avec des petits soucis de DNS. Le plus simple est d’ajouter en dur votre propre DNS ou un DNS qui respecte votre vie privée, du type 9.9.9.9 (quad9).

sudo vi /etc/systemd/resolved.conf
[...]
[Resolve]
DNS=9.9.9.9

Et redémarrez resolved. Si tout fonctionne correctement vous devriez pouvoir faire le apt update sans erreur.

sudo systemctl restart systemd-resolved
sudo apt update

It’s alive !

Et enfin, on tente l’installation de microk8s en lui-même, en croisant tous les doigts à notre disposition.

L’avantage de Microk8s est que la procédure d’installation est très très simple (vous pouvez la retrouver ici)

sudo snap install microk8s --classic --channel=1.18/stable
sudo microk8s status --wait-ready
microk8s is running
addons:
[...]

Dernier point, par défaut vous risquez de ne pas avoir les droits pour faire du microk8s avec votre utilisateur. Pour éviter de faire des sudo` à tout bout de champs, on se les rajoute, comme pour Docker :

sudo usermod -a -G microk8s votreuser
sudo chown -f -R votreuser ~/.kube

Délogguez vous puis rouvrez WSL pour prise en compte de la modification de droits.

microk8s.kubectl get nodes
NAME STATUS ROLES AGE VERSION
awesomelaptop Ready <none> 30m v1.18.2

Conclusion

Bravo ! Vous faites partie des valeureux qui ont maintenant Microk8s dans WSL2.

Sur ce, je vais m’occuper des derniers cheveux qu’il me reste en espérant avoir la même procédure pour minikube dans quelques jours ;)

Installer Minikube sur Windows 10 et Hyper-V – part 1

Wed, 12 Sep 2018 11:45:26 +0000

Minikube sur Hyper-V, c’est facile ?

Un bon moyen de commencer à bidouiller avec Kubernetes, c’est d’utiliser Minikube.

Pour ceux qui ne connaissent pas, il s’agit d’un script qui va récupérer une machine virtuelle préconfigurée avec tous les composants nécessaires à Kubernetes, et l’installer sur votre machine. Ce script est disponible sur Windows, Mac et Linux, et vous trouverez de nombreux tutos pour l’installer via le logiciel de virtualisation Virtual Box (à installer préalablement, en prérequis donc).

Mais admettons que vous ayez commencés à bidouiller avec Docker avec « Docker for Windows ». Quoi de plus normal de passer sur K8s (le petit nom de Kubernetes, plus court) après avoir joué avec Docker.

Et paf ! vous n’arrivez pas à installer, à cause d’un obscur message qui vous parle de Virtual Box (alors que vous ne l’utilisez pas). On coince dès les prérequis, ça commence mal.

Et oui… « Docker for Windows » active Hyper-V… et si Hyper-V est activé, impossible d’installer Virtual Box !

Si la plupart des tutoriels mettent en avant Virtual Box justement (car c’est l’option par défaut), vous n’avez peut être pas envie de désinstaller Docker for Windows pour autant !

Ou peut être que vous n’avez pas envie d’installer Virtual Box alors que votre Windows 10 vous fourni déjà « out of the box » un logiciel de virtualisation parfaitement valide (attention, je dis ça uniquement pour Windows 10, sur un PC client… Pour un serveur, c’est juste une grosse blague cette plateforme de virtu…).

On va quand même s’en sortir

En gros, on est censé dérouler simplement les prérequis : avoir VT-x/AMD-v d’activés dans le BIOS. Là je ne vais pas vous faire l’explication car ça dépend grandement de votre machine.

Ensuite, on ajoute la fonctionnalité Hyper-V sur votre Windows 10. Pour se faire, on ouvre le menu des « fonctionnalités Windows ».

Si ce n’est pas déjà fait cocher « Hyper-V », validez, et on vous demandera très probablement de redémarrer. Attention, à partir de là vous ne pourrez plus utiliser Virtual Box (c’est tout le but de cet article, mais bon) ou VMware player ou autre.

Et enfin, pour éviter des conflits avec Docker pour Windows, on va créer un réseau virtuel dédié dans notre console Hyper-V. Lancer le gestionnaire Hyper-V :

Sur le menu tout à droite, on créé un Commutateur virtuel dédié. Pour réaliser cette opération, on clique sur Gestionnaire de commutateur virtuel, puis dans la fenêtre qui s’ouvre, en haut à gauche dans la liste des Commutateurs virtuels, on clique sur Nouveau commutateur réseau virtuel.

Dans les propriétés, on lui donne un petit nom (minikube par exemple) et on oublie pas de cocher « Réseau externe » (pour utiliser une des cartes physiques comme un bridge) et de cocher ensuite « Autoriser le système d’exploitation de gestion à partager cette carte réseau (surtout si c’est votre seule carte réseau !).

Pour finir, on récupère Minikube ici et on lance la commande suivante depuis un Powershell :

minikube start --vm-driver hyperv --hyperv-virtual-switch "minikube"

Option 1 : « J’ai de la chance »

Si tout se passe bien, tant mieux pour vous !

Vous avez de la chance, tout se passe bien et vous avez Minikube d’installé sur votre poste. C’est la fête, vous allez pouvoir déployer des containers à Gogo !

PS D:\> minikube status
minikube: Running
cluster: Running
kubectl: Correctly Configured: pointing to minikube-vm at 172.16.25.173

Protips : Et maintenant ?

Pour aller plus loin, vous pouvez commencer par jeter un oeil sur mes autres articles qui parlent de Kubernetes, notamment le tutoriel pas à pas où j’explique comment déployer une application complète et Statefull sur Kubernetes.

Mais voici quelques protips supplémentaires spécialement dédiées aux spécificités de minikube.

Les Ingress !

Pour le fun, on va certainement vouloir ajouter le support des Ingress (pas activés par défaut) :

PS D:\> minikube addons enable ingress
ingress was successfully enabled

Accéder au dashboard

On peut accéder au Dashboard (l’interface web qui permet de contrôler k8s sans passer par kubectl ou les API) n’est pas directement accessible avec un kubectl proxy comme sur un Kubernetes standard.

Elle est cependant bien disponible sans ajout supplémentaire, à l’aide de la commande suivante :

minikube dashboard

Se loguer sur la machine virtuelle K8s

Si pour une raison ou pour une autre, vous voulez vous connecter en SSH sur la VM qui contient votre environnement Kubernetes, c’est possible ! Récupérez l’IP affectée à la VM (afficher avec un minikube status ou un kubectl config view).

Il existe un user « docker » avec pour mot de passe « tcuser » (mot de passe ultrasecure, s’il en est). A noter, ce compte à un accès sudo à la machine en NOPASSWD.

Ca peut être utile par exemple pour vérifier que les Adminission Controllers sont bien actifs (on en aura besoin dans un prochain article)

ps -ef | grep api
kube-apiserver --admission-control=Initializers,NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,NodeRestriction,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,ResourceQuota --requestheader-allowed-names=front-proxy-client --service-account-key-file=/var/lib/localkube/certs/sa.pub --tls-private-key-file=/var/lib/localkube/certs/apiserver.key --kubelet-client-key=/var/lib/localkube/certs/apiserver-kubelet-client.key --proxy-client-cert-file=/var/lib/localkube/certs/front-proxy-client.crt --requestheader-group-headers=X-Remote-Group --enable-bootstrap-token-auth=true --allow-privileged=true --requestheader-username-headers=X-Remote-User --requestheader-extra-headers-prefix=X-Remote-Extra- --client-ca-file=/var/lib/localkube/certs/ca.crt --proxy-client-key-file=/var/lib/localkube/certs/front-proxy-client.key --insecure-port=0 --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname --advertise-address=172.16.25.173 --service-cluster-ip-range=10.96.0.0/12 --tls-cert-file=/var/lib/localkube/certs/apiserver.crt --kubelet-client-certificate=/var/lib/localkube/certs/apiserver-kubelet-client.crt --requestheader-client-ca-file=/var/lib/localkube/certs/front-proxy-ca.crt --secure-port=8443 --authorization-mode=Node,RBAC --etcd-servers=https://127.0.0.1:2379 --etcd-cafile=/var/lib/localkube/certs/etcd/ca.crt --etcd-certfile=/var/lib/localkube/certs/apiserver-etcd-client.crt --etcd-keyfile=/var/lib/localkube/certs/apiserver-etcd-client.key

kubectl api-versions | findstr "admissionregistration.k8s.io/v1beta1"
admissionregistration.k8s.io/v1beta1

Option 2

Rien ne marche !

Et pour être parfaitement honnête, c’est ce qui m’est arrivé ! Du coup, je vous prépare un nouvel article avec toutes les astuces de troubleshooting. La suite - dans le prochain épisode, donc ;-)

Sources

[Tutoriel] Migrer vers Windows 10 en dehors de votre réseau d’entreprise

Thu, 30 Jun 2016 11:00:38 +0000

Mise à jour Windows 10 pour les pro, ok, mais si je suis hors de mon réseau d’entreprise ?

Maintenant que vous savez maintenant que vous pouvez profiter de la mise à jour gratuite de Windows Home ou Professionnel même si vous êtes une entreprise, vous allez peut être prendre votre portable et le ramener à la maison pour faire la mise à jour.

Mise à jour Windows 10 pour les professionnels : gratuit ou payant ?

C’est d’ailleurs ce que j’ai fais. Cependant, ça n’a pas marché du premier coup. C’est pourquoi je me propose de vous guider avec ce petit tutoriel pas à pas.

Mais si ! Vous savez ? Cette notification pour vous poussez à mettre à jour vers Windows 10 qui reste en bas de l’icône. Difficile (pas impossible) à bloquer. Bon bah ok, d’accord je met à jour, laisse moi tranquille maintenant…

OK, cool

Ça a l’air de marcher

Et hop, on vous renvoie vers Windows Update

Et là c’est le drame … Code 8024402C m’voyez ?

Mais comme je suis hors de mon réseau d’entreprise, je ne peux pas passer les mises à jour car je ne peux pas contacter mon serveur WSUS…

Seconde erreur : je vais cliquer sur « Mettre à niveau maintenant » sur le site de Microsoft

Qu’à cela ne tienne… Je vais sur le site de Microsoft et je télécharge le binaire de mise à jour ! Ahah !

So far, so good

Re-drame. Ce PC est joint à un domaine m’voyez ?

Microsoft a bloqué intentionnellement la mise à jour de Windows 10 depuis le poste de travail d’un utilisateur d’un PC intégré à un domaine Windows.

Dans la pratique, on peut « contourner » cette limitation en sortant la machine du domaine (nécessite que l’utilisateur soit administrateur du PC) et demande ensuite à sont administrateur préféré de réintégrer sa machine une fois la mise à jour passée. Mais il y a plus simple ;-)

La bonne méthode : faire semblant de créer un média

Sur la même page web que celle où vous avez trouvé le binaire de mise à jour, il y a une deuxième section, dans laquelle on vous propose de télécharger l’outil de création de média.

Et en fait, on peut feinter en utilisant cet outil pour réaliser la migration, sans pour autant réellement créer un média.

Choisir « Mettre à niveau ce PC maintenant permettra » de sauter l’étape de création de média et mettre à jour votre machine. L’autre option permet de créer un média bootable qui vous permettra éventuellement de passer la mise à jour sur plusieurs machines.

A partir de là, Windows télécharge l’image…

… et créé un média bootable

Dernier petit point de blocage potentiel !

Certaines applications (comme HP Client Security Manager, qui gère mes mots de passe et surtout mon lecteur d’empreintes pour l’authentification) peuvent ne pas être compatibles Windows 10. Il faudra les désinstaller (et potentiellement rebooter et tout recommencer car l’application devra RE-télécharger l’image) pour pouvoir continuer.

Et c’est partiiiiii !

Mise à jour Windows 10 pour les professionnels : gratuit ou payant ?

Thu, 23 Jun 2016 11:30:06 +0000

A l’approche de la fin du compte à rebours (prévue pour le 29 juillet 2016) de la promotion de Microsoft pour Windows 10 qui permet aux propriétaires de licences Windows 7 et Windows 8, la question est relancée :

Est ce que seuls les particuliers sont concernés par la promotions Windows 10 ou est ce que les professionnels peuvent aussi en profiter ?

L’origine

Revenons un peu en arrière.

Fin janvier 2015, c’est l’effervescence. Microsoft vient d’annoncer à la surprise générale que les possesseurs de licences Windows à partir de la version 7 auraient droit à une mise à jour gratuite pendant un an de leur système vers Windows 10.

Rétrospectivement, c’est assez malin de la part de Microsoft, après une mort de Windows XP dans la douleur, entre autre provoquée par un Vista détesté qui a fait camper beaucoup d’utilisateurs (et de professionnels) sur leurs positions. La décision est saluée et tout le monde a hâte (sauf les libristes).

Mais rapidement, des questions existentielles secouent la bloguosphère, la twittosphère, … : Dans quel conditions ? Est ce que les licences « pirates » seront concernées ? Et Windows phone ? Et Windows RT ?

Et les pro ???

C’est la panique, tout le monde informatique ne parle plus que de ça ;-).

La confusion

Rapidement, Microsoft met les points sur les I. Les versions concernées sont Windows 7 Home et Pro et Windows 8.1 Home et Pro. Les détenteurs de Windows 8 devront migrer préalablement vers Windows 8.1. Toutes les autres licences ne sont pas concernées : RT, Mediacenter et donc … Entreprise.

Deuxième vent de panique. Le plutôt sérieux Monde Informatique (loin d’être une exception) titre alors Windows 10 ne sera pas gratuit pour les entreprises 11111!!!!1!!

On y lit même

Pour les entreprises en revanche, c’est la douche froide. Ou tout du moins un dur retour à la réalité. Car la firme de Redmond a fait savoir dans un blog daté de vendredi que la gratuité de la mise à jour vers Windows 10 ne sera pas de la partie.

Ça me fait encore rire.

Pour autant, Le Monde Informatique et tous les autres n’ont pas écrit d’erreurs à proprement parler (ou alors ils l’ont corrigé). Le version Entreprise des OS Windows (tout comme RT) ne seront bien pas gratuitement mises à jour.

Cependant, il faut savoir que ces versions Entreprise, spéciales, sont bien à distinguer des versions Home et Pro qui sont livrées avec nos PC. Ces versions sont souvent acquises par les très grands groupes, notamment dans le cadre d’une souscription « Software assurance ». Une rente annuelle pour Microsoft que vous payez au volume et qui vous donne bien évidemment le droit d’accéder aux nouvelles versions lorsqu’elles sortent.

Et donc ?

Ainsi, les personnes ayant acquis des Windows 7 ou 8 Entreprise payent donc probablement de manière annuelle un volume de licence. Si leurs cotisations sont à jour elles peuvent donc gratuitement mettre à jour leur parc vers les nouvelles versions de Windows et donc vers Windows 10, puisque c’est inclus dans leur contrat. C’est pareil pour l’ensemble des logiciels édités par Microsoft, dont les Windows Server par exemple.

Pour les autres, que ce soient des particuliers, des PME ou même de plus grosses entreprises, qui ont des licences Windows Home ou Pro, soit acquises séparément du terminal, soit achetée avec, la promotion est bien applicable (tant que vous migrez avant la fin du compte à rebours bien sûr !).

Amis professionnels, vous pouvez donc vous rassurer et faire la mise à jour vers Windows 10 gratuitement si vous le souhaitez sans vous mettre hors la loi ;-).

Quelques lectures complémentaires pour vous rassurer :

Windows 2012 : reboot forcé des serveurs sans que vous ne puissiez rien n’y faire

Thu, 05 May 2016 11:30:06 +0000

Windows et les reboots, c’est un peu une histoire d’amour.

Hop hop hop : je vous entend déjà râler et dire

Ah ça c’est bien une réflexion de gars qui n’y connait rien !

Vous aurez raison, je n’y connais rien. Pour autant, dans tous les contextes professionnels que j’ai pu voir jusqu’à présent, il doit y avoir un sacré paquet de gens qui n’y connaissent rien car on m’a souvent dit (je parle bien d’admins windows) « ah ouais ok mais bon un petit reboot ça fait jamais de mal » comme solution à tous les symptômes possibles et imaginables. Et le pire, c’est que ça marche !

Culture du reboot

Là où je veux en venir c’est que la culture du reboot, à tort ou à raison, est quand même fortement ancrée dans la culture Windows, même dans l’environnement serveur.

Dans le doute, reboot. Si ça rate, reformate. - Devise des admins Windows dans un open space d’une grande ESN Française

De quoi je parle :

Vous avez un bug? Vous rebootez.
Vous voulez installer un composant Windows supplémentaire ? Vous rebootez.
Vous installez un progiciel un peu costaud ? Vous rebootez.

Mettre à jour automatiquement les serveurs Windows, comme tous les OS est une bonne pratique. Et il n’est pas rare que l’application de cette mise à jour nécessite un reboot.

Jusque là (contrairement aux 3 précédents exemples), rien de choquant : sous Unix/Linux c’était le cas aussi (au moins jusqu’à ce que le Kernel Linux 4 ne permette les MAJ du Kernel à chaud).

Là où ça l’est moins, c’est quand, au bout d’un certain l’OS Windows vous incite fortement à faire le reboot avec de bonne grosse popup sur l’écran.

Jusqu’aux dernières versions vous pouviez encore vous en sortir avec des bidouilles car dans certains cas il peut être intéressant de savoir bloquer ce comportement par défaut (temporairement par exemple).

Toujours plus

Mais avec Windows 2012, Microsoft est allé un cran plus loin.

What ? Wait … Nooooooo !

Donc depuis Windows 8/2012, lorsque les mises à jours sont téléchargées, le système provoque parfois un reboot forcé du serveur avec un compte à rebours de 15 minutes si un administration ouvre une session.

Je sais pas vous, mais généralement lorsque j’ouvre une session sur un serveur, c’est parce que j’ai besoin de faire une opération sur le serveur en question… non ?

Dans les version précédentes, on pouvait encore annuler le redémarrage avec une commande

shutdown -a

Et bien maintenant, ça ne marche plus. Vous n’aurez pas de message d’erreur, la commande rendra bien la main. Vous penserez peut être que tout va bien.

Pourtant, 5 minutes plus tard, vous recevrez un message qui vous proposera deux choses : redémarrer tout de suite ou lorsque le compteur atteindra 0.

Qu’est ce qui se passe vraiment ?

Certaines mises à jours critiques se téléchargent et s’installent par défaut (si vous avez des stratégies de groupes et/ou un serveur WSUS, les choses peuvent être un peu différentes bien entendu. Ici c’est le cas standard).

A partir de là, l’administrateur est « notifié » dans sa session qu’il va devoir penser à faire un reboot pour prise en compte. Bon, si comme moi il ne s’y connecte jamais, il ne sera pas plus au courant que cela, mais passons.

A bout de 3 jours, l’OS décidera alors de la planification d’un reboot lors de la prochaine plage de maintenance, qui sera fait s_‘il n’y a pas de risques de données_. En gros, si vous avez une session ouverte et/ou une application qui tourne.

On va faire confiance à Microsoft et dire que ça fonctionne bien. Parce que si ça ne fonctionne pas bien, votre serveur d’application ou votre base de données … dommage ?

Admettons donc que l’OS estime que vous êtes en cours d’utilisation de votre serveur. Pour ne pas vous pénaliser et corrompre vos données, le reboot est reporté … au prochain login d’un administrateur !

Dès que vous vous connecterez, vous avez 15 minutes pour couper proprement vos applications, sans possibilité de couper l’échéance fatidique.

Bon. Si vous en êtes là et que vous êtes désespérés parce que Windows est sur le point de se faire hara kiri, que ça couper votre production et que les utilisateurs vont vous attendre à la sortie avec des piques, a priori il n’y a plus d’espoir (sauf si une solution est sortie depuis la rédaction de cet article mais vous allez voir en fin d’article que c’est un choix assumé par Microsoft).

Pour la prochaine fois donc, voilà deux astuces pour éviter ces comportements via des modifications de clés dans le registre.

Les mises à jours critiques qui s’installent provoquent la planification automatique d’un reboot

Ouvrir regedit en mode administrateur, puis naviguer jusqu’à **HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate**.

Créer la clé (dossier) avec pour nom AU si nécessaire, puis une clé de type DWORD à l’intérieur de cette clé avec comme nom AlwaysAutoRebootAtScheduledTime et comme valeur **** (ou 1 pour forcer le redémarrage).

Lorsqu’un administrateur se connecte, le compte à rebours se déclenche

Ouvrez regedit en mode administrateur, puis naviguer jusqu’à là clé suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\

Créer la clé (dossier) avec pour nom AU (si nécessaire, i.e. si elle n’existe pas), puis une clé de type DWORD à l’intérieur de cette clé avec comme nom NoAutoRebootWithLoggedOnUsers avec pour valeur 1 (ou 0 si vous voulez au contraire ce comportement).

Les mots de la fin

Petite note complémentaire, il faut avoir installé le KB 2822241 pour que cela fonctionne.

Pour plus d’information, le KB de Microsoft sur le sujet

Et aussi un article sur le blog MSDN

J’ai beaucoup ri en lisant cette phrase, censé aider à faire passer la pilule des reboots automatiques forcés (pour mettre à jour le code vulnérable en mémoire et corriger les failles le plus vite possible) :

We know this architectural challenge is one that frustrates administrators and end-users alike, but it does represent the state of the art for Windows.

Et ça aussi, a propos du fait que WU ne gère que les mises à jours relatives à Windows et aux pilotes (contrairement à un gestionnaire de paquets sous Unix) :

Lastly but not the least, I want to address the feedback from users who would like WU to update their 3rd-party applications. […] People would like one updater for the entire system.
On the other hand, users have also told us that they trust the quality of updates distributed by WU […]
We would not want to do anything that might reduce trust in the system by encouraging people to take on this management task manually and exposing their PCs to potential vulnerabilities for even short times.

Sur ce, have fun ;-)

Windows 10 on Zwindler's Reflection

Installer Microk8s dans WSL 2

Microk8s sur Windows 10

En fait, les VMs tout court, c’est un peu relou

Les solutions disponibles

Prérequis

WSL 2

20H1 ou devenir Insider ? (oh la chance)

Migration WSL 1 => WSL 2

Docker

Vérifier que maintenant Docker fonctionne correctement

DNS dans systemd

It’s alive !

Conclusion

Installer Minikube sur Windows 10 et Hyper-V – part 1

Minikube sur Hyper-V, c’est facile ?

On va quand même s’en sortir

Option 1 : « J’ai de la chance »

Protips : Et maintenant ?

Les Ingress !

Accéder au dashboard

Se loguer sur la machine virtuelle K8s

Option 2

Sources

[Tutoriel] Migrer vers Windows 10 en dehors de votre réseau d’entreprise

Mise à jour Windows 10 pour les pro, ok, mais si je suis hors de mon réseau d’entreprise ?

Première erreur : je tente de mettre à jour depuis la popup « Obtenir Windows 10 »

Seconde erreur : je vais cliquer sur « Mettre à niveau maintenant » sur le site de Microsoft

La bonne méthode : faire semblant de créer un média

Mise à jour Windows 10 pour les professionnels : gratuit ou payant ?

L’origine

La confusion

Et donc ?

Windows 2012 : reboot forcé des serveurs sans que vous ne puissiez rien n’y faire

Culture du reboot

Toujours plus

Qu’est ce qui se passe vraiment ?

Les mises à jours critiques qui s’installent provoquent la planification automatique d’un reboot

Lorsqu’un administrateur se connecte, le compte à rebours se déclenche

Les mots de la fin