Hallo,

hier findet man zukünftig zu verschiedenen Themen Sammlungen von Befehlen mit kurzen Erklärungen zu verschiedenen Produkten. Aktuell habe ich angefangen meine gesammelten Zettel für die Veritas Produkte von Symantec zu dokumentieren. Aber es soll natürlich noch mehr werden.

Viele Grüße

Michael

Ja ja, ich bin nicht der Erste der dieses Buch empfiehlt. Alles nur geklaut – ich geb wenigsten an woher, ah und hier auch noch .

Thomas Burzler

Mission: Profit

Die Lizenz zum Abschluss

Gabal Verlag ISBN 978-3-89749-914-0

Also, eigentlich ist es ja ein bisschen dämlich, dieses Buch. Es tut nämlich so, als währe es ein Agententhriller. Mit echten Trillern kann es sich bei weitem nicht messen und wenn es tatsächlich darum ginge, fiele meine Kritik vernichtend aus.

Aber es geht um was ganz anderes. Ein Geschäft hat zwei Seiten und der Preis ist nur eine davon. Es kommt auch darauf an, was man für sein Geld bekommt. Das ist eigentlich eine Binsenweisheit. Und trotzdem, in unserer Branche wo Freiberufler und kleine Selbständige sehr häufig über Personalagenturen vermittelt und verkauft werden, ist es noch lange nicht angekommen. Da treten nämlich Wiederverkäufer auf dem Markt auf, die von EDV und Technik nicht die blasseste Ahnung haben. Warum das nichts werden kann, und vor allem, wie man es besser macht – darum geht’s in diesem Buch. Und es geht um B2B und nicht um Staubsauger an der Haustür …

Und präsentiert wird das Ganze nicht trocken und langweilig, sondern kurzweilig in eine kleine Agenten Geschichte verpackt. Was aus dieser Sicht nun wiederum richtig Spaß macht

Folgende Gegebenheiten:

Dicke Solaris Kiste als Veritas Cluster aufgesetzt, mit gesharten Volumes und obendrauf ein Oracle RAC. Speicherplatz liegt im SAN verteilt auf zwei Standorten. Das bedeutet die Platten werden “hostbased gemirrort”. Aber natürlich so, das je ein Spiegel je Standort (enclosure) existiert. VxVm kann das eigentlich automatisch. So sieht beispielsweise eine Erweiterung eines Veritas Filesystems aus:

• Bei gesharten Disks bitte nur auf dem Master arbeiten:

#vxdctl -c mode

mode: enabled: cluster active – MASTER

master: hugo1

• Filesystem erweitern:

#vxresize -F <fs-type> -g <diskgroup> <volume> <size> mirror=enclr

#vxresize -F vxfs -g hugolinedg myvol +2g mirror=enclr

erweitert das Veritas-Filesystem myvol in der Diskgroup hugolinedg um 2 GB, und zwar so, dass beide Spiegel auf die Standorte verteilt sind. Funktioniert mit UFS genau so. Aber nur vxfs kann man im laufenden Betrieb auch verkleinern. Beim erweitern wird das Volume in ein Layerd-Volume umgewandelt.

Sollte das Volume vor der Erweiterung nicht fehlerfrei über beide Standorte gespiegelt sein, so ergibt die Erweiterung natürlich auch nix anständiges. Heraus kommt ein Volume mit einem einzigen Plex der nur Subvolumes enthält. Diese Subvolumes sind nur ihrerseits Volumes mit einzelnen Plexen und Subdisks. Liegen die Subdisks nun auf nur einem Standort und wir haben vielleicht auch nicht mehr genug Platz frei um das ganze Volume nocheinmal einwandfrei zu spiegeln, sieht es schlecht aus. vxassist mag dann natürlich nicht mehr sauber ein Enclosure abhängen, wenn wir einen Spiegel removen. Übrig bleibt dann ein Volume mit nur einem Spiegel, aber mit Subdisks auf beiden Enclosures und kein Platzt mehr auf dem freien Enclosure um einen kompletten Spiegel neu aufzubauen.

Veritas sei Dank, kann man in dieser Situation natürlich noch alles von Hand gerade ziehen. Das bedeutet, wir legen uns eine neue Subdisk auf dem richtigen Enclosure von Hand an und moven dann die Subdisk auf dem falschen Enclosure auf die neue Subdisk:

• freien Platz fest stellen:

#vxdg -g <diskgroup> free

• Subdisk anlegen:

#vxmake -g <diskgroup> sd <subdisk-name> disk=<diskname> len=<länge> offset=<offset des freien Bereichs>

• Subdisk verschieben

#vxsd -g <diskgroup> -o rm mv  <oldsd> <newsd>

-o rm sorgt in diesem Fall dafür, das die alte Subdisk gelöscht wird. Eventuell ist noch ein “-f” nötig, weil es sich um ein Subvolume handelt.

Nun haben wir wieder einen sauberen Spiegel auf nur einem Standort und können diesen einfach wieder spiegeln und mit einem Log versehen:

#vxassist -g <diskgroup> <volume> mirror=enclr

#vxassist -g <diskgroup> addlog <volume>

Möglich ist aber auch folgendes:

• Subdisk anlegen (s.o.)
  
• Plex anlegen und mit Subdisk versehen

#vxmake -g <diskgroup> plex <plex-name> sd=<subdisk-name>

• Plex an Volume attachen, dh Spiegel aufbauen

#vxplex -g <diskgroup> att <volume> <plex-name>

Als hervorragende Einführung in Veritas Volume Manager und Veritas Cluster kann ich folgendes deutschsprachiges Buch empfehlen:

Veritas Storage Foundation: High End-Computing für UNIX Design und Implementation von Hochverfügbarkeitslösungen mit VxVM und VCS  von Volker Herminghaus und  Albrecht Scriba. Erschienen im Springer Verlag Berlin. ISBN 978-3540346104.

Ausserdem sind auch die Original Dokumentationen von Symantec, die man dort nach entsprechend komplizierter Suche und in immer wieder neuen Anordnungen auf der Webseite runterladen kann, zu empfehlen. (Link spare ich mir, weil er sich zu oft geändert hat)

Hi,

nehmen wir mal an wir haben eine mit VxVm über zwei Enclosures gespiegeltes Volume. Könnte dann so aussehen

Auszug von vxprint -ht

dg caedg        default      default  29000    1147176461.133.masch1

dm c_caedg1     EMC48_13 auto   2048     353531136 NOHOTUSE
dm h_caedg1     EMC46_9 auto    2048     353531136 NOHOTUSE

v  caeorabin    -            ENABLED  ACTIVE   10485760 SELECT    -        fsgen
pl caeorabin-05 caeorabin    DISABLED STALE    10485760 CONCAT    -        WO
sd h_caedg1-01  caeorabin-05 h_caedg1 0        10485760 0         EMC46_9 ENA
pl caeorabin-06 caeorabin    ENABLED  ACTIVE   10485760 CONCAT    -        RW
sd c_caedg1-01  caeorabin-06 c_caedg1 0        10485760 0         EMC48_13 ENA

Jetzt möchten wir mit Hilfe von vxassist einen Mirror auf EMC48 abhängen:

vxassist -g caedg remove mirror caeorabin \!enclr:EMC48

Danach sieht es so aus:

g caedg        default      default  29000    1147176461.133.masch1

dm c_caedg1     EMC48_13 auto   2048     353531136 NOHOTUSE
dm h_caedg1     EMC46_9 auto    2048     353531136 NOHOTUSE

v  caeorabin    -            ENABLED  ACTIVE   10485760 SELECT    -        fsgen
pl caeorabin-05 caeorabin    DISABLED STALE    10485760 CONCAT    -        WO
sd h_caedg1-01  caeorabin-05 h_caedg1 0        10485760 0         EMC46_9 ENA

Das “!” steht eigentlich für eine Verneinung. Für mich ist es immer wieder komisch, das ich den Mirror den ich entfernen möchte “doppelt nicht Verneinen” muss:

“remove !disk” löscht genau diesen Spielgel auf “disk”

Im Beispiel habe ich keine Subdisks, könnte also auch einfach mit

vxplex -g <Gruppe> -o rm dis “plex-name”

arbeiten. Aber wenn ich mal 100 Subdisks im Volume habe macht das keinen Sinn mehr.

so long

Mike

Moin Moin,

upgrade auf WordPress 2.8.1 durchgeführt. Muss mal mal schauen, ob noch alles funktioniert wie es soll.

Die kurze Anleitung im Paket selber ist nicht ganz zielführend wenn man andere Themes benutzt.  Hier ist die bessere.

so long

Hallo,

mein kleiner Picosys 2990 von ICO läuft. Hätte fast geschrieben das er “schnurrt”, tut er aber nicht, weil es ein lüfterloses System auf Intel Atom Basis ist. Die 32GB SSD kann man mit ner zweiten Platte problemlos spiegeln; ein zweiter SATA Anschluss ist vorhanden. 2GB RAM verträgt der RAM Slot natürlich auch.

Wie man einen USB Stick mit OpenSolaris als “live-” und Installationmedium erstellt, habe ich schon in diesem Blog geschrieben. Mit OpenSolaris 2009.06 läuft der Picosys “out of the box”.

Sinn und Zweck des Ganzen ist es einen kleinen Büro Server aufzubauen der folgende Zwecke erfüllt:

Webserver mit Monitoring für die internen Testsystem, Boot und Install Sever für x86 und Sparc Server, Secondary Mailserver falls meine Linux-Büchse bei Strato mal nicht erreichbar sein sollte, Printserver und was mir im Laufe der Zeit sonst noch so einfällt …

OpenSolaris setzte ich aus mehreren Gründen hierfür gerne ein:

• In meinem Kopf läuft ausschließlich UNIX also ist das bei meinen Rechnern auch so
• OpenSolaris ist der “normalen” SUN Solaris 10 Version ein bisschen voraus. Look und Feel sind deutlich moderner, Tools wie CUPS und ein komfortables Packetmanagment machen das Arbeiten schnell und leicht. ZFS mit Bootenvironment sind ja mittlerweile auch im Solaris 10 5/09 drin.
• Ich liebe Zonen. Ne ganze Reihe von Leuten mögen sie nicht mehr, weil es doch reichlich Probleme bzw. Einschränkungen in den ersten Implementierungen gab. In erster Linie fehlte es meines Erachtens aber an Know-how und Testmöglichkeiten bei den Admins . Zonen ermöglichen es ohne großen Overhead an Plattenplatz und Systemleistung Applikationen wie Web- und Mailserver in eigene Umgebungen zu kapseln. Diese kann man dann mit Solaris eigenem Resource Managment hervorragend einschränken.  Das ergibt dann einen sogenannten Container. Es ist zunächst einmal ein Gewinn an Sicherheit weil die einzelnen Applikationen wie auf eigenen Maschinen abgekapselt sind. Das Einrichten der Maschine macht natürlich ein wenig mehr Arbeit bei der Konfiguration, aber das gewinnt man wieder zurück, weil nur einmal ein Betriebssystem installiert und gepflegt werden muss.
• Solaris ist eine ziemlich stabile Angelegenheit.
• Im Gegensatz zum alten Solaris braucht man bei OpenSolaris dank Packet Managment und ZFS Snapshots nicht mehr die ganzen alten Stände unter /var/sadm aufheben. Das finde ich bei Solaris nicht mehr zeitgemäß denn es kostet bei lange gepflegten Systemen reichlich Plattenplatz. Und das wird bei der Dimensionierung der Slices während der Installation gerne vernachlässigt ….
• Es gibt reichlich freie Software. Sowohl bereits im Package Repository als auch zum selber Übersetzten und Paketieren. Ich bin durchaus ein Freund davon sich Sicherheitsrelevante Software wie zB. Mail Transfer Agents und Webserver selber zu kompilieren. Das hat den Vorteil, das Patches wenn nötig viel schneller auf dem System verfügbar sind, als wenn man auf den Patch des OS Systemherstellers warten muss. Aber auch hier macht OpenSolaris bisher eine gute Figur. Im Gegensatz zu den Solaris Versionen alter Tage, in denen auch schon mal veraltete Sendmail Releases drin waren, ist hier zur Zeit alles up to date.
• Warum sollte ich meine Testsystem “von Hand” installieren wenn es doch auch automatisch geht. So macht das zerschießen der Test Installationen doppelt Spaß

• und ich muss mich nicht für eine der vielen möglichen Linux Distributionen entscheiden ….

so long, es ruft eine “SAN Migration” bei der die Spiegel auf den Maschinen recht viel Handarbeit verlangen. Es währe doch alles so schön mit ZFS

Machen wir doch ne kleine Serie daraus:

Damit es komfortabel wird, generieren wir uns einen RSA Key und nutzten den SSH-Agent mit forewarding für diesen Key.

ssh-keygen -t rsa

erzeugt einen RSA Key Paar mit 1024 bit Läng und legt ihn unter .ssh/id_rsa bzw. .ssh/id_rsa.pub an. Wichtig ist hier eine vernünftige Passphrase zu wählen. Auf dem Zielsystem wird nun unter .ssh/authorized_keys der öffentliche Schlüssel id_rsa.pub abgelegt. Beim SSH Server ist normalerweise pure RSA Autentisierung erlaubt, wenn nicht muss in die /etc/ssh/sshd_config:

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile     .ssh/authorized_keys

Wenn es funktioniert muss man jetzt statt dem Password die Passphrase des Schlüssels eingeben. Aber auch das können wir ändern:

ssh-agent

startet den Agent als Hintergrundprozess. Dann laden wir noch den Key in den Agent:

ssh-add ~/.ssh/id_rsa

Hierbei gibt man die Passphrase genau ein mal beim Start des Agents ein. Desshalb kann es auch ruhig ein etwas komplizierteres Passwort sein.

Ergebniss:

mit ssh -A -t meinereiner@host1 “ssh meinereiner@host2″

kommt man sofort ohne weitere Belästigung auf host2. -A steht dabei für das Agent Forewarding, dh. man muss den Key nicht auf unseren “Hop” kopieren, das übernimmt der Agent und der Key wird dort auch nicht im Filesystem abgelegt. Womit wir ein Sicherheitsrisiko weniger haben. ForwardAgent kann man statt in der Kommandozeile auch in der /etc/ssh/ssh_config systemweit, bzw in ~/.ssh/config auch pro User fest einstellen.

Beim nächten Mal legen wir das ganze in ein Skript was beim einloggen des Users ausgeführt wird und schauen uns auch an, wie es auf Microsoft Systemen mit Hilfe von putty geht (obwohl sich eigentlich kein anständiger Unix Sysadmin dazu zwingen lässt ausschließich mit Windows am Arbeitsplatz zu arbeiten – spielen schon ).

so long

Hallo,

kennt Ihr das Gehopse von einer SSH Verbindung zur nächsten? Wenn beispielsweise SSH in das Internet nur von einem speziellen Host erlaubt ist, muss man sich erst dort anmelden um dann von da aus auch weiter zu kommen.

Das kann man auch in einer einzigen Anweisung zusammenfassen:

ssh -t meinereiner@host1 “ssh meinereiner@host2″ oder 3 hops:

ssh -t meinereiner@host1 “ssh -t meinereiner@host2 \” ssh meinereiner@host2 \” ”

oder auch als alias definiert:

alias machschnell=”ssh -t meinereiner@host1 \” ssh meinereiner@host2 \” ”

und schon bin ich mit dem Kommando “machschnell” auf der Maschine host2 angemeldet. Das Ganze mit RSAKeys und ssh-agent forewarding kombiniert wird dann erst richtig komfortabel und auch deutlich sicherer als die Benutzung von schlechten Passwörtern.

Ach so, man braucht natürlich eine Betriebssystem damit es funktioniert …..

so long

Mike