Leseprobe - IT-Administrator

Transcrição

IT-ADMINISTRATOR.DE
Titel_Leseprobe_ITA_Default 11.01.2012 15:40 Seite 3
IT-Administrator 2010 / 2011 – Auszüge als Leseprobe
Im Test
Leseprobe
Vizioncore
vFoglight Pro 6.0
Im Test
Dot Hill AssuredSAN
3.000-Serie
Workshop
Speicher-Management
mit vSphere 4.0
Workshop
Sicherheit bei
der Servervirtualisierung
Workshop
Sicherheit bei Kernel-basierter
Virtualisierung unter Linux
S06-11_ITA_0112_A01_1und1_ok_ITA_Default 20.12.2011 17:02 Seite 3
AKTUELL I News
+++TICKER+++TICKER+++TICKER+++
Sensible Daten angetreten!
Nogacom veröffentlicht Version 3.8 von
NogaLogic, seiner Software zur Datenklassifizierung. Die Neuerungen des aktuellen Release beziehen sich vor allem auf
die Identifizierung sensibler Daten. Dazu hat der Hersteller sein Werkzeug mit einem Dashboard ausgestattet, das einen
Snapshot über den Zustand und die Beschaffenheit von sensiblen Daten liefert und
Auskunft über Informationen erteilt, die
Um sensible Daten zu schützen, gilt es,
diese überhaupt erst einmal zu identifizieren.
NogaLogic 3.8 widmet sich dieser Aufgabe.
möglicherweise ungeschützt sind. Zudem
zeigt es, in welchen Repositories sensible
Daten gespeichert sind. Der Nutzer soll so
erkennen können, ob es sich dabei um ungeeignete oder ungeschützte Speicherorte
handelt. Mit neuen Report-Features will
der Hersteller einen noch höheren Detaillierungsgrad innerhalb der sensiblen Daten
liefern. Dies schließt Reporte ein, die Auskunft geben über ungeeignete Berechtigungen auf sensible Daten, detaillierte Informationen zur Verbreitung von sensiblen
Daten via E-Mail innerhalb der Unternehmens oder nach außen,Versionen und Kopien von sensiblen Dokumenten und ebenso
über Teile von sensiblen Inhalten, die in andere Dokumente kopiert wurden. Policy
Management-Funktionen sollen es schließlich ermöglichen, sensible Informationen
einfach zu verschieben, zu kopieren und zu
markieren. Die Lizenzkosten für NogaLogic
beginnen bei rund 35.500 Euro. Dieses Paket beinhaltet drei Konnektoren (Active Directory, Filesystem, ODBC) und eignet sich
für eine Million Dokumente.
(ln)
Nogacom: www.nogacom.com
Die Harten für den Garten
Von ZyXEL kommt mit Modell
NWA3550-N ein neuer Access Point
nach N-Standard für den Einsatz im Außenbereich. Bei dem Gerät handelt es
sich um einen Access Point mit 2T2R MIMO-Technologie. Es verfügt über vier NType Antennenanschlüsse und eine GBitSchnittstelle und lässt sich wahlweise als
AP-Controller, Managed AP und Standalone AP betreiben. Der Zugriffspunkt
funkt mit einer Brutto-Datenrate von 300
MBit/s und ist aufgrund der Zertifizierung
EN 60601-1-2 für den Einsatz in medizinischen Umgebungen geeignet. Das
Outdoor-Gehäuse ist gegen Strahl- und
Spritzwasser geschützt, arbeitet in einem
erweiterten Temperaturbereich von -40 °C
bis +60 °C und besteht aus schwer entflammbarem und halogenfreiem Material.
Die Verwaltung erfolgt über eine grafische
Managementschnittstelle. Backup-Redundanz und sichere Tunnels zwischen Controller und managed Access Point will der
Hersteller integriert haben, so dass jederzeit
abhörsichere Verbindungen möglich sind.
Das Gerät verfügt zudem über einen in-
www.it-administrator.de
tegrierten RADIUS-Server, der den Einsatz eines Stand Alone RADIUS-Servers
überflüssig macht. Die Stromversorgung
der Netzwerkkomponente kann je nach
Bedarf und Einsatzort auch über Power
over Ethernet nach IEEE 802.at erfolgen.
Der Access Point ist ab sofort zum Preis
von rund 610 Euro erhältlich.
(ln)
ZyXEL: www.zyxel.com/de
Belkin stellt den WLAN-Travel Router GO N300 DB vor.
Das kompakte Dual-Band-Gerät verwandelt Internetanschlüsse wie in Hotels in einen WLAN-Hotspot, über den
mehrere Geräte gleichzeitig auf das Internet zugreifen
können. Seinen Strom bezieht der Mini-Access Point über
USB und kommt damit ohne separates Netzteil aus. Der
Datendurchsatz soll bei 150 MBit/s auf beiden Funkbändern mit 2,4 und 5 GHz liegen, während die Kommunikation dank WPA2 vor Lauschern geschützt ist. Für rund
50 Euro ist der Access Point zu haben. (dr)
www.belkin.de
Sourcefire erweitert sein Produkt-Portfolio um die Next-Generation Firewall (NGFW). Die Appliance-Serie basiert auf dem
IPS des Herstellers und nutzt die FirePOWER-Plattform. Die
Firewalls sollen unter anderem sinnvolle Policy-Empfehlungen und automatische Anpassungen an die Sicherheitsbedürfnisse der Kunden in Echtzeit bieten. Das Modell 3D8140
NGFW beispielsweise setzt dabei 10 GBit/s an Firewall-Traffic durch und ist für 155.000 US-Dollar zu haben. Im ersten
Halbjahr 2012 will der Hersteller dann auch Modelle für kleinere Umgebungen anbieten. (dr)
www.sourcefire.com
Cortado veröffentlicht Version 8.6 seiner Druck-Software
ThinPrint RDP Engine. Das neue Release unterstützt Finishing-Optionen von Druckern wie etwa Lochen, Heften und
Binden und soll mit dem Feature SpeedCache die Druckausgabe beschleunigen. Dies gelingt, indem Bildelemente, die
sich in einem Druckjob wiederholen, nicht für jede Seite
neu zum Ausgabegerät übermittelt werden. Außerdem ermöglicht die Lösung mobiles Cloud Printing direkt aus einer
Session heraus. Dies sieht konkret so aus, dass der Anwender sich in der Session befindet, sein Dokument in die
Cloud druckt und anschließend die Ausgabe an einem beliebigen Drucker startet, der sich in einem WLAN etwa im Hotel oder Besprechungsraum befindet. Voraussetzung ist ein
Cortado-Workplace- oder Cortado-Corporate-Server-Account.
Die RDP Engine ist ab 950 Euro erhältlich. (ln)
www.thinprint.de
Jaspersoft bringt mit Jaspersoft 4.5 eine neue Version seiner Software zur Analyse großer Datenmengen auf den
Markt. Bestandteil der Lösung sind diverse neue Funktionen. So kann der Nutzer in wenigen Schritten Drag & DropAnalysen und Berichte für große Datenmengen jeglicher Art
(zum Beispiel aus Apache Hadoop-, NoSQL- und Analysedatenbanken) erstellen. Zu den Features des aktuellen Release zählen außerdem eine erweiterte Analyse-Benutzeroberfläche, eine verbesserte In-Memory-Engine mit
intelligenter Push-Down-Abfrage für gesteigerte Performance sowie nativer Zugriff ohne lange Latenzzeiten auf
nicht-relationale Daten. Eine optimierte Excel-Ausgabe und
erweiterte REST-APIs runden das Funktionsangebot von Jaspersoft 4.5 ab, das ab 4.000 Euro erhältlich ist. (ln)
Mit dem NWA3550-N rundet ZyXEL sein Portfolio
um einen Access Point für den Einsatz im Freien ab
www.jaspersoft.com/de
Januar 2012
7
S10-15_ITA_0810_T02_WorkshopAug_WorkshopSept.qxp
22.07.2010
14:38
Seite 2
P R O D U K T E I Te s t
Im Test: Vizioncore vFoglight Pro 6.0
Licht im virtuellen Nebel
von Jürgen Heyer
Umgebungen mit hundert und mehr virtuellen Maschinen unter VMware Virtual Center sind
heutzutage keine Seltenheit mehr. Mit der zunehmenden Größe wird es jedoch immer schwieriger,
das Zusammenspiel aller Systeme mit der gemeinsamen Nutzung der verfügbaren Ressourcen
zu überwachen. Hilfreich ist dann ein Tool wie vFoglight von Vizioncore, um schleichende
Lastzunahmen oder auch ein ungewöhnliches Verhalten einzelner Gastsysteme rechtzeitig
zu erkennen. Wie gut das funktioniert, wollte IT-Administrator genauer wissen.
in Ende des Wachstums der virtuellen Umgebungen in den Unternehmen ist nicht in Sicht.Viele Firmen
betreiben mittlerweile auch schon mehr
als eine Virtualisierungsfarm.Wer auf den
Marktführer VMware setzt, hat in einer
produktiven Umgebung meist VMware
Virtual Center (vCenter) im Einsatz.
vCenter ermöglicht eine Lastverteilung
und meldet auftretende Probleme sowie
Performanceengpässe.Allerdings reichen
die von vCenter gelieferten Informationen nicht aus, um beispielsweise bei einem auftretenden Engpass sicher zu erkennen, ob es sich um ein generelles
Problem durch das Anlegen zu vieler
VMs handelt, ob eine allgemeine Lastzunahme dafür verantwortlich ist oder
ein Gastsystem allein der Verursacher ist
und warum.Vor allem unterstützt vCenter den Administrator nicht bei der Analyse durch zusammenhängende Informationen, da es nicht in ein Gastsystem
hineinsehen kann. Auch die VMwareBoardmittel stoßen beim Betrieb mehrerer vCenter schnell an Grenzen. Jedes
vCenter ist dann vom Administrator als
Insel getrennt zu betrachten.
E
Hier setzt vFoglight Pro 6.0 an und bietet
eine übergreifende Leistungs- und Zustandsüberwachung auch über mehrere
vCenter hinweg. Durch einen Blick auf
die Dienste in einer VM ist es möglich,
den Grund und die Auswirkungen auf den
10
August 2010
Ressourcenverbrauch schneller zu erkennen.Außerdem hilft es bei der Erkennung
wenig genutzter Ressourcen; drohende
Engpässe werden durch Trendanalysen früher sichtbar. Weiterhin erlaubt vFoglight
eine Kapazitätsplanung für Erweiterungen
sowie geplante Migrationen und macht
die Kosten transparent.
vFoglight ist ein Ableger des für den Enterprise-Einsatz konzipierten Applikationsüberwachungstools Foglight. Dieses
wurde von der Softwareschmiede Quest,
zu der Vizioncore gehört, entwickelt.
vFoglight besteht letztendlich aus dem
Foglight-Kernmodul inklusive einer Virtualisierungserweiterung. vFoglight-Anwender können durch zusätzliche Erweiterungen, Cartridges genannt, das Produkt
zu Foglight aufrüsten. Ebenso kann ein
Unternehmen, das Foglight nutzt, durch
die Ergänzung mit den VirtualisierungsCartrigdes auch seine virtuellen Umgebungen überwachen.
Bei der Installation kommt es
auf den richtigen Agenten an
Für den Test installierten wir den vFoglight Pro 6.0 Management-Server auf einem eigenständigen Windows 2008 Server.
Der Management-Server kann im sogenannten Stand-alone-Modus arbeiten, weiterhin im Hochverfügbarkeitsmodus, was
eine externe Datenbank voraussetzt, sowie als Windows-Dienst, was wir in un-
serer Testumgebung nutzten. vFoglight
kommt mit einer integrierten MySQLDatenbank, unterstützt aber auch als externe Datenbank MySQL, Oracle und MS
SQL Server 2003/2008. Bei einer externen Datenbank kann diese auf einem Server unter Windows 2003/2008 Server,
Red Hat Enterprise Linux 5.3, IBM AIX
5.3, HP-UX 11i v2 oder Solaris 10 laufen. Unbedingt zu beachten sind die allgemeinen Hardwareanforderungen (Kasten “Systemvoraussetzungen”), die in einer
64-Bit-Umgebung einen aktuellen Hochleistungsserver voraussetzen. In einer Multi-Tier-Umgebung mit getrennter Datenbank sollten der Management-Server
mindestens 8 GByte und der DatenbankServer 6 GByte RAM besitzen.
Management-Server mit 64 Bit-Betriebssystem:
Quadcore-Prozessor 2,4 GHz, 12 GByte RAM,
120 GByte Plattenkapazität auf schnellen Festplatten
(10.000 U/min). Management-Server mit 32 BitBetriebssystem: Quadcore-Prozessor, 4 GByte RAM,
120 GByte Plattenkapazität auf schnellen Festplatten
(10.000 U/min). Betriebssystem Windows
2003/2008 Server, SLES 9/10, Oracle Unbreakable
Linux 5, RHEL 4/5/5.3 oder Solaris 9/10.
Der Agent Manager auf überwachten Maschinen verursacht durchschnittlich 4,8 Prozent CPU-Last und benötigt durchschnittlich 180 MByte Plattenkapazität.
Systemvoraussetzungen
22.07.2010
14:38
Seite 3
gewünschten VMs installieren, damit wir
aus vFoglight heraus die eigentlichen
Agenten verteilen konnten.
Eindrucksvolle Visualisierung
Bild 1: Mit unterschiedlichen Ansichten visualisiert vFoglight den aktuellen
Zustand der virtuellen Umgebungen recht eindrucksvoll
Bei der Installation wird ein Web-Server
mit eingerichtet, da die Konsole als Java-Programm im Browser läuft. Hier
fällt auf, dass der Monitor mindestens
20 Zoll groß sein sollte, bei der von uns
genutzten Auflösung mit 1.920 x 1.080
Punkten reichte diese in der Höhe noch
nicht aus, um den Gesamtüberblick auf
der Willkommens-Seite ohne Schiebebalken darzustellen.
Als Testumgebung diente uns ein Virtual
Center vSphere 4.0 auf einem weiteren
Windows 2008 Server. Das vCenter wiederum griff auf einen ESX4i-Server zu,
auf dem mehrere VMs liefen. Mit der neuen Version 6.0 hat sich das Agentenkonzept geändert,Vizioncore spricht hier von
der Middleware. Auf jedem auch intern
zu überwachenden Client, also auch auf
den VMs, ist der so genannte “Agent Manager” zu installieren. Der Agent Manager übernimmt die Kommunikation mit
dem Management-Server und ist quasi
ein Schirm für die diversen Agenten, die
auf den Clients benötigt werden, um unterschiedliche Prozesse, Dienste et cetera
abzufragen. Welche Agenten ein Administrator verteilt, hängt davon ab, was er
überwachen möchte.
Funktionserweiterungen des Management-Servers erfolgen durch die Installation der schon erwähnten Cartridges.
Cartridges enthalten zusätzliche Funktionalitäten, aber auch Komponenten
wie neue Agenten. Damit vFoglight nun
eine virtuelle Umgebung überwachen
kann, sind auf dem Management-Server die “Cartridge for VMware” und
zwei Cartridges mit VMware-Agentenkomponenten zu installieren und zu aktivieren. Damit stehen die Grundfunktionalität und zwei Agenten für die
Abfrage des vCenter zur Verfügung. Die
Agenten wiederum sind auf einen Server mit Agent Manager zu verteilen und
die Anmeldeinfor mationen auf dem
vCenter einzutragen. Im Falle der
Grundinstallation läuft dies glücklicherweise etwas einfacher ab, da diese
standardmäßig die Einrichtung des Management Servers, der Datenbank und
des VMware Infrastructure Agents auf
einem System umfasst, so dass wir im
Test nur die Anmeldedaten eingeben
mussten. Da wir aber auch einige VMs
intern überwachen wollten, mussten wir
anschließend aus vFoglight die Installationspakete für die Agent Manager (32
und 64 Bit) herunterladen und auf den
Auf den ersten Blick verständlich und
zugleich intuitiv bedienbar präsentiert
sich die ausladende vFoglight-Konsole.
Die bei Administratoren standardmäßig
eingestellte Startseite “Welcome to vFoglight” zeigt eine Zusammenfassung der
gesamten virtuellen Umgebung unter
anderem mit der Anzahl der Virtual Center, Data Center, Datastores, VMs und
Angabe des Status mit vier Farben (grün,
gelb, orange, rot). Ein Unterfenster namens “Quickview” visualisiert den aktuellen Stand und als Kurvendiagramm
die Historie der vier wichtigsten Ressourcen CPU-Last, Netzwerk-I/O, DiskI/O und Speichernutzung. Sobald der
Betrachter intuitiv auf ein Objekt klickt,
wird dieses vergrößert dargestellt beziehungsweise das Quickview-Fenster inhaltlich angepasst. Um mehr über einen
Alarm zu erfahren, reicht es, auf das entsprechende farbige Symbol zu klicken.
Unterhalb des Quickview-Fensters befindet sich ein Fenster namens “FAQts”
mit vorbereiteten Abfragen, um sich beispielsweise die VMs mit der höchsten
CPU-Last oder die Datastores entsprechend des noch freien Speichers auflisten zu lassen.
Die Navigationsleiste auf der linken Seite teilt sich standardmäßig in die drei Rubr iken “Bookmarks”, “Homes” und
“Dashboards”. Die Rubrik Dashboards
beinhaltet alle Einstiegsansichten und ist
damit der wichtigste Bereich für die Navigation. Der Inhalt der anderen beiden
Rubriken lässt sich durch den Benutzer
anpassen, um schneller zu häufig benötigten Ansichten zu kommen. Standardmäßig beinhaltet das Dashboard bei einem Administrator elf Rubriken, die
wiederum eine Vielzahl an Unteransichten beinhalten. Gerade am Anfang muss
sich der Administrator erst etwas orientieren und sollte die diversen Menüpunkte
einmal durchklicken, um einen ersten
August 2010
11
22.07.2010
14:38
Seite 4
Eindruck vom Gesamtumfang des Werkzeugs zu erhalten. Insgesamt bietet das
Programm außergewöhnlich viele Möglichkeiten zur individuellen Anpassung
der Konsole sowohl hinsichtlich des Stils
als auch der Menüstruktur.
Der Menüpunkt “vmExplorer” ermöglicht dem Administrator eine genaue Analyse einzelner VMs. Das Registerblatt
“Monitor” liefert eine Vielzahl an Werten
zum Speicherverbrauch, CPU-Last sowie
Platten- und Netzwerk-I/O. Gut ist, dass
die meisten Werte mit einer Historie
kommen, so dass sich schnell erkennen
lässt, ob sich in der letzten Zeit etwas geändert hat. Das Register “Storage” konzentriert sich auf die Platten-I/O-Werte
getrennt für jeden Datastore. Auch ermittelt vFoglight das wöchentliche Wachstum und errechnet daraus, wann die Platte voll ist. Ob das realistisch ist, muss ein
Administrator natürlich individuell bewerten, aber Trends werden so sichtbar.
Das Register “Processes” ist nur gefüllt,
wenn auf der VM der Agent Manager mit
dem so genannten GuestProcessAgent installiert ist. Dann liefert vFoglight die
CPU-Last der einzelnen Dienste. Zeigt
also beispielsweise eine VM in vFoglight in
der Übersicht eine ungewöhnlich hohe
Last an oder wird gar ein Alarm ausgelöst, so kann der Administrator hier nachschauen, ob ein bestimmter Dienst auf der
VM dafür verantwortlich ist. Er muss nicht
zwischen verschiedenen Administrationswerkzeugen springen, sondern kann alles
mit einem Tool erledigen. Genauso detailliert wie die Gastsysteme analysiert
vFoglight die ESX-Hosts und liefert diverse Diagramme (Historie und aktuelle
Werte) zur Netzwerk-, RAM-, CPU- und
Plattenspeicherauslastung.Auch hier ist es
möglich, sich die Last der einzelnen Prozesse anzeigen zu lassen.
Geradezu in Erstaunen versetzte uns die
Art und Weise, wie sich vFoglight selbst
überwacht. Eine eigene Rubrik liefert
dem Administrator genaue Informationen, wie es um den Management-Server
selbst und die eigene Applikation bestellt
12
August 2010
Bild 2: Ein intuitiver Klick auf ein Alarmsymbol reicht aus, um mehr über den Grund zu erfahren
ist. Unter anderem stehen Diagramme zur
genutzten Datenbank (MySQL, Oracle),
zu Java, zur Regelabarbeitung sowie Werte zu den Datenbankgrößen zur Verfügung. Allerdings bedarf es einiger Erfahrung, diese Diagramme zu interpretieren.
Komplexe Regeln
für die Alarmierung
vFoglight bietet eine Vielzahl an vorkonfigurierten Alarmen. Nichtsdestotrotz ist es
natürlich wichtig, das gesamte Gerüst an
die individuellen Gegebenheiten anzupassen. Dazu enthält vFoglight ein umfangreiches Regelwerk, in dem individuell die Bedingungen definiert werden
können, wann benachrichtigt wird und
auf welche Weise. Neben den üblichen,
einfachen Regeln, die bei der Überschreitung von Schwellwerten benachrichtigen, lassen sich auch komplexe verzweigte Regeln erstellen, bei denen
Zustand und Abhängigkeit von unterschiedlichen Parametern und verschiedenen Quellen einbezogen werden.
Prinzipiell gibt es einfache Regeln, die
drei Zustände (Fire, Undefined, Normal)
kennen und komplexe Regeln mit fünf
Schweregraden (Undefined, Fatal, Critical,
Warning, Normal).Weiterhin gibt es Da-
ten-, Zeit- und Ereignis-gesteuerte Regeln. Regeln lassen sich auch mit einem
Scheduler koppeln, um Prüfungen zu bestimmten Zeiten durchführen zu können.
Auch kann eine Regel auf Wunsch erst
dann einen Alarm auslösen, wenn mehrfache Prüfungen zu einem entsprechenden Resultat geführt haben. Positiv ist,
dass vFoglight bereits mit einem umfangreichen Regelwerk geliefert wird, so dass
ein Administrator hier nicht sofort einsteigen muss. Sobald aber Anpassungen
notwendig sind, ist vorher eine umfassende Einarbeitung erforderlich.Wir haben den Eindruck gewonnen, dass das gesamte Regelwerk sehr mächtig, aber auch
ebenso komplex ist. Die Mailbenachrichtigung erfolgt per SMTP-Mail (optional
SMTPS), wobei sich für verschiedene
Alarme unterschiedliche Mailadressen hinterlegen lassen. Ebenso kann vFoglight
SNMP-Traps an ein übergeordnetes Managementsystem verschicken. Neben Benachrichtigungen veranlasst vFoglight auf
Wunsch die Ausführung von lokalen oder
entfernten Kommandoaufrufen oder ruft
ein Skript auf.
Recht interessant und durchdacht ist das
Scheduler-Konzept: So gibt es innerhalb
von vFoglight eine bereits gefüllte Sche-
22.07.2010
dulerliste mit typischen Zeitabläufen, die ein Administrator nach
Belieben erweitern kann. Zu jedem Eintrag gibt es eine Rechteliste, wer diesen ausführen darf. Bei der Erstellung von Regeln oder auch Berichten kann deren Ausführung nun mit einem
vorhandenen Planungseintrag verknüpft werden.
Ebenfalls ein sehr komplexes Thema für den fortgeschrittenen
Administrator ist die Möglichkeit, mit eigenen Skripten zu
arbeiten. Dies wird in erster Linie benötigt, falls die mitgelieferten Cartridges und Agenten bestimmte Informationen
von einer überwachten Maschine nicht liefern können. Die
Ausführung übernimmt der so genannte Script Agent. Ein
Administrator kann Skripte in einer beliebigen Sprache schreiben (Batchdateien,Visual Basic, Shell-Skripte), die dieser Agent
ausführt. Um deren Resultate zu erfassen, liest der so genannte
“vFoglight collector” von der Standardausgabe (stdout) und leitet die Daten an den Agent Manager weiter, der diese dann an
den Management-Server übergibt. Daneben besitzt vFoglight
eine interne Scriptsprache, die für Abfragen oder auch für die
Erstellung von Regeln zum Einsatz kommt.
Abrechnen, berichten und planen
Falls in einem Unternehmen eine interne Abrechnung der von
der IT bereitgestellten Ressourcen erfolgen soll, kann vFoglight
die entsprechende Nutzung erfassen und unterstützt dazu zwei
Modelle namens TFR (Tiered Flat Rate) und MRU (Measured
Resource Usage). Bei TFR sind entsprechend der genutzten
VM-Größen (CPU, Speicher, Storage) Typen festzulegen, die
feste Kosten verursachen. Die laufenden VMs müssen nun nur
noch einem TFR-Typ zugewiesen werden, schon kann vFoglight
die Nutzung erfassen und daraus einen Abrechnungsreport erstellen. Beim MRU-Modell sind Gesamtkosten und Laufzeit
eines ESX-Servers zu hinterlegen, woraus sich die monatlichen
Kosten ergeben. Über eine Gewichtung der Ressourcen ermittelt vFoglight nun, welcher Kostenanteil auf jede auf einem
Host laufende VM entfällt. Hier sind sowohl eine Vollkostenals auch eine Teilkostenkalkulation möglich.
Um bei Migrationen oder vor einer Verlagerung von Ressourcen im Vorfeld die Machbarkeit abschätzen zu können,
besitzt vFoglight ein Modul zur Kapazitätsplanung. Bei einer
abstrakteren Planung beispielsweise für einen neuen Host erstellt der Administrator ein Szenario und gibt dabei entsprechende Werte für CPU, RAM, Netzwerk und Storage vor.
Dann ordnet er diesem Szenario die existierenden VMs zu,
für die er dieses System plant, und kann nun aufgrund der in
der Vergangenheit gesammelten Daten sehen, inwiefern der
Leistungsbedarf die gesetzten Planwerte einhält oder überschreitet. Alternativ ordnet der Administrator in einem Szenario mehrere VMs einem existierenden Host zu, um zu prüfen, ob diese VMs alle gemeinsam auf dem Host laufen
könnten. Der Vorteil der Kapazitätsplanung von vFoglight ge-
14:39
Seite 5
IT-A
K
d
und minis osten
ice trato los f
:20 r- ür
10 Abo
-Te
ilne nnen
hm ten
er
aNet
Workshop in Lingen
Windows 7
am 13. August 2010
Die Agenda:
13.00 Uhr: Begrüßung
13.05 Uhr: Herausforderungen der Windows 7-Migration
> Methoden der Automatisierung
> Anwendungen portieren
> Parallelbetrieb mit Windows XP
> Migration der Benutzerprofile
Dozenten: Thorsten Christoffers und Thomas Wegener,
Berater, sepago GmbH, Köln
14.30 Uhr: Kaffeepause
ITANet Workshop-Partner:
14.45 Uhr Partnervortrag:
Client-Lifecycle-Management:
Automatisiert zu Windows 7 wechseln
> Vorbereitungen, Aufgaben und Herausforderungen vor
dem Betriebssystemwechsel
> Risiken vermeiden mit dem Windows 7 Kompatibilitätscheck
> Windows 7 automatisiert installieren
> Beispielhaftes Migrationsszenario im Netzwerk
Dozent: Gerd Conrad, Baramundi Software AG
15.30 Uhr: Rollout von Windows 7
> Vorbereitung der Verteilung
> Automatische Installation
> Virtuelle Festplatten nutzen
> Unterstützung durch MS System Center
Dozenten: Thorsten Christoffers und Thomas Wegener
17.30 Uhr: Ende des Workshops
Termin: 13. August 2010
Ort: it.emsland, Halle 31, Kaiserstraße 10b, 49809 Lingen
Uhrzeit: 13.00 bis ca. 17.30 Uhr
Teilnahmegebühren:
Für IT-Administrator-Abonnenten und ice:2010-Teilnehmer kostenlos.
Mehr Infos hierzu auch unter www.ice-lingen.de.
Anmeldeschluss: 09. August 2010
Mehr Infos und Anmeldeformulare unter
www.it-administrator.de/workshops/
22.07.2010
14:39
Seite 6
genüber einer manuellen Planung auf
dem Papier besteht darin, dass vFoglight
tatsächlich die bisherigen Lastkurven
der VMs addiert. Sollen nun auf einem
System mehrere VMs mit starken Lastschwankungen arbeiten, die aber ihre
Spitzen zu unterschiedlichen Zeiten haben, so kann vFoglight die resultierende
Summe in der Vergangenheit genau ermitteln und so eine Aussage für die Zukunft treffen. Eine Planung auf dem
Papier ist viel ungenauer, da ein Administrator hier von allen Lastspitzen ausgehend diese addieren müsste.
Sehr umfangreich ist das in vFoglight
integrierte Reporting. Das Programm
bietet bereits eine Vielzahl an Vorlagen,
darüber hinaus kann der Administrator
weitere Vorlagen erstellen. Neben der
Definition der eigentlichen Abfrage kann
der Zeitabschnitt frei gewählt werden,
um eine Auswertung beispielsweise über
vier Stunden oder auch zwei Tage zu
fahren. Genauso lässt sich die Granularität festlegen, also die gewünschten
Zeitschritte. Die Reporterstellung kann
mittels der beschriebenen Scheduler automatisiert werden, wobei die Ausgabe
als PDF-, XLS- oder XML-Datei erfolgt. Auch ein automatischer Versand
per E-Mail ist möglich. Eine Testfunktion hilft dem Administrator bei der
Überprüfung, ob ein erstellter Report
auch das gewünschte Resultat bringt.
Durchdachte Benutzerverwaltung
vFoglight besitzt ein umfassendes Rollenkonzept zur Verwaltung der Benutzerrechte. Dabei kann ein Administrator Benutzer und Gruppen innerhalb
von vFoglight anlegen oder eine Anbindung per LDAP an einen Verzeichnisdienst (Active Directory, Sun Java Systems Directory Server, OpenLDAP und
Novell eDirectory) einrichten und dort
angelegte Benutzer und Gruppen nutzen. Bei der Installation von vFoglight
werden zudem ein interner Benutzer
mit Administrationsrechten sowie eine
Handvoll Gruppen angelegt, die nicht
gelöscht werden können. Die eigentliche Rechtevergabe erfolgt über Rollen
(unter anderem Administrator, Cartridge Developer, Console Operator), in
denen die Detailrechte auf verschiedene
Objekte und Ansichten innerhalb von
vFoglight festgelegt sind. Über eine Rollenzuweisung an eine Gruppe, in der
sich wiederum ein oder mehrere Benutzer befinden, werden die Rechte
letztendlich zugeordnet. Entsprechend
der Rolle sehen die Benutzer nur einen
Teil des Navigationsmenüs.
Jeder Benutzer kann zudem eine bevorzugte Startseite festlegen, um entsprechend
seiner Aufgabe an einer passenden Stelle
in die Konsole einzusteigen, und Lesezeichen zu häufig genutzten Seiten festlegen.
Wie bei Windows selbst lässt sich der komProdukt
Managementsoftware für virtuelle Umgebungen.
Hersteller
Vizioncore
www.vizioncore.com
Preis
vFoglight Pro wird pro Socket der ESX-Server lizenziert
und kostet pro CPU 587 Euro. Enthalten sind ein Jahr
Support und Subskription. Bei drei Jahren Support kostet die Lizenz 752 Euro.
Technische Daten
www.it-administrator.de/downloads/datenblaetter
So urteilt IT-Administrator (max. 10 Punkte)
Installation
7
Intuitivität der GUI
9
Detailgrad und Umfang
9
Alarmierung und Reporting
8
Dokumentation
8
Dieses Produkt eignet sich
optimal für große bis sehr große virtuelle
Umgebungen auch mit mehreren vCenter und einigen hundert VMs.
bedingt für mittelgroße virtuelle Umgebungen
mit nur einem vCenter und einer überschaubaren
Anzahl an VMs. Hier ist eine genaue Abschätzung
des Aufwands für die Konfiguration und den Betrieb
von vFoglight gegenüber dem Nutzen erforderlich.
nicht für Umgebungen, die bei der Virtualisierung
nicht auf VMware setzen oder die kein vCenter
betreiben.
Vizioncore vFoglight Pro 6.0
Bild 3: Sehr gut gelungen und informativ ist die Übersicht aller wichtigen Leistungsdaten einer virtuellen Maschine
14
August 2010
22.07.2010
14:39
Seite 7
IT-A
plette Seitenstil hinsichtlich der Farben anpassen.Weiterhin ist
es möglich, eine oder mehrere Seiten direkt über die Favoriten
des benutzten Browsers zu verlinken. Nach Anklicken eines solchen Links erscheint zuerst die Anmeldeseite von vFoglight und
anschließend die gewünschte Seite. Letztendlich ist es kein Problem, bei der Nutzung von vFoglight durch verschiedene Supportgruppen (First Level, Second Level) in einem größeren Unternehmen die jeweiligen Ansichten optimal zu konfigurieren,
wobei jeder Benutzer hier auch selbst tätig werden kann.
Fazit
Im Test präsentierte sich vFoglight Pro 6.0 als überaus mächtiges und umfassendes Management- und Überwachungstool
für virtuelle Umgebungen, bei dem der Mehrwert mit wachsender Größe der Umgebung ebenfalls zunimmt. Sinnvoll ist
ein Einsatz beim Betrieb ab etwa zehn ESX-Servern in einem Virtual Center und mehr als hundert virtuellen Maschinen bis hin zu sehr großen Netzwerken mit mehreren vCenter-Installationen, Hunderten von Hosts und Tausenden von
virtuellen Maschinen. vFoglight überwacht alle denkbaren
Dienste, liefert eine fast schon erschlagende Vielzahl an Performancewerten mit Überwachung von Schwellwerten, wertet die Verfügbarkeit als Nachweis für Service Level Agreements aus, erlaubt eine Kapazitätsplanung und ermöglicht die
Erstellung von Reports für eine Nutzungsabrechnung. Durch
eine breite Betriebssystemunterstützung sowohl beim Management-Server als auch bei den Agenten ist vFoglight nicht
nur für die Windows-Welt geeignet, sondern auch für heterogene Umgebungen.
Ein Administrator sollte allerdings wissen, dass auf ihn gerade
am Anfang umfassende Konfigurationsarbeiten zukommen, um
zum einen alle benötigten Informationen abzufragen und die
ganze Oberfläche auf die eigenen Belange anzupassen. Zum anderen müssen die gelieferten Datenmengen für einzelne Anwendergruppen sinnvoll beschränkt werden. Dies erfordert, dass
sich jemand eingehend mit vFoglight beschäftigt sowie am besten diverse Schulungen belegt, um die Lernkurve zu beschleunigen und die Wichtigkeit der diversen Funktionen schneller
abschätzen zu können. Immerhin hat vFoglight seinen Ursprung
in dem Enterprise-Produkt Foglight von Quest und ist entsprechend komplex, so dass sich gerade die Einführung schnell
eine Zeit lang als Vollzeitjob entpuppen kann.
Erfreulich umfangreich und übersichtlich ist die Dokumentation, die Gesamtkomplexität aber macht es schwierig, sich nur
durch deren Studium einzuarbeiten. Auch für uns war es unmöglich, im Test alle möglichen Funktionen einzurichten und
anzuschauen, dazu erwies sich vFoglight als zu mächtig.Wer allerdings die Hürden der Einarbeitung und Konfiguration am
Anfang überwunden hat, wird später auf vFoglight nicht mehr
verzichten wollen. (jp)
aNet
dm Kos
inis ten
tra los
tor für
-Ab
on
nen
Workshop
in Karlsruhe
Windows 7
am 21. September 2010
Die Agenda:
13.00 Uhr: Begrüßung
13.05 Uhr: Herausforderungen der Windows 7-Migration
> Methoden der Automatisierung
> Anwendungen portieren
> Parallelbetrieb mit Windows XP
> Migration der Benutzerprofile
Dozenten: Thorsten Christoffers und Thomas Wegener,
Berater, sepago GmbH, Köln
14.30 Uhr: Kaffeepause
ITANet Workshop-Partner:
14.45 Uhr – Partnervortrag:
Lösungen für die Windows 7 Migration:
Empirum Client Life Cycle Management
Dozent: Roland Schäfer, Matrix42 AG
15.30 Uhr: Rollout von Windows 7
> Vorbereitung der Verteilung
> Automatische Installation
> Virtuelle Festplatten nutzen
> Unterstützung durch MS System Center
Dozenten: Thorsten Christoffers und Thomas Wegener
17.30 Uhr: Ende des Workshops
Termin: 21. September 2010
Ort: Der Blaue Reiter Designhotel,
Amalienbadstraße 16, 76227 Karlsruhe
Uhrzeit: 13.00 bis ca. 17.30 Uhr
Teilnahmegebühren:
Für IT-Administrator-Abonnenten kostenlos.
Anmeldeschluss: 15. September 2010
Mehr Infos und Anmeldeformulare unter
ten
www.it-administrator.de/workshops/
S18-22_ITA_1110_T01_HOB.qxp
20.10.2010
10:37
Seite 2
Im Test: Dot Hill AssuredSAN 3.000-Serie
Flinker
Datensammler
von Jürgen Heyer
Mit der AssuredSAN 3.000-Serie hat Dot Hill seine Produktpalette um schnelle,
flexibel einsetzbare Speichereinheiten für SAS, Fibre Channel und iSCSI erweitert. Preislich im
Einstiegs- und Midrange-Bereich positioniert, finden sich bei diesen Modellen sehr interessante Funktionen
wie Volume Copy und Remote Replication, die bisher eher der Highend-Klasse vorbehalten waren.
Im Testlabor konnte sich IT-Administrator im Detail von den Features überzeugen.
ls Storage-Hersteller dürfte Dot
Hill hierzulande weniger bekannt
sein, obwohl mit Sicherheit so manches
Unternehmen dessen Speichersysteme
unter anderen Brandings in größerer
Menge im Einsatz hat. So wirbt Dot Hill
mit über 300.000 weltweit im Einsatz befindlichen Systemen und produziert unter
anderem als OEM-Partner für Hewlett
Packard, wo sich die AssuredSAN 3.000Systeme in der MSA2000-Serie als die
neuen G2-Modelle wiederfinden. Die augenscheinlichsten Vorteile sind der kompakte Aufbau und die modulare Bauweise. Mit bis zu 24 2,5-Zoll-Festplatten
bestückt, wird die zwei Höheneinheiten
messende Front im 19-Zoll-Rack optimal genutzt.An ein Basisgerät lassen sich
bis zu sieben Erweiterungseinheiten anschließen, wobei sich maximal 144 Festplatten adressieren lassen. Bevor Sie sich
wundern, dass acht mal 24 doch mehr
als 144 ergibt, sei erwähnt, dass es auch
ein Chassis mit bis zu zwölf 3,5-ZollFestplatten gibt und sich beide Typen mischen lassen.
A
Die SAS-Backplane besitzt eine Bandbreite von 6 GBit/s und es können wahlweise SAS-, SATA- und SSD-Laufwerke,
auch gemischt und mit unterschiedlicher
Kapazität, eingesteckt werden. Durch die
18
November 2010
Verfügbarkeit verschiedener Controller ist
die 3.000er-Serie erfreulich flexibel einsetzbar. Dabei kann ein Chassis mit einem oder für einen redundanten Betrieb
mit zwei Controllern bestückt werden.
Als Controller-Schnittstellen sind 6 GBitSAS, 8 GBit-Fibre Channel sowie als Hybrid- beziehungsweise MultiprotokollVariante 8 GBit-FC mit 1 GBit-iSCSI
verfügbar. Im dritten Quartal dieses Jahres
soll noch ein Controller für 10 GBitiSCSI/FCoE auf den Markt kommen. Das
Produkt dürfte bei Erscheinen dieses Artikels bereits verfügbar sein.
Für unseren Test stand uns das Modell AssuredSAN 3920 mit Multiprotokoll-Controllern zur Verfügung, auf dem wir sämtliche Funktionen inklusive der lizenz- und
kostenpflichtigen Features AssuredSnap,
AssuredCopy und AssuredRemote Snapshot Replication (Beschreibungen siehe
weiter unten) nutzen konnten. Die Performance der Speichersysteme liegt laut
Datenblatt beim Anschluss mit 6 GBitSAS oder 8 GBit-FC bei 264.000 IOPS
beziehungsweise 1.750 MBit/s beim Lesen und 1.350 MBit/s beim Schreiben.
Einfache Inbetriebnahme
Unser Testgerät war komplett redundant
ausgestattet, also mit zwei Netzteilen so-
wie zwei Controllern, und mit 24 146GByte-SAS-Festplatten bestückt. Alle
Komponenten sind bei einem Defekt im
laufenden Betrieb austauschbar, Rändelschrauben sorgen dafür, dass sich kein Einschub aus Versehen lösen kann.
Die beiden Multiprotokoll-Controller verfügen über je zwei 8 GBit-Fibre-Channel-Anschlüsse und zweimal dediziertes
LAN für GBit-iSCSI. Ein weiterer 100MBit-LAN-Anschluss dient als Management-Port. Der Nutzer sollte darauf achten, dass die Management-Ports beider
Controller mit dem Netzwerk verbunden
sind, damit das Plattensystem nicht ständig
eine Degraded-Warnung anzeigt. Für den
Betrieb würde aber auch ein Anschluss
reichen, da die Controller über die Backplane des Chassis verbunden sind und alle Einstellungen untereinander abgleichen.
Neben dem Management-Port besitzt jeder Controller noch einen seriellen und
einen USB-Port zum Zugriff auf die CLISchnittstelle (Command Line Interface),
ein zweiter USB-Port ist für eine zukünftige Verwendung reserviert.
Zugriff per Browser oder CLI
Im Normalfall erfolgt der Zugriff per
LAN mittels Browser auf die integrierte
Web-GUI namens RAIDar, so dass für
20.10.2010
10:37
Seite 3
Host-Mapping die Rückseite des Chassis mit den Controller-Ports dar.
Bild 1: In der Systemübersicht sind alle Funktionen der GUI über umfangreiche,
teilweise verschachtelte Pull-Down-Menüs erreichbar
die Bedienung keine weitere Software benötigt wird. Die CLI lässt sich auf diesem
Wege auch erreichen, um beispielsweise
bestimmte Aktionen per Skripting zu automatisieren. Ein SAS-Anschluss pro Controller dient zum Anschluss der schon erwähnten Erweiterungseinheiten, wobei
diese wie auf einer Perlenschnur hintereinander angereiht werden.
Diverse LEDs an jeder Festplatte, am
Chassis sowie auf den Controllern und
den Netzteilen zeigen den technischen
Zustand auf einen Blick an. Die intuitiv zu
bedienende und recht übersichtliche GUI
von RAIDar stellt Meldungen abgestuft
in vier Kategorien (Kritisch, Fehler,Warnung, Information) mit unterschiedlichen
Farben dar. In einem Fenster links oben ist
der Systemstatus mit einer Auflistung der
System-Meldungen abzulesen, ab dem
Status “Warnung” ist in der darunter befindlichen Konfigurationssicht die betroffene Komponente durch ein entsprechendes Symbol markiert.Vorteilhaft ist,
dass sich in die GUI einer Storage-Einheit weitere, entfernte Systeme einbinden
lassen. Hierzu sind nur einmal IP-Adresse und Anmeldedaten anzugeben. Ursprünglich war diese Funktion für das
Ergänzen eines Replizierungspartners gedacht, aber dies funktioniert prinzipiell
auch mit jeder anderen Einheit.
Schnelle Erstkonfiguration
Im Test haben wir uns für die Erstkonfiguration mit einem Notebook über eine
der ab Werk eingestellten IP-Adressen mit
einem Controller verbunden und die
LAN-Daten aller Ports passend für unser
Netz geändert. Dies funktionierte über einen Konfigurationsassistenten sehr gut, der
über mehrere Fenster hinweg alle Basisparameter (Neues Passwort, ManagementPorts, aktivierte Dienste für das Management, Systeminformationen, SNMPKonfiguration, SMTP-Benachrichtigung
sowie FC- und iSCSI-Port-Einstellungen)
abfragte. Ungewöhnlich ist, dass beim allerersten Aufruf des Assistenten alle IPAdressen zwingend mit führenden Nullen
auf drei Stellen aufzufüllen sind, also beispielsweise 010.000.000.005. Bei einem
späteren Aufruf oder bei direkter Eingabe
ohne Assistent sind dann die führenden
Nullen nicht mehr erforderlich.
Für das Anlegen der Laufwerke sowie das
Herstellen der Host-Mappings ist ebenfalls ein Assistent implementiert, diese
Konfiguration klappte im Test dank einer
guten Visualisierung aber auch ohne diesen ähnlich einfach. So bildet die GUI die
Front mit den eingesteckten Platten ab
und wir mussten nur die gewünschten
anklicken, um ein Array zu bauen. Genauso stellt das Werkzeug für das Default-
Redundante Controller
durch Multipathing
Für die Array-Konfiguration unterstützt die
3.000er-Serie die RAID-Level 0, 1, 3, 5, 6,
10, 50 und NRAID. In einem ersten Schritt
sind über mehrere Platten hinweg eine oder
auch mehrere Vdisks (virtual disk) mit dem
gewünschten RAID-Level anzulegen. Maximal 16 Vdisks pro Controller sind möglich, da jede Vdisk stets einem Controller
zugeordnet ist (Ownership). Sind zwei
Controller vorhanden, sorgt das System bei
der Vdisk-Erstellung automatisch für eine
gleichmäßige Verteilung. Die Controller arbeiten Active-Active, so dass jede Vdisk jederzeit über beide Controller erreicht werden kann. Für eine optimale Performance
sollte der Administrator aber dafür sorgen,
dass der primäre Zugriff auf eine Vdisk über
den Controller erfolgt, der auch die Ownership besitzt. Über entsprechende Einstellungen des bevorzugten Pfades (Preferred
Path) in den verschiedenen Betriebssystemen lässt sich dies passend konfigurieren.
Beim Ausfall eines Controllers übernimmt
der verbleibende temporär die Ownership
und stellt dann alle Vdisks nach außen bereit. Das setzt natürlich auf Serverseite eine
mehrpfadige Anbindung mit entsprechender Multipath-Konfiguration (beispielsweise
unter Windows mit MPIO) voraus. Seit
Windows 2008 ist MPIO im Betriebssystem integriert, für Windows 2003 stellt Dot
Hill einen entsprechenden Treiber bereit.
Automatische Zuweisung
von Ersatzlaufwerken
Neben den Vdisks kann der Administrator
bis zu vier Hot-Spare-Platten definieren,
jede entweder fest einem Array zugewiesen oder als Global Spare, die überall einspringt, sobald eine produktive Platte ausfällt. Darüber hinaus gibt es noch eine
Einstellung namens Dynamic Spare, die
bewirkt, dass eine neu eingesteckte Platte automatisch als Hot Spare zum Einsatz
kommt.Andernfalls muss der Administrator dies manuell zuweisen.
November 2010
19
20.10.2010
10:37
Seite 4
Nachdem wir auf dem Testsystem zwei
Vdisks mit RAID 5 und 6 definiert hatten, konnten wir darauf die benötigten
Volumes anlegen, die letzten Endes auf
Serverseite als SCSI-LUNs sichtbar wurden. Pro Vdisk kann der Nutzer automatisch ein oder mehrere Volumes
erstellen. Benötigt er auf einem Speichersystem viele Volumes, empfiehlt Dot
Hill die Anlage weniger Vdisks, möglichst gleichmäßig auf beide Controller
verteilt, und auf jeder Vdisk die Anlage
von mehreren Volumes.
Da das System auf alle Platten Metadaten bezüglich der Konfiguration schreibt,
ist es problemlos möglich, die Platten
innerhalb der Einheit beliebig zu vertauschen oder einen ganzen zu einer
Vdisk gehörenden Plattensatz von einem System auf ein anderes zu portieren. Das bedeutet aber, dass auf bereits
genutzten Platten vor einer neuen Verwendung eventuell vorhandene Metadaten gelöscht werden müssen. Dies ist
innerhalb von RAIDar möglich.
Flexibles Volume-Mapping
Für manchen Administrator, der in der Vergangenheit bereits andere Plattensysteme
betreut hat, mag das von Dot Hill ver-
wendete Mapping-Konzept neu sein.Anfangs vielleicht etwas gewöhnungsbedürftig, erweist es sich letztendlich als recht flexibel, wenn es darum geht, nicht nur
einzelne Server einpfadig zu betreiben, sondern auch Cluster und Farmen für virtuelle
Umgebungen zu realisieren, in denen
mehrpfadige Anbindungen und wechselweise sowie gleichzeitige Zugriffe auf gemeinsame Volumes zum Standard gehören. So beherrschen die Systeme ein so
genanntes Default Mapping in Form eines Port-Zonings sowie ein Explicit Mapping als Bezeichnung für eine WWN-bezogene Zuweisung (WWN-Zoning).
Legt ein Administrator ein Volume an,
so bietet das System gleich ein DefaultMapping an. Hierzu muss er die LUNNummer angeben, außerdem die Zugriffsart (no-access, read-only, read-write)
und die Controller-Ports, auf denen das
Volume sichtbar sein soll.Alle Hosts, die
mit einem dieser Ports verbunden sind,
können die LUN dann entsprechend der
eingestellten Zugriffsart nutzen. Um nun
ein einzelnes Volume gezielt bestimmten
Hosts zuzuweisen, muss der Administrator ein Explicit-Mapping definieren und
das Default-Mapping zu den anderen
Hosts entfernen.
Zu erwähnen ist, dass innerhalb von
RAIDar natürlich auch die Hosts anzulegen sind. Hierzu sind die Host-IDs anzugeben, also entweder bei Fibre Channel die WWN oder bei iSCSI die IQN,
und weiterhin ein sinnvoller Host-Name für die Anzeige in der GUI. Im Falle von iSCSI lässt sich die Verbindung
über CHAP mit Passwort sichern.In der
Praxis ist es möglich, mit den beschriebenen Mapping-Arten mit wenig Aufwand ein passendes Zoning für die benötigten Zugriffe zu definieren und
besondere Zugriffsvarianten zu implementieren: Greifen auf ein Plattensystem viele eigenständige Server zu, so
nutzt der Administrator am besten primär das explizite Mapping.Werden aber
alle Platten von einem großen Cluster
oder einer VMware-Farm genutzt, so
reicht es eventuell aus, alle Server per
Default-Mapping zu berechtigen.
Unterschiedliche Zugriffsarten sind beispielsweise dann sinnvoll, wenn in der Medizintechnik nur der Server eines MRT
die Bilddaten auf ein Volume schreiben
können soll (Zugriff read-write), die Ärzte aber parallel über einen anderen Server bereits fertige Bilder ansehen wollen
(Zugriff read-only). Wären beide Server
schreibberechtigt, würden sie sich ständig
gegenseitig die Metadaten überschreiben,
so dass am Schluss ein korruptes Laufwerk übrig bliebe.
Zusatzfunktionen gegen Aufpreis
Bild 2: Bereits angelegte Arrays werden halbtransparent dargestellt,
so dass der bereits konfigurierte Bereich leicht erkennbar ist
20
November 2010
Die 3.000er-Modelle gibt es hinsichtlich
des Funktionsumfangs als C-, S- und RSerie. Die C-Serie beinhaltet die Speichereinheit ohne weitere Lizenz, die S-Serie bringt die Features AssuredSnap und
AssuredCopy mit, die R-Serie enthält zusätzlich noch eine Lizenz für AssuredRemote Snapshot Replication. Dot Hill bezeichnet diese Ergänzungen als Data
Management Software Suite (DMS). Statt
die Geräte entsprechend im Bundle zu
kaufen, können die Lizenzen auch später
erworben werden. Um dieses schmackhaft
zu machen, liegt der C-Serie die DMS als
zeitlich begrenzte Try&Buy-Version bei.
20.10.2010
10:37
Seite 5
nutzt das copy-onwrite-Verfahren, was
bedeutet, dass bei
der Änderung eines
Blocks die alten Daten in den Snap-Pool
kopiert werden und
die neuen auf das
eigentliche Volume.
Wird später ein
Snapshot gelöscht,
müssen nur die entsprechenden Blöcke
im Snap-Pool freigegeben werden. Snapshots lassen sich per
Zeitplaner in festen
Abständen automatisch erzeugen, der
Administrator gibt
dabei an, wie viele
Versionen er halten
will, so dass sich quasi ein umlaufender
Pool ergibt.
Bild 3: Snapshots lassen sich über einen komfortablen Scheduler
individuell an die Erfordernisse anpassen
Snapshots gewähren mehr Freiraum
AssureSnap ermöglicht, wie der Name
schon vermuten lässt, Snapshots. Sobald von
einem Volume ein Snapshot erstellt wird,
legt das System für dieses Volume einen so
genannten Snap-Pool an. AssuredSnap
Ein Snapshot lässt
sich auf verschiedene Arten verwenden.Wie üblich kann ein
Snapshot dazu dienen, das Quellvolume
wieder auf den Stand des Snapshots zurückzusetzen.Weiterhin kann ein Administrator einen Snapshot im Schreib-/
Lesemodus als Laufwerk mappen, um bei-
spielsweise darauf eine neue Software zu
installieren.War die Installation nicht erfolgreich, so kann er den Snapshot wieder
auf den ursprünglichen Stand bringen. Er
hat aber zudem die Möglichkeit, ein
Quellvolume auf den Stand eines Snapshots inklusive der darauf gemachten Änderungen zu bringen.
Volume-Replizierung
über Standorte hinweg
Im Gegensatz zum Snapshot erzeugt die
AssuredCopy-Funktion eine komplette
Kopie eines Volumes, um es anschließend
als neues Standard-Volume zu nutzen. Dies
schafft im Gegensatz zum Snapshot eine
völlige Unabhängigkeit von der Quelle, so
dass sich jegliche Performanceeinbußen
vermeiden lassen. Es ist wahlweise möglich, ein Volume zu kopieren oder aus einem existierenden Snapshot eine eigenständige Kopie zu erzeugen.
Das AssuredRemote Replication Feature letztendlich ist eine Funktion, die in
erster Linie als Disaster-Recovery-Maßnahme gedacht ist. Es repliziert den Inhalt eines Volumes asynchron auf Blockebene auf ein identisches Volume, das
sich auf der gleichen Storage-Einheit,
aber auch auf einer zweiten befinden
darf. Kommt die zweite Einheit an einem anderen Firmenstandort zum Einsatz, so lassen sich Replizierungen über
Verzweifeln Sie nicht, steigen
Sie auf HOB RD VPN um
Secure-Remote-Access ohne Installation
Die browserbasierte Remote-Access Lösung HOB RD VPN ist weder
mit herkömmlichen SSL VPNs noch mit IPsec VPNs zu vergleichen.
Der Administrator kann dank HOB RD VPN auf zeitraubende Installationen von Treibern oder Software auf den Client-Systemen verzichten.
Der User kann orts- und plattformunabhängig auf einen virtuellen
Desktop zugreifen – die Daten bleiben im Rechenzentrum.
HOB PPP TunneI (IPsec Rest in Peace Juni 2010)
IPsec
Secure Business Connectivity
hob anzeige QUER ip sec ist tot server RZ.indd 1
HOB RD VPN
www.hob.de/ppp18
Möchte der User mit seinem MS Windows Vista-, Windows 7-, Apple
Mac OS X- oder Linux-System einen vollständigen Netzwerkzugriff,
kann er die treiberlose Technologie des HOB PPP Tunnels einsetzen.
Zwei-Faktor-Authentifizierung, SSL-Verschlüsselung bis AES 256 Bit,
Client Integrity Check – kein Sicherheitsverlust gegenüber IPsec – bei
Performance und Einfachheit ist der PPP Tunnel meilenweit überlegen.
Die Security-Suite von HOB RD VPN ist vom BSI (Bundesamt für Sicherheit in der Informationstechnik) nach Common Criteria zertifiziert (HOBLink Secure BSI-DSZ-CC-0260-2004).
Dadurch beweist HOB, dass der Zugriff wirklich sicher ist!
07.10.2010 11:08:34
20.10.2010
10:37
Seite 6
eine größere Entfernung realisieren. Der
Datentransfer erfolgt wahlweise via Fibre Channel oder iSCSI. Eine anstehende Replizierung erzeugt zuerst einen Snapshot, der dann mit den Daten
auf dem Ziel verglichen wird, um nur
die unterschiedlichen Blöcke übertragen zu müssen. Eine Replizierung kann
manuell oder mittels Zeitplaner automatisiert erfolgen.
Hinsichtlich der Nutzung von Snapshots ist uns aufgefallen, dass Dot Hill
nur für Windows einen VDS-/VSS-Treiber bereitstellt, um mittels dieser Mechanismen dafür zu sorgen, dass die
Snapshot-Daten konsistent sind. Für andere Betriebssysteme hat der Hersteller
dazu nichts im Angebot, vielmehr müssen entsprechende Abläufe mit Zugriff
über die CLI geskriptet werden. Der
Support von Dot Hill unterstützt bei
Bedarf bei einer Implementierung.
Umweltschonende
Green IT sinnvoll umgesetzt
Dot Hill hat in seine 3.000er-Serie einige Stromsparmaßnahmen integriert.
So haben die beiden Netzteile lastunabhängig einen Wirkungsgrad von mindestens 80 Prozent (80-PLUS-Zertifizierung).Weiterhin kann der Administrator das System so konfigurieren, dass
es inaktive Platten und Global Spares
herunterfährt (Dr ive Spin Down =
DSD). Hierzu legt er die Zeitdauer in
Minuten fest, nach der inaktive Platten
heruntergefahren werden, und definiert
außerdem einen Zeitraum wie beispielsweise die reguläre Arbeitszeit, in
der das nicht passieren soll. Zu beachten ist, dass heruntergefahrene Platten
nicht auf Defekte durchsucht und
SMART-Meldungen nicht abgefragt
werden, und dass es etwas länger dauert, wenn ein Plattenzugriff erfolgt, da
die Disk erst wieder starten muss.
Als sehr gute Lösung bewerten wir den
patentierten, batterielosen, aber dennoch
gepufferten Cache der Controller. Statt
eines Akkus, der in der Regel nur etwa
22
November 2010
zwei Jahre hält, verwendet Dot Hill einen großen Kondensator mit rund zehn
Jahren Lebensdauer, dessen Ladung ausreicht, um bei einem Stromausfall oder
einer Abschaltung den Cacheinhalt in einen Flashspeicher zu schreiben. Neben
der besseren Umweltverträglichkeit durch
den Verzicht auf den Akku ergibt sich zudem der Vorteil, dass der Flashinhalt unbegrenzt hält, während die Akkus den
Cacheinhalt in der Regel nur 72 Stunden puffern. Wer mehrere hundert Server betreibt, weiß, wie lästig es ist, wenn
nach einiger Zeit die Pufferbatterien am
laufenden Band den Geist aufgeben. Das
kann hier nicht passieren. Nach einem
Abschalten der Einheit konnten wir genau beobachten, dass eine LED auf den
Controllern noch mehrere Sekunden lang
blinkt, bis sie ausgeht.
Fazit
Die neue AssuredSAN 3.000-Serie von
Dot Hill erweist sich in jeder Hinsicht
als sehr breitbandig einsetzbare und individuell skalierbare Speicherlösung, die
technisch auf dem neuesten Stand ist.
Die Skalierbarkeit ist zum einen durch
die Ausbaufähigkeit auf bis zu 144 Festplatten gegeben, mit verschiedenen
Controllern für SAS, Fibre Channel und
GBit-iSCSI deckt der Hersteller zudem
alle praktikablen Anschlussmöglichkeiten ab. Eine 6 GBit-SAS-Backplane sowie 6 GBit-SAS-Controller und 8 GBitFC sorgen für eine bestmögliche Performance. Allenfalls bei iSCSI muss der
Administrator noch ein wenig auf
höchste Leistung warten. Ein Controller
für 10GBit-iSCSI/FCoE sollte aber
schon beim Erscheinen dieser Ausgabe
verfügbar sein.
Funktional skalierbar ist die Serie durch
zwei Lizenzen für Snapshots/VolumeCopy sowie Remote Replication, so dass
sich die Speichereinheiten für einen wirkungsvollen Disaster-Schutz konfigurieren lassen.Vorteilhaft ist weiterhin die
Active-Active-Arbeitsweise, so dass auf
ein Volume jederzeit über beide Controller zugegriffen werden kann. Für ei-
ne optimale Performance sollte aber in
erster Linie der Controller genutzt werden, der der Eigentümer der unter den
Volumes liegenden virtuellen Disks ist.
Erfreulich intuitiv zu bedienen ist die
Web-GUI für die Administration, auch
wenn der Umgang letztendlich etwas
Einarbeitung erfordert, vor allem, um
Mappings zu den angeschlossenen Hosts
korrekt umzusetzen. (ln)
Produkt
Modular konfigurierbare Plattenspeichereinheiten
für SAN-Umgebungen.
Hersteller
Dot Hill
www.dothill.com
Preis
Die Modelle der AssuredSAN 3.000-Serie
sind ab etwa 8.000 Euro erhältlich.
Technische Daten
Installation/Bedienung
9
Skalierbarkeit
9
Konnektivität
8
Redundanz und Disaster Recovery
8
Dokumentation
9
optimal für Speicheranforderungen ab etwa 3
TByte in einer SAN-Infrastruktur sowie bei Bedarf
für Snapshots und asynchrone Replizierung zwischen Betriebsstätten.
bedingt bei geringeren Kapazitätsanforderungen,
da sich die Investition dann nicht rechnen dürfte,
außer es werden die speziellen Features wie die
Kopierfunktion oder die Replizierung benötigt.
nicht, wenn sich der Bedarf hinsichtlich Kapazität
und Verfügbarkeit mit lokalen Festplatten in einem Server abdecken lässt.
Dot Hill AssuredSAN 3.000-Serie
S32-35_ITA_1210_T03_InnoLogic.qxp
22.11.2010
17:07
Seite 2
Im Test: Secunia Corporate Software Inspector 4.0
Ein Inspektor für alle Fälle
von Thomas Gronenwald
Viele Unternehmen nutzen zum Patchmanagement die WSUS-Dienste zum Verteilen der monatlich
veröffentlichten Microsoft-Sicherheitsupdates. Allerdings wird hierbei immer noch allzu oft auf die regelmäßige Aktualisierung von 3rd-Party-Software im Unternehmen verzichtet – so sind veraltete Adobe Reader-,
Flash- oder Java-Versionen keine Ausnahmen, sondern eher die Regel. Vor dem Hintergrund der seit 2007
um fast 400 Prozent gestiegenen Anzahl an Sicherheitslücken in Drittanbietersoftware entsteht so ein
erhebliches Risiko für die IT-Sicherheit in diesen Unternehmen. Der Corporate Software Inspector 4.0
vom dänischen Hersteller Secunia erlaubt es, diese Sicherheitslücken zu erkennen, zu bewerten
und zu beheben. In unserem Test musste das Werkzeug seine Fähigkeiten unter Beweis stellen.
eu ist hierbei die Integration des
Corporate Software Inspector 4.0
(CSI) in die Microsoft-Lösungen WSUS
und System Center Configuration Manager (SCCM). Diese Synergie erlaubt es,
nun mehr als 13.000 Applikationen, PlugIns und Erweiterungen im Unternehmensnetz zentral zu überwachen und mit
geeigneten Sicherheitsupdates zu versorgen. Dabei benutzt CSI die gleiche Technik
wie beim kostenlosen Personal Software
Inspektor (PSI) von Secunia, um festzustellen, welche Software in welcher Version
auf einem System installiert ist und ob
eventuell neuere Versionen vorhanden sind.
N
Bis dato mussten für ein flächendeckendes Patch-Management von WindowsUmgebungen zahlreiche Tools eingesetzt
werden. Dies führte jedoch in aller Regel
dazu, dass nur halbherzig gepatcht wurde.
Nun ermöglicht Secunia, das Patch-Management von Drittanbietersoftware auch
über die Microsoft-Mechanismen bereitzustellen. Kombiniert wird dies weiterhin
durch die bereits aus den Vorgängerversionen bekannten und hoch geschätzten
Programmfunktionalitäten.Verschiedene
Sicherheitsberichte aller eingesetzten Anwendungen sowie potenzielle Gefährdungen lassen sich über die überarbeitete
Programmoberfläche abrufen. So behal-
32
Dezember 2010
Bild 1: Die Oberfläche von CSI 4.0 wirkt aufgeräumt und bietet schnellen Zugriff auf wichtige Funktionen
ten Administratoren und Sicherheitsverantwortliche stets den Überblick über Anwendungen, Betriebssysteme und Service
Packs in ihrem Unternehmen und können so schnell und zuverlässig auf neue
Sicherheitsrisiken reagieren.
Systemvoraussetzungen
und Installation
bleme und ist innerhalb von wenigen
Minuten abgeschlossen. Wichtig ist lediglich, dass das Setup mit administrativen Berechtigungen ausgeführt wird.
Außerdem ist es notwendig, das Service
Pack1 für das Microsoft .NET Framework 2.0 (ab Windows Server 2008 enthalten) sowie das Microsoft Visual C++
2008 SP1 zu installieren.
Die Installation der CSI-Konsole in der
aktuellen Version 4.1.0.4617 stellt einen
Administrator vor nicht allzu große Pro-
Die Konsole ist dabei sowohl auf einem administrativen Client oder auch direkt auf
22.11.2010
17:07
Seite 3
Bild 2: Die unterschiedlichen Scan-Methoden lassen
sich leicht konfigurieren
dem WSUS-Server installierbar. In unserem Test diente ein Windows Server 2008
R2 mit bereits konfiguriertem WSUS-Server als Basis für die Integration von CSI.
Für die reibungslose Bereitstellung von
selbsterstellten Update-Pakten müssen lediglich kleinere Anpassungen innerhalb
der bestehenden Domäne vorgenommen
werden. Damit die Microsoft-Lösungen
die Verteilung von Drittanbietersoftware
erlaubt, sind hierfür entsprechende Gruppenrichtlinien zu erstellen. Diese sind
dann zum einen für die Verteilung der benötigten Zertifikate als auch für das Bereitstellen der Patches verantwortlich. Diese Konfiguration kann dabei entweder
über den mitgelieferten Assistenten oder
selbständig durchgeführt werden.
Der Single Host Mode ist dabei speziell
für Unternehmens-Notebooks entwickelt worden.Aufgrund der Tatsache, dass
diese immer öfter nicht direkt mit dem
Netzwerk des Unternehmens verbunden
sind, ist ein geplanter Scan oft nicht möglich. Dieser Modus erlaubt es, dass, sobald eine Internetverbindung besteht, ein
Abgleich der installierten Programme
mit der Secunia-Datenbank vorgenommen werden kann. Die Ergebnisse werden dann an die CSI-Konsole übermittelt – so behalten Administratoren auch
stets ihre mobilen Geräte im Auge.
Der Network Appliance Mode hingegen
ist für Administratoren gedacht, die mehr
als einen Standort und dementsprechend
mehrere IP-Netze betreuen. Hierbei ist
es möglich, an jedem Standort einen CSIAgenten im sogenannten “Network
Appliance Mode” zu betreiben und zeitgesteuerte Scans durchzuführen – vergleichbar mit einem Relay- oder Antivirenserver. Die Ergebnisse werden von den
einzelnen Agenten dann im Anschluss zur
eigentlichen CSI-Konsole gesendet und
können zentral ausgewertet werden.
Neu in der aktuellsten Version ist außerdem, dass Systeme, die mit dem Personal
Software Inspector (PSI) ausgestattet sind,
sich ebenso in den CSI einbinden lassen.
Hierfür ist lediglich ein festzulegender
Code auf der Client-Seite notwendig.
Dieser wird dann im Anschluss in das
hierfür vorgesehene Feld innerhalb der
Konsole eingetragen.
Arbeit mit dem CSI Dashboard
Das Dashboard des CSI wartet mit einer
frei anpassbaren Oberfläche auf. Diese erlaubte es uns mittels verschiedener Elemente, unsere eigene Oberfläche per
Drag & Drop zu konfigurieren. Angefangen von einem generellen Sicherheitsstatus der Umgebung bis hin zu einzelnen Installationen und Gefährdungen
lässt sich alles für den ersten Blick in der
Konsole konfigurieren. Sehr gut ist ebenso die mitgelieferte Funktion der Historie, die einen chronologischen Überblick
über den Sicherheitsstatus liefert und so
schnell Änderungen innerhalb der Umgebung aufzeigt.
CSI unterstützt mehrere Scan-Methoden und liefert so für verschiedene Einsatzzwecke die passenden Wege. Der
Scanprozess ruft dabei die spezifischen
Metadaten der einzelnen Applikationen
ab, primär .EXE-, .DLL- und .OCX-
Betrieb für mobile Nutzer
und im Unternehmensnetz
CSI unterscheidet zwischen einem
“agent-based”- (Installation eines Agenten notwendig) und einem “agent-less”Modus (keine Installation notwendig).
Hierbei erfolgt der Zugriff, wie der Name schon sagt, entweder über einen
Agent oder über eine direkte Remoteabfrage des Clients über das Netzwerk.
Mit der “agent-based”-Methode erhält
der Administrator zudem zwei weitere
Möglichkeiten, seine Umgebung anforderungsgerecht zu überwachen. Bei der
Installation kann zwischen dem “Single
Host Mode” und dem “Network Appliance Mode” unterschieden werden.
Bild 3: Die Ergebnisse eines ersten Scans
Dezember 2010
33
22.11.2010
17:07
Seite 4
Dateien, und erstellt eine vollständige Inventarisierung der installierten Software.
Diese Ergebnisse werden dann mit der
“Secunia Secure Data Processing Cloud”
(DPRC) und den hinterlegten Dateisignaturen abgeglichen. In einem weiteren
Schritt werden dann die Secunia Advisory- und Vulnerability-Datenbanken abgefragt und den jeweiligen Sicherheitslücken und Programmen zugeordnet.Als
Ergebnis daraus erhält der Administrator
eine präzise Inventarisierung aller installierten Applikationen, deren Versionen
und dem genauen Sicherheitsstatus mit
Hinweisen auf die bereits veröffentlichten Security Advisories.
Innerhalb der CSI-Konsole stehen dafür mehrere Scantypen zur Verfügung.
Zum einen ist es über einen “Quick
Scan” möglich, einen einzelnen Client
durch Eingabe der IP-Adresse oder des
DNS-Namens abzufragen. Zum anderen besteht auch die Möglichkeit, Gruppen anzulegen. Diese wiederum können
dann manuell geprüft oder mit einem
geplanten Scan auf Sicherheitslücken getestet werden.
Unter dem Menüpunkt “Results” erhält
der Administrator einen schnellen Überblick über alle Systeme und kann dort direkt einsehen, welche Programme installiert sind. Zudem erhält er hier einen
direkten Überblick über Informationen
und Sicherheitslücken.
Umfassendes Reporting
Der Menüpunkt “Reports” bietet dem
IT-Verantwortlichen ein umfangreiches
Werkzeug, mit dem sich die eingesetzten
Betriebssysteme, Service Packs und Anwendungen sinnvoll betrachten und entsprechend den bekannten Risiken bewerten lassen. Dabei unterscheidet CSI
zwischen den drei Kategorien:
- Insecure: Unsicher, es bestehen Sicherheitslücken
- End-of-Life (EoL): Produktlebenszyklus
beendet, es besteht kein Support mehr
- Patched: Keine bekannten Sicherheitslücken vorhanden
34
Dezember 2010
Bild 4: CSI findet notwendige Patches und erlaubt auch, diese gleich zur Verteilung zu paketieren
Für Programme, die aus verschiedenen
Gründen nicht aktualisiert werden können, erstellten wir mittels eines Assistenten
eine Ausnahmeregel. Damit erreichten
wir, dass diese nicht wiederkehrend geprüft werden. Aus sicherheitstechnischer
Sicht sollte dies jedoch nur sehr vorsichtig genutzt werden, denn ansonsten droht
ein trügerisches Gefühl der Sicherheit.
Daher sollten diese Programme auch regelmäßig betrachtet werden.
Darüber hinaus bietet CSI die Möglichkeit, täglich per E-Mail über den aktuellen
Status benachrichtigt zu werden. Diese
Mitteilungen liefern auch Veränderungen
im sogenannten Change Summary. Dieses erkennt, ob neue Software installiert
wurde und informiert darüber hinaus über
deren eventuelle Risiken.
Außerdem erlaubte es uns CSI, verschiedene Report-Groups zu definieren. Hiermit erhalten IT-Abteilungen die Möglichkeit, mehrere Systemverantwortliche
zu definieren, die wiederum angepasste,
auf Ihre Systeme ausgelegte Reports per
E-Mail erhalten. Ferner ließen sich verschiedene Reports automatisch generieren
und per E-Mail zustellen. Hier boten sich
uns vier Berichtstypen an:
- Executive Summary Report: Sicherheitsbericht über alle Systeme (geeignet für IT-Sicherheitsverantwortliche
und IT-Leiter)
- Administrative Report: Sicherheitsbericht über alle Systeme des Verantwortungsbereiches (geeignet für verschiedene Administratoren, zum Beispiel:
Server- und Clientadministratoren)
- Host-Level-Report: Sicherheitsbericht
über bestimmte ausgewählte Clients
(geeignet für als hochkritisch eingestufte Systeme)
- Program-Level-Report: Sicherheitsbericht über bestimmte ausgewählte Programme (geeignet für Applikationsverantwortliche, Softwareentwickler)
Patches finden und verteilen
Die größte Neuerung in CSI bildet der
Punkt “Patch”. Hierüber lassen sich die
Microsoft-Mechanismen für die Verteilung von Updatepaketen nutzen. Dafür
werden die innerhalb der Scans gefundenen Schwachstellen mit der SecuniaDatenbank verglichen und im Anschluss
angezeigt, ob für diese Applikationen
eine Paketierung möglich ist. CSI bietet dabei zur Unterstützung einen direkten Downloadlink zur benötigten
Herstellerseite an – daher ist auch kein
22.11.2010
langes Suchen nach der aktuellsten Version mehr notwendig.
Die innerhalb der CSI-Konsole implementierte Paketierungsfunktion erstellt
aus dem heruntergeladenen Programmupdate ein geeignetes,WSUS-kompatibles Paket und stellt es für die Verteilung innerhalb von CSI bereit. Die
Bereitstellung kann dann über die im
WSUS konfigur ier ten Computergruppen freigegeben werden. Die Bereitstellung der zuvor mit CSI paketierten Updates erfolgt im Anschluss
dann über den bekannten WindowsUpdate-Dienst.
Fazit
Secunia bietet mit dem Corporate Software Inspector 4.0 ein bisher nicht dagewesenes Werkzeug, mit dem der ITAdministrator seine IT-Infrastruktur zu
jederzeit bezüglich existierender Sicherheitslücken überwachen und auch patchen kann. Durch die umfangreichen Sicherheitsberichte, die zusätzlich innerhalb
der Lösung bereitgestellt werden, ist stets
eine Einschätzung der Sicherheitsanfälligkeiten möglich.
17:07
Seite 5
Produkt
Software zum Finden und Patchen
von Sicherheitslücken.
Hersteller
Secunia
www.secunia.com
Preis
Secunia bietet derzeit vier Lizenz- und Preismodelle an:
Secunia CSI Small Business, Standard Support
Microsoft WSUS-Integration mit weniger als 100
Clients: 2.000 Euro.
Secunia CSI, Standard Support
Microsoft WSUS-Integration mit weniger als 400
Clients: 6.000 Euro.
Secunia CSI Professional, Premium Support
Microsoft SCCM- und Microsoft WSUS-Integration mit
weniger als 1.000 Clients: 12.000 Euro.
Secunia CSI Enterprise, Enterprise Support
Microsoft SCCM- und Microsoft WSUS-Integration mit
mehr als 1.000 Clients: 24.000 Euro.
Technische Daten
Installation und Konfiguration
9
Funktionsumfang
8
Reports
Durch die Symbiose aus einer bereits
bestehenden Patch Management-Lösung
und der CSI-Komponente erhöht das
Werkzeug das Sicherheitsniveau signifikant. Dabei bietet Secunia für fast alle
Infrastrukturarten, egal ob klein oder
Mittelstand, die geeigneten Scans, Agenten (agent-less und agent-based), Methoden (Appliance-Mode) und Lizenzmodelle an.
Als wir während unseres Tests einen kleineren Fehler innerhalb der Oberfläche feststellten, wurde dieser übrigens – nach kurzem E-Mailkontakt mit Secunia und der
zuständigen Entwicklungsabteilung – innerhalb von weniger als zwei Stunden behoben.Vorbildlich, wie wir finden. (jp)
Thomas Gronenwald ist Security-Berater
bei der adMERITia GmbH in Langenfeld
und Blog-Autor (blog.port389.de).
Mit uns als Partner
Blicken Sie
nach vorne
10
Patchmanagement (Drittanbieter)
7
Sicherheitsscan
9
Starke
Software-Lösungen
für Ihr Unternehmen
optimal für Unternehmen, die überwiegend Microsoft-basierte Betriebssysteme und Anwendungen
betreiben und zudem bereits eine Microsoft PatchManagement-Lösung einsetzen.
bedingt für mittelständische und große Unternehmen, die andere Bereitstellungsmechanismen nutzen und darüber hinaus keine geeigneten Microsoft Patch-Management-Lösungen einsetzen.
nicht für Unternehmen, die zum größten Teil
Linux-basierte Betriebssysteme und Applikationen einsetzen.
Secunia Corporate
Software Inspector 4.0
Strössendorfer Str. 29
D-96264 Altenkunstadt
Tel: +49 9572 3866407
Fax: +49 9572 3866409
Mail: [email protected]
www.inno-logic.de
S14-20_ITA_0311_T04__Fujitsu_Netgear.qxp
17.02.2011
15:26
Seite 2
Im Test: Hitachi IT Operations Analyzer 2.5
Netzwerkversteher
von Jürgen Heyer
Wenn ein Netzwerk nicht nur aus Servern und IP-LAN besteht, sondern
auch eine komplexe SAN-Infrastruktur mit zentralen Speichereinheiten
umfasst, ist es normalerweise üblich, für das Monitoring mehrere Werkzeuge mit verteilten Schwerpunkten einzusetzen. Eine ganzheitliche
Überwachung der Performance und Verfügbarkeit all dieser Komponenten verspricht der IT Operations Analyzer von Hitachi bei gleichzeitig einfacher und intuitiver Bedienung. IT-Administrator wollte wissen,
ob das Tool tatsächlich so universell, schnell und einfach einsetzbar ist.
er bisher der Meinung war, dass
sich Hitachi Data Systems (HDS)
nur mit Speichersystemen beschäftigt,
muss ein wenig umdenken. Auf der Suche nach neuen Betätigungsfeldern hat
HDS mit dem IT Operations Analyzer
ein leistungsfähiges Tool für eine umfassende Überwachung der IT-Infrastruktur mit ins Portfolio aufgenommen. Das Besondere daran ist, dass das
Monitoring neben dem LAN (IP-Switches) und einer heterogenen Serverlandschaft (Windows, Red Hat/SUSE
Linux, Sun Solaris, IBM AIX,VMware
ESX, Microsoft Hyper-V und Dell-Server) auch das SAN (FC-Switches) und
darin befindliche Speichersysteme sowohl von HDS als auch von anderen
Herstellern umfasst.
W
Im Fokus sind mittelgroße Umgebungen
mit bis zu 750 zu überwachenden Geräten (Knoten), wobei das Tool agentenlos
arbeitet. Das erleichtert eine Einführung
ungemein, denn die Konfiguration konzentriert sich in erster Linie auf ein System, nämlich den Server mit der AnalyzerInstallation. Die bestehende Netzlandschaft
ist in der Regel nur geringfügig anzupassen, indem Portfreigaben eingerichtet und
auf den Servern benötigte Dienste aktiviert werden.
14
März 2011
Eine zusätzliche Stärke des Analyzers ist
neben dem breitbandigen Monitoring
eine so genannte Root Cause Analyse
(RCA) durch das Analysieren und Korrelieren gleichzeitig auftretender Meldungen verschiedener Geräte: Mit Hilfe
der gefundenen Kommunikationsbeziehungen ermittelt die Software im Falle
einer übergreifenden Fehlersituation den
eigentlichen Ursprung beziehungsweise
den Verursacher.
Kombiniertes Testverfahren
Um uns einen umfassenden Eindruck
verschaffen zu können, haben wir uns
beim Test für eine zweigleisige Vorgehensweise entschieden. Dazu führten wir
in unserer Labor-Testumgebung eine eigenständige Installation durch, um zum
einen das Setup bewerten zu können
und zum anderen hier alle Möglichkeiten zur Änderung und Anpassung der
Software zu haben. Nachdem wir aber
mit unserer Umgebung keine komplexe
LAN- und SAN-Infrastruktur nachbilden konnten, haben wir die Unterstützung von Hitachi in Anspruch genommen, indem wir uns zusätzlich noch
einen Zugang auf deren Democenter in
den USA einrichten ließen. Dort bekamen wir Zugriff auf einen bereits installierten Analyzer in einer umfassend
ausgestatteten Umgebung mit diversen
Servern, LAN- und SAN-(FC)-Switches sowie Speichersystemen von Hitachi und anderen Herstellern.
HDS hat den IT Operations Analyzer
2.5 bewusst so konzipiert, dass er ohne
großen Aufwand vom Endanwender installiert werden kann. Dies konnten wir
im Test voll und ganz bestätigen. Die
Hardwarevoraussetzungen sind mit einer 2-GHz-CPU und 1 GByte RAM
sowie 14 GByte Plattenkapazität nicht
besonders hoch, als Betriebssystem wird
Windows Server 2003 (R2)/2008 (R2)
vorausgesetzt.
Mustergültig
dokumentierte Installation
Das Installationspaket bringt alles inklusive einer integrierten Datenbank mit.
Bei der Einrichtung muss der Anwender nur die Zielpfade angeben, wobei
die Datenbank auf Wunsch in einen anderen Pfad installiert werden kann als
der Analyzer selbst. Weiterhin werden
fünf Ports vorgeschlagen, unter anderem
für den http-Zugriff sowie für die Kommunikation mit der Datenbank. Zu beachten ist, dass bei Nutzung der Windows-Firewall die entsprechenden Ports
freigeschaltet werden müssen. Im Nor-
17.02.2011
15:26
Seite 3
nicht. Sehr hilfreich ist hier wiederum die
Dokumentation von HDS, die alle diese
kleinen Schritte detailliert beschreibt.
Für die Einrichtung in komplexen Netzen
mit Firewalls und der Überwachung von
Systemen im Intranet sowie im internen
Netz mit einem Analyzer gibt Hitachi zusätzlich Tipps, wie eine sinnvolle Trennung realisiert wird und welche Ports freigeschaltet werden müssen.
Bild 1: In der Home-Ansicht sind die wichtigsten Fenster auf einer Seite zusammengefasst,
damit sich der Administrator möglichst schnell einen Überblick verschaffen kann
malfall übernimmt dies die Setup-Routine. Sollte aber während der Installation
die Firewall abgeschaltet und erst anschließend aktiviert werden, klappt dies
nicht. Für diesen Fall liefert HDS ein
kleines Programm mit, mit dem sich die
Einstellungen einfach nachtragen lassen.
Zum Abschluss der Installation ist die
Lizenzierung vorzunehmen.
Absolut mustergültig bewerten wir die
beiliegende Dokumentation, die den Endanwender gezielt bei der Installation und
auch der weiteren Einrichtung unterstützt.
Detailliert sind die Voraussetzungen genannt und die Installation schrittweise beschrieben. Besonders hilfreich sind weiterhin Übersichten und Ablaufpläne,
welche Protokolle für die Kommunikation mit den unterschiedlichen Endgeräten benötigt werden. Auch bringt HDS
eine Übersicht mit, welche zusätzlichen
Dienste auf dem Analyzer-Server eingerichtet werden.
Wie schon eingangs erwähnt, arbeitet der
Analyzer ohne jegliche Agenten. Stattdessen nutzt er verschiedene Fernzugriffsarten und Protokolle, um die benötigten Informationen einzusammeln.
Dies sind WMI (für Windows), SSH (für
Linux), SNMP (für LAN-Switches),
SMI-S (für Hitachi 9500-Systeme sowie
für Nicht-HDS-Speichersysteme und
SAN-Komponenten).Auf aktuelle HDSSpeichereinheiten (Geräte der Serien
AMS/WMS/SMS) kann der Analyzer
direkt zugreifen.
Zu beachten ist, dass das Verzichten auf
Agenten nicht bedeutet, dass auf den zu
überwachenden Servern gar nichts anzupassen ist: Beispielsweise ist es bei
Windows 2003-Servern mit FC-HBAs
(Fibre Channel Host Bus Adapter) notwendig, das Tool fcinfo zu installieren
(erhältlich bei Microsoft), um den HBA
mit WMI auslesen zu können. Bei Windows 2008 ist dieser WMI-Zugriff standardmäßig möglich. Für den Zugriff auf
Linux- und Solaris-Server wiederum ist
SSH2 zu aktivieren.
Für die Überwachung virtueller Maschinen unter Windows/Linux auf einem
ESX-Server ist es notwendig, dass dort
die aktuellen VMware-Tools installiert
sind. Dies ist wichtig, damit der Analyzer
ermitteln kann, welche virtuelle Maschine auf welchem ESX-Server läuft. Andernfalls fehlt diese Zuordnung und außerdem stimmen die Performancedaten
Die Benutzeroberfläche des Analyzers läuft
im Webbrowser. Ein Administrator muss also an seinem Arbeitsplatz nur die Adresse
des Analyzer-Servers und den entsprechenden Port angeben, um zur Anmeldemaske zu kommen. Laut Hitachi werden
am Client Internet Explorer 6 und 7 unterstützt, außerdem muss der Adobe Flash
Player (9.0.115.x oder 10.0.12.36) installiert sein.
Feintuning bis ins Detail
Damit der Zugriff über die bereits aufgeführten Protokolle schlussendlich
klappt, sind beim ersten Aufruf des Analyzers die den Protokollen zugeordneten
Credentials für die unterschiedlichen
Authentifizierungen zu erfassen, wobei
zu einem Protokoll auch mehrere Credentials angelegt werden können.Weiterhin sind die IP-Bereiche für einen
Scan vorzugeben. Sofern es in einem
Unternehmen genaue Vorgaben gibt,
welche IP-Bereiche oder auch Netze
für bestimmte Geräte benutzt werden
(beispielsweise dedizierte Netze für Server und Speichereinheiten), kann der
Administrator hier gezielt filtern, um
zwar die gesamte Infrastruktur zu überwachen, normale Arbeitsplätze aber zu
ignorieren. Optional kann der Administrator vorgeben, welche Credentials
in den jeweiligen IP-Netzen zu benutzen sind. Um sich nun beispielsweise in
verschiedenen Netzen per WMI mit unterschiedlichen Accounts an mehreren
Windows-Servern anzumelden, erfasst
er alle in Frage kommenden Credentials und ordnet diese den IP-Netzen zu.
Wichtig ist dies, damit der Analyzer
März 2011
15
17.02.2011
15:26
Seite 4
nicht durch zu viele Anmeldeversuche
mit falschen Daten einzelne Accounts
womöglich sperrt.
Sind die Anmeldedaten und IP-Netze eingetragen, startet der Analyzer mit einer
Suche und versucht, gefundene Geräte zu
kontaktieren, um deren relevanten Eckdaten auszulesen. Alle neu gefundenen
Knoten werden nun in einer Übersicht
aufgelistet und der Administrator kann
einzeln festlegen, welche überwacht und
welche ignoriert werden sollen. Es ist also neben der generellen Filterung über
IP-Adressbereiche zusätzlich möglich, innerhalb eines Subnetzes das Monitoring
gezielt nur auf bestimmte Geräte zu beschränken. Auch kann der Administrator
an dieser Stelle Geräteangaben manuell
ergänzen, beispielsweise, wenn bei einem
Server das installierte Betriebssystem nicht
korrekt ermittelt werden kann. Besitzt ein
System mehrere IP-Adressen, so ist nur
die primäre, über die das System gefunden wurde, in schwarz dargestellt, weitere Adressen sind grau gekennzeichnet.
Anhand der ausgelesenen Informationen
beginnt der Analyzer auch, ein Netz der
Kommunikationsbeziehungen aufzubauen, also entsprechende SAN- und LANPläne zu erstellen. Die Netzsuche sollte
über den integrierten Scheduler automatisiert und regelmäßig wiederholt werden, um neue Geräte automatisch zu
finden. Diese Suche kann täglich, in Abständen von mehreren Tagen, wöchentlich oder monatlich zu einer bestimmten
Uhrzeit gestartet werden. Um die Administratoren bei neu gefundenen Knoten
und auch bei anderen Ereignissen benachrichtigen zu können, unterstützt der
Analyzer SMTP-Mails, wozu die entsprechenden Zugriffsinformationen einzugeben sind.
Nachdem der Analyzer agentenlos arbeitet, muss er alle Geräte in bestimmten Intervallen abfragen, um Informationen zu
erhalten. Dabei unterscheidet er drei Monitoring-Typen: Konfiguration, Status und
Performance. Standardmäßig wird die
16
März 2011
Bild 2: Über ein Template kann der Administrator individuell festlegen,
welche Grenzwertüberschreitungen als Warnung und Fehler gemeldet werden sollen
Konfiguration einmal täglich geprüft, der
Systemstatus alle fünfzehn Minuten und
die Performance alle fünf Minuten. Der
Administrator kann die Intervalle ändern,
muss bei einer Verkürzung aber berücksichtigen, dass der Analyzer in einem Intervall auch alle zu überwachenden Systeme abfragen können muss.Verlängert er
dagegen die Intervalle zu sehr, besteht die
Gefahr, dass beispielsweise Performanceengpässe erst relativ spät erkannt werden.
Angaben in Betrieb zu nehmen, und zum
anderen dem Administrator diverse Stellräder zur Verfügung stehen, um das Verhalten des Analyzers an die individuelle Netzund Komponentenstruktur anzupassen.
Intuitive Benutzeroberfläche
Für die Bewertung der Grenzwerte für
CPU-Last,Arbeitsspeichernutzung, Plattenkapazität und Lese-/Schreibdurchsatz
sowie IP-Durchsatz beim Senden und
Empfangen kommt der Analyzer mit in
Templates hinterlegten Standardvorgaben,
um bei deren Überschreiten eine Warnung oder einen Alarm abzusetzen. Gut
ist, dass es für die verschiedenen Gerätearten eigene Templates gibt, in denen der
Administrator diese Grenzwerte jeweils
individuell anpassen kann.
Die Benutzeroberfläche selbst ist klar gegliedert und erklärt sich von der Grundfunktion her selbst. So verteilen sich die
Ansichten auf die vier Register “Home”,
“Monitoring”, “Events” und “Reports”.
Die Ansicht Home liefert die wichtigsten
Informationen auf einen Blick. Dies sind
letztendlich sechs Fenster mit den letzten
Ereignissen, einer Trendanalyse bezogen
auf die Ereignisse der letzten 14 Tage, den
drei wichtigsten Ergebnissen der Root
Cause Analysis (RCA), dem Gesundheitsstatus der Knoten nach RessourcenGruppen geordnet, den letzten neu gefundenen Knoten und der Top-10-Liste
der Geräte mit den meisten Events in den
letzten 24 Stunden.
Hinsichtlich der gesamten Konfiguration
hat uns sehr gut gefallen, dass es zum einen
möglich ist, den Analyzer mit recht wenigen
Beim Umgang mit der Home-Ansicht
fiel uns auf, dass ein Administrator nur in
einem Teil der Fenster intuitiv weiterkli-
S64-69_ITA_0911_P05_ExperTeach_EAZWorkshop-Langenfeld_EAZSH0111_ITA_Default 25.08.2011 15:42 Seite 7
Bestellen Sie jetzt
das IT-Administrator
Sonderheft I/2011!
180 Seiten Praxis-Know-how rund um das Thema
Netzwerkanalyse
& Troubleshooting
zum Abonnenten-Vorzugspreis* von
nur € 24,90!
* IT-Administrator Abonnenten erhalten das Sonderheft I/2011 für € 24,90. Nichtabonnenten zahlen € 29,90.
Alle Preise verstehen sich inklusive Versandkosten und Mehrwertsteuer.
Mehr Informationen und ein Onlinebestellformular finden Sie auch hier
www.it-administrator.de/kiosk/sonderhefte/
So erreichen Sie unseren
Vertrieb, Abo- und
Leserservice:
Einfach kopieren und per Fax an den Leserservice IT-Administrator senden: 06123/9238-252
Leserservice IT-Administrator
vertriebsunion meynen
Herr Stephan Orgel
D-65341 Eltville
Ja, ich bin IT-Administrator Abonnent mit der Abonummer (falls zur Hand) ________________________________
und bestelle das IT-Administrator Sonderheft I/2011 zum Abonnenten-Vorzugspreis von nur € 24,90 inkl. Versand und 7% MwSt.
Tel: 06123/9238-251
Fax: 06123/9238-252
Ja, ich bestelle das IT-Administrator Sonderheft I/2011 zum Preis von € 29,90 inkl. Versand und 7% MwSt.
[email protected]
Diese und weitere Aboangebote
finden Sie auch im Internet
unter www.it-administrator.de
Der Verlag gewährt mir ein Widerrufsrecht. Ich kann meine Bestellung innerhalb von 14 Tagen nach Bestelldatum ohne Angaben
von Gründen widerrufen.*
per Bankeinzug
Firma:
Geldinstitut:
Kto.:
oder
BLZ:
per Rechnung
Abos und Einzelhefte
gibt es auch als E-Paper
Name, Vorname:
Straße:
Land, PLZ, Ort:
Datum:
Tel:
Unterschrift:
E-Mail:
* Zur Fristwahrung genügt die rechtzeitige Absendung einer E-Mail an [email protected] oder einer kurzen postalischen Mitteilung an Leserservice IT-Administrator, 65341 Eltville.
ITA 0911
Ich zahle
Leopoldstraße 85
D-80802 München
Tel: 089-4445408-0
Fax: 089-4445408-99
Geschäftsführung:
Anne Kathrin Heinemann
Matthias Heinemann
Amtsgericht München HRB 151585
17.02.2011
15:27
Seite 6
cken kann. So ließ sich beispielsweise eine Fehlermeldung anklicken, um mehr
darüber zu erfahren. Es war aber nicht
möglich, einen der zuletzt neu gefundenen Knoten auszuwählen, um sich dazu
Details anzusehen.Auch lieferte ein Fenster zwar den Gesundheitsstatus der Geräte mit der Angabe, wie viele den Status
Normal, Warnung, Kritisch und Unerreichbar haben.Wir kamen aber auf diesem Wege nicht direkt an die Information,
welche Systeme sich tatsächlich hinter den
Zahlen verbargen, um so gezielt prüfen
zu können, warum ein bestimmter Status
vorlag.Vielmehr befindet sich in der Fußzeile jedes der sechs Fenster ein Verweis
zum Monitoring oder zu den Ereignissen, um dort Genaueres zu erfahren. In
der Praxis gestaltete sich diese Suche etwas
umständlich und wir sehen hier noch Optimierungspotential, um die Bedienung
weiter zu vereinfachen. Insgesamt aber erwies sich die Home-Ansicht als recht hilfreich, um schnell zu erkennen, welche
Meldungen aktuell aufgetreten und gegebenenfalls noch nicht bearbeitet sind.
Auch lässt sich anhand der Top-10-Liste
der Geräte mit den meisten Ereignissen
recht gut erkennen, ob ein akuter Handlungsbedarf besteht.
Sehr übersichtlich ist die Ansicht der
Events gestaltet.Alle Ereignisse sind hier
auf verschiedenen Registerblättern nach
Relevanz oder Status geordnet (Alle, kritisch, Warnung, informativ, Konfigurationsänderungen, unbestätigte Ereignisse)
aufgelistet. Noch nicht bestätigte Ereignisse sind fett dargestellt, bestätigte in
normaler Schriftdicke. Darüber hinaus
hat der Administrator die Möglichkeit,
eine Leiste mit diversen Filtermöglichkeiten (Bestätigungsstatus, Dringlichkeit,
Kategorie, Gruppierung, Gerätetyp und
Meldungen der letzten sieben Tage) zu
öffnen, um so die Anzeige gezielt einzuschränken. Beim Klick auf eine Ereignisbeschreibung öffnet sich ein Fenster
mit weiteren Detailinformationen. Diese
Informationen enthalten wiederum Verlinkungen zu zugehörigen Gruppen, IPAdressen oder WWNs, so dass der Ad-
18
März 2011
ministrator auf diesem Wege direkt von
der Meldung zum Monitoring des entsprechenden Gerätes weitergeleitet wird.
Das alles macht die Event-Bearbeitung
sehr intuitiv und einfach.
Für das Reporting sind knapp 50 Berichte
vorbereitet, die in einer Übersicht nach
Themen (Knoten- und Ereignisstatus, Performance) aufgelistet sind. In der Mehrzahl handelt es sich um Top-N-Auswertungen, um beispielsweise die Systeme
entsprechend der Anzahl der kritischen
Events anzuzeigen. Bei einigen Auswertungen lässt sich noch ein Zeitfenster (ein
Tag, eine Woche oder ein Monat) oder
auch eine Ressourcen-Gruppe sowie die
Anzahl der auszuwertenden Knoten angeben. Bei den Top-N-Auswertungen gelangt der Administrator erfreulich einfach
durch Anklicken eines Eintrages direkt
zum entsprechenden Gerät. Weniger intuitiv sind dagegen mengenmäßige Auswertungen, die Übersichten mit Zahlenangaben generieren.
Hier ist es wie in der Home-Ansicht
nicht möglich, durch einen Mausklick
auf einen Wert direkt zu den Knoten zu
gelangen, die sich dahinter verbergen.
Vielmehr findet sich wiederum am Ende der Liste eine Fußzeile mit einem
Link zum Monitoring. In der so aufgerufenen Ansicht sind dann alle Knoten
mit ihren Zuständen aufgeführt, aufgrund
derer der Report erstellt wurde. Hier
kann der Administrator nun die Systeme heraussuchen, die für einen bestimmten Status verantwortlich sind. Im
Test erwies sich in diesem Bereich die
Bedienung nicht als ganz so direkt, aber
dennoch sollte es gelingen, alle relevanten Daten auszulesen. Letztendlich hat
uns die gesamte Bedienung bis auf wenige Kleinigkeiten überzeugt, und wir
konnten im Test von Beginn an flüssig
arbeiten, ohne vorher die Dokumentation intensiv studieren zu müssen.
Monitoring vom Feinsten
Den tiefsten und umfassendsten Einblick
ermöglicht die Monitoring-Ansicht, in
der die überwachten Systeme nach Ressourcen-Gruppen, Geräten und Netzen
gegliedert aufgelistet sind. Die Gliederung erweist sich als erfreulich übersichtlich, da sie es dem Administrator erlaubt, die Knoten unter verschiedenen
Aspekten gruppiert zu betrachten, falls
er beispielsweise einmal alle Applikationsserver sehen möchte und ein anderes
Mal alle Speichereinheiten mit iSCSIUnterstützung. Bei der Betrachtung eines Knotens liefert der Analyzer dann
sehr detaillierte Informationen beispielsweise zu einem Server mit eignen Registerblättern zu den Events, zum Status,
zur installierten Software, zur Plattenka-
Bild 3: Ein Klick auf einen Knoten in der Topologie-Ansicht
zeigt alle zugehörigen Kommunikationsbeziehungen in einer eigenen Farbe an
17.02.2011
15:27
Seite 7
pazität, zu gefundenen Hardwarekomponenten und zur Performance.
Leistungsdaten zeigt der Analyzer in kleinen Diagrammen auch grafisch an, wobei die Auswertezeiträume (in sieben
Schritten von der letzten Stunde bis zu
den letzten 60 Tagen) allerdings fest vorgegeben sind. Zu beachten ist hier auch,
dass die Auswertung immer vom aktuellen Zeitpunkt in die Vergangenheit erfolgt. Es ist aber nicht möglich, einen beliebigen Zeitabschnitt frei herauszugreifen,
was bei einer Fehleranalyse durchaus wünschenswert wäre.
Besonders gut gefallen hat uns beim Monitoring die Möglichkeit, die Ansicht zwischen drei Modi umzuschalten. Noch
recht gewöhnlich sind dabei die Tabellenansicht sowie die “At a Glance”-Liste, in der alle Geräte einer Gruppe mit
deren wichtigsten Kenndaten (unter anderem Kapazität, Komponenten, Dienste
und Performance) im Ampelverfahren auf-
Bild 4: Ein RCA-Schnappschuss fasst alle betroffenen Systeme und zugehörigen
Ereignisse zusammen und liefert auch den vermuteten Verursacher
geführt sind. Eine Besonderheit aber ist
die Topologieansicht, die die ermittelten
Kommunikationsbeziehungen aufzeigt.
Die Ansicht ist hierzu in fünf Spalten unterteilt. In der mittleren stehen die Server, während in den beiden linken Spalten
LAN und Backbone zu finden sind, also
letztendlich die Kommunikation via IP.
Die rechten beiden Spalten sind für das
SAN und die darin befindlichen Speichereinheiten reserviert. Gefundene Kommunikationsbeziehungen sind als schwarze Linien eingezeichnet. Markiert nun ein
Administrator beispielsweise einen Server, so werden alle dazugehörigen (Kommunikations)-Linien hellblau dargestellt,
NETGEAR FÜR KLEINERE UND MITTLERE UNTERNEHMEN
Die einfache Antwort
auf Komplexität.
uns in
Sie ﬁnden
Stand D16
Halle 11,
NETGEAR entwickelt passgenaue Lösungen für kleinere und
mittlere Unternehmen – und bietet deshalb Enterprise-Class-Qualität mit
erheblichen Kostenvorteilen. NETGEAR ReadyNAS Netz werkspeicher sind
die perfekte Ant wort auf immer größeres und komplexeres Datenaufkommen
im Unternehmensnetzwerk. Bezahlbar, besonders einfach implementierbar,
mit minimalem Administrationsaufwand und plattformübergreifend arbeitend.
Fordern Sie jetzt weitere Informationen oder Ihren persönlichen
Katalog an: telefonisch unter 089 45242-9400 oder per E-Mail:
[email protected]
www.netgear.de/readynas
ReadyNAS 4200 12-bay
17.02.2011
15:27
Seite 8
und es lässt sich auf einen Blick erkennen, an welchen LAN-Switch dieser angeschlossen ist und über welche WWNs er
mit welcher Speichereinheit verbunden
ist. Insgesamt halten wir diese Art der
Übersicht für sehr gelungen.
Intelligente Ursachenermittlung
In das Monitoring integriert ist die Root
Cause Analyse (RCA), die es dem Administrator erleichtert, bei gleichzeitig auftretenden Fehlermeldungen die eigentliche Ursache zu ermitteln. Die RCA
macht sich vor allem die gefundenen
Kommunikationsbeziehungen zu Nutze,
um nicht nur jedes Gerät für sich zu sehen, sondern auch die gesamte Struktur
im Verbund. Ein eigenes Dokument beschreibt die Vorgehensweise der RCA.
Die RCA ist mit den drei wichtigsten
Ereignistypen gekoppelt: Änderungen
der Gerätekonfiguration, Überschreitung
der Perfor mance-Schwellwerte und
SNMP-Traps.Tritt ein derartiges Ereignis auf, löst dies eine RCA aus, um den
eigentlichen Verursacher festzustellen.
Dazu erstellt der Analyzer entweder
einen Verfügbarkeits- oder PerformanceSchnappschuss, der alle Meldungen
enthält, die zeitlich mit dem auslösenden
Ereignis zusammenhängen. Außerdem
gibt der Analyzer die ver meintliche
Ursache inklusive einer Trefferwahrscheinlichkeit aus. Der Administrator
kann aus dem Schnappschuss herauslesen, welche Symptome erkannt wurden
und welche Knoten von dem Ereignis
betroffen sind. Wird also beispielsweise
bei einem Speichersystem eine schlechte Performance ermittelt, liefert der
Analyzer auch die Information, welche
Server davon betroffen sind, weil sie dieses System nutzen.
Bei der Nachverfolgung einiger aufgetretener RCA-Ergebnisse haben wir den
Eindruck gewonnen, dass die gelieferten Informationen die Ursache mit den
Auswirkungen gut beschreiben und so
recht hilfreich sind. Das gesamte Regelwerk für die RCA ist dabei fest in
20
März 2011
den Analyzer integriert und nicht einseh- oder manipulierbar. Ein Administrator kann auch nicht seinerseits irgendwelche Zusammenhänge hinterlegen,
sondern er ist darauf angewiesen, dass die
Software alle Verknüpfungen selbstständig
korrekt erkennt, um diese dann für derartige Analysen zu verwenden.
Dreigeteilte
Benutzerverwaltung
Bei der Installation des Analyzers wird ein
Systemadministrator automatisch angelegt, weitere Benutzer lassen sich bei Bedarf hinterlegen. Eine Kopplung mit einem Verzeichnisdienst beispielsweise per
LDAP ist nicht vorgesehen. Beim Anlegen eines Benutzers muss diesem eine von
drei Rechtetypen zugewiesen werden.
nenten (IP- und FC-Switches) sowie der
genutzten Speichersysteme sowohl von
HDS als auch von anderen Herstellern.
Wer sich vom Analyzer selbst einen persönlichen Eindruck verschaffen möchte,
kann dies ohne großen Aufwand machen.
Die von Hitachi bereitgestellte Trialversion mit 15-tägiger Laufzeit für bis zu 25
Knoten ist schnell installiert und in Betrieb genommen. (jp)
Produkt
Monitoring-Werkzeug für heterogene Netzwerke zur
Überwachung der Server, IP- und FC-Switches sowie
SAN-Speichersysteme.
Hersteller
Hitachi Data Systems
http://itoperations.hds.com
Preis
Die Lizenz für 25 Knoten kostet 4.300 US-Dollar.
Die Lizenzierung erfolgt generell in Schritten
zu 25 Knoten.
Der Rechtetyp Analyzer Admin kann
alle Informationen einsehen, ergänzen,
ändern sowie löschen und hat Zugriff
auf die anderen angelegten BenutzerAccounts. Der Analyzer User hat Vollzugriff auf alle Informationen, aber nicht
auf die anderen Benutzer-Accounts. Das
Recht Analyzer View erlaubt nur das
Browsen im Analyzer, ohne dass irgendetwas geändert werden kann. In der Regel sollten diese drei Rechtetypen für
einen produktiven Einsatz ausreichen.
Fazit
Installation
10
Dokumentation
10
Der Hitachi IT Operations Analyzer 2.5
hat sich im Test als sehr leistungsfähiges
und zugleich einfach bedienbares Werkzeug gezeigt, das mit wenig Pflegeaufwand und ohne aufwändige Einarbeitung schnell zu nutzen ist. Der geringe
Pflegeaufwand begründet sich in erster
Linie aus der agentenlosen Arbeitsweise, so dass letztendlich nur der Analyzer
selbst zu konfigurieren ist. Die Bedienung ist insgesamt erfreulich intuitiv,
sollte aber unserer Meinung nach an einigen Stellen noch optimiert werden.
Die große Stärke besteht in der breitgefächerten Einsetzbarkeit zum Monitoring einer heterogenen Serverlandschaft
inklusive der LAN- und SAN-Kompo-
Technische Daten
Bedienung und Übersichtlichkeit
9
Darstellung logischer Pfade
9
Root Cause Analyse
8
optimal für mittelgroße Unternehmen mit vergleichsweise komplexer Netzinfrastruktur mit
LAN- und SAN-Komponenten. Hier ergibt sich unseres Erachtens der größte Nutzen.
bedingt für den Einsatz in kleineren Unternehmen
mit einer einfachen Netzinfrastruktur ohne SAN.
nicht für Enterprise-Umgebungen, sobald mehr als
750 Geräte überwacht werden sollen. Das sprengt
den konzeptionellen Rahmen dieser Software.
Hitachi IT Operations Analyzer 2.5
S38-43_ITA_0710_P04_EAZ_SH0210.qxp
22.06.2010
18:13
Seite 2
PRAXIS I Workshop
Speicher-Management mit vSphere 4.0
Sauber geplante
Storage-Architektur
von Dennis Zimmer
nnerhalb des vSphere-Universums
ist es die Komponente vStorage, die
sich um sämtliche Massenspeicher-relevanten Funktionen kümmert. vStorage basiert auf dem VMkernel, dem Herz des ESX
Servers. Dieser wird immer modularer und
vielseitiger, was die Funktionalitäten beim
Umgang mit Speichersystemen angeht. Der
VMkernel ist mit seinen Modulen dafür
zuständig, den virtuellen Maschinen beinahe beliebigen Massenspeicher mit mehr
oder weniger Zwischenschichten (Raw
Device Mapping oder virtuelle Festplattendatei) als einheitliche Festplatten bereitzustellen. Ob IDE, SATA, SAS, FC, FCoE,
iSCSI oder NFS – alles ist prinzipiell nutzbar, sofern Sie sich an die aktuellen Kompatibilitätslisten [1] halten.
Quelle: pmphoto - Fotolia.com
Die saubere Planung der Storage-Umgebung ist einer der wichtigsten Erfolgsfaktoren für eine
gelungene Virtualisierung, denn viele vermeidbare Fehler haben ihre Ursache im Speicher-Umfeld.
Glücklicherweise kommen mit jeder neuen VMware-Entwicklung im Enterprise-Segment – derzeit
vSphere 4.0 – Funktionen hinzu, die den optimalen Einsatz verschiedenster Storage-Systeme
ohne zusätzliche Software ermöglichen. Im Laufe dieses Artikels schauen wir unter die Haube von
vSphere und betrachten, welche Neuerungen Version 4.0 für das Speicher-Management mitbringt.
I
Durch die integrierten Treiber und Limitierungen der Technologien oder des Herstellers lassen sich nicht alle Protokolle
und Geräte für jede Funktion nutzen. Ein
Beispiel hierfür wären IDE- oder SATAFestplatten an lokalen Controllern, die
von VMware keine Unterstützung für die
Ablage von virtuellen Maschinen erhalten, sehr wohl aber für die Installation des
ESX-Systems.Wer die SATA-Festplatten
aber durch ein zentrales Speichersystem
nutzt und per iSCSI oder FC mit dem
38
Juli 2010
ESX Server verbindet, kann darauf auch
virtuelle Maschinen betreiben.
Storage-Typen im Überblick
Eine der wichtigsten Neuerungen von
vSphere ist die “Pluggable Storage Architecture” (PSA). Diese ermöglicht es, Module von VMware oder Drittherstellern
zur Anpassung von Multipathing und zur
Optimierung der Leistung zu integrieren.
Dies ist ein wesentlicher Schritt nach vorn
gegenüber der früheren Architektur, die
ein starres Multipathing-Verfahren mit insgesamt drei Multipathing-Policies (Most
Recently Used, Fixed und Round Robin) vorsah. Die nativen Multipathing-Verfahren sind gleich geblieben, das starre Verfahren jedoch ist einem äußerst flexibel
nutzbaren Vorgehen gewichen. Um die
richtigen Multipathing-Policies auszuwählen, ist es wichtig, die verschiedenen
Storage-Systemtypen zu kennen, die sich
bei den Zugriffsmöglichkeiten aller Pfade auf eine LUN unterscheiden.
Active-Active-Storage
Ein Active-Active-System bietet die Möglichkeit, über alle Ports eines SAN mit
S38-43_ITA_0710_P04_EAZ_SH0210.qxp
22.06.2010
18:13
Seite 3
PRAXIS I Workshop
unoptimized, Unavailable, Standby) auszulesen. Damit kann der ESX-Server die
optimierten Pfade bevorzugt behandeln.
ALUA muss von Storage-Seite aktiviert
sein und wird vom ESX-Server bei den
Multipathing-Policies MRU und RoundRobin automatisch genutzt. ALUA wird
von den meisten Systemen im Fibre
Channel- und iSCSI-Umfeld genutzt.
Ausnahme sind die NetApp-Systeme, die
ALUA nur im FC-Umfeld benötigen.
Most Recently Used (MRU)
Bild 1: Bei der Auswahl der Multipathing-Policies stehen über das Drop-Down-Menü drei verschiedene Modi zur Verfügung
gleicher Geschwindigkeit und zur gleichen Zeit auf die durch das Storage-System bereitgestellten Ressourcen zuzugreifen. Zu diesen Systemen gehören unter
anderem EMC Symmetrix DMX, Hitachi USP-V/VM, IBM DS8000, Hitachi
AMS2000, HP XP und 3PAR InServ.
Active-Passive-Storage
Im Gegensatz zu Active-Active-Systemen
können die Storage-Prozessoren der Active-Passive-Umgebungen nicht gleichzeitig auf eine RAID-Gruppe und deren
LUNs zugreifen und diese im SAN bereitstellen. Der aktive Storage-Prozessor ist
der Eigner (Owner) der LUN und steuert alle Zugriffe.Allerdings übernimmt der
passive Storage-Prozessor beim Ausfall des
aktiven Storage-Prozessors dessen Funktion (Trespassing) und dessen RAID/LUNZugriff. Dieser Trespassing-Vorgang kann
mehrere Sekunden dauern. Daher ist zwar
nur ein manuelles Load Balancing möglich, die Ausfallsicherheit ist aber gewährleistet. Durch den Zugriff mehrerer ESXHosts und den Betrieb dutzender oder
hunderter VMs auf einem Storage-System
bedeutet ein Trespassing von mehreren Sekunden viel Last auf dem noch funktionsfähigen Controller. Zu diesen Systemen
gehören unter anderem EMC CX (alte
Modelle und Firmware), Hitachi AMS1000
und HP MSA (alte Firmware).
Asymmetric Active-Active-Storage
Pseudo Active-Active oder Active-Active
Asymmetric stellt eine Zwitterform zwischen Active-Active und Active-Passive dar.
Zwar bieten alle Front-End-Anschlüsse (in
Richtung ESX-Host) die Möglichkeit,
gleichzeitig auf die durch das Storage-System bereitgestellten Ressourcen zuzugreifen, allerdings ist die Geschwindigkeit der
einzelnen Anschlüsse unterschiedlich. Dies
kommt daher, dass wie beim Active-Passive-System LUN Owner existieren, womit
nur einer von zwei Storage-Prozessoren
die volle Geschwindigkeit erreichen kann,
während der zweite immer über den Eigner auf die LUNs zugreifen muss, was zu
teils sehr deutlichen Leistungsengpässen
führt. Zu diesen Systemen zählen unter
anderem EMC CX, HP MSA (neue Firmware), HP EVA, NetApp FAS und IBM
DS4000/6000.
Asymmetric LUN Unit Access (ALUA)
Eine wesentliche Neuerung von vSphere
4.0 ist die Unterstützung von ALUA, das
die Kommunikation zwischen Storage
und ESX-Server ermöglicht, um den Status der Pfade (Active-optimized, Active-
Most Recently Used empfiehlt sich bei den meisten Active-Passive Storage-Systemen. Der große Nachteil an
MRU ist, dass immer nur ein Pfad genutzt wird und somit kein manuelles Load Balancing einstellbar ist. MRU
hat jedoch den Vorteil, dass das System nur beim Ausfall eines Pfades auf einen noch aktiven Pfad wechselt
und dort bleibt. Dadurch sind fehlerhafte Ports nicht
ganz so dramatisch wie beim Fixed-Modus. MRU ist
ALUA-fähig und damit Fixed Multipathing bei ActiveActive Asymmetric-Systemen vorzuziehen.
Fixed
Der angegebene bevorzugte Pfad wird immer genutzt,
bis er ausfällt. Dann wechselt das System auf einen
noch verfügbaren Pfad. Geht der bevorzugte Pfad allerdings wieder online, findet ein erneutes Umschalten
statt. Fixed empfiehlt sich für manuelle Lastverteilung
zwischen den Pfaden, birgt aber eine gewisse “PingPong-Gefahr”, wenn der bevorzugte Pfad immer mal
wieder ausfällt, etwa aufgrund eines Portproblems.
Fixed Multipathing ignoriert ALUA. Obwohl sich Fixed
bei Active-Active-Systemen meist sinnvoll einsetzen
lässt, können manche Hersteller aufgrund ihrer Architektur auch bei Active-Passive mit Fixed arbeiten – hier
sollten Storage-Verantwortliche auf die Empfehlungen
des Herstellers achten.
Round Robin
Die neueste Form der Pfadverwaltung ist Round Robin,
die auf den Möglichkeiten eines Active-Active-Arrays
aufsetzt. Der Pfad wird aufgrund der Anzahl von
durchgeführten I/O-Operationen oder dem Datendurchsatz stetig gewechselt, wodurch eine sehr effektive Lastverteilung entsteht. Round Robin ist bei ActivePassive nicht sinnvoll einsetzbar und wird daher nicht
empfohlen. Handelt es sich um einen Active-Active
Asymmetric-Storage, so erkennt Round Robin die optimalen Pfade mittels ALUA und benutzt die weniger optimalen nur im Notfall. Die Nutzung von Round Robin
wird von VMware nicht unterstützt, wenn sich die
Festplattendatei einer VM mit Microsoft Cluster-Funktionalität auf der LUN befindet.
Vor- und Nachteile verschiedener
Multipathing-Policies
Juli 2010
39
S38-43_ITA_0710_P04_EAZ_SH0210.qxp
22.06.2010
18:13
Seite 4
PRAXIS I Workshop
Aufbau der
Pluggable Storage Architecture
Zum Verständnis der Pluggable Storage Architecture (PSA) sei zunächst gesagt, dass
dies der Überbegriff für die komplett neue
modulare Storage-Architektur des vSphere ESX ist.Technisch steht in erster Linie
das native Multipathing Modul (NMP) im
Vordergrund, da es als Standardmodul geladen wird. NMP entscheidet über die Art
des Multipathing (siehe Kasten auf Seite
39) und versucht, das angeschlossene Storage-System zu erkennen und die passende Policy automatisch auszuwählen. Diese
Richtlinie lässt sich manuell umstellen, allerdings sollte dies vorher genau durchdacht sein, da es sonst zu Stabilitäts- und
Leistungsproblemen kommen kann.
Dem NMP-Modul stehen weitere PlugIns zur Verfügung, die aufgrund des Storage-Systems (Storage Array Type Plugin
– SATP – erkennt das Storage-Modell
und überwacht den Status der Pfade) und
der gewählten Multipathing-Policy (Path
Selection Plugin – PSP – entscheidet über
den zu nutzenden Pfad) geladen werden.
Die vordefinierten Regeln sind in der
Konfigurationsdatei /etc/vmware/ esx.conf
zu finden, können aber mit dem Befehl
esxcli (sowohl lokal als auch über die vCLI
verfügbar) angepasst werden. Der Eintrag
/storage/plugin/NMP/config[VMW_SATP_
ALUA]/defaultpsp = “VMW_PSP_MRU”
in esx.conf zeigt, dass als Standardeinstellung
bei erkanntem Asymmetric Active-Active
Array (ALUA-fähig) MRU als Policy gewählt wird. Dies wäre zum Beispiel bei
der HP MSA/EVA, NetApp oder Fujitsu
Eternus der Fall. Mit dem Befehl
/istorage/plugin/NMP/config[VMW_SATP
_ALUA_CX]/defaultpsp =
“VMW_PSP_FIXED”
würde eine EMC CX mit ALUA-Unterstützung automatisch eine Fixed Policy erhalten. Nicht ALUA-fähige CXSysteme würden mit diesem Eintrag mit
MRU konfiguriert:
40
Juli 2010
CX]/defaultpsp = “VMW_PSP_MRU”
Im Gegensatz dazu bewirkt das folgende
Kommando, dass Active-Active-Systeme automatisch mit Fixed konfiguriert würden:
DEFAULT_AA]/defaultpsp =
“VMW_PSP_FIXED”
Dies sind nur einige Beispiele, von denen
Dutzende in der Datei esx.conf hinterlegt
sind. Eine grobe Liste der Plug-Ins lässt
sich auch über den Befehl esxcli nmp satp
list einsehen. Eine Aufstellung der von
PSP ermöglichten Pfadregeln erscheint
nach dem Kommando esxcli nmp psp list.
Diese Liste und damit die Funktionalität
kann sowohl von VMware als auch von
Drittherstellern erweitert werden.
Ferner ist es möglich, die automatischen
Regeln anzupassen, was die manuelle
Umstellung jeder einzelnen LUN erspart.
Dies ist zum Beispiel auf dem Gerät EMC
DMS Symmetrics mit dem Befehl
esxcli nmp satp setdefaultpsp —satp
VMW_SATP_SYMM —psp VMW_PSP_RR
möglich. Auf einer NetApp FAS würde
das Kommando folgendermaßen aussehen:
esxcli nmp satp setdefaultpsp —satp
VMW_SATP_ALUA —psp VMW_PSP_RR
Zum Überprüfen der eingestellten Regeln
können Sie den Befehl esxcli nmp device
nutzen. Da NMP das Hauptmodul ist und
die Plug-Ins nur zur Kommunikation und
Informationsbereitstellung dienen, müssen
diese ihr Ergebnis immer an NMP zurückliefern, das für den eigentlichen
Datenfluss zuständig ist. Hat SATP einen
toten Pfad erkannt, wird dies an NMP zurückgemeldet, das dann über SATP über
weitere Pfadmöglichkeiten in Kenntnis gesetzt wird und durch PSP den zu nutzenden Pfad nach den Multipathing-Regeln
erhält. NMP steuert danach die Daten auf
den von PSP vorgegebenen Pfad. Stellt ein
Dritthersteller alle Module (NMP + PSP
+ SATP), wird dies Multipathing Plug-In
(MPP) genannt, was bisher unter anderem
EMC mit PowerPath/VE nutzt.
Die VMware vStorage API umfasst allerdings mehr als nur die PSA, zu ihr gehören
auch Funktionen, die von Backupprodukten genutzt werden können. Diese werden
zusammengefasst als “vStorage API for Data Protection” und ersetzen unter anderem
VMware Consolidated Backup.
Inkrementelles Backup
durch Change Block Tracking
In vSphere hat sich nicht nur die Art der
Storage-Anbindung geändert, sondern auch
die Art der Backup-Möglichkeiten. Bisher
ließen sich die Änderungen in virtuellen
Festplattendateien (vmdk) nur schwer
nachvollziehen, so dass Speicher-Admins
entweder auf Lösungen mit Snapshots oder
komplexe Softwareagenten im Gastbetriebssystem angewiesen waren. vSphere
hat im Zuge der vStorage API for Data
Protection das so genannte Change Block
Tracking (CBT) eingeführt, das eine Änderungsliste führt, was eine einfache inkrementelle Image-Sicherung ermöglicht.
CBT ist technisch gesehen Teil des VMkernel Storage Stack (vmdk, nicht VMFS)
und auch ohne die vStorage API for Data Protection verfügbar. Die Liste zeichnet
Änderungen in 64 KByte Blockgröße auf
und vergrößert sich mit der Anzahl der
geschriebenen Blöcke im Gastsystem –
daher existiert kein Nachteil bei der Einstellung der VMFS-Blockgröße größer 1
MByte. Als Standardeinstellung ist CBT
deaktiviert, da durch die Protokollierung
der Änderungen ein geringer Overhead
entsteht. Sobald CBT läuft, befinden sich
Dateien nach dem Format *–ctk.vmdk im
Ablageverzeichnis der VM.
Die ersten Backup-Produkte wie Veeam
Backup and Recovery sind bereits auf diesen Zug aufgesprungen und sichern über
diese neue Methode. Da VMware die
vStorage API for Data Protection als neuen Sicherungsstandard definiert hat und
S38-43_ITA_0710_P04_EAZ_SH0210.qxp
22.06.2010
18:13
Seite 5
PRAXIS I Workshop
VMware Consolidated Backup nicht
mehr lange Unterstützung finden wird,
sollte auch der Rest der Backupsoftware-Hersteller nach und nach darauf
umstellen. CBT hat allerdings auch Limitierungen, da es keine Templates und Raw
Device Mappings und VMs der alten
Hardwaregeneration 4 unterstützt. Außerdem ist es nicht möglich,VMs, für die
bereits Snapshots vor der CBT-Aktivierung vorlagen, zu sichern.
Speicherplatz-Verwaltung
für virtuelle Maschinen mit
VMFS und NFS
Nachdem wir ein Auge auf die StorageAnbindung und die neuen Möglichkeiten
des Multipathing und zur Sicherung geworfen haben, wollen wir uns noch die
beiden Wege der Storage-Ablage für virtuelle Maschinen ansehen:VMFS und NFS.
VMFS ermöglicht
Online-Vergrößerung einer LUN
Das VMFS (Virtual Machine File System)
ist das von VMware entwickelte, clusterfähige Dateisystem, das für den Betrieb von
virtuellen Maschinen optimiert wurde.
VMFS kann nur auf leere Festplatten
(Block Device) angewandt werden und
steht daher für alle LUNs (lokal oder SAN)
zur Verfügung, nicht aber bei NFS. Der
Leistungsunterschied zwischen VMFS-formatierten LUNs und direkt zugeordneten
LUNs (RDM) ist so gering, dass er vernachlässigbar ist. Gerne wird hier allerdings
der Fehler gemacht, Äpfel mit Birnen zu
vergleichen, das heißt die Performance einer von insgesamt zehn VMs auf einem
VMFS Datastore gegen ein RDM. Da das
VMFS von zehn virtuellen Maschinen mit
mehreren Festplatten belastet wird, ist die
einzelne VM natürlich langsamer als das
ausschließlich als eine Festplatte genutzte
RDM. Bei einem 1:1-Vergleich liegt der
Leistungsunterschied unter drei Prozent.
Eine VMFS-Partition darf allerdings maximal 2 TByte (genauer: 2 TByte und 512
Byte) groß sein, was ein hartes Limit von
VMware ist.Allerdings ließen sich mittels
Extends 32 dieser 2 TByte-LUNs zu ei-
Bild 2: Bei der Konfiguration einer LUN sollte genau über die Wahl der richtigen Blockgröße nachgedacht werden
nem Datastore verbinden, um die Kapazität so auf 64 TByte zu erhöhen. Die Limitierung auf eine 2 TByte-VMDK-Festplattendatei bleibt in diesem Fall trotzdem
bestehen. Eine Neuerung ist weiterhin die
Möglichkeit,VMFS-Partitionen ohne die
Nutzung von Extends zu vergrößern –
somit lässt sich eine LUN im Storage und
unter VMware online vergrößern. Die
komplette Liste der Limitierungen geht
aus einem PDF-File [2] hervor.
Immer die richtige Blockgröße
Bei der Formatierung einer LUN mit
VMFS kommt es zu der Abfrage der gewünschten Blockgröße. Diese Frage sollte nicht leichtfertig übergangen werden,
da als Standard 1 MByte eingestellt ist. 1
MByte bedeutet eine maximale Dateigröße von 256 GByte, was sich nachträglich nicht mehr ändern lässt. Dies gilt auch
für Raw Device Mappings, da diese eine
Proxydatei im VMFS ablegen.Wenn größere Festplattendateien für die virtuellen
Maschinen genutzt werden sollen oder
die Verwendung noch unklar ist, sollte die
Entscheidung in jedem Fall zugunsten einer umfangreicheren Blockgröße fallen.
Diese Empfehlung betrifft allerdings nur
vSphere, da sich dort sehr viel in der Optimierung der Blockzugriffe getan hat.
Diese Optimierung nennt sich Sub-Block
Allocation und bedeutet, dass eine kleine
20 KByte-Datei nicht mit 8 MByte bei
einer 8 MByte Blockgröße zu Buche
schlägt, sondern nur mit 64 KByte, der
kleinstmöglichen Einheit. Die Zugriffe
aus dem Gastsystem haben übrigens nichts
mit der Blockgröße des VMFS zu tun,
denn es herrschen keine Leistungseinbußen, egal wie klein oder wie groß die
VMFS-Blockgröße gewählt wurde. Das
Gastbetriebssystem mit dem darunterliegenden Dateisystem bestimmt alleinig den
Zugr iff auf den Storage und welche
Blockgröße angefordert wird.
Allerdings ist zu beachten, dass eine VM,
die auf verschiedenen Datastores mit unterschiedlichen Blockgrößen liegt, Probleme mit Snapshots haben kann. Dies
hängt mit der Ablage der Delta-Datei im
Arbeitsverzeichnis ab. Sollte also die VM
mit dem Arbeitsverzeichnis auf einem 1
MByte Blocksize-VMFS liegen, eine
weitere Platte der VM aber auf einem 4
MByte Blocksize-VMFS, so könnte die
Deltadatei für die zweite Platte die Maximalgröße des Datastores mit dem Arbeitsverzeichnis überschreiten.
Unter vSphere erscheint dann in der Logdatei/var/log/vmkwarning die Meldung
“File is larger than the maximum size supported by datastore”. Ein Eintrag in der
VMware Knowledge Base zu diesem Thema findet sich im Web [3].
Thin Provisioning für VMFS
Eine weitere Neuerung ist die offizielle
Unterstützung von Thin Provisioning für
VMFS-Datastores. Bisher gab es dies nur
für NFS-Datastores, ließ sich unter VMFS
allerdings bereits mit dem Befehl vmkfstools
inoffiziell nutzen. Der große Unterschied
von Thin Provisioning zu VMDK-Dateien ist, dass diese mit den Daten wachsen.
Formatiert der Nutzer eine bestehende 10
GByte VMDK und kopiert 2 GByte hi-
Juli 2010
41
S38-43_ITA_0710_P04_EAZ_SH0210.qxp
22.06.2010
18:13
Seite 6
PRAXIS I Workshop
nein, so ist die VMDK-Datei im VMFS
nur 2 GByte groß. Laut VMware-Dokumentationen soll es beim Einsatz von Thin
Provisioning nicht zu einer Fragmentierung des Dateisystems kommen, da die
Größe der Thin Provisioning-Chunks größer ist als die des Betriebssystems im Gast.
Mit jedem Wachstum der VMDK-Datei
findet allerdings im SAN-Umfeld eine
SCSI-Reservation aufgrund der Änderung von VMFS-Metadaten statt. Dieses
Verhalten wurde mit vSphere so optimiert, dass es bisher noch zu keinen messbaren Leistungsnachteilen beim Einsatz
von Thin Provisioning kam. Eine Performancemessung von VMware ist im
Internet unter [4] zu finden.Thin Provisioning erfordert auf der organisatorischen
Seite sehr viel Aufmerksamkeit, da es damit zu einer Überprovisionierung des Storage kommt. Denn obwohl etwa nur 512
GByte im Datastore zur Verfügung stehen, ist es möglich, mehrere 1,5 TByte an
Plattenplatz zu vergeben. Da dieser erst
mit den geschriebenen Daten wächst, ist
es wichtig, den realen Füllgrad des Datastores zu überwachen. Generell sollte
die Rate der Überprovisionierung nicht
übertrieben werden.
Bei der Nutzung von Thin Provisioning
ist ferner zu bedenken, dass die VMDKDateien immer nur wachsen. Wenn also
eine 1 GByte-Datei geschrieben und danach wieder gelöscht wird, werden die Blöcke in der VMDK-Datei und damit im Datastore trotzdem geschrieben. Weiterhin
müssen Formatierungen mit Überschreiben mit Nullen tunlichst unterbleiben und
Tools wie sdelete, die ebenfalls Nullen
schreiben, sollten mit äußerster Vorsicht
zum Einsatz kommen. Das dynamische
Wachsen wird übrigens nicht beim Einsatz von Fault Tolerance unterstützt.
Vorteile durch
File-basierte Verwaltung mit NFS
NFS wird neben VMFS von VMware zur
Ablage virtueller Maschinen unterstützt.
Im Gegensatz zu VMFS wird das Dateisystem vom Storage-System und nicht
42
Juli 2010
vom ESX-Server bereitgestellt und betrieben. Aufgrund dessen ist auch keine
Nutzung von Raw Device Mappings
möglich, da vom NFS keine Blockgeräte,
sondern direkt ein Dateisystem angeboten
wird. Daher unterscheiden sich auch die
Sperrmechanismen, um clusterfähig zu
bleiben, das heißt im NFS wird mit einer
LCK-Datei gearbeitet, die den Zugriff eines ESX-Hosts auf eine Festplattendatei
markiert. Bei NFS kommt automatisch
Thin Provisioning zum Einsatz, weshalb
bei der Anlage von VMs auf NFS-Datastores keine Möglichkeit besteht, das Festplattenformat auszuwählen.
Weiterhin ist NFS (derzeit wird nur NFS
Version 3 von VMware unterstützt) ein
Standard, es lässt sich also auch mit anderen
Linux- oder Windows-Rechnern auf den
Datastore lesend und schreibend zugreifen, was bei VMFS offiziell nicht möglich
ist. NFS wird durch die Angabe von Servername (DNS) oder IP-Adresse plus Exportpfad mit den ESX-Servern verbunden
und es ist bei der Erstellung des Exports
am Storage zu beachten, dass der RootZugriff für anonyme Benutzer möglich ist.
In punkto Flexibilität kann NFS gegenüber Block-orientierten Storage-Systemen (iSCSI und FC) punkten, da weder
LUN SCSI-Reservations noch Größenlimitierungen des Datastores bestehen.
Daher ist es auch keine Seltenheit, 100
VMs auf einem NFS-Datastore zu betreiben. Wie erwähnt, besteht keine Limitierung bei 2 TByte für die DatastoreGröße, sehr wohl bleibt allerdings die
Limitierung der VMDK-Datei bei 2 TByte bestehen. Die Frage nach genügend
Performance ist durch das sich allmählich
im Rechenzentrum etablierende 10-GBitEthernet gegenüber 4-GBit-FC in den
meisten Fällen vernachlässigbar. NFS stellt
sich besonders in größeren und schnell
wachsenden Infrastrukturen oft als die
bessere Wahl heraus. Bei der Einrichtung
sollten aber folgende Advanced Settings
des ESX bedacht werden:
- NFS.MaxVolumes
- Net.TcpIpHeapSize
- Net.TcpIpHeapMax
- NFS.HeartbeatFrequency
- NFS.HeartbeatMaxFailures
Fazit
VMware hat in vSphere sehr viele und
sehr wichtige Änderungen integriert, die
den Betrieb von virtuellen Infrastrukturen
wesentlich vereinfachen. Neben den Anpassungen im Multipathing-Umfeld, allen voran ALUA, und den Integrationsmöglichkeiten durch Dritthersteller stellen
natürlich auch die Änderungen im
Backupumfeld deutliche Fortschritte dar,
auf welche die meisten Nutzer vor allem
in mittleren und größeren Infrastrukturen lange gewartet haben.
Aber auch die Überwachungsmöglichkeiten wurden ausgebaut, um den
Füllgrad der Datastores und die Überbelegung bei der Nutzung von Thin Provisioning immer im Blick zu behalten
und zu verhindern, dass die Datastores
volllaufen. Auch die Reports im Multipathing-Umfeld tun ihr Übriges, damit
der Verantwortliche eine bessere Übersicht erhält und schneller auf Fehler reagieren kann.VMware ist mit vSphere und
der überarbeiteten Storage-Integration
definitiv ein großer Wurf gelungen, der
vielen Administratoren die Arbeit erleichtert. Natürlich besteht weiterhin Verbesserungsbedarf an der ein oder anderen
Stelle, aber VMware hat mit vSphere 4.0
noch lange nicht das Ende der Produktlaufzeit erreicht. (ln)
[1] VMware Compatibility Guide
www.vmware.com/go/hcl/
[2] Configuration Maximums for vSphere 4.0
www.vmware.com/pdf/vsphere4/r40/
vsp_40_config_max.pdf
[3] Knowledge Base-Artikel bezüglich einer
korrekten Snapshot-Erstellung
http://kb.vmware.com/kb/1012384/
[4] Performance-Studie für vStorage Thin Provisioning
www.vmware.com/pdf/
vsp_4_thinprov_perf.pdf
Links
EAZ_SH0112_ITA_Default 12.01.2012 15:59 Seite 1
Bestellen Sie jetzt
Sonderheft I/2012!
Exchange 2010
Migration, Betrieb und Troubleshooting
nur € 24,90!
* IT-Administrator Abonnenten erhalten das Sonderheft I/2012 für € 24,90. Nichtabonnenten zahlen € 29,90.
Liefertermin:
Ende März 2012
Vertrieb, Abo- und
Leserservice:
Herr Stephan Orgel
D-65341 Eltville
und bestelle das IT-Administrator Sonderheft I/2012 zum Abonnenten-Vorzugspreis von nur € 24,90 inkl. Versand und 7% MwSt.
Tel: 06123/9238-251
Fax: 06123/9238-252
Ja, ich bestelle das IT-Administrator Sonderheft I/2012 zum Preis von € 29,90 inkl. Versand und 7% MwSt.
[email protected]
per Bankeinzug
Firma:
Geldinstitut:
Kto.:
oder
BLZ:
per Rechnung
Name, Vorname:
Straße:
Land, PLZ, Ort:
Datum:
Tel:
Unterschrift:
E-Mail:
ITA 1211
Ich zahle
Leopoldstraße 85
D-80802 München
Tel: 089-4445408-0
Fax: 089-4445408-99
Geschäftsführung:
Matthias Heinemann
S43-48_ITA_1010_P05_EAZ_SH_0110_Seminar.qxp
21.09.2010
12:11
Seite 3
PRAXIS I Systeme
Sicherheit bei der Servervirtualisierung
Vorsicht: Blaue Pille
von Nils Kaczenski
Die "Blaue Pille" ist ausnahmsweise kein neuer Viagra-Spam, sondern
ein äußerst subtiler Angriff auf virtualisierte Server. Neben ihren überzeugenden Vorteilen wie weniger Hardwarebedarf, höhere Effizienz und
neue Möglichkeiten in Administration und Betrieb warten auf
virtuelle Server auch immense Gefahren. Gartner geht in einer aktuellen
Studie davon aus, dass in den nächsten zwei Jahren 60 Prozent der
Server weniger sicher sind als heute. Zentrale Themen dieser Betrachtung
sind die Security der Systeme und die Ausfallsicherheit. In diesem Beitrag
gehen wir daher Fragen nach potentiellen Bedrohungen von virtuellen
Maschinen ebenso auf den Grund wie der Aufgabenstellung, eine
höhere Ausfallsicherheit zu gewährleisten.
irtualisierung im Serverraum ist
beileibe kein neues Thema mehr:
Bereits 2001 veröffentlichte VMware die
ersten Serverversionen seiner Virtualisierungssoftware und zwei Jahre später mit
Version 2.0 des ESX Servers begann die
Technik, sich im Mittelstand zu etablieren. Im selben Jahr übernahm Microsoft
das Produkt “Virtual PC” von Connectix
mit dem erklärten Ziel, die Technik in
den Serverraum zu bringen. Und doch
bleibt Servervirtualisierung ein Aufreger,
der Hype scheint ungebrochen.
V
Viele IT-Verantwortliche haben jedoch
eher unscharfe Vorstellungen davon, wozu
virtuelle Server in ihrem Netzwerk gut
sein könnten. Trotzdem fragen sie mit
Nachdruck nach solchen Lösungen und
äußern vage Ideen von Kostensenkung,
Energiesparen und Ausfallsicherheit. Der
Verantwortliche tut gut daran zunächst
einen Schritt zurückzutun und zu fragen:
Virtualisierung – wozu eigentlich? Denn
die Erfahrung zeigt, dass ein Projekt ohne klares Ziel nur scheitern kann. Ohne
trennscharfe Kriterien, die ein neues System erfüllen muss, wird niemand die Frage beantworten können, ob das Projekt
Quelle: Tortenboxer - Fotolia.com
erfolgreich war. Grund genug, sich die
Versprechen der Marketingfolien genauer anzusehen und sie daraufhin zu untersuchen, ob sie für das eigene Vorhaben
überhaupt relevant sind. Führt dies nicht
zu einem überwiegend positiven Ergebnis,
dann wird der Ansatz nicht zur Betriebssicherheit der IT beitragen.
binden kann. Auch die Server selbst
schonen nicht unbedingt den Geldbeutel: Wer 60 physische Server durch virtuelle ersetzen will, kann zwar durchaus
mit vier bis sechs neuen Maschinen arbeiten, aber die spielen in einer anderen
Güteklasse als die “Pizzaboxen”, die sie
vielleicht ablösen.
Ziele der Virtualisierung
genau definieren
Damit ist die Frage nach der Ausfallsicherheit selbst aber noch nicht beantwortet. In der Praxis teilen sich die Anforderungen der IT-Verantwortlichen in
zwei Kategorien. Die einen sagen “Wir
können uns eigentlich gar keinen Ausfall erlauben” und die anderen geben an:
“Bei uns ist das nicht so wild, 95 oder
98 Prozent Verfügbarkeit reichen völlig”.
Während im ersten Fall eine Skizze des
nötigen Budgets für ein komplett ausfallsicheres Netzwerk die Realität zurück
ins Blickfeld holt, reicht im zweiten Fall
eine einfache Prozentrechnung: Eine Verfügbarkeit von 95 Prozent bedeutet aufs
Jahr gerechnet, dass in fünf Prozent der
Zeit, also über 18 Tage, die IT nicht bereitsteht. Um allerdings zu einer brauchbaren Betrachtung zu gelangen, ist das
keine reine EDV-Frage mehr, denn die
Die oben angerissenen Schlagworte wie
Kostensenkung, Energiesparen oder Ausfallsicherheit sind für sich genommen
nicht abwegig, wenn Unternehmen ein
Netzwerk auf Virtualisierung umstellen.
Doch Differenzierung tut not: Ein hochgradig ausfallsicheres VM-System wird
dem Controller Tränen in die Augen
treiben, denn die Kosten der nötigen
technischen Redundanz summieren sich
schnell sechs- oder gar siebenstellig (vom
Strom ganz zu schweigen).Was die Hersteller nämlich gern im Kleingedruckten verbergen, sind Investitionen in teure SAN-Technik (Netzwerkspeicher und
Fibre Channel-Komponenten) oder in
die LAN-Infrastruktur, die zum Beispiel
getrennte Rechenzentren redundant ver-
Oktober 2010
43
21.09.2010
12:11
Seite 4
PRAXIS I Systeme
Unternehmensleitung muss definieren,
welche Prozesse so geschäftskritisch sind,
dass sie höhere Ausgaben rechtfertigen.
Am Ende steht idealerweise eine Matrix,
wie sie die Tabelle “Tolerierbare Ausfallzeit” vereinfacht darstellt.Eine Matrix
der Anforderungen an die Verfügbarkeit
sollte sich an einzelnen Komponenten
oder Prozessen orientieren. Neben der
tolerierbaren Ausfallzeit sind Fragen nach
verkraftbaren Datenverlusten und Archivierungszwängen zu beantworten.
Hinter der Fassade: Komplexe IT
VM-Welt sehr praktisch und zeitsparend. Es fällt etwa sehr leicht, neue Server auf der Basis vordefinierter “Templates” zu erzeugen – mit wenigen
Mausklicks und innerhalb weniger Minuten steht neue Rechnerkraft zur Verfügung. Genauso leicht ist es, vorhandene produktive Server zu klonen, um
beispielsweise ein lebensnahes Testsystem zu erzeugen oder eine Kopie für
den Notfall vorzuhalten.
Was Administratoren hierbei leicht übersehen: Derart vervielfältigte Installationen
bergen hohe Sicherheitsrisiken. Der
Klon eines Produktivsystems etwa ist genauso sicherheitskritisch wie das Original: Er enthält dieselben Konten und
Kennwörter und den sensiblen Datenbestand des Vorbilds. Ein solches Testsystem darf keinesfalls in einem leicht
zugänglichen Labor laufen. Ähnliches
gilt für VM-Templates, die oft als Installationsgrundlage dienen.Viele Kunden
vergessen, dass sie dort etwa administrative Zugangsdaten hinterlegt haben.
Gesellt sich dazu die Hektik des Alltags,
in der solche VM-Images “mal eben” auf
irgendeiner Freigabe im Netz abgelegt
werden, wird es Angreifern leichtgemacht. Einfach ausgedrückt:Warum soll
ein Angreifer in einen Live-Datenbankserver einbrechen, wenn er ihn einfach
und bequem als Datei mit nach Hause
nehmen kann?
Nicht nur hinter der Virtualisierung verbirgt sich einiges an Komplexität, sondern auch die Technik selbst hat ihre Eigenarten, die Sie im Blick haben sollten.
Möchten Sie ein vorhandenes Netzwerk
in ein virtuelles überführen, wird dies –
anders als oft erwartet – den administrativen Aufwand in aller Regel nicht reduzieren, sondern erhöhen. Die vorhandenen Maschinen erfordern weiterhin
Updates, Benutzerverwaltung oder Konfiguration, egal ob sie als VMs laufen oder
“auf Blech”. Hinzu kommt jedoch noch
die Virtualisierungs-Infrastruktur selbst:
Die Hostserver, die Virtualisierungssoftware, das Speichersystem und eine anspruchsvolle Netzwerkanbindung. Das
tägliche Operating benötigt Know-how,
und an kritischen Stellen brauchen Sie
vielleicht externe Unterstützung. Der
Ausfall eines VM-Hostservers ist viel kritischer als der eines herkömmlichen
Rechners, denn an ihm hängen gleich
mehrere wichtige Applikationen.
Sandboxes sind
keineswegs immer sicher
Daraus erwachsen gleichzeitig Herausforderungen für die IT-Sicherheit.
Zweifellos sind viele Mechanismen der
Solcherlei administrative Sünden, die
schon in einer herkömmlichen Umgebung heikel sind, erzeugen in VM-Landschaften hohes Gefahrenpotenzial. Allzu
Tolerierbare Ausfallzeit (Beispiel)
Klasse 1: < 1 Stunde
Data Warehouse
ERP
44
Oktober 2010
Das Thema DMZ birgt weitere Risiken.
Eine solche demilitarisierte Zone dient
meist als Puffer zwischen dem Internet
und dem LAN. Applikationen, die dort
laufen, stehen unter Beschuss, daher
trennt man sie vom internen Netzwerk.
Zahlreiche Kunden betreiben ihre
DMZ-Server aber auf denselben physischen VM-Hosts wie ihre internen Systeme. Sie nutzen dabei die Netzwerkkonfiguration des Virtualisierungssystems,
um die virtuellen Gäste voneinander zu
trennen. Glauben wir den Virtualisierungs-Herstellern, so ist das auch sicher,
denn angeblich bildet das VM-System
“Sandkästen” um die darauf laufenden
Server, so dass der Übergriff von einer
VM auf eine andere oder gar auf den
Host ausgeschlossen sei.
Die Vergangenheit hat aber gezeigt, dass
derartige Ausbrüche aus der “Sandbox”
keineswegs unmöglich sind. Wie bei
jeder Software lassen sich auch hier
Schwachstellen ausnutzen. Ein besonders interessanter Angriff nutzte erfolgreich eine Lücke in VMwares VGA-Treiber, um von einer gekaperten VM auf
die anderen und letztlich auf den Host
zu gelangen – schnell ist so das gesamte
Netzwerk kompromittiert. Zwar ist diese Lücke mittlerweile geschlossen, doch
sie zeigte deutlich, dass an physischer
Netzwerktrennung auch weiterhin kein
Weg vorbeiführt.
Klasse 3: < 8 Stunden
Exchange
Dateien
Klasse 2: < 4 Stunden
leicht ist es dort, sich auf den Komfort
der eingebauten Werkzeuge zu verlassen.
So breiten sich leicht knackbare Standard-Kennwörter und unpassend konfigurierte Systeme aus und vergrößern die
Angriffsfläche. Wer denkt schon daran,
die neue VM, die in der DMZ laufen soll,
zu härten und abzusichern, wenn sie per
Mausklick eingerichtet wurde?
Der Königsweg kann also nur sein, Systeme aus unterschiedlichen Netzwerkzonen auf separierten physischen Hostservern zu betreiben. Das steigert den
Aufwand und die Kosten, ist aber unumgänglich, wollen Sie ein akzeptables
EAZ_SH0211_ITA_Default 12.01.2012 16:04 Seite 1
Bestellen Sie jetzt
Sonderheft II/2011!
SharePoint 2010
für Administratoren
nur € 24,90!
* IT-Administrator Abonnenten erhalten das Sonderheft II/2011 für € 24,90. Nichtabonnenten zahlen € 29,90.
Vertrieb, Abo- und
Leserservice:
Herr Stephan Orgel
D-65341 Eltville
und bestelle das IT-Administrator Sonderheft II/2011 zum Abonnenten-Vorzugspreis von nur € 24,90 inkl. Versand und 7% MwSt.
Tel: 06123/9238-251
Fax: 06123/9238-252
Ja, ich bestelle das IT-Administrator Sonderheft II/2011 zum Preis von € 29,90 inkl. Versand und 7% MwSt.
[email protected]
per Bankeinzug
Firma:
Geldinstitut:
Kto.:
oder
BLZ:
per Rechnung
Name, Vorname:
Straße:
Land, PLZ, Ort:
Datum:
Tel:
Unterschrift:
E-Mail:
ITA 1111
Ich zahle
Leopoldstraße 85
D-80802 München
Tel: 089-4445408-0
Fax: 089-4445408-99
Geschäftsführung:
Matthias Heinemann
21.09.2010
12:11
Seite 6
PRAXIS I Systeme
Sicherheitsniveau erreichen. Ganz nebenbei ermöglicht nur diese Trennung
eine wirkungsvolle Netzwerk-Analyse.
Die virtuellen Switches moderner VMSysteme sind zwar sehr leistungsfähig,
doch sie lassen sich meist nicht vollständig in Netzwerk-Managementsysteme
einbinden. Liefe nun noch der nur virtuell getrennte Traffic verschiedener
LAN-Segmente über dieselben physischen Schnittstellen, wären Intrusion Detection oder andere Sicherheitsmechanismen schnell wirkungslos.
samte Umgebung “gesund” ist, denn hinter der Kulisse laufen sehr komplizierte
Prozesse ab. Es kann etwa durchaus passieren, dass die Live-Migration fehlschlägt,
wenn eine VM stark unter Dampf steht
oder wenn das Netzwerk ausgelastet ist.
Zur Migration ist es erforderlich, den Arbeitsspeicher der VM in Echtzeit über das
LAN von einem auf den anderen Host zu
synchronisieren, bis nur noch eine minimale Differenz bleibt. Unter ungünstigen
Bedingungen kommt es nie so weit, bevor das Timeout für den Vorgang einsetzt.
Die Verbindung unterschiedlicher Systeme
auf demselben Host hat in größeren Unternehmen noch andere Auswirkungen.
Oft sind dort unterschiedliche Teams der
IT-Abteilung für bestimmte Serverkategorien zuständig, etwa ein DatenbankTeam, ein Mail-Team und eines für den
Verzeichnisdienst. Laufen deren Server auf
denselben physischen Hosts, ist der administrative Zugriff kaum noch zu trennen:
Welche Rolle nimmt hier etwa der Admin des VM-Systems ein?
Live-Migration kann hingegen bestimmte
geplante Downtimes vermeiden, und
zwar solche, die durch die Host-Wartung
entstehen. Muss der Admin den physischen Server nach einem Update neu
starten, so verschiebt er die laufenden
VMs auf eine andere Maschine und es
gibt keine Unterbrechung für die Benutzer. Bei Updates der VM-Gäste selbst
hilft das nicht, denn ein Reboot des virtuellen Betriebssystems lässt sich per Migration nicht vermeiden. Eigentlich hat
das Verschieben auch einen anderen Sinn,
nämlich die automatische Lastverteilung.
Gehen einem Hostserver die Ressourcen
aus, während ein anderer noch Kapazitäten frei hat, ist Live-Migration sehr hilfreich, um jedem virtuellen Server ausreichend Leistung zu verschaffen. Der
Pferdefuß: Dieser Grad an Automatisierung erzeugt meist zusätzliche Lizenzkosten, denn Komfort lassen sich alle
Hersteller extra bezahlen.
Wer geplante und ungeplante Unterbrechungen seiner Applikationen vermeiden oder zumindest deren Dauer minimieren möchte, wird daher auch
Live-Migration ist
keine Ausfallsicherheit
Gerade beim Aspekt der Ausfallsicherheit bestehen in der Virtualisierung viele Fehleinschätzungen, die im Ergebnis
nicht zu einer höheren, sondern zu einer geringeren Betriebssicherheit führen. Das betrifft in erster Linie die Funktion der “Live-Mig ration”, die alle
führenden Virtualisierungsanbieter unter
verschiedenen Namen (vMotion, XenMotion und so weiter) feilhalten. Sie ermöglicht eine virtuelle Maschine im laufenden Betrieb von einem physischen
Hostserver auf einen anderen zu verschieben, ohne dass Benutzerverbindungen abreißen oder die VM pausiert. Anders als viele Administratoren denken,
dient dieser Mechanismus praktisch überhaupt nicht der Ausfallsicherheit.
Diese Technik ist nämlich machtlos, wenn
einer der Hostserver oder die VM ausgefallen sind. Ganz im Gegenteil funktioniert das Verfahren nur dann, wenn die ge-
46
Oktober 2010
Bild 1: Der Betrieb virtueller Server verschiedener Netzwerkzonen auf demselben
VM-Host hebt die Netzwerktrennung auf und macht es Angreifern leicht,
von der DMZ ins LAN überzugreifen
21.09.2010
12:12
Seite 7
PRAXIS I Systeme
stand. Sollte das
aktive System ausfallen, so kann der
“Spiegel” nahtlos
übernehmen und
steht mit genau
derselben Identität
und exakt demselben Datenbestand
zur Verfügung.
Leider hat auch
dieser Ansatz seine Einschränkungen. Pr inzipbedingt eignet sich
das Verfahren nur
für virtuelle Server mit einer einzigen virtuellen
CPU. In Multiprozessor systemen
sorgen nämlich
aufwändige Mechanismen für eine Verteilung der
Aufgaben auf die
R e c h e n ke r n e.
Dies auf einen
anderen Host zu
Bild 2: Ein unbemerkt platzierter Hypervisor zwischen Hardware und Betriebssystem
synchronisieren,
erlaubt die volle Kontrolle über alle Vorgänge
würde derart erhebliche Eingrifweiterhin auf klassische High-Availabi- fe erfordern, dass die Performance in
lity-Methoden wie das Clustering set- den Keller ginge. Gerade solche Server,
zen. Hierzu lassen sich zwei (oder mehr)
VMs zu einem Cluster zusammenfügen,
der unabhängig von der Virtualisierung
den Zustand der Applikation beobachtet
und nötigenfalls einen Neustart auf einer
der beteiligten VMs ausführt.
Auf dieser Ebene bieten VMware und Citrix eine interessante, noch recht neue
Funktion an: Die Live-Spiegelung einer
virtuellen Maschine von einem Host auf
einen anderen. Das Versprechen lautet, dass
alle Instruktionen, die die “aktive”VM
ausführt, zeitgleich auf einer Kopie der
VM ebenfalls ablaufen, welche im Netz
nicht sichtbar ist.Auf diese Weise sind beide virtuellen Server stets im selben Zu-
Den IT-Administrator
Seminarmarkt
mit News zu IT-Trainings
finden Sie auch online auf:
www.it-administrator.de/seminarmarkt
für die hohe Ausfallsicherheit relevant
ist, stehen aber oft unter hoher Last, die
von Single-CPU-Servern nicht zu stemmen ist. Solche Systeme eignen sich für
diese Technik also nicht. Hinzu kommt,
dass auch der VM-Spiegel keine NullUnterbrechung ermöglicht, denn nicht
zuletzt muss die Netzwerk-Infrastruktur darauf reagieren, dass das System
plötzlich auf ganz anderen LAN-Ports
aktiv ist.
Nicht umsonst positionieren VMware
und Citrix ihre Spiegel-Features auch
eher für kleinere, aber gleichwohl unternehmenswichtige Applikationen, für
die es herstellerseitig keine anderen Verfügbarkeitsmechanismen gibt. Schon aus
Supportgründen sind jedoch die Methoden zu bevorzugen, die ein Applikationshersteller selbst vorsieht.
Risiko Snapshots
Die wohl gefährlichste Fallgrube lauert
unter einer sehr beliebten VM-Funktion:
den Snapshots. Alle Hersteller erlauben
es, den momentanen Zustand einer virtuellen Maschine einzufrieren und quasi als Sofort-Image abzulegen. Der Administrator kann damit jederzeit auf
diesen historischen Zustand zurückspringen.Viele IT-Abteilungen nutzen
dies als Element ihrer Recovery-Strategie, um etwa einen Patchfehler ungeschehen zu machen.
S E M I N A R M A R K T
21.09.2010
12:12
Seite 8
PRAXIS I Systeme
Allerdings kommen längst nicht alle
Applikationen damit klar, wenn sie sich
plötzlich in der Vergangenheit wiederfinden. Das betrifft vor allem komplexe verteilte Systeme wie Active Directory (AD) und Exchange, aber auch
viele andere Anwendungen. So sind etwa die AD-Domänencontroller jederzeit informiert, auf welchem Stand sich
ihre Partner gerade befinden. Meldet
sich ein solcher Server nach der Wiederherstellung eines VM-Snapshots
plötzlich mit einem veralteten Datenbestand, so kann AD dies nicht ausgleichen. In der Folge schaltet der betroffene Server seine AD-Dienste ab
und verschwindet aus der Replikation. Ein scheinbares Recovery würde
so also erst zu einem gravierenden Ausfall führen.
Angriffe gegen
virtualisierte Server
Risiken entstehen nicht nur aus allzu
sorglosem Umgang mit den Funktionen des Virtualisierungssystems. Auch
die Virtualisierung selbst erzeugt Bedrohungen, die in klassisch-physischen
Umgebungen unbekannt sind. Zwei
Beispiele machen dies deutlich, die zumindest bislang glücklicherweise keine kriminelle Anwendung gefunden
haben – oder wenigstens ist nichts darüber bekannt.
Die Angriffe machen sich den Umstand zunutze, dass ein virtualisiertes
System vollständig der Kontrolle durch
den Hypervisor unterliegt. Er liegt als
Softwareschicht zwischen der physischen Hardware und den virtuellen
Betriebssystemen. Jeden Zugriffsversuch einer VM auf Hardwarekomponenten fängt der Hypervisor ab und
ersetzt ihn durch seine Emulationsund Abstraktionsfunktionen. Das geht
so lange gut, wie der Hypervisor dem
Betriebssystem nichts vorgaukelt, was
gar nicht der Fall ist, oder ihm etwas
verbirgt. Vereinfacht gesagt, setzt Virtualisierung blindes Vertrauen in den
Hypervisor voraus.
48
Oktober 2010
Der SubVirt-Angriff
Einen Angriff auf dieses Vertrauen hat
Microsoft Research als Proof of Concept bereits 2005 durchgeführt.Wo der
Hypervisor normalerweise absichtlich
zwischen Hardware und Betriebssystem
geschoben wird, um eben bewusst eine
VM-Umgebung aufzubauen, führt der
“SubVirt” genannte Angriff dies in einem laufenden System ohne Wissen des
Anwenders durch. SubVirt installiert einen Hypervisor und biegt die Startfunktionen des Systems so um, dass
beim nächsten Bootvorgang nicht das
legitime Betriebssystem die Steuerung
übernimmt, sondern der Hypervisor
selbst. Damit hat er alle Vorgänge des
nun virtuell laufenden Systems unter
Kontrolle und kann beispielsweise von
diesem unbemerkt Daten kopieren oder
Kennwörter an Kriminelle schicken.
SubVirt verändert dazu den Datenbestand auf der Festplatte, weil es seine eigenen Komponenten installiert. Das
ehemals physische Betriebssystem kann
diese Daten nicht sehen, weil SubVirt
sie wie ein Rootkit vor ihm verbirgt.
Eine Offline-Analyse der Festplatte
könnte die Manipulation allerdings
sichtbar machen – ob das aber rechtzeitig vor einem Schaden geschieht, ist
letztendlich Zufall.
Der Blue Pill-Angriff –
Datenklau per Zusatzschicht
Einen Schritt weiter geht “Blue Pill”
von der Sicherheitsspezialistin Joanna
Rutkowska, vorgestellt Ende 2006. Blue
Pill nutzt die Virtualisierungsfunktionen
moderner Prozessoren, die AMD damals
gerade in den Markt gebracht hatte.Vereinfacht gesagt haben solche Prozessoren einen Hypervisor-Modus, der eine
Kontrollschicht unterhalb der klassischen
Betriebssysteme erzeugt und so den besonders effizienten Betrieb von Virtualisierungssystemen ermöglicht. Rutkowska aktiviert auf einem angegriffenen
System diesen Modus und schleust einen “ultradünnen” Hypervisor ins System ein, der im laufenden Betrieb die
Kontrolle übernimmt. Anders als SubVirt muss Blue Pill dazu nichts auf der
Festplatte installieren, sondern läuft ausschließlich im Speicher.
Das so angegriffene Betriebssystem hat
keine verlässliche Möglichkeit, diesen
Wechsel der Betriebsart festzustellen,
denn der Prozessor sieht keine Funktion
vor, die darüber Auskunft gibt.Aus Sicht
des ehemals legitimen Systems gibt es
keine Veränderung zu früher, denn alle
Systemzugriffe scheinen zu funktionieren. Tatsächlich aber hat Blue Pill nun
die Kontrolle über alle Vorgänge übernommen und kann unbemerkt seine
Schadfunktionen ausüben. Im Unterschied zu SubVirt überlebt Blue Pill keinen Reboot der physischen Maschine.
Es hat aber Methoden, um solch einen
Neustart zu vermeiden: Fordert der Admin innerhalb des Betriebssystems einen Neustart an, so simuliert Blue Pill
diesen einfach – ganz so, wie man eine
“nor male” VM neu startet. Nur der
Hardware-Netzschalter kann dem Treiben ein Ende setzen.
Fazit
Mit der Virtualisierung ist es wie mit jedem anderen komplexen System: Den
vielen Vorteilen stehen große Gefahren
gegenüber. Noch mehr als in der klassischen IT ist es in virtuellen Umgebungen notwendig, dass die IT-Verantwortlichen gut planen und mit großer
Sorgfalt arbeiten. Neben der erhöhten
Umsicht beim Betrieb virtueller Server
gilt es aber auch, die neuartigen Risiken solcher Umgebungen im Blick zu
behalten und einzudämmen.
Mit der zunehmenden Verbreitung der
Technik werden Angriffe, die bislang meist
eher akademischen Charakter haben, aus
den Showrooms der Security-Konferenzen schnell in die “freie Wildbahn” übertreten und IT-Abteilungen vor enorme
Herausforderungen stellen. (jp)
Nils Kaczenski ist Microsoft-MVP und leitet
das Consulting bei der WITstor in Hannover.
S36-41_ITA_0111_P06_EAZ Schnupperabo.qxp
21.12.2010
14:08
Seite 2
PRAXIS I Workshop
Sicherheit bei Kernel-basierter Virtualisierung unter Linux
Virtuell abgeschottet
von Thorsten Scherf
Quelle: eiland - Fotolia.com
Auch wenn mit Hilfe der Virtualisierungstechnologie sehr einfach eine
Trennung der einzelnen Systemdienste durch den Einsatz in unterschiedlichen virtuellen Maschinen möglich ist, sind einige wichtige
Punkte zu beachten, damit der zusätzliche Virtualisierungslayer nicht
mehr Gefahren als Vorteile mit sich bringt. Waren früher noch verschiedene physikalische Maschinen notwendig, um etwa den Webserver vom Datenbank-Backend zu trennen, so ist heute nur noch eine
physikalische Maschine erforderlich. Auf dieser lässt sich dann mit Hilfe
eines Hypervisors, wie beispielsweise Xen, KVM oder einer anderen
Virtualisierungslösung, problemlos eine Vielzahl von virtuellen
Maschinen-Instanzen installieren und die gewünschten Dienste auf
diese Instanzen aufteilen. Aber wie so oft müssen auch hier verschiedene
Komponenten zusammenspielen. Dieser Artikel gibt einen Überblick
über die wichtigsten dieser sicherheitsrelevanten Komponenten.
n den meisten Linux-Distributionen findet der Zugriff auf den eigentlichen Hypervisor mittlerweile über
das libvirt-Framework [1] statt. Hierbei
handelt es sich um eine Art Virtualisierungsschicht zwischen dem eigentlichen
Virtualisierungs-Backend und dem Benutzerbereich. Über einheitliche Verwaltungstools kann der Nutzer auf das
jeweilige Backend zugreifen. Libvirt
unterstützt neben Xen und KVM/QEMU
momentan auch noch LXC, OpenVZ,
UML und VirtualBox.
möchten, dass Ihre Anmelde- und Nutzdaten im Klartext über das Netzwerk
wandern, wählen Sie beim Einrichten einer neue Verbindung über den virt-manager eine sichere Verbindung zur Gegenseite aus. Zur Auswahl stehen SSH,
TLS/SSL mit X.509-Zertifikaten und
Kerberos. Wir schicken unsere Daten in
diesem Workshop durch einen gesicherten
SSH-Tunnel. Hierfür richten Sie auf der
Maschine, auf der Sie den virt-manager
betreiben möchten, zunächst einen SSHSchlüsselbund ein:
Sicherer Fernzugriff
# ssh-keygen -t dsa
# ssh-copy-id -i ~/.ssh/id_dsa.pub
[email protected]
I
Über virt-manager und virt-install lassen
sich bequem neue virtuelle Maschinen
einrichten oder bestehende Maschinen
bezüglich der Konfiguration verändern.
Beide Tools verbinden sich in der Standardeinstellung mit dem Hypervisor auf
der lokalen Maschine, auf der sie gestartet
wurden.Allerdings lässt sich auch eine Verbindung zu einem Hypervisor auf einer
anderen Maschine aufbauen. Falls Sie nicht
36
Januar 2011
Anschließend stellen Sie auf dem entfernten Rechner sicher, dass sowohl der
SSH- wie auch der libvirt-Daemon aktiv sind. Starten Sie nun den virt-manager, sehen Sie die neu eingerichtete Verbindung und können nun mittels libvirt
auf den entfernten Hypervisor zugrei-
fen und bereits existierende Maschinen
verwalten oder aber auch neue einrichten. Natürlich lassen sich die virtuellen
Maschinen-Instanzen auch auf der
Kommandozeile mittels virt-install einrichten. Die Installation einer virtuellen Maschine auf einem entfer nten
Rechner könnte mittels virt-install wie
folgt aussehen:
# virt-install \
—accelerate
—connect qemu+ssh://root@
remote.example.com/system
—name foo \
—ram 512 \
—disk path=/var/lib/lib
virt/images/foo.img,size=50 \
—network network:default \
—vnc \
—location ftp://ftp.example.com/pub/
fedora/f14/
—extra-args
ks=ftp://local.example.com/pub
/ks/fedora.cfg
21.12.2010
14:08
Seite 3
PRAXIS I Workshop
# cat > /tmp/db-net <<EOF
<network>
<name>db-net</name>
<uuid>1231122-05dc-4d12-b7f05234911911ef</uuid>
<ip address=’192.168.200.1’
netmask=’255.255.255.0’>
<dhcp>
<range start=’192.168.200.2’
end=’192.168.200.254’ />
</dhcp>
</ip>
</network>
EOF
Bild 1: Über den virt-manager stehen verschiedene Methoden
zur Authentifizierung auf einem remote-Hypervisor zur Verfügung
Netzwerk absichern
Im obigen Beispiel verwendet die neu
eingerichtete Maschine ein Netzwerk
mit dem Namen “default”. Hierbei handelt es sich um ein virtuelles Netzwerk,
das zur Default-Konfiguration des libvirt-Frameworks gehört. Über das Tool
virsh lässt sich nun anzeigen, wie dieses
Netzwerk konfiguriert ist:
# virsh net-dumpxml default
<network>
<name>default</name>
<uuid>478de122-05dc-4d12-b7f052349b59f8ef</uuid>
<forward mode=’nat’/>
<bridge name=’virbr0’ stp=’on’
forwardDelay=’0’ />
<ip address=’192.168.122.1’
netmask=’255.255.255.0’>
<dhcp>
<range start=’192.168.122.2’
end=’192.168.122.254’ />
</dhcp>
</ip>
</network>
Die Maschine bekommt eine eigene
IP-Adresse aus dem Netzwerk 192.168.
122.0/24 zugewiesen. Verantwortlich
hierfür ist ein Dienst namens “dnsmasq”.
Über das Netzwerkgerät virbr0 auf dem
Host kann die virtuelle Maschine dann
mittels Source-NAT (SNAT) mit der Außenwelt kommunizieren. Für eingehenden Netzwerkverkehr sind entsprechende Destination-NAT-Regeln (DNAT) zu
schreiben. Die SNAT-Regeln richtet libvirt standardmäßig ein (siehe Kasten
SNAT-Regel).
Doch nicht in allen Fällen ist die Kommunikation mit der Außenwelt erwünscht. Aus welchem Grund beispielsweise sollte bei dem eingangs
erwähnten Beispiel mit dem Webserver
und seinem Datenbank-Backend die
Datenbank mit der Außenwelt kommunizieren können? Zur Lösung bietet sich die Konfiguration von zwei
Netzwerkkarten für den Webserver an.
Die erste Karte verknüpfen Sie über
NAT mit der Außenwelt, die zweite
Karte befindet sich in einem eigenen
virtuellen Netzwerk, in dem sich auch
der Datenbank-Server befindet. Eine
Adressübersetzung findet für dieses
Netzwerk dann nicht statt. Hierzu erzeugen Sie zuerst eine Konfigurationsdatei für das neue Netz:
Diese Konfigurationsdatei können Sie
dann der libvirt-Konfiguration mittels
virsh bekannt machen und das Netzwerk aktivieren:
# virsh net-define /tmp/db-net
Network db-net defined from /tmp/dbnet
# virsh net-start db-net
Network db-net started
[root@tiffy ~]# virsh net-list
Name
State
Autostart
———————————————————————————————————default
active
yes
db-net
active
no
Nun weisen Sie im nächsten Schritt dem
Webserver eine zweite Netzwerkkarte
zu und binden sie an dieses Netzwerk
an. Beim Einrichten des Datenbankservers verwenden Sie bei der Installation
direkt dieses neue Netzwerk. Somit ist
der Webserver in der Lage, mit der Außenwelt zu kommunizieren, der Datenbank-Server ist jedoch auf eine Kommunikation mit Rechner n aus dem
privaten Netzwerk beschränkt.
# iptables -t nat
Chain POSTROUTING
target
prot
MASQUERADE all
-L POSTROUTING
(policy ACCEPT)
opt source
destination
—
192.168.122.0/24 !192.168.122.0/24
SNAT-Regel
Januar 2011
37
21.12.2010
14:09
Seite 4
PRAXIS I Workshop
Nach einem Neustart des Netzwerkes sollten die neuen Bridges dann zur Verfügung
stehen. Ein Aufruf von brctl bestätigt dies
(siehe Kasten “Ergebnis des Befehls brctl”).
Installieren Sie nun eine neue virtuelle Maschine und möchten diese in das VLAN
100 integrieren, so gelingt dies beim Aufruf von virt-install über die Option “--network bridge:br100”.
Komponente Hochverfügbarkeit
Bild 2: Über den virt-manager können Sie einer virtuellen Maschine sehr einfach neue Hardware zuweisen
Wie sieht jedoch die Konfiguration aus,
wenn Sie gar kein virtuelles Netzwerk
verwenden, sondern die Rechner in bereits existierende Netze integr ieren
möchten. Hierfür können Sie eine entsprechende Bridge konfigurieren, die
dann an die libvirt-Konfiguration weitergereicht wird. Nun möchten IT-Verantwortliche meistens eine Trennung der
Netzwerkpakete zwischen den verschiedenen virtuellen Maschinen einrichten
– besonders dann, wenn die Maschinen
vollkommen unabhängig voneinander
arbeiten. Zur Lösung bieten sich hierfür
VLANs an, welche die virtuellen Maschinen auf getrennte Netzwerksegmente aufteilen.Alles was hierfür zu tun ist, ist
das VLAN-Device an die entsprechende
Bridge zu binden. Im folgenden Beispiel
geht es um zwei voneinander getrennte
Kundensysteme. Das eine System hängt
im VLAN mit dem Tag 100, das andere
VLAN verwendet den Tag 200. Für beide Netze nehmen Sie zuerst die entsprechende Konfiguration der Netzwerkkarten vor:
# cat > /etc/sysconfig/networkscripts/ifcfg-eth0.100 <<EOF
DEVICE=eth0.100
ONBOOT=yes
38
Januar 2011
BRIDGE=br100
VLAN=yes
EOF
# cat > /etc/sysconfig/networkscripts/ifcfg-eth0.200 <<EOF
DEVICE=eth0.200
ONBOOT=yes
BRIDGE=br200
VLAN=yes
EOF
Anschließend erzeugen Sie die notwendigen Bridging-Geräte:
# cat > /etc/sysconfig/networkscripts/ifcfg-br100 <<EOF
DEVICE=br100
BOOTPROTO=static
IPADDR=192.168.100.1
NETMASK=255.255.255.0
ONBOOT=yes
TYPE=Bridge
# cat > /etc/sysconfig/networkscripts/ifcfg-br200 <<EOF
DEVICE=br200
BOOTPROTO=static
IPADDR=192.168.200.1
NETMASK=255.255.255.0
ONBOOT=yes
TYPE=Bridge
Zu einer sicheren Konfiguration gehört natürlich auch der Schutz vor Hardware-Ausfällen. Da dies ein generell sehr umfangreiches Thema ist, hier nur zwei Beispiele: In
der soeben angesprochenen Netzwerkkonfiguration könnten Sie durch den Einsatz von zwei Netzwerkkarten diese zu einem Bonding-Gerät zusammenschließen. Je
nach ausgewähltem Bonding-Mode fließen die Netzwerkpakete dann entweder
parallel oder abwechselnd über die beiden
Karten. Für eine solche Konfiguration sind
zuerst die beiden physikalischen Karten einem Bonding-Gerät zuzuweisen:
# cat > /etc/sysconfig/networkscripts/ifcfg-eth0 <<EOF
DEVICE=eth0
ONBOOT=yes
MASTER=bond0
SLAVE=yes
BOOTPROTO=none
Für die zweite Netzwerkkarte eth1 sieht
die Konfiguration entsprechend aus. Die
Konfiguration des eigentlichen BondingGerätes geschieht dann folgendermaßen:
# cat > /etc/sysconfig/networkscripts/ifcfg-bond0 <<EOF
DEVICE=bond0
BOOTPROTO=none
ONBOOT=yes
# brctl show
bridge name
br100
br200
bridge id
STP
8000.000e0cb30440 no
8000.000e0cb30450 no
enabled interfaces
eth0.100
eth0.200
Ergebnis des Befehls brctl
21.12.2010
14:09
Seite 5
PRAXIS I Workshop
TYPE=Ethernet
BONDING_OPTS=”mode=1 miimon=100”
Bei den Bonding-Optionen kommt hier
der Mode 1 (balance-rr) zum Einsatz.
Hierbei werden die Netzwerkpakete abwechselnd über die beiden Netzwerkkarten versendet. Über die Option “miimon=100” erhält der Bonding-Treiber die
Information, alle 100 Millisekunden zu
testen, ob die Netzwerkkarten noch einen Link haben. Fällt eine Karte aus, merkt
der Treiber dies also sehr schnell und versendet über diese Karte keine Daten mehr.
In der Datei /etc/modprobe.conf können Sie
nun noch über die Anweisung “alias bond0
bonding” kenntlich machen, dass das virtuelle Device bond0 nun auch den bonding-Treiber verwenden soll.
Natürlich lässt sich dieses Bonding-Gerät nun wie eine reguläre Netzwerkkarte verwenden. Das heißt, Sie können
entweder direkt eine IP-Adresse zuweisen oder es, wie oben beschrieben, mit
unterschiedlichen VLAN-Tags versehen.
Was für das Netzwerk gilt, gilt natürlich
auch für andere Komponenten wie das
Storage-Backend. Unabhängig davon,
ob Sie als Backend eine Image-Datei
oder ein ganzes Block-Device zur Speicher ung der vir tuellen Maschine
verwenden, sollte das Backend hochverfügbar sein, um auch hier vor HardwareSchäden gewappnet zu sein. Im einfachsten Fall geschieht dies durch den
Einsatz eines RAID-Systems, im besten
Fall mit einer Multipath-Konfiguration,
sollten die Block-Devices im SAN liegen. Im Folgenden wird eine kostengünstigere Methode auf Basis von iSCSI
vorgestellt. Hierbei wird auf dem iSCSIServer ein Software-RAID1-Gerät eingerichtet, welches dann übers Netzwerk
exportiert wird.Vor der Installation einer
neuen virtuellen Maschine können Sie
das so exportierte Gerät über das Netzwerk einbinden. Für die iSCSI-Kommunikation sollten Sie im günstigsten
Fall ein eigenes Netzwerk einrichten,
wobei die Netzwerkkarten wieder als
redundante Bonding-Geräte zu konfi-
gurieren sind.Auf dem iSCSI-Server lässt
sich das RAID1 dann wie folgt einrichten und exportieren:
# mdadm -C /dev/md0 -l 1 -n 2
/dev/sdb /dev/sdc
# chkconfig tgtd on; service tgtd
start
# tgtadm —lld iscsi —op new —mode
target —tid 1 -T iqn.200905.com.example:storage.iscsi.disk1
# tgtadm —lld iscsi —op new —mode
logicalunit —tid 1 —lun 1 -b
/dev/md0
# tgtadm —lld iscsi —op bind —mode
target —tid 1 -I ALL
Über den letzten tgtadm-Befehl erlauben Sie den Zugriff auf das iSCSI-Target nur von einem bestimmten Host
oder Netzwerk aus. Hier macht es Sinn,
den Zugriff auf das iSCSI-Netzwerk zu
beschränken. Hat das Einrichten des
iSCSI- Targets geklappt, können Sie sich
im Anschluss einige Informationen zu
dem eingerichteten iSCSI-Gerät auflisten lassen:
# tgtadm —lld iscsi —op show —mode
target
Target 1: iqn.200905.com.example:storage.iscsi.disk1
System information:
Driver: iscsi
Status: running
I_T nexus information:
LUN information:
LUN: 0
Type: controller
SCSI ID: deadbeaf1:0
SCSI SN: beaf10
Size: 0
Backing store: No backing store
LUN: 1
Type: disk
SCSI ID: deadbeaf1:1
SCSI SN: beaf11
Size: 100G
Backing store: /dev/md0
Account information:
ACL information: ALL
Auf der Host-Maschine binden Sie nun
das so exportierte iSCSI-Gerät ein. Hierfür benötigen Sie das Paket “iscsi-initiator-utils”. Der Zugriff auf das Gerät erfolgt dann mit den Kommandos:
# chkconfig iscsi on; service iscsi
start
# iscsiadm -m discovery -t st -p
iscsi.example.com iqn.200905.com.example:storage.iscsi.disk1
# iscsiadm -m node -T iqn.200905.com.example:storage.iscsi.disk1
-p iscsi.example.com -l
Danach sollten Sie auf dem Host beim
Aufruf von fdisk nicht nur die lokale
Festplatte sehen, sondern auch den exportierten iSCSI-Spiegel als “/dev/sda”
in der Liste der verfügbaren Block-Devices. Kommt als lokale Festplatte bereits
eine SCSI- oder SATA-Platte zum Einsatz, so hat diese bereits den GeräteNamen “/dev/sda” und das iSCSI-Gerät bekommt als Namen “/dev/sdb” zugewiesen. Bei der Installation einer neuen virtuellen Maschine können Sie nun
dieses iSCSI-Gerät als Storage-Backend
angeben. Dies geschieht, wie bereits zuvor beschrieben, über die virt-installOption “--disk path=/dev/sdX”. Im
virt-manager lässt sich das neue BlockGerät natürlich genauso einer virtuellen
Maschinen-Instanz zuordnen. Dank des
RAID1-Spiegels auf dem iSCSI-Server
sind Sie nun auch hier vor HardwareSchäden geschützt.
Um gegen den Ausfall des kompletten
iSCSI-Systems gerüstet zu sein, bietet sich
der Einsatz eines hochverfügbaren ClusterSystems an. Im Open Source-Bereich ist eine Kombination aus DRBD [2] und CoroSync/Pacemaker eine gängige Lösung [3].
Hypervisor abschotten
Die beste Konfiguration bringt jedoch
nichts, hat der eingesetzte Hypervisor selbst
einen Fehler. Ist dies der Fall, so kann unter
Umständen ein Gast-System auf die Ressourcen eines anderen Systems zugreifen.
Im schlimmsten Fall könnte ein Prozess aus
Januar 2011
39
21.12.2010
14:09
Seite 6
PRAXIS I Workshop
einer virtuellen Maschine Zugriff auf das
Host-System bekommen und hätte somit
automatisch auch Zugriff auf alle anderen
virtuellen Maschinen, die auf diesem Host
laufen. Dass das alles keine graue Theorie
ist, das haben die verschiedensten Veröffentlichungen einschlägiger Experten der
letzten Monate gezeigt [4]. Um die Auswirkungen bei einem Fehler im Hypervisor selbst möglichst gering zu halten, haben einige Entwickler Anfang März 2009
das libvirt-Framework um einen so genannten “Security-Driver” erweitert. Dieser Security-Driver basiert auf der Mandatory Access Control-Zugriffskontrolle. Über
ein zentrales Regelwerk ist dabei genau
festgelegt, auf welche Ressourcen welche
virtuelle Maschine zugreifen darf und auf
welche nicht. Diese Zugriffsentscheidung
findet unabhängig vom Benutzer-Kontext,
unter dem die Maschine läuft, statt. Stattdessen kommen so genannte Label für die
virtuelle Maschine und die Ressourcen zum
Einsatz. Das Ganze hört sich sehr bekannt
an – und tatsächlich: Als MAC-System
kommt hier SELinux zum Einsatz. Generell
könnten Sie auch jedes andere MAC-System wie beispielsweise SMACK einsetzen,
momentan findet die Entwicklung aber
ausschließlich für SELinux statt.
Ein wichtiger Punkt bei den Designzielen
war, aus den Fehlern der ersten SELinuxImplementierungen zu lernen und die komplette Konfiguration sehr benutzerfreundlich zu gestalten. In der Tat ist es momentan
so, dass die komplette Konfiguration, für den
Benutzer vollkommen unsichtbar, im Hintergrund stattfindet. Diese sehr neue Technik kommt erstmals in Fedora 11 [5] unter
dem Namen sVirt [6] zum Einsatz. Bei der
Installation einer neuen Maschine bekommt
das Storage-Backend automatisch zwei zufällige SELinux MCS-Kategorien (MultiCategory-Security [7]) zugewiesen. In diesem Beispiel handelt es sich um die beiden
Kategorien c540 und c800. Anders als bei
der klassischen MCS findet kein Mapping
zwischen diesen Kategorien und einem klassischen Label statt. Durch das Setzen von
zwei Kategorien pro virtueller Maschine ist
es theoretisch auch möglich mehr als 1.000
40
Januar 2011
virtuelle Maschinen pro Host-System unter
sVirt zu betreiben:
# ls -lZ /var/lib/libvirt/images/
-rw———-. root root
system_u:object_r:svirt_image_t:s0
:c540,c800 fedora.img
-rw———-. root root
system_u:object_r:svirt_image_t:s0
:c415,c541 rhel5.img
Ein Zugriff auf diese Ressource (Storage-Backend) ist nun also nur von Prozessen gestattet, die der gleichen Kategorie angehören. Betrachten wir die Konfiguration einer virtuellen Maschine etwas
näher, so sehen wir dort die MCS-Kategorien aufgelistet, auf die diese Maschine
zugreifen darf:
# virsh dominfo fedora
Id:
18
Name:
fedora
UUID:
be8b4a9a-492a-db257aed-f831dcec9127
OS Type:
hvm
State:
running
CPU(s):
4
CPU time:
4591.8s
Max memory:
2014400 kB
Used memory:
2014208 kB
Autostart:
disable
Security model: selinux
Security DOI: 0
Security label:
system_u:system_r:svirt_t:s0:c540,
c800 (permissive)
Der Libvirt-Daemon kümmert sich beim
Start einer Maschine darum, dieser die
passenden Kategorien zuzuweisen:
# ps -AZ|grep qemu
system_u:system_r:svirt_t:s0:c230,c7
94 17235 ? 00:00:01 qemu-kvm
Ein Zugriff von dieser Maschine ist also
nur noch auf die Image-Datei fedora.img
möglich, ein Zugriff auf das Image rhel5.img
würde in einer AVC-Deny-Meldung enden und der Zugriff unterbunden – vorausgesetzt natürlich, die Host-Maschine
befindet sich im SELinux EnforcingMode. In der aktuellen sVirt-Version bekommen lediglich Datei-Objekte und die
virtuellen Maschinen selbst ein Label zugewiesen. Eine strikte Zugriffskontrolle findet somit lediglich zwischen Prozessen der
virtuellen Maschinen und den dazugehörigen Storage-Backends statt. In der Zukunft werden jedoch weitere Ressourcen
hinzukommen wie etwa diverse Netzwerkobjekte. Somit wird es dann beispielsweise möglich sein, den Zugang zu
einem bestimmten Netzwerkport, auch
Basis der Mandatory-Access-Control,
lediglich einer bestimmten Maschine zu
erlauben. Auch USB- oder PCI-Passthrough-Support steht auf der Liste der
sVirt-Entwickler ganz oben.Wie man sieht,
ist die Entwicklung hier in vollem Gange.
Fazit
Der Einsatz von virtuellen Maschinen bietet eine Menge Vorteile. Sehen Sie von der
eingesparten Energie und dem freigewordenen Platz im Serverraum einmal ab, so
müssen Sie sich mit der richtigen Konfiguration auch keine Sorgen um die Sicherheit der VM-Instanzen machen. Jedoch ist wie immer zu bedenken, dass
Sicherheit kein abgeschlossener Prozess in
sich ist. Es gilt, sich immer wieder auf den
aktuellen Stand zu bringen und eventuell
notwendige Korrekturen in der eigenen
Serverlandschaft vorzunehmen. (dr)
[1] libvirt-Projektseite
B1P61
[2] DRBD
B1P62
[3] Red Hat Cluster Suite
B1P63
[4] 0wning Xen in Vegas
B1P64
[5] Fedora-Projektseite
B1P65
[6] sVirt-Projektseite
B1P66
[7] Multi-Category-Security
B1P67
Link-Codes
S22-27_ITA_0112_T01_CebiCon_EAZSchnupperabo_ok_ITA_Default 20.12.2011 16:37 Seite 7
Kompetentes Schnupperabo
sucht neugierige Administratoren
Sie wissen, wie man Systeme
und Netzwerke am Laufen hält.
Und das Magazin IT-Administrator weiß,
wie es Sie dabei perfekt unterstützt:
mit praxisnahen Workshops, aktuellen
Produkttests und nützlichen Tipps und Tricks
für den beruflichen Alltag.
Damit Sie sich Zeit,
Nerven und Kosten sparen.
Teamwork in Bestform.
Überzeugen Sie sich selbst!
6
3
Monate
lesen
Monate
bezahlen
Verlag / Herausgeber
Heinemann Verlag GmbH
Leopoldstraße 85
D-80802 München
Vertrieb, Abo- und Leserservice IT-Administrator
Tel: 0049-89-4445408-0
Fax: 0049-89-4445408-99
[email protected]
Herr Stephan Orgel
D-65341 Eltville
Tel: 06123/9238-251
Fax: 06123/9238-252
[email protected]
S51-55_ITA_0311_P05.qxp
17.02.2011
15:40
Seite 1
PRAXIS I Workshop
Monitoring mit der Nagios-Alternative Shinken
Der Thronerbe
bittet zur Audienz
von Dr. Holger Reibold
er auf ein reibungsloses Monitoring setzt, muss sich halbwegs sicher sein, dass die eingesetzte Umgebung nicht nur dem Stand der Technik
entspricht, sondern dass sie kontinuierlich weitentwickelt wird und sich aktueller Technik anpasst. Diese Kriterien erfüllt Nagios aus diversen Gründen schon
lange nicht mehr. So ist es nicht weiter
verwunderlich, dass neue Lösungen entstehen, die den bisherigen Regenten
mittel- bis langfristig vom MonitoringThron verdrängen werden. Die Alternative ist im Idealfall eine Software, die
den Umstieg nicht allzu schwer macht
– nicht zuletzt deshalb, weil sie Nagioskompatibel ist.
W
Das Shinken-Basissystem
Was zeichnet nun Shinken aus? Shinken
ist kein monolithisches Gebilde, sondern
verwendet – in typischer Unix-Manier –
für jede Aufgabe einen Prozess. Die Nagios-Alternative macht sich ein Basis-
system zunutze, das aus den folgenden
Komponenten besteht:
Arbiter
Bei diesem Prozess handelt es sich um einen
übergeordneten Steuerprozess, der ein Au-
Send mail, fill RSS,
raise event handler, etc
(happy) User
Quelle: dny3d - Fotolia.com
Insgeheim hat sich die Admin-Gemeinde längst von Nagios verabschiedet. Die
Gründe hierfür sind hinlänglich bekannt: Jahrelang ist nichts passiert, eine nennenswerte Weiterentwicklung ist nicht zu verzeichnen. Das ist zu wenig, um sich auch in
Zukunft einen festen Platz im Admin-Werkzeugkasten zu sichern. Also muss eine Alternative her – mit Shinken steht bereits ein fähiger Nachfolger in den Startlöchern. Wir stellen Ihnen das Monitoring-Werkzeug in diesem Workshop vor und
erklären dessen Installation und Konfiguration unter Windows und Linux.
ND0
RSS
Fill databases
Reactionner
Spare
Give orders
nagios.cmd (pipe)
Broker-Spare
Reactionner
read orders
Arbiter
MerlinDB
Broker
Are you alive?
Get actions
(notifications or event handler)
Get status
Send orders
to schedulers
Dies hat 2009 auch der Franzose Jean
Gabès erkannt und begann damit, Nagios auf Python-Basis neu zu programmieren. Sein Proof-of-concept mit der
Bezeichnung “Shinken” [1] verteilt die
Aufgaben des Monitoring-Systems auf
mehrere spezialisierte und gegebenenfalls redundante Prozesse. Der Vorteil
dieses Konzepts: Es lassen sich weitaus
mehr Endgeräte überwachen, als das mit
einem herkömmlichen Nagios-System
möglich ist.
Read conf
Scheduler 1
Scheduler 2
Conf
Get checks
and
return results
Auto cut into parts
(number of schedulers)
Poller 1
Conf part1
Conf part2
[...]
Conf partN
Put conf to:
- Schedulers
- Actionners
- Pollers
Scheduler
Spare 1
[...] Scheduler N
Poller 1
Poller 1
Poller 1
Poller 1
[...]
Launch nagios plugis (ex: check_tcp -H mail-server -p 25)
Bild 1: Die Shinken-Architektur fußt auf den fünf Säulen Arbiter, Reactionner,
Broker, Scheduler und Poller (Quelle: Shinken-Team)
März 2011
51
S51-55_ITA_0311_P05.qxp
17.02.2011
15:40
Seite 2
PRAXIS I Workshop
ge auf die gesamte Infrastruktur wirft. Daher weiß er, wo welche Prozesse ausgeführt
werden. Er versorgt außerdem die anderen
Prozesse mit Updates.
Scheduler
Der Scheduler protokolliert den Status von
Hosts und Services und sorgt zudem für
die Ausführung von Checks, Eventhandler
und Notifications. Er entscheidet, welches
Ereignis zur Ausgabe eines Alarms führt.
Auch die Berücksichtigung von Abhängigkeiten gehört zu den Aufgaben des Schedulers. Die Service- und Hostchecks, Eventhandler und Notification-Skripte werden
von sogenannten Satellitenprozessen, konkret Poller und Reactionner, ausgeführt.
Der Scheduler schreibt entsprechende Arbeitsaufträge in die dafür vorgesehenen Warteschlangen, welche die Satellitenprozesse
dann auslesen und abarbeiten.
Poller
Die Hauptarbeit in der Shinken-Umgebung übernehmen die sogenannten Poller.
Sie beziehen vom Scheduler die Aufträge
und stellen sicher, dass diese in einem Pool
von Worker-Prozessen ausgeführt werden.
Dabei sammelt der Poller die Ergebnisse,
den Exitcode und die Ausgaben von PlugIns und übermittelt diese an den Scheduler,
der die Daten seinerseits auswertet.
Reactionner
Der zweite wichtige Prozesstyp nennt sich
Reactionner. Seine Funktionsweise ist mit
dem Poller vergleichbar, allerdings vollzieht er keine Checks, sondern er führt
Eventhandler und Notification-Skripts aus.
Dabei steht ihm ein Prozess-Pool frei konfigurierbarer Größe zur Verfügung.
Broker
Über die Broker-Komponente ist die Anbindung beziehungsweise Integration von
Drittsystemen möglich. Diese Komponente
ist im Wesentlichen mit dem Nagios Event
Broker-Modul identisch. Beim Auftreten
eines Events, also der Statusänderung eines Services, dem Einlesen einer Konfiguration oder einer Downtime, werden diese Daten in eine spezielle Datenstruktur
52
März 2011
gepackt, das sogenannte Brok. Dieses parkt
dann in der Warteschlange, bis es vom Broker-Prozess ausgelesen wird.Was genau mit
den darin enthaltenen Informationen geschieht, können Sie bestimmen.
Gegenüber Nagios zeichnet Shinken eine
weitere Besonderheit aus: die sogenannten
Realms. Sie erlauben es, Scheduler, Poller, Reactionner und Broker zu einem
logischen Paket zu schnüren.Wenn Sie beispielsweise einer Host-Gruppe ein RealmAttribut zuweisen, so erfolgt die Bearbeitung ausschließlich auf Grundlage der
zugewiesenen Verknüpfung. Shinken hat
noch eine weitere Eigenheit – wieder im
Unterschied zu Nagios: Die laufenden Prozesse müssen nicht auf einem einzigen Server zur Ausführung kommen. Sie können
vielmehr ein verteiltes System aufsetzen.
Das ist bei Nagios zwar auch möglich, allerdings nur mit viel Konfigurationsarbeit,
da für jeden einzelnen Standort eigene Settings anzulegen sind. Bei Shinken genügt
ein Satz Konfigurationsdateien.
Shinken in Betrieb nehmen
Die beiden wichtigsten Plattformen für den
Einsatz von Shinken sind zweifelsohne Linux und Windows. Die Installation auf beiden Plattformen ist recht einfach. Nach
rund 20 Minuten sind Sie soweit, dass Sie
erste Monitoring-Aufgaben ausführen können.Wichtig ist zunächst, dass Sie jeweils
über Administratorrechte verfügen.
Installation unter Windows
Möchten Sie Shinken auf einem WindowsRechner ausführen, müssen Sie zunächst
sicherstellen, dass Sie Python für Windows
[2] und die Pyro-Library [3] installiert haben. Als Nächstes laden Sie sich Shinken
und die Plug-Ins von der Shinken-Website herunter. Entpacken Sie das Archiv beispielsweise auf Laufwerk C, so wird der
Ordner “shinken” angelegt. Sie benötigen
außerdem das Windows Ressource Kit [4].
Kopieren Sie von diesem die Programme
instsrv.exe, srvany.exe und sc.exe in das Verzeichnis “C:\shinken\windows”. Führen
Sie dann die Batch-Datei install-all.bat aus,
die Sie im genannten Verzeichnis finden,
um festzulegen, welche Services installiert
werden sollen. Sie können dann folgende
Services starten: Arbiter, Scheduler, Poller,
Reactionner und Broker.
Klicken Sie anschließend auf alle REGDateien im erwähnten Ordner, um die
Service-Parameter korrekt zu setzen. Als
Nächstes sind einige Anpassungen der
Konfiguration erforderlich. Die sollten Sie
vornehmen, bevor Sie Shinken das erste
Mal starten. Sie finden im Verzeichnis
“C:\shinken\etc” einige Beispielkonfigurationsdateien, die für den Einstieg bestens geeignet sind. Sie müssen für den
Einstieg lediglich die KontaktkonfiguraDer herausragende Unterschied zwischen Shinken und
Nagios sind die sogenannten Realms. Sie erlauben es in
einer Shinken-Umgebung, verteilte Systeme zu realisieren. Shinken kennt hierfür das Attribut “realm” für
Hosts und Host-Gruppen. Sie können Scheduler, Poller,
Reactionner und Broker mit dem Attribut kennzeichnen.
Der Arbiter sorgt dabei für die Zerlegung der Konfiguration in Teilkonfigurationen, wobei jede Teilkonfiguration
nur die Hosts eines bestimmten Realms enthält. Alle
durchzuführenden Aktivitäten, also die Ausführung von
Tests, Eventhandlern, Ausgabe von Notifications et cetera, eines Realms werden dann ausschließlich von den
Prozessen durchgeführt, die zum gleichen Realm gehören. Realisieren lassen sich derartige Konstellationen, indem Sie die Hosts- und Shinken-Konfigurationsdateien
entsprechend erweitern:
# hosts.cfg
define host {
host_name Server_A
realm A
…
define host {
host_name Server_B
realm B
…
# shinken shinken-specific.cfg
define realm{
realm_name A
default 1
}
define realm{
realm_name B
}
define scheduler{
scheduler_name scheduler scheduler-a
node shinkensrv1.server.de
…
}
define scheduler {
scheduler_name scheduler scheduler-B
node shinken.server.com
…
}
Verteilte Konfigurationen
mithilfe von Realms
S51-55_ITA_0311_P05.qxp
17.02.2011
15:40
Seite 3
PRAXIS I Workshop
tionsdatei c:\shinken\etc\objects\contacts\contacts.cfg bearbeiten. Passen Sie die E-Mailadresse des Shinken-Administrators an,
um Warnungen zu erhalten. Damit ist
Shinken einsatzbereit.
Installation unter Linux
Wollen Sie Shinken unter Linux ausführen, benötigen Sie als Systemvoraussetzungen Python 2.4 oder höher, Pyro und
Git. Führen Sie Shinken auf einem Debian-basierten System aus, so installieren
Sie die benötigten Komponenten einfach
mit folgendem Befehl:
sudo apt-get install python pyro
git-core
Der nächste Schritt dient dem Erstellen
eines neuen Shinken-Accounts.Wechseln
Sie zu Root und erzeugen Sie einen Shinken-Account:
/usr/sbin/useradd -m shinken
passwd shinken
In diesem Fall sind der Benutzername
und das Passwort identisch, also “shinken”. Laden Sie sich dann Shinken herunter, entpacken Sie das Archiv und
starten Sie die Installation:
sudo python setup.py install
—install-scripts=/usr/bin
Als Nächstes sind auch unter Linux einige Anpassungen der Konfigurationsdateien erforderlich. Shinken wird standardmäßig in das Verzeichnis “/etc/shinken/”
installiert. Sie sollten zumindest die
E-Mailadresse des Administrators anpassen. Mit dem nächsten Schritt installieren
Sie die Nagios-Plug-Ins. Unter Debian
führen Sie dazu folgenden Befehl aus:
sudo apt-get install nagios-plugins
Der nächste Schritt dient der Startkonfiguration von Shinken. Sollen die verschiedenen Prozesse bei jedem Systemstart ausgeführt werden, führen Sie die
folgenden Befehle aus:
sudo ln -s /etc/init.d/
shinken-scheduler/etc/rcS.d/
S98shinken-scheduler
sudo ln -s /etc/init.d/shinken-poller
/etc/rcS.d/S98shinken-poller
sudo ln -s /etc/init.d/
shinken-reactionner /etc/rcS.d/
S98shinken-reactionner
sudo ln -s /etc/init.d/shinken-broker
/etc/rcS.d/S98shinken-broker
sudo ln -s /etc/init.d/shinken-arbiter
/etc/rcS.d/S98shinken-arbiter
Alternativ können Sie auch das Kommando ./launch_all.sh ausführen. Mit folgendem Befehl verifizieren Sie unter Linux die Konfigurationsdateien:
/usr/bin/shinken-arbiter -v -c
/etc/shinken/nagios.cfg -c
/etc/shinken/shinken-specific.cfg
Tritt dabei kein Fehler auf, können Sie
Shinken starten:
sudo /etc/init.d/shinken-scheduler
start
sudo /etc/init.d/shinken-poller
start
sudo /etc/init.d/shinken-broker
start
sudo /etc/init.d/shinken-reactionner
start
sudo /etc/init.d/shinken-arbiter
start
Nun können Sie auf die Web-Schnittstelle
von Shinken über die URL http://shinken-4-0_bzw_ip-adresse:3000 zugreifen.
Shinken-Konfiguration
Shinken verwendet verschiedene Konfigurationsdateien, die Sie an Ihre Umgebung
und an Ihre Bedürfnisse anpassen müssen.
Gerade als Einsteiger sollten Sie sich Zeit
lassen mit dem Kennenlernen der unzähligen Möglichkeiten. Ihre Installation kommt
mit verschiedenen Beispielkonfigurationsdateien daher, die unter “/usr/local/shinken/etc/” abgelegt sind. Sie besitzen die
Dateierweiterung *.cfg. In der Hauptkonfigurationsdatei sind eine Vielzahl von sys-
temübergreifenden Einstellungen definiert.
Dazu gehören insbesondere verschiedene
Pfadeinstellungen, die Benutzer und die
Protokollvariablen. Das Format für die Protokolldateien lautet log_file={dateiname}. Ein
konkretes Beispiel lautet etwa:
log_file=/usr/local/shinken/var/
nagios.log
Mit dieser Einstellung bestimmen Sie, wo
die Hauptprotokolldatei abgelegt wird.
Wenn Sie die Logfile-Rotation aktivieren, wird diese Datei täglich rotiert.
Mit der sogenannten Objektkonfiguration
bestimmen Sie, welche Objektdefinitionen
Shinken für das Monitoring verwendet. In
diesen Definitionen sind Hosts, Host-Gruppen, Kontakte et cetera zusammengefasst.
Das Format für die Verwendung von Objektdefinitionen ähnelt mit cfg_file={Dateiname} dem Format für Protokolldateien.
Hier einige Beispiele, wie die Konfiguration in der Praxis aussehen kann:
cfg_file=/usr/local/shinken/etc/
hosts.cfg
services.cfg
commands.cfg
Die Objektdefinitionen werden standardmäßig in speziellen Definitionsverzeichnissen abgelegt. Dabei behandelt Shinken alle
Dateien mit der Dateierweiterung *.cfg als
Objektdefinition. Es empfiehlt sich, Objektdefinitionen in unterschiedlichen Verzeichnissen abzulegen. Eine typische Konfiguration kann wie folgt aussehen:
cfg_dir=/usr/local/shinken/etc/
commands
cfg_dir=/usr/local/shinken/etc/
services
cfg_dir=/usr/local/shinken/etc/hosts
In der Hauptkonfiguration legen Sie zudem den Benutzer für den Arbiter-Prozess fest, den Hauptprozess der ShinkenUmgebung. Das Werkzeug wird von
März 2011
53
S51-55_ITA_0311_P05.qxp
17.02.2011
15:40
Seite 4
PRAXIS I Workshop
diesem User ausgeführt. Das allgemeine
Format lautet nagios_user={Username}. Dies
kann in der Praxis dann so aussehen:
nagios_user=shinken
Hierbei ist wichtig zu wissen: Die Shinken-Prozesse benötigen für ihre Ausführung keine Root-Berechtigungen. Sie
sollten ferner die Gruppe bestimmen, die
den Arbiter-Daemon ausführen kann. Dazu verwenden Sie die Konfiguration nagios_group=shinken.
Die Notification-Optionen, mit denen Sie
die Ausgabe von Meldungen aktivieren, besitzen das Format enable_notifications=0/1.
Mit dem Wert “1” ist die Ausgabe aktiviert.
Die bereits erwähnte Logfile-Rotation konfigurieren Sie mit log_rotation_method=
n/h/d/w/m. Standardmäßig kommt die
Option zum Einsatz, die für die tägliche
Rotation sorgt. Wohin Shinken die archivierten Protokolldateien schreibt, bestimmen Sie mit log_archive_path={Pfad}.
Überwachung von
Windows-Systemen einrichten
Da Windows nach wie vor das mit Abstand
am häufigsten eingesetzte Betriebssystem
ist, sollten Sie sich zunächst mit den Eigenheiten bei der Überwachung dieses Systems befassen. Gerade öffentlich bereitgestellte Dienste von Windows-Servern wie
beispielsweise HTTP, FTP oder E-Mail
können Sie auf einfache Art und Weise mit
Shinken überwachen. Um allerdings private Dienste und deren Attribute von
Windows-Rechnern sammeln zu können,
müssen Sie auf deren Seite einen Agent installieren. Der Agent agiert dabei als Proxy
zwischen den Nagios-Plug-Ins, die für das
eigentliche Monitoring zuständig sind, und
dem Windows-Service beziehungsweise
dem Systemattribut.
Ausbringen von Agenten
Ohne die Installation eines Agenten
kann Shinken leider keine Windows-Interna überwachen. Für welchen Agent
Sie sich dabei entscheiden, ist zunächst
zweitrangig. Aufgrund seiner umfassen-
54
März 2011
den Funktionalität und dem guten Zusammenspiel mit Nagios beziehungsweise Shinken bietet sich der Einsatz des
NSClient++ [5] an. In Verbindung mit
dem Plug-In check_nt, das auf dem Shinken-Server zu installieren ist, können Sie
eine Fülle an Informationen aus dem
Client herauslesen.
Um ein Windows-System zu überwachen,
sind mehrere Schritte erforderlich. Zunächst
müssen Sie auf dem Windows-Rechner
den Monitoring-Agent installieren. Dann
erzeugen Sie auf Seiten des Shinken-Systems die neuen Host- und Service-Definitionen für die Überwachung des Windows-Rechners. Dann führen Sie einen
Neustart des Shinken-Daemons durch, um
die Überwachung zu starten.Wenn Sie sich
Die Hauptkonfigurationsdatei von Shinken trägt nach
wie vor die Dateibezeichnung nagios.cfg. Sie ist wie alle anderen Konfigurationsdateien im /etc-Verzeichnis
zu finden. Hier ein Blick auf die wichtigsten Einträge
samt Erläuterung
# Logdatei für das Broker-Modul
log_file=/tmp/donotusethis.log
# Bestimmt, ob Shinken ausgeführt wird oder nicht.
execute_host_checks=1
execute_service_checks=1
für die Verwendung des NSClient++ entscheiden, finden Sie auf der Projekt-Site
verschiedene Installationspakete. Die erlauben auch das einfache Einrichten als Service
und den Zugriff auf die Client-Protokolle.
Weitere Anpassungen sind auf Seiten des
Windows-Systems nicht erforderlich.
Dienste in Shinken konfigurieren
Als Nächstes müssen Sie sich der Shinken-Konfiguration widmen. Dazu editieren Sie die Konfigurationsdatei windows.cfg.
Wenn Sie den ersten Windows-Host anlegen, den Sie mit Shinken überwachen
wollen, so können Sie einfach die Beispielkonfiguration anpassen. Weisen Sie
dazu insbesondere den Feldern host_name, alias und address die korrekten Werte
zu. Hier ein Beispiel:
# Anzahl an Intervallen
max_service_check_spread=5
max_host_check_spread=5
# Datei, an die externe Kommandos übermittelt werden.
Beachten Sie, dass das in erster Linie eine Möglichkeit für Unix-/Linux-Systeme ist.
command_file=/usr/local/shinken/var/rw/nagios.cmd
# Datumsformat, bislang ungenutzt
date_format=iso8601
# Erlaubt theoretisch das Aktivieren einer eingebetteten Perl-Umgebung, die es aber bislang noch nicht
gibt.
enable_embedded_perl=0
# Verweise zu weiteren Konfigurationsdateien und Templates, die von host/service/contacts verwendet
werden.
cfg_file=commands.cfg
cfg_file=timeperiods.cfg
cfg_file=escalations.cfg
cfg_file=dependencies.cfg
# Nach 10 Sekunden wird der Prüfvorgang abgeschlossen.
service_check_timeout=10
# Templates für Hosts, Services und Kontakte
cfg_file=templates.cfg
# Lock-Datei für den Arbiter-Daemon
lock_file=/usr/local/shinken/var/arbiterd.pid
# Gruppen
cfg_file=servicegroups.cfg
cfg_file=hostgroups.cfg
cfg_file=contactgroups.cfg
# Auf 1 gesetzt, werden alle Hinweis- und
Warnmeldungen unterdrückt.
disable_old_nagios_parameters_whining=0
# Die realen Hosts, Services und Kontakte
cfg_dir=objects/hosts
cfg_dir=objects/services
cfg_dir=objects/contacts
# Maximaler Plug-In-Output
max_plugins_output_length=8192
# Erlaubt das Setzen der Zeitzone, sofern das
erforderlich ist.
#use_timezone=FR/Paris
# Einige Makros
resource_file=resource.cfg
# Diese Option sollten Sie nicht aktivieren, da sie
den Prozessor massiv belastet.
use_large_installation_tweaks=1
enable_environment_macros=0
# Dummy-Konfiguration mit 150 Hosts, jeder mit zehn
Services
#cfg_file=host-150.cfg
#cfg_file=services-150h-1500srv.cfg
# Benutzer, der den Arbiter-Daemon verwendet.
Standardmäßig ist das shinken/shinken.
#shinken_user=shinken
#shinken_group=shinken
Die Hauptkonfigurationsdatei von Shinken
S51-55_ITA_0311_P05.qxp
17.02.2011
15:40
Seite 5
PRAXIS I Workshop
host_name winserver
service_description Explorer
check_command check_nt!PROCSTATE!-d
SHOWALL -l Explorer.exe
}
Bild 2: Shinken greift für die eher schlichte Web-basierte Darstellung der Daten auf Truk zurück
define host{
Use windows-server ; Erbt die Standardwerte des Windows-Server-Templates.
host_name win_server
alias Windows Server
address 192.168.1.2
}
Fügen Sie dann verschiedene Dienstdefinitionen der gleichen Konfigurationsdatei hinzu, damit Shinken auch weiß, welche Services für Sie von Interesse sind. Mit der
nachfolgenden Service-Definition binden
Sie den NSClient++ in das Monitoring ein:
define service{
use generic-service
host_name winserver
service_description NSClient++
Version
check_command check_nt!CLIENTVERSION
}
Um die Betriebszeit des Servers zu überwachen, fügen Sie folgende Service-Definition der Konfiguration hinzu:
gabe einer CRITICAL-Warnung zu sorgen, wenn die Auslastung fünf Minuten
lang über 90 Prozent liegt, und eine
WARNING-Meldung, wenn die Auslastung fünf Minuten lang über 80 Prozent
liegt, verwenden Sie folgenden Code:
define service{
use generic-service
host_name winserver
service_description CPU Load
check_command check_nt!CPULOAD!
-l 5,80,90
}
Um eine CRITICAL-Meldung bei einer
Speicherplatzbelegung von Laufwerk C
bei über 90 Prozent und einer WARNING-Meldung bei einerAuslastung von
über 80 Prozent zu sorgen, verwenden
Sie folgende Service-Definition:
define service{
use generic-service
host_name winserver
service_description C:\ Drive Space
check_command check_nt!USEDDISKSPACE!-l c -w 80 -c 90
}
define service{
use generic-service
host_name winserver
service_description Uptime
check_command check_nt!UPTIME
}
Wenn Sie den Prozess Explorer.exe auf
dem Windows-System überwachen und
eine kritische Warnung ausgeben wollen,
wenn der Prozess nicht ausgeführt wird,
erreichen Sie das mit folgender Definition:
Um die CPU-Auslastung des WindowsServers zu überwachen und für die Aus-
define service{
use generic-service
Damit wären einige er ste typische
Dienstdefinitionen angelegt und Sie können die Konfigurationsdatei speichern.
Sollte der Zugriff auf den NSClient++Client passwortgeschützt sein, so müssen Sie das Passwort in die check_nt-Definition einschließen. Dazu editieren Sie
die Konfigurationsdatei commands.cfg. Hier
ein Beispiel:
define command{
command_name check_nt
command_line ${User1}$/check_nt -H
${Hostadresse}$ -p 12489 -s PASSWORT -v $ARG1$ $ARG2$
}
Nach dem Sichern der Definition steht
dann einem passwortgeschützten Zugriff
nichts im Weg. Eine Fülle weiterer
Dienste-Beispiele finden Sie im Shinken-Wiki. Für die Überwachung von
Linux- beziehungsweise Unix-systeminternen Daten greifen Sie zum NRPEAdd-on. NRPE erlaubt die Ausführung
von Plug-Ins auf Linux- und Unix-Systemen. Damit können Sie beispielsweise
lokale Ressourcen und Attribute wie die
Festplattenbelegung, die vorhandene
CPU-Last und die Speicherverwendung
überwachen. (ln)
[1] Shinken
B3P51
[2] Python für Windows
B3P52
[3] Pyro-Library
B3P53
[4] Windows Ressource Kit
B3P54
[5] NSClient++
B3P55
Link-Codes
März 2011
55
S34-39_ITA_0411_P06_Libelle_ExchangeTraining.qxp
24.03.2011
19:51
Seite 2
PRAXIS I Workshop
Apple iPad im Unternehmenseinsatz
iPadministrator
von Christian Knermann
eim ersten Einschalten weist das
Gerät in unmissverständlicher Bildsprache darauf hin, dass es über USB mit
einem Computer verbunden werden
möchte, auf dem die Apple-Software iTunes installiert ist. Ohne die Freischaltung über iTunes ist das iPad nicht verwendbar. iTunes ist für Mac OS X ab
Version 10.5 sowie Windows ab XP SP2
verfügbar. Für die 64-Bit-Varianten von
Windows Vista und 7 gibt es einen separaten Installer [1].
B
Bei der Installation werden neben iTunes
selbst weitere Komponenten installiert:
“Bonjour” dient der automatischen Erkennung weiterer Apple-Dienste und
-Geräte im Netz. Dazu wird ein entsprechender Systemdienst eingerichtet. Der
“Apple Mobile Device Support” dient der
Anbindung des iPad und verankert sich
mit zwei Diensten im System, dem “Apple Mobile Device” und dem “iPod Service”. Hinzu kommt der “iTunesHelper”
als systemweites Autostart-Objekt, das dafür sorgt, dass iTunes automatisch startet,
sobald das iPad angeschlossen wird.
Weiterhin werden die Multimedia-Umgebung Quicktime sowie Apple Applica-
34
April 2011
tion Support als Voraussetzungen für
iTunes installiert. Zu guter Letzt hält Apple Software Update alle Komponenten auf
aktuellem Stand. Die Update-Funktion
war in der Vergangenheit in die Kritik geraten, da sie standardmäßig weitere Apple-Software wie den Browser Safari zur
Installation selektierte. Inzwischen ist diese Einstellung aber geändert worden. Die
zusätzlichen Komponenten werden zwar
weiterhin angeboten, müssen nun aber
explizit ausgewählt werden, falls die Installation gewünscht ist.
Aktivierung nur mit iTunes
Ist das iPad nach der Installation von iTunes mit dem Rechner verbunden, so
wird es aktiviert. Im Verlauf dieses Prozesses verlangt iTunes nach einer Apple
ID beziehungsweise einem iTunes Account. Ein solcher lässt sich auch vorab
oder nach Aktivierung des iPads über das
Menü “Store / Benutzer-Account erstellen…” anlegen. In beiden Fällen ist wahlweise eine Kreditkarte oder ein clickandbuy-Konto als Zahlungsmethode für
im iTunes Store erworbene Medieninhalte und Apps anzugeben. Dies lässt sich
umgehen, indem zunächst über den App
Store eine beliebige Gratis-App geladen
Quelle: apple.com
Adressierte Apple mit iPhone und iPad zunächst hauptsächlich den Consumer-Markt, erfreuen sich die Geräte nicht
zuletzt seit Erscheinen des iPhone 4 auch im geschäftlichen Umfeld
zunehmender Beliebtheit. Mit dem Betriebssystem-Update auf iOS 4.2.1
haben vom iPhone bekannte Funktionen wie das Multitasking ihren
Weg auch auf das iPad gefunden. Für Administratoren stellen sich in
Sachen iPad hauptsächlich die Fragen, welche Funktionen zur
Verwaltung sich bieten und ob das Gerät auch zu administrativen
Zwecken taugt. Diesen Fragen sind wir mit dem Einstiegsmodell
mit 16 GByte und Wi-Fi-Unterstützung nachgegangen.
und erst dann der Benutzer-Account erzeugt wird. Dann ist als zusätzliche Zahlungsart die Option “Keine” verfügbar.
Das genaue Vorgehen beschreibt ein Apple Support-Artikel [2]. Einmal freigeschaltet, kann das iPad wahlweise über
iTunes mit Apps und Medieninhalten betankt werden oder aber selbständig per
WLAN kommunizieren.
Die entsprechenden Konfigurationsoptionen finden sich unter dem Punkt “Einstellungen” im Menü “Allgemein / Netzwerk”. Sofern eine Internetverbindung
nicht automatisch erkannt wird, ist es dort
sowohl möglich Wi-Fi-Netze als auch
VPN-Verbindungen anzulegen. Falls es
sich um ein verstecktes Funknetz handelt, kann der Benutzer die SSID manuell eingeben. Es werden die Verschlüsselungstypen WEP,WPA und WPA2 unterstützt – die letzteren beiden sowohl in
der Personal-Variante mit Preshared-Key
als auch in der Enterprise-Variante mit
Radius-Authentifizierung, die alle ohne
Komplikationen funktionierten.
Es ist weiterhin möglich, ein oder mehrere VPN-Profile zu verwalten [3]. Unterstützt werden L2TP, PPTP und Cisco IP-
24.03.2011
19:51
Seite 3
PRAXIS I Workshop
Sec. Pro VPN-Profil lässt sich jeweils ein
separater Webproxy eintragen. Darüber hinaus sind im App Store zusätzliche Clients
für mehrere SSL-VPN Varianten kostenfrei verfügbar, darunter unter anderem Cisco AnyConnect. Weitere Informationen
liefern zwei Apple Support-Artikel [4,5].
Wir verbanden uns mittels Preshared-Key
testweise mit einer Cisco ASA, was ohne
Probleme gelang. Bei jedem Verbindungsaufbau ist das individuelle Passwort
erneut einzugeben. Es ist nicht möglich,
das Passwort dauerhaft im Gerät zu speichern. Ist der Netzwerkkontakt etabliert,
stellt sich die Frage nach den grundlegenden Funktionen, wie sie im geschäftlichen Alltag gefragt sind.
Arbeiten mit Browser, E-Mail & Co.
Das iPad bringt Apples Browser Safari
mit, der auf dem Rendering-Engine
WebKit basiert und durch das Zoomen
mittels Fingergesten einen angenehmen
Umgang mit Webinhalten ermöglicht –
natürlich nur, solange diese nicht als
Flash-Objekt vorliegen. In den Einstellungen können Sie im Menü “Safari” einige Parameter setzen. Als Suchmaschinen stehen Google,Yahoo! und Bing zur
Wahl. Der Punkt “Betrugswarnung” deaktiviert, falls gewünscht, den integrierten
Phishing-Filter.Auch JavaScript und der
Pop-Up Blocker können einzeln aktiviert oder deaktiviert werden. Cookies
werden standardmäßig nur von besuchten
Seiten akzeptiert. Alternativ stehen die
Optionen “Nie” oder “Immer” zur Wahl.
Letzteres lässt auch Cookies von Drittanbietern zu. Die Kontrolle über gespeicherte Inhalte ist eher rudimentär.Verlauf, Cookies und Cache lassen sich
jeweils nur komplett löschen.
Der Zugriff auf E-Mail, Kalender, Kontakte und Notizen erfolgt auf dem iPad
über vier einzelne Apps, die im grundlegenden Funktionsumfang des Geräts enthalten sind. In den Einstellungen können
unter “Mail, Kontakte, Kalender” entsprechende Accounts angelegt werden.
Neben Microsoft Exchange werden unter
anderem Google Mail- und Yahoo-Konten unterstützt. Über den Punkt “Andere”
lassen sich IMAP- und POP-Server ansprechen.Wir legten zwei Mail-Accounts
an, ein Postfach auf einem Microsoft Exchange Server 2003, der per Microsoft
ISA Server und Outlook Web Access SSLgesichert im Web erreichbar ist, sowie ein
IMAP-Postfach. Im ersten Fall war neben der E-Mailadresse und Anmeldeinformationen für die Windows-Domäne
lediglich der FQDN des ISA-Servers erforderlich, um SSL-verschlüsselt auf den
Exchange-Server zuzugreifen.
ten chronologisch sortiert in einer gemeinsamen Ansicht.
Anwender können so allerdings nur EMail, Kontakte und Kalenderobjekte synchronisieren. Ein Zugriff auf die Notizen
des Exchange-Postfachs ist auf diesem Weg
nicht möglich, dies funktioniert nur auf
dem Umweg über iTunes. Push-Mail, also die umgehende Benachrichtigung über
neue E-Mails, kommt standardmäßig nur
für den Posteingang zum Tragen. Soll dies
auch für weitere Ordner des Postfachs erfolgen, müssen Sie die entsprechenden
Unterordner explizit auswählen. Hierbei
und beim Arbeiten mit den Postfächern
zeigte sich, dass der Mailclient von iOS
4.2.1 einen Kritikpunkt nach wie vor
nicht ausräumt: So wird in der Ordnerauswahl die komplette Ordnerhierarchie
immer vollständig expandiert. Wer mit
vielen Unterordnern arbeitet, ist damit zu
häufigem Scrollen gezwungen.
Zentrales Management
nur mit starken Einschränkungen
Bei der Integration des IMAP-Postfachs
hinterlegen Anwender die Posteingangsund -ausgangsserver mit den entsprechenden Anmeldeinformationen. Neben
den E-Mails können via IMAP auch Notizen synchronisiert werden. Ein Abgleich
per Push ist nicht möglich, stattdessen
kann das Laden neuer E-Mails wahlweise manuell oder zeitgesteuert erfolgen,
wobei Intervalle von 15, 30 oder 60 Minuten zur Auswahl stehen. Der Zugriff
auf mehrere Mail-Accounts ist auf einfache Weise möglich. Die Mail-App fasst
über die Ansicht “Alle” die Posteingänge
der angebundenen Accounts zusammen.
Somit erscheinen die E-Mails aller Kon-
Der Mail-Client bietet Unterstützung für
gängige Attachements wie Grafikformate
(GIF, JPEG, PNG, TIFF), Text-Formate
(TXT, RTF), Adobe PDF, die Anwendungen der Apple iWork Suite sowie Microsoft Office-Formate. Dabei werden
Word, Excel und Powerpoint der Versionen 97 bis hin zum aktuellen Office 2010
erkannt und in einem Viewer geöffnet.
Von dort lassen sich die Dokumente je
nach Typ in anderen Apps öffnen.
Alle bislang beschriebenen Konfigurationsschritte haben wir direkt am Gerät
vorgenommen. Über iTunes wird das iPad
zwar aktiviert und mit iOS-Updates versorgt (zudem wird jeweils ein Backup des
Geräts angelegt, sobald es mit iTunes verbunden wird), auf diesem Weg lassen sich
aber keine Einstellungen zentralisiert propagieren. Um im Unternehmensumfeld
zahlreiche iPads auszurollen, müsste ein
Administrator entweder sämtliche Geräte
von Hand vorkonfigurieren oder auf entsprechend versierte Endanwender hoffen.
Sind die Geräte dann einmal verteilt, ist
zudem kein zentrales Management und
keine Kontrolle unternehmensweiter Sicherheitsrichtlinien mehr möglich.
Erschwerend kommt hinzu, dass ein iPad
mit einer iTunes-Installation in einer 1zu-1-Beziehung steht.Wird das iPad mit
einer anderen iTunes-Instanz verbunden,
so lassen sich mit dem iPad gekaufte Apps
und Inhalte zwar übertragen, dies ist aber
deutlich zeitaufwändiger als ein regulärer
Synchronisationsvorgang, so dass es sich
in der Praxis nicht empfiehlt, ein iPad
häufig an unterschiedlichen Rechnern zu
verwenden.Verfügt ein Endanwender
selbst über eine iTunes-Installation, entzieht sich ein iPad somit weitestgehend
der Fürsorge des Administrators.
Es ist möglich, iTunes über Registrierungsschlüssel restriktiv zu konfigurieren
April 2011
35
24.03.2011
19:51
Seite 4
PRAXIS I Workshop
[6], und wenn die entsprechenden ClientComputer einer Active Directory Domäne angehören, lassen sich diese Einstellungen auch als Gruppenrichtlinie zentral
verteilen.Auf diesem Weg wird natürlich
nur iTunes beeinflusst und nicht das iPad
selbst. Um dieses Thema zu adressieren,
stellt Apple einige Ressourcen [7] bereit,
allen voran das kostenlose iPhone-Konfigurationsprogramm 3.2. Das Tool ist für
Microsoft Windows [8] und Mac OS X
[9] verfügbar und trotz seines Namens
auch auf das iPad anwendbar.
Die Oberfläche des Tools ist an iTunes angelehnt. In einer Leiste am linken Bildschirmrand verwalten Sie innerhalb einer
Bibliothek mehrere Geräte, indem Sie ihnen Konfigurationsprofile zuweisen. Der
gleichnamige Ordner ist anfänglich noch
leer. Über die Schaltfläche “Neu” legen Sie
ein neues Profil an, das mit einem eindeutigen Namen versehen werden muss. Die
Dropdown-Box unter dem Punkt “Sicherheit” stellt zur Wahl, ob es dem Endanwender erlaubt ist, das Profil wieder vom
iPad zu entfernen. Die Einstellung “Nie”
verbietet dies und sperrt durch das Profil
vorgegebene Einstellungen gegen Änderungen. Die Möglichkeiten der Profile gehen über die Einstellungen hinaus, die am
Gerät selbst möglich sind. So können Sie
die Code-Sperre an die Sicherheitsanforderungen des Unternehmens anpassen und
beispielsweise erzwingen, dass ein alphanumerisches Passwort nötig ist. Es kann eine Ablauffrist zwischen einem und 730 Tagen definiert werden, nach der der Code
geändert werden muss. Sofern gewünscht
ist, dass sich das Gerät nach Falscheingabe
des Codes selbständig löscht, konfigurieren Sie zwischen einem und 16 Fehlversuchen (in den lokalen Einstellungen des
iPad lässt sich die Vorgabe von zehn Fehlversuchen ohne das Konfigurationsprogramm nicht ändern).
Im Bereich der “Einschränkungen” finden
sich einige Einstellungen, die sich auf das
iPhone beziehen und auf das iPad nicht anwendbar sind. Dies betrifft zum Beispiel die
Verwendung der beim iPad nicht vorhan-
36
April 2011
denen Kamera. Andere Optionen haben
im Unternehmensumfeld durchaus auch
auf dem iPad ihre Daseinsberechtigung. So
ist es möglich, die Verwendung von Youtube oder dem iTunes Music Store zu verbieten, sowie verschlüsselte Backups zu
erzwingen. Letzteres ist dringend zu empfehlen, da sämtliche Einstellungen und Inhalte vom iPad in ein Backup wandern.
Ist ein Profil fertig konfiguriert, lässt es
sich über die Geräte-Ansicht installieren.
Es wird dabei allerdings nicht sofort angewendet. Die Installation muss der Anwender auf dem iPad manuell bestätigen.
Alternativ zur direkten Installation via
USB können Sie ein Konfigurationsprofil auch als E-Mail-Anhang oder WebDownload verteilen. Dazu bietet das
Konfigurationsprogramm eine ExportOption, die ein Profil als XML-Datei mit
der Endung *.mobileconfig speichert.
Die Sicherheitsoption “Konfigurationsprofil signieren” schützt das Profil zwar
gegen nachträgliche Änderungen, es ist
aber lesbar und enthält beispielsweise
WLAN-Schlüssel im Klartext.
Die dritte Option “Verschlüsseltes, signiertes Konfigurationsprofil für dieses
Gerät erstellen” verschlüsselt das Profil
komplett. Es wird dabei aber pro zu konfigurierendem iPad eine eigene Datei erzeugt, was den Rollout an eine größere
Anzahl von Endgeräten erschwert. Hinzu
kommt, dass es in allen Fällen dem Endanwender überlassen bleibt, die Installation des Profils durchzuführen. Es ist somit
auf diesem Weg nicht möglich, zentrale
Vorgaben automatisiert auf einer größeren Anzahl von Endgeräten durchzusetzen und nachträglich zu verändern. Sofern eines der E-Mailkonten auf einem
Microsoft Exchange-Server gehostet wird,
bietet sich als Alternative die Konfiguration von ActiveSync-Richtlinien [10] an.
Auf diesem Wege lassen sich zwar längst
nicht alle Einstellungen des iPads adressieren, aber es ist immerhin möglich, den
Passwort-Schutz auf dem Gerät zu erzwingen und Vorgaben zur Komplexität
des Codes zu machen.Weiterhin können
Sie das Gerät über den Exchange-Server
im Verlustfall aus der Ferne zurücksetzen.
Verteilung von Apps
Der zentralen Verteilung von Applikationen steht deren Verknüpfung mit individuellen iTunes-Accounts entgegen. So
wird es im Unternehmensumfeld kaum
praktikabel sein, ein und denselben Firmen-Account mit entsprechenden Zahlungsinformationen auf den iPads aller
Endanwender zu benutzen. Eine Alternative bietet der App Store mit der Option,
Apps zu verschenken. So kann ein Administrator über den Firmen-Account Apps
beschaffen und an User zuweisen, die mit
individuellen iTunes-Accounts – wahlweise mit einer persönlichen oder keiner
Bild 1: Das Konfigurationsprogramm bietet Einstellungen, die lokal auf dem iPad nicht verfügbar sind
24.03.2011
19:52
Seite 5
dungen zu Windows XP,Vista und
7. Der Client “Mocha VNC for iPad”
unterstützt die Spielarten RealVNC,
Tight VNC und
UltraVNC sowie das
Remote-Management von Mac OS
X. Beide Clients sind
als kostenlose Lite
Versionen verfügbar,
die Vollversionen
schlagen mit jeweils
Bild 2: Die Installation eines Profils muss am Gerät bestätigt werden
4,99 Euro zu Buche.
Bereits die Lite VerZahlungsmethode – eingeloggt sind. Die sionen eignen sich für den gelegentlichen
Installation der App muss der Endanwen- Zugriff auf Remote-Systeme, beispielsweise um nach dem Stand der Dinge im
der allerdings selbst durchführen.
Ereignisprotokoll zu sehen. Mauscursor
Wollen Sie jedoch selbstentwickelte Apps und Klicken werden über Fingertippen
verteilen, führt der Weg über eine kos- realisiert. Für Eingaben kommt die virtutenpflichtige Teilnahme an Apples Deve- elle Tastatur des iPads zum Einsatz. Einige
loper Programm. Diese ist erforderlich, Funktionen, die für produktives Arbeiten
da Apps signiert sein müssen, damit das eigentlich unerlässlich sind, so etwa die
iPad sie akzeptiert und ausführt.Apps las- Emulation der rechten Maustaste oder
sen sich in ein sogenanntes Bereitstel- Sondertasten wie die Windows-Taste oder
lungsprofil verpacken und wahlweise über Strg+Alt+Entf, sind allerdings den komiTunes oder das iPhone-Konfigurations- merziellen Varianten vorbehalten. Ähnliprogramm installieren. Details liefert der ches gilt für die App “Telnet for iPad”:
Der grundsätzliche Zugriff auf Linux
“Enterprise Deployment Guide” [11].
Shells ist mit diesem Werkzeug in der
Lite Version möglich. Erweiterte EingaApps für die
ben und Tastenkombinationen bietet auch
Remote-Administration
Soll das iPad für den Administrator auf hier nur die Vollversion für 4,99 Euro. Im
Reisen als alleiniger Begleiter das Note- Test gelangen uns allerdings nur nicht
book komplett ersetzen, stellt sich insbe- mehr ganz zeitgemäße und aus Sichersondere die Frage nach Möglichkeiten heitsgründen nicht wirklich vertretbare
zur Fernwartung und zum Zugriff auf Telnet-Verbindungen, SSH-Verbindungen
Unternehmensanwendungen. Im App kamen nicht zustande.
Store finden sich hierzu einige Clients für
Für SSH-Zugriffe und zudem als VNCunterschiedliche Remote-Protokolle.
Client empfiehlt sich das mit 7,99 Euro
Der dänische Anbieter MochaSoft [12] etwas teurere “iSSH” von Zingersoft [13].
bietet Clients für RDP und VNC.Wenn- Die Software kann mehrere gleichzeitige
gleich der “Remote Desktop for iPad” Verbindungen aufbauen und unterstützt
den Zugr iff auf Microsoft Server- das Multitasking von iOS 4.2.1. Der HerBetriebssysteme aus lizenzrechtlichen steller kündigt auf seiner Webseite zudem
Gründen vom Hersteller offiziell nicht un- die Unterstützung der Protokolle RDP
terstützt, funktioniert dieser doch zufrie- und NoMachine NX sowie einen sepadenstellend. Unterstützt werden Verbin- raten X11-Client an.
24.03.2011
19:52
Seite 6
PRAXIS I Workshop
von Geräten zentral zu verwalten, lassen
die aktuell gebotenen Möglichkeiten
allerdings noch Wünsche offen. Apple
bietet zwar eine Schnittstelle für das kabellose Management [15], überlässt die Entwicklung entsprechender Infrastrukturlösungen aber Drittanbietern.
Bestehen die Ziele vor allem darin, unterwegs grundsätzliche E-Mail- und PIMAufgaben zu erledigen sowie Medieninhalte zu konsumieren, kann das Gerät
allerdings mit seiner Bedienbarkeit und
der langen Akkulaufzeit überzeugen und
gibt sich im Handgepäck deutlich schlanker als ein Netbook. (jp)
[1] iTunes 10.2 für Windows (64 Bit)
B4P61
Bild 3: Der Citrix Receiver for iPad bietet nützliche Zusatzfunktionen,
die die Bedienung von Windows-Applikationen erleichtern
Eine XenApp- oder XenDesktop-Infrastruktur vorausgesetzt, bringt der kostenfreie “Citrix Receiver for iPad” [14] Applikationen und Desktops mittels ICA-Protokoll auf das iPad-Display. Der Client erwartet dazu lediglich die Adresse eines
Webinterface-Servers. Der Zugriff kann
dabei auch von extern SSL-gesichert über
das Citrix Access Gateway erfolgen. Nach
erfolgreicher Authentisierung bietet der
Client sämtliche verfügbaren Ressourcen
in einer optisch an den App Store angelehnten Ansicht an. Einzelne Anwendungen oder Desktops lassen sich mittels Tippen der Startseite des Receiver hinzufügen
und von dort starten.
Fazit
In einer laufenden Session lässt sich am oberen Bildschirmrand eine Leiste ausklappen.
Diese enthält einige Funktionen, welche die
Arbeit auch auf dem kleinen iPad-Display
und ohne externe Tastatur erleichtern. So
ist es möglich, ein On-Screen-Display mit
Pfeiltasten einzublenden, um den Cursor
beispielsweise in Texten zu bewegen. Die
Tastatur blendet das übliche virtuelle Keyboard des iPads ein, das allerdings um eine
zusätzliche Leiste mit Funktionstasten wie
Strg,Alt und Tab ergänzt wurde.Tippen löst
Auch ohne Zusatzprogramme ist das iPad
durch die Unterstützung gängiger OfficeFormate für den geschäftlichen Alltag gut
gerüstet. OpenOffice-Dokumente bleiben allerdings außen vor und auch via
S/MIME verschlüsselte E-Mails liest die
Mail-App nicht, so dass nicht alle Anwendungsfälle abgedeckt sind. In den meisten
Fällen reichten die Funktionen aber aus
und mit den diversen Remote Clients kann
selbst ein Administrator grundlegende Monitoring- und Wartungsaufgaben aus der
Ferne erledigen. Ist eine größere Menge
38
April 2011
einen Mausklick an der entsprechenden
Stelle aus.Alternativ dazu blendet das Trackpad einen Mauszeiger in die Remotesession ein, der sich mittels Wischgesten positionieren lässt. In diesem Modus löst ein
Tippen an beliebiger Stelle einen Mausklick
an der Position des Cursors aus.Tippen mit
zwei Fingern entspricht einem Rechtsklick.
Auch mit diesen Hilfsmitteln lassen sich Remote-Anwendungen natürlich nicht beliebig schnell und flüssig bedienen.Aber immerhin ist es mit dem Receiver möglich,
selbst komplexere Anwendungen zielgerichtet zu steuern.
[2] iTunes App Store-Account
ohne Kreditkarte erstellen
B4P62
[3] VPN unter iOS konfigurieren
B4P63
[4] Unterstützte Protokolle für VPN
B4P64
[5] VPN Server Configuration for iOS 4 Devices
B4P65
[6] Client-Computer unter Windows:
So verwalten Sie Steuerungsfunktionen in iTunes
B4P66
[7] iPad Enterprise-Support
B4P67
[8] iPhone-Konfigurationsprogramm 3.2 für Windows
B4P68
[9] iPhone-Konfigurationsprogramm 3.2 für Mac OS X
B4P69
[10] “iPad in Business Deployment Scenarios
and Device Configuration Overview”
B4P60
[11] “iPhone OS Enterprise Deployment Guide”
B4P6A
[12] MochaSoft
B4P6B
[13] Zingersoft iSSH
B4P6C
[14] Citrix Receiver für iPad
B4P6D
[15] “iPhone in Unternehmen:
Kabellose Anmeldung und Konfiguration”
B4P6E
Link-Codes
S82-84_ITA_1211_S04_S05_EAZAllinclusive_Lancom_ok_ITA_Default 23.11.2011 16:38 Seite 3
Das IT-Administrator
Komplettprogramm!!!
Sichern Sie sich jetzt das IT-Administrator
Jahresabo All-Inclusive mit allen Monatsausgaben, Sonderheften und der Jahres-CD.
Statt Euro 29,90 zahlen Sie dabei für jedes
Sonderheft nur Euro 19,90 – und müssen
keine zusätzliche Bestellung mehr tätigen.
Automatisch bekommen Sie im März
und Oktober jeden Jahres das jeweilige
IT-Administrator Sonderheft und mit
Ihrer Dezemberausgabe die jeweilige
Jahres-CD mit allen Monatsausgaben
des Jahres im PDF-Format zugestellt.
Als bestehender Jahresabonnent
können Sie hier upgraden:
www.it-administrator.de/
abonnements/aboupgrade/
Oder Sie sind Neukunde? Hier können Sie bestellen:
www.it-administrator.de/
abonnements/jahresabo/
Verlag / Herausgeber
Heinemann Verlag GmbH
Leopoldstraße 85
D-80802 München
Vertrieb, Abo- und Leserservice IT-Administrator
Tel: 0049-89-4445408-0
Fax: 0049-89-4445408-99
[email protected]
Herr Stephan Orgel
D-65341 Eltville
Tel: 06123/9238-251
Fax: 06123/9238-252
[email protected]

Leseprobe - IT-Administrator

Transcrição

Documentos relacionados

001-190, Rombold2.qxp

Anmeldung eines Administrators zum R+V

Leseprobe - IT-Administrator

Intranator Business Server jetzt schneller, flexibler und

Netzwerktechnik CHS Villach Mag. Rainer Swatek Dauer: 2

Anleitung für CHKRIGNT.EXE unter W2K 1. Beenden Sie an allen

Testen Sie jetzt die Virtuelle Franchise-Messe! Info

Hilfen zur fehlerfreien Installation - Mediator

Leitbild der Ita Wegman Schule Benefeld

Trauergruppe nach dem suizid – - Institut für Trauerarbeit (ITA)