Wer wie ich das Vergnügen hat, für eine VPN-Verbindung in’s Büro auf ein proprietäres Werkzeug angewiesen zu sein, der muss sich zuweilen zu helfen wissen, um das entsprechende Programm auch unter modernen Linuxen betreiben zu können. So auch bei “SSL Network Extender” von Checkpoint, das nicht auf ein die Standards (Cisco VPN, OpenVPN) aufsetzt, sondern ein eigenes, nicht offenes VPN-Format verwendet, das unter der Haube machen kann, was es will, denn niemand sieht es. Abgesehen davon, dass es ziemlich schwierig ist, ohne Kundenlogin an das SSLExtender Binary für Linux ranzukommen, ist das Teil auch noch sauschlecht programmiert, aber dazu komme ich später.

Installation

Die Installation ist einfach, das selbstextrahierende Shellskript wird ausgeführt und 3 Sekunden später ist das Programm installiert und bereit:

./Check_Point_SNX_R66_HFA_01_For_Linux_800004013.sh

Erste Zweifel

Beim ersten Ausführen allerdings wird einem schon der erste Stock zwischen die Beine geworfen:

snx
snx: error while loading shared libraries: libstdc++.so.5: cannot open shared object file: No such file or directory

Die Software hat also tatsächlich eine Versionsabfrage für die Grundbibliothek libstc++ hart eincodiert! Uns fehlen die Worte und erste Zweifel an der Programmierqualität (oder fehlt einfach die Erfahrung mit Linux?) des Hauses Checkpoint kommen auf… Aber wir wären keine echten Geeks, wenn wir dafür keinen Workaround fänden:

Für Fedora u.ä. steht dazu meist eine compat-Version bereit, die für ebensolche Fälle gemacht ist:

yum install compat-libstdc++-33

Achtung! Auf 64bit-Versionen muss die 32bit-Version explizit angegeben werden (denn natürlich hat Checkpoint keine 64bit-Version auf Lager):

yum install compat-libstdc++-33.i686

Für Ubuntu’s neuere Versionen gibt es diese gar nicht mehr, aber man kann sie einfach aus einem älteren Repository ziehen: http://packages.ubuntu.com/jaunty/i386/libstdc++5/download

Trügerischer Tunnelgräber

Also auf geht’s mit einem neuen Versuch:

snx -u BENUTZER -s SERVERNAME
FATAL: Could not open tun.ko. No such file or directory
SNX: Virtual Network Adapter initialization and configuration failed. Try to reconnect.

Oh je, warum zum Geier benötigt der SSL Network Extender das Tunnel-Kernelmodul? Eine kurze Suche im Internet bringt an’s Tageslicht, dass auch diese Abhängigkeit fest einprogrammiert ist, obwohl SSL Extender einen eigenen, proprietären VPN-Tunnel erstellt. Auf Fedora tritt dieser Fehler nicht auf, weil das Modul “tun” mit dem Standardkernel ausgeliefert wird. Unter Ubuntu jedoch ist dies Fehlanzeige, auch nachträglich lässt sich das Modul nicht installieren. Man müsste den Kernel neu übersetzen mit der entsprechenden Option. Aber wir sind doch nicht bescheuert und machen uns diese Mühe, bloss weil da ein paar Erstsemesterprogrammierer bei Checkpoint sizten! Das Modul muss einfach existieren, es muss überhaupt nix tun, also wird es einfach gefaked, siehe dazu auch: http://wiki.ubuntuusers.de/Check_Point_SSL_Network_Extender

mkdir faketun
cd faketun
echo -e "#include <linux/module.h>\nstatic int start__module(void) {return 0;}\nstatic void end__module(void){return;}\nmodule_init(start__module);\nmodule_exit(end__module);">tun.c
echo -e "obj-m += tun.o\nall:\n\tmake -C /lib/modules/\$(shell uname -r)/build/ M=\$(PWD) modules\nclean:\n\tmake -C /lib/modules/\$(shell uname -r)/build/ M=\$(PWD) clean\nclean-files := Module.symvers">Makefile
make
sudo install tun.ko /lib/modules/`uname -r`/kernel/net/tun.ko
sudo depmod -a

Ab jetzt funktioniert SSLExtender auch auf Ubuntu und man kann in Ruhe von zu Hause aus arbeiten, auch mit diesem proprietären VPN-Tunnel. Dem Arbeiten am Wochenende steht nun nichts mehr im Wege, ausser man hat nebenbei noch ein Privatleben

Ja, ich habe mir wirklich die Finger schmutzig gemacht für Euch und einen kleinen, unabhängigen Geek-Kurztest von Windows 7 Home Premium (Hey, was anderes gibt’s bei Dell-billig-Geräten nicht, was kann ich dafür, dass die meisten Features da nicht dabei sind?). Der Grund ist ganz einfach: Microsoft wollte auch Gamern wie mir den Umstieg schmackhaft machen und liefert deshabl DirectX 11 nicht für XP aus. Weil ich aber doch gerne mal die neuen Shader und Effekte bei den neuen Games sehen würde und die Lizenz eh bei Dell dabei ist, warum nicht mal ausprobieren?

Als erstes nach dem (wegen Dell-Tools über 12 Minuten dauernden) Start stellte ich mir die Frage: “Wo ist Aero?” Tja, wie sich eben später herausstellen sollte, bedeutet der wohlklingende Name “Home Premium” übersetzt eigentlich “Billig-Version für Massen-Konsumenten”. Alles, wirklich alles, was bei jeder noch so kleinen Linux-Distro selbstverständlich ist seit vielen Jahren, findet sich nur in den besseren Versionen, die dann richtig teuer werden (35 Sprachen gibt’s sogar nur bei Ultimate). Verschlüsselung? XP-Mode (also virtuelle Maschine)? Denkste!

Naja, war eigentlich nicht anders zu erwarten, aber im Vergleich zu damals eine absolute Frechheit, denn XP Professional war als OEM niemals so teuer. Ich will ja nur spielen, also wären Leistung-fressende Effekte sowieso fehl am Platze.

Was mich positiv überraschte, war der Fenster-Schüttel-Effekt, der wirklich intuitiv funktionierte. Das Ding nennt sich Shake und wird separat als Feature geführt und beworben! Tut mir leid schon wieder den Vergleich zu machen, aber bei KWin wäre der Effekt unter “ferner liefen” gelistet neben den 40 anderen. Dasselbe gilt für Snap, welches genauso auch bei KWin funktioniert (bitte keine Diskussion, wer was zuerst erfunden hat, das wäre müssig). Dies zeigt, wie sich die verschiedenen Benutzeroberflächen gegenseitig beeinflussen, Windows Aero, KDE, Gnome, OSX, etc., eine gute Sache für die Benutzer!

Nun zurück zur Installation: Weil offenbar die Dell-DVD irgendwie defekt ist, musste ich nach der 4. Installation mein Vorhaben bereits aufgeben. Äusserst fragwürdig ist, dass zwar das Betriebssystem jedesmal komplett installiert wurde ohne Fehlermeldung, aber nach ein paar Minuten der Explorer nicht mehr startbar war, was wiederum keine anderen Programme brauchbar machte. Positiv: Es gibt keinen Bluescreen mehr in solchen Situationen. Negativ: Warum gibt es keine Integritätsüberprüfung aller Pakete während der Installation oder einen Medium-Test vor der Installation? Man hat also das Gefühl, es sei alles o.k., aber es kann jederzeit zu Problemen aus irgendeiner Ecke kommen. Wie gesagt, die Schuld dürfte hier an der Dell-DVD liegen. Trotzdem ist es ein sehr ungutes Gefühl, wenn man nicht weiss, ob nun alles o.k. war bei der Installation oder nicht, weil man einfach keine Details zu sehen bekommt. Dasselbe passierte auch mit einer anderen OEM-Version. Ich fand heraus, dass es sich um CRC-Fehler handelte. Nach ein bisschen logisch überlegen setzte ich das BIOS zurück (der Prozessor war etwas übertacktet) und siehe da: die Installation funktionierte wie üblich mit dem Unterschied, dass Windows nun endlich läuft. Warum zum Teufel die Fehler bei der Installation nicht schon gemeldet werden, ist mir ein Rätsel. Will man den Benutzer nicht mit solchen “Banalitäten” wie einem inkomplett installierten OS stören?

Zurück zu den Games: Kurz und gut, mit allen 3D-Marks ca. Minus 15% Leistung. Aber oho! Nachdem ich ALLE Desktopeffekte abschaltete (jetzt sieht es aus wie Windows 95), bekam ich 10% davon wieder zurück! Ich muss leider auch hier wieder einen fiesen Vergleich ziehen: Wenn in KDE (einen anständigen Grafikkartentreiber vorausgesetzt) alle Effekte an sind, braucht kwin so ca. 4% CPU, auch wenn man den Bildschirmwürfel wie wild dreht. Das liegt daran, dass die meiste Arbeit konsequent via OpenGL an die Grafikkarte abgetreten wird.

Nun habe ich also meine PC-Spielekonsole wieder mit der vollen DirectX-11-Grafikpracht, mehr wollte ich nicht und mehr bekam ich auch nicht. Für Windows-Fans kann ich aber sagen: Der Umstieg lohnt sich auf jeden Fall, wenn Ihr aber Hardcore-Gamer seid, solltet Ihr entsprechende Hardware haben und die Leistungseinbusse bei Spielen von 10-15% in Kauf nehmen.

Bin gerade darüber gestolpert, ist nicht ganz neu aber köstlich zu lesen: http://www.microsoft.com/switzerland/windows/de/internet-explorer/get-the-facts/mythbusting.aspx

Vor allem die Stelle betr. Einhaltung von Standards ist endgeil:

“Microsoft hat sich mit Internet Explorer 8 in jeder Hinsicht den Standards verschrieben. Neben der Tatsache, dass der Browser mehr offizielle CSS 2.1-Testsuiten bestanden hat als jeder andere Browser, beteiligt sich Microsoft auch praktisch am eigentlichen Testverfahren, indem Tausende neuer Tests für das Konsortium entwickelt und bereitgestellt wurden.”

Aah ja, Internet Explorer besteht also die Tests, die Microsoft selbst geschrieben hat, interessant, und all das in einem Satz…

Da werden wieder einmal ein paar arme Marketingfuzzies ausgelacht, naja, diese haben es verdient. Warum macht Microsoft immer weiter mit immer dämlicherem PR-Müll? Vermutlich sitzen alle im Meeting und nicken, wenn der nächste idiotische Vorschlag präsentiert wird, um ja nicht durch Kritik aufzufallen?

Ich wünsche allen ein gutes neues Jahr, auf eine weitere Dekade! Pünktlich zum Jahresanfang stolperte ich auf die deutsche Übersetzung eines längeren Postings, das selber schon älteren Datums (aber immer noch absolut zutreffend) ist. Es beinhaltet eigentlich so ziemlich die beste Erklärung, warum Linux nie ein Windowsersatz ist und sein wird und warum viele verärgerte Windowsbenutzer erst eher bei sich selbst eine Veränderung machen müssen, als einfach mal schnell “auf Linux” (meist Ubuntu heutzutage) zu wechseln. Die Lektüre lohnt sich absolut:
http://www.felix-schwarz.name/files/opensource/articles/Linux_ist_nicht_Windows/

OK ausnahmsweise, weil Feiertage sind, auch mal eine Nicht-Linux-Distribution auf dem Prüfstand. Nämlich FreeNAS, eine hochspezialisierte BSD-Unix-Variante mit einem NAS-Server, wie der Name ja schon andeutet, der als Live-Image oder “installierbares Image” gebraucht werden kann.

Der Grund, weshalb ich auf FreeNAS kam, war, dass ich meine vielfältigen Heimnetz-Services, die sich über die Jahre in meinen virtuellen CentOS’s angesammelt haben, konsolidieren wollte. Mit einem NAS (Network Attached Storage, also Diskplatz, der über verschiedene Dienste im Netz auf vielfältige Weise nutzbar gemacht wird) und einer Weboberfläche ist dies einfach lösbar und macht mehr Spass als “nur” mit einer Hardware-Appliance, die teuer ist, keine offene Software hat und meist auch weniger Services anbietet.

Herkunft / Ursprung

FreeNAS ist ein kleines FreeBSD und wurde von Olivier Cochard und Volker Theile geschaffen. Heute besitzt iX-Systems FreeNAS, aber es wird natürlich als Opensource-Projekt weitergeführt.

Wichtigste Daten in Kürze:

• Homepage: http://www.freenas.org
• Ungefähre Grösse der Vollversion als ISO-Image: 80 MB
• LiveCD Funktion: Ja
• Sprachen: Div. Übersetzungen
• Abgeleitet von: FreeBSD 7.2
• Standarddesktop: Keinen, vollständige Steuerung mit Webinterface
• Kosten für Updates und Support: Keine (BSD-Lizenz)
• Lizenz: BSD
• Dokumentationen: http://freenas.org/documentation:setup_and_user_guide
• Forum: http://sourceforge.net/apps/phpbb/freenas/index.php
• Wiki / Knowledgebase: http://www.freenaskb.info/kb/
• Bugtracker: Bugzilla => http://sourceforge.net/tracker/?group_id=151951&atid=782616
• Mitmachen: http://freenas.org/community:how_to_contribute

Installation

Trotz der Tatschache, dass es sich um ein waschechtes FreeBSD handelt, lässt sich diese Variante kinderleicht installieren. Es ist keinerlei Kontakt mit einer Kommandozeile nötig, aber wenn man will, gibt es sie als Auswahloption im Textmenü. Man kann auch nur mit der LiveCD (oder USB etc.) arbeiten, nur muss die Konfiguration ja ohnehin gespeichert werden, also warum nicht gleich eine Installation auf einem USB-Stick (man benötigt dafür nur ca. 100MB). Der Vorteil ist dann auch, dass die vorhandenen Harddisks des Systems komplett für die Services benutzt werden können, während das Betriebssystem auf dem USB-Stick liegt und beim Start in’s Memory geladen werden. Das Startmenü muss man eigentlich nur einmal aufrufen, um die Netzwerkkonfiguration zu aktivieren (mit DHCP ist das mit ein paar Tastendrücken erledigt), dann kann man den Rest eigentlich schon über das Webinterface konfigurieren, welches ziemlich selbsterklärend ist, solange man keine exotischen Disk-Setups erstellen will.

So sieht es nach der Installation auf der Konsole selbst aus, man braucht diese Konsole aber nur einmal zum Konfigurieren der Netzwerkkarte(n):

Konfiguration

Das Prinzip ist einfach: FreeNAS nimmt immer die gesamte Disk und macht ein UFS drauf. Mit etwas mehr Know-How kann man natürlich auch ein Software-Raid, iSCSI, ZFS u.ä. verwenden. Da ich als alter Hase in Unix/Linux-Administration schön brav DNS-Aliase verwendet habe, musste ich nur die Pfade für die NFS-Backups anpassen, während die CIFS-Freigaben sogar dieselben Namen hatten. Mit der Feinarbeit für Unison/SSH/RSync dauerte die ganze Umstellung ca. 4 Stunden (was nichts ist im Vergleich zu der Zeit, die ich benötigte um damals alle diese Services manuell mit CentOS einzurichten, aber Lern-Zeit ist niemals verlorene Zeit).

Nicht zu unterschätzen ist bei FreeNAS die “Coolness”, dass man sogar I-Tunes beliefern kann und ein ZFS als Dateisystem einsetzen kann (ZFS ist quasi Raid und LVM in einem), da ZFS von SUN ist und die Solaris-Welt im Sturm erobert hat (zurecht), ist es toll, dieses Enterprise-Dateisystem als Privater so einfach einsetzen zu können (es ist wirklich ganz einfach zu administrieren, auch manuell):

Die Benutzer habe ich lokal eingerichtet, es sind ja nicht viele. Es wäre eine Autorisation mit LDAP und ADS möglich, aber da es keine Möglichkeit gibt, Benutzerquotas einzurichten, disqualifiziert sich FreeNAS leider für den Einsatz in grösseren Umgebungen mit vielen Benutzern.

Dokumentation

Die Dokumentation ist nicht gerade üppig, eigentlich ist alles ein Trac-Projekt. Es gibt auch eine Knowledgebase, aber auch diese scheint noch nicht im Wiki-Zeitalter angekommen zu sein. Aber wer nicht weiss, was DAAP (quas iTunes Server) oder UPnP (z.B. für Audio- und Video Streaming zur Playstation 3) bedeutet, sollte es auch nicht einsetzen. Leider entspricht dies auch dem Umgangston mit Neulingen im Forum, aber wie gesagt, es ist BSD, freiere Software gibt es kaum.

Die Zukunft von FreeNAS

FreeNAS wurde unlängst von iX-Systems gekauft, wird aber weiterhin als Community-Projekt weiterbestehen. Interessant wird sicher der Wechsel zu FreeBSD 8, womit ZFS produktionsreif swerden soll (was es auch jetzt eigentlich ist).

Offenbar gab es bereits einen “Fork” zu “OpenmediaVault” (im Moment noch unter der Projektseite von “Corenas“), welches ein kleines Debian-GNU/Linux als Grundlage verwenden soll. Darin dürfte das coole ZFS kaum Eingang finden, aber ansonsten öffnet dieser Schritt natürlich die Tore zu einfacherere Hardwareerkennung, viel mehr Dateisystemen (BTRFS, EXT3/4 etc.) und es gibt einfach mehr Entwickler, die Linux verstehen, da BSD ausserhalb der Universitäten kaum eine grosse Community hat (wahrscheinlich werde ich bald korrigiert von einem BSD-Profi, also jetzt schon ein Sorry, dies ist meine persönliche Wahrnehmung als BSD-Aussenstehender).

Fazit

FreeNAS ist cool und es macht viel Spass, es zu installieren und zu konfigurieren. Danach läuft es einfach vor sich hin, also hat man eigentlich nur 2 Stunden Spass
Der Vorteil, dass man die Benutzer via LDAP und ADS autorisieren könnte, wird leider praktisch zunichte gemacht durch das Fehlen von Benutzerquotas. Der einzige Weg zu Quotas wäre, jedem Benutzer einen ZFS-Datensatz (diese können in der Grösse limitiert werden) zuzuweisen, aber das ist natürlich keine Option bei mehr als 5 Benutzern und entspräche nicht dem Einsatzzweck von ZFS-Datensätzen. Schade, denn sonst wäre alles da: Mailversand, S.M.A.R.T., SNMP, SNMPTraps, USV-Unterstützung, Hard- und Software Kryptologie, Hard- und Software-Raid etc.

Bewertung

Ja, auch ein BSD-System bekommt von mir nur Tuxe, keine Teufelchen. Die Bewertung ist hinsichtlich des Einsatzzweckes als NAS zu interpretieren. Es ist für den Gebrauch in kleineren Umgebungen mit nicht allzuvielen Benutzern das perfekte NAS. Das Nichtvorhandensein von User-Quotas hingegen verhindert die Bestnote.

http://chaosradio.ccc.de/cre135.html lohnt sich wirklich. Mehrere wunderbare Aussagen und Beobachtungen (z.B. von Juli Zeh bei 00:44). Wer CRE noch nicht kennt und nur im entferntesten interessiert an der Welt sind, haben was nachzuholen.

Wie schon immer erregen die laut schreienden Idioten das meiste Aufsehen. Das gilt insbesondere für Nationalisten. Als Anfangs August beispielsweise (vermeintlich) russische Hacker aus nationalistischen Kreisen Facebook, Twitter und Co. lahmlegten durch eine sog. D-DoS (Distributed Denial-of-Service) Attacke, war dies auch den internationalen Medien durchaus eine Meldung wert.

Bei diesen „Nationalisten“ handelt es sich in der Regel um frustrierte und gelangweilte Jugendliche in der Türkei oder Russland, welche mangels Perspektive braunes Gedankengut aufschnappen, damit sie im Namen von ihrem Land oder Wasauchimmer ihre heruntergeladenen “Do-your-own-virus-Kit” benutzen können. Mit echten Hackerfähigkeiten hat das nicht im entferntesten zu tun.  Dazu reicht auch die Intelligenz eines durchschnittlichen PC-Benutzers aus, der weiss, wie man die entsprechenden Programme mit Google suchen muss. Wenn jemand eine Autoscheibe mit einem Wagenheber einschlägt, micht ihn das schliesslich auch nicht zu einem Automechaniker.

Diese peinliche Holzhammer-Methode (mache tausende Abfragen pro Sekunde mit vielen PC’s) wird in der Regel mit Viren- oder Wurmverseuchten Windows-PC’s durchgeführt, deren ahnungslose Besitzer sich bald genervt fragen, warum ihre Internetleitung immer langsamer wird. Windows bietet sich also nach wie vor an für minderbemittelte Skript-Kiddies. Durch die enorme Verbreitung von Viren wie “Conficker” und Konsorten steht den Angriffswerzeugen jederzeit eine ganze Armada von willigen Angriffsrechnern zur Verfügung, die nur darauf warten, dass ihre offenen Ports missbraucht werden. Dass russische Softwarehersteller solche Tools auch unverhohlen verkaufen mit Slogans wie „Legen Sie Ihre Konkurrenten lahm“ ist so gesehen kein Zufall, wenn man sich die Karten über die Verbreitung von den Windows-Schädlingen anschaut. Für die Antiviren-Software-Hersteller wie z.B. Kaspersky (auch aus Russland, hmm…) sieht die Zukunft nach wie vor rosig aus.

Quellen:

1. The Guardian: http://www.guardian.co.uk/world/2009/aug/07/georgian-blogger-accuses-russia
2. Heise.de: http://www.heise.de/security/Spekulationen-ueber-DDoS-Attacke-auf-Twitter–/news/meldung/143190
3. Kaspersky (Antivirus-Software-Hersteller): http://www.kaspersky.com/de/

Nachdem sich der Anfangsstress bei meinem neuen Job als Vollblut-Linux-Admin etwas zu legen beginnt, ist wieder mal Zeit für ein paar Experimente: Schon viel zu lange habe ich dieses Thema aufgeschoben, weil ich mir sagte “Sowas brauch’ ich nicht”. Jetzt wo es einmal läuft habe ich mich schnell daran gewöhnt und will gar nicht mehr anders: Dual-Monitor-Betrieb ohne Xinerama-Ärger.
Wie das geht? Erstmal wie üblich: KEINE ATI-Karte kaufen, sondern den Konkurrenten bevorzugen (vielleicht darf ich diese Aussage endlich mal relativieren in einigen Jahren). Der Rest ergibt sich fast von selbst, denn mit nvidia-settings kann man die benötigten Einstellungen machen. Der Nachteil ist, dass man bei jeder X-Session von neuem die Einstellungen machen muss, da sie nicht im .nvidia-settings gespeichert werden. Man könnte auch die X11-Konfiguration speichern, dies funktioniert bei den modernen Distributionen allerdings nicht (das xorg.conf wird immer spartanischer oder existiert gar nicht mehr). Deshalb lässt man sich die X11-Einträge von nvidia-settings anzeigen und ergänzt sie dann selbst im /etc/X11/xorg.conf:

Section "Device"
        Identifier  "Videocard0"
        Driver      "nvidia"
        Option      "NoLogo" "true"
        Option      "TwinView" "on"
        Option      "TwinViewOrientation" "RightOf"
        Option      "MetaModes" "DFP-0: nvidia-auto-select, DFP-1: nvidia-auto-select"
        Option      "Coolbits" "1"
        Option      "RandRRotation" "yes"
        Option      "AddARGBGLXVisuals" "True"
EndSection
Section "Extensions"
        Option      "Composite" "Enable"
EndSection

Auch hier gilt natürlich: Besser selber mit nvidia-settings erstellen anstatt nur kopieren.

KDE4 macht glücklicherweise fast keine Zicken mit dem Dual-Monitor-Betrieb, auch unter erschwerten Bedinungen wie bei mir (zwei verschiedene Auflösungs-Modi). Es muss lediglich eine sogenannte “Aktivität” unter Plasma hinzugefügt werden, welche sich automatisch der Auflösung des zweiten (rechten) Monitors anpasst. Anders als in anderen Betriebssystemen kann nun auch eine zweite Kontrollleiste erstellt werden, welche dem zweiten Monitor dann dieselbe Funktionalität zur Verfügung stellt wie dem “Hauptmonitor”.

Wie konnte ich sowas praktisches nur so lange ignorieren? Naja, im nächsten Artikel stelle ich Euch “multitail” vor, welches ich ebenfalls leider viele Jahre ignoriert habe.

Das neue Opensource-Jahrbuch 2008 wurde veröffentlicht. Man kann es hier heruntergeladen werden mit oder ohne kleine Spende an die Autoren (so 2 Euro wären ja eigentlich angebracht). Ideal für ein paar einsame Stunden am sonnigen Strand (oder Balkon)! Vor allem wird die Freundin nicht neugierig drin blättern (ja ich weiss, das war jetzt ein klassisches Vorurteil)

Im Rahmen meiner RHCE-Ausbildung hatte ich das erste Mal die Gelegenheit, Xen-Installationen für den “professionellen” Einsatz einzurichten. Die überraschend gute Performance auch bei mehreren Instanzen auf einem einzelnen Rechner hat mich sehr beeindruckt. Diese Performance erreicht man indes nur, wenn die virtuellen Maschinen “paravirtualisiert” sind, also dann wenn nicht nur das Wirts- sondern auch das Gastsystem einen Xen-angepassten Kernel verwendet, der gegenseitig kompatibel ist.
Mein Spieltrieb für zu Hause war geweckt. Nach und nach migrierte ich also alle Services themenorientiert auf vier verschiedene sog. DomU’s (unprivilegierte Domains = virtuelle Maschine = Gastsystem, alles austauschbare Begriffe) unter einem CentOS 5.1 Wirts-Server. Dazu benötigt man unter den Redhat Derivaten folgende Komponenten: Xen-Kernel, libvirtd und xend. Dank yum reicht eigentlich ein “yum install kernel-xen” und man hat im Handumdrehen alle notwendigen Werkzeuge für die Virtualisierung zur Hand.

Nach anfänglichen Abhängigkeitsproblemen zwischen den VM’s (oder besser Anfängerfehler, denn das der DNS-Server als erster gestartet werden sollte, müßte mir klar gewesen sein…) kann ich bestätigen, dass die Virtualisierung auch für den kleinen Server im Keller zu Hause durchaus Sinn machen kann. Ich kann nichts über komplexere Applikationen wie Oracle u.ä. sagen aber die Antwortzeiten von LDAP, DHCP, DNS, FTP etc. sind praktisch identisch zu ihren Pendants direkt auf physischen Servern. Auch netzwerktechnisch gesehen ist die Antwortzeit (Ping-Messung) identisch zu einem klassischen Server.

Den Overhead durch die Verwaltung von 4 gleichzeitig laufenden virtuellen Maschinen kann ich indes nur schätzen resp. beobachten. Im Leerlauf sind es zur Zeit nicht mehr als 5-15% des Wirtsystems, die verbraucht werden. Durch die Erweiterung von 2 auf 4 oder gar 6 GB Arbeitsspeicher erhoffe ich mir einen weiteren Leistungsgewinn, da die Resourcen im Moment doch etwas knapp zu sein scheinen, vor allem der Wirt selber hätte etwas mehr Arbeitsspeicher verdient. Die durch den Einsatz des Xen-Kernels fehlende CPU-Geschwindigkeitsregelung (das cpu-ondemand Kernelmodul gibt’s noch nicht für den Xen-Kernel) wird mehr als aufgehoben durch die Tatsache, dass bei mir der 2. Server nicht mehr ständig laufen muss (naja, zumindest sobald ich mir für das Backup resp. NFS/SMB auch eine Lösung geschnitzt habe).
Eine Live-Migration der Server bei einem Ausfall habe ich noch nicht getestet, sobald beide Server RAM-technisch aufgerüstet sind, werde ich dies aber vermutlich in Angriff nehmen. Eine gewisse Flexibilität ist sowieso gegeben, wenn man z.B. wöchentlich die virtuellen Disk-Imagedateien sichert und diese auf einen zweiten Server transferiert. Dann muss im Falle eines Ausfalls des ersten Servers dort nur noch die virtuelle Maschine gestartet werden und schon ist der Service (z.B. FTP) wieder einsatzbereit, ganz ohne weitere Eingriffe in DNS oder DHCP. Dies alleine bedeutet schon einen enormen Fortschritt an Unabhängigkeit im Vergleich zu Server-gebundenen Diensten oder klassischen Failover-Lösungen, da der Server an sich nur noch aus einer Disk-Imagedatei und der Xen-Konfigurationsdatei besteht.

Fazit

Abgsehen vom Aufwand, die VM’s einzurichten, empfinde ich den Serverbetrieb nun als ziemlich aufgeräumt und elegant. Habe ich irgendwo ein Problem, kann ich es auf die betreffende VM eingrenzen. Und auch der Aufwand für die Einrichtung der VM’s lässt sich in engen Grenzen halten, wenn man die Installation mit Kickstart-Konfigurationen, DHCP-vergebenen Adressen sowie mit Netzwerk-Images weitgehend automatisiert.

Hier noch ein Beispiel des virt-install Aufrufes für eine solche automatische Installation. Wenn man das grafische Werkzeug virt-manager zur Einrichtung einer DomU nimmt, geschieht im Hintergrund so ziemlich dasselbe wie hier von Hand:

virt-install --paravirt --name=another_vm --location=http://installserver/centos5_1
--keymap=de_CH --extra-args=ks=http://192.168.1.4/inst/vm_stuff/ks/another_vm.cfg
--ram=512 --vcpus=1 --vnc --file=/vm/xen/images/another_vm.img --file-size=8
--accelerate --mac="00:18:ef:dd:aa:cc"