Virtualisierung erfolgreich einführen
Transcrição
Virtualisierung erfolgreich einführen
VOLLVE RSION AU F DVD VOLLVE RSION AU F DVD OpenOffice PrOOo-Box 2.3.1 Intranator (10-User-Lizenz) Business Server 5 Deutschland € 7,99 | Schweiz sfr 16,00 | Österreich, Benelux € 8,90 www.pcwelt.de NR. 3/2008 APRIL, MAI, JUNI 2008 LINUX PRO Kosten sparen Mit DVD 15 x Linux Profi-Linux-Distributionen ❱ Ubuntustudio 7.10 ❱ Fedora 8 ❱ KANOTIX 2007 Linux fürs Business ❱ Open-Xchange Express ❱ Virtuozzo 4.0 Linux-Firewalls ❱ IPCop 1.4 ❱ Engarde Firewall 3 ❱ Endian 2.2 Linux für Admins ❱ FreeNAS 0.686 ❱ GParted-Live-CD 0.3.4 ❱ Damn Small Linux 4.2 ❱ INSERT 1.3.9b ❱ SystemRescue-CD 0.4.3 im Netzwerk TRENDTHEMA: GREEN I T ❱ So entlarven Sie die größten Stromfresser im LAN ❱ So sparen Sie Energie und Platz mit Blade-Servern ❱ So schonen Sie Ressourcen durch Virtualisierung Sicherheit für Ihre Daten ❱ Profi-Tipps zur Datenwiederherstellung & Sicherheit ❱ Linux-Server und -Clients im LAN überwachen DT-Control LINUX PRO geprüft: Beiliegender Datenträger ist nicht jugendbeeinträchtigend E-Mails perfekt im Griff ❱ So setzen Sie einen Mailserver auf ❱ So perfektionieren Sie den Newsletter-Versand TEST TECHNIK Neuer Linux-PDA Nokia N810 Open Source: Freie Software auf dem Vormarsch Wireless USB: Neuer Standard für externe Hardware Sicherheit: Linux-Bordwerkzeuge richtig nutzen 1000_titel_lipro3_08_cs2.indd 1 24.04.2007 17:37:48 Uhr 6 INHALT TITELTHEMEN IN ROT LINUX PRO NEWS & STORIES 12 | ENDLICH DA! KDE 4 Lange hat es gedauert, bis das K Desktop Environment 4 den finalen Segen seiner Entwickler bekommen hat. Trotz einiger Schwächen und Fehler präsentiert sich KDE 4 von einer guten Seite 3/08 GREEN IT 10 | TRENDS FÜR 2008 Green IT, Virtualisierung und Open-SourceLösungen für Unternehmen werden die ITLandschaft in diesem Jahr bestimmen 24 | ENERGIEFRESSER ADE Die Unternehmens-IT soll zukünftig deutlich weniger Energie verbrauchen und besser ausgelastet sein. Was steckt hinter den Vorhaben? 12 | WAS BRINGT KDE 4? Die Kritik der Community an der neuen Generation der beliebten Linux-Oberfläche ist groß. Wir kennen die Neuerungen, Schwachstellen und Highlights von KDE 4 28 | DIE ZUKUNFT WIRD GRÜN Mit intelligenten, grünen IT-Konzepten lassen sich Server-Kapazitäten optimal ausnutzen 16 | VERTEILTES RISIKO Statt auf nur einen Outsourcing-Partner setzen viele Unternehmen auf MultisourcingProjekte mit mehreren Dienstleistern 18 | INTERESSEN-VERTRETUNG Die Open Source Business Foundation vertritt als Netzwerk die Entwickler, Anbieter und Nutzer von Open-Source-Software und bündelt die vorhandenen Kompetenzen 20 | PROFI-OPEN-SOURCE Freie Software dringt langsam, aber sicher in mehr und mehr Bereiche der UnternehmensIT vor. Wir wissen, wo Open Source schon jetzt eine Konkurrenz zu kommerziellen Produkten ist und wo die Hemmschwelle bei der Einführung liegt 30 | VIRTUALISIERUNG SPART Ohne gezielte Planung und zukunftsweisende Strategie sind die meisten Virtualisierungprojekte zum Scheitern verurteilt 38 | VORTEIL BLADE-SERVER Kompakte Server helfen Unternehmen, Platz und Energie im Rechenzentrum zu sparen 40 | DIE ZUKUNFT GIBT’S HEUTE Host Europe hat in Köln ein Rechenzentrum gebaut, das Vorgaben an Green IT erfüllt 42 | STROMFRESSER ENTLARVT Viele Netzteile sind nicht energieeffizent und vergeuden Strom sinnlos als Abwärme. Wir zeigen, wie Unternehmen mit 80-Plus-Netzteilen richtig Geld sparen können 48 | GÜNSTIGER ZWEIT-PC Mit der Open-Source-Software Virtualbox lassen sich Windows-Anwendungen in einem Fenster auf einem Linux-PC starten – umgekehrt klappt das natürlich auch 20 | WIDERSTÄNDE BRECHEN Open-Source-Lösungen müssen den Vergleich mit kommerziellen Produkten nicht scheuen. Trotz Kostenvorteilen sprechen ungeklärte Supportzuständigkeiten oftmals gegen den Einsatz freier Software 006_007_1003_sh_lipro3_08.indd 6 27.04.2007 15:23:52 Uhr 3/08 INHALT LINUX PRO TEST & TECHNIK 52 | SICHERHEIT FÜR EXISTENZEN Mit unterschiedlichen Lösungen lassen sich unternehmenskritische Internet-Anwendungen intern oder extern sicher betreiben 56 | DAS ENDE DES KABELSALATS Die neue Funktechnologie Wireless USB verbindet Hardware auf kurzen Entfernungen und ermöglicht hohe Übertragungsraten 60 | SICHERE LINUX-SYSTEME Linux gilt zwar als sicherer als Windows, für den Aufbau der Grundsicherheit müssen Admins dennoch viele Aspekte beachten 68 | HOCHVERFÜGBARKEIT Mit dem Open-Source-Tool DRBD lassen sich wichtige Daten im Netzwerk spiegeln 72 | ALL-IN-ONE-SERVER IM TEST Der Intranator Business Server 5 soll alle Anforderungen an einen Kommunikationsserver in einem Produkt vereinen. Ist das so? 7 PRAXIS 80 | TIPPS UND TRICKS Mit Werkzeugen und passenden Kommandos retten Sie etwa korrupte Linux-Systeme 86 | ZABBIX IM EINSATZ Administratoren überwachen Dienste und Anwendungen auf Linux-Servern im LAN 94 | EINBRECHER AUFSPÜREN Wir zeigen Ihnen, wie Sie Eindringlinge aufspüren und Ihr System absichern 98 | AXIGEN MAILSERVER 5 Die umfassende E-Mail-Schaltzentrale unter Linux installieren und einrichten 104 | E-MAIL-MARKETING Mit OpenEMM versenden Sie Newsletter und steuern zielgerichtete Werbekampagnen 86 | KONTROLLE ÜBER IT-SYSTEME IM LAN Mit einem professionellen Überwachungs- und Monitoring-Tool wie der Open-Source-Lösung Zabbix behalten Administratoren den Überblick über ihre Server im Netzwerk 108 | VERSIONSVERWALTUNG Subversion erleichtert das Teamwork und sorgt im Unternehmen für Wirtschaftlichkeit STANDARDS 112 | SICHER MIT OPENSSH Administratoren sollten unbedingt auf sichere Verbindungen über das Internet setzen 5 | EDITORIAL 115 | IMPRESSUM 116 | VORSCHAU AUF HEFT-DVD 15 x Linux für alle Fälle Vollversion Intranator Business Server 5 Leistungsstarker Web-, E-Mail- und FaxServer für 10 User inklusive Firewall, Virenscanner sowie Internet- und Spamfiltern 78 | LINUX-PDA MIT GPS UND WIRELESS LAN Komplettpaket OpenOffice PrOOo-Box 2.3.1 Das Nokia N810 vereinigt WLAN, GPS und Touchscreen in einem PDA mit Maemo 4 als Open-Source-Betriebssystem. Der Test zeigt, was der PDA in der Praxis leistet Neben OpenOffice in der aktuellsten Version 2.3.1 gibt’s Vorlagen, Add-ons, Cliparts, Schriften, eine Dokumentation sowie eine Rechtschreibprüfung für über 60 Sprachen Profi-Linux-Distributionen Fedora, Kanotix und Ubuntu Die Komplettsysteme mit freier Software stellen zahlreiche, einfach zu nutzende Desktop- C DVD und Administrationswerkzeuge zur Verfügung. Dazu gibt es noch drei in der Praxis bewährte Firewall-Lösungen, Open-Xchange Express als Groupware sowie den Profi Virtualisierer BITTE UMBLÄTTERN! TOOLS UND SYSTEME FÜR LINUX-PROFIS IM DETAIL Virtuozzo. Rettungssysteme gibt’s obendrauf. 006_007_1003_sh_lipro3_08.indd 7 27.04.2007 15:24:28 Uhr 30 GREEN IT Virtualisierung LINUX PRO 3/08 Server-Virtualisierung SPAREN MIT VIRTUALISIERUNG Virtualisierung ist das »Next Big Thing« der IT-Branche und verheißt Kostensenkung, höhere Verfügbarkeit sowie zentrale Verwaltung. Es lauern DIE KONSOLIDIERUNG DES PHYSISCHEN SERVER-WILDWUCHSES auf wenige leistungsstarke Virtualisierungshosts verspricht neben der Einsparung von Hardware und Platz auch vereinfachte Administration sowie neue Funktionen für Hochverfügbarkeit und Desaster-Recovery. Zudem führt die Virtualisierung zu einem deutlich geringeren Energiebedarf (Stichwort: Green IT), was gerade heutzutage eine – nicht nur in Sachen Kosten – wichtige Rolle spielt. Neben XEN (www.cl.cam. ac.uk/Research/SRG/netos/xen/), Parallels (www.parallels.com) oder Microsofts angekündigtem Hyper-V bietet Marktfüh- 030_037_2002_H_lipro3_08.indd 30 rer Vmware (www.vmware.com) mit der Virtual Infrastructure 3 derzeitig die ausgereifteste Virtualisierungslösung. So verwaltet Vmwares Management-Software Virtual Center ganze Farmen von Hosts mit Hunderten virtuellen Maschinen (VM) in einer einheitlichen Konsole. Dies ermöglicht die zentrale Bedienung aller Gastsysteme inklusive Lastauswertung, Überwachung und Automatisierung. Die Funktionen Vmware High Availability (HA) und Distributed Resource Scheduler (DRS) sorgen für automatisches Failover bei Hardware-Ausfällen und für selbstständiges Load-Balancing zwischen den Virtualisierungshosts. Vm- Von Sven Ahnert ware Consolidated Backup sichert Gastsysteme im laufenden Betrieb direkt vom SAN, und Vmware Update Manager kümmert sich um eine zentrale Patch-Verwaltung der Systeme. Schließlich migriert Vmware VMotion Gäste unterbrechungsfrei von einem Host auf den anderen, etwa für Wartungsarbeiten oder zum Lastausgleich. Bei all diesen Vorteilen ist es kein Wunder, dass der aktuelle Hype um Server-Konsolidierung schnell zum überhasteten Start eigener Virtualisierungsprojekte führt. Hinzu kommt ein gewisser Druck des Managements, die oft zitierten positiven Auswirkungen, allen voran Kostenersparnisse, Foto: © Maxim Filipchuk – Fotolia.com aber Fallstricke, an denen Green-IT-Projekte scheitern können. 24.04.2007 11:23:02 Uhr 3/08 GREEN IT Virtualisierung LINUX PRO Lastenausgleich: Beim Load Balancing ermöglicht Distributed Infoquelle: Lastdiagramme mit aktuellen und historischen Daten Resource Scheduler (DRS) verschiedene Automatisierungslevel gehören zur Grundausstattung von Virtual Center schnell umzusetzen. Es ist jedoch ein komplexes Vorhaben, alle Systeme in kürzester Zeit zu virtualisieren. Fehlende Erfahrung führt schnell zu unvorhergesehen Problemen. Genaue Planung und Kenntnis der wichtigsten Konzepte und Fehlerquellen sind Grundvoraussetzung, um die erwarteten positiven Effekte zu realisieren. Virtualisierung erfordert Umdenken Virtuelle Infrastrukturen erfordern das Umdenken der IT-Verantwortlichen, die das Thema häufig noch als reines Server-Problem wahrnehmen. Jedoch genügen Kenntnisse zur Bedienung der Server-Hosts alleine nicht mehr. Auch fundierte Erfahrung in den Bereichen Netzwerk und Storage sind zwingend notwendig, da der Administrator einer virtuellen Infrastruktur mit Begriffen wie VLANs, Trunking und Multipathing konfrontiert wird. Weiterhin ist Wissen zu den unterschiedlichen Gast-Betriebssystemen notwendig, denn der Linux-Server, der bisher unbemerkt im Intranet der Marketing-Abteilung arbeitete, läuft jetzt als virtuelle Maschine im Verantwortungsbereich des Admins. In größeren Umgebungen ist das notwendige Zusammenspiel der einzelnen FachAbteilungen wichtig. Schnell entstehen Kompetenzstreitigkeiten, etwa wenn sich Aufgaben der Netzwerk- oder SAN-Verantwortlichen auf die Server-Admins verlagern. Beispielsweise kann im Netzwerk die VLAN-Verwaltung für die Gast-Systeme direkt auf dem Host erfolgen anstatt am »physischen Switch«. Der Host empfängt den gesammelten Verkehr aller VLANs von einem Trunk-Port des Switches und verteilt die Pakete anhand der VLAN-IDs intern an 030_037_2002_H_lipro3_08.indd 31 die Gäste. Das macht die Netzwerkkonfiguration sehr flexibel und spart physische Ports, allerdings wechseln die Verwaltungskompetenzen vom Switch zum Host. Genauso lassen sich Firewall-Konzepte zwischen einzelnen Abteilungen komplett mit virtuellen Maschinen in virtuellen Netzwerken abbilden, ohne auch nur ein einziges Kabel im „physischen LAN“ umzustecken. Akzeptanzfragen – der menschliche Faktor Neben allen technischen Aspekten spielt der menschliche Faktor eine wichtige Rolle. Die neue Infrastruktur muss akzeptiert werden, da Virtualisierungsprojekte im Allgemeinen zu größeren Umwälzungen inner- halb der gewohnten Infrastruktur führen. Bisher isolierte Abteilungen und Verantwortungsbereiche werden gemeinsam auf den gleichen Servern konsolidiert, die Verwaltung wird zentralisiert, und durch die hinzugekommene Virtualisierungsschicht etablieren sich neue Verantwortliche für die Basistechnik. Nicht zu vernachlässigen ist die Umschichtung von Kosten und Budgets. Durch Virtualisierung sinken die Hardware-Ausgaben deutlich, dafür steigen die Kosten für Software und Lizenzen an. Auch verlangt jedes größere Virtualisierungsprojekt die Bildung einer übergeordneten Projektgruppe, in der Netzwerk-, SAN-, Server- und Software-Abteilungen an einem Tisch sitzen. 31 › DER IDEALE HOST Ein Host sollte bestimmte Vorausset- • Maximal 16 GB pro VM. Hinweis: Overcom- zungen erfüllen. Für eine Übersicht kompatib- mitment ist durch intelligente Speicherverwal- ler Hardware besuchen Sie den Hardware tung des ESX (Swap, Pagesharing, Balloo- Compatibility Guide unter www.vmware. ning) möglich, sollte sich aber im vernünftigen com/support/pubs/vi_pages/vi_pubs_ 35.html. Rahmen bewegen. • Mindestens vier LAN-Ports, beispielsweise • Zwei oder mehr physische Dual- oder Quad- zwei Dualport-Adapter, für optimale Redun- Core-CPUs. Hinweis: Die Lizenzierung des danz und Load Balancing. Besser sechs Ports ESX-Servers erfolgt pro physischem Sockel, also besser zwei Quad-Core- als vier DualCore-CPUs verwenden. • Pro Kern zwei bis vier virtuelle Maschinen, je für höhere Flexibilität. • Zwei HBA (Fibrechannel oder iSCSI) für Redundanz. Lastausgleich nur über Pfade zu unterschiedlichen LUNs. nach Last auch mehr. Gleiches CPU-Modell Bootmedien: für alle Hosts. VMotion funktioniert nicht zwi- • Lokaler Plattenplatz. Diskless mittels Boot via schen AMD und Intel und auch nicht immer zwischen unterschiedlichen CPU-Generationen des gleichen Herstellers. • Zwischen 8 und 64 GB Arbeitsspeicher, 256 GB maximal pro Host. SAN oder ESX3i Embedded. • Speicher für virtuelle Maschinen: LUN im SAN oder NAS-Anbindung (nur NFS). Lokale Platten nur für einzeln stehende Hosts oder für Cluster-VMs. 24.04.2007 16:03:34 Uhr 32 GREEN IT Virtualisierung Diese neuen Anforderungen machen es gerade in der Einführungsphase sinnvoll, auf das Wissen externer Systemhäuser und erfahrener Berater zurückzugreifen. Für den stabilen Betrieb ist zusätzlich die Schulung der eigenen Mitarbeiter notwendig. Dazu bieten einige Hersteller bereits zertifizierte Ausbildungen an, beispielsweise den Vmware Certified Professional (VCP). Genauso wichtig sind aber eigene Erfahrungen. Anstatt auf Biegen und Brechen alle produktiven Systeme in kurzer Zeit in VMs zu übertragen, ist der sanfte Einstieg mit überschaubaren Pilotprojekten in der Praxis ratsamer. Empfehlenswert für kleinere IT-Abteilungen sind erste Schritte mit einem kostenlosen Produkt, wie dem Vmware Server, der auf fast jeder Hardware unter Windows und Linux läuft. Damit können Mitarbeiter Testumgebungen aufbauen, um sich mit der Technologie vertraut zu machen. Zunächst virtualisieren sie einige unkritische Dienste, etwa gering belastete Print-Server oder Intranet-Server. Ein späterer Umzug der Gäste auf den leistungsfähigeren ESX-Server ist mit Lösungen wie Vmware Converter unkompliziert möglich. Die virtuelle Umgebung kann dadurch kontinuierlich ausgebaut werden. Wichtig ist es, Virtualisierung als eine langfristige Strategie und nicht als einmaligen Kraftakt zu begreifen. Wahl des Speicherorts ist wichtig Ein Beispiel für die neuen Anforderungen virtueller Infrastrukturen ist die Planung des Festplattenspeichers. Heutige Serverhosts mit Quad-Core-CPUs und bis zu 128 GB RAM bieten zwar genügend Reserven für Dutzende virtuelle Maschinen (siehe Kasten „Der ideale Host“), der eigentliche Flaschenhals bleibt jedoch die Massenspeicheranbindung. Das Problem verschärft sich vor allem in virtualisierten Umgebungen, in denen viele Gastsysteme simultan vom gleichen Server – mit unterschiedlichen Lastprofilen – auf den Speicher zugreifen. SAN-Admins müssen sich von ihren gewohnten Denkweisen trennen, die meist auf der eindeutigen Zuordnung dedizierter LUNs zu einzelnen Servern beruhen. Viele Firmen führen im Zuge der Virtualisierung ein Speichernetzwerk überhaupt erst ein, was weiteren Schulungsbedarf nach sich zieht. Planungsfehler an dieser Stelle lassen sich später nur schwer korrigieren. Zur Speicheranbindung unterstützt der ESXServer sowohl Fibrechannel als auch iSCSI, Ausfallsicherheit ist die Grundlage für ei- • Ein Storage-Gerät mit mehreren Storage- nen stabilen Betrieb. So viele Komponenten Controllern bietet einen optimalen Ausfallschutz. • Redundante Auslegung von Lüftern, Netz- • Drei Hosts im Cluster sind ideal für High werkkarten, HBAs und lokalen Festplatten Avalibility (HA) und zum Lastausgleich mit des Hosts. Zwei Dual-Port-Adapter sind besser als ein Quad-Port-Adapter. • Pro virtuellem Switch sollten zwei physische Adapter als Uplink an unterschiedlichen physischen Switches angeschlossen sein. • Zwei HBAs dienen zur Speicheranbindung über unterschiedliche physische Switches für Path-Failover. 030_037_2002_H_lipro3_08.indd 32 3/08 Alles an Bord: Redundanzfunktionen wie Multipathing sind im VM-Kernel bereits integriert GRUNDLAGE FÜR EINEN STABILEN BETRIEB wie möglich sollten redundant ausgelegt sein. LINUX PRO Distributed Resource Scheduler (DRS). • Die unterbrechungsfreie Stromversorgung (USV) sollte ebenfalls redundant sein. • Für hohe DR-Anforderungen kommen Storage-Spiegelungen über getrennte Rechenzentren in Frage. • Site Recovery Manager optimiert Workflows für Desaster Recovery. Letzteres mit Software- oder Hardware-Initiator. Eine zusätzliche Alternative ist die Anbindung von NAS-Speicher mit NFS. Üblicherweise arbeiten die Gäste mit virtuellen Festplatten, die als Containerdateien auf LUNs im SAN abgelegt sind. ESX-Server formatiert die LUNs mit dem optimierten Dateisystem VMFS. Neben den Containerdateien der virtuellen Platten liegen dort auch die Konfigurationsdateien der virtuellen Maschinen. Mehrere Hosts verwenden die LUNs gemeinsam als „shared Storage“. Erst das ermöglicht den Start der Gäste auf beliebigen Hosts sowie LiveMigrationen laufender VMs. Die Gastsysteme benutzen die virtuellen Festplatten, ohne genau zu wissen, wo sich die Daten physisch befinden. Auf diesem Wege lässt sich etwa ein virtualisierter Exchange-Server mit getrennten virtuellen Datenträgern für System, Datenbank und Transaktionslogs konfigurieren. Liegen aber alle virtuellen Platten auf der gleichen LUN des Storage-Systems, ist der Leistungszuwachs gleich null. Leistungseinbrüchen vorbeugen In der Vorbereitungsphase müssen einige wichtige Entscheidungen im Zusammenhang mit LUN-Größen, RAID-Konfigurationen und Lastverteilung getroffen werden. Empfehlenswert sind LUNs von 250 bis 500 GB, auf denen jeweils fünf bis zehn virtuelle Platten abgelegt werden. Bei geringerer Auslastung sind deutlich mehr virtuelle Platten pro LUN möglich. Genügt den Gäs- 24.04.2007 11:24:22 Uhr 3/08 LINUX PRO Virtualisierung 33 GREEN IT Gemeinsam stark: Teaming von physischen Adaptern als Uplink ins LAN unterstützt Redundanz und Load Balancing ten die Performance nicht mehr, können virtuelle Platten auf andere LUNs verlagert werden. Zu beachten ist in diesem Zusammenhang: Zu viele kleine LUNs erhöhen den Verwaltungsaufwand im Speichernetz und führen zu einem höheren Platzverschnitt. Zu große LUNs können hingegen zu Leistungsengpässen führen. Perfomance-Probleme entstehen in der Praxis vor allem durch zu viele VMs auf der gleichen LUN. Negative Faktoren sind die gegenseitige Beeinflussung von Plattenzugriffen der Gäste und die zunehmende Anzahl so genannter SCSI-Reservierungen durch Metadaten-Änderungen unter den angebundenen Hosts. Netzwerk-Topologie: LAN und SAN sind mit Hosts verbunden. Alle Geräte sind jeweils zweifach vorhanden 030_037_2002_H_lipro3_08.indd 33 Weiterhin verwenden alle VMs einer LUN die gleiche Queue und den gleichen Zugriffspfad auf dem jeweiligen Host. Lastausgleich vom Host zum Speicher funktioniert also nur über verschiedene Pfade zu unterschiedlichen LUNs. Mehrere eingebaute HBAs dienen bei einer einzigen LUN also nur der Redundanz über die integrierten Multipathing-Funktionen des ESXServers. Erst bei mehreren LUNs können die Zugriffe verteilt werden. Leistungshungrige Gäste, etwa ausgedehnte Datenbanken, erfordern eine genaue Planung des darunter liegenden RAIDLevels. RAID5 bietet optimale Platzausnutzung, RAID10 dagegen maximale Leistung und bessere Ausfallsicherheit. Virtuelle Platten mit sehr hohen Leistungsanforderungen sollten deswegen auf einem separaten RAID-Set von den Zugriffen der übrigen Umgebung isoliert werden. Verschiedene RAID-Sets aus langsamen großen Platten und kleinen schnellen Platten können VMs mit unterschiedlichen Zugriffsprofilen aufnehmen. Speicherbedarf ermitteln In kleineren Umgebungen genügen oftmals zwei bis vier LUNs auf einem einzigen RAID-Set. Je nach physischer Plattenanzahl › 24.04.2007 11:24:42 Uhr 34 GREEN IT Virtualisierung LINUX PRO 3/08 Trotzdem sind Lastmessung und Analyse des Platzbedarfs unbedingte Voraussetzung für die Planung. Planungsfehler frühzeitig erkennen Umschalter: Fällt ein Server im Netzwerk aus, wird die Maschine automatisch auf einen anderen Server verschoben ist es nicht immer sinnvoll, wenige Festplatten in mehrere RAID-Sets aufzuteilen, da wenige Spindeln auch geringe Leistung bedeuten. Die Aufteilung in mehrere LUNs ist trotzdem zu empfehlen, etwa zur Trennung von Produktiv- und Testumgebung oder zum Lastausgleich über unterschiedliche Pfade hinweg. Für sehr große Datenträger oder bei sehr hohen Leistungsanforderungen kann ein Gast auch direkt auf eine physische LUN zugreifen, ohne vorher den Umweg über eine Container-Datei gehen zu müssen. Dieses Raw Device Mapping (RDM) ermöglicht sogar Cluster-Konfigurationen zwischen physischen Maschinen und VMs, deren gemeinsamer Quorum- und Datenspeicher auf shared LUNs liegt. Ein weiteres Kriterium bei der Speicherplanung sind Storage-Spiegelungen für Ausfallszenarien. Diese kostspieligen Lösungen funktionieren meist auf LUN-Basis. Um die Kosten des doppelt vorzuhaltenden Plattenspeichers nicht unnötig in die Höhe zu treiben, sollten nur die LUNs gespiegelt werden, auf denen die VMs mit höchstem Service-Level liegen. Auch beim Zoning oder LUN-Masking muss der Admin umdenken. Diese Einstellungen betreffen nicht mehr einzelne Systeme, sondern ganze Hosts mit vielen darauf arbeitenden Gästen. Vmware ESX-Server ermöglicht mit N_Port ID Virtualization (NPIV) die Zuweisung eines eigenen Worldwide Port Name (WWPN) zu einer virtuellen Maschine, was die Verwaltung des Fi- 030_037_2002_H_lipro3_08.indd 34 bre Channel Speichernetzes auch wieder auf der Ebene einzelner Gäste ermöglicht. Bei Planungsfehlern im Speicherbereich kann die Funktion Storage VMotion von Vmware Infrastructure 3.5 nachträglich helfen. Bei Bedarf migriert Storage VMotion Gastsysteme unterbrechungsfrei im Hintergrund zwischen unterschiedlichen Speicherorten. So etwas ist beispielsweise dann der Fall, wenn eine LUN keinen freien Platz mehr bietet oder das RAID-Set an seine Leistungsgrenze gerät. Das vereinfacht auch die Migration auf neue Speichergeräte und macht die Verwaltung wesentlich flexibler. Ist die virtuelle Infrastruktur aufgebaut, offenbaren sich beim Überführen der physischen Server in virtuelle Maschinen (P2V) bereits die ersten Planungsfehler. Mangelhafte Inventarisierung der Virtualisierungskandidaten führt zu Leistungsengpässen, zu Problemen mit inkompatiblen Anwendungen oder zu Lizenzierungsproblemen. Noch vor der Hardware-Beschaffung muss also eine gründliche Kapazitätsplanung klären, welche Ressourcen die existierenden Systeme voraussetzen. Der hoch ausgelastete Datenbank- oder Exchange-Server ist kein guter Virtualisierungskandidat. Zum einen wird er im Extremfall einen ganzen Host für sich allein beanspruchen, zum anderen erreicht er wegen des Virtualisierungs-Overheads nicht die optimale Leistung. Kandidaten mit sehr hohen Anforderungen sollten auch zukünftig auf »physischer Hardware« laufen. Kriterien sind CPU-Last, Hauptspeicherbedarf, Netzwerkleistung und vor allem der Festplattendurchsatz. Allerdings residieren viele vorhandene Installationen oftmals auf älterer Hardware und laufen dank leistungsfähiger Hosts trotz Virtualisierung schneller als vorher. Auch die Anforderungen gering ausgelasteter VMs summieren sich und können Professionelle Virtualisierung: Mit den Lösungen von Vmware wird eine mehrstufige ClientServer-Infrastruktur realisiert 24.04.2007 11:25:03 Uhr 3/08 LINUX PRO Virtualisierung Die VLAN-Verwaltung kann am Host anstelle des physischen Switches erfolgen Leistungsengpässe auslösen. Noch schwieriger zu erkennen sind Lastspitzen einzelner Anwendungen, etwa Monatsläufe. Beim frühzeitigen Aufspüren solcher Probleme helfen Tools zur Kapazitätsplanung, wie Vmware Capacity Planner oder Platespin PowerRecon (www.platespin.com). Sie erfassen automatisch die Last der vorhandenen Systeme über einen repräsentativen Zeitraum. Vmware Capacity Planner bietet den Vorteil, dass er anhand der erfassten Daten über eine Auswertung im Vmware Data Warehouse konkrete Empfehlungen zum Aufbau der virtuellen Infrastruktur liefert. Capacity Planner steht Vmware-Partnern für deren Kunden zur Verfügung. Unter Vmware Infrastructure 3.5 ist der Capacity Planner in abgespeckter Version als Vmware Guided Consolidation bereits ins Virtual Center integriert und erleichtert in kleineren Umgebungen den geführten Einstieg in die Virtualisierung. Kapazitäten sollten nicht zu knapp bemessen sein. Beim Ausfall eines Hosts müssen alle Gastsysteme auf den verbleibenden Servern laufen können. Auch zukünftige VMs sind einzuplanen, denn viele Umge- Ressource-Pools kontrollieren die Ressourcen der Hosts und verteilen sie unter den VMs 030_037_2002_H_lipro3_08.indd 35 bungen wachsen schneller als gedacht. Werden zusätzliche Kapazitäten in Form neuer Hosts hinzugefügt, dann sollten diese über gleiche CPU-Modelle verfügen, um weiterhin Live-Migrationen innerhalb der Serverfarm zu ermöglichen. Hauptargument für die Virtualisierung ist die angestrebte Kostenersparnis. Deshalb muss eine intelligente Ressourcenverwaltung die vorhandenen Potenziale der angeschafften Hardware optimal nutzen. Ansonsten liegen an einer Stelle Ressourcen brach, die anderweitig benötigt werden. Vmware ESX-Server kann den Gästen Leistung per Reservierung zusichern, per Limit begrenzen und per Shares proportional verteilen. Das funktioniert für einzelne VMs oder für ganze Bereiche mittels so genannter Ressource-Pools. Die Funktion Distributed Resource Scheduler (DRS) fasst mehrere Hosts zu einem Cluster zusammen und sorgt für eine optimale Ausnutzung ihrer Ressourcen mittels Load Balancing. Gleichzeitig vereinfacht DRS die Einbindung neuer Server im laufenden Betrieb. Inkompatible Hardware meiden Neben der Leistung ist auch die Kompatibilität der Virtualisierungskandidaten zu betrachten, um bei der Planung keine Systeme zu übersehen, die gar nicht in einer VM funktionieren. So unterstützt kein Virtualisierer ISDN-Karten oder andere SpezialHardware. Der Virtualisierungslayer gaukelt den Gastsystemen immer einen standardisierten Satz virtueller Hardware vor und verhindert den direkten Zugriff auf physische Komponenten. Einzige Ausnahme bilden serielle und parallele Ports. Vmware ESX-Server unterstützt auch keine USB-Geräte. Mehr als einmal wurde erst nach dem P2V-Vorgang bemerkt, dass eine Gast-Applikation einen USB-Dongle benötigt. Die emulierten Grafikkarten stellen ebenfalls nicht alle Funktionen zur Verfügung. Manche der genannten Beschränkungen lassen sich umgehen. Für eine Fax-Software in einer VM bietet sich ein LAN-CAPI an, und USB-Geräte oder Dongles können mit- 35 GREEN IT tels USB-over-IP-Lösungen an den Gast durchgereicht werden. Bei speziellen Steckkarten im PCI-Slot ist allerdings Schluss, solche Applikationen lassen sich nicht virtualisieren. Um auf nachträglich festgestellte Probleme reagieren zu können, sollte die alte Hardware noch einige Tage bereitstehen, um Systemeinstellungen zu überprüfen oder Fehler abzugleichen. Im Notfall kann das virtualisierte System wieder auf die ursprüngliche Hardware übertragen werden. Probleme mit Software und Betriebssystemen Hin und wieder scheitert die Virtualisierung an einer Applikation, die nicht in einer VM funktioniert. Echte Inkompatibilitäten sind in der Praxis jedoch eher die Seltenheit. Häufigste Probleme sind die bereits erwähnten Lizenz-Dongles. In Absprache mit den Software-Herstellern helfen Lizenz-Server im LAN oder USB-over-IP-Lösungen. Rein technisch läuft die meiste Software problemlos in virtuellen Maschinen – der eigentliche Knackpunkt ist der offizielle Herstellersupport. Die schwammigen Supportaussagen vieler Hersteller sichern zwar grundsätzlich die Funktion der Software in virtuellen Maschinen zu, verlangen aber bei Problemen das Nachstellen des Fehlers auf physischer Hardware. Beispielsweise unterstützt Microsoft nur Anwender mit Premier-Level-Supportverträgen in vollem Umfang und fordert ansonsten das Nachstellen des Problems auf Hardware. SAP hat seine Unternehmenslösungen für den Betrieb unter Vmware und anderen Virtualisierern zertifiziert, wogegen Oracle seine Unterstützung offiziell nur unter dem hauseigenen Virtualisierungsprodukt Oracle-VM auf XEN-Basis zu sichert. In der Praxis werden diese Anforderungen zwar nicht immer so restriktiv gehandhabt. Oft gibt die Hotline auch Hilfe, wenn die Anwendung in einer virtuellen Maschine läuft. Letztendlich muss der Anwender aber selbst entscheiden, welchen garantierten Supportlevel er benötigt und welches Risiko er tragen kann. Erfahrungsaustausch mit anderen Anwendern und genaue Absprachen mit den Herstellern sind im Vorfeld unbedingt notwendig. Strebt die IT-Abteilung eine Virtualisierung möglichst vieler Systeme an, dann entschärft die Bereitstellung eines zusätzlichen physischen Notfall-Servers das Problem un- › 24.04.2007 11:25:19 Uhr 36 GREEN IT Virtualisierung LINUX PRO 3/08 klarer Supportpolicys. Auf diesem Server kann die Software zur Fehlersuche laufen. Wenn die kritischen Systeme samt Daten direkt auf dedizierten LUNs angelegt sind, was mit RAW Device Mappings innerhalb von VMs möglich ist, lassen sie sich schnell auf physische Hardware umschalten. Da der Notfallserver eher selten zum Einsatz kommt, kann er im Normalbetrieb als Virtualisierungs-Host in der Farm dienen. Lizenzierung der Gastsysteme und der Applikationen Neben dem Herstellersupport wirft auch die Lizenzierung in virtuellen Umgebungen neue Fragen auf. Den meisten Anwendern ist klar, dass sie für jedes System in einer VM eine Lizenz benötigen, genau wie in »normalen« Netzwerken. Kaum jemand ist sich aber bewusst, dass Lizenzierungsfallen lauern, die sehr teuer werden können. So lizenzieren einige Hersteller, unter anderem Oracle, ihre Produkte nach physischem CPU-Sockel oder nach der Anzahl der CPU-Kerne. Dabei spielt es keine Rolle, wie viele Prozessoren die VM wirklich verwendet. Hier können bei gut ausgestatteten Hosts mit vier oder mehr Quad-Core-CPUs schnell hohe zusätzliche Lizenzkosten entstehen. Ein Ausweg kann die Lizenzierung auf Basis der Benutzeranzahl sein. Einige Hersteller reagieren mittlerweile auf den Virtualisierungstrend. Microsoft hat sein Lizenzmodell angepasst und erlaubt es, mit einer Lizenz von Windows Server 2003 Enterprise Edition gleichzeitig vier virtuelle Instanzen auf dem gleichen Host zu betreiben. Die Datacenter-Version erlaubt unbegrenzte Instanzen des Betriebs- Zentrale Managementlösung: Einheitliche und zentrale Verwaltung ist ein Vorteil von Virtualisierung. Virtual Center verwaltet beispielsweise Hosts und virtuelle Maschinen systems in virtuellen Umgebungen. Für abgeschaltete Systeme, etwa Archive oder Vorlagen, sind keine Lizenzen mehr notwendig. Grundsätzlich führt Virtualisierung zu steigenden Lizenzkosten, da sich neue Systeme sehr einfach mittels Cloning von Templates aufsetzen lassen und dadurch grundsätzlich nach dem Prinzip „ein Dienst – ein Server“ gearbeitet wird. Eine genaue Inventarisierung sowie die enge Absprache mit Herstellern und Lieferanten über Lizenzmodelle und Optimierungsmöglichkeiten verhindern teure Fehler. Probleme im laufenden Betrieb Sind alle anfänglichen Klippen von der Planung bis zur Virtualisierung der vorhande- P2V Physische Rechner in virtuelle PCs Bei der Virtualisierung existieren grund- umständlich und zeitaufwendig ist diese Varian- sätzlich zwei Ansätze: te in der Praxis zu realisieren. 1. Neu-Installation in einer virtuellen Maschine: Automatisches Überführen mit speziellen Tools, Gewachsene Installation wird bereinigt, kein die oft sogar die Migration des laufenden Sys- Mitschleppen von Altlasten. Aber zeitaufwendig, tems sowie Massenmigrationen erlauben. teilweise nicht zu realisieren. Beispiele für Tools: 2. Kopie der physischen Rechner: keine Neu- • Leostream P>V Direct (www.leostream. Installation notwendig, System wird 1:1 übertragen, Weg zurück ist relativ einfach. Aber Fehler und Altlasten werden mit übernommen. Methoden der 1:1-Kopie: Manuelles Kopieren mittels Imaging-Tools: Problem ist das händische Anpassen der Treiber an die neue Systemumgebung. Dementsprechend 030_037_2002_H_lipro3_08.indd 36 com, 600 US-Dollar) • Platespin PowerConvert (www.platespin. com, 200 US-Dollar pro Migration) • Ultimate-P2V auf BartPE-Basis (www.rtfmed.co.uk/?page_id=174, kostenlos) • Vmware Converter (www.vmware.com, kostenlos) nen Systeme umschifft, so lauern die nächsten Stolpersteine im laufenden Betrieb der Umgebung. Oftmals hält der Konsolidierungseffekt nicht lange an, weil eine Flut neuer virtueller Maschinen die ehemalige Anzahl physischer Server bei weitem übersteigt. Sofort setzt der Entwickler eine temporäre Testumgebung auf, und jede Fachabteilung erstellt für ihre Applikationen eigene Server per Mausklick anhand vorkonfigurierter Templates. Die ausufernde Anzahl neuer VMs führt zu hohen Lizenzkosten und steigendem Ressourcenbedarf auf den Hosts und im Speichersystem. Eine weitere Folge ist die erschwerte Verwaltung von Versionen, Patch-Ständen und Sicherheitsleveln. Ist der Überblick über die Historie der VorlageVMs und Klon-Generationen einmal verloren, sind spätere Probleme, etwa durch unterschiedliche Versionsstände, kaum noch nachvollziehbar. Detaillierte Richtlinien, Berechtigungen und Workflows unterbinden den Wildwuchs von vornherein. Beispielsweise sollte feststehen, wer überhaupt neue VMs erstellen darf und wie eine neue VM zu beantragen ist. Genauso wichtig sind lückenlose Dokumentation der Gäste mitsamt Abhängigkeiten und Generationen sowie Vermerke von Veränderungen an der jeweiligen Infrastruktur. Vmware Virtual Center bietet die notwendigen Basisfunktionen mit einer detaillierten rollenbasierten Rechtevergabe und mit einer übersichtlichen Verwaltung von 24.04.2007 11:25:36 Uhr 3/08 Leichte Administration: Vmware LAB Manager vereinfacht die Verwaltung komplexer Test- und Pilotumgebungen in einem übersichtlichen Web-Interface VMs, Templates und Ressourcen in einem strukturierten Inventory. Zusatzprodukte wie Vmware LAB Manager oder Vmware Stage Manager vereinfachen die Verwaltung komplexer Umgebungen für Entwicklung, Pilotierung und Produktion. So ermöglicht Vmware LAB Manager die Konfiguration ganzer Testumgebungen aus mehreren VMs als zusammengehörige Einheit. Damit entsteht eine fertig konfigurierte Umgebung aus Datenbankserver, Domänencontroller und Clients per Mausklick. Starten, Einfrieren und Versionierung mittels Snapshots wirken synchron auf die gesamte Einheit. Die Bedienung erfolgt plattformunabhängig per Web-Interface. Ungenügende Verwaltung und Überwachung Eine Überwachung der virtuellen Infrastruktur ist gerade wegen der hohen Anzahl von VMs genauso wichtig wie bei physischen Rechnern. Viele Virtualisierungsprodukte bieten dazu konfigurierbare Alarme und Lastdiagramme. Allerdings fehlen noch Funktionen, etwa die Überwachung des Speicherplatzes in den Gästen oder das Monitoring der Host-Hardware. Überfüllte Partitionen in den VMs oder im SAN sind häufige Fehlerursachen. Aber auch ausgefallene Lüfter im Host oder eine USV mit defektem Akku müssen rechtzeitig erkannt werden. Die steigende Anzahl virtueller Maschinen erschwert die Kontrolle der Leistung, des Patch-Zustandes oder des Ereignispro- 030_037_2002_H_lipro3_08.indd 37 GREEN IT Virtualisierung LINUX PRO tokolls in den Gästen. Einige Anforderungen leistet bereits Vmware Virtual Center mit konfigurierbaren Alarmen, etwa zur Reaktion bei Hochlast. Vmware Update Manager gewährleistet einheitliche PatchStände von Host- und Gastsystemen, und Vmware HA erkennt Abstürze des Gastsystems und kann die VM neu starten. Trotzdem sind Zusatz-Tools notwendig. Dazu gehört die Installation der HardwareAgenten des Herstellers auf dem Host, etwa zur rechtzeitigen Erkennung von Plattenausfällen. Eine sinnvolle Ergänzung sind Monitoring-Lösungen wie Nagios (www. nagios.org), die gleichzeitig eine Integration von physischer und virtueller Welt in eine zentrale Überwachung ermöglichen. Neue Risiken und Angriffsflächen Nicht zuletzt erfordert die Konzentration vieler Systeme und Dienste auf wenigen Hardware-Servern ein Umdenken in Sachen Ausfallsicherheit und Angriffschutz. Die redundante Auslegung von Switches, Speicherprozessoren und Hosts ist Grundvoraussetzung für einen störungsfreien Betrieb. Vmware ESX-Server integriert die Unterstützung von SAN-Multipathing oder Netzwerk-Teamig bereits im Kernel. Zusätzliche Produkte wie Vmware Site Recovery Manager nutzen die neuen Möglichkeiten virtueller Infrastrukturen und erhöhen damit die Verfügbarkeit sogar. Ein weiteres Beispiel sind Cluster zwischen physischen Servern und VMs, die einen großen Teil der Standby-Hardware sparen können. 37 Virtualisierung bringt neue Angriffsziele für Viren und Hacker ins Spiel, etwa Hypervisor oder virtuelle Netzwerke. Neben Rootkits, die direkt im Vitualisierungs-Layer ansetzen und damit für Host und Gäste versteckt sind, kommen virtuelle Maschinen ebenfalls als Schädlinge in Frage. Physische Rechner mit Schadcode ins Firmennetzwerk zu transportieren ist recht schwierig. Dagegen lässt sich ein Gast einfach auf den Host kopieren. Eine VM kann innerhalb des virtuellen Netzwerkes vollen Zugriff auf den Netzwerkverkehr und andere Gäste erlangen. Mittlerweise existieren eine große Anzahl virtueller Maschinen zum Herunterladen im Internet, sogenannte Virtual Appliances. Der Umgang mit diesen potenziellen Trojanern erfolgt oftmals recht sorglos. Grundsätzlich sind VMs – genau wie physische Server – zu schützen, und mit Virenscanner, aktuellen Patches und klaren Sicherheitsrichtlinien auszustatten. Eine saubere Implementation der Infrastruktur schließt das Gesamtbild ab. Das Verwaltungs- ist vom Gästenetz mittels isolierter VLANs oder separater Switches zu trennen. Virtuelle Maschinen mit FirewallSoftware trennen Abteilungen sicher voneinander. Durchdachtes Zoning im Speichernetzwerk verringert die Gefahr versehentlicher Beschädigung von Daten auf LUNs anderer Systeme. Fazit und Ausblick Virtuelle Infrastrukturen verändern die Anforderungen an Planung, Administration und Betrieb der IT-Umgebung. Dafür erhöhen sie die Flexibilität und Effizienz des Rechenzentrums und bieten völlig neue Möglichkeiten zur Ressourcenauslastung und zur Gewährleistung der Verfügbarkeit. Und auch die damit verbundene Energieeinsparung spielt in Zeiten von Green IT eine nicht unerhebliche Rolle. G ÜBER DEN AUTOR Sven Ahnert arbeitet als freier IT-Berater und Autor. Er betreibt die Web-Seite www.vmaschinen.de und ist Verfasser des Buches „Virtuelle Maschinen mit VMware und Microsoft“. Der Titel ist im Verlag Addison-Wesley in der Reihe net.com erschienen. ISBN: 978-3-8273-2535-8, 792 Seiten, Preis 49,95 Euro 27.04.2007 13:18:34 Uhr