Leseprobe - IT-Administrator
Transcrição
Leseprobe - IT-Administrator
IT-ADMINISTRATOR.DE Titel_Leseprobe_ITA_Default 11.01.2012 15:40 Seite 3 IT-Administrator 2010 / 2011 – Auszüge als Leseprobe Im Test Leseprobe Vizioncore vFoglight Pro 6.0 Im Test Dot Hill AssuredSAN 3.000-Serie Workshop Speicher-Management mit vSphere 4.0 Workshop Sicherheit bei der Servervirtualisierung Workshop Sicherheit bei Kernel-basierter Virtualisierung unter Linux S06-11_ITA_0112_A01_1und1_ok_ITA_Default 20.12.2011 17:02 Seite 3 AKTUELL I News +++TICKER+++TICKER+++TICKER+++ Sensible Daten angetreten! Nogacom veröffentlicht Version 3.8 von NogaLogic, seiner Software zur Datenklassifizierung. Die Neuerungen des aktuellen Release beziehen sich vor allem auf die Identifizierung sensibler Daten. Dazu hat der Hersteller sein Werkzeug mit einem Dashboard ausgestattet, das einen Snapshot über den Zustand und die Beschaffenheit von sensiblen Daten liefert und Auskunft über Informationen erteilt, die Um sensible Daten zu schützen, gilt es, diese überhaupt erst einmal zu identifizieren. NogaLogic 3.8 widmet sich dieser Aufgabe. möglicherweise ungeschützt sind. Zudem zeigt es, in welchen Repositories sensible Daten gespeichert sind. Der Nutzer soll so erkennen können, ob es sich dabei um ungeeignete oder ungeschützte Speicherorte handelt. Mit neuen Report-Features will der Hersteller einen noch höheren Detaillierungsgrad innerhalb der sensiblen Daten liefern. Dies schließt Reporte ein, die Auskunft geben über ungeeignete Berechtigungen auf sensible Daten, detaillierte Informationen zur Verbreitung von sensiblen Daten via E-Mail innerhalb der Unternehmens oder nach außen,Versionen und Kopien von sensiblen Dokumenten und ebenso über Teile von sensiblen Inhalten, die in andere Dokumente kopiert wurden. Policy Management-Funktionen sollen es schließlich ermöglichen, sensible Informationen einfach zu verschieben, zu kopieren und zu markieren. Die Lizenzkosten für NogaLogic beginnen bei rund 35.500 Euro. Dieses Paket beinhaltet drei Konnektoren (Active Directory, Filesystem, ODBC) und eignet sich für eine Million Dokumente. (ln) Nogacom: www.nogacom.com Die Harten für den Garten Von ZyXEL kommt mit Modell NWA3550-N ein neuer Access Point nach N-Standard für den Einsatz im Außenbereich. Bei dem Gerät handelt es sich um einen Access Point mit 2T2R MIMO-Technologie. Es verfügt über vier NType Antennenanschlüsse und eine GBitSchnittstelle und lässt sich wahlweise als AP-Controller, Managed AP und Standalone AP betreiben. Der Zugriffspunkt funkt mit einer Brutto-Datenrate von 300 MBit/s und ist aufgrund der Zertifizierung EN 60601-1-2 für den Einsatz in medizinischen Umgebungen geeignet. Das Outdoor-Gehäuse ist gegen Strahl- und Spritzwasser geschützt, arbeitet in einem erweiterten Temperaturbereich von -40 °C bis +60 °C und besteht aus schwer entflammbarem und halogenfreiem Material. Die Verwaltung erfolgt über eine grafische Managementschnittstelle. Backup-Redundanz und sichere Tunnels zwischen Controller und managed Access Point will der Hersteller integriert haben, so dass jederzeit abhörsichere Verbindungen möglich sind. Das Gerät verfügt zudem über einen in- www.it-administrator.de tegrierten RADIUS-Server, der den Einsatz eines Stand Alone RADIUS-Servers überflüssig macht. Die Stromversorgung der Netzwerkkomponente kann je nach Bedarf und Einsatzort auch über Power over Ethernet nach IEEE 802.at erfolgen. Der Access Point ist ab sofort zum Preis von rund 610 Euro erhältlich. (ln) ZyXEL: www.zyxel.com/de Belkin stellt den WLAN-Travel Router GO N300 DB vor. Das kompakte Dual-Band-Gerät verwandelt Internetanschlüsse wie in Hotels in einen WLAN-Hotspot, über den mehrere Geräte gleichzeitig auf das Internet zugreifen können. Seinen Strom bezieht der Mini-Access Point über USB und kommt damit ohne separates Netzteil aus. Der Datendurchsatz soll bei 150 MBit/s auf beiden Funkbändern mit 2,4 und 5 GHz liegen, während die Kommunikation dank WPA2 vor Lauschern geschützt ist. Für rund 50 Euro ist der Access Point zu haben. (dr) www.belkin.de Sourcefire erweitert sein Produkt-Portfolio um die Next-Generation Firewall (NGFW). Die Appliance-Serie basiert auf dem IPS des Herstellers und nutzt die FirePOWER-Plattform. Die Firewalls sollen unter anderem sinnvolle Policy-Empfehlungen und automatische Anpassungen an die Sicherheitsbedürfnisse der Kunden in Echtzeit bieten. Das Modell 3D8140 NGFW beispielsweise setzt dabei 10 GBit/s an Firewall-Traffic durch und ist für 155.000 US-Dollar zu haben. Im ersten Halbjahr 2012 will der Hersteller dann auch Modelle für kleinere Umgebungen anbieten. (dr) www.sourcefire.com Cortado veröffentlicht Version 8.6 seiner Druck-Software ThinPrint RDP Engine. Das neue Release unterstützt Finishing-Optionen von Druckern wie etwa Lochen, Heften und Binden und soll mit dem Feature SpeedCache die Druckausgabe beschleunigen. Dies gelingt, indem Bildelemente, die sich in einem Druckjob wiederholen, nicht für jede Seite neu zum Ausgabegerät übermittelt werden. Außerdem ermöglicht die Lösung mobiles Cloud Printing direkt aus einer Session heraus. Dies sieht konkret so aus, dass der Anwender sich in der Session befindet, sein Dokument in die Cloud druckt und anschließend die Ausgabe an einem beliebigen Drucker startet, der sich in einem WLAN etwa im Hotel oder Besprechungsraum befindet. Voraussetzung ist ein Cortado-Workplace- oder Cortado-Corporate-Server-Account. Die RDP Engine ist ab 950 Euro erhältlich. (ln) www.thinprint.de Jaspersoft bringt mit Jaspersoft 4.5 eine neue Version seiner Software zur Analyse großer Datenmengen auf den Markt. Bestandteil der Lösung sind diverse neue Funktionen. So kann der Nutzer in wenigen Schritten Drag & DropAnalysen und Berichte für große Datenmengen jeglicher Art (zum Beispiel aus Apache Hadoop-, NoSQL- und Analysedatenbanken) erstellen. Zu den Features des aktuellen Release zählen außerdem eine erweiterte Analyse-Benutzeroberfläche, eine verbesserte In-Memory-Engine mit intelligenter Push-Down-Abfrage für gesteigerte Performance sowie nativer Zugriff ohne lange Latenzzeiten auf nicht-relationale Daten. Eine optimierte Excel-Ausgabe und erweiterte REST-APIs runden das Funktionsangebot von Jaspersoft 4.5 ab, das ab 4.000 Euro erhältlich ist. (ln) Mit dem NWA3550-N rundet ZyXEL sein Portfolio um einen Access Point für den Einsatz im Freien ab www.jaspersoft.com/de Januar 2012 7 S10-15_ITA_0810_T02_WorkshopAug_WorkshopSept.qxp 22.07.2010 14:38 Seite 2 P R O D U K T E I Te s t Im Test: Vizioncore vFoglight Pro 6.0 Licht im virtuellen Nebel von Jürgen Heyer Umgebungen mit hundert und mehr virtuellen Maschinen unter VMware Virtual Center sind heutzutage keine Seltenheit mehr. Mit der zunehmenden Größe wird es jedoch immer schwieriger, das Zusammenspiel aller Systeme mit der gemeinsamen Nutzung der verfügbaren Ressourcen zu überwachen. Hilfreich ist dann ein Tool wie vFoglight von Vizioncore, um schleichende Lastzunahmen oder auch ein ungewöhnliches Verhalten einzelner Gastsysteme rechtzeitig zu erkennen. Wie gut das funktioniert, wollte IT-Administrator genauer wissen. in Ende des Wachstums der virtuellen Umgebungen in den Unternehmen ist nicht in Sicht.Viele Firmen betreiben mittlerweile auch schon mehr als eine Virtualisierungsfarm.Wer auf den Marktführer VMware setzt, hat in einer produktiven Umgebung meist VMware Virtual Center (vCenter) im Einsatz. vCenter ermöglicht eine Lastverteilung und meldet auftretende Probleme sowie Performanceengpässe.Allerdings reichen die von vCenter gelieferten Informationen nicht aus, um beispielsweise bei einem auftretenden Engpass sicher zu erkennen, ob es sich um ein generelles Problem durch das Anlegen zu vieler VMs handelt, ob eine allgemeine Lastzunahme dafür verantwortlich ist oder ein Gastsystem allein der Verursacher ist und warum.Vor allem unterstützt vCenter den Administrator nicht bei der Analyse durch zusammenhängende Informationen, da es nicht in ein Gastsystem hineinsehen kann. Auch die VMwareBoardmittel stoßen beim Betrieb mehrerer vCenter schnell an Grenzen. Jedes vCenter ist dann vom Administrator als Insel getrennt zu betrachten. E Hier setzt vFoglight Pro 6.0 an und bietet eine übergreifende Leistungs- und Zustandsüberwachung auch über mehrere vCenter hinweg. Durch einen Blick auf die Dienste in einer VM ist es möglich, den Grund und die Auswirkungen auf den 10 August 2010 Ressourcenverbrauch schneller zu erkennen.Außerdem hilft es bei der Erkennung wenig genutzter Ressourcen; drohende Engpässe werden durch Trendanalysen früher sichtbar. Weiterhin erlaubt vFoglight eine Kapazitätsplanung für Erweiterungen sowie geplante Migrationen und macht die Kosten transparent. vFoglight ist ein Ableger des für den Enterprise-Einsatz konzipierten Applikationsüberwachungstools Foglight. Dieses wurde von der Softwareschmiede Quest, zu der Vizioncore gehört, entwickelt. vFoglight besteht letztendlich aus dem Foglight-Kernmodul inklusive einer Virtualisierungserweiterung. vFoglight-Anwender können durch zusätzliche Erweiterungen, Cartridges genannt, das Produkt zu Foglight aufrüsten. Ebenso kann ein Unternehmen, das Foglight nutzt, durch die Ergänzung mit den VirtualisierungsCartrigdes auch seine virtuellen Umgebungen überwachen. Bei der Installation kommt es auf den richtigen Agenten an Für den Test installierten wir den vFoglight Pro 6.0 Management-Server auf einem eigenständigen Windows 2008 Server. Der Management-Server kann im sogenannten Stand-alone-Modus arbeiten, weiterhin im Hochverfügbarkeitsmodus, was eine externe Datenbank voraussetzt, sowie als Windows-Dienst, was wir in un- serer Testumgebung nutzten. vFoglight kommt mit einer integrierten MySQLDatenbank, unterstützt aber auch als externe Datenbank MySQL, Oracle und MS SQL Server 2003/2008. Bei einer externen Datenbank kann diese auf einem Server unter Windows 2003/2008 Server, Red Hat Enterprise Linux 5.3, IBM AIX 5.3, HP-UX 11i v2 oder Solaris 10 laufen. Unbedingt zu beachten sind die allgemeinen Hardwareanforderungen (Kasten “Systemvoraussetzungen”), die in einer 64-Bit-Umgebung einen aktuellen Hochleistungsserver voraussetzen. In einer Multi-Tier-Umgebung mit getrennter Datenbank sollten der Management-Server mindestens 8 GByte und der DatenbankServer 6 GByte RAM besitzen. Management-Server mit 64 Bit-Betriebssystem: Quadcore-Prozessor 2,4 GHz, 12 GByte RAM, 120 GByte Plattenkapazität auf schnellen Festplatten (10.000 U/min). Management-Server mit 32 BitBetriebssystem: Quadcore-Prozessor, 4 GByte RAM, 120 GByte Plattenkapazität auf schnellen Festplatten (10.000 U/min). Betriebssystem Windows 2003/2008 Server, SLES 9/10, Oracle Unbreakable Linux 5, RHEL 4/5/5.3 oder Solaris 9/10. Der Agent Manager auf überwachten Maschinen verursacht durchschnittlich 4,8 Prozent CPU-Last und benötigt durchschnittlich 180 MByte Plattenkapazität. Systemvoraussetzungen www.it-administrator.de S10-15_ITA_0810_T02_WorkshopAug_WorkshopSept.qxp 22.07.2010 14:38 Seite 3 P R O D U K T E I Te s t gewünschten VMs installieren, damit wir aus vFoglight heraus die eigentlichen Agenten verteilen konnten. Eindrucksvolle Visualisierung Bild 1: Mit unterschiedlichen Ansichten visualisiert vFoglight den aktuellen Zustand der virtuellen Umgebungen recht eindrucksvoll Bei der Installation wird ein Web-Server mit eingerichtet, da die Konsole als Java-Programm im Browser läuft. Hier fällt auf, dass der Monitor mindestens 20 Zoll groß sein sollte, bei der von uns genutzten Auflösung mit 1.920 x 1.080 Punkten reichte diese in der Höhe noch nicht aus, um den Gesamtüberblick auf der Willkommens-Seite ohne Schiebebalken darzustellen. Als Testumgebung diente uns ein Virtual Center vSphere 4.0 auf einem weiteren Windows 2008 Server. Das vCenter wiederum griff auf einen ESX4i-Server zu, auf dem mehrere VMs liefen. Mit der neuen Version 6.0 hat sich das Agentenkonzept geändert,Vizioncore spricht hier von der Middleware. Auf jedem auch intern zu überwachenden Client, also auch auf den VMs, ist der so genannte “Agent Manager” zu installieren. Der Agent Manager übernimmt die Kommunikation mit dem Management-Server und ist quasi ein Schirm für die diversen Agenten, die auf den Clients benötigt werden, um unterschiedliche Prozesse, Dienste et cetera abzufragen. Welche Agenten ein Administrator verteilt, hängt davon ab, was er überwachen möchte. www.it-administrator.de Funktionserweiterungen des Management-Servers erfolgen durch die Installation der schon erwähnten Cartridges. Cartridges enthalten zusätzliche Funktionalitäten, aber auch Komponenten wie neue Agenten. Damit vFoglight nun eine virtuelle Umgebung überwachen kann, sind auf dem Management-Server die “Cartridge for VMware” und zwei Cartridges mit VMware-Agentenkomponenten zu installieren und zu aktivieren. Damit stehen die Grundfunktionalität und zwei Agenten für die Abfrage des vCenter zur Verfügung. Die Agenten wiederum sind auf einen Server mit Agent Manager zu verteilen und die Anmeldeinfor mationen auf dem vCenter einzutragen. Im Falle der Grundinstallation läuft dies glücklicherweise etwas einfacher ab, da diese standardmäßig die Einrichtung des Management Servers, der Datenbank und des VMware Infrastructure Agents auf einem System umfasst, so dass wir im Test nur die Anmeldedaten eingeben mussten. Da wir aber auch einige VMs intern überwachen wollten, mussten wir anschließend aus vFoglight die Installationspakete für die Agent Manager (32 und 64 Bit) herunterladen und auf den Auf den ersten Blick verständlich und zugleich intuitiv bedienbar präsentiert sich die ausladende vFoglight-Konsole. Die bei Administratoren standardmäßig eingestellte Startseite “Welcome to vFoglight” zeigt eine Zusammenfassung der gesamten virtuellen Umgebung unter anderem mit der Anzahl der Virtual Center, Data Center, Datastores, VMs und Angabe des Status mit vier Farben (grün, gelb, orange, rot). Ein Unterfenster namens “Quickview” visualisiert den aktuellen Stand und als Kurvendiagramm die Historie der vier wichtigsten Ressourcen CPU-Last, Netzwerk-I/O, DiskI/O und Speichernutzung. Sobald der Betrachter intuitiv auf ein Objekt klickt, wird dieses vergrößert dargestellt beziehungsweise das Quickview-Fenster inhaltlich angepasst. Um mehr über einen Alarm zu erfahren, reicht es, auf das entsprechende farbige Symbol zu klicken. Unterhalb des Quickview-Fensters befindet sich ein Fenster namens “FAQts” mit vorbereiteten Abfragen, um sich beispielsweise die VMs mit der höchsten CPU-Last oder die Datastores entsprechend des noch freien Speichers auflisten zu lassen. Die Navigationsleiste auf der linken Seite teilt sich standardmäßig in die drei Rubr iken “Bookmarks”, “Homes” und “Dashboards”. Die Rubrik Dashboards beinhaltet alle Einstiegsansichten und ist damit der wichtigste Bereich für die Navigation. Der Inhalt der anderen beiden Rubriken lässt sich durch den Benutzer anpassen, um schneller zu häufig benötigten Ansichten zu kommen. Standardmäßig beinhaltet das Dashboard bei einem Administrator elf Rubriken, die wiederum eine Vielzahl an Unteransichten beinhalten. Gerade am Anfang muss sich der Administrator erst etwas orientieren und sollte die diversen Menüpunkte einmal durchklicken, um einen ersten August 2010 11 S10-15_ITA_0810_T02_WorkshopAug_WorkshopSept.qxp 22.07.2010 14:38 Seite 4 P R O D U K T E I Te s t Eindruck vom Gesamtumfang des Werkzeugs zu erhalten. Insgesamt bietet das Programm außergewöhnlich viele Möglichkeiten zur individuellen Anpassung der Konsole sowohl hinsichtlich des Stils als auch der Menüstruktur. Der Menüpunkt “vmExplorer” ermöglicht dem Administrator eine genaue Analyse einzelner VMs. Das Registerblatt “Monitor” liefert eine Vielzahl an Werten zum Speicherverbrauch, CPU-Last sowie Platten- und Netzwerk-I/O. Gut ist, dass die meisten Werte mit einer Historie kommen, so dass sich schnell erkennen lässt, ob sich in der letzten Zeit etwas geändert hat. Das Register “Storage” konzentriert sich auf die Platten-I/O-Werte getrennt für jeden Datastore. Auch ermittelt vFoglight das wöchentliche Wachstum und errechnet daraus, wann die Platte voll ist. Ob das realistisch ist, muss ein Administrator natürlich individuell bewerten, aber Trends werden so sichtbar. Das Register “Processes” ist nur gefüllt, wenn auf der VM der Agent Manager mit dem so genannten GuestProcessAgent installiert ist. Dann liefert vFoglight die CPU-Last der einzelnen Dienste. Zeigt also beispielsweise eine VM in vFoglight in der Übersicht eine ungewöhnlich hohe Last an oder wird gar ein Alarm ausgelöst, so kann der Administrator hier nachschauen, ob ein bestimmter Dienst auf der VM dafür verantwortlich ist. Er muss nicht zwischen verschiedenen Administrationswerkzeugen springen, sondern kann alles mit einem Tool erledigen. Genauso detailliert wie die Gastsysteme analysiert vFoglight die ESX-Hosts und liefert diverse Diagramme (Historie und aktuelle Werte) zur Netzwerk-, RAM-, CPU- und Plattenspeicherauslastung.Auch hier ist es möglich, sich die Last der einzelnen Prozesse anzeigen zu lassen. Geradezu in Erstaunen versetzte uns die Art und Weise, wie sich vFoglight selbst überwacht. Eine eigene Rubrik liefert dem Administrator genaue Informationen, wie es um den Management-Server selbst und die eigene Applikation bestellt 12 August 2010 Bild 2: Ein intuitiver Klick auf ein Alarmsymbol reicht aus, um mehr über den Grund zu erfahren ist. Unter anderem stehen Diagramme zur genutzten Datenbank (MySQL, Oracle), zu Java, zur Regelabarbeitung sowie Werte zu den Datenbankgrößen zur Verfügung. Allerdings bedarf es einiger Erfahrung, diese Diagramme zu interpretieren. Komplexe Regeln für die Alarmierung vFoglight bietet eine Vielzahl an vorkonfigurierten Alarmen. Nichtsdestotrotz ist es natürlich wichtig, das gesamte Gerüst an die individuellen Gegebenheiten anzupassen. Dazu enthält vFoglight ein umfangreiches Regelwerk, in dem individuell die Bedingungen definiert werden können, wann benachrichtigt wird und auf welche Weise. Neben den üblichen, einfachen Regeln, die bei der Überschreitung von Schwellwerten benachrichtigen, lassen sich auch komplexe verzweigte Regeln erstellen, bei denen Zustand und Abhängigkeit von unterschiedlichen Parametern und verschiedenen Quellen einbezogen werden. Prinzipiell gibt es einfache Regeln, die drei Zustände (Fire, Undefined, Normal) kennen und komplexe Regeln mit fünf Schweregraden (Undefined, Fatal, Critical, Warning, Normal).Weiterhin gibt es Da- ten-, Zeit- und Ereignis-gesteuerte Regeln. Regeln lassen sich auch mit einem Scheduler koppeln, um Prüfungen zu bestimmten Zeiten durchführen zu können. Auch kann eine Regel auf Wunsch erst dann einen Alarm auslösen, wenn mehrfache Prüfungen zu einem entsprechenden Resultat geführt haben. Positiv ist, dass vFoglight bereits mit einem umfangreichen Regelwerk geliefert wird, so dass ein Administrator hier nicht sofort einsteigen muss. Sobald aber Anpassungen notwendig sind, ist vorher eine umfassende Einarbeitung erforderlich.Wir haben den Eindruck gewonnen, dass das gesamte Regelwerk sehr mächtig, aber auch ebenso komplex ist. Die Mailbenachrichtigung erfolgt per SMTP-Mail (optional SMTPS), wobei sich für verschiedene Alarme unterschiedliche Mailadressen hinterlegen lassen. Ebenso kann vFoglight SNMP-Traps an ein übergeordnetes Managementsystem verschicken. Neben Benachrichtigungen veranlasst vFoglight auf Wunsch die Ausführung von lokalen oder entfernten Kommandoaufrufen oder ruft ein Skript auf. Recht interessant und durchdacht ist das Scheduler-Konzept: So gibt es innerhalb von vFoglight eine bereits gefüllte Sche- www.it-administrator.de S10-15_ITA_0810_T02_WorkshopAug_WorkshopSept.qxp 22.07.2010 dulerliste mit typischen Zeitabläufen, die ein Administrator nach Belieben erweitern kann. Zu jedem Eintrag gibt es eine Rechteliste, wer diesen ausführen darf. Bei der Erstellung von Regeln oder auch Berichten kann deren Ausführung nun mit einem vorhandenen Planungseintrag verknüpft werden. Ebenfalls ein sehr komplexes Thema für den fortgeschrittenen Administrator ist die Möglichkeit, mit eigenen Skripten zu arbeiten. Dies wird in erster Linie benötigt, falls die mitgelieferten Cartridges und Agenten bestimmte Informationen von einer überwachten Maschine nicht liefern können. Die Ausführung übernimmt der so genannte Script Agent. Ein Administrator kann Skripte in einer beliebigen Sprache schreiben (Batchdateien,Visual Basic, Shell-Skripte), die dieser Agent ausführt. Um deren Resultate zu erfassen, liest der so genannte “vFoglight collector” von der Standardausgabe (stdout) und leitet die Daten an den Agent Manager weiter, der diese dann an den Management-Server übergibt. Daneben besitzt vFoglight eine interne Scriptsprache, die für Abfragen oder auch für die Erstellung von Regeln zum Einsatz kommt. Abrechnen, berichten und planen Falls in einem Unternehmen eine interne Abrechnung der von der IT bereitgestellten Ressourcen erfolgen soll, kann vFoglight die entsprechende Nutzung erfassen und unterstützt dazu zwei Modelle namens TFR (Tiered Flat Rate) und MRU (Measured Resource Usage). Bei TFR sind entsprechend der genutzten VM-Größen (CPU, Speicher, Storage) Typen festzulegen, die feste Kosten verursachen. Die laufenden VMs müssen nun nur noch einem TFR-Typ zugewiesen werden, schon kann vFoglight die Nutzung erfassen und daraus einen Abrechnungsreport erstellen. Beim MRU-Modell sind Gesamtkosten und Laufzeit eines ESX-Servers zu hinterlegen, woraus sich die monatlichen Kosten ergeben. Über eine Gewichtung der Ressourcen ermittelt vFoglight nun, welcher Kostenanteil auf jede auf einem Host laufende VM entfällt. Hier sind sowohl eine Vollkostenals auch eine Teilkostenkalkulation möglich. Um bei Migrationen oder vor einer Verlagerung von Ressourcen im Vorfeld die Machbarkeit abschätzen zu können, besitzt vFoglight ein Modul zur Kapazitätsplanung. Bei einer abstrakteren Planung beispielsweise für einen neuen Host erstellt der Administrator ein Szenario und gibt dabei entsprechende Werte für CPU, RAM, Netzwerk und Storage vor. Dann ordnet er diesem Szenario die existierenden VMs zu, für die er dieses System plant, und kann nun aufgrund der in der Vergangenheit gesammelten Daten sehen, inwiefern der Leistungsbedarf die gesetzten Planwerte einhält oder überschreitet. Alternativ ordnet der Administrator in einem Szenario mehrere VMs einem existierenden Host zu, um zu prüfen, ob diese VMs alle gemeinsam auf dem Host laufen könnten. Der Vorteil der Kapazitätsplanung von vFoglight ge- 14:39 Seite 5 IT-A K d und minis osten ice trato los f :20 r- ür 10 Abo -Te ilne nnen hm ten er aNet Workshop in Lingen Windows 7 am 13. August 2010 Die Agenda: 13.00 Uhr: Begrüßung 13.05 Uhr: Herausforderungen der Windows 7-Migration > Methoden der Automatisierung > Anwendungen portieren > Parallelbetrieb mit Windows XP > Migration der Benutzerprofile Dozenten: Thorsten Christoffers und Thomas Wegener, Berater, sepago GmbH, Köln 14.30 Uhr: Kaffeepause ITANet Workshop-Partner: 14.45 Uhr Partnervortrag: Client-Lifecycle-Management: Automatisiert zu Windows 7 wechseln > Vorbereitungen, Aufgaben und Herausforderungen vor dem Betriebssystemwechsel > Risiken vermeiden mit dem Windows 7 Kompatibilitätscheck > Windows 7 automatisiert installieren > Beispielhaftes Migrationsszenario im Netzwerk Dozent: Gerd Conrad, Baramundi Software AG 15.30 Uhr: Rollout von Windows 7 > Vorbereitung der Verteilung > Automatische Installation > Virtuelle Festplatten nutzen > Unterstützung durch MS System Center Dozenten: Thorsten Christoffers und Thomas Wegener 17.30 Uhr: Ende des Workshops Termin: 13. August 2010 Ort: it.emsland, Halle 31, Kaiserstraße 10b, 49809 Lingen Uhrzeit: 13.00 bis ca. 17.30 Uhr Teilnahmegebühren: Für IT-Administrator-Abonnenten und ice:2010-Teilnehmer kostenlos. Mehr Infos hierzu auch unter www.ice-lingen.de. Anmeldeschluss: 09. August 2010 Mehr Infos und Anmeldeformulare unter www.it-administrator.de www.it-administrator.de/workshops/ S10-15_ITA_0810_T02_WorkshopAug_WorkshopSept.qxp 22.07.2010 14:39 Seite 6 P R O D U K T E I Te s t genüber einer manuellen Planung auf dem Papier besteht darin, dass vFoglight tatsächlich die bisherigen Lastkurven der VMs addiert. Sollen nun auf einem System mehrere VMs mit starken Lastschwankungen arbeiten, die aber ihre Spitzen zu unterschiedlichen Zeiten haben, so kann vFoglight die resultierende Summe in der Vergangenheit genau ermitteln und so eine Aussage für die Zukunft treffen. Eine Planung auf dem Papier ist viel ungenauer, da ein Administrator hier von allen Lastspitzen ausgehend diese addieren müsste. Sehr umfangreich ist das in vFoglight integrierte Reporting. Das Programm bietet bereits eine Vielzahl an Vorlagen, darüber hinaus kann der Administrator weitere Vorlagen erstellen. Neben der Definition der eigentlichen Abfrage kann der Zeitabschnitt frei gewählt werden, um eine Auswertung beispielsweise über vier Stunden oder auch zwei Tage zu fahren. Genauso lässt sich die Granularität festlegen, also die gewünschten Zeitschritte. Die Reporterstellung kann mittels der beschriebenen Scheduler automatisiert werden, wobei die Ausgabe als PDF-, XLS- oder XML-Datei erfolgt. Auch ein automatischer Versand per E-Mail ist möglich. Eine Testfunktion hilft dem Administrator bei der Überprüfung, ob ein erstellter Report auch das gewünschte Resultat bringt. Durchdachte Benutzerverwaltung vFoglight besitzt ein umfassendes Rollenkonzept zur Verwaltung der Benutzerrechte. Dabei kann ein Administrator Benutzer und Gruppen innerhalb von vFoglight anlegen oder eine Anbindung per LDAP an einen Verzeichnisdienst (Active Directory, Sun Java Systems Directory Server, OpenLDAP und Novell eDirectory) einrichten und dort angelegte Benutzer und Gruppen nutzen. Bei der Installation von vFoglight werden zudem ein interner Benutzer mit Administrationsrechten sowie eine Handvoll Gruppen angelegt, die nicht gelöscht werden können. Die eigentliche Rechtevergabe erfolgt über Rollen (unter anderem Administrator, Cartridge Developer, Console Operator), in denen die Detailrechte auf verschiedene Objekte und Ansichten innerhalb von vFoglight festgelegt sind. Über eine Rollenzuweisung an eine Gruppe, in der sich wiederum ein oder mehrere Benutzer befinden, werden die Rechte letztendlich zugeordnet. Entsprechend der Rolle sehen die Benutzer nur einen Teil des Navigationsmenüs. Jeder Benutzer kann zudem eine bevorzugte Startseite festlegen, um entsprechend seiner Aufgabe an einer passenden Stelle in die Konsole einzusteigen, und Lesezeichen zu häufig genutzten Seiten festlegen. Wie bei Windows selbst lässt sich der komProdukt Managementsoftware für virtuelle Umgebungen. Hersteller Vizioncore www.vizioncore.com Preis vFoglight Pro wird pro Socket der ESX-Server lizenziert und kostet pro CPU 587 Euro. Enthalten sind ein Jahr Support und Subskription. Bei drei Jahren Support kostet die Lizenz 752 Euro. Technische Daten www.it-administrator.de/downloads/datenblaetter So urteilt IT-Administrator (max. 10 Punkte) Installation 7 Intuitivität der GUI 9 Detailgrad und Umfang 9 Alarmierung und Reporting 8 Dokumentation 8 Dieses Produkt eignet sich optimal für große bis sehr große virtuelle Umgebungen auch mit mehreren vCenter und einigen hundert VMs. bedingt für mittelgroße virtuelle Umgebungen mit nur einem vCenter und einer überschaubaren Anzahl an VMs. Hier ist eine genaue Abschätzung des Aufwands für die Konfiguration und den Betrieb von vFoglight gegenüber dem Nutzen erforderlich. nicht für Umgebungen, die bei der Virtualisierung nicht auf VMware setzen oder die kein vCenter betreiben. Vizioncore vFoglight Pro 6.0 Bild 3: Sehr gut gelungen und informativ ist die Übersicht aller wichtigen Leistungsdaten einer virtuellen Maschine 14 August 2010 www.it-administrator.de S10-15_ITA_0810_T02_WorkshopAug_WorkshopSept.qxp 22.07.2010 14:39 Seite 7 IT-A plette Seitenstil hinsichtlich der Farben anpassen.Weiterhin ist es möglich, eine oder mehrere Seiten direkt über die Favoriten des benutzten Browsers zu verlinken. Nach Anklicken eines solchen Links erscheint zuerst die Anmeldeseite von vFoglight und anschließend die gewünschte Seite. Letztendlich ist es kein Problem, bei der Nutzung von vFoglight durch verschiedene Supportgruppen (First Level, Second Level) in einem größeren Unternehmen die jeweiligen Ansichten optimal zu konfigurieren, wobei jeder Benutzer hier auch selbst tätig werden kann. Fazit Im Test präsentierte sich vFoglight Pro 6.0 als überaus mächtiges und umfassendes Management- und Überwachungstool für virtuelle Umgebungen, bei dem der Mehrwert mit wachsender Größe der Umgebung ebenfalls zunimmt. Sinnvoll ist ein Einsatz beim Betrieb ab etwa zehn ESX-Servern in einem Virtual Center und mehr als hundert virtuellen Maschinen bis hin zu sehr großen Netzwerken mit mehreren vCenter-Installationen, Hunderten von Hosts und Tausenden von virtuellen Maschinen. vFoglight überwacht alle denkbaren Dienste, liefert eine fast schon erschlagende Vielzahl an Performancewerten mit Überwachung von Schwellwerten, wertet die Verfügbarkeit als Nachweis für Service Level Agreements aus, erlaubt eine Kapazitätsplanung und ermöglicht die Erstellung von Reports für eine Nutzungsabrechnung. Durch eine breite Betriebssystemunterstützung sowohl beim Management-Server als auch bei den Agenten ist vFoglight nicht nur für die Windows-Welt geeignet, sondern auch für heterogene Umgebungen. Ein Administrator sollte allerdings wissen, dass auf ihn gerade am Anfang umfassende Konfigurationsarbeiten zukommen, um zum einen alle benötigten Informationen abzufragen und die ganze Oberfläche auf die eigenen Belange anzupassen. Zum anderen müssen die gelieferten Datenmengen für einzelne Anwendergruppen sinnvoll beschränkt werden. Dies erfordert, dass sich jemand eingehend mit vFoglight beschäftigt sowie am besten diverse Schulungen belegt, um die Lernkurve zu beschleunigen und die Wichtigkeit der diversen Funktionen schneller abschätzen zu können. Immerhin hat vFoglight seinen Ursprung in dem Enterprise-Produkt Foglight von Quest und ist entsprechend komplex, so dass sich gerade die Einführung schnell eine Zeit lang als Vollzeitjob entpuppen kann. Erfreulich umfangreich und übersichtlich ist die Dokumentation, die Gesamtkomplexität aber macht es schwierig, sich nur durch deren Studium einzuarbeiten. Auch für uns war es unmöglich, im Test alle möglichen Funktionen einzurichten und anzuschauen, dazu erwies sich vFoglight als zu mächtig.Wer allerdings die Hürden der Einarbeitung und Konfiguration am Anfang überwunden hat, wird später auf vFoglight nicht mehr verzichten wollen. (jp) aNet dm Kos inis ten tra los tor für -Ab on nen Workshop in Karlsruhe Windows 7 am 21. September 2010 Die Agenda: 13.00 Uhr: Begrüßung 13.05 Uhr: Herausforderungen der Windows 7-Migration > Methoden der Automatisierung > Anwendungen portieren > Parallelbetrieb mit Windows XP > Migration der Benutzerprofile Dozenten: Thorsten Christoffers und Thomas Wegener, Berater, sepago GmbH, Köln 14.30 Uhr: Kaffeepause ITANet Workshop-Partner: 14.45 Uhr – Partnervortrag: Lösungen für die Windows 7 Migration: Empirum Client Life Cycle Management Dozent: Roland Schäfer, Matrix42 AG 15.30 Uhr: Rollout von Windows 7 > Vorbereitung der Verteilung > Automatische Installation > Virtuelle Festplatten nutzen > Unterstützung durch MS System Center Dozenten: Thorsten Christoffers und Thomas Wegener 17.30 Uhr: Ende des Workshops Termin: 21. September 2010 Ort: Der Blaue Reiter Designhotel, Amalienbadstraße 16, 76227 Karlsruhe Uhrzeit: 13.00 bis ca. 17.30 Uhr Teilnahmegebühren: Für IT-Administrator-Abonnenten kostenlos. Anmeldeschluss: 15. September 2010 Mehr Infos und Anmeldeformulare unter www.it-administrator.de ten www.it-administrator.de/workshops/ S18-22_ITA_1110_T01_HOB.qxp 20.10.2010 10:37 Seite 2 P R O D U K T E I Te s t Im Test: Dot Hill AssuredSAN 3.000-Serie Flinker Datensammler von Jürgen Heyer Mit der AssuredSAN 3.000-Serie hat Dot Hill seine Produktpalette um schnelle, flexibel einsetzbare Speichereinheiten für SAS, Fibre Channel und iSCSI erweitert. Preislich im Einstiegs- und Midrange-Bereich positioniert, finden sich bei diesen Modellen sehr interessante Funktionen wie Volume Copy und Remote Replication, die bisher eher der Highend-Klasse vorbehalten waren. Im Testlabor konnte sich IT-Administrator im Detail von den Features überzeugen. ls Storage-Hersteller dürfte Dot Hill hierzulande weniger bekannt sein, obwohl mit Sicherheit so manches Unternehmen dessen Speichersysteme unter anderen Brandings in größerer Menge im Einsatz hat. So wirbt Dot Hill mit über 300.000 weltweit im Einsatz befindlichen Systemen und produziert unter anderem als OEM-Partner für Hewlett Packard, wo sich die AssuredSAN 3.000Systeme in der MSA2000-Serie als die neuen G2-Modelle wiederfinden. Die augenscheinlichsten Vorteile sind der kompakte Aufbau und die modulare Bauweise. Mit bis zu 24 2,5-Zoll-Festplatten bestückt, wird die zwei Höheneinheiten messende Front im 19-Zoll-Rack optimal genutzt.An ein Basisgerät lassen sich bis zu sieben Erweiterungseinheiten anschließen, wobei sich maximal 144 Festplatten adressieren lassen. Bevor Sie sich wundern, dass acht mal 24 doch mehr als 144 ergibt, sei erwähnt, dass es auch ein Chassis mit bis zu zwölf 3,5-ZollFestplatten gibt und sich beide Typen mischen lassen. A Die SAS-Backplane besitzt eine Bandbreite von 6 GBit/s und es können wahlweise SAS-, SATA- und SSD-Laufwerke, auch gemischt und mit unterschiedlicher Kapazität, eingesteckt werden. Durch die 18 November 2010 Verfügbarkeit verschiedener Controller ist die 3.000er-Serie erfreulich flexibel einsetzbar. Dabei kann ein Chassis mit einem oder für einen redundanten Betrieb mit zwei Controllern bestückt werden. Als Controller-Schnittstellen sind 6 GBitSAS, 8 GBit-Fibre Channel sowie als Hybrid- beziehungsweise MultiprotokollVariante 8 GBit-FC mit 1 GBit-iSCSI verfügbar. Im dritten Quartal dieses Jahres soll noch ein Controller für 10 GBitiSCSI/FCoE auf den Markt kommen. Das Produkt dürfte bei Erscheinen dieses Artikels bereits verfügbar sein. Für unseren Test stand uns das Modell AssuredSAN 3920 mit Multiprotokoll-Controllern zur Verfügung, auf dem wir sämtliche Funktionen inklusive der lizenz- und kostenpflichtigen Features AssuredSnap, AssuredCopy und AssuredRemote Snapshot Replication (Beschreibungen siehe weiter unten) nutzen konnten. Die Performance der Speichersysteme liegt laut Datenblatt beim Anschluss mit 6 GBitSAS oder 8 GBit-FC bei 264.000 IOPS beziehungsweise 1.750 MBit/s beim Lesen und 1.350 MBit/s beim Schreiben. Einfache Inbetriebnahme Unser Testgerät war komplett redundant ausgestattet, also mit zwei Netzteilen so- wie zwei Controllern, und mit 24 146GByte-SAS-Festplatten bestückt. Alle Komponenten sind bei einem Defekt im laufenden Betrieb austauschbar, Rändelschrauben sorgen dafür, dass sich kein Einschub aus Versehen lösen kann. Die beiden Multiprotokoll-Controller verfügen über je zwei 8 GBit-Fibre-Channel-Anschlüsse und zweimal dediziertes LAN für GBit-iSCSI. Ein weiterer 100MBit-LAN-Anschluss dient als Management-Port. Der Nutzer sollte darauf achten, dass die Management-Ports beider Controller mit dem Netzwerk verbunden sind, damit das Plattensystem nicht ständig eine Degraded-Warnung anzeigt. Für den Betrieb würde aber auch ein Anschluss reichen, da die Controller über die Backplane des Chassis verbunden sind und alle Einstellungen untereinander abgleichen. Neben dem Management-Port besitzt jeder Controller noch einen seriellen und einen USB-Port zum Zugriff auf die CLISchnittstelle (Command Line Interface), ein zweiter USB-Port ist für eine zukünftige Verwendung reserviert. Zugriff per Browser oder CLI Im Normalfall erfolgt der Zugriff per LAN mittels Browser auf die integrierte Web-GUI namens RAIDar, so dass für www.it-administrator.de S18-22_ITA_1110_T01_HOB.qxp 20.10.2010 10:37 Seite 3 P R O D U K T E I Te s t Host-Mapping die Rückseite des Chassis mit den Controller-Ports dar. Bild 1: In der Systemübersicht sind alle Funktionen der GUI über umfangreiche, teilweise verschachtelte Pull-Down-Menüs erreichbar die Bedienung keine weitere Software benötigt wird. Die CLI lässt sich auf diesem Wege auch erreichen, um beispielsweise bestimmte Aktionen per Skripting zu automatisieren. Ein SAS-Anschluss pro Controller dient zum Anschluss der schon erwähnten Erweiterungseinheiten, wobei diese wie auf einer Perlenschnur hintereinander angereiht werden. Diverse LEDs an jeder Festplatte, am Chassis sowie auf den Controllern und den Netzteilen zeigen den technischen Zustand auf einen Blick an. Die intuitiv zu bedienende und recht übersichtliche GUI von RAIDar stellt Meldungen abgestuft in vier Kategorien (Kritisch, Fehler,Warnung, Information) mit unterschiedlichen Farben dar. In einem Fenster links oben ist der Systemstatus mit einer Auflistung der System-Meldungen abzulesen, ab dem Status “Warnung” ist in der darunter befindlichen Konfigurationssicht die betroffene Komponente durch ein entsprechendes Symbol markiert.Vorteilhaft ist, dass sich in die GUI einer Storage-Einheit weitere, entfernte Systeme einbinden lassen. Hierzu sind nur einmal IP-Adresse und Anmeldedaten anzugeben. Ursprünglich war diese Funktion für das Ergänzen eines Replizierungspartners gedacht, aber dies funktioniert prinzipiell auch mit jeder anderen Einheit. www.it-administrator.de Schnelle Erstkonfiguration Im Test haben wir uns für die Erstkonfiguration mit einem Notebook über eine der ab Werk eingestellten IP-Adressen mit einem Controller verbunden und die LAN-Daten aller Ports passend für unser Netz geändert. Dies funktionierte über einen Konfigurationsassistenten sehr gut, der über mehrere Fenster hinweg alle Basisparameter (Neues Passwort, ManagementPorts, aktivierte Dienste für das Management, Systeminformationen, SNMPKonfiguration, SMTP-Benachrichtigung sowie FC- und iSCSI-Port-Einstellungen) abfragte. Ungewöhnlich ist, dass beim allerersten Aufruf des Assistenten alle IPAdressen zwingend mit führenden Nullen auf drei Stellen aufzufüllen sind, also beispielsweise 010.000.000.005. Bei einem späteren Aufruf oder bei direkter Eingabe ohne Assistent sind dann die führenden Nullen nicht mehr erforderlich. Für das Anlegen der Laufwerke sowie das Herstellen der Host-Mappings ist ebenfalls ein Assistent implementiert, diese Konfiguration klappte im Test dank einer guten Visualisierung aber auch ohne diesen ähnlich einfach. So bildet die GUI die Front mit den eingesteckten Platten ab und wir mussten nur die gewünschten anklicken, um ein Array zu bauen. Genauso stellt das Werkzeug für das Default- Redundante Controller durch Multipathing Für die Array-Konfiguration unterstützt die 3.000er-Serie die RAID-Level 0, 1, 3, 5, 6, 10, 50 und NRAID. In einem ersten Schritt sind über mehrere Platten hinweg eine oder auch mehrere Vdisks (virtual disk) mit dem gewünschten RAID-Level anzulegen. Maximal 16 Vdisks pro Controller sind möglich, da jede Vdisk stets einem Controller zugeordnet ist (Ownership). Sind zwei Controller vorhanden, sorgt das System bei der Vdisk-Erstellung automatisch für eine gleichmäßige Verteilung. Die Controller arbeiten Active-Active, so dass jede Vdisk jederzeit über beide Controller erreicht werden kann. Für eine optimale Performance sollte der Administrator aber dafür sorgen, dass der primäre Zugriff auf eine Vdisk über den Controller erfolgt, der auch die Ownership besitzt. Über entsprechende Einstellungen des bevorzugten Pfades (Preferred Path) in den verschiedenen Betriebssystemen lässt sich dies passend konfigurieren. Beim Ausfall eines Controllers übernimmt der verbleibende temporär die Ownership und stellt dann alle Vdisks nach außen bereit. Das setzt natürlich auf Serverseite eine mehrpfadige Anbindung mit entsprechender Multipath-Konfiguration (beispielsweise unter Windows mit MPIO) voraus. Seit Windows 2008 ist MPIO im Betriebssystem integriert, für Windows 2003 stellt Dot Hill einen entsprechenden Treiber bereit. Automatische Zuweisung von Ersatzlaufwerken Neben den Vdisks kann der Administrator bis zu vier Hot-Spare-Platten definieren, jede entweder fest einem Array zugewiesen oder als Global Spare, die überall einspringt, sobald eine produktive Platte ausfällt. Darüber hinaus gibt es noch eine Einstellung namens Dynamic Spare, die bewirkt, dass eine neu eingesteckte Platte automatisch als Hot Spare zum Einsatz kommt.Andernfalls muss der Administrator dies manuell zuweisen. November 2010 19 S18-22_ITA_1110_T01_HOB.qxp 20.10.2010 10:37 Seite 4 P R O D U K T E I Te s t Nachdem wir auf dem Testsystem zwei Vdisks mit RAID 5 und 6 definiert hatten, konnten wir darauf die benötigten Volumes anlegen, die letzten Endes auf Serverseite als SCSI-LUNs sichtbar wurden. Pro Vdisk kann der Nutzer automatisch ein oder mehrere Volumes erstellen. Benötigt er auf einem Speichersystem viele Volumes, empfiehlt Dot Hill die Anlage weniger Vdisks, möglichst gleichmäßig auf beide Controller verteilt, und auf jeder Vdisk die Anlage von mehreren Volumes. Da das System auf alle Platten Metadaten bezüglich der Konfiguration schreibt, ist es problemlos möglich, die Platten innerhalb der Einheit beliebig zu vertauschen oder einen ganzen zu einer Vdisk gehörenden Plattensatz von einem System auf ein anderes zu portieren. Das bedeutet aber, dass auf bereits genutzten Platten vor einer neuen Verwendung eventuell vorhandene Metadaten gelöscht werden müssen. Dies ist innerhalb von RAIDar möglich. Flexibles Volume-Mapping Für manchen Administrator, der in der Vergangenheit bereits andere Plattensysteme betreut hat, mag das von Dot Hill ver- wendete Mapping-Konzept neu sein.Anfangs vielleicht etwas gewöhnungsbedürftig, erweist es sich letztendlich als recht flexibel, wenn es darum geht, nicht nur einzelne Server einpfadig zu betreiben, sondern auch Cluster und Farmen für virtuelle Umgebungen zu realisieren, in denen mehrpfadige Anbindungen und wechselweise sowie gleichzeitige Zugriffe auf gemeinsame Volumes zum Standard gehören. So beherrschen die Systeme ein so genanntes Default Mapping in Form eines Port-Zonings sowie ein Explicit Mapping als Bezeichnung für eine WWN-bezogene Zuweisung (WWN-Zoning). Legt ein Administrator ein Volume an, so bietet das System gleich ein DefaultMapping an. Hierzu muss er die LUNNummer angeben, außerdem die Zugriffsart (no-access, read-only, read-write) und die Controller-Ports, auf denen das Volume sichtbar sein soll.Alle Hosts, die mit einem dieser Ports verbunden sind, können die LUN dann entsprechend der eingestellten Zugriffsart nutzen. Um nun ein einzelnes Volume gezielt bestimmten Hosts zuzuweisen, muss der Administrator ein Explicit-Mapping definieren und das Default-Mapping zu den anderen Hosts entfernen. Zu erwähnen ist, dass innerhalb von RAIDar natürlich auch die Hosts anzulegen sind. Hierzu sind die Host-IDs anzugeben, also entweder bei Fibre Channel die WWN oder bei iSCSI die IQN, und weiterhin ein sinnvoller Host-Name für die Anzeige in der GUI. Im Falle von iSCSI lässt sich die Verbindung über CHAP mit Passwort sichern.In der Praxis ist es möglich, mit den beschriebenen Mapping-Arten mit wenig Aufwand ein passendes Zoning für die benötigten Zugriffe zu definieren und besondere Zugriffsvarianten zu implementieren: Greifen auf ein Plattensystem viele eigenständige Server zu, so nutzt der Administrator am besten primär das explizite Mapping.Werden aber alle Platten von einem großen Cluster oder einer VMware-Farm genutzt, so reicht es eventuell aus, alle Server per Default-Mapping zu berechtigen. Unterschiedliche Zugriffsarten sind beispielsweise dann sinnvoll, wenn in der Medizintechnik nur der Server eines MRT die Bilddaten auf ein Volume schreiben können soll (Zugriff read-write), die Ärzte aber parallel über einen anderen Server bereits fertige Bilder ansehen wollen (Zugriff read-only). Wären beide Server schreibberechtigt, würden sie sich ständig gegenseitig die Metadaten überschreiben, so dass am Schluss ein korruptes Laufwerk übrig bliebe. Zusatzfunktionen gegen Aufpreis Bild 2: Bereits angelegte Arrays werden halbtransparent dargestellt, so dass der bereits konfigurierte Bereich leicht erkennbar ist 20 November 2010 Die 3.000er-Modelle gibt es hinsichtlich des Funktionsumfangs als C-, S- und RSerie. Die C-Serie beinhaltet die Speichereinheit ohne weitere Lizenz, die S-Serie bringt die Features AssuredSnap und AssuredCopy mit, die R-Serie enthält zusätzlich noch eine Lizenz für AssuredRemote Snapshot Replication. Dot Hill bezeichnet diese Ergänzungen als Data Management Software Suite (DMS). Statt die Geräte entsprechend im Bundle zu kaufen, können die Lizenzen auch später erworben werden. Um dieses schmackhaft zu machen, liegt der C-Serie die DMS als zeitlich begrenzte Try&Buy-Version bei. www.it-administrator.de S18-22_ITA_1110_T01_HOB.qxp 20.10.2010 10:37 Seite 5 P R O D U K T E I Te s t nutzt das copy-onwrite-Verfahren, was bedeutet, dass bei der Änderung eines Blocks die alten Daten in den Snap-Pool kopiert werden und die neuen auf das eigentliche Volume. Wird später ein Snapshot gelöscht, müssen nur die entsprechenden Blöcke im Snap-Pool freigegeben werden. Snapshots lassen sich per Zeitplaner in festen Abständen automatisch erzeugen, der Administrator gibt dabei an, wie viele Versionen er halten will, so dass sich quasi ein umlaufender Pool ergibt. Bild 3: Snapshots lassen sich über einen komfortablen Scheduler individuell an die Erfordernisse anpassen Snapshots gewähren mehr Freiraum AssureSnap ermöglicht, wie der Name schon vermuten lässt, Snapshots. Sobald von einem Volume ein Snapshot erstellt wird, legt das System für dieses Volume einen so genannten Snap-Pool an. AssuredSnap Ein Snapshot lässt sich auf verschiedene Arten verwenden.Wie üblich kann ein Snapshot dazu dienen, das Quellvolume wieder auf den Stand des Snapshots zurückzusetzen.Weiterhin kann ein Administrator einen Snapshot im Schreib-/ Lesemodus als Laufwerk mappen, um bei- spielsweise darauf eine neue Software zu installieren.War die Installation nicht erfolgreich, so kann er den Snapshot wieder auf den ursprünglichen Stand bringen. Er hat aber zudem die Möglichkeit, ein Quellvolume auf den Stand eines Snapshots inklusive der darauf gemachten Änderungen zu bringen. Volume-Replizierung über Standorte hinweg Im Gegensatz zum Snapshot erzeugt die AssuredCopy-Funktion eine komplette Kopie eines Volumes, um es anschließend als neues Standard-Volume zu nutzen. Dies schafft im Gegensatz zum Snapshot eine völlige Unabhängigkeit von der Quelle, so dass sich jegliche Performanceeinbußen vermeiden lassen. Es ist wahlweise möglich, ein Volume zu kopieren oder aus einem existierenden Snapshot eine eigenständige Kopie zu erzeugen. Das AssuredRemote Replication Feature letztendlich ist eine Funktion, die in erster Linie als Disaster-Recovery-Maßnahme gedacht ist. Es repliziert den Inhalt eines Volumes asynchron auf Blockebene auf ein identisches Volume, das sich auf der gleichen Storage-Einheit, aber auch auf einer zweiten befinden darf. Kommt die zweite Einheit an einem anderen Firmenstandort zum Einsatz, so lassen sich Replizierungen über Verzweifeln Sie nicht, steigen Sie auf HOB RD VPN um Secure-Remote-Access ohne Installation Die browserbasierte Remote-Access Lösung HOB RD VPN ist weder mit herkömmlichen SSL VPNs noch mit IPsec VPNs zu vergleichen. Der Administrator kann dank HOB RD VPN auf zeitraubende Installationen von Treibern oder Software auf den Client-Systemen verzichten. Der User kann orts- und plattformunabhängig auf einen virtuellen Desktop zugreifen – die Daten bleiben im Rechenzentrum. HOB PPP TunneI (IPsec Rest in Peace Juni 2010) IPsec Secure Business Connectivity hob anzeige QUER ip sec ist tot server RZ.indd 1 HOB RD VPN www.hob.de/ppp18 Möchte der User mit seinem MS Windows Vista-, Windows 7-, Apple Mac OS X- oder Linux-System einen vollständigen Netzwerkzugriff, kann er die treiberlose Technologie des HOB PPP Tunnels einsetzen. Zwei-Faktor-Authentifizierung, SSL-Verschlüsselung bis AES 256 Bit, Client Integrity Check – kein Sicherheitsverlust gegenüber IPsec – bei Performance und Einfachheit ist der PPP Tunnel meilenweit überlegen. Die Security-Suite von HOB RD VPN ist vom BSI (Bundesamt für Sicherheit in der Informationstechnik) nach Common Criteria zertifiziert (HOBLink Secure BSI-DSZ-CC-0260-2004). Dadurch beweist HOB, dass der Zugriff wirklich sicher ist! 07.10.2010 11:08:34 S18-22_ITA_1110_T01_HOB.qxp 20.10.2010 10:37 Seite 6 P R O D U K T E I Te s t eine größere Entfernung realisieren. Der Datentransfer erfolgt wahlweise via Fibre Channel oder iSCSI. Eine anstehende Replizierung erzeugt zuerst einen Snapshot, der dann mit den Daten auf dem Ziel verglichen wird, um nur die unterschiedlichen Blöcke übertragen zu müssen. Eine Replizierung kann manuell oder mittels Zeitplaner automatisiert erfolgen. Hinsichtlich der Nutzung von Snapshots ist uns aufgefallen, dass Dot Hill nur für Windows einen VDS-/VSS-Treiber bereitstellt, um mittels dieser Mechanismen dafür zu sorgen, dass die Snapshot-Daten konsistent sind. Für andere Betriebssysteme hat der Hersteller dazu nichts im Angebot, vielmehr müssen entsprechende Abläufe mit Zugriff über die CLI geskriptet werden. Der Support von Dot Hill unterstützt bei Bedarf bei einer Implementierung. Umweltschonende Green IT sinnvoll umgesetzt Dot Hill hat in seine 3.000er-Serie einige Stromsparmaßnahmen integriert. So haben die beiden Netzteile lastunabhängig einen Wirkungsgrad von mindestens 80 Prozent (80-PLUS-Zertifizierung).Weiterhin kann der Administrator das System so konfigurieren, dass es inaktive Platten und Global Spares herunterfährt (Dr ive Spin Down = DSD). Hierzu legt er die Zeitdauer in Minuten fest, nach der inaktive Platten heruntergefahren werden, und definiert außerdem einen Zeitraum wie beispielsweise die reguläre Arbeitszeit, in der das nicht passieren soll. Zu beachten ist, dass heruntergefahrene Platten nicht auf Defekte durchsucht und SMART-Meldungen nicht abgefragt werden, und dass es etwas länger dauert, wenn ein Plattenzugriff erfolgt, da die Disk erst wieder starten muss. Als sehr gute Lösung bewerten wir den patentierten, batterielosen, aber dennoch gepufferten Cache der Controller. Statt eines Akkus, der in der Regel nur etwa 22 November 2010 zwei Jahre hält, verwendet Dot Hill einen großen Kondensator mit rund zehn Jahren Lebensdauer, dessen Ladung ausreicht, um bei einem Stromausfall oder einer Abschaltung den Cacheinhalt in einen Flashspeicher zu schreiben. Neben der besseren Umweltverträglichkeit durch den Verzicht auf den Akku ergibt sich zudem der Vorteil, dass der Flashinhalt unbegrenzt hält, während die Akkus den Cacheinhalt in der Regel nur 72 Stunden puffern. Wer mehrere hundert Server betreibt, weiß, wie lästig es ist, wenn nach einiger Zeit die Pufferbatterien am laufenden Band den Geist aufgeben. Das kann hier nicht passieren. Nach einem Abschalten der Einheit konnten wir genau beobachten, dass eine LED auf den Controllern noch mehrere Sekunden lang blinkt, bis sie ausgeht. Fazit Die neue AssuredSAN 3.000-Serie von Dot Hill erweist sich in jeder Hinsicht als sehr breitbandig einsetzbare und individuell skalierbare Speicherlösung, die technisch auf dem neuesten Stand ist. Die Skalierbarkeit ist zum einen durch die Ausbaufähigkeit auf bis zu 144 Festplatten gegeben, mit verschiedenen Controllern für SAS, Fibre Channel und GBit-iSCSI deckt der Hersteller zudem alle praktikablen Anschlussmöglichkeiten ab. Eine 6 GBit-SAS-Backplane sowie 6 GBit-SAS-Controller und 8 GBitFC sorgen für eine bestmögliche Performance. Allenfalls bei iSCSI muss der Administrator noch ein wenig auf höchste Leistung warten. Ein Controller für 10GBit-iSCSI/FCoE sollte aber schon beim Erscheinen dieser Ausgabe verfügbar sein. Funktional skalierbar ist die Serie durch zwei Lizenzen für Snapshots/VolumeCopy sowie Remote Replication, so dass sich die Speichereinheiten für einen wirkungsvollen Disaster-Schutz konfigurieren lassen.Vorteilhaft ist weiterhin die Active-Active-Arbeitsweise, so dass auf ein Volume jederzeit über beide Controller zugegriffen werden kann. Für ei- ne optimale Performance sollte aber in erster Linie der Controller genutzt werden, der der Eigentümer der unter den Volumes liegenden virtuellen Disks ist. Erfreulich intuitiv zu bedienen ist die Web-GUI für die Administration, auch wenn der Umgang letztendlich etwas Einarbeitung erfordert, vor allem, um Mappings zu den angeschlossenen Hosts korrekt umzusetzen. (ln) Produkt Modular konfigurierbare Plattenspeichereinheiten für SAN-Umgebungen. Hersteller Dot Hill www.dothill.com Preis Die Modelle der AssuredSAN 3.000-Serie sind ab etwa 8.000 Euro erhältlich. Technische Daten www.it-administrator.de/downloads/datenblaetter So urteilt IT-Administrator (max. 10 Punkte) Installation/Bedienung 9 Skalierbarkeit 9 Konnektivität 8 Redundanz und Disaster Recovery 8 Dokumentation 9 Dieses Produkt eignet sich optimal für Speicheranforderungen ab etwa 3 TByte in einer SAN-Infrastruktur sowie bei Bedarf für Snapshots und asynchrone Replizierung zwischen Betriebsstätten. bedingt bei geringeren Kapazitätsanforderungen, da sich die Investition dann nicht rechnen dürfte, außer es werden die speziellen Features wie die Kopierfunktion oder die Replizierung benötigt. nicht, wenn sich der Bedarf hinsichtlich Kapazität und Verfügbarkeit mit lokalen Festplatten in einem Server abdecken lässt. Dot Hill AssuredSAN 3.000-Serie www.it-administrator.de S32-35_ITA_1210_T03_InnoLogic.qxp 22.11.2010 17:07 Seite 2 P R O D U K T E I Te s t Im Test: Secunia Corporate Software Inspector 4.0 Ein Inspektor für alle Fälle von Thomas Gronenwald Viele Unternehmen nutzen zum Patchmanagement die WSUS-Dienste zum Verteilen der monatlich veröffentlichten Microsoft-Sicherheitsupdates. Allerdings wird hierbei immer noch allzu oft auf die regelmäßige Aktualisierung von 3rd-Party-Software im Unternehmen verzichtet – so sind veraltete Adobe Reader-, Flash- oder Java-Versionen keine Ausnahmen, sondern eher die Regel. Vor dem Hintergrund der seit 2007 um fast 400 Prozent gestiegenen Anzahl an Sicherheitslücken in Drittanbietersoftware entsteht so ein erhebliches Risiko für die IT-Sicherheit in diesen Unternehmen. Der Corporate Software Inspector 4.0 vom dänischen Hersteller Secunia erlaubt es, diese Sicherheitslücken zu erkennen, zu bewerten und zu beheben. In unserem Test musste das Werkzeug seine Fähigkeiten unter Beweis stellen. eu ist hierbei die Integration des Corporate Software Inspector 4.0 (CSI) in die Microsoft-Lösungen WSUS und System Center Configuration Manager (SCCM). Diese Synergie erlaubt es, nun mehr als 13.000 Applikationen, PlugIns und Erweiterungen im Unternehmensnetz zentral zu überwachen und mit geeigneten Sicherheitsupdates zu versorgen. Dabei benutzt CSI die gleiche Technik wie beim kostenlosen Personal Software Inspektor (PSI) von Secunia, um festzustellen, welche Software in welcher Version auf einem System installiert ist und ob eventuell neuere Versionen vorhanden sind. N Bis dato mussten für ein flächendeckendes Patch-Management von WindowsUmgebungen zahlreiche Tools eingesetzt werden. Dies führte jedoch in aller Regel dazu, dass nur halbherzig gepatcht wurde. Nun ermöglicht Secunia, das Patch-Management von Drittanbietersoftware auch über die Microsoft-Mechanismen bereitzustellen. Kombiniert wird dies weiterhin durch die bereits aus den Vorgängerversionen bekannten und hoch geschätzten Programmfunktionalitäten.Verschiedene Sicherheitsberichte aller eingesetzten Anwendungen sowie potenzielle Gefährdungen lassen sich über die überarbeitete Programmoberfläche abrufen. So behal- 32 Dezember 2010 Bild 1: Die Oberfläche von CSI 4.0 wirkt aufgeräumt und bietet schnellen Zugriff auf wichtige Funktionen ten Administratoren und Sicherheitsverantwortliche stets den Überblick über Anwendungen, Betriebssysteme und Service Packs in ihrem Unternehmen und können so schnell und zuverlässig auf neue Sicherheitsrisiken reagieren. Systemvoraussetzungen und Installation bleme und ist innerhalb von wenigen Minuten abgeschlossen. Wichtig ist lediglich, dass das Setup mit administrativen Berechtigungen ausgeführt wird. Außerdem ist es notwendig, das Service Pack1 für das Microsoft .NET Framework 2.0 (ab Windows Server 2008 enthalten) sowie das Microsoft Visual C++ 2008 SP1 zu installieren. Die Installation der CSI-Konsole in der aktuellen Version 4.1.0.4617 stellt einen Administrator vor nicht allzu große Pro- Die Konsole ist dabei sowohl auf einem administrativen Client oder auch direkt auf www.it-administrator.de S32-35_ITA_1210_T03_InnoLogic.qxp 22.11.2010 17:07 Seite 3 P R O D U K T E I Te s t Bild 2: Die unterschiedlichen Scan-Methoden lassen sich leicht konfigurieren dem WSUS-Server installierbar. In unserem Test diente ein Windows Server 2008 R2 mit bereits konfiguriertem WSUS-Server als Basis für die Integration von CSI. Für die reibungslose Bereitstellung von selbsterstellten Update-Pakten müssen lediglich kleinere Anpassungen innerhalb der bestehenden Domäne vorgenommen werden. Damit die Microsoft-Lösungen die Verteilung von Drittanbietersoftware erlaubt, sind hierfür entsprechende Gruppenrichtlinien zu erstellen. Diese sind dann zum einen für die Verteilung der benötigten Zertifikate als auch für das Bereitstellen der Patches verantwortlich. Diese Konfiguration kann dabei entweder über den mitgelieferten Assistenten oder selbständig durchgeführt werden. Der Single Host Mode ist dabei speziell für Unternehmens-Notebooks entwickelt worden.Aufgrund der Tatsache, dass diese immer öfter nicht direkt mit dem Netzwerk des Unternehmens verbunden sind, ist ein geplanter Scan oft nicht möglich. Dieser Modus erlaubt es, dass, sobald eine Internetverbindung besteht, ein Abgleich der installierten Programme mit der Secunia-Datenbank vorgenommen werden kann. Die Ergebnisse werden dann an die CSI-Konsole übermittelt – so behalten Administratoren auch stets ihre mobilen Geräte im Auge. Der Network Appliance Mode hingegen ist für Administratoren gedacht, die mehr als einen Standort und dementsprechend mehrere IP-Netze betreuen. Hierbei ist es möglich, an jedem Standort einen CSIAgenten im sogenannten “Network Appliance Mode” zu betreiben und zeitgesteuerte Scans durchzuführen – vergleichbar mit einem Relay- oder Antivirenserver. Die Ergebnisse werden von den einzelnen Agenten dann im Anschluss zur eigentlichen CSI-Konsole gesendet und können zentral ausgewertet werden. Neu in der aktuellsten Version ist außerdem, dass Systeme, die mit dem Personal Software Inspector (PSI) ausgestattet sind, sich ebenso in den CSI einbinden lassen. Hierfür ist lediglich ein festzulegender Code auf der Client-Seite notwendig. Dieser wird dann im Anschluss in das hierfür vorgesehene Feld innerhalb der Konsole eingetragen. Arbeit mit dem CSI Dashboard Das Dashboard des CSI wartet mit einer frei anpassbaren Oberfläche auf. Diese erlaubte es uns mittels verschiedener Elemente, unsere eigene Oberfläche per Drag & Drop zu konfigurieren. Angefangen von einem generellen Sicherheitsstatus der Umgebung bis hin zu einzelnen Installationen und Gefährdungen lässt sich alles für den ersten Blick in der Konsole konfigurieren. Sehr gut ist ebenso die mitgelieferte Funktion der Historie, die einen chronologischen Überblick über den Sicherheitsstatus liefert und so schnell Änderungen innerhalb der Umgebung aufzeigt. CSI unterstützt mehrere Scan-Methoden und liefert so für verschiedene Einsatzzwecke die passenden Wege. Der Scanprozess ruft dabei die spezifischen Metadaten der einzelnen Applikationen ab, primär .EXE-, .DLL- und .OCX- Betrieb für mobile Nutzer und im Unternehmensnetz CSI unterscheidet zwischen einem “agent-based”- (Installation eines Agenten notwendig) und einem “agent-less”Modus (keine Installation notwendig). Hierbei erfolgt der Zugriff, wie der Name schon sagt, entweder über einen Agent oder über eine direkte Remoteabfrage des Clients über das Netzwerk. Mit der “agent-based”-Methode erhält der Administrator zudem zwei weitere Möglichkeiten, seine Umgebung anforderungsgerecht zu überwachen. Bei der Installation kann zwischen dem “Single Host Mode” und dem “Network Appliance Mode” unterschieden werden. www.it-administrator.de Bild 3: Die Ergebnisse eines ersten Scans Dezember 2010 33 S32-35_ITA_1210_T03_InnoLogic.qxp 22.11.2010 17:07 Seite 4 P R O D U K T E I Te s t Dateien, und erstellt eine vollständige Inventarisierung der installierten Software. Diese Ergebnisse werden dann mit der “Secunia Secure Data Processing Cloud” (DPRC) und den hinterlegten Dateisignaturen abgeglichen. In einem weiteren Schritt werden dann die Secunia Advisory- und Vulnerability-Datenbanken abgefragt und den jeweiligen Sicherheitslücken und Programmen zugeordnet.Als Ergebnis daraus erhält der Administrator eine präzise Inventarisierung aller installierten Applikationen, deren Versionen und dem genauen Sicherheitsstatus mit Hinweisen auf die bereits veröffentlichten Security Advisories. Innerhalb der CSI-Konsole stehen dafür mehrere Scantypen zur Verfügung. Zum einen ist es über einen “Quick Scan” möglich, einen einzelnen Client durch Eingabe der IP-Adresse oder des DNS-Namens abzufragen. Zum anderen besteht auch die Möglichkeit, Gruppen anzulegen. Diese wiederum können dann manuell geprüft oder mit einem geplanten Scan auf Sicherheitslücken getestet werden. Unter dem Menüpunkt “Results” erhält der Administrator einen schnellen Überblick über alle Systeme und kann dort direkt einsehen, welche Programme installiert sind. Zudem erhält er hier einen direkten Überblick über Informationen und Sicherheitslücken. Umfassendes Reporting Der Menüpunkt “Reports” bietet dem IT-Verantwortlichen ein umfangreiches Werkzeug, mit dem sich die eingesetzten Betriebssysteme, Service Packs und Anwendungen sinnvoll betrachten und entsprechend den bekannten Risiken bewerten lassen. Dabei unterscheidet CSI zwischen den drei Kategorien: - Insecure: Unsicher, es bestehen Sicherheitslücken - End-of-Life (EoL): Produktlebenszyklus beendet, es besteht kein Support mehr - Patched: Keine bekannten Sicherheitslücken vorhanden 34 Dezember 2010 Bild 4: CSI findet notwendige Patches und erlaubt auch, diese gleich zur Verteilung zu paketieren Für Programme, die aus verschiedenen Gründen nicht aktualisiert werden können, erstellten wir mittels eines Assistenten eine Ausnahmeregel. Damit erreichten wir, dass diese nicht wiederkehrend geprüft werden. Aus sicherheitstechnischer Sicht sollte dies jedoch nur sehr vorsichtig genutzt werden, denn ansonsten droht ein trügerisches Gefühl der Sicherheit. Daher sollten diese Programme auch regelmäßig betrachtet werden. Darüber hinaus bietet CSI die Möglichkeit, täglich per E-Mail über den aktuellen Status benachrichtigt zu werden. Diese Mitteilungen liefern auch Veränderungen im sogenannten Change Summary. Dieses erkennt, ob neue Software installiert wurde und informiert darüber hinaus über deren eventuelle Risiken. Außerdem erlaubte es uns CSI, verschiedene Report-Groups zu definieren. Hiermit erhalten IT-Abteilungen die Möglichkeit, mehrere Systemverantwortliche zu definieren, die wiederum angepasste, auf Ihre Systeme ausgelegte Reports per E-Mail erhalten. Ferner ließen sich verschiedene Reports automatisch generieren und per E-Mail zustellen. Hier boten sich uns vier Berichtstypen an: - Executive Summary Report: Sicherheitsbericht über alle Systeme (geeignet für IT-Sicherheitsverantwortliche und IT-Leiter) - Administrative Report: Sicherheitsbericht über alle Systeme des Verantwortungsbereiches (geeignet für verschiedene Administratoren, zum Beispiel: Server- und Clientadministratoren) - Host-Level-Report: Sicherheitsbericht über bestimmte ausgewählte Clients (geeignet für als hochkritisch eingestufte Systeme) - Program-Level-Report: Sicherheitsbericht über bestimmte ausgewählte Programme (geeignet für Applikationsverantwortliche, Softwareentwickler) Patches finden und verteilen Die größte Neuerung in CSI bildet der Punkt “Patch”. Hierüber lassen sich die Microsoft-Mechanismen für die Verteilung von Updatepaketen nutzen. Dafür werden die innerhalb der Scans gefundenen Schwachstellen mit der SecuniaDatenbank verglichen und im Anschluss angezeigt, ob für diese Applikationen eine Paketierung möglich ist. CSI bietet dabei zur Unterstützung einen direkten Downloadlink zur benötigten Herstellerseite an – daher ist auch kein www.it-administrator.de S32-35_ITA_1210_T03_InnoLogic.qxp 22.11.2010 langes Suchen nach der aktuellsten Version mehr notwendig. Die innerhalb der CSI-Konsole implementierte Paketierungsfunktion erstellt aus dem heruntergeladenen Programmupdate ein geeignetes,WSUS-kompatibles Paket und stellt es für die Verteilung innerhalb von CSI bereit. Die Bereitstellung kann dann über die im WSUS konfigur ier ten Computergruppen freigegeben werden. Die Bereitstellung der zuvor mit CSI paketierten Updates erfolgt im Anschluss dann über den bekannten WindowsUpdate-Dienst. Fazit Secunia bietet mit dem Corporate Software Inspector 4.0 ein bisher nicht dagewesenes Werkzeug, mit dem der ITAdministrator seine IT-Infrastruktur zu jederzeit bezüglich existierender Sicherheitslücken überwachen und auch patchen kann. Durch die umfangreichen Sicherheitsberichte, die zusätzlich innerhalb der Lösung bereitgestellt werden, ist stets eine Einschätzung der Sicherheitsanfälligkeiten möglich. 17:07 Seite 5 Produkt Software zum Finden und Patchen von Sicherheitslücken. Hersteller Secunia www.secunia.com Preis Secunia bietet derzeit vier Lizenz- und Preismodelle an: Secunia CSI Small Business, Standard Support Microsoft WSUS-Integration mit weniger als 100 Clients: 2.000 Euro. Secunia CSI, Standard Support Microsoft WSUS-Integration mit weniger als 400 Clients: 6.000 Euro. Secunia CSI Professional, Premium Support Microsoft SCCM- und Microsoft WSUS-Integration mit weniger als 1.000 Clients: 12.000 Euro. Secunia CSI Enterprise, Enterprise Support Microsoft SCCM- und Microsoft WSUS-Integration mit mehr als 1.000 Clients: 24.000 Euro. Technische Daten www.it-administrator.de/downloads/datenblaetter So urteilt IT-Administrator (max. 10 Punkte) Installation und Konfiguration 9 Funktionsumfang 8 Reports Durch die Symbiose aus einer bereits bestehenden Patch Management-Lösung und der CSI-Komponente erhöht das Werkzeug das Sicherheitsniveau signifikant. Dabei bietet Secunia für fast alle Infrastrukturarten, egal ob klein oder Mittelstand, die geeigneten Scans, Agenten (agent-less und agent-based), Methoden (Appliance-Mode) und Lizenzmodelle an. Als wir während unseres Tests einen kleineren Fehler innerhalb der Oberfläche feststellten, wurde dieser übrigens – nach kurzem E-Mailkontakt mit Secunia und der zuständigen Entwicklungsabteilung – innerhalb von weniger als zwei Stunden behoben.Vorbildlich, wie wir finden. (jp) Thomas Gronenwald ist Security-Berater bei der adMERITia GmbH in Langenfeld und Blog-Autor (blog.port389.de). www.it-administrator.de Mit uns als Partner Blicken Sie nach vorne 10 Patchmanagement (Drittanbieter) 7 Sicherheitsscan 9 Dieses Produkt eignet sich Starke Software-Lösungen für Ihr Unternehmen optimal für Unternehmen, die überwiegend Microsoft-basierte Betriebssysteme und Anwendungen betreiben und zudem bereits eine Microsoft PatchManagement-Lösung einsetzen. bedingt für mittelständische und große Unternehmen, die andere Bereitstellungsmechanismen nutzen und darüber hinaus keine geeigneten Microsoft Patch-Management-Lösungen einsetzen. nicht für Unternehmen, die zum größten Teil Linux-basierte Betriebssysteme und Applikationen einsetzen. Secunia Corporate Software Inspector 4.0 Strössendorfer Str. 29 D-96264 Altenkunstadt Tel: +49 9572 3866407 Fax: +49 9572 3866409 Mail: [email protected] www.inno-logic.de S14-20_ITA_0311_T04__Fujitsu_Netgear.qxp 17.02.2011 15:26 Seite 2 P R O D U K T E I Te s t Im Test: Hitachi IT Operations Analyzer 2.5 Netzwerkversteher von Jürgen Heyer Wenn ein Netzwerk nicht nur aus Servern und IP-LAN besteht, sondern auch eine komplexe SAN-Infrastruktur mit zentralen Speichereinheiten umfasst, ist es normalerweise üblich, für das Monitoring mehrere Werkzeuge mit verteilten Schwerpunkten einzusetzen. Eine ganzheitliche Überwachung der Performance und Verfügbarkeit all dieser Komponenten verspricht der IT Operations Analyzer von Hitachi bei gleichzeitig einfacher und intuitiver Bedienung. IT-Administrator wollte wissen, ob das Tool tatsächlich so universell, schnell und einfach einsetzbar ist. er bisher der Meinung war, dass sich Hitachi Data Systems (HDS) nur mit Speichersystemen beschäftigt, muss ein wenig umdenken. Auf der Suche nach neuen Betätigungsfeldern hat HDS mit dem IT Operations Analyzer ein leistungsfähiges Tool für eine umfassende Überwachung der IT-Infrastruktur mit ins Portfolio aufgenommen. Das Besondere daran ist, dass das Monitoring neben dem LAN (IP-Switches) und einer heterogenen Serverlandschaft (Windows, Red Hat/SUSE Linux, Sun Solaris, IBM AIX,VMware ESX, Microsoft Hyper-V und Dell-Server) auch das SAN (FC-Switches) und darin befindliche Speichersysteme sowohl von HDS als auch von anderen Herstellern umfasst. W Im Fokus sind mittelgroße Umgebungen mit bis zu 750 zu überwachenden Geräten (Knoten), wobei das Tool agentenlos arbeitet. Das erleichtert eine Einführung ungemein, denn die Konfiguration konzentriert sich in erster Linie auf ein System, nämlich den Server mit der AnalyzerInstallation. Die bestehende Netzlandschaft ist in der Regel nur geringfügig anzupassen, indem Portfreigaben eingerichtet und auf den Servern benötigte Dienste aktiviert werden. 14 März 2011 Eine zusätzliche Stärke des Analyzers ist neben dem breitbandigen Monitoring eine so genannte Root Cause Analyse (RCA) durch das Analysieren und Korrelieren gleichzeitig auftretender Meldungen verschiedener Geräte: Mit Hilfe der gefundenen Kommunikationsbeziehungen ermittelt die Software im Falle einer übergreifenden Fehlersituation den eigentlichen Ursprung beziehungsweise den Verursacher. Kombiniertes Testverfahren Um uns einen umfassenden Eindruck verschaffen zu können, haben wir uns beim Test für eine zweigleisige Vorgehensweise entschieden. Dazu führten wir in unserer Labor-Testumgebung eine eigenständige Installation durch, um zum einen das Setup bewerten zu können und zum anderen hier alle Möglichkeiten zur Änderung und Anpassung der Software zu haben. Nachdem wir aber mit unserer Umgebung keine komplexe LAN- und SAN-Infrastruktur nachbilden konnten, haben wir die Unterstützung von Hitachi in Anspruch genommen, indem wir uns zusätzlich noch einen Zugang auf deren Democenter in den USA einrichten ließen. Dort bekamen wir Zugriff auf einen bereits installierten Analyzer in einer umfassend ausgestatteten Umgebung mit diversen Servern, LAN- und SAN-(FC)-Switches sowie Speichersystemen von Hitachi und anderen Herstellern. HDS hat den IT Operations Analyzer 2.5 bewusst so konzipiert, dass er ohne großen Aufwand vom Endanwender installiert werden kann. Dies konnten wir im Test voll und ganz bestätigen. Die Hardwarevoraussetzungen sind mit einer 2-GHz-CPU und 1 GByte RAM sowie 14 GByte Plattenkapazität nicht besonders hoch, als Betriebssystem wird Windows Server 2003 (R2)/2008 (R2) vorausgesetzt. Mustergültig dokumentierte Installation Das Installationspaket bringt alles inklusive einer integrierten Datenbank mit. Bei der Einrichtung muss der Anwender nur die Zielpfade angeben, wobei die Datenbank auf Wunsch in einen anderen Pfad installiert werden kann als der Analyzer selbst. Weiterhin werden fünf Ports vorgeschlagen, unter anderem für den http-Zugriff sowie für die Kommunikation mit der Datenbank. Zu beachten ist, dass bei Nutzung der Windows-Firewall die entsprechenden Ports freigeschaltet werden müssen. Im Nor- www.it-administrator.de S14-20_ITA_0311_T04__Fujitsu_Netgear.qxp 17.02.2011 15:26 Seite 3 P R O D U K T E I Te s t nicht. Sehr hilfreich ist hier wiederum die Dokumentation von HDS, die alle diese kleinen Schritte detailliert beschreibt. Für die Einrichtung in komplexen Netzen mit Firewalls und der Überwachung von Systemen im Intranet sowie im internen Netz mit einem Analyzer gibt Hitachi zusätzlich Tipps, wie eine sinnvolle Trennung realisiert wird und welche Ports freigeschaltet werden müssen. Bild 1: In der Home-Ansicht sind die wichtigsten Fenster auf einer Seite zusammengefasst, damit sich der Administrator möglichst schnell einen Überblick verschaffen kann malfall übernimmt dies die Setup-Routine. Sollte aber während der Installation die Firewall abgeschaltet und erst anschließend aktiviert werden, klappt dies nicht. Für diesen Fall liefert HDS ein kleines Programm mit, mit dem sich die Einstellungen einfach nachtragen lassen. Zum Abschluss der Installation ist die Lizenzierung vorzunehmen. Absolut mustergültig bewerten wir die beiliegende Dokumentation, die den Endanwender gezielt bei der Installation und auch der weiteren Einrichtung unterstützt. Detailliert sind die Voraussetzungen genannt und die Installation schrittweise beschrieben. Besonders hilfreich sind weiterhin Übersichten und Ablaufpläne, welche Protokolle für die Kommunikation mit den unterschiedlichen Endgeräten benötigt werden. Auch bringt HDS eine Übersicht mit, welche zusätzlichen Dienste auf dem Analyzer-Server eingerichtet werden. Wie schon eingangs erwähnt, arbeitet der Analyzer ohne jegliche Agenten. Stattdessen nutzt er verschiedene Fernzugriffsarten und Protokolle, um die benötigten Informationen einzusammeln. Dies sind WMI (für Windows), SSH (für www.it-administrator.de Linux), SNMP (für LAN-Switches), SMI-S (für Hitachi 9500-Systeme sowie für Nicht-HDS-Speichersysteme und SAN-Komponenten).Auf aktuelle HDSSpeichereinheiten (Geräte der Serien AMS/WMS/SMS) kann der Analyzer direkt zugreifen. Zu beachten ist, dass das Verzichten auf Agenten nicht bedeutet, dass auf den zu überwachenden Servern gar nichts anzupassen ist: Beispielsweise ist es bei Windows 2003-Servern mit FC-HBAs (Fibre Channel Host Bus Adapter) notwendig, das Tool fcinfo zu installieren (erhältlich bei Microsoft), um den HBA mit WMI auslesen zu können. Bei Windows 2008 ist dieser WMI-Zugriff standardmäßig möglich. Für den Zugriff auf Linux- und Solaris-Server wiederum ist SSH2 zu aktivieren. Für die Überwachung virtueller Maschinen unter Windows/Linux auf einem ESX-Server ist es notwendig, dass dort die aktuellen VMware-Tools installiert sind. Dies ist wichtig, damit der Analyzer ermitteln kann, welche virtuelle Maschine auf welchem ESX-Server läuft. Andernfalls fehlt diese Zuordnung und außerdem stimmen die Performancedaten Die Benutzeroberfläche des Analyzers läuft im Webbrowser. Ein Administrator muss also an seinem Arbeitsplatz nur die Adresse des Analyzer-Servers und den entsprechenden Port angeben, um zur Anmeldemaske zu kommen. Laut Hitachi werden am Client Internet Explorer 6 und 7 unterstützt, außerdem muss der Adobe Flash Player (9.0.115.x oder 10.0.12.36) installiert sein. Feintuning bis ins Detail Damit der Zugriff über die bereits aufgeführten Protokolle schlussendlich klappt, sind beim ersten Aufruf des Analyzers die den Protokollen zugeordneten Credentials für die unterschiedlichen Authentifizierungen zu erfassen, wobei zu einem Protokoll auch mehrere Credentials angelegt werden können.Weiterhin sind die IP-Bereiche für einen Scan vorzugeben. Sofern es in einem Unternehmen genaue Vorgaben gibt, welche IP-Bereiche oder auch Netze für bestimmte Geräte benutzt werden (beispielsweise dedizierte Netze für Server und Speichereinheiten), kann der Administrator hier gezielt filtern, um zwar die gesamte Infrastruktur zu überwachen, normale Arbeitsplätze aber zu ignorieren. Optional kann der Administrator vorgeben, welche Credentials in den jeweiligen IP-Netzen zu benutzen sind. Um sich nun beispielsweise in verschiedenen Netzen per WMI mit unterschiedlichen Accounts an mehreren Windows-Servern anzumelden, erfasst er alle in Frage kommenden Credentials und ordnet diese den IP-Netzen zu. Wichtig ist dies, damit der Analyzer März 2011 15 S14-20_ITA_0311_T04__Fujitsu_Netgear.qxp 17.02.2011 15:26 Seite 4 P R O D U K T E I Te s t nicht durch zu viele Anmeldeversuche mit falschen Daten einzelne Accounts womöglich sperrt. Sind die Anmeldedaten und IP-Netze eingetragen, startet der Analyzer mit einer Suche und versucht, gefundene Geräte zu kontaktieren, um deren relevanten Eckdaten auszulesen. Alle neu gefundenen Knoten werden nun in einer Übersicht aufgelistet und der Administrator kann einzeln festlegen, welche überwacht und welche ignoriert werden sollen. Es ist also neben der generellen Filterung über IP-Adressbereiche zusätzlich möglich, innerhalb eines Subnetzes das Monitoring gezielt nur auf bestimmte Geräte zu beschränken. Auch kann der Administrator an dieser Stelle Geräteangaben manuell ergänzen, beispielsweise, wenn bei einem Server das installierte Betriebssystem nicht korrekt ermittelt werden kann. Besitzt ein System mehrere IP-Adressen, so ist nur die primäre, über die das System gefunden wurde, in schwarz dargestellt, weitere Adressen sind grau gekennzeichnet. Anhand der ausgelesenen Informationen beginnt der Analyzer auch, ein Netz der Kommunikationsbeziehungen aufzubauen, also entsprechende SAN- und LANPläne zu erstellen. Die Netzsuche sollte über den integrierten Scheduler automatisiert und regelmäßig wiederholt werden, um neue Geräte automatisch zu finden. Diese Suche kann täglich, in Abständen von mehreren Tagen, wöchentlich oder monatlich zu einer bestimmten Uhrzeit gestartet werden. Um die Administratoren bei neu gefundenen Knoten und auch bei anderen Ereignissen benachrichtigen zu können, unterstützt der Analyzer SMTP-Mails, wozu die entsprechenden Zugriffsinformationen einzugeben sind. Nachdem der Analyzer agentenlos arbeitet, muss er alle Geräte in bestimmten Intervallen abfragen, um Informationen zu erhalten. Dabei unterscheidet er drei Monitoring-Typen: Konfiguration, Status und Performance. Standardmäßig wird die 16 März 2011 Bild 2: Über ein Template kann der Administrator individuell festlegen, welche Grenzwertüberschreitungen als Warnung und Fehler gemeldet werden sollen Konfiguration einmal täglich geprüft, der Systemstatus alle fünfzehn Minuten und die Performance alle fünf Minuten. Der Administrator kann die Intervalle ändern, muss bei einer Verkürzung aber berücksichtigen, dass der Analyzer in einem Intervall auch alle zu überwachenden Systeme abfragen können muss.Verlängert er dagegen die Intervalle zu sehr, besteht die Gefahr, dass beispielsweise Performanceengpässe erst relativ spät erkannt werden. Angaben in Betrieb zu nehmen, und zum anderen dem Administrator diverse Stellräder zur Verfügung stehen, um das Verhalten des Analyzers an die individuelle Netzund Komponentenstruktur anzupassen. Intuitive Benutzeroberfläche Für die Bewertung der Grenzwerte für CPU-Last,Arbeitsspeichernutzung, Plattenkapazität und Lese-/Schreibdurchsatz sowie IP-Durchsatz beim Senden und Empfangen kommt der Analyzer mit in Templates hinterlegten Standardvorgaben, um bei deren Überschreiten eine Warnung oder einen Alarm abzusetzen. Gut ist, dass es für die verschiedenen Gerätearten eigene Templates gibt, in denen der Administrator diese Grenzwerte jeweils individuell anpassen kann. Die Benutzeroberfläche selbst ist klar gegliedert und erklärt sich von der Grundfunktion her selbst. So verteilen sich die Ansichten auf die vier Register “Home”, “Monitoring”, “Events” und “Reports”. Die Ansicht Home liefert die wichtigsten Informationen auf einen Blick. Dies sind letztendlich sechs Fenster mit den letzten Ereignissen, einer Trendanalyse bezogen auf die Ereignisse der letzten 14 Tage, den drei wichtigsten Ergebnissen der Root Cause Analysis (RCA), dem Gesundheitsstatus der Knoten nach RessourcenGruppen geordnet, den letzten neu gefundenen Knoten und der Top-10-Liste der Geräte mit den meisten Events in den letzten 24 Stunden. Hinsichtlich der gesamten Konfiguration hat uns sehr gut gefallen, dass es zum einen möglich ist, den Analyzer mit recht wenigen Beim Umgang mit der Home-Ansicht fiel uns auf, dass ein Administrator nur in einem Teil der Fenster intuitiv weiterkli- www.it-administrator.de S64-69_ITA_0911_P05_ExperTeach_EAZWorkshop-Langenfeld_EAZSH0111_ITA_Default 25.08.2011 15:42 Seite 7 Bestellen Sie jetzt das IT-Administrator Sonderheft I/2011! 180 Seiten Praxis-Know-how rund um das Thema Netzwerkanalyse & Troubleshooting zum Abonnenten-Vorzugspreis* von nur € 24,90! * IT-Administrator Abonnenten erhalten das Sonderheft I/2011 für € 24,90. Nichtabonnenten zahlen € 29,90. Alle Preise verstehen sich inklusive Versandkosten und Mehrwertsteuer. Mehr Informationen und ein Onlinebestellformular finden Sie auch hier www.it-administrator.de/kiosk/sonderhefte/ So erreichen Sie unseren Vertrieb, Abo- und Leserservice: Einfach kopieren und per Fax an den Leserservice IT-Administrator senden: 06123/9238-252 Leserservice IT-Administrator vertriebsunion meynen Herr Stephan Orgel D-65341 Eltville Ja, ich bin IT-Administrator Abonnent mit der Abonummer (falls zur Hand) ________________________________ und bestelle das IT-Administrator Sonderheft I/2011 zum Abonnenten-Vorzugspreis von nur € 24,90 inkl. Versand und 7% MwSt. Tel: 06123/9238-251 Fax: 06123/9238-252 Ja, ich bestelle das IT-Administrator Sonderheft I/2011 zum Preis von € 29,90 inkl. Versand und 7% MwSt. [email protected] Diese und weitere Aboangebote finden Sie auch im Internet unter www.it-administrator.de Der Verlag gewährt mir ein Widerrufsrecht. Ich kann meine Bestellung innerhalb von 14 Tagen nach Bestelldatum ohne Angaben von Gründen widerrufen.* per Bankeinzug Firma: Geldinstitut: Kto.: oder BLZ: per Rechnung Abos und Einzelhefte gibt es auch als E-Paper Name, Vorname: Straße: Land, PLZ, Ort: Datum: Tel: Unterschrift: E-Mail: * Zur Fristwahrung genügt die rechtzeitige Absendung einer E-Mail an [email protected] oder einer kurzen postalischen Mitteilung an Leserservice IT-Administrator, 65341 Eltville. ITA 0911 Ich zahle Leopoldstraße 85 D-80802 München Tel: 089-4445408-0 Fax: 089-4445408-99 Geschäftsführung: Anne Kathrin Heinemann Matthias Heinemann Amtsgericht München HRB 151585 S14-20_ITA_0311_T04__Fujitsu_Netgear.qxp 17.02.2011 15:27 Seite 6 P R O D U K T E I Te s t cken kann. So ließ sich beispielsweise eine Fehlermeldung anklicken, um mehr darüber zu erfahren. Es war aber nicht möglich, einen der zuletzt neu gefundenen Knoten auszuwählen, um sich dazu Details anzusehen.Auch lieferte ein Fenster zwar den Gesundheitsstatus der Geräte mit der Angabe, wie viele den Status Normal, Warnung, Kritisch und Unerreichbar haben.Wir kamen aber auf diesem Wege nicht direkt an die Information, welche Systeme sich tatsächlich hinter den Zahlen verbargen, um so gezielt prüfen zu können, warum ein bestimmter Status vorlag.Vielmehr befindet sich in der Fußzeile jedes der sechs Fenster ein Verweis zum Monitoring oder zu den Ereignissen, um dort Genaueres zu erfahren. In der Praxis gestaltete sich diese Suche etwas umständlich und wir sehen hier noch Optimierungspotential, um die Bedienung weiter zu vereinfachen. Insgesamt aber erwies sich die Home-Ansicht als recht hilfreich, um schnell zu erkennen, welche Meldungen aktuell aufgetreten und gegebenenfalls noch nicht bearbeitet sind. Auch lässt sich anhand der Top-10-Liste der Geräte mit den meisten Ereignissen recht gut erkennen, ob ein akuter Handlungsbedarf besteht. Sehr übersichtlich ist die Ansicht der Events gestaltet.Alle Ereignisse sind hier auf verschiedenen Registerblättern nach Relevanz oder Status geordnet (Alle, kritisch, Warnung, informativ, Konfigurationsänderungen, unbestätigte Ereignisse) aufgelistet. Noch nicht bestätigte Ereignisse sind fett dargestellt, bestätigte in normaler Schriftdicke. Darüber hinaus hat der Administrator die Möglichkeit, eine Leiste mit diversen Filtermöglichkeiten (Bestätigungsstatus, Dringlichkeit, Kategorie, Gruppierung, Gerätetyp und Meldungen der letzten sieben Tage) zu öffnen, um so die Anzeige gezielt einzuschränken. Beim Klick auf eine Ereignisbeschreibung öffnet sich ein Fenster mit weiteren Detailinformationen. Diese Informationen enthalten wiederum Verlinkungen zu zugehörigen Gruppen, IPAdressen oder WWNs, so dass der Ad- 18 März 2011 ministrator auf diesem Wege direkt von der Meldung zum Monitoring des entsprechenden Gerätes weitergeleitet wird. Das alles macht die Event-Bearbeitung sehr intuitiv und einfach. Für das Reporting sind knapp 50 Berichte vorbereitet, die in einer Übersicht nach Themen (Knoten- und Ereignisstatus, Performance) aufgelistet sind. In der Mehrzahl handelt es sich um Top-N-Auswertungen, um beispielsweise die Systeme entsprechend der Anzahl der kritischen Events anzuzeigen. Bei einigen Auswertungen lässt sich noch ein Zeitfenster (ein Tag, eine Woche oder ein Monat) oder auch eine Ressourcen-Gruppe sowie die Anzahl der auszuwertenden Knoten angeben. Bei den Top-N-Auswertungen gelangt der Administrator erfreulich einfach durch Anklicken eines Eintrages direkt zum entsprechenden Gerät. Weniger intuitiv sind dagegen mengenmäßige Auswertungen, die Übersichten mit Zahlenangaben generieren. Hier ist es wie in der Home-Ansicht nicht möglich, durch einen Mausklick auf einen Wert direkt zu den Knoten zu gelangen, die sich dahinter verbergen. Vielmehr findet sich wiederum am Ende der Liste eine Fußzeile mit einem Link zum Monitoring. In der so aufgerufenen Ansicht sind dann alle Knoten mit ihren Zuständen aufgeführt, aufgrund derer der Report erstellt wurde. Hier kann der Administrator nun die Systeme heraussuchen, die für einen bestimmten Status verantwortlich sind. Im Test erwies sich in diesem Bereich die Bedienung nicht als ganz so direkt, aber dennoch sollte es gelingen, alle relevanten Daten auszulesen. Letztendlich hat uns die gesamte Bedienung bis auf wenige Kleinigkeiten überzeugt, und wir konnten im Test von Beginn an flüssig arbeiten, ohne vorher die Dokumentation intensiv studieren zu müssen. Monitoring vom Feinsten Den tiefsten und umfassendsten Einblick ermöglicht die Monitoring-Ansicht, in der die überwachten Systeme nach Ressourcen-Gruppen, Geräten und Netzen gegliedert aufgelistet sind. Die Gliederung erweist sich als erfreulich übersichtlich, da sie es dem Administrator erlaubt, die Knoten unter verschiedenen Aspekten gruppiert zu betrachten, falls er beispielsweise einmal alle Applikationsserver sehen möchte und ein anderes Mal alle Speichereinheiten mit iSCSIUnterstützung. Bei der Betrachtung eines Knotens liefert der Analyzer dann sehr detaillierte Informationen beispielsweise zu einem Server mit eignen Registerblättern zu den Events, zum Status, zur installierten Software, zur Plattenka- Bild 3: Ein Klick auf einen Knoten in der Topologie-Ansicht zeigt alle zugehörigen Kommunikationsbeziehungen in einer eigenen Farbe an www.it-administrator.de S14-20_ITA_0311_T04__Fujitsu_Netgear.qxp 17.02.2011 15:27 Seite 7 P R O D U K T E I Te s t pazität, zu gefundenen Hardwarekomponenten und zur Performance. Leistungsdaten zeigt der Analyzer in kleinen Diagrammen auch grafisch an, wobei die Auswertezeiträume (in sieben Schritten von der letzten Stunde bis zu den letzten 60 Tagen) allerdings fest vorgegeben sind. Zu beachten ist hier auch, dass die Auswertung immer vom aktuellen Zeitpunkt in die Vergangenheit erfolgt. Es ist aber nicht möglich, einen beliebigen Zeitabschnitt frei herauszugreifen, was bei einer Fehleranalyse durchaus wünschenswert wäre. Besonders gut gefallen hat uns beim Monitoring die Möglichkeit, die Ansicht zwischen drei Modi umzuschalten. Noch recht gewöhnlich sind dabei die Tabellenansicht sowie die “At a Glance”-Liste, in der alle Geräte einer Gruppe mit deren wichtigsten Kenndaten (unter anderem Kapazität, Komponenten, Dienste und Performance) im Ampelverfahren auf- Bild 4: Ein RCA-Schnappschuss fasst alle betroffenen Systeme und zugehörigen Ereignisse zusammen und liefert auch den vermuteten Verursacher geführt sind. Eine Besonderheit aber ist die Topologieansicht, die die ermittelten Kommunikationsbeziehungen aufzeigt. Die Ansicht ist hierzu in fünf Spalten unterteilt. In der mittleren stehen die Server, während in den beiden linken Spalten LAN und Backbone zu finden sind, also letztendlich die Kommunikation via IP. Die rechten beiden Spalten sind für das SAN und die darin befindlichen Speichereinheiten reserviert. Gefundene Kommunikationsbeziehungen sind als schwarze Linien eingezeichnet. Markiert nun ein Administrator beispielsweise einen Server, so werden alle dazugehörigen (Kommunikations)-Linien hellblau dargestellt, NETGEAR FÜR KLEINERE UND MITTLERE UNTERNEHMEN Die einfache Antwort auf Komplexität. uns in Sie finden Stand D16 Halle 11, NETGEAR entwickelt passgenaue Lösungen für kleinere und mittlere Unternehmen – und bietet deshalb Enterprise-Class-Qualität mit erheblichen Kostenvorteilen. NETGEAR ReadyNAS Netz werkspeicher sind die perfekte Ant wort auf immer größeres und komplexeres Datenaufkommen im Unternehmensnetzwerk. Bezahlbar, besonders einfach implementierbar, mit minimalem Administrationsaufwand und plattformübergreifend arbeitend. Fordern Sie jetzt weitere Informationen oder Ihren persönlichen Katalog an: telefonisch unter 089 45242-9400 oder per E-Mail: [email protected] www.netgear.de/readynas ReadyNAS 4200 12-bay S14-20_ITA_0311_T04__Fujitsu_Netgear.qxp 17.02.2011 15:27 Seite 8 P R O D U K T E I Te s t und es lässt sich auf einen Blick erkennen, an welchen LAN-Switch dieser angeschlossen ist und über welche WWNs er mit welcher Speichereinheit verbunden ist. Insgesamt halten wir diese Art der Übersicht für sehr gelungen. Intelligente Ursachenermittlung In das Monitoring integriert ist die Root Cause Analyse (RCA), die es dem Administrator erleichtert, bei gleichzeitig auftretenden Fehlermeldungen die eigentliche Ursache zu ermitteln. Die RCA macht sich vor allem die gefundenen Kommunikationsbeziehungen zu Nutze, um nicht nur jedes Gerät für sich zu sehen, sondern auch die gesamte Struktur im Verbund. Ein eigenes Dokument beschreibt die Vorgehensweise der RCA. Die RCA ist mit den drei wichtigsten Ereignistypen gekoppelt: Änderungen der Gerätekonfiguration, Überschreitung der Perfor mance-Schwellwerte und SNMP-Traps.Tritt ein derartiges Ereignis auf, löst dies eine RCA aus, um den eigentlichen Verursacher festzustellen. Dazu erstellt der Analyzer entweder einen Verfügbarkeits- oder PerformanceSchnappschuss, der alle Meldungen enthält, die zeitlich mit dem auslösenden Ereignis zusammenhängen. Außerdem gibt der Analyzer die ver meintliche Ursache inklusive einer Trefferwahrscheinlichkeit aus. Der Administrator kann aus dem Schnappschuss herauslesen, welche Symptome erkannt wurden und welche Knoten von dem Ereignis betroffen sind. Wird also beispielsweise bei einem Speichersystem eine schlechte Performance ermittelt, liefert der Analyzer auch die Information, welche Server davon betroffen sind, weil sie dieses System nutzen. Bei der Nachverfolgung einiger aufgetretener RCA-Ergebnisse haben wir den Eindruck gewonnen, dass die gelieferten Informationen die Ursache mit den Auswirkungen gut beschreiben und so recht hilfreich sind. Das gesamte Regelwerk für die RCA ist dabei fest in 20 März 2011 den Analyzer integriert und nicht einseh- oder manipulierbar. Ein Administrator kann auch nicht seinerseits irgendwelche Zusammenhänge hinterlegen, sondern er ist darauf angewiesen, dass die Software alle Verknüpfungen selbstständig korrekt erkennt, um diese dann für derartige Analysen zu verwenden. Dreigeteilte Benutzerverwaltung Bei der Installation des Analyzers wird ein Systemadministrator automatisch angelegt, weitere Benutzer lassen sich bei Bedarf hinterlegen. Eine Kopplung mit einem Verzeichnisdienst beispielsweise per LDAP ist nicht vorgesehen. Beim Anlegen eines Benutzers muss diesem eine von drei Rechtetypen zugewiesen werden. nenten (IP- und FC-Switches) sowie der genutzten Speichersysteme sowohl von HDS als auch von anderen Herstellern. Wer sich vom Analyzer selbst einen persönlichen Eindruck verschaffen möchte, kann dies ohne großen Aufwand machen. Die von Hitachi bereitgestellte Trialversion mit 15-tägiger Laufzeit für bis zu 25 Knoten ist schnell installiert und in Betrieb genommen. (jp) Produkt Monitoring-Werkzeug für heterogene Netzwerke zur Überwachung der Server, IP- und FC-Switches sowie SAN-Speichersysteme. Hersteller Hitachi Data Systems http://itoperations.hds.com Preis Die Lizenz für 25 Knoten kostet 4.300 US-Dollar. Die Lizenzierung erfolgt generell in Schritten zu 25 Knoten. Der Rechtetyp Analyzer Admin kann alle Informationen einsehen, ergänzen, ändern sowie löschen und hat Zugriff auf die anderen angelegten BenutzerAccounts. Der Analyzer User hat Vollzugriff auf alle Informationen, aber nicht auf die anderen Benutzer-Accounts. Das Recht Analyzer View erlaubt nur das Browsen im Analyzer, ohne dass irgendetwas geändert werden kann. In der Regel sollten diese drei Rechtetypen für einen produktiven Einsatz ausreichen. So urteilt IT-Administrator (max. 10 Punkte) Fazit Installation 10 Dokumentation 10 Der Hitachi IT Operations Analyzer 2.5 hat sich im Test als sehr leistungsfähiges und zugleich einfach bedienbares Werkzeug gezeigt, das mit wenig Pflegeaufwand und ohne aufwändige Einarbeitung schnell zu nutzen ist. Der geringe Pflegeaufwand begründet sich in erster Linie aus der agentenlosen Arbeitsweise, so dass letztendlich nur der Analyzer selbst zu konfigurieren ist. Die Bedienung ist insgesamt erfreulich intuitiv, sollte aber unserer Meinung nach an einigen Stellen noch optimiert werden. Die große Stärke besteht in der breitgefächerten Einsetzbarkeit zum Monitoring einer heterogenen Serverlandschaft inklusive der LAN- und SAN-Kompo- Technische Daten www.it-administrator.de/downloads/datenblaetter Bedienung und Übersichtlichkeit 9 Darstellung logischer Pfade 9 Root Cause Analyse 8 Dieses Produkt eignet sich optimal für mittelgroße Unternehmen mit vergleichsweise komplexer Netzinfrastruktur mit LAN- und SAN-Komponenten. Hier ergibt sich unseres Erachtens der größte Nutzen. bedingt für den Einsatz in kleineren Unternehmen mit einer einfachen Netzinfrastruktur ohne SAN. nicht für Enterprise-Umgebungen, sobald mehr als 750 Geräte überwacht werden sollen. Das sprengt den konzeptionellen Rahmen dieser Software. Hitachi IT Operations Analyzer 2.5 www.it-administrator.de S38-43_ITA_0710_P04_EAZ_SH0210.qxp 22.06.2010 18:13 Seite 2 PRAXIS I Workshop Speicher-Management mit vSphere 4.0 Sauber geplante Storage-Architektur von Dennis Zimmer nnerhalb des vSphere-Universums ist es die Komponente vStorage, die sich um sämtliche Massenspeicher-relevanten Funktionen kümmert. vStorage basiert auf dem VMkernel, dem Herz des ESX Servers. Dieser wird immer modularer und vielseitiger, was die Funktionalitäten beim Umgang mit Speichersystemen angeht. Der VMkernel ist mit seinen Modulen dafür zuständig, den virtuellen Maschinen beinahe beliebigen Massenspeicher mit mehr oder weniger Zwischenschichten (Raw Device Mapping oder virtuelle Festplattendatei) als einheitliche Festplatten bereitzustellen. Ob IDE, SATA, SAS, FC, FCoE, iSCSI oder NFS – alles ist prinzipiell nutzbar, sofern Sie sich an die aktuellen Kompatibilitätslisten [1] halten. Quelle: pmphoto - Fotolia.com Die saubere Planung der Storage-Umgebung ist einer der wichtigsten Erfolgsfaktoren für eine gelungene Virtualisierung, denn viele vermeidbare Fehler haben ihre Ursache im Speicher-Umfeld. Glücklicherweise kommen mit jeder neuen VMware-Entwicklung im Enterprise-Segment – derzeit vSphere 4.0 – Funktionen hinzu, die den optimalen Einsatz verschiedenster Storage-Systeme ohne zusätzliche Software ermöglichen. Im Laufe dieses Artikels schauen wir unter die Haube von vSphere und betrachten, welche Neuerungen Version 4.0 für das Speicher-Management mitbringt. I Durch die integrierten Treiber und Limitierungen der Technologien oder des Herstellers lassen sich nicht alle Protokolle und Geräte für jede Funktion nutzen. Ein Beispiel hierfür wären IDE- oder SATAFestplatten an lokalen Controllern, die von VMware keine Unterstützung für die Ablage von virtuellen Maschinen erhalten, sehr wohl aber für die Installation des ESX-Systems.Wer die SATA-Festplatten aber durch ein zentrales Speichersystem nutzt und per iSCSI oder FC mit dem 38 Juli 2010 ESX Server verbindet, kann darauf auch virtuelle Maschinen betreiben. Storage-Typen im Überblick Eine der wichtigsten Neuerungen von vSphere ist die “Pluggable Storage Architecture” (PSA). Diese ermöglicht es, Module von VMware oder Drittherstellern zur Anpassung von Multipathing und zur Optimierung der Leistung zu integrieren. Dies ist ein wesentlicher Schritt nach vorn gegenüber der früheren Architektur, die ein starres Multipathing-Verfahren mit insgesamt drei Multipathing-Policies (Most Recently Used, Fixed und Round Robin) vorsah. Die nativen Multipathing-Verfahren sind gleich geblieben, das starre Verfahren jedoch ist einem äußerst flexibel nutzbaren Vorgehen gewichen. Um die richtigen Multipathing-Policies auszuwählen, ist es wichtig, die verschiedenen Storage-Systemtypen zu kennen, die sich bei den Zugriffsmöglichkeiten aller Pfade auf eine LUN unterscheiden. Active-Active-Storage Ein Active-Active-System bietet die Möglichkeit, über alle Ports eines SAN mit www.it-administrator.de S38-43_ITA_0710_P04_EAZ_SH0210.qxp 22.06.2010 18:13 Seite 3 PRAXIS I Workshop unoptimized, Unavailable, Standby) auszulesen. Damit kann der ESX-Server die optimierten Pfade bevorzugt behandeln. ALUA muss von Storage-Seite aktiviert sein und wird vom ESX-Server bei den Multipathing-Policies MRU und RoundRobin automatisch genutzt. ALUA wird von den meisten Systemen im Fibre Channel- und iSCSI-Umfeld genutzt. Ausnahme sind die NetApp-Systeme, die ALUA nur im FC-Umfeld benötigen. Most Recently Used (MRU) Bild 1: Bei der Auswahl der Multipathing-Policies stehen über das Drop-Down-Menü drei verschiedene Modi zur Verfügung gleicher Geschwindigkeit und zur gleichen Zeit auf die durch das Storage-System bereitgestellten Ressourcen zuzugreifen. Zu diesen Systemen gehören unter anderem EMC Symmetrix DMX, Hitachi USP-V/VM, IBM DS8000, Hitachi AMS2000, HP XP und 3PAR InServ. Active-Passive-Storage Im Gegensatz zu Active-Active-Systemen können die Storage-Prozessoren der Active-Passive-Umgebungen nicht gleichzeitig auf eine RAID-Gruppe und deren LUNs zugreifen und diese im SAN bereitstellen. Der aktive Storage-Prozessor ist der Eigner (Owner) der LUN und steuert alle Zugriffe.Allerdings übernimmt der passive Storage-Prozessor beim Ausfall des aktiven Storage-Prozessors dessen Funktion (Trespassing) und dessen RAID/LUNZugriff. Dieser Trespassing-Vorgang kann mehrere Sekunden dauern. Daher ist zwar nur ein manuelles Load Balancing möglich, die Ausfallsicherheit ist aber gewährleistet. Durch den Zugriff mehrerer ESXHosts und den Betrieb dutzender oder hunderter VMs auf einem Storage-System bedeutet ein Trespassing von mehreren Sekunden viel Last auf dem noch funktionsfähigen Controller. Zu diesen Systemen gehören unter anderem EMC CX (alte www.it-administrator.de Modelle und Firmware), Hitachi AMS1000 und HP MSA (alte Firmware). Asymmetric Active-Active-Storage Pseudo Active-Active oder Active-Active Asymmetric stellt eine Zwitterform zwischen Active-Active und Active-Passive dar. Zwar bieten alle Front-End-Anschlüsse (in Richtung ESX-Host) die Möglichkeit, gleichzeitig auf die durch das Storage-System bereitgestellten Ressourcen zuzugreifen, allerdings ist die Geschwindigkeit der einzelnen Anschlüsse unterschiedlich. Dies kommt daher, dass wie beim Active-Passive-System LUN Owner existieren, womit nur einer von zwei Storage-Prozessoren die volle Geschwindigkeit erreichen kann, während der zweite immer über den Eigner auf die LUNs zugreifen muss, was zu teils sehr deutlichen Leistungsengpässen führt. Zu diesen Systemen zählen unter anderem EMC CX, HP MSA (neue Firmware), HP EVA, NetApp FAS und IBM DS4000/6000. Asymmetric LUN Unit Access (ALUA) Eine wesentliche Neuerung von vSphere 4.0 ist die Unterstützung von ALUA, das die Kommunikation zwischen Storage und ESX-Server ermöglicht, um den Status der Pfade (Active-optimized, Active- Most Recently Used empfiehlt sich bei den meisten Active-Passive Storage-Systemen. Der große Nachteil an MRU ist, dass immer nur ein Pfad genutzt wird und somit kein manuelles Load Balancing einstellbar ist. MRU hat jedoch den Vorteil, dass das System nur beim Ausfall eines Pfades auf einen noch aktiven Pfad wechselt und dort bleibt. Dadurch sind fehlerhafte Ports nicht ganz so dramatisch wie beim Fixed-Modus. MRU ist ALUA-fähig und damit Fixed Multipathing bei ActiveActive Asymmetric-Systemen vorzuziehen. Fixed Der angegebene bevorzugte Pfad wird immer genutzt, bis er ausfällt. Dann wechselt das System auf einen noch verfügbaren Pfad. Geht der bevorzugte Pfad allerdings wieder online, findet ein erneutes Umschalten statt. Fixed empfiehlt sich für manuelle Lastverteilung zwischen den Pfaden, birgt aber eine gewisse “PingPong-Gefahr”, wenn der bevorzugte Pfad immer mal wieder ausfällt, etwa aufgrund eines Portproblems. Fixed Multipathing ignoriert ALUA. Obwohl sich Fixed bei Active-Active-Systemen meist sinnvoll einsetzen lässt, können manche Hersteller aufgrund ihrer Architektur auch bei Active-Passive mit Fixed arbeiten – hier sollten Storage-Verantwortliche auf die Empfehlungen des Herstellers achten. Round Robin Die neueste Form der Pfadverwaltung ist Round Robin, die auf den Möglichkeiten eines Active-Active-Arrays aufsetzt. Der Pfad wird aufgrund der Anzahl von durchgeführten I/O-Operationen oder dem Datendurchsatz stetig gewechselt, wodurch eine sehr effektive Lastverteilung entsteht. Round Robin ist bei ActivePassive nicht sinnvoll einsetzbar und wird daher nicht empfohlen. Handelt es sich um einen Active-Active Asymmetric-Storage, so erkennt Round Robin die optimalen Pfade mittels ALUA und benutzt die weniger optimalen nur im Notfall. Die Nutzung von Round Robin wird von VMware nicht unterstützt, wenn sich die Festplattendatei einer VM mit Microsoft Cluster-Funktionalität auf der LUN befindet. Vor- und Nachteile verschiedener Multipathing-Policies Juli 2010 39 S38-43_ITA_0710_P04_EAZ_SH0210.qxp 22.06.2010 18:13 Seite 4 PRAXIS I Workshop Aufbau der Pluggable Storage Architecture Zum Verständnis der Pluggable Storage Architecture (PSA) sei zunächst gesagt, dass dies der Überbegriff für die komplett neue modulare Storage-Architektur des vSphere ESX ist.Technisch steht in erster Linie das native Multipathing Modul (NMP) im Vordergrund, da es als Standardmodul geladen wird. NMP entscheidet über die Art des Multipathing (siehe Kasten auf Seite 39) und versucht, das angeschlossene Storage-System zu erkennen und die passende Policy automatisch auszuwählen. Diese Richtlinie lässt sich manuell umstellen, allerdings sollte dies vorher genau durchdacht sein, da es sonst zu Stabilitäts- und Leistungsproblemen kommen kann. Dem NMP-Modul stehen weitere PlugIns zur Verfügung, die aufgrund des Storage-Systems (Storage Array Type Plugin – SATP – erkennt das Storage-Modell und überwacht den Status der Pfade) und der gewählten Multipathing-Policy (Path Selection Plugin – PSP – entscheidet über den zu nutzenden Pfad) geladen werden. Die vordefinierten Regeln sind in der Konfigurationsdatei /etc/vmware/ esx.conf zu finden, können aber mit dem Befehl esxcli (sowohl lokal als auch über die vCLI verfügbar) angepasst werden. Der Eintrag /storage/plugin/NMP/config[VMW_SATP_ ALUA]/defaultpsp = “VMW_PSP_MRU” in esx.conf zeigt, dass als Standardeinstellung bei erkanntem Asymmetric Active-Active Array (ALUA-fähig) MRU als Policy gewählt wird. Dies wäre zum Beispiel bei der HP MSA/EVA, NetApp oder Fujitsu Eternus der Fall. Mit dem Befehl /istorage/plugin/NMP/config[VMW_SATP _ALUA_CX]/defaultpsp = “VMW_PSP_FIXED” würde eine EMC CX mit ALUA-Unterstützung automatisch eine Fixed Policy erhalten. Nicht ALUA-fähige CXSysteme würden mit diesem Eintrag mit MRU konfiguriert: 40 Juli 2010 /storage/plugin/NMP/config[VMW_SATP_ CX]/defaultpsp = “VMW_PSP_MRU” Im Gegensatz dazu bewirkt das folgende Kommando, dass Active-Active-Systeme automatisch mit Fixed konfiguriert würden: /storage/plugin/NMP/config[VMW_SATP_ DEFAULT_AA]/defaultpsp = “VMW_PSP_FIXED” Dies sind nur einige Beispiele, von denen Dutzende in der Datei esx.conf hinterlegt sind. Eine grobe Liste der Plug-Ins lässt sich auch über den Befehl esxcli nmp satp list einsehen. Eine Aufstellung der von PSP ermöglichten Pfadregeln erscheint nach dem Kommando esxcli nmp psp list. Diese Liste und damit die Funktionalität kann sowohl von VMware als auch von Drittherstellern erweitert werden. Ferner ist es möglich, die automatischen Regeln anzupassen, was die manuelle Umstellung jeder einzelnen LUN erspart. Dies ist zum Beispiel auf dem Gerät EMC DMS Symmetrics mit dem Befehl esxcli nmp satp setdefaultpsp —satp VMW_SATP_SYMM —psp VMW_PSP_RR möglich. Auf einer NetApp FAS würde das Kommando folgendermaßen aussehen: esxcli nmp satp setdefaultpsp —satp VMW_SATP_ALUA —psp VMW_PSP_RR Zum Überprüfen der eingestellten Regeln können Sie den Befehl esxcli nmp device nutzen. Da NMP das Hauptmodul ist und die Plug-Ins nur zur Kommunikation und Informationsbereitstellung dienen, müssen diese ihr Ergebnis immer an NMP zurückliefern, das für den eigentlichen Datenfluss zuständig ist. Hat SATP einen toten Pfad erkannt, wird dies an NMP zurückgemeldet, das dann über SATP über weitere Pfadmöglichkeiten in Kenntnis gesetzt wird und durch PSP den zu nutzenden Pfad nach den Multipathing-Regeln erhält. NMP steuert danach die Daten auf den von PSP vorgegebenen Pfad. Stellt ein Dritthersteller alle Module (NMP + PSP + SATP), wird dies Multipathing Plug-In (MPP) genannt, was bisher unter anderem EMC mit PowerPath/VE nutzt. Die VMware vStorage API umfasst allerdings mehr als nur die PSA, zu ihr gehören auch Funktionen, die von Backupprodukten genutzt werden können. Diese werden zusammengefasst als “vStorage API for Data Protection” und ersetzen unter anderem VMware Consolidated Backup. Inkrementelles Backup durch Change Block Tracking In vSphere hat sich nicht nur die Art der Storage-Anbindung geändert, sondern auch die Art der Backup-Möglichkeiten. Bisher ließen sich die Änderungen in virtuellen Festplattendateien (vmdk) nur schwer nachvollziehen, so dass Speicher-Admins entweder auf Lösungen mit Snapshots oder komplexe Softwareagenten im Gastbetriebssystem angewiesen waren. vSphere hat im Zuge der vStorage API for Data Protection das so genannte Change Block Tracking (CBT) eingeführt, das eine Änderungsliste führt, was eine einfache inkrementelle Image-Sicherung ermöglicht. CBT ist technisch gesehen Teil des VMkernel Storage Stack (vmdk, nicht VMFS) und auch ohne die vStorage API for Data Protection verfügbar. Die Liste zeichnet Änderungen in 64 KByte Blockgröße auf und vergrößert sich mit der Anzahl der geschriebenen Blöcke im Gastsystem – daher existiert kein Nachteil bei der Einstellung der VMFS-Blockgröße größer 1 MByte. Als Standardeinstellung ist CBT deaktiviert, da durch die Protokollierung der Änderungen ein geringer Overhead entsteht. Sobald CBT läuft, befinden sich Dateien nach dem Format *–ctk.vmdk im Ablageverzeichnis der VM. Die ersten Backup-Produkte wie Veeam Backup and Recovery sind bereits auf diesen Zug aufgesprungen und sichern über diese neue Methode. Da VMware die vStorage API for Data Protection als neuen Sicherungsstandard definiert hat und www.it-administrator.de S38-43_ITA_0710_P04_EAZ_SH0210.qxp 22.06.2010 18:13 Seite 5 PRAXIS I Workshop VMware Consolidated Backup nicht mehr lange Unterstützung finden wird, sollte auch der Rest der Backupsoftware-Hersteller nach und nach darauf umstellen. CBT hat allerdings auch Limitierungen, da es keine Templates und Raw Device Mappings und VMs der alten Hardwaregeneration 4 unterstützt. Außerdem ist es nicht möglich,VMs, für die bereits Snapshots vor der CBT-Aktivierung vorlagen, zu sichern. Speicherplatz-Verwaltung für virtuelle Maschinen mit VMFS und NFS Nachdem wir ein Auge auf die StorageAnbindung und die neuen Möglichkeiten des Multipathing und zur Sicherung geworfen haben, wollen wir uns noch die beiden Wege der Storage-Ablage für virtuelle Maschinen ansehen:VMFS und NFS. VMFS ermöglicht Online-Vergrößerung einer LUN Das VMFS (Virtual Machine File System) ist das von VMware entwickelte, clusterfähige Dateisystem, das für den Betrieb von virtuellen Maschinen optimiert wurde. VMFS kann nur auf leere Festplatten (Block Device) angewandt werden und steht daher für alle LUNs (lokal oder SAN) zur Verfügung, nicht aber bei NFS. Der Leistungsunterschied zwischen VMFS-formatierten LUNs und direkt zugeordneten LUNs (RDM) ist so gering, dass er vernachlässigbar ist. Gerne wird hier allerdings der Fehler gemacht, Äpfel mit Birnen zu vergleichen, das heißt die Performance einer von insgesamt zehn VMs auf einem VMFS Datastore gegen ein RDM. Da das VMFS von zehn virtuellen Maschinen mit mehreren Festplatten belastet wird, ist die einzelne VM natürlich langsamer als das ausschließlich als eine Festplatte genutzte RDM. Bei einem 1:1-Vergleich liegt der Leistungsunterschied unter drei Prozent. Eine VMFS-Partition darf allerdings maximal 2 TByte (genauer: 2 TByte und 512 Byte) groß sein, was ein hartes Limit von VMware ist.Allerdings ließen sich mittels Extends 32 dieser 2 TByte-LUNs zu ei- www.it-administrator.de Bild 2: Bei der Konfiguration einer LUN sollte genau über die Wahl der richtigen Blockgröße nachgedacht werden nem Datastore verbinden, um die Kapazität so auf 64 TByte zu erhöhen. Die Limitierung auf eine 2 TByte-VMDK-Festplattendatei bleibt in diesem Fall trotzdem bestehen. Eine Neuerung ist weiterhin die Möglichkeit,VMFS-Partitionen ohne die Nutzung von Extends zu vergrößern – somit lässt sich eine LUN im Storage und unter VMware online vergrößern. Die komplette Liste der Limitierungen geht aus einem PDF-File [2] hervor. Immer die richtige Blockgröße Bei der Formatierung einer LUN mit VMFS kommt es zu der Abfrage der gewünschten Blockgröße. Diese Frage sollte nicht leichtfertig übergangen werden, da als Standard 1 MByte eingestellt ist. 1 MByte bedeutet eine maximale Dateigröße von 256 GByte, was sich nachträglich nicht mehr ändern lässt. Dies gilt auch für Raw Device Mappings, da diese eine Proxydatei im VMFS ablegen.Wenn größere Festplattendateien für die virtuellen Maschinen genutzt werden sollen oder die Verwendung noch unklar ist, sollte die Entscheidung in jedem Fall zugunsten einer umfangreicheren Blockgröße fallen. Diese Empfehlung betrifft allerdings nur vSphere, da sich dort sehr viel in der Optimierung der Blockzugriffe getan hat. Diese Optimierung nennt sich Sub-Block Allocation und bedeutet, dass eine kleine 20 KByte-Datei nicht mit 8 MByte bei einer 8 MByte Blockgröße zu Buche schlägt, sondern nur mit 64 KByte, der kleinstmöglichen Einheit. Die Zugriffe aus dem Gastsystem haben übrigens nichts mit der Blockgröße des VMFS zu tun, denn es herrschen keine Leistungseinbußen, egal wie klein oder wie groß die VMFS-Blockgröße gewählt wurde. Das Gastbetriebssystem mit dem darunterliegenden Dateisystem bestimmt alleinig den Zugr iff auf den Storage und welche Blockgröße angefordert wird. Allerdings ist zu beachten, dass eine VM, die auf verschiedenen Datastores mit unterschiedlichen Blockgrößen liegt, Probleme mit Snapshots haben kann. Dies hängt mit der Ablage der Delta-Datei im Arbeitsverzeichnis ab. Sollte also die VM mit dem Arbeitsverzeichnis auf einem 1 MByte Blocksize-VMFS liegen, eine weitere Platte der VM aber auf einem 4 MByte Blocksize-VMFS, so könnte die Deltadatei für die zweite Platte die Maximalgröße des Datastores mit dem Arbeitsverzeichnis überschreiten. Unter vSphere erscheint dann in der Logdatei/var/log/vmkwarning die Meldung “File is larger than the maximum size supported by datastore”. Ein Eintrag in der VMware Knowledge Base zu diesem Thema findet sich im Web [3]. Thin Provisioning für VMFS Eine weitere Neuerung ist die offizielle Unterstützung von Thin Provisioning für VMFS-Datastores. Bisher gab es dies nur für NFS-Datastores, ließ sich unter VMFS allerdings bereits mit dem Befehl vmkfstools inoffiziell nutzen. Der große Unterschied von Thin Provisioning zu VMDK-Dateien ist, dass diese mit den Daten wachsen. Formatiert der Nutzer eine bestehende 10 GByte VMDK und kopiert 2 GByte hi- Juli 2010 41 S38-43_ITA_0710_P04_EAZ_SH0210.qxp 22.06.2010 18:13 Seite 6 PRAXIS I Workshop nein, so ist die VMDK-Datei im VMFS nur 2 GByte groß. Laut VMware-Dokumentationen soll es beim Einsatz von Thin Provisioning nicht zu einer Fragmentierung des Dateisystems kommen, da die Größe der Thin Provisioning-Chunks größer ist als die des Betriebssystems im Gast. Mit jedem Wachstum der VMDK-Datei findet allerdings im SAN-Umfeld eine SCSI-Reservation aufgrund der Änderung von VMFS-Metadaten statt. Dieses Verhalten wurde mit vSphere so optimiert, dass es bisher noch zu keinen messbaren Leistungsnachteilen beim Einsatz von Thin Provisioning kam. Eine Performancemessung von VMware ist im Internet unter [4] zu finden.Thin Provisioning erfordert auf der organisatorischen Seite sehr viel Aufmerksamkeit, da es damit zu einer Überprovisionierung des Storage kommt. Denn obwohl etwa nur 512 GByte im Datastore zur Verfügung stehen, ist es möglich, mehrere 1,5 TByte an Plattenplatz zu vergeben. Da dieser erst mit den geschriebenen Daten wächst, ist es wichtig, den realen Füllgrad des Datastores zu überwachen. Generell sollte die Rate der Überprovisionierung nicht übertrieben werden. Bei der Nutzung von Thin Provisioning ist ferner zu bedenken, dass die VMDKDateien immer nur wachsen. Wenn also eine 1 GByte-Datei geschrieben und danach wieder gelöscht wird, werden die Blöcke in der VMDK-Datei und damit im Datastore trotzdem geschrieben. Weiterhin müssen Formatierungen mit Überschreiben mit Nullen tunlichst unterbleiben und Tools wie sdelete, die ebenfalls Nullen schreiben, sollten mit äußerster Vorsicht zum Einsatz kommen. Das dynamische Wachsen wird übrigens nicht beim Einsatz von Fault Tolerance unterstützt. Vorteile durch File-basierte Verwaltung mit NFS NFS wird neben VMFS von VMware zur Ablage virtueller Maschinen unterstützt. Im Gegensatz zu VMFS wird das Dateisystem vom Storage-System und nicht 42 Juli 2010 vom ESX-Server bereitgestellt und betrieben. Aufgrund dessen ist auch keine Nutzung von Raw Device Mappings möglich, da vom NFS keine Blockgeräte, sondern direkt ein Dateisystem angeboten wird. Daher unterscheiden sich auch die Sperrmechanismen, um clusterfähig zu bleiben, das heißt im NFS wird mit einer LCK-Datei gearbeitet, die den Zugriff eines ESX-Hosts auf eine Festplattendatei markiert. Bei NFS kommt automatisch Thin Provisioning zum Einsatz, weshalb bei der Anlage von VMs auf NFS-Datastores keine Möglichkeit besteht, das Festplattenformat auszuwählen. Weiterhin ist NFS (derzeit wird nur NFS Version 3 von VMware unterstützt) ein Standard, es lässt sich also auch mit anderen Linux- oder Windows-Rechnern auf den Datastore lesend und schreibend zugreifen, was bei VMFS offiziell nicht möglich ist. NFS wird durch die Angabe von Servername (DNS) oder IP-Adresse plus Exportpfad mit den ESX-Servern verbunden und es ist bei der Erstellung des Exports am Storage zu beachten, dass der RootZugriff für anonyme Benutzer möglich ist. In punkto Flexibilität kann NFS gegenüber Block-orientierten Storage-Systemen (iSCSI und FC) punkten, da weder LUN SCSI-Reservations noch Größenlimitierungen des Datastores bestehen. Daher ist es auch keine Seltenheit, 100 VMs auf einem NFS-Datastore zu betreiben. Wie erwähnt, besteht keine Limitierung bei 2 TByte für die DatastoreGröße, sehr wohl bleibt allerdings die Limitierung der VMDK-Datei bei 2 TByte bestehen. Die Frage nach genügend Performance ist durch das sich allmählich im Rechenzentrum etablierende 10-GBitEthernet gegenüber 4-GBit-FC in den meisten Fällen vernachlässigbar. NFS stellt sich besonders in größeren und schnell wachsenden Infrastrukturen oft als die bessere Wahl heraus. Bei der Einrichtung sollten aber folgende Advanced Settings des ESX bedacht werden: - NFS.MaxVolumes - Net.TcpIpHeapSize - Net.TcpIpHeapMax - NFS.HeartbeatFrequency - NFS.HeartbeatMaxFailures Fazit VMware hat in vSphere sehr viele und sehr wichtige Änderungen integriert, die den Betrieb von virtuellen Infrastrukturen wesentlich vereinfachen. Neben den Anpassungen im Multipathing-Umfeld, allen voran ALUA, und den Integrationsmöglichkeiten durch Dritthersteller stellen natürlich auch die Änderungen im Backupumfeld deutliche Fortschritte dar, auf welche die meisten Nutzer vor allem in mittleren und größeren Infrastrukturen lange gewartet haben. Aber auch die Überwachungsmöglichkeiten wurden ausgebaut, um den Füllgrad der Datastores und die Überbelegung bei der Nutzung von Thin Provisioning immer im Blick zu behalten und zu verhindern, dass die Datastores volllaufen. Auch die Reports im Multipathing-Umfeld tun ihr Übriges, damit der Verantwortliche eine bessere Übersicht erhält und schneller auf Fehler reagieren kann.VMware ist mit vSphere und der überarbeiteten Storage-Integration definitiv ein großer Wurf gelungen, der vielen Administratoren die Arbeit erleichtert. Natürlich besteht weiterhin Verbesserungsbedarf an der ein oder anderen Stelle, aber VMware hat mit vSphere 4.0 noch lange nicht das Ende der Produktlaufzeit erreicht. (ln) [1] VMware Compatibility Guide www.vmware.com/go/hcl/ [2] Configuration Maximums for vSphere 4.0 www.vmware.com/pdf/vsphere4/r40/ vsp_40_config_max.pdf [3] Knowledge Base-Artikel bezüglich einer korrekten Snapshot-Erstellung http://kb.vmware.com/kb/1012384/ [4] Performance-Studie für vStorage Thin Provisioning www.vmware.com/pdf/ vsp_4_thinprov_perf.pdf Links www.it-administrator.de EAZ_SH0112_ITA_Default 12.01.2012 15:59 Seite 1 Bestellen Sie jetzt das IT-Administrator Sonderheft I/2012! 180 Seiten Praxis-Know-how rund um das Thema Exchange 2010 Migration, Betrieb und Troubleshooting zum Abonnenten-Vorzugspreis* von nur € 24,90! * IT-Administrator Abonnenten erhalten das Sonderheft I/2012 für € 24,90. Nichtabonnenten zahlen € 29,90. Alle Preise verstehen sich inklusive Versandkosten und Mehrwertsteuer. Liefertermin: Ende März 2012 Mehr Informationen und ein Onlinebestellformular finden Sie auch hier www.it-administrator.de/kiosk/sonderhefte/ So erreichen Sie unseren Vertrieb, Abo- und Leserservice: Einfach kopieren und per Fax an den Leserservice IT-Administrator senden: 06123/9238-252 Leserservice IT-Administrator vertriebsunion meynen Herr Stephan Orgel D-65341 Eltville Ja, ich bin IT-Administrator Abonnent mit der Abonummer (falls zur Hand) ________________________________ und bestelle das IT-Administrator Sonderheft I/2012 zum Abonnenten-Vorzugspreis von nur € 24,90 inkl. Versand und 7% MwSt. Tel: 06123/9238-251 Fax: 06123/9238-252 Ja, ich bestelle das IT-Administrator Sonderheft I/2012 zum Preis von € 29,90 inkl. Versand und 7% MwSt. [email protected] Diese und weitere Aboangebote finden Sie auch im Internet unter www.it-administrator.de Der Verlag gewährt mir ein Widerrufsrecht. Ich kann meine Bestellung innerhalb von 14 Tagen nach Bestelldatum ohne Angaben von Gründen widerrufen.* per Bankeinzug Firma: Geldinstitut: Kto.: oder BLZ: per Rechnung Abos und Einzelhefte gibt es auch als E-Paper Name, Vorname: Straße: Land, PLZ, Ort: Datum: Tel: Unterschrift: E-Mail: * Zur Fristwahrung genügt die rechtzeitige Absendung einer E-Mail an [email protected] oder einer kurzen postalischen Mitteilung an Leserservice IT-Administrator, 65341 Eltville. ITA 1211 Ich zahle Leopoldstraße 85 D-80802 München Tel: 089-4445408-0 Fax: 089-4445408-99 Geschäftsführung: Anne Kathrin Heinemann Matthias Heinemann Amtsgericht München HRB 151585 S43-48_ITA_1010_P05_EAZ_SH_0110_Seminar.qxp 21.09.2010 12:11 Seite 3 PRAXIS I Systeme Sicherheit bei der Servervirtualisierung Vorsicht: Blaue Pille von Nils Kaczenski Die "Blaue Pille" ist ausnahmsweise kein neuer Viagra-Spam, sondern ein äußerst subtiler Angriff auf virtualisierte Server. Neben ihren überzeugenden Vorteilen wie weniger Hardwarebedarf, höhere Effizienz und neue Möglichkeiten in Administration und Betrieb warten auf virtuelle Server auch immense Gefahren. Gartner geht in einer aktuellen Studie davon aus, dass in den nächsten zwei Jahren 60 Prozent der Server weniger sicher sind als heute. Zentrale Themen dieser Betrachtung sind die Security der Systeme und die Ausfallsicherheit. In diesem Beitrag gehen wir daher Fragen nach potentiellen Bedrohungen von virtuellen Maschinen ebenso auf den Grund wie der Aufgabenstellung, eine höhere Ausfallsicherheit zu gewährleisten. irtualisierung im Serverraum ist beileibe kein neues Thema mehr: Bereits 2001 veröffentlichte VMware die ersten Serverversionen seiner Virtualisierungssoftware und zwei Jahre später mit Version 2.0 des ESX Servers begann die Technik, sich im Mittelstand zu etablieren. Im selben Jahr übernahm Microsoft das Produkt “Virtual PC” von Connectix mit dem erklärten Ziel, die Technik in den Serverraum zu bringen. Und doch bleibt Servervirtualisierung ein Aufreger, der Hype scheint ungebrochen. V Viele IT-Verantwortliche haben jedoch eher unscharfe Vorstellungen davon, wozu virtuelle Server in ihrem Netzwerk gut sein könnten. Trotzdem fragen sie mit Nachdruck nach solchen Lösungen und äußern vage Ideen von Kostensenkung, Energiesparen und Ausfallsicherheit. Der Verantwortliche tut gut daran zunächst einen Schritt zurückzutun und zu fragen: Virtualisierung – wozu eigentlich? Denn die Erfahrung zeigt, dass ein Projekt ohne klares Ziel nur scheitern kann. Ohne trennscharfe Kriterien, die ein neues System erfüllen muss, wird niemand die Frage beantworten können, ob das Projekt www.it-administrator.de Quelle: Tortenboxer - Fotolia.com erfolgreich war. Grund genug, sich die Versprechen der Marketingfolien genauer anzusehen und sie daraufhin zu untersuchen, ob sie für das eigene Vorhaben überhaupt relevant sind. Führt dies nicht zu einem überwiegend positiven Ergebnis, dann wird der Ansatz nicht zur Betriebssicherheit der IT beitragen. binden kann. Auch die Server selbst schonen nicht unbedingt den Geldbeutel: Wer 60 physische Server durch virtuelle ersetzen will, kann zwar durchaus mit vier bis sechs neuen Maschinen arbeiten, aber die spielen in einer anderen Güteklasse als die “Pizzaboxen”, die sie vielleicht ablösen. Ziele der Virtualisierung genau definieren Damit ist die Frage nach der Ausfallsicherheit selbst aber noch nicht beantwortet. In der Praxis teilen sich die Anforderungen der IT-Verantwortlichen in zwei Kategorien. Die einen sagen “Wir können uns eigentlich gar keinen Ausfall erlauben” und die anderen geben an: “Bei uns ist das nicht so wild, 95 oder 98 Prozent Verfügbarkeit reichen völlig”. Während im ersten Fall eine Skizze des nötigen Budgets für ein komplett ausfallsicheres Netzwerk die Realität zurück ins Blickfeld holt, reicht im zweiten Fall eine einfache Prozentrechnung: Eine Verfügbarkeit von 95 Prozent bedeutet aufs Jahr gerechnet, dass in fünf Prozent der Zeit, also über 18 Tage, die IT nicht bereitsteht. Um allerdings zu einer brauchbaren Betrachtung zu gelangen, ist das keine reine EDV-Frage mehr, denn die Die oben angerissenen Schlagworte wie Kostensenkung, Energiesparen oder Ausfallsicherheit sind für sich genommen nicht abwegig, wenn Unternehmen ein Netzwerk auf Virtualisierung umstellen. Doch Differenzierung tut not: Ein hochgradig ausfallsicheres VM-System wird dem Controller Tränen in die Augen treiben, denn die Kosten der nötigen technischen Redundanz summieren sich schnell sechs- oder gar siebenstellig (vom Strom ganz zu schweigen).Was die Hersteller nämlich gern im Kleingedruckten verbergen, sind Investitionen in teure SAN-Technik (Netzwerkspeicher und Fibre Channel-Komponenten) oder in die LAN-Infrastruktur, die zum Beispiel getrennte Rechenzentren redundant ver- Oktober 2010 43 S43-48_ITA_1010_P05_EAZ_SH_0110_Seminar.qxp 21.09.2010 12:11 Seite 4 PRAXIS I Systeme Unternehmensleitung muss definieren, welche Prozesse so geschäftskritisch sind, dass sie höhere Ausgaben rechtfertigen. Am Ende steht idealerweise eine Matrix, wie sie die Tabelle “Tolerierbare Ausfallzeit” vereinfacht darstellt.Eine Matrix der Anforderungen an die Verfügbarkeit sollte sich an einzelnen Komponenten oder Prozessen orientieren. Neben der tolerierbaren Ausfallzeit sind Fragen nach verkraftbaren Datenverlusten und Archivierungszwängen zu beantworten. Hinter der Fassade: Komplexe IT VM-Welt sehr praktisch und zeitsparend. Es fällt etwa sehr leicht, neue Server auf der Basis vordefinierter “Templates” zu erzeugen – mit wenigen Mausklicks und innerhalb weniger Minuten steht neue Rechnerkraft zur Verfügung. Genauso leicht ist es, vorhandene produktive Server zu klonen, um beispielsweise ein lebensnahes Testsystem zu erzeugen oder eine Kopie für den Notfall vorzuhalten. Was Administratoren hierbei leicht übersehen: Derart vervielfältigte Installationen bergen hohe Sicherheitsrisiken. Der Klon eines Produktivsystems etwa ist genauso sicherheitskritisch wie das Original: Er enthält dieselben Konten und Kennwörter und den sensiblen Datenbestand des Vorbilds. Ein solches Testsystem darf keinesfalls in einem leicht zugänglichen Labor laufen. Ähnliches gilt für VM-Templates, die oft als Installationsgrundlage dienen.Viele Kunden vergessen, dass sie dort etwa administrative Zugangsdaten hinterlegt haben. Gesellt sich dazu die Hektik des Alltags, in der solche VM-Images “mal eben” auf irgendeiner Freigabe im Netz abgelegt werden, wird es Angreifern leichtgemacht. Einfach ausgedrückt:Warum soll ein Angreifer in einen Live-Datenbankserver einbrechen, wenn er ihn einfach und bequem als Datei mit nach Hause nehmen kann? Nicht nur hinter der Virtualisierung verbirgt sich einiges an Komplexität, sondern auch die Technik selbst hat ihre Eigenarten, die Sie im Blick haben sollten. Möchten Sie ein vorhandenes Netzwerk in ein virtuelles überführen, wird dies – anders als oft erwartet – den administrativen Aufwand in aller Regel nicht reduzieren, sondern erhöhen. Die vorhandenen Maschinen erfordern weiterhin Updates, Benutzerverwaltung oder Konfiguration, egal ob sie als VMs laufen oder “auf Blech”. Hinzu kommt jedoch noch die Virtualisierungs-Infrastruktur selbst: Die Hostserver, die Virtualisierungssoftware, das Speichersystem und eine anspruchsvolle Netzwerkanbindung. Das tägliche Operating benötigt Know-how, und an kritischen Stellen brauchen Sie vielleicht externe Unterstützung. Der Ausfall eines VM-Hostservers ist viel kritischer als der eines herkömmlichen Rechners, denn an ihm hängen gleich mehrere wichtige Applikationen. Sandboxes sind keineswegs immer sicher Daraus erwachsen gleichzeitig Herausforderungen für die IT-Sicherheit. Zweifellos sind viele Mechanismen der Solcherlei administrative Sünden, die schon in einer herkömmlichen Umgebung heikel sind, erzeugen in VM-Landschaften hohes Gefahrenpotenzial. Allzu Tolerierbare Ausfallzeit (Beispiel) Klasse 1: < 1 Stunde Data Warehouse ERP 44 Oktober 2010 Das Thema DMZ birgt weitere Risiken. Eine solche demilitarisierte Zone dient meist als Puffer zwischen dem Internet und dem LAN. Applikationen, die dort laufen, stehen unter Beschuss, daher trennt man sie vom internen Netzwerk. Zahlreiche Kunden betreiben ihre DMZ-Server aber auf denselben physischen VM-Hosts wie ihre internen Systeme. Sie nutzen dabei die Netzwerkkonfiguration des Virtualisierungssystems, um die virtuellen Gäste voneinander zu trennen. Glauben wir den Virtualisierungs-Herstellern, so ist das auch sicher, denn angeblich bildet das VM-System “Sandkästen” um die darauf laufenden Server, so dass der Übergriff von einer VM auf eine andere oder gar auf den Host ausgeschlossen sei. Die Vergangenheit hat aber gezeigt, dass derartige Ausbrüche aus der “Sandbox” keineswegs unmöglich sind. Wie bei jeder Software lassen sich auch hier Schwachstellen ausnutzen. Ein besonders interessanter Angriff nutzte erfolgreich eine Lücke in VMwares VGA-Treiber, um von einer gekaperten VM auf die anderen und letztlich auf den Host zu gelangen – schnell ist so das gesamte Netzwerk kompromittiert. Zwar ist diese Lücke mittlerweile geschlossen, doch sie zeigte deutlich, dass an physischer Netzwerktrennung auch weiterhin kein Weg vorbeiführt. Klasse 3: < 8 Stunden Exchange Dateien Klasse 2: < 4 Stunden leicht ist es dort, sich auf den Komfort der eingebauten Werkzeuge zu verlassen. So breiten sich leicht knackbare Standard-Kennwörter und unpassend konfigurierte Systeme aus und vergrößern die Angriffsfläche. Wer denkt schon daran, die neue VM, die in der DMZ laufen soll, zu härten und abzusichern, wenn sie per Mausklick eingerichtet wurde? Der Königsweg kann also nur sein, Systeme aus unterschiedlichen Netzwerkzonen auf separierten physischen Hostservern zu betreiben. Das steigert den Aufwand und die Kosten, ist aber unumgänglich, wollen Sie ein akzeptables www.it-administrator.de EAZ_SH0211_ITA_Default 12.01.2012 16:04 Seite 1 Bestellen Sie jetzt das IT-Administrator Sonderheft II/2011! 180 Seiten Praxis-Know-how rund um das Thema SharePoint 2010 für Administratoren zum Abonnenten-Vorzugspreis* von nur € 24,90! * IT-Administrator Abonnenten erhalten das Sonderheft II/2011 für € 24,90. Nichtabonnenten zahlen € 29,90. Alle Preise verstehen sich inklusive Versandkosten und Mehrwertsteuer. Mehr Informationen und ein Onlinebestellformular finden Sie auch hier www.it-administrator.de/kiosk/sonderhefte/ So erreichen Sie unseren Vertrieb, Abo- und Leserservice: Einfach kopieren und per Fax an den Leserservice IT-Administrator senden: 06123/9238-252 Leserservice IT-Administrator vertriebsunion meynen Herr Stephan Orgel D-65341 Eltville Ja, ich bin IT-Administrator Abonnent mit der Abonummer (falls zur Hand) ________________________________ und bestelle das IT-Administrator Sonderheft II/2011 zum Abonnenten-Vorzugspreis von nur € 24,90 inkl. Versand und 7% MwSt. Tel: 06123/9238-251 Fax: 06123/9238-252 Ja, ich bestelle das IT-Administrator Sonderheft II/2011 zum Preis von € 29,90 inkl. Versand und 7% MwSt. [email protected] Diese und weitere Aboangebote finden Sie auch im Internet unter www.it-administrator.de Der Verlag gewährt mir ein Widerrufsrecht. Ich kann meine Bestellung innerhalb von 14 Tagen nach Bestelldatum ohne Angaben von Gründen widerrufen.* per Bankeinzug Firma: Geldinstitut: Kto.: oder BLZ: per Rechnung Abos und Einzelhefte gibt es auch als E-Paper Name, Vorname: Straße: Land, PLZ, Ort: Datum: Tel: Unterschrift: E-Mail: * Zur Fristwahrung genügt die rechtzeitige Absendung einer E-Mail an [email protected] oder einer kurzen postalischen Mitteilung an Leserservice IT-Administrator, 65341 Eltville. ITA 1111 Ich zahle Leopoldstraße 85 D-80802 München Tel: 089-4445408-0 Fax: 089-4445408-99 Geschäftsführung: Anne Kathrin Heinemann Matthias Heinemann Amtsgericht München HRB 151585 S43-48_ITA_1010_P05_EAZ_SH_0110_Seminar.qxp 21.09.2010 12:11 Seite 6 PRAXIS I Systeme Sicherheitsniveau erreichen. Ganz nebenbei ermöglicht nur diese Trennung eine wirkungsvolle Netzwerk-Analyse. Die virtuellen Switches moderner VMSysteme sind zwar sehr leistungsfähig, doch sie lassen sich meist nicht vollständig in Netzwerk-Managementsysteme einbinden. Liefe nun noch der nur virtuell getrennte Traffic verschiedener LAN-Segmente über dieselben physischen Schnittstellen, wären Intrusion Detection oder andere Sicherheitsmechanismen schnell wirkungslos. samte Umgebung “gesund” ist, denn hinter der Kulisse laufen sehr komplizierte Prozesse ab. Es kann etwa durchaus passieren, dass die Live-Migration fehlschlägt, wenn eine VM stark unter Dampf steht oder wenn das Netzwerk ausgelastet ist. Zur Migration ist es erforderlich, den Arbeitsspeicher der VM in Echtzeit über das LAN von einem auf den anderen Host zu synchronisieren, bis nur noch eine minimale Differenz bleibt. Unter ungünstigen Bedingungen kommt es nie so weit, bevor das Timeout für den Vorgang einsetzt. Die Verbindung unterschiedlicher Systeme auf demselben Host hat in größeren Unternehmen noch andere Auswirkungen. Oft sind dort unterschiedliche Teams der IT-Abteilung für bestimmte Serverkategorien zuständig, etwa ein DatenbankTeam, ein Mail-Team und eines für den Verzeichnisdienst. Laufen deren Server auf denselben physischen Hosts, ist der administrative Zugriff kaum noch zu trennen: Welche Rolle nimmt hier etwa der Admin des VM-Systems ein? Live-Migration kann hingegen bestimmte geplante Downtimes vermeiden, und zwar solche, die durch die Host-Wartung entstehen. Muss der Admin den physischen Server nach einem Update neu starten, so verschiebt er die laufenden VMs auf eine andere Maschine und es gibt keine Unterbrechung für die Benutzer. Bei Updates der VM-Gäste selbst hilft das nicht, denn ein Reboot des virtuellen Betriebssystems lässt sich per Migration nicht vermeiden. Eigentlich hat das Verschieben auch einen anderen Sinn, nämlich die automatische Lastverteilung. Gehen einem Hostserver die Ressourcen aus, während ein anderer noch Kapazitäten frei hat, ist Live-Migration sehr hilfreich, um jedem virtuellen Server ausreichend Leistung zu verschaffen. Der Pferdefuß: Dieser Grad an Automatisierung erzeugt meist zusätzliche Lizenzkosten, denn Komfort lassen sich alle Hersteller extra bezahlen. Wer geplante und ungeplante Unterbrechungen seiner Applikationen vermeiden oder zumindest deren Dauer minimieren möchte, wird daher auch Live-Migration ist keine Ausfallsicherheit Gerade beim Aspekt der Ausfallsicherheit bestehen in der Virtualisierung viele Fehleinschätzungen, die im Ergebnis nicht zu einer höheren, sondern zu einer geringeren Betriebssicherheit führen. Das betrifft in erster Linie die Funktion der “Live-Mig ration”, die alle führenden Virtualisierungsanbieter unter verschiedenen Namen (vMotion, XenMotion und so weiter) feilhalten. Sie ermöglicht eine virtuelle Maschine im laufenden Betrieb von einem physischen Hostserver auf einen anderen zu verschieben, ohne dass Benutzerverbindungen abreißen oder die VM pausiert. Anders als viele Administratoren denken, dient dieser Mechanismus praktisch überhaupt nicht der Ausfallsicherheit. Diese Technik ist nämlich machtlos, wenn einer der Hostserver oder die VM ausgefallen sind. Ganz im Gegenteil funktioniert das Verfahren nur dann, wenn die ge- 46 Oktober 2010 Bild 1: Der Betrieb virtueller Server verschiedener Netzwerkzonen auf demselben VM-Host hebt die Netzwerktrennung auf und macht es Angreifern leicht, von der DMZ ins LAN überzugreifen www.it-administrator.de S43-48_ITA_1010_P05_EAZ_SH_0110_Seminar.qxp 21.09.2010 12:12 Seite 7 PRAXIS I Systeme stand. Sollte das aktive System ausfallen, so kann der “Spiegel” nahtlos übernehmen und steht mit genau derselben Identität und exakt demselben Datenbestand zur Verfügung. Leider hat auch dieser Ansatz seine Einschränkungen. Pr inzipbedingt eignet sich das Verfahren nur für virtuelle Server mit einer einzigen virtuellen CPU. In Multiprozessor systemen sorgen nämlich aufwändige Mechanismen für eine Verteilung der Aufgaben auf die R e c h e n ke r n e. Dies auf einen anderen Host zu Bild 2: Ein unbemerkt platzierter Hypervisor zwischen Hardware und Betriebssystem synchronisieren, erlaubt die volle Kontrolle über alle Vorgänge würde derart erhebliche Eingrifweiterhin auf klassische High-Availabi- fe erfordern, dass die Performance in lity-Methoden wie das Clustering set- den Keller ginge. Gerade solche Server, zen. Hierzu lassen sich zwei (oder mehr) VMs zu einem Cluster zusammenfügen, der unabhängig von der Virtualisierung den Zustand der Applikation beobachtet und nötigenfalls einen Neustart auf einer der beteiligten VMs ausführt. Auf dieser Ebene bieten VMware und Citrix eine interessante, noch recht neue Funktion an: Die Live-Spiegelung einer virtuellen Maschine von einem Host auf einen anderen. Das Versprechen lautet, dass alle Instruktionen, die die “aktive”VM ausführt, zeitgleich auf einer Kopie der VM ebenfalls ablaufen, welche im Netz nicht sichtbar ist.Auf diese Weise sind beide virtuellen Server stets im selben Zu- www.it-administrator.de Den IT-Administrator Seminarmarkt mit News zu IT-Trainings finden Sie auch online auf: www.it-administrator.de/seminarmarkt für die hohe Ausfallsicherheit relevant ist, stehen aber oft unter hoher Last, die von Single-CPU-Servern nicht zu stemmen ist. Solche Systeme eignen sich für diese Technik also nicht. Hinzu kommt, dass auch der VM-Spiegel keine NullUnterbrechung ermöglicht, denn nicht zuletzt muss die Netzwerk-Infrastruktur darauf reagieren, dass das System plötzlich auf ganz anderen LAN-Ports aktiv ist. Nicht umsonst positionieren VMware und Citrix ihre Spiegel-Features auch eher für kleinere, aber gleichwohl unternehmenswichtige Applikationen, für die es herstellerseitig keine anderen Verfügbarkeitsmechanismen gibt. Schon aus Supportgründen sind jedoch die Methoden zu bevorzugen, die ein Applikationshersteller selbst vorsieht. Risiko Snapshots Die wohl gefährlichste Fallgrube lauert unter einer sehr beliebten VM-Funktion: den Snapshots. Alle Hersteller erlauben es, den momentanen Zustand einer virtuellen Maschine einzufrieren und quasi als Sofort-Image abzulegen. Der Administrator kann damit jederzeit auf diesen historischen Zustand zurückspringen.Viele IT-Abteilungen nutzen dies als Element ihrer Recovery-Strategie, um etwa einen Patchfehler ungeschehen zu machen. S E M I N A R M A R K T S43-48_ITA_1010_P05_EAZ_SH_0110_Seminar.qxp 21.09.2010 12:12 Seite 8 PRAXIS I Systeme Allerdings kommen längst nicht alle Applikationen damit klar, wenn sie sich plötzlich in der Vergangenheit wiederfinden. Das betrifft vor allem komplexe verteilte Systeme wie Active Directory (AD) und Exchange, aber auch viele andere Anwendungen. So sind etwa die AD-Domänencontroller jederzeit informiert, auf welchem Stand sich ihre Partner gerade befinden. Meldet sich ein solcher Server nach der Wiederherstellung eines VM-Snapshots plötzlich mit einem veralteten Datenbestand, so kann AD dies nicht ausgleichen. In der Folge schaltet der betroffene Server seine AD-Dienste ab und verschwindet aus der Replikation. Ein scheinbares Recovery würde so also erst zu einem gravierenden Ausfall führen. Angriffe gegen virtualisierte Server Risiken entstehen nicht nur aus allzu sorglosem Umgang mit den Funktionen des Virtualisierungssystems. Auch die Virtualisierung selbst erzeugt Bedrohungen, die in klassisch-physischen Umgebungen unbekannt sind. Zwei Beispiele machen dies deutlich, die zumindest bislang glücklicherweise keine kriminelle Anwendung gefunden haben – oder wenigstens ist nichts darüber bekannt. Die Angriffe machen sich den Umstand zunutze, dass ein virtualisiertes System vollständig der Kontrolle durch den Hypervisor unterliegt. Er liegt als Softwareschicht zwischen der physischen Hardware und den virtuellen Betriebssystemen. Jeden Zugriffsversuch einer VM auf Hardwarekomponenten fängt der Hypervisor ab und ersetzt ihn durch seine Emulationsund Abstraktionsfunktionen. Das geht so lange gut, wie der Hypervisor dem Betriebssystem nichts vorgaukelt, was gar nicht der Fall ist, oder ihm etwas verbirgt. Vereinfacht gesagt, setzt Virtualisierung blindes Vertrauen in den Hypervisor voraus. 48 Oktober 2010 Der SubVirt-Angriff Einen Angriff auf dieses Vertrauen hat Microsoft Research als Proof of Concept bereits 2005 durchgeführt.Wo der Hypervisor normalerweise absichtlich zwischen Hardware und Betriebssystem geschoben wird, um eben bewusst eine VM-Umgebung aufzubauen, führt der “SubVirt” genannte Angriff dies in einem laufenden System ohne Wissen des Anwenders durch. SubVirt installiert einen Hypervisor und biegt die Startfunktionen des Systems so um, dass beim nächsten Bootvorgang nicht das legitime Betriebssystem die Steuerung übernimmt, sondern der Hypervisor selbst. Damit hat er alle Vorgänge des nun virtuell laufenden Systems unter Kontrolle und kann beispielsweise von diesem unbemerkt Daten kopieren oder Kennwörter an Kriminelle schicken. SubVirt verändert dazu den Datenbestand auf der Festplatte, weil es seine eigenen Komponenten installiert. Das ehemals physische Betriebssystem kann diese Daten nicht sehen, weil SubVirt sie wie ein Rootkit vor ihm verbirgt. Eine Offline-Analyse der Festplatte könnte die Manipulation allerdings sichtbar machen – ob das aber rechtzeitig vor einem Schaden geschieht, ist letztendlich Zufall. Der Blue Pill-Angriff – Datenklau per Zusatzschicht Einen Schritt weiter geht “Blue Pill” von der Sicherheitsspezialistin Joanna Rutkowska, vorgestellt Ende 2006. Blue Pill nutzt die Virtualisierungsfunktionen moderner Prozessoren, die AMD damals gerade in den Markt gebracht hatte.Vereinfacht gesagt haben solche Prozessoren einen Hypervisor-Modus, der eine Kontrollschicht unterhalb der klassischen Betriebssysteme erzeugt und so den besonders effizienten Betrieb von Virtualisierungssystemen ermöglicht. Rutkowska aktiviert auf einem angegriffenen System diesen Modus und schleust einen “ultradünnen” Hypervisor ins System ein, der im laufenden Betrieb die Kontrolle übernimmt. Anders als SubVirt muss Blue Pill dazu nichts auf der Festplatte installieren, sondern läuft ausschließlich im Speicher. Das so angegriffene Betriebssystem hat keine verlässliche Möglichkeit, diesen Wechsel der Betriebsart festzustellen, denn der Prozessor sieht keine Funktion vor, die darüber Auskunft gibt.Aus Sicht des ehemals legitimen Systems gibt es keine Veränderung zu früher, denn alle Systemzugriffe scheinen zu funktionieren. Tatsächlich aber hat Blue Pill nun die Kontrolle über alle Vorgänge übernommen und kann unbemerkt seine Schadfunktionen ausüben. Im Unterschied zu SubVirt überlebt Blue Pill keinen Reboot der physischen Maschine. Es hat aber Methoden, um solch einen Neustart zu vermeiden: Fordert der Admin innerhalb des Betriebssystems einen Neustart an, so simuliert Blue Pill diesen einfach – ganz so, wie man eine “nor male” VM neu startet. Nur der Hardware-Netzschalter kann dem Treiben ein Ende setzen. Fazit Mit der Virtualisierung ist es wie mit jedem anderen komplexen System: Den vielen Vorteilen stehen große Gefahren gegenüber. Noch mehr als in der klassischen IT ist es in virtuellen Umgebungen notwendig, dass die IT-Verantwortlichen gut planen und mit großer Sorgfalt arbeiten. Neben der erhöhten Umsicht beim Betrieb virtueller Server gilt es aber auch, die neuartigen Risiken solcher Umgebungen im Blick zu behalten und einzudämmen. Mit der zunehmenden Verbreitung der Technik werden Angriffe, die bislang meist eher akademischen Charakter haben, aus den Showrooms der Security-Konferenzen schnell in die “freie Wildbahn” übertreten und IT-Abteilungen vor enorme Herausforderungen stellen. (jp) Nils Kaczenski ist Microsoft-MVP und leitet das Consulting bei der WITstor in Hannover. www.it-administrator.de S36-41_ITA_0111_P06_EAZ Schnupperabo.qxp 21.12.2010 14:08 Seite 2 PRAXIS I Workshop Sicherheit bei Kernel-basierter Virtualisierung unter Linux Virtuell abgeschottet von Thorsten Scherf Quelle: eiland - Fotolia.com Auch wenn mit Hilfe der Virtualisierungstechnologie sehr einfach eine Trennung der einzelnen Systemdienste durch den Einsatz in unterschiedlichen virtuellen Maschinen möglich ist, sind einige wichtige Punkte zu beachten, damit der zusätzliche Virtualisierungslayer nicht mehr Gefahren als Vorteile mit sich bringt. Waren früher noch verschiedene physikalische Maschinen notwendig, um etwa den Webserver vom Datenbank-Backend zu trennen, so ist heute nur noch eine physikalische Maschine erforderlich. Auf dieser lässt sich dann mit Hilfe eines Hypervisors, wie beispielsweise Xen, KVM oder einer anderen Virtualisierungslösung, problemlos eine Vielzahl von virtuellen Maschinen-Instanzen installieren und die gewünschten Dienste auf diese Instanzen aufteilen. Aber wie so oft müssen auch hier verschiedene Komponenten zusammenspielen. Dieser Artikel gibt einen Überblick über die wichtigsten dieser sicherheitsrelevanten Komponenten. n den meisten Linux-Distributionen findet der Zugriff auf den eigentlichen Hypervisor mittlerweile über das libvirt-Framework [1] statt. Hierbei handelt es sich um eine Art Virtualisierungsschicht zwischen dem eigentlichen Virtualisierungs-Backend und dem Benutzerbereich. Über einheitliche Verwaltungstools kann der Nutzer auf das jeweilige Backend zugreifen. Libvirt unterstützt neben Xen und KVM/QEMU momentan auch noch LXC, OpenVZ, UML und VirtualBox. möchten, dass Ihre Anmelde- und Nutzdaten im Klartext über das Netzwerk wandern, wählen Sie beim Einrichten einer neue Verbindung über den virt-manager eine sichere Verbindung zur Gegenseite aus. Zur Auswahl stehen SSH, TLS/SSL mit X.509-Zertifikaten und Kerberos. Wir schicken unsere Daten in diesem Workshop durch einen gesicherten SSH-Tunnel. Hierfür richten Sie auf der Maschine, auf der Sie den virt-manager betreiben möchten, zunächst einen SSHSchlüsselbund ein: Sicherer Fernzugriff # ssh-keygen -t dsa # ssh-copy-id -i ~/.ssh/id_dsa.pub [email protected] I Über virt-manager und virt-install lassen sich bequem neue virtuelle Maschinen einrichten oder bestehende Maschinen bezüglich der Konfiguration verändern. Beide Tools verbinden sich in der Standardeinstellung mit dem Hypervisor auf der lokalen Maschine, auf der sie gestartet wurden.Allerdings lässt sich auch eine Verbindung zu einem Hypervisor auf einer anderen Maschine aufbauen. Falls Sie nicht 36 Januar 2011 Anschließend stellen Sie auf dem entfernten Rechner sicher, dass sowohl der SSH- wie auch der libvirt-Daemon aktiv sind. Starten Sie nun den virt-manager, sehen Sie die neu eingerichtete Verbindung und können nun mittels libvirt auf den entfernten Hypervisor zugrei- fen und bereits existierende Maschinen verwalten oder aber auch neue einrichten. Natürlich lassen sich die virtuellen Maschinen-Instanzen auch auf der Kommandozeile mittels virt-install einrichten. Die Installation einer virtuellen Maschine auf einem entfer nten Rechner könnte mittels virt-install wie folgt aussehen: # virt-install \ —accelerate —connect qemu+ssh://root@ remote.example.com/system —name foo \ —ram 512 \ —disk path=/var/lib/lib virt/images/foo.img,size=50 \ —network network:default \ —vnc \ —location ftp://ftp.example.com/pub/ fedora/f14/ —extra-args ks=ftp://local.example.com/pub /ks/fedora.cfg www.it-administrator.de S36-41_ITA_0111_P06_EAZ Schnupperabo.qxp 21.12.2010 14:08 Seite 3 PRAXIS I Workshop # cat > /tmp/db-net <<EOF <network> <name>db-net</name> <uuid>1231122-05dc-4d12-b7f05234911911ef</uuid> <ip address=’192.168.200.1’ netmask=’255.255.255.0’> <dhcp> <range start=’192.168.200.2’ end=’192.168.200.254’ /> </dhcp> </ip> </network> EOF Bild 1: Über den virt-manager stehen verschiedene Methoden zur Authentifizierung auf einem remote-Hypervisor zur Verfügung Netzwerk absichern Im obigen Beispiel verwendet die neu eingerichtete Maschine ein Netzwerk mit dem Namen “default”. Hierbei handelt es sich um ein virtuelles Netzwerk, das zur Default-Konfiguration des libvirt-Frameworks gehört. Über das Tool virsh lässt sich nun anzeigen, wie dieses Netzwerk konfiguriert ist: # virsh net-dumpxml default <network> <name>default</name> <uuid>478de122-05dc-4d12-b7f052349b59f8ef</uuid> <forward mode=’nat’/> <bridge name=’virbr0’ stp=’on’ forwardDelay=’0’ /> <ip address=’192.168.122.1’ netmask=’255.255.255.0’> <dhcp> <range start=’192.168.122.2’ end=’192.168.122.254’ /> </dhcp> </ip> </network> Die Maschine bekommt eine eigene IP-Adresse aus dem Netzwerk 192.168. 122.0/24 zugewiesen. Verantwortlich www.it-administrator.de hierfür ist ein Dienst namens “dnsmasq”. Über das Netzwerkgerät virbr0 auf dem Host kann die virtuelle Maschine dann mittels Source-NAT (SNAT) mit der Außenwelt kommunizieren. Für eingehenden Netzwerkverkehr sind entsprechende Destination-NAT-Regeln (DNAT) zu schreiben. Die SNAT-Regeln richtet libvirt standardmäßig ein (siehe Kasten SNAT-Regel). Doch nicht in allen Fällen ist die Kommunikation mit der Außenwelt erwünscht. Aus welchem Grund beispielsweise sollte bei dem eingangs erwähnten Beispiel mit dem Webserver und seinem Datenbank-Backend die Datenbank mit der Außenwelt kommunizieren können? Zur Lösung bietet sich die Konfiguration von zwei Netzwerkkarten für den Webserver an. Die erste Karte verknüpfen Sie über NAT mit der Außenwelt, die zweite Karte befindet sich in einem eigenen virtuellen Netzwerk, in dem sich auch der Datenbank-Server befindet. Eine Adressübersetzung findet für dieses Netzwerk dann nicht statt. Hierzu erzeugen Sie zuerst eine Konfigurationsdatei für das neue Netz: Diese Konfigurationsdatei können Sie dann der libvirt-Konfiguration mittels virsh bekannt machen und das Netzwerk aktivieren: # virsh net-define /tmp/db-net Network db-net defined from /tmp/dbnet # virsh net-start db-net Network db-net started [root@tiffy ~]# virsh net-list Name State Autostart ———————————————————————————————————default active yes db-net active no Nun weisen Sie im nächsten Schritt dem Webserver eine zweite Netzwerkkarte zu und binden sie an dieses Netzwerk an. Beim Einrichten des Datenbankservers verwenden Sie bei der Installation direkt dieses neue Netzwerk. Somit ist der Webserver in der Lage, mit der Außenwelt zu kommunizieren, der Datenbank-Server ist jedoch auf eine Kommunikation mit Rechner n aus dem privaten Netzwerk beschränkt. # iptables -t nat Chain POSTROUTING target prot MASQUERADE all -L POSTROUTING (policy ACCEPT) opt source destination — 192.168.122.0/24 !192.168.122.0/24 SNAT-Regel Januar 2011 37 S36-41_ITA_0111_P06_EAZ Schnupperabo.qxp 21.12.2010 14:09 Seite 4 PRAXIS I Workshop Nach einem Neustart des Netzwerkes sollten die neuen Bridges dann zur Verfügung stehen. Ein Aufruf von brctl bestätigt dies (siehe Kasten “Ergebnis des Befehls brctl”). Installieren Sie nun eine neue virtuelle Maschine und möchten diese in das VLAN 100 integrieren, so gelingt dies beim Aufruf von virt-install über die Option “--network bridge:br100”. Komponente Hochverfügbarkeit Bild 2: Über den virt-manager können Sie einer virtuellen Maschine sehr einfach neue Hardware zuweisen Wie sieht jedoch die Konfiguration aus, wenn Sie gar kein virtuelles Netzwerk verwenden, sondern die Rechner in bereits existierende Netze integr ieren möchten. Hierfür können Sie eine entsprechende Bridge konfigurieren, die dann an die libvirt-Konfiguration weitergereicht wird. Nun möchten IT-Verantwortliche meistens eine Trennung der Netzwerkpakete zwischen den verschiedenen virtuellen Maschinen einrichten – besonders dann, wenn die Maschinen vollkommen unabhängig voneinander arbeiten. Zur Lösung bieten sich hierfür VLANs an, welche die virtuellen Maschinen auf getrennte Netzwerksegmente aufteilen.Alles was hierfür zu tun ist, ist das VLAN-Device an die entsprechende Bridge zu binden. Im folgenden Beispiel geht es um zwei voneinander getrennte Kundensysteme. Das eine System hängt im VLAN mit dem Tag 100, das andere VLAN verwendet den Tag 200. Für beide Netze nehmen Sie zuerst die entsprechende Konfiguration der Netzwerkkarten vor: # cat > /etc/sysconfig/networkscripts/ifcfg-eth0.100 <<EOF DEVICE=eth0.100 ONBOOT=yes 38 Januar 2011 BRIDGE=br100 VLAN=yes EOF # cat > /etc/sysconfig/networkscripts/ifcfg-eth0.200 <<EOF DEVICE=eth0.200 ONBOOT=yes BRIDGE=br200 VLAN=yes EOF Anschließend erzeugen Sie die notwendigen Bridging-Geräte: # cat > /etc/sysconfig/networkscripts/ifcfg-br100 <<EOF DEVICE=br100 BOOTPROTO=static IPADDR=192.168.100.1 NETMASK=255.255.255.0 ONBOOT=yes TYPE=Bridge # cat > /etc/sysconfig/networkscripts/ifcfg-br200 <<EOF DEVICE=br200 BOOTPROTO=static IPADDR=192.168.200.1 NETMASK=255.255.255.0 ONBOOT=yes TYPE=Bridge Zu einer sicheren Konfiguration gehört natürlich auch der Schutz vor Hardware-Ausfällen. Da dies ein generell sehr umfangreiches Thema ist, hier nur zwei Beispiele: In der soeben angesprochenen Netzwerkkonfiguration könnten Sie durch den Einsatz von zwei Netzwerkkarten diese zu einem Bonding-Gerät zusammenschließen. Je nach ausgewähltem Bonding-Mode fließen die Netzwerkpakete dann entweder parallel oder abwechselnd über die beiden Karten. Für eine solche Konfiguration sind zuerst die beiden physikalischen Karten einem Bonding-Gerät zuzuweisen: # cat > /etc/sysconfig/networkscripts/ifcfg-eth0 <<EOF DEVICE=eth0 ONBOOT=yes MASTER=bond0 SLAVE=yes BOOTPROTO=none Für die zweite Netzwerkkarte eth1 sieht die Konfiguration entsprechend aus. Die Konfiguration des eigentlichen BondingGerätes geschieht dann folgendermaßen: # cat > /etc/sysconfig/networkscripts/ifcfg-bond0 <<EOF DEVICE=bond0 BOOTPROTO=none ONBOOT=yes # brctl show bridge name br100 br200 bridge id STP 8000.000e0cb30440 no 8000.000e0cb30450 no enabled interfaces eth0.100 eth0.200 Ergebnis des Befehls brctl www.it-administrator.de S36-41_ITA_0111_P06_EAZ Schnupperabo.qxp 21.12.2010 14:09 Seite 5 PRAXIS I Workshop TYPE=Ethernet BONDING_OPTS=”mode=1 miimon=100” Bei den Bonding-Optionen kommt hier der Mode 1 (balance-rr) zum Einsatz. Hierbei werden die Netzwerkpakete abwechselnd über die beiden Netzwerkkarten versendet. Über die Option “miimon=100” erhält der Bonding-Treiber die Information, alle 100 Millisekunden zu testen, ob die Netzwerkkarten noch einen Link haben. Fällt eine Karte aus, merkt der Treiber dies also sehr schnell und versendet über diese Karte keine Daten mehr. In der Datei /etc/modprobe.conf können Sie nun noch über die Anweisung “alias bond0 bonding” kenntlich machen, dass das virtuelle Device bond0 nun auch den bonding-Treiber verwenden soll. Natürlich lässt sich dieses Bonding-Gerät nun wie eine reguläre Netzwerkkarte verwenden. Das heißt, Sie können entweder direkt eine IP-Adresse zuweisen oder es, wie oben beschrieben, mit unterschiedlichen VLAN-Tags versehen. Was für das Netzwerk gilt, gilt natürlich auch für andere Komponenten wie das Storage-Backend. Unabhängig davon, ob Sie als Backend eine Image-Datei oder ein ganzes Block-Device zur Speicher ung der vir tuellen Maschine verwenden, sollte das Backend hochverfügbar sein, um auch hier vor HardwareSchäden gewappnet zu sein. Im einfachsten Fall geschieht dies durch den Einsatz eines RAID-Systems, im besten Fall mit einer Multipath-Konfiguration, sollten die Block-Devices im SAN liegen. Im Folgenden wird eine kostengünstigere Methode auf Basis von iSCSI vorgestellt. Hierbei wird auf dem iSCSIServer ein Software-RAID1-Gerät eingerichtet, welches dann übers Netzwerk exportiert wird.Vor der Installation einer neuen virtuellen Maschine können Sie das so exportierte Gerät über das Netzwerk einbinden. Für die iSCSI-Kommunikation sollten Sie im günstigsten Fall ein eigenes Netzwerk einrichten, wobei die Netzwerkkarten wieder als redundante Bonding-Geräte zu konfi- www.it-administrator.de gurieren sind.Auf dem iSCSI-Server lässt sich das RAID1 dann wie folgt einrichten und exportieren: # mdadm -C /dev/md0 -l 1 -n 2 /dev/sdb /dev/sdc # chkconfig tgtd on; service tgtd start # tgtadm —lld iscsi —op new —mode target —tid 1 -T iqn.200905.com.example:storage.iscsi.disk1 # tgtadm —lld iscsi —op new —mode logicalunit —tid 1 —lun 1 -b /dev/md0 # tgtadm —lld iscsi —op bind —mode target —tid 1 -I ALL Über den letzten tgtadm-Befehl erlauben Sie den Zugriff auf das iSCSI-Target nur von einem bestimmten Host oder Netzwerk aus. Hier macht es Sinn, den Zugriff auf das iSCSI-Netzwerk zu beschränken. Hat das Einrichten des iSCSI- Targets geklappt, können Sie sich im Anschluss einige Informationen zu dem eingerichteten iSCSI-Gerät auflisten lassen: # tgtadm —lld iscsi —op show —mode target Target 1: iqn.200905.com.example:storage.iscsi.disk1 System information: Driver: iscsi Status: running I_T nexus information: LUN information: LUN: 0 Type: controller SCSI ID: deadbeaf1:0 SCSI SN: beaf10 Size: 0 Backing store: No backing store LUN: 1 Type: disk SCSI ID: deadbeaf1:1 SCSI SN: beaf11 Size: 100G Backing store: /dev/md0 Account information: ACL information: ALL Auf der Host-Maschine binden Sie nun das so exportierte iSCSI-Gerät ein. Hierfür benötigen Sie das Paket “iscsi-initiator-utils”. Der Zugriff auf das Gerät erfolgt dann mit den Kommandos: # chkconfig iscsi on; service iscsi start # iscsiadm -m discovery -t st -p iscsi.example.com iqn.200905.com.example:storage.iscsi.disk1 # iscsiadm -m node -T iqn.200905.com.example:storage.iscsi.disk1 -p iscsi.example.com -l Danach sollten Sie auf dem Host beim Aufruf von fdisk nicht nur die lokale Festplatte sehen, sondern auch den exportierten iSCSI-Spiegel als “/dev/sda” in der Liste der verfügbaren Block-Devices. Kommt als lokale Festplatte bereits eine SCSI- oder SATA-Platte zum Einsatz, so hat diese bereits den GeräteNamen “/dev/sda” und das iSCSI-Gerät bekommt als Namen “/dev/sdb” zugewiesen. Bei der Installation einer neuen virtuellen Maschine können Sie nun dieses iSCSI-Gerät als Storage-Backend angeben. Dies geschieht, wie bereits zuvor beschrieben, über die virt-installOption “--disk path=/dev/sdX”. Im virt-manager lässt sich das neue BlockGerät natürlich genauso einer virtuellen Maschinen-Instanz zuordnen. Dank des RAID1-Spiegels auf dem iSCSI-Server sind Sie nun auch hier vor HardwareSchäden geschützt. Um gegen den Ausfall des kompletten iSCSI-Systems gerüstet zu sein, bietet sich der Einsatz eines hochverfügbaren ClusterSystems an. Im Open Source-Bereich ist eine Kombination aus DRBD [2] und CoroSync/Pacemaker eine gängige Lösung [3]. Hypervisor abschotten Die beste Konfiguration bringt jedoch nichts, hat der eingesetzte Hypervisor selbst einen Fehler. Ist dies der Fall, so kann unter Umständen ein Gast-System auf die Ressourcen eines anderen Systems zugreifen. Im schlimmsten Fall könnte ein Prozess aus Januar 2011 39 S36-41_ITA_0111_P06_EAZ Schnupperabo.qxp 21.12.2010 14:09 Seite 6 PRAXIS I Workshop einer virtuellen Maschine Zugriff auf das Host-System bekommen und hätte somit automatisch auch Zugriff auf alle anderen virtuellen Maschinen, die auf diesem Host laufen. Dass das alles keine graue Theorie ist, das haben die verschiedensten Veröffentlichungen einschlägiger Experten der letzten Monate gezeigt [4]. Um die Auswirkungen bei einem Fehler im Hypervisor selbst möglichst gering zu halten, haben einige Entwickler Anfang März 2009 das libvirt-Framework um einen so genannten “Security-Driver” erweitert. Dieser Security-Driver basiert auf der Mandatory Access Control-Zugriffskontrolle. Über ein zentrales Regelwerk ist dabei genau festgelegt, auf welche Ressourcen welche virtuelle Maschine zugreifen darf und auf welche nicht. Diese Zugriffsentscheidung findet unabhängig vom Benutzer-Kontext, unter dem die Maschine läuft, statt. Stattdessen kommen so genannte Label für die virtuelle Maschine und die Ressourcen zum Einsatz. Das Ganze hört sich sehr bekannt an – und tatsächlich: Als MAC-System kommt hier SELinux zum Einsatz. Generell könnten Sie auch jedes andere MAC-System wie beispielsweise SMACK einsetzen, momentan findet die Entwicklung aber ausschließlich für SELinux statt. Ein wichtiger Punkt bei den Designzielen war, aus den Fehlern der ersten SELinuxImplementierungen zu lernen und die komplette Konfiguration sehr benutzerfreundlich zu gestalten. In der Tat ist es momentan so, dass die komplette Konfiguration, für den Benutzer vollkommen unsichtbar, im Hintergrund stattfindet. Diese sehr neue Technik kommt erstmals in Fedora 11 [5] unter dem Namen sVirt [6] zum Einsatz. Bei der Installation einer neuen Maschine bekommt das Storage-Backend automatisch zwei zufällige SELinux MCS-Kategorien (MultiCategory-Security [7]) zugewiesen. In diesem Beispiel handelt es sich um die beiden Kategorien c540 und c800. Anders als bei der klassischen MCS findet kein Mapping zwischen diesen Kategorien und einem klassischen Label statt. Durch das Setzen von zwei Kategorien pro virtueller Maschine ist es theoretisch auch möglich mehr als 1.000 40 Januar 2011 virtuelle Maschinen pro Host-System unter sVirt zu betreiben: # ls -lZ /var/lib/libvirt/images/ -rw———-. root root system_u:object_r:svirt_image_t:s0 :c540,c800 fedora.img -rw———-. root root system_u:object_r:svirt_image_t:s0 :c415,c541 rhel5.img Ein Zugriff auf diese Ressource (Storage-Backend) ist nun also nur von Prozessen gestattet, die der gleichen Kategorie angehören. Betrachten wir die Konfiguration einer virtuellen Maschine etwas näher, so sehen wir dort die MCS-Kategorien aufgelistet, auf die diese Maschine zugreifen darf: # virsh dominfo fedora Id: 18 Name: fedora UUID: be8b4a9a-492a-db257aed-f831dcec9127 OS Type: hvm State: running CPU(s): 4 CPU time: 4591.8s Max memory: 2014400 kB Used memory: 2014208 kB Autostart: disable Security model: selinux Security DOI: 0 Security label: system_u:system_r:svirt_t:s0:c540, c800 (permissive) Der Libvirt-Daemon kümmert sich beim Start einer Maschine darum, dieser die passenden Kategorien zuzuweisen: # ps -AZ|grep qemu system_u:system_r:svirt_t:s0:c230,c7 94 17235 ? 00:00:01 qemu-kvm Ein Zugriff von dieser Maschine ist also nur noch auf die Image-Datei fedora.img möglich, ein Zugriff auf das Image rhel5.img würde in einer AVC-Deny-Meldung enden und der Zugriff unterbunden – vorausgesetzt natürlich, die Host-Maschine befindet sich im SELinux EnforcingMode. In der aktuellen sVirt-Version bekommen lediglich Datei-Objekte und die virtuellen Maschinen selbst ein Label zugewiesen. Eine strikte Zugriffskontrolle findet somit lediglich zwischen Prozessen der virtuellen Maschinen und den dazugehörigen Storage-Backends statt. In der Zukunft werden jedoch weitere Ressourcen hinzukommen wie etwa diverse Netzwerkobjekte. Somit wird es dann beispielsweise möglich sein, den Zugang zu einem bestimmten Netzwerkport, auch Basis der Mandatory-Access-Control, lediglich einer bestimmten Maschine zu erlauben. Auch USB- oder PCI-Passthrough-Support steht auf der Liste der sVirt-Entwickler ganz oben.Wie man sieht, ist die Entwicklung hier in vollem Gange. Fazit Der Einsatz von virtuellen Maschinen bietet eine Menge Vorteile. Sehen Sie von der eingesparten Energie und dem freigewordenen Platz im Serverraum einmal ab, so müssen Sie sich mit der richtigen Konfiguration auch keine Sorgen um die Sicherheit der VM-Instanzen machen. Jedoch ist wie immer zu bedenken, dass Sicherheit kein abgeschlossener Prozess in sich ist. Es gilt, sich immer wieder auf den aktuellen Stand zu bringen und eventuell notwendige Korrekturen in der eigenen Serverlandschaft vorzunehmen. (dr) [1] libvirt-Projektseite B1P61 [2] DRBD B1P62 [3] Red Hat Cluster Suite B1P63 [4] 0wning Xen in Vegas B1P64 [5] Fedora-Projektseite B1P65 [6] sVirt-Projektseite B1P66 [7] Multi-Category-Security B1P67 Link-Codes www.it-administrator.de S22-27_ITA_0112_T01_CebiCon_EAZSchnupperabo_ok_ITA_Default 20.12.2011 16:37 Seite 7 Kompetentes Schnupperabo sucht neugierige Administratoren Sie wissen, wie man Systeme und Netzwerke am Laufen hält. Und das Magazin IT-Administrator weiß, wie es Sie dabei perfekt unterstützt: mit praxisnahen Workshops, aktuellen Produkttests und nützlichen Tipps und Tricks für den beruflichen Alltag. Damit Sie sich Zeit, Nerven und Kosten sparen. Teamwork in Bestform. Überzeugen Sie sich selbst! 6 3 Monate lesen Monate bezahlen www.it-administrator.de Verlag / Herausgeber Heinemann Verlag GmbH Leopoldstraße 85 D-80802 München Vertrieb, Abo- und Leserservice IT-Administrator Tel: 0049-89-4445408-0 Fax: 0049-89-4445408-99 [email protected] vertriebsunion meynen Herr Stephan Orgel D-65341 Eltville Tel: 06123/9238-251 Fax: 06123/9238-252 [email protected] S51-55_ITA_0311_P05.qxp 17.02.2011 15:40 Seite 1 PRAXIS I Workshop Monitoring mit der Nagios-Alternative Shinken Der Thronerbe bittet zur Audienz von Dr. Holger Reibold er auf ein reibungsloses Monitoring setzt, muss sich halbwegs sicher sein, dass die eingesetzte Umgebung nicht nur dem Stand der Technik entspricht, sondern dass sie kontinuierlich weitentwickelt wird und sich aktueller Technik anpasst. Diese Kriterien erfüllt Nagios aus diversen Gründen schon lange nicht mehr. So ist es nicht weiter verwunderlich, dass neue Lösungen entstehen, die den bisherigen Regenten mittel- bis langfristig vom MonitoringThron verdrängen werden. Die Alternative ist im Idealfall eine Software, die den Umstieg nicht allzu schwer macht – nicht zuletzt deshalb, weil sie Nagioskompatibel ist. W Das Shinken-Basissystem Was zeichnet nun Shinken aus? Shinken ist kein monolithisches Gebilde, sondern verwendet – in typischer Unix-Manier – für jede Aufgabe einen Prozess. Die Nagios-Alternative macht sich ein Basis- system zunutze, das aus den folgenden Komponenten besteht: Arbiter Bei diesem Prozess handelt es sich um einen übergeordneten Steuerprozess, der ein Au- Send mail, fill RSS, raise event handler, etc (happy) User Quelle: dny3d - Fotolia.com Insgeheim hat sich die Admin-Gemeinde längst von Nagios verabschiedet. Die Gründe hierfür sind hinlänglich bekannt: Jahrelang ist nichts passiert, eine nennenswerte Weiterentwicklung ist nicht zu verzeichnen. Das ist zu wenig, um sich auch in Zukunft einen festen Platz im Admin-Werkzeugkasten zu sichern. Also muss eine Alternative her – mit Shinken steht bereits ein fähiger Nachfolger in den Startlöchern. Wir stellen Ihnen das Monitoring-Werkzeug in diesem Workshop vor und erklären dessen Installation und Konfiguration unter Windows und Linux. ND0 RSS Fill databases Reactionner Spare Give orders nagios.cmd (pipe) Broker-Spare Reactionner read orders Arbiter MerlinDB Broker Are you alive? Get actions (notifications or event handler) Get status Send orders to schedulers Dies hat 2009 auch der Franzose Jean Gabès erkannt und begann damit, Nagios auf Python-Basis neu zu programmieren. Sein Proof-of-concept mit der Bezeichnung “Shinken” [1] verteilt die Aufgaben des Monitoring-Systems auf mehrere spezialisierte und gegebenenfalls redundante Prozesse. Der Vorteil dieses Konzepts: Es lassen sich weitaus mehr Endgeräte überwachen, als das mit einem herkömmlichen Nagios-System möglich ist. www.it-administrator.de Read conf Scheduler 1 Scheduler 2 Conf Get checks and return results Auto cut into parts (number of schedulers) Poller 1 Conf part1 Conf part2 [...] Conf partN Put conf to: - Schedulers - Actionners - Pollers Scheduler Spare 1 [...] Scheduler N Poller 1 Poller 1 Poller 1 Poller 1 [...] Launch nagios plugis (ex: check_tcp -H mail-server -p 25) Bild 1: Die Shinken-Architektur fußt auf den fünf Säulen Arbiter, Reactionner, Broker, Scheduler und Poller (Quelle: Shinken-Team) März 2011 51 S51-55_ITA_0311_P05.qxp 17.02.2011 15:40 Seite 2 PRAXIS I Workshop ge auf die gesamte Infrastruktur wirft. Daher weiß er, wo welche Prozesse ausgeführt werden. Er versorgt außerdem die anderen Prozesse mit Updates. Scheduler Der Scheduler protokolliert den Status von Hosts und Services und sorgt zudem für die Ausführung von Checks, Eventhandler und Notifications. Er entscheidet, welches Ereignis zur Ausgabe eines Alarms führt. Auch die Berücksichtigung von Abhängigkeiten gehört zu den Aufgaben des Schedulers. Die Service- und Hostchecks, Eventhandler und Notification-Skripte werden von sogenannten Satellitenprozessen, konkret Poller und Reactionner, ausgeführt. Der Scheduler schreibt entsprechende Arbeitsaufträge in die dafür vorgesehenen Warteschlangen, welche die Satellitenprozesse dann auslesen und abarbeiten. Poller Die Hauptarbeit in der Shinken-Umgebung übernehmen die sogenannten Poller. Sie beziehen vom Scheduler die Aufträge und stellen sicher, dass diese in einem Pool von Worker-Prozessen ausgeführt werden. Dabei sammelt der Poller die Ergebnisse, den Exitcode und die Ausgaben von PlugIns und übermittelt diese an den Scheduler, der die Daten seinerseits auswertet. Reactionner Der zweite wichtige Prozesstyp nennt sich Reactionner. Seine Funktionsweise ist mit dem Poller vergleichbar, allerdings vollzieht er keine Checks, sondern er führt Eventhandler und Notification-Skripts aus. Dabei steht ihm ein Prozess-Pool frei konfigurierbarer Größe zur Verfügung. Broker Über die Broker-Komponente ist die Anbindung beziehungsweise Integration von Drittsystemen möglich. Diese Komponente ist im Wesentlichen mit dem Nagios Event Broker-Modul identisch. Beim Auftreten eines Events, also der Statusänderung eines Services, dem Einlesen einer Konfiguration oder einer Downtime, werden diese Daten in eine spezielle Datenstruktur 52 März 2011 gepackt, das sogenannte Brok. Dieses parkt dann in der Warteschlange, bis es vom Broker-Prozess ausgelesen wird.Was genau mit den darin enthaltenen Informationen geschieht, können Sie bestimmen. Gegenüber Nagios zeichnet Shinken eine weitere Besonderheit aus: die sogenannten Realms. Sie erlauben es, Scheduler, Poller, Reactionner und Broker zu einem logischen Paket zu schnüren.Wenn Sie beispielsweise einer Host-Gruppe ein RealmAttribut zuweisen, so erfolgt die Bearbeitung ausschließlich auf Grundlage der zugewiesenen Verknüpfung. Shinken hat noch eine weitere Eigenheit – wieder im Unterschied zu Nagios: Die laufenden Prozesse müssen nicht auf einem einzigen Server zur Ausführung kommen. Sie können vielmehr ein verteiltes System aufsetzen. Das ist bei Nagios zwar auch möglich, allerdings nur mit viel Konfigurationsarbeit, da für jeden einzelnen Standort eigene Settings anzulegen sind. Bei Shinken genügt ein Satz Konfigurationsdateien. Shinken in Betrieb nehmen Die beiden wichtigsten Plattformen für den Einsatz von Shinken sind zweifelsohne Linux und Windows. Die Installation auf beiden Plattformen ist recht einfach. Nach rund 20 Minuten sind Sie soweit, dass Sie erste Monitoring-Aufgaben ausführen können.Wichtig ist zunächst, dass Sie jeweils über Administratorrechte verfügen. Installation unter Windows Möchten Sie Shinken auf einem WindowsRechner ausführen, müssen Sie zunächst sicherstellen, dass Sie Python für Windows [2] und die Pyro-Library [3] installiert haben. Als Nächstes laden Sie sich Shinken und die Plug-Ins von der Shinken-Website herunter. Entpacken Sie das Archiv beispielsweise auf Laufwerk C, so wird der Ordner “shinken” angelegt. Sie benötigen außerdem das Windows Ressource Kit [4]. Kopieren Sie von diesem die Programme instsrv.exe, srvany.exe und sc.exe in das Verzeichnis “C:\shinken\windows”. Führen Sie dann die Batch-Datei install-all.bat aus, die Sie im genannten Verzeichnis finden, um festzulegen, welche Services installiert werden sollen. Sie können dann folgende Services starten: Arbiter, Scheduler, Poller, Reactionner und Broker. Klicken Sie anschließend auf alle REGDateien im erwähnten Ordner, um die Service-Parameter korrekt zu setzen. Als Nächstes sind einige Anpassungen der Konfiguration erforderlich. Die sollten Sie vornehmen, bevor Sie Shinken das erste Mal starten. Sie finden im Verzeichnis “C:\shinken\etc” einige Beispielkonfigurationsdateien, die für den Einstieg bestens geeignet sind. Sie müssen für den Einstieg lediglich die KontaktkonfiguraDer herausragende Unterschied zwischen Shinken und Nagios sind die sogenannten Realms. Sie erlauben es in einer Shinken-Umgebung, verteilte Systeme zu realisieren. Shinken kennt hierfür das Attribut “realm” für Hosts und Host-Gruppen. Sie können Scheduler, Poller, Reactionner und Broker mit dem Attribut kennzeichnen. Der Arbiter sorgt dabei für die Zerlegung der Konfiguration in Teilkonfigurationen, wobei jede Teilkonfiguration nur die Hosts eines bestimmten Realms enthält. Alle durchzuführenden Aktivitäten, also die Ausführung von Tests, Eventhandlern, Ausgabe von Notifications et cetera, eines Realms werden dann ausschließlich von den Prozessen durchgeführt, die zum gleichen Realm gehören. Realisieren lassen sich derartige Konstellationen, indem Sie die Hosts- und Shinken-Konfigurationsdateien entsprechend erweitern: # hosts.cfg define host { host_name Server_A realm A … define host { host_name Server_B realm B … # shinken shinken-specific.cfg define realm{ realm_name A default 1 } define realm{ realm_name B } define scheduler{ scheduler_name scheduler scheduler-a node shinkensrv1.server.de … } define scheduler { scheduler_name scheduler scheduler-B node shinken.server.com … } Verteilte Konfigurationen mithilfe von Realms www.it-administrator.de S51-55_ITA_0311_P05.qxp 17.02.2011 15:40 Seite 3 PRAXIS I Workshop tionsdatei c:\shinken\etc\objects\contacts\contacts.cfg bearbeiten. Passen Sie die E-Mailadresse des Shinken-Administrators an, um Warnungen zu erhalten. Damit ist Shinken einsatzbereit. Installation unter Linux Wollen Sie Shinken unter Linux ausführen, benötigen Sie als Systemvoraussetzungen Python 2.4 oder höher, Pyro und Git. Führen Sie Shinken auf einem Debian-basierten System aus, so installieren Sie die benötigten Komponenten einfach mit folgendem Befehl: sudo apt-get install python pyro git-core Der nächste Schritt dient dem Erstellen eines neuen Shinken-Accounts.Wechseln Sie zu Root und erzeugen Sie einen Shinken-Account: /usr/sbin/useradd -m shinken passwd shinken In diesem Fall sind der Benutzername und das Passwort identisch, also “shinken”. Laden Sie sich dann Shinken herunter, entpacken Sie das Archiv und starten Sie die Installation: sudo python setup.py install —install-scripts=/usr/bin Als Nächstes sind auch unter Linux einige Anpassungen der Konfigurationsdateien erforderlich. Shinken wird standardmäßig in das Verzeichnis “/etc/shinken/” installiert. Sie sollten zumindest die E-Mailadresse des Administrators anpassen. Mit dem nächsten Schritt installieren Sie die Nagios-Plug-Ins. Unter Debian führen Sie dazu folgenden Befehl aus: sudo apt-get install nagios-plugins Der nächste Schritt dient der Startkonfiguration von Shinken. Sollen die verschiedenen Prozesse bei jedem Systemstart ausgeführt werden, führen Sie die folgenden Befehle aus: www.it-administrator.de sudo ln -s /etc/init.d/ shinken-scheduler/etc/rcS.d/ S98shinken-scheduler sudo ln -s /etc/init.d/shinken-poller /etc/rcS.d/S98shinken-poller sudo ln -s /etc/init.d/ shinken-reactionner /etc/rcS.d/ S98shinken-reactionner sudo ln -s /etc/init.d/shinken-broker /etc/rcS.d/S98shinken-broker sudo ln -s /etc/init.d/shinken-arbiter /etc/rcS.d/S98shinken-arbiter Alternativ können Sie auch das Kommando ./launch_all.sh ausführen. Mit folgendem Befehl verifizieren Sie unter Linux die Konfigurationsdateien: /usr/bin/shinken-arbiter -v -c /etc/shinken/nagios.cfg -c /etc/shinken/shinken-specific.cfg Tritt dabei kein Fehler auf, können Sie Shinken starten: sudo /etc/init.d/shinken-scheduler start sudo /etc/init.d/shinken-poller start sudo /etc/init.d/shinken-broker start sudo /etc/init.d/shinken-reactionner start sudo /etc/init.d/shinken-arbiter start Nun können Sie auf die Web-Schnittstelle von Shinken über die URL http://shinken-4-0_bzw_ip-adresse:3000 zugreifen. Shinken-Konfiguration Shinken verwendet verschiedene Konfigurationsdateien, die Sie an Ihre Umgebung und an Ihre Bedürfnisse anpassen müssen. Gerade als Einsteiger sollten Sie sich Zeit lassen mit dem Kennenlernen der unzähligen Möglichkeiten. Ihre Installation kommt mit verschiedenen Beispielkonfigurationsdateien daher, die unter “/usr/local/shinken/etc/” abgelegt sind. Sie besitzen die Dateierweiterung *.cfg. In der Hauptkonfigurationsdatei sind eine Vielzahl von sys- temübergreifenden Einstellungen definiert. Dazu gehören insbesondere verschiedene Pfadeinstellungen, die Benutzer und die Protokollvariablen. Das Format für die Protokolldateien lautet log_file={dateiname}. Ein konkretes Beispiel lautet etwa: log_file=/usr/local/shinken/var/ nagios.log Mit dieser Einstellung bestimmen Sie, wo die Hauptprotokolldatei abgelegt wird. Wenn Sie die Logfile-Rotation aktivieren, wird diese Datei täglich rotiert. Mit der sogenannten Objektkonfiguration bestimmen Sie, welche Objektdefinitionen Shinken für das Monitoring verwendet. In diesen Definitionen sind Hosts, Host-Gruppen, Kontakte et cetera zusammengefasst. Das Format für die Verwendung von Objektdefinitionen ähnelt mit cfg_file={Dateiname} dem Format für Protokolldateien. Hier einige Beispiele, wie die Konfiguration in der Praxis aussehen kann: cfg_file=/usr/local/shinken/etc/ hosts.cfg cfg_file=/usr/local/shinken/etc/ services.cfg cfg_file=/usr/local/shinken/etc/ commands.cfg Die Objektdefinitionen werden standardmäßig in speziellen Definitionsverzeichnissen abgelegt. Dabei behandelt Shinken alle Dateien mit der Dateierweiterung *.cfg als Objektdefinition. Es empfiehlt sich, Objektdefinitionen in unterschiedlichen Verzeichnissen abzulegen. Eine typische Konfiguration kann wie folgt aussehen: cfg_dir=/usr/local/shinken/etc/ commands cfg_dir=/usr/local/shinken/etc/ services cfg_dir=/usr/local/shinken/etc/hosts In der Hauptkonfiguration legen Sie zudem den Benutzer für den Arbiter-Prozess fest, den Hauptprozess der ShinkenUmgebung. Das Werkzeug wird von März 2011 53 S51-55_ITA_0311_P05.qxp 17.02.2011 15:40 Seite 4 PRAXIS I Workshop diesem User ausgeführt. Das allgemeine Format lautet nagios_user={Username}. Dies kann in der Praxis dann so aussehen: nagios_user=shinken Hierbei ist wichtig zu wissen: Die Shinken-Prozesse benötigen für ihre Ausführung keine Root-Berechtigungen. Sie sollten ferner die Gruppe bestimmen, die den Arbiter-Daemon ausführen kann. Dazu verwenden Sie die Konfiguration nagios_group=shinken. Die Notification-Optionen, mit denen Sie die Ausgabe von Meldungen aktivieren, besitzen das Format enable_notifications=0/1. Mit dem Wert “1” ist die Ausgabe aktiviert. Die bereits erwähnte Logfile-Rotation konfigurieren Sie mit log_rotation_method= n/h/d/w/m. Standardmäßig kommt die Option zum Einsatz, die für die tägliche Rotation sorgt. Wohin Shinken die archivierten Protokolldateien schreibt, bestimmen Sie mit log_archive_path={Pfad}. Überwachung von Windows-Systemen einrichten Da Windows nach wie vor das mit Abstand am häufigsten eingesetzte Betriebssystem ist, sollten Sie sich zunächst mit den Eigenheiten bei der Überwachung dieses Systems befassen. Gerade öffentlich bereitgestellte Dienste von Windows-Servern wie beispielsweise HTTP, FTP oder E-Mail können Sie auf einfache Art und Weise mit Shinken überwachen. Um allerdings private Dienste und deren Attribute von Windows-Rechnern sammeln zu können, müssen Sie auf deren Seite einen Agent installieren. Der Agent agiert dabei als Proxy zwischen den Nagios-Plug-Ins, die für das eigentliche Monitoring zuständig sind, und dem Windows-Service beziehungsweise dem Systemattribut. Ausbringen von Agenten Ohne die Installation eines Agenten kann Shinken leider keine Windows-Interna überwachen. Für welchen Agent Sie sich dabei entscheiden, ist zunächst zweitrangig. Aufgrund seiner umfassen- 54 März 2011 den Funktionalität und dem guten Zusammenspiel mit Nagios beziehungsweise Shinken bietet sich der Einsatz des NSClient++ [5] an. In Verbindung mit dem Plug-In check_nt, das auf dem Shinken-Server zu installieren ist, können Sie eine Fülle an Informationen aus dem Client herauslesen. Um ein Windows-System zu überwachen, sind mehrere Schritte erforderlich. Zunächst müssen Sie auf dem Windows-Rechner den Monitoring-Agent installieren. Dann erzeugen Sie auf Seiten des Shinken-Systems die neuen Host- und Service-Definitionen für die Überwachung des Windows-Rechners. Dann führen Sie einen Neustart des Shinken-Daemons durch, um die Überwachung zu starten.Wenn Sie sich Die Hauptkonfigurationsdatei von Shinken trägt nach wie vor die Dateibezeichnung nagios.cfg. Sie ist wie alle anderen Konfigurationsdateien im /etc-Verzeichnis zu finden. Hier ein Blick auf die wichtigsten Einträge samt Erläuterung # Logdatei für das Broker-Modul log_file=/tmp/donotusethis.log # Bestimmt, ob Shinken ausgeführt wird oder nicht. execute_host_checks=1 execute_service_checks=1 für die Verwendung des NSClient++ entscheiden, finden Sie auf der Projekt-Site verschiedene Installationspakete. Die erlauben auch das einfache Einrichten als Service und den Zugriff auf die Client-Protokolle. Weitere Anpassungen sind auf Seiten des Windows-Systems nicht erforderlich. Dienste in Shinken konfigurieren Als Nächstes müssen Sie sich der Shinken-Konfiguration widmen. Dazu editieren Sie die Konfigurationsdatei windows.cfg. Wenn Sie den ersten Windows-Host anlegen, den Sie mit Shinken überwachen wollen, so können Sie einfach die Beispielkonfiguration anpassen. Weisen Sie dazu insbesondere den Feldern host_name, alias und address die korrekten Werte zu. Hier ein Beispiel: # Anzahl an Intervallen max_service_check_spread=5 max_host_check_spread=5 # Datei, an die externe Kommandos übermittelt werden. Beachten Sie, dass das in erster Linie eine Möglichkeit für Unix-/Linux-Systeme ist. command_file=/usr/local/shinken/var/rw/nagios.cmd # Datumsformat, bislang ungenutzt date_format=iso8601 # Erlaubt theoretisch das Aktivieren einer eingebetteten Perl-Umgebung, die es aber bislang noch nicht gibt. enable_embedded_perl=0 # Verweise zu weiteren Konfigurationsdateien und Templates, die von host/service/contacts verwendet werden. cfg_file=commands.cfg cfg_file=timeperiods.cfg cfg_file=escalations.cfg cfg_file=dependencies.cfg # Nach 10 Sekunden wird der Prüfvorgang abgeschlossen. service_check_timeout=10 # Templates für Hosts, Services und Kontakte cfg_file=templates.cfg # Lock-Datei für den Arbiter-Daemon lock_file=/usr/local/shinken/var/arbiterd.pid # Gruppen cfg_file=servicegroups.cfg cfg_file=hostgroups.cfg cfg_file=contactgroups.cfg # Auf 1 gesetzt, werden alle Hinweis- und Warnmeldungen unterdrückt. disable_old_nagios_parameters_whining=0 # Die realen Hosts, Services und Kontakte cfg_dir=objects/hosts cfg_dir=objects/services cfg_dir=objects/contacts # Maximaler Plug-In-Output max_plugins_output_length=8192 # Erlaubt das Setzen der Zeitzone, sofern das erforderlich ist. #use_timezone=FR/Paris # Einige Makros resource_file=resource.cfg # Diese Option sollten Sie nicht aktivieren, da sie den Prozessor massiv belastet. use_large_installation_tweaks=1 enable_environment_macros=0 # Dummy-Konfiguration mit 150 Hosts, jeder mit zehn Services #cfg_file=host-150.cfg #cfg_file=services-150h-1500srv.cfg # Benutzer, der den Arbiter-Daemon verwendet. Standardmäßig ist das shinken/shinken. #shinken_user=shinken #shinken_group=shinken Die Hauptkonfigurationsdatei von Shinken www.it-administrator.de S51-55_ITA_0311_P05.qxp 17.02.2011 15:40 Seite 5 PRAXIS I Workshop host_name winserver service_description Explorer check_command check_nt!PROCSTATE!-d SHOWALL -l Explorer.exe } Bild 2: Shinken greift für die eher schlichte Web-basierte Darstellung der Daten auf Truk zurück define host{ Use windows-server ; Erbt die Standardwerte des Windows-Server-Templates. host_name win_server alias Windows Server address 192.168.1.2 } Fügen Sie dann verschiedene Dienstdefinitionen der gleichen Konfigurationsdatei hinzu, damit Shinken auch weiß, welche Services für Sie von Interesse sind. Mit der nachfolgenden Service-Definition binden Sie den NSClient++ in das Monitoring ein: define service{ use generic-service host_name winserver service_description NSClient++ Version check_command check_nt!CLIENTVERSION } Um die Betriebszeit des Servers zu überwachen, fügen Sie folgende Service-Definition der Konfiguration hinzu: gabe einer CRITICAL-Warnung zu sorgen, wenn die Auslastung fünf Minuten lang über 90 Prozent liegt, und eine WARNING-Meldung, wenn die Auslastung fünf Minuten lang über 80 Prozent liegt, verwenden Sie folgenden Code: define service{ use generic-service host_name winserver service_description CPU Load check_command check_nt!CPULOAD! -l 5,80,90 } Um eine CRITICAL-Meldung bei einer Speicherplatzbelegung von Laufwerk C bei über 90 Prozent und einer WARNING-Meldung bei einerAuslastung von über 80 Prozent zu sorgen, verwenden Sie folgende Service-Definition: define service{ use generic-service host_name winserver service_description C:\ Drive Space check_command check_nt!USEDDISKSPACE!-l c -w 80 -c 90 } define service{ use generic-service host_name winserver service_description Uptime check_command check_nt!UPTIME } Wenn Sie den Prozess Explorer.exe auf dem Windows-System überwachen und eine kritische Warnung ausgeben wollen, wenn der Prozess nicht ausgeführt wird, erreichen Sie das mit folgender Definition: Um die CPU-Auslastung des WindowsServers zu überwachen und für die Aus- define service{ use generic-service www.it-administrator.de Damit wären einige er ste typische Dienstdefinitionen angelegt und Sie können die Konfigurationsdatei speichern. Sollte der Zugriff auf den NSClient++Client passwortgeschützt sein, so müssen Sie das Passwort in die check_nt-Definition einschließen. Dazu editieren Sie die Konfigurationsdatei commands.cfg. Hier ein Beispiel: define command{ command_name check_nt command_line ${User1}$/check_nt -H ${Hostadresse}$ -p 12489 -s PASSWORT -v $ARG1$ $ARG2$ } Nach dem Sichern der Definition steht dann einem passwortgeschützten Zugriff nichts im Weg. Eine Fülle weiterer Dienste-Beispiele finden Sie im Shinken-Wiki. Für die Überwachung von Linux- beziehungsweise Unix-systeminternen Daten greifen Sie zum NRPEAdd-on. NRPE erlaubt die Ausführung von Plug-Ins auf Linux- und Unix-Systemen. Damit können Sie beispielsweise lokale Ressourcen und Attribute wie die Festplattenbelegung, die vorhandene CPU-Last und die Speicherverwendung überwachen. (ln) [1] Shinken B3P51 [2] Python für Windows B3P52 [3] Pyro-Library B3P53 [4] Windows Ressource Kit B3P54 [5] NSClient++ B3P55 Link-Codes März 2011 55 S34-39_ITA_0411_P06_Libelle_ExchangeTraining.qxp 24.03.2011 19:51 Seite 2 PRAXIS I Workshop Apple iPad im Unternehmenseinsatz iPadministrator von Christian Knermann eim ersten Einschalten weist das Gerät in unmissverständlicher Bildsprache darauf hin, dass es über USB mit einem Computer verbunden werden möchte, auf dem die Apple-Software iTunes installiert ist. Ohne die Freischaltung über iTunes ist das iPad nicht verwendbar. iTunes ist für Mac OS X ab Version 10.5 sowie Windows ab XP SP2 verfügbar. Für die 64-Bit-Varianten von Windows Vista und 7 gibt es einen separaten Installer [1]. B Bei der Installation werden neben iTunes selbst weitere Komponenten installiert: “Bonjour” dient der automatischen Erkennung weiterer Apple-Dienste und -Geräte im Netz. Dazu wird ein entsprechender Systemdienst eingerichtet. Der “Apple Mobile Device Support” dient der Anbindung des iPad und verankert sich mit zwei Diensten im System, dem “Apple Mobile Device” und dem “iPod Service”. Hinzu kommt der “iTunesHelper” als systemweites Autostart-Objekt, das dafür sorgt, dass iTunes automatisch startet, sobald das iPad angeschlossen wird. Weiterhin werden die Multimedia-Umgebung Quicktime sowie Apple Applica- 34 April 2011 tion Support als Voraussetzungen für iTunes installiert. Zu guter Letzt hält Apple Software Update alle Komponenten auf aktuellem Stand. Die Update-Funktion war in der Vergangenheit in die Kritik geraten, da sie standardmäßig weitere Apple-Software wie den Browser Safari zur Installation selektierte. Inzwischen ist diese Einstellung aber geändert worden. Die zusätzlichen Komponenten werden zwar weiterhin angeboten, müssen nun aber explizit ausgewählt werden, falls die Installation gewünscht ist. Aktivierung nur mit iTunes Ist das iPad nach der Installation von iTunes mit dem Rechner verbunden, so wird es aktiviert. Im Verlauf dieses Prozesses verlangt iTunes nach einer Apple ID beziehungsweise einem iTunes Account. Ein solcher lässt sich auch vorab oder nach Aktivierung des iPads über das Menü “Store / Benutzer-Account erstellen…” anlegen. In beiden Fällen ist wahlweise eine Kreditkarte oder ein clickandbuy-Konto als Zahlungsmethode für im iTunes Store erworbene Medieninhalte und Apps anzugeben. Dies lässt sich umgehen, indem zunächst über den App Store eine beliebige Gratis-App geladen Quelle: apple.com Adressierte Apple mit iPhone und iPad zunächst hauptsächlich den Consumer-Markt, erfreuen sich die Geräte nicht zuletzt seit Erscheinen des iPhone 4 auch im geschäftlichen Umfeld zunehmender Beliebtheit. Mit dem Betriebssystem-Update auf iOS 4.2.1 haben vom iPhone bekannte Funktionen wie das Multitasking ihren Weg auch auf das iPad gefunden. Für Administratoren stellen sich in Sachen iPad hauptsächlich die Fragen, welche Funktionen zur Verwaltung sich bieten und ob das Gerät auch zu administrativen Zwecken taugt. Diesen Fragen sind wir mit dem Einstiegsmodell mit 16 GByte und Wi-Fi-Unterstützung nachgegangen. und erst dann der Benutzer-Account erzeugt wird. Dann ist als zusätzliche Zahlungsart die Option “Keine” verfügbar. Das genaue Vorgehen beschreibt ein Apple Support-Artikel [2]. Einmal freigeschaltet, kann das iPad wahlweise über iTunes mit Apps und Medieninhalten betankt werden oder aber selbständig per WLAN kommunizieren. Die entsprechenden Konfigurationsoptionen finden sich unter dem Punkt “Einstellungen” im Menü “Allgemein / Netzwerk”. Sofern eine Internetverbindung nicht automatisch erkannt wird, ist es dort sowohl möglich Wi-Fi-Netze als auch VPN-Verbindungen anzulegen. Falls es sich um ein verstecktes Funknetz handelt, kann der Benutzer die SSID manuell eingeben. Es werden die Verschlüsselungstypen WEP,WPA und WPA2 unterstützt – die letzteren beiden sowohl in der Personal-Variante mit Preshared-Key als auch in der Enterprise-Variante mit Radius-Authentifizierung, die alle ohne Komplikationen funktionierten. Es ist weiterhin möglich, ein oder mehrere VPN-Profile zu verwalten [3]. Unterstützt werden L2TP, PPTP und Cisco IP- www.it-administrator.de S34-39_ITA_0411_P06_Libelle_ExchangeTraining.qxp 24.03.2011 19:51 Seite 3 PRAXIS I Workshop Sec. Pro VPN-Profil lässt sich jeweils ein separater Webproxy eintragen. Darüber hinaus sind im App Store zusätzliche Clients für mehrere SSL-VPN Varianten kostenfrei verfügbar, darunter unter anderem Cisco AnyConnect. Weitere Informationen liefern zwei Apple Support-Artikel [4,5]. Wir verbanden uns mittels Preshared-Key testweise mit einer Cisco ASA, was ohne Probleme gelang. Bei jedem Verbindungsaufbau ist das individuelle Passwort erneut einzugeben. Es ist nicht möglich, das Passwort dauerhaft im Gerät zu speichern. Ist der Netzwerkkontakt etabliert, stellt sich die Frage nach den grundlegenden Funktionen, wie sie im geschäftlichen Alltag gefragt sind. Arbeiten mit Browser, E-Mail & Co. Das iPad bringt Apples Browser Safari mit, der auf dem Rendering-Engine WebKit basiert und durch das Zoomen mittels Fingergesten einen angenehmen Umgang mit Webinhalten ermöglicht – natürlich nur, solange diese nicht als Flash-Objekt vorliegen. In den Einstellungen können Sie im Menü “Safari” einige Parameter setzen. Als Suchmaschinen stehen Google,Yahoo! und Bing zur Wahl. Der Punkt “Betrugswarnung” deaktiviert, falls gewünscht, den integrierten Phishing-Filter.Auch JavaScript und der Pop-Up Blocker können einzeln aktiviert oder deaktiviert werden. Cookies werden standardmäßig nur von besuchten Seiten akzeptiert. Alternativ stehen die Optionen “Nie” oder “Immer” zur Wahl. Letzteres lässt auch Cookies von Drittanbietern zu. Die Kontrolle über gespeicherte Inhalte ist eher rudimentär.Verlauf, Cookies und Cache lassen sich jeweils nur komplett löschen. Der Zugriff auf E-Mail, Kalender, Kontakte und Notizen erfolgt auf dem iPad über vier einzelne Apps, die im grundlegenden Funktionsumfang des Geräts enthalten sind. In den Einstellungen können unter “Mail, Kontakte, Kalender” entsprechende Accounts angelegt werden. Neben Microsoft Exchange werden unter www.it-administrator.de anderem Google Mail- und Yahoo-Konten unterstützt. Über den Punkt “Andere” lassen sich IMAP- und POP-Server ansprechen.Wir legten zwei Mail-Accounts an, ein Postfach auf einem Microsoft Exchange Server 2003, der per Microsoft ISA Server und Outlook Web Access SSLgesichert im Web erreichbar ist, sowie ein IMAP-Postfach. Im ersten Fall war neben der E-Mailadresse und Anmeldeinformationen für die Windows-Domäne lediglich der FQDN des ISA-Servers erforderlich, um SSL-verschlüsselt auf den Exchange-Server zuzugreifen. ten chronologisch sortiert in einer gemeinsamen Ansicht. Anwender können so allerdings nur EMail, Kontakte und Kalenderobjekte synchronisieren. Ein Zugriff auf die Notizen des Exchange-Postfachs ist auf diesem Weg nicht möglich, dies funktioniert nur auf dem Umweg über iTunes. Push-Mail, also die umgehende Benachrichtigung über neue E-Mails, kommt standardmäßig nur für den Posteingang zum Tragen. Soll dies auch für weitere Ordner des Postfachs erfolgen, müssen Sie die entsprechenden Unterordner explizit auswählen. Hierbei und beim Arbeiten mit den Postfächern zeigte sich, dass der Mailclient von iOS 4.2.1 einen Kritikpunkt nach wie vor nicht ausräumt: So wird in der Ordnerauswahl die komplette Ordnerhierarchie immer vollständig expandiert. Wer mit vielen Unterordnern arbeitet, ist damit zu häufigem Scrollen gezwungen. Zentrales Management nur mit starken Einschränkungen Bei der Integration des IMAP-Postfachs hinterlegen Anwender die Posteingangsund -ausgangsserver mit den entsprechenden Anmeldeinformationen. Neben den E-Mails können via IMAP auch Notizen synchronisiert werden. Ein Abgleich per Push ist nicht möglich, stattdessen kann das Laden neuer E-Mails wahlweise manuell oder zeitgesteuert erfolgen, wobei Intervalle von 15, 30 oder 60 Minuten zur Auswahl stehen. Der Zugriff auf mehrere Mail-Accounts ist auf einfache Weise möglich. Die Mail-App fasst über die Ansicht “Alle” die Posteingänge der angebundenen Accounts zusammen. Somit erscheinen die E-Mails aller Kon- Der Mail-Client bietet Unterstützung für gängige Attachements wie Grafikformate (GIF, JPEG, PNG, TIFF), Text-Formate (TXT, RTF), Adobe PDF, die Anwendungen der Apple iWork Suite sowie Microsoft Office-Formate. Dabei werden Word, Excel und Powerpoint der Versionen 97 bis hin zum aktuellen Office 2010 erkannt und in einem Viewer geöffnet. Von dort lassen sich die Dokumente je nach Typ in anderen Apps öffnen. Alle bislang beschriebenen Konfigurationsschritte haben wir direkt am Gerät vorgenommen. Über iTunes wird das iPad zwar aktiviert und mit iOS-Updates versorgt (zudem wird jeweils ein Backup des Geräts angelegt, sobald es mit iTunes verbunden wird), auf diesem Weg lassen sich aber keine Einstellungen zentralisiert propagieren. Um im Unternehmensumfeld zahlreiche iPads auszurollen, müsste ein Administrator entweder sämtliche Geräte von Hand vorkonfigurieren oder auf entsprechend versierte Endanwender hoffen. Sind die Geräte dann einmal verteilt, ist zudem kein zentrales Management und keine Kontrolle unternehmensweiter Sicherheitsrichtlinien mehr möglich. Erschwerend kommt hinzu, dass ein iPad mit einer iTunes-Installation in einer 1zu-1-Beziehung steht.Wird das iPad mit einer anderen iTunes-Instanz verbunden, so lassen sich mit dem iPad gekaufte Apps und Inhalte zwar übertragen, dies ist aber deutlich zeitaufwändiger als ein regulärer Synchronisationsvorgang, so dass es sich in der Praxis nicht empfiehlt, ein iPad häufig an unterschiedlichen Rechnern zu verwenden.Verfügt ein Endanwender selbst über eine iTunes-Installation, entzieht sich ein iPad somit weitestgehend der Fürsorge des Administrators. Es ist möglich, iTunes über Registrierungsschlüssel restriktiv zu konfigurieren April 2011 35 S34-39_ITA_0411_P06_Libelle_ExchangeTraining.qxp 24.03.2011 19:51 Seite 4 PRAXIS I Workshop [6], und wenn die entsprechenden ClientComputer einer Active Directory Domäne angehören, lassen sich diese Einstellungen auch als Gruppenrichtlinie zentral verteilen.Auf diesem Weg wird natürlich nur iTunes beeinflusst und nicht das iPad selbst. Um dieses Thema zu adressieren, stellt Apple einige Ressourcen [7] bereit, allen voran das kostenlose iPhone-Konfigurationsprogramm 3.2. Das Tool ist für Microsoft Windows [8] und Mac OS X [9] verfügbar und trotz seines Namens auch auf das iPad anwendbar. Die Oberfläche des Tools ist an iTunes angelehnt. In einer Leiste am linken Bildschirmrand verwalten Sie innerhalb einer Bibliothek mehrere Geräte, indem Sie ihnen Konfigurationsprofile zuweisen. Der gleichnamige Ordner ist anfänglich noch leer. Über die Schaltfläche “Neu” legen Sie ein neues Profil an, das mit einem eindeutigen Namen versehen werden muss. Die Dropdown-Box unter dem Punkt “Sicherheit” stellt zur Wahl, ob es dem Endanwender erlaubt ist, das Profil wieder vom iPad zu entfernen. Die Einstellung “Nie” verbietet dies und sperrt durch das Profil vorgegebene Einstellungen gegen Änderungen. Die Möglichkeiten der Profile gehen über die Einstellungen hinaus, die am Gerät selbst möglich sind. So können Sie die Code-Sperre an die Sicherheitsanforderungen des Unternehmens anpassen und beispielsweise erzwingen, dass ein alphanumerisches Passwort nötig ist. Es kann eine Ablauffrist zwischen einem und 730 Tagen definiert werden, nach der der Code geändert werden muss. Sofern gewünscht ist, dass sich das Gerät nach Falscheingabe des Codes selbständig löscht, konfigurieren Sie zwischen einem und 16 Fehlversuchen (in den lokalen Einstellungen des iPad lässt sich die Vorgabe von zehn Fehlversuchen ohne das Konfigurationsprogramm nicht ändern). Im Bereich der “Einschränkungen” finden sich einige Einstellungen, die sich auf das iPhone beziehen und auf das iPad nicht anwendbar sind. Dies betrifft zum Beispiel die Verwendung der beim iPad nicht vorhan- 36 April 2011 denen Kamera. Andere Optionen haben im Unternehmensumfeld durchaus auch auf dem iPad ihre Daseinsberechtigung. So ist es möglich, die Verwendung von Youtube oder dem iTunes Music Store zu verbieten, sowie verschlüsselte Backups zu erzwingen. Letzteres ist dringend zu empfehlen, da sämtliche Einstellungen und Inhalte vom iPad in ein Backup wandern. Ist ein Profil fertig konfiguriert, lässt es sich über die Geräte-Ansicht installieren. Es wird dabei allerdings nicht sofort angewendet. Die Installation muss der Anwender auf dem iPad manuell bestätigen. Alternativ zur direkten Installation via USB können Sie ein Konfigurationsprofil auch als E-Mail-Anhang oder WebDownload verteilen. Dazu bietet das Konfigurationsprogramm eine ExportOption, die ein Profil als XML-Datei mit der Endung *.mobileconfig speichert. Die Sicherheitsoption “Konfigurationsprofil signieren” schützt das Profil zwar gegen nachträgliche Änderungen, es ist aber lesbar und enthält beispielsweise WLAN-Schlüssel im Klartext. Die dritte Option “Verschlüsseltes, signiertes Konfigurationsprofil für dieses Gerät erstellen” verschlüsselt das Profil komplett. Es wird dabei aber pro zu konfigurierendem iPad eine eigene Datei erzeugt, was den Rollout an eine größere Anzahl von Endgeräten erschwert. Hinzu kommt, dass es in allen Fällen dem Endanwender überlassen bleibt, die Installation des Profils durchzuführen. Es ist somit auf diesem Weg nicht möglich, zentrale Vorgaben automatisiert auf einer größeren Anzahl von Endgeräten durchzusetzen und nachträglich zu verändern. Sofern eines der E-Mailkonten auf einem Microsoft Exchange-Server gehostet wird, bietet sich als Alternative die Konfiguration von ActiveSync-Richtlinien [10] an. Auf diesem Wege lassen sich zwar längst nicht alle Einstellungen des iPads adressieren, aber es ist immerhin möglich, den Passwort-Schutz auf dem Gerät zu erzwingen und Vorgaben zur Komplexität des Codes zu machen.Weiterhin können Sie das Gerät über den Exchange-Server im Verlustfall aus der Ferne zurücksetzen. Verteilung von Apps Der zentralen Verteilung von Applikationen steht deren Verknüpfung mit individuellen iTunes-Accounts entgegen. So wird es im Unternehmensumfeld kaum praktikabel sein, ein und denselben Firmen-Account mit entsprechenden Zahlungsinformationen auf den iPads aller Endanwender zu benutzen. Eine Alternative bietet der App Store mit der Option, Apps zu verschenken. So kann ein Administrator über den Firmen-Account Apps beschaffen und an User zuweisen, die mit individuellen iTunes-Accounts – wahlweise mit einer persönlichen oder keiner Bild 1: Das Konfigurationsprogramm bietet Einstellungen, die lokal auf dem iPad nicht verfügbar sind www.it-administrator.de S34-39_ITA_0411_P06_Libelle_ExchangeTraining.qxp 24.03.2011 19:52 Seite 5 dungen zu Windows XP,Vista und 7. Der Client “Mocha VNC for iPad” unterstützt die Spielarten RealVNC, Tight VNC und UltraVNC sowie das Remote-Management von Mac OS X. Beide Clients sind als kostenlose Lite Versionen verfügbar, die Vollversionen schlagen mit jeweils Bild 2: Die Installation eines Profils muss am Gerät bestätigt werden 4,99 Euro zu Buche. Bereits die Lite VerZahlungsmethode – eingeloggt sind. Die sionen eignen sich für den gelegentlichen Installation der App muss der Endanwen- Zugriff auf Remote-Systeme, beispielsweise um nach dem Stand der Dinge im der allerdings selbst durchführen. Ereignisprotokoll zu sehen. Mauscursor Wollen Sie jedoch selbstentwickelte Apps und Klicken werden über Fingertippen verteilen, führt der Weg über eine kos- realisiert. Für Eingaben kommt die virtutenpflichtige Teilnahme an Apples Deve- elle Tastatur des iPads zum Einsatz. Einige loper Programm. Diese ist erforderlich, Funktionen, die für produktives Arbeiten da Apps signiert sein müssen, damit das eigentlich unerlässlich sind, so etwa die iPad sie akzeptiert und ausführt.Apps las- Emulation der rechten Maustaste oder sen sich in ein sogenanntes Bereitstel- Sondertasten wie die Windows-Taste oder lungsprofil verpacken und wahlweise über Strg+Alt+Entf, sind allerdings den komiTunes oder das iPhone-Konfigurations- merziellen Varianten vorbehalten. Ähnliprogramm installieren. Details liefert der ches gilt für die App “Telnet for iPad”: Der grundsätzliche Zugriff auf Linux “Enterprise Deployment Guide” [11]. Shells ist mit diesem Werkzeug in der Lite Version möglich. Erweiterte EingaApps für die ben und Tastenkombinationen bietet auch Remote-Administration Soll das iPad für den Administrator auf hier nur die Vollversion für 4,99 Euro. Im Reisen als alleiniger Begleiter das Note- Test gelangen uns allerdings nur nicht book komplett ersetzen, stellt sich insbe- mehr ganz zeitgemäße und aus Sichersondere die Frage nach Möglichkeiten heitsgründen nicht wirklich vertretbare zur Fernwartung und zum Zugriff auf Telnet-Verbindungen, SSH-Verbindungen Unternehmensanwendungen. Im App kamen nicht zustande. Store finden sich hierzu einige Clients für Für SSH-Zugriffe und zudem als VNCunterschiedliche Remote-Protokolle. Client empfiehlt sich das mit 7,99 Euro Der dänische Anbieter MochaSoft [12] etwas teurere “iSSH” von Zingersoft [13]. bietet Clients für RDP und VNC.Wenn- Die Software kann mehrere gleichzeitige gleich der “Remote Desktop for iPad” Verbindungen aufbauen und unterstützt den Zugr iff auf Microsoft Server- das Multitasking von iOS 4.2.1. Der HerBetriebssysteme aus lizenzrechtlichen steller kündigt auf seiner Webseite zudem Gründen vom Hersteller offiziell nicht un- die Unterstützung der Protokolle RDP terstützt, funktioniert dieser doch zufrie- und NoMachine NX sowie einen sepadenstellend. Unterstützt werden Verbin- raten X11-Client an. www.it-administrator.de S34-39_ITA_0411_P06_Libelle_ExchangeTraining.qxp 24.03.2011 19:52 Seite 6 PRAXIS I Workshop von Geräten zentral zu verwalten, lassen die aktuell gebotenen Möglichkeiten allerdings noch Wünsche offen. Apple bietet zwar eine Schnittstelle für das kabellose Management [15], überlässt die Entwicklung entsprechender Infrastrukturlösungen aber Drittanbietern. Bestehen die Ziele vor allem darin, unterwegs grundsätzliche E-Mail- und PIMAufgaben zu erledigen sowie Medieninhalte zu konsumieren, kann das Gerät allerdings mit seiner Bedienbarkeit und der langen Akkulaufzeit überzeugen und gibt sich im Handgepäck deutlich schlanker als ein Netbook. (jp) [1] iTunes 10.2 für Windows (64 Bit) B4P61 Bild 3: Der Citrix Receiver for iPad bietet nützliche Zusatzfunktionen, die die Bedienung von Windows-Applikationen erleichtern Eine XenApp- oder XenDesktop-Infrastruktur vorausgesetzt, bringt der kostenfreie “Citrix Receiver for iPad” [14] Applikationen und Desktops mittels ICA-Protokoll auf das iPad-Display. Der Client erwartet dazu lediglich die Adresse eines Webinterface-Servers. Der Zugriff kann dabei auch von extern SSL-gesichert über das Citrix Access Gateway erfolgen. Nach erfolgreicher Authentisierung bietet der Client sämtliche verfügbaren Ressourcen in einer optisch an den App Store angelehnten Ansicht an. Einzelne Anwendungen oder Desktops lassen sich mittels Tippen der Startseite des Receiver hinzufügen und von dort starten. Fazit In einer laufenden Session lässt sich am oberen Bildschirmrand eine Leiste ausklappen. Diese enthält einige Funktionen, welche die Arbeit auch auf dem kleinen iPad-Display und ohne externe Tastatur erleichtern. So ist es möglich, ein On-Screen-Display mit Pfeiltasten einzublenden, um den Cursor beispielsweise in Texten zu bewegen. Die Tastatur blendet das übliche virtuelle Keyboard des iPads ein, das allerdings um eine zusätzliche Leiste mit Funktionstasten wie Strg,Alt und Tab ergänzt wurde.Tippen löst Auch ohne Zusatzprogramme ist das iPad durch die Unterstützung gängiger OfficeFormate für den geschäftlichen Alltag gut gerüstet. OpenOffice-Dokumente bleiben allerdings außen vor und auch via S/MIME verschlüsselte E-Mails liest die Mail-App nicht, so dass nicht alle Anwendungsfälle abgedeckt sind. In den meisten Fällen reichten die Funktionen aber aus und mit den diversen Remote Clients kann selbst ein Administrator grundlegende Monitoring- und Wartungsaufgaben aus der Ferne erledigen. Ist eine größere Menge 38 April 2011 einen Mausklick an der entsprechenden Stelle aus.Alternativ dazu blendet das Trackpad einen Mauszeiger in die Remotesession ein, der sich mittels Wischgesten positionieren lässt. In diesem Modus löst ein Tippen an beliebiger Stelle einen Mausklick an der Position des Cursors aus.Tippen mit zwei Fingern entspricht einem Rechtsklick. Auch mit diesen Hilfsmitteln lassen sich Remote-Anwendungen natürlich nicht beliebig schnell und flüssig bedienen.Aber immerhin ist es mit dem Receiver möglich, selbst komplexere Anwendungen zielgerichtet zu steuern. [2] iTunes App Store-Account ohne Kreditkarte erstellen B4P62 [3] VPN unter iOS konfigurieren B4P63 [4] Unterstützte Protokolle für VPN B4P64 [5] VPN Server Configuration for iOS 4 Devices B4P65 [6] Client-Computer unter Windows: So verwalten Sie Steuerungsfunktionen in iTunes B4P66 [7] iPad Enterprise-Support B4P67 [8] iPhone-Konfigurationsprogramm 3.2 für Windows B4P68 [9] iPhone-Konfigurationsprogramm 3.2 für Mac OS X B4P69 [10] “iPad in Business Deployment Scenarios and Device Configuration Overview” B4P60 [11] “iPhone OS Enterprise Deployment Guide” B4P6A [12] MochaSoft B4P6B [13] Zingersoft iSSH B4P6C [14] Citrix Receiver für iPad B4P6D [15] “iPhone in Unternehmen: Kabellose Anmeldung und Konfiguration” B4P6E Link-Codes www.it-administrator.de S82-84_ITA_1211_S04_S05_EAZAllinclusive_Lancom_ok_ITA_Default 23.11.2011 16:38 Seite 3 Das IT-Administrator Komplettprogramm!!! Sichern Sie sich jetzt das IT-Administrator Jahresabo All-Inclusive mit allen Monatsausgaben, Sonderheften und der Jahres-CD. Statt Euro 29,90 zahlen Sie dabei für jedes Sonderheft nur Euro 19,90 – und müssen keine zusätzliche Bestellung mehr tätigen. Automatisch bekommen Sie im März und Oktober jeden Jahres das jeweilige IT-Administrator Sonderheft und mit Ihrer Dezemberausgabe die jeweilige Jahres-CD mit allen Monatsausgaben des Jahres im PDF-Format zugestellt. Als bestehender Jahresabonnent können Sie hier upgraden: www.it-administrator.de/ abonnements/aboupgrade/ Oder Sie sind Neukunde? Hier können Sie bestellen: www.it-administrator.de/ abonnements/jahresabo/ www.it-administrator.de Verlag / Herausgeber Heinemann Verlag GmbH Leopoldstraße 85 D-80802 München Vertrieb, Abo- und Leserservice IT-Administrator Tel: 0049-89-4445408-0 Fax: 0049-89-4445408-99 [email protected] vertriebsunion meynen Herr Stephan Orgel D-65341 Eltville Tel: 06123/9238-251 Fax: 06123/9238-252 [email protected]