Univention Corporate Server für virtuelle Infrastrukturen

univention

Univention Corporate Server für virtuelle Infrastrukturen

SSD Flash-Speicher mit den

richtigen Einstellungen tunen

ADMIN

Netzwerk & Security

Sicher

Verbunden

Spurensuche

Netzwerkmitschnitt für

forensische Analysen

OpenNMS

Große Netzwerke stets

sicher im Blick behalten

Vi

Den mächtigen

Editor sicher

beherrschen

Opsi Neue Version des

Windows-Client-Managers

Virtualbox

LDAP-Integration

leicht gemacht

Pulp verwaltet

Repositories

IPSEC UND SSH IN HETEROGENEN NETZEN

LINUX BEQUEM

Was bietet der Univention Corporate

Server als Virtualisierungsplattform?

Auf DVD:

ZFS-Storage

NAS-Eigenbau auf

FreeBSD-Fundament

PAC

Manager für SSH-

Verbindungen

03 2011

Mai – Juni

Die Linux-Alternative:

FreeBSD 8.2-RELEASE

für 64-Bit-Rechner

- Sonderdruck -

JEDER GEGEN JEDEN

VPNs mit Linux, Windows, Cisco,

Solaris, Checkpoint, u. v. a.

www.admin-magazin.de 4 196360 509805 3 0

D EUR 9,80

A EUR 10,80 - BeNeLux EUR 11,25

CH sfr 19,60 - E / I EUR 12,75


TesT

Univention Corporate Server für virtuelle Infrastrukturen

Cockpit

die bremer Firma univention schickt mit dem Corporate server (uCs) einen der interessantesten vorkonfigurierten

Linux-server als strategische Plattform für andere Oss-Produkte ins Rennen. die seit ende 2010 verfügbare

Version 2.4 lockt mit einem manager für virtuelle maschinen auf basis von Xen oder KVm. Thomas drilling

Univentions Corporate Server ist ein

auf Debian GNU/ Linux basierender und

ausschließlich als Appliance erhältlicher

Linux-Server, der ein eigenentwickeltes

Managementsystem mitbringt. Die aktuelle

Version 2.4 enthält auch einen Manager

für virtuelle Maschinen, der im neuesten

Patchlevel 2.4-2 um interessante

Funktionen erweitert wurde.

Der Univention Server unterscheidet sich

insofern von anderen Linux-Appliances

wie etwa dem Collax Business Server

(CBS) dadurch, dass er ein eigenes Do-

univention

Die Bremer Univention GmH um Gründer und

Geschäftsführer Peter Ganten ist seit einigen

Jahren einer der innovativsten Impulsgeber

und Fürsprecher für Linux und Open Source in

Behörden und kleinen Unternehmen.

Interessanterweise wurde auch auf der CeBit

2011 die Linux-Fahne durch kleine

Unternehmen wie Univention hochgehalten.

Die Bremer teilten sich im OpenSource-Park

Kosten und Ausstellungsfläche mit ihren

Partnern wie dem Debian-Projekt und Open-

univention Corporate server

mänen-Konzept auf Basis von OpenLDAP

umsetzt. Zwar sorgt der altmodische anmutende

Curses-Installer beim Admin

zunächst für Argwohn, aber der fertig

installierte Server entschädigt mit einem

durchdachten Gesamtkonzept und einer

praxisgerechten Vorkonfiguration.

Die Installation erledigt der Linux-Admin

mit wenigen Tastendrucken – im Grunde

genügt das Bestätigen sämtlicher Defaults

mit F12. Der fertige Server bringt ein

durchdachtes Rollenmodell mit, das Master

Domain Controller, Backup Domain

Xchange und demonstrierten damit ganz

nebenbei die strategische Bedeutung, die der

UCS als Infrastruktur-Produkt einnimmt.

Nebenbei bemerkt, beschäftigt Univention drei

offizielle Debian-Maintainer in den eigenen

Reihen, was ein Indiz dafür ist, dass die

Univention-Programmierer dicht am Puls von

Linux operieren. Univention ist übrigens

Mitglied im LIVE (Linux-Verband) und der Lisog

und unterstützt den Aufbau des Lisog Open

Source Software Stacks.

Controller, Slave Domain Controller und

Basis-Systeme (Univention Servern und

Desktops) unterstützt. Für das gesamte

Identity- und Systemmanagement kommt

der Verzeichnisdienst OpenLDAP zum

Einsatz, den der Admin im laufenden

Betrieb mit dem Univention Directory

Manager (UDM) konfiguriert. Zusätzlich

erlaubt der eingebaute Active Directory

Connector den bidirektionalen Sync mit

dem Microsoft-Verzeichnisdienst.

Dank verschiedener definierter Schnittstellen

für Anwendungssoftware, lassen

sich Anwendungen wie Open-Xchange,

Scalix, Kolab oder Zarafa hervorragend

in das UCS-Konzept integrieren, sodass

deren Hersteller gerne auf den UCS

zurückgreifen, wenn sie ihre Lösungen

als Appliance realisieren möchten.

Mit Freigabe der Version 2.4 stellte Univention

übrigens die Lizenz auf die Affero

General Public Licence (AGPLv3)

um. Privat-Anwender können daher den

Univention-Server kostenlos herunterladen

und uneingeschränkt nutzen. Außerdem

steht im Rahmen der kommerziel-

108 AusgAbe 03-2011 Admin www.Admin-mAgAzin.de

© Martin B., pixelio.de


len UCS-Varianten für Softwarehersteller

und Integratoren auch eine OEM-Version

zur Verfügung.

UVMM

Die aktuelle »Free for personal use«-Edition

des UCS 2.4 steht unter [1] zum

Download zur Verfügung. Allerdings ist

das ISO »ucs_2.4-0-100829-dvd-amd64.

iso« nicht mehr ganz auf dem aktuellsten

Stand. Insbesondere das UVMM-Modul

hat inzwischen eine Reihe von Verbesserungen

erfahren, sodass die erste

Amtshandlung des Administrator darin

besteht, in der Univention Management

Console im Modul »Online-Update« auf

die aktuell verfügbare Version 2.4-2 hochzurüsten.

Interessantestes Merkmal der aktuellen

UCS-Version ist der von Univention entwickelte

UVMM (Univention Virtual Machine

Manager), der sich als Modul nahtlos

in die Univention Management Console

integriert und eine Browser- basierte

Administration von virtuellen Maschinen

auf Xen- und KVM-Basis erlaubt. Univention

setzt dazu ausschließlich auf offene

Standards, im Fall des UVMM etwa

auf die Bibliothek Libvirt, die neben Xen

und KVM übrigens auch weitere Virtualisierungstechnologien,

wie Virtualbox

unterstützt.

Performance-Tuning

Im praktischen Einsatz wird es vielen Admins

nicht genügen, die virtuellen Maschinen mit

emulierten Treibern auszustatten, denn das geht

zulasten der Performance. Mit KVM installiert

UVMM nämlich Microsofts Windows-Systeme

per Default in der Betriebsart Vollvirtualisierung.

Dabei werden Hardware-Treiber etwa für

Netzwerkkarte oder Storagetreiber vom KVM-

Hypervisor mittels Qemu emuliert. Deutlich

höhere Performance verspricht das Verwenden

der Virtio-Schnittstelle, die für Netzwerk- und

Storagegeräte eine direkte Anbindung an den

KVM-Hypervisor ermöglicht (Passthrough), was

dann etwa mit der Paravirtualisierung unter Xen

vergleichbar ist.

Paravirtualisierte Treiber für Linux-Systeme sind

in den meisten Linux-Distributionen enthalten,

für Windows-Systeme gibt es eine Reihe von

Virtio-Treibern auf der KVM-Seite unter [7]. Der

Univention Corporate Server bringt Virtio-Treiber

für Linux-Systeme ebenfalls mit und richtet

diese im Zuge der Installation einer virtuellen

Linux-Instanz automatisch ein. Virtio-Treiber

Übrigens ist UVMM wie alle von Univention

entwickelten UCS-Bestandteile

vollständig freie Software. Univention

positioniert sein Virtualisierungsprodukt

primär als kostengünstige Alternative

zu den kostspieligeren Virtualisierungs-

Lösungen von VMware, Citrix und Red

Hat. Das UVMM-Modul ist seit der UCS-

Verison 2.4 integraler Bestandteil des

Servers und darf von allen Kunden mit

laufendem Maintenance-Vertrag ohne

Mehrkosten genutzt werden.

Mit dem UVMM (Univention Virtual

Machine Manager) lassen sich virtuelle

Server, Clients, Festplatten-, CDROM-

und DVD-Images samt der physischen

Systeme auf denen sie laufen, zentral

verwalten. Dazu gehört auch das Migrieren

virtueller Maschinen im laufenden

Betrieb von einem physischen Server auf

einen anderen. UCS-Kenner finden sämtliche

Neuerungen der Version 2.4-2 in

den Releasenotes zum Patchlevel 2.4-2

vom April diesen Jahres [2].

Xen und KVM

Wer Server und Desktops ausschließlich

mit freier Software virtualisieren möchte,

muss sich für eine der beiden freien Lösungen

KVM oder Xen entscheiden. Obwohl

Xen spätestens seit der Version 3.2

aus dem Jahr 2008 mit der Unterstützung

für Windows-Systeme kann der Admin dagegen

am schnellsten von Fedora unter [8] in Form

einer ISO- oder VFD-Datei herunterladen und

im Storage-Pool unter »/var/lib/libvirt/images«

ablegen. Aktuell ist die Version 1.1.16. Dann legt

er mit dem vorkonfigurierten Windows-7-Profil

in UVMM eine virtuelle Instanz an. Außerdem

muss der Admin in UVMM bei »Laufwerke« den

Haken bei »Paravirtualisiertes Laufwerk« aktivieren

sowie bei »Netzwerkschnittstellen« mit

»Bearbeiten« für die anlegte Netzwerkkarte den

Treiber auf »Paravirtualisiertes Gerät« (Virtio)

umstellen.

Danach lässt sich die Installation des Windows-

Gastsystems zunächst wie gewohnt in die Wege

leiten. Allerdings wird der Microsoft-Installer

im Zuge der Festplatten-Partitionierung darauf

hinweisen, dass er keine Massenspeicher findet,

weil für den Zugriff zunächst das Einbinden des

Virtio-Treibers erforderlich ist. Dieser lässt sich

aus dem gleichen Menü mithilfe der Funktion

»Treiber laden« nachinstallieren. Hier ist dann

der Treiber »Red Hat virtIO SCSI Controller«

univention Corporate server

www.Admin-mAgAzin.de Admin

von USB-Passthrough alle Voraussetzungen

für den professionellen Einsatz

mitbringt, scheint ihm KVM derzeit den

Rang abzulaufen. Das hat zwei Gründe:

Zum einen unterstützen die offiziellen

Linux-Kernel noch nicht den Betrieb einer

mit PVOps implementierten Dom0.

Zwar hat man seitens XenSource einen

Kernel 2.6.31 speziell für diesen Zweck

angepasst, die auf PVOps aufbauenden

Funktionen des offiziellen Linux-Kernels

bieten aber noch keinen Betrieb als

Dom0.

Zum anderen gab es zwar in der Vergangenheit

einige Linux-Distributionen

mit Xen-3.0-Unterstüzung, allerdings ist

bei ihnen für den Betrieb als vollwertige,

native DomU nur der offizielle Linux-

Kernel-Quellcode von Xen benutzbar,

der ausschließlich in der Version 2.6.18.8

vorliegt. Daher setzen die meisten Linux-

Distributionen inzwischen auf KVM, das

eine im Linux-Kernel vorhandene Infrastruktur

nutzen kann.

Das UVMM-Modul unterstützt mit seinem

aktuellen UCS-Kernel 2.6.32 Xen

und KVM, Xen allerdings nur mit der

Version 3.4.3. Ein UCS kann abhängig

von der Installation eines der drei Pakete

»Virtual Machine Manager«, »Xen Virtualisierungsserver«

oder »KVM Virtualisierungsserver«

wahlweise eine der drei

mit dem Paketnamen korrespondieren-

in der Version für Windows 7 auszuwählen, sowie

der »Red Hat virtIO«-Ethernet Adapter in

der Version für Windows Server 2008, der mit

Windows 7 kompatibel ist. Nach erfolgreichem

Installieren der Treiber ist die neu angelegte

Festplatte im Windows-Installer sichtbar und

die Installation lässt sich wie gewohnt fortsetzen.

Nach Abschluss der Installation sollten im

Windows-Gerätemanager die Geräte »Red Hat

virtIO SCSI Disk Device« und »Red Hat virtIO

Ethernet Adapter« auftauchen.

Anders sieht es dagegen mit der Paravirtualisierung

mittels Xen aus. Hier stellt Xensource unter

[10] im Rahmen des GPLPV-Projekts Open-

Source-Treiber für virtuelle Windows-Systeme

zur Verfügung. Das Installieren stellt an sich

kein größeres Problem dar, allerdings sind die

GPLPV-Treiber nicht mit zertifizierten Treiber-

Signaturen ausgestattet, sodass diese von Windows

Server 2008 und Vista in der Grundeinstellung

abgewiesen werden. Eine detaillierte

Beschreibung, was dann zu tun ist, findet sich

unter [10].

AusgAbe 03-2011

TesT

109


TesT

Abbildung 1: Eine UCS-Virtualisierungsumgebung

setzt sich aus drei Komponenten zusammen, die

im einfachsten Fall auf ein und derselben Maschine

laufen können.

den Rollen spielen: KVM Hypervisor, Xen

Dom0 oder Virtual Machine Manager.

KVM ist eine auf Teilen des Qemu-Codes

basierende Virtualisierungstechnik, die

offiziell im Linux-Kernel integriert ist.

KVM bietet echte Hardware-Virtualisierung,

läuft aber daher nur auf Hardware-

Plattformen, deren Prozessor Virtualisierungs-Unterstützung

mitbringt (Intel

VT oder AMD-V). Xen basiert ebenfalls

auf einem Hypervisor-Modell und ist

prinzipiell mit allen CPUs verwendbar.

Beide Technologien lassen sich normalerweise

über die Kommandozeile einrichten

und verwalten. Da hierzu bei

Xen und KVM/ Qemu unterschiedliche

Kommandos zum Einsatz kämen, bedient

sich der Univention Server hierzu der

C- Bibliothek Libvirt.

Die Libvirt bietet eine einheitliche Schnittstelle

zum Verwalten unterschiedlicher

Virtualisierungslösungen. Ursprünglich

gab es nur einen Xen-Treiber, mittlerweile

enthält libvirt Treiber für Xen, Qemu,

KVM, Virtualbox, VMware ESX, Xen,

LXC Linux Container System, OpenVZ,

User Mode Linux, OpenNebula und verschiedene

Storage-Systeme und fungiert

damit als API zwischen Virtualisierungssoftware

und Managementwerkzeugen

wie UVMM. Neben dem Verwalten von

virtuellen Maschinen kann Libvirt auch

virtuelle Speichermedien, Netzwerke und

Geräte des Host-Systems managen. Die

gesamte Konfiguration ist über XML-Dateien

realisiert. Das Libvirt-Paket bringt

darüber hinaus das interaktive Kommandozeilen-Verwaltungstool

»virsh« mit.

Für die Kommunikation zwischen

den Host-Systemen (Nodes) dient der

univention Corporate server

Daemon »libvirtd«, der auf allen Nodes

gestartet sein muss und oberhalb des

Libvirt-APIs residiert. Der »libvirtd« ermittelt

außerdem den lokalen Hypervisor

und stellt den entsprechenden Treiber zur

Verfügung. Außerdem kommunizieren

auch die Managementtools über diesen

Daemon. Die Verbindung lässt sich verschlüsseln

und unterstützt SASL-Authentifizierung

mit Kerberos und SSL-Client-

Zertifikaten. Der Virtual Machine Manager

sichert die VNC-Verbindung mit SSH.

Da UVMM die Libvirt zum Zugriff auf die

darunterliegende Virtualisierungs-Ebene

nutzt, erscheint das Verwalten von Xen-

und KVM-Systemen in UVMM für den

Nutzer nahezu identisch, auch wenn es

funktionale Unterschiede in der Libvirt-

Unterstützung gibt. So beherrscht etwa

nur KVM Sicherungspunkte.

UCS-Virtualisierung

Beim UCS besteht eine Virtualisierungsumgebung

stets aus mindestens zwei

Komponenten, nämlich einem Virtualisierungsserver

(Xen oder KVM) und

einem UCS, der als Virtual Machine Manager

(UVMM) fungiert. Die zugehörige

Rollenverteilung ergibt sich wie gesehen

einerseits aus der Auswahl des zu installierenden

Pakets im Setup-Programm.

Im Verlauf der Installation muss man außerdem

jedem UCS-System eine Systemrolle

zuweisen. So kann ein als UVMM-

Manager auserkorener UCS gleichzeitig

auch Master Domain Controller, Backup

Domain Controller oder Slave Domain

Controller sein. Ein Virtualisierungsserver

kann zudem

UCS-Memberserver

sein.

Beim Aufsetzen

einer neuen UCS-

Virtualisierungsumgebung

genügt

es im einfachsten

Szenario, einen

DC Master aufzusetzen,

der gleichzeitig

als physischer

Server für

die Virtualisierung

fungiert und den

UVMM-Dienst zur

Verfügung stellt.

Nach dem obliga- Virtualisierungsserver.

torischen Neustart stehen im Grub-Bootloader

mehrere Kernel zur Auswahl. Mit

dem ersten Eintrag startet der UCS den

Xen-Kernel und lädt den Hypervisor für

die Virtualisierung auf dem physischen

Server.

Der Xen-Hypervisor ist im Xen-Virtualisierungszenario

für das Verteilen der

Ressourcen auf die virtuellen Maschinen

zuständig. Allerdings muss der Administrator

den Xen-Hypervisor noch konfigurieren.

Dabei gilt es, zunächst die

Gewichtung der Ressourcenverteilung

zwischen Hypervisor und Gast-Instanzen

anzupassen, was Xen intern mithilfe sogenannter

Credits regelt. Per Default sind

alle Ressourcen gleich verteilt und mit

einem Credit-Wert von 256 belegt. Die

Dokumentation empfiehlt, in der Datei »/

etc/ rc.local« den Wert für den Hypervisor

auf 512 zu erhöhen. Dazu ist in der vorletzten

Zeile vor »exit 0« der Eintrag

xm sched‑credit ‑d Domain‑0 ‑w 512

zu ergänzen. Die Xen-Dokumentation

empfiehlt außerdem, dem Hypervisor

einen Anteil des physischen Arbeitsspeichers

und auf MehrkernSystemen eine

oder mehrere CPUs fest zuzuweisen.

Diese Konfiguration kann beim UCS mithilfe

einer UCS-Systemvariable »grub/

xenhopt« erfolgen, die der Admin beim

UCS mit »ucr set« setzen kann:

ucr set grub/xenhopt="dom0_mem=xxxxM U

dom0_max_vcpus=x dom0_vcpus_pin"

Hierbei steht xxxx für die Größe des zuzuweisenden

Arbeitsspeichers in Megabyte,

x für die Anzahl zuzuweisender

Abbildung 2: Dieser UCS-Server kann wahlweise als Xen-Hypervisor oder UCS-

Managementsystem fungieren, mangels CPU-Unterstützung aber nicht als KVM-

110 AusgAbe 03-2011 Admin www.Admin-mAgAzin.de


CPUs. Die nötige Größe des Arbeitsspeichers

hängt primär von der Anzahl

laufender Dienste ab. Wer einen reinen

UCS-Virtualisierungsserver aufsetzt,

sollte mit 1 GByte Arbeitsspeicher für

einen Xen-Hypervisor zurechtkommen.

Will man neben der Xen-Virtualisierung

weitere Dienste vom UCS zur Verfügung

stellen (Webserver, Mailserver), ist der

Wert gegebenenfalls nach oben zu korrigieren,

etwa

ucr set grub/xenhopt="dom0_mem=1024M U

dom0_max_vcpus=1 dom0_vcpus_pin"

für einen Virtualisierungs-Server mit

4 GByte RAM und zwei CPUs.

UVMM-Assistenten

Sind alle Konfigurationsvorarbeiten erledigt,

ist das Anlegen und Verwalten virtueller

Instanzen im grafischen UVMM-Modul

der Univention Management Console

relativ einfach. Vor dem Konfigurieren

ADMIN

Netzwerk & Security

virtueller Instanzen ist unbedingt darauf

zu achten, den seit Anfang April 2011

verfügbaren Patch-Level 2.4-2 wie beschrieben

einzuspielen. Damit lässt sich

dann beispielsweise der paravirtualisierte

Zugriff auf Laufwerke und Server direkt

über das UVMM-Modul einrichten. Virtualisierte

Systeme können so auf Geräte des

physischen Virtualisierungsservers (CD,

DVD) zugreifen (Passthrough), außerdem

lassen sich jeder virtuellen Instanz auch

mehrere Netzwerkkarten zuweisen. Weiter

kann der Admin im UVMM-Profil den

Parameter »Architektur« auf »automatic«

setzten, womit das UVMM-Modul stets

die Hardware des physischen Servers auf

der virtuellen Maschine anbietet.

Übrigens ist es auf einem 64-Bit-System

nicht mehr erforderlich, eine 32-Bit-

CPU zu emulieren. Allerdings lässt sich

durchaus auch ein 32-Bit-Betriebssystem

installieren. Beim Erstellen virtueller

Maschinen erzeugt das System in der

Regel vollvirtualisierte Systeme (KVM),

HOME DAS HEFT MEDIADATEN KONTAKT NEWSLETTER ABO

sofern die im Virtualisierungsserver

verbaute CPU über eine VT-Erweiterung

verfügt. Xen-Hosts dagegen beherrschen

in Verbindung mit Linux auch Paravirtualisierung.

Das UVMM-Modul heißt innerhalb der

Univention Management Console (UMC)

»Virtuelle Maschinen« und zeigt auf der

linken Seite in einer Baumstruktur eine

Übersicht der vorhandenen physischen

Server gruppiert nach Namen an, dazu

die jeweils konfigurierten virtuellen Instanzen.

Wählt man einen physischen Server

aus, erscheint rechts seine CPU- und

Speicherauslastung.

Das UVMM-Modul kann virtuelle

Instanzen anlegen, bearbeiten und

löschen. Außerdem kann der Admin den

Status einer virtuellen Instanz ändern.

Im Detail hängt der Funktionsumfang

von der darunter liegenden Virtualisierungstechnik

ab; sogenannte Sicherungspunkte

sind beispielsweise nur mit

KVM möglich. Zum Erstellen einer neuen

ADMIN-Magazin – für alle IT-Administratoren

Bei uns wird SICHERHEIT groß geschrieben

Linux I Windows I Security I Monitoring I Storage I Datenbanken I Mailserver I Virtualisierung

SECURITY

Server-Systeme richtig abzusichern

gehört zu den Hauptaufgaben jedes

Administrators. Sei es durch Firewalls,

Intrusion-Detection-Systeme oder Mandatory

Access Control mit SELinux.

Besonderes Augenmerk richtet ADMIN

auf die Absicherung von Webservern,

die heute heute mit SQL-Injection, Cross Site

Scripting und Request Forgery bis zu

90% der der Sicherheitslücken ausmachen.

univention Corporate server

www.admin-magazin.de

Suchen

Diese Website durchsuchen:

Security

➔ über 100 Ergebnisse!

Themen

TesT

Suchen

Windows Verschlüsselung Datenbank

IDS Dateisysteme Linux Monitoring

Storage Webserver Virtualisierung

Nobilior, Fotolia


TesT

virtuellen Instanz steht im UVMM-Modul

ein Assistent zur Verfügung.

Profile

Mit »Hinzufügen« muss der Admin zunächst

ein Profil auswählen, von dem

Einstellungen für die virtuelle Instanz wie

etwa Namenspräfix, Anzahl der CPUs,

Arbeitsspeicher sowie die Verfügbarkeit

einiger weiterer Parameter abhängen. Im

Profil lässt sich übrigens auch festlegen,

ob der direkte Remote-Zugriff via VNC

erlaubt sein soll.

Übrigens stellt UVMM im Assistenten

zum Erzeugen virtueller Instanzen eine

Reihe vordefinierter Profile zur Verfügung,

die die meisten Einstellungen mit

sinnvollen Vorgabewerten füllen. Der

Administrator kann diese Werte entweder

direkt im Assistenten oder später in den

erweiterten Einstellungen nachträglich

ändern. Zurzeit stehen abhängig von der

verwendeten Rechnerarchitektur (i386

oder AMD64), die vordefinierten Profile

Windows XP, Windows 7, Windows 7 (64

Bit), Windows 2003, Windows 2003 R2

(64 Bit), Windows 2008, Windows 2008

R2 (64 Bit), UCS 2.4, UCS 2.4 (64 Bit),

Other und Other (64 Bit) zur Auswahl.

Zusätzlich liest der UVMM vorhandene

Profile aus dem LDAP-Verzeichnis.

Experten können diese dort im Container

»cn=Profiles,cn=Virtual Machine Manager«

auch direkt bearbeiten, zum Beispiel

im grafischen Univention Directory

Manager (UDM).

Dort lassen sich übrigens auch weitere

Profile hinzufügen. Mit der aktuellen

univention Corporate server

Abbildung 3: Steht KVM mangels CPU-Unterstützung nicht zur Verfügung, erstellt das System eine

paravirtualisierte Xen-Umgebung.

UCS-Version 2.4-2 wird das UVMM-Modul

übrigens vom Univention-Directory-

Listener-Modul aktualisiert, sobald sich

Informationen über virtuelle Maschinen

im LDAP ändern, was zu einer deutlichen

Lastreduzierung führen soll.

Laufwerkstypen

Mit »Weiter« lässt sich ein Laufwerk in

die Virtualisierungsumgebung einbinden.

Bei virtuellen Festplatten ist wahlweise

das Erstellen einer Image-Datei

oder das Auswählen einer vorhandenen

Image-Datei möglich. Der Admin kann

für Festplatten-Images bei KVM auch

das erweiterte Standardformat »qcow2«

verwenden (Default), das Copy-on-Write

unterstützt oder das einfache Raw-Format.

Bei Copy-on-Write überschreibt eine

Änderung nicht das Original, sondern

legt die neue Version an einer anderen

Position ab. Dabei wird allerdings die interne

Referenzierung derart aktualisiert,

dass ein Zugriff wahlweise auf die Originalversion

oder die neue Version möglich

ist, eine entscheidende Voraussetzung für

das Erstellen von Sicherungspunkten.

Diese Funktion steht nur bei virtuellen

Festplatten im erweiterten Image-Format

zur Verfügung. Auf Xen-Systemen gibt es

dagegen nur das Raw-Format.

Virtuelle CDs

Abbildung 4: Assistenten helfen beim Anlegen neuer virtueller Instanzen.

Jeder Virtualisierungsserver stellt per

Default den Speicherbereich »Lokales

Verzeichnis« zur Verfügung, der auf dem

Virtualisierungs-Servern unter »/var/lib/

libvirt/images/« abgebildet ist. Selbstverständlich

lassen sich ISO-Dateien auch

direkt in dieses Verzeichnis kopieren und

sich dann von dort im UVMM-Dialog mit

Laufwerken verknüpfen.

Im nächsten Schritt muss der

Administrator mindestens noch ein

weiteres Laufwerk, diesmal ein CD-

Laufwerk, hinzufügen und kann dann

unmittelbar das zuvor kopierte ISO als

Boot-Medium auswählen.

112 AusgAbe 03-2011 Admin www.Admin-mAgAzin.de


Abbildung 5: Profile für virtuelle Instanzen sind beim UCS konsequenterweise auch im LDAP gespeichert.

Beim Anlegen eines neuen virtuellen

Laufwerks für eine neue Virtualisierungsinstanz

muss der Admin im UVMM-Profil

die Bootreihenfolge für vollvirtualisierte

Instanzen einstellen, damit sichergestellt

ist, dass die VM auch tatsächlich von

dem mit dem CD-Laufwerk verknüpften

ISO-Image bootet. Bei paravirtualisierten

Instanzen ergibt sich Boot-Reihenfolge

aus der Reihenfolge beim Definieren der

Laufwerke. Diese lässt sich aber nach Beenden

des Assistenten mit »Fertigstellen«

im Menü »Laufwerke« mit »Als Boot-Medium

setzen« beeinflussen.

www.Admin-mAgAzin.de

Wurde eine virtuelle Instanz erfolgreich

definiert, zeigt das UVMM-Modul links

eine Übersicht der neuen Instanzen,

gruppiert nach Sicherungspunkten (nur

KVM), Laufwerken, Netzwerkschnittstellen

und Einstellungen. Die meisten Einstellungsoptionen

in der GUI sind intuitiv

und selbsterklärend. Wer entsprechende

Dialoge von Virtualbox, Parallels oder

VMware Workstation kennt, wird sich

zurechtfinden.

Via UVMM angelegte virtuelle Instanzen

sind übrigens per Default ausgeschaltet.

Das Einschalten lässt sich auf zweierlei

Abbildung 6: Beim Hinzufügen von Laufwerken stehen das Gcow- und das Raw-Format zur Auswahl.

Linux-Magazin

ACADEMY

Online-Training

Prüfungsvorbereitung

für LPIC 1 & 2

Besorgen Sie sich

Brief und Siegel

für Ihr Linux-

Knowhow mit der

LPI-Zertifizierung.

- Training für die Prüfungen LPI

101 und 102

- Training für die Prüfungen LPI

201 und 202

SpAren SIe mIt

pAketpreISen 20%

Rabatt für

Abonnenten

Auszug aus dem Inhalt:

❚ Hardware-Einstellungen,

Paketverwaltung

❚ Arbeiten auf der

Kommandozeile

❚ Partitionen und Dateisysteme

❚ Shell-Umgebung

❚ Netzkonfiguration und

-verwaltung

❚ Protokolle

❚ DNS-Server einrichten und

verwalten

❚ Verschlüsselung und

Rechteverwaltung

❚ Kernel kompilieren und

patchen

❚ RAID-Konfiguration,

Logical Volume Manager

❚ Web-, Proxy-, Samba-Server

Mit vielen

Praxisbeispielen

Information und Anmeldung unter:

academy.linux-magazin.de/wordpress


TesT

Art bewerkstelligen, nämlich entweder in

der Übersicht des jeweiligen physischen

Servers mit dem zugehörigen Listeneintrag

oder in der Übersicht der virtuellen

Instanz selbst. In diesem Fall gibt es hier

einen Abschnitt »Operationen«.

Mit »Starten« fährt der Admin eine virtuelle

Instanz hoch, »Beenden« stoppt

sie erwartungsgemäß. Fährt der Benutzer

oder Admin das darin laufende Betriebssystem

vorher nicht herunter, gleicht

dieser Vorgang dem Ausschalten eines

physischen Rechners. Mit »Pausieren«

lässt sich der jeweiligen virtuellen Instanz

sämtliche CPU-Zeit entziehen; allerdings

bleibt der Arbeitsspeicher auf

dem physischen System belegt. Mit »Speichern

und Beenden« ist gewährleistet,

dass der Arbeitsspeicher der virtuellen

Instanz gesichert ist, bevor der Instanz

CPU-Zeit vollständig entzogen wird. Im

Unterschied zum Pausieren gibt diese

Funktion außerdem den Arbeitsspeicher

wieder frei.

Neustart mit KVM

Gespeicherte virtuelle Maschinen lassen

sich mit »Starten« wieder in Betrieb nehmen,

allerdings ist diese Funkion nur auf

Virtualisierungs-Servern auf KVM-Basis

verfügbar. Mit »Fortfahren« wird einer

pausierenden Instanz wieder CPU-Zeit

zugewiesen, was den Zustand vor dem

Pausieren restauriert. Das »Löschen« einer

virtuellen Instanz hängt das betref-

univention Corporate server

Abbildung 7: ISO-Imagedateien liegen beim UCS im Speicherbereich »lokaler Speicher« und lassen sich mit

UVMM einfach etwa als CD-Laufwerk einbinden.

fende Laufwerk aus und löscht optional

auch die korrespondierende Image-Datei.

Das Menü »Laufwerke« zeigt eine Liste

aller definierten virtuellen Laufwerke mit

Typ, Image-Datei und Größe.

Virtuelle CDROM-Images erlauben ausschließlich

das Einbinden existenter

ISOs. Bei Festplatten-Images lassen sich

dagegen auch solche hinzufügen, deren

reale Größe im laufenden Betrieb bis zur

angegebenen Größe mitwächst (Sparse-

Datei). Außerdem legt der Admin hier

die Boot-Reihenfolge fest, in der das

emulierte BIOS der virtuellen Instanz

die Laufwerke nach bootbaren Medien

durchsucht.

Ganz unten im Menü »Einstellungen« findet

der Admin die grundlegenden Einstellungen

jeder virtuellen Instanz, die sich

freilich nur ändern lassen, wenn die virtuelle

Instanz ausgeschaltet ist und keine

Sicherungspunkte angelegt sind. Dabei

muss der Name der virtuellen Instanz bei

»Name« mit deren Hostnamen im LDAP

storage-Verwaltung

UVMM greift mithilfe sogenannter Speicherbereiche

(Storage Pools) auf Festplatten- und

ISO-Images zu. Bei einem solchen Storage-

Pool handelt es sich wahlweise um ein lokales

Verzeichnis auf einem Virtualisierungsserver,

ein NFS-Share, ein iSCSI-Target oder ein LVM-

Volume. Die Definition solcher Speicherbereiche

erfolgt über XML-Dateien. Definitionsbeispiele

für Storage-Backends können der Dokumentation

der Libvirt-Seite [5] entnommen werden.

übereinstimmen. Im Feld »Architektur«

kann der Admin die Architektur der

emulierten Hardware festlegen. Virtuelle

64-Bit-Instanzen lassen sich nur auf Servern

mit AMD64-Architektur anlegen.

Das Feld »Anzahl der CPUs« legt fest,

wie viele virtuelle CPUs die Libvirt der

virtuellen Instanz zuteilt. Das Feld »Speicher«

bestimmt die Größe des Arbeitsspeichers.

Einstellungen zum virtuellen

Netzwerk-Interface finden sich im Menü

»Netzwerkschnittstellen«, wie etwa die

MAC-Adresse der Netzwerkschnittstelle.

Bei Nichtausfüllen trägt UVMM einen Zufallswert

ein. Mit »Netzwerkschnittstelle«

gibt der Admin das für die Bridge des

physischen Servers benutzte Interface an;

Default ist »eth0«. Seit dem Patch-Level

2.4.2 lassen sich pro virtueller Instanz

übrigens mehrere Netzwerkschnittstellen

definieren. UVMM unterstützt dazu die

Typen »Bridged« und »NAT«.

Ganz unten gibt es noch den Bereich

»Erweiterte Einstellungen«, in dem sich

Attribute, wie beispielsweise die verwendete

Virtualisierungstechnik finden und

die der Admin in der Regel beim Erzeugen

einer virtuellen Instanz bestimmt.

Außerdem findet sich hier auch die schon

bei der Profil-Definition festgelegte Option

für den Direktzugriff. Mit Setzen

der Option »Direktzugriff« öffnet UVMM

unmittelbar beim Starten der virtuellen

Instanz eine Java-Session im Browser, die

den Zugriff via VNC auf das virtualisierte

Betriebssystem ermöglicht.

Zugriff mit VNC

Es ist allerdings auch möglich, ein eigenständiges

VNC-Zugriffsprogramm zu

benutzen. Wie das funktioniert, lässt sich

unter [4] nachlesen. Auf KVM-Systemen

bietet UVMM außerdem die Möglichkeit

zum Anlegen von Sicherungspunkten, zu

UCS verwendet per Default »/ var/lib/libvirt/

images« als Storage-Pool. Alle durch UVMM

erzeugten Festplatten-Images sind sogenannte

Sparse-Dateien, die im laufenden Betrieb mit

dem tatsächlichen Füllstand kontinuierlich

anwachsen. Daher ist es empfehlenswert, das

Volllaufen dieses Verzeichnisses stetig zu überwachen,

etwa mit einer Monitoring-Lösung wie

Nagios. Tipps, etwa zum Anlegen eines iSCSI-

Speicherbereiches, finden sich unter [6].

114 AusgAbe 03-2011 Admin www.Admin-mAgAzin.de


denen man bei Bedarf jederzeit zurückkehren

kann. Voraussetzung dafür sind

Festplatten-Images im QCow2-Format.

Wie beschrieben werden sämtliche Sicherungspunkte

im Copy-on-Write-Verfahren

in den Image-Dateien gespeichert.

Die zugehörige Verwaltungsfunktion findet

sich im Abschnitt »Sicherungspunkte«

der Einstellungen für eine virtuellen

Machine. Mit » Neuer Sicherungspunkt

erstellen« erstellt der Admin einen Sicherungspunkt.

Neben dem frei wählbaren

Namen speichert UVMM auch den Zeitpunkt,

an dem der Sicherungspunkt erstellt

wurde. Die nachfolgende Liste zeigt

alle vorhandenen Sicherungspunkte in

chronologisch-umgekehrter Reihenfolge.

Mit »Wiederherstellen« lässt sich die virtuelle

Instanz leicht zu einem früheren

Sicherungspunkt zurücksetzen.

Fazit

Neben den kommerziellen Virtualisierungslösungen

haben sich die beiden

freien Virtualisierungstechnologien

Xen und KVM einen festen Platz in der

Admin-Gunst erworben. Seit KVM fester

Bestandteil des Linux-Kernels ist und im

Zusammenhang mit einer entsprechend

ausgestatteten CPU volle Hardwarevirtualisierung

ermöglicht, scheint KVM dem

einstigen Star Xen den Rang abzulaufen.

Trotzdem wird es noch eine ganze Zeit für

beide Technologien ihre Daseinsberechtigung

geben, weil es einerseits immer

noch sehr viele Xen-Nutzer gibt und zum

anderen nur Xen-Paravirtualisierung ohne

Abbildung 9: UVMM bietet einen eingebauten VNC-Viewer, der unkompliziert

einen grafischen Zugriff auf die virtuelle Maschine aus UVMM ermöglicht.

CPU-Unterstützung ermöglicht. Zu der im

ADMIN 05/ 2010 [3] vorgestellten Open

Source Virtualisierungsplattform Proxmox,

die KVM- und OpenVZ-Container im Browser

administriert, gesellt sich der neue Univention

Corporate Server 2.4-2 als weitere

Plattform, die das Verwalten von KVM-

Instanzen im Browser erlaubt. Zusätzlich

bietet UCS eine komfortable Möglichkeit

zum Einrichten vom Xen-Virtualisierungsszenarien,

wenn auch nur auf Basis der

Version 3.4. Interessant für den Unternehmenseinsatz

sind am Univention Corporate

Server das Domänen-Konzept auf Basis

von Open LDAP

sowie die BrowserbasiertenManagementsysteme

UDM

und UMC. Zwar

mutet die Aufmachung

mit den etwas

angestaubten

KDE-Icons sowie

der Curses-basierte

Installer etwas altertümlich

an. Hinter

dem gesamten

Konzept des UCS-

Servers steckt eine

geballte Portion

Know-how, die für

jeden Admin von

Nutzen ist. (jcb) n

univention Corporate server

Abbildung 8: Virtuelle Instanzen verwaltet der Administrator im zugehörigen UVMM-Profil.

www.Admin-mAgAzin.de Admin

Infos

[1] Download Univention UCS 2.4:

[http:// www. univention. de/ download/

free-for-personal-use-edition/]

[2] Changelog Patchlevel 2.4-2 :

[http:// download. univention. de/ doc/

changelog-2. 4-2. pdf]

[3] Thomas Drilling, „Proxmox: Container-

und Hardware-Virtualisierung unter einem

Dach“, ADMIN 05/ 2010: [http:// www.

admin-magazin. de/ content/ 05-2010-virtual

isierung-vom-virtuellen-server-zur-cloud]

[4] VNC-Viewer: [http:// wiki. univention. de/

index. php? title=Konfiguration_eines_externen_VNC-Viewers]

[5] Libvirt-Storage:

[http:// libvirt. org/ storage. html]

[6] iSCSI-Storage für UCS/ UVMM:

[http:// wiki. univention. de/ index. php? title

=UVMM-iSCSI-Speicherbereiche]

[7] KVM Virtio-Treiber:

[http:// www. linux-kvm. org/ page/

WindowsGuestDrivers/ Download_Drivers]

[8] Virtio-Treiber von Fedora:

[http:// alt. fedoraproject. org/ pub/ alt/

virtio-win/ latest/ images/ bin/]

[9] Xensource GPLPV-Treiber:

[http:// wiki. xensource. com/ xenwiki/

XenWindowsGplPv/]

[10] GPLPV-Treiber für Xen installieren:

[http:// wiki. univention. de/ index. php?

title=UVMM-GPLPV]

AusgAbe 03-2011

TesT

115

Weitere Magazine dieses Users
Ähnliche Magazine