Univention Corporate Server für virtuelle Infrastrukturen

SSD Flash-Speicher mit den
richtigen Einstellungen tunen
ADMIN
Netzwerk & Security
Sicher
Verbunden
Spurensuche
Netzwerkmitschnitt für
forensische Analysen
OpenNMS
Große Netzwerke stets
sicher im Blick behalten
Vi
Den mächtigen
Editor sicher
beherrschen
Opsi Neue Version des
Windows-Client-Managers
Virtualbox
LDAP-Integration
leicht gemacht
Pulp verwaltet
Repositories
IPSEC UND SSH IN HETEROGENEN NETZEN
LINUX BEQUEM
Was bietet der Univention Corporate
Server als Virtualisierungsplattform?
Auf DVD:
ZFS-Storage
NAS-Eigenbau auf
FreeBSD-Fundament
PAC
Manager für SSH-
Verbindungen
03 2011
Mai – Juni
Die Linux-Alternative:
FreeBSD 8.2-RELEASE
für 64-Bit-Rechner
- Sonderdruck -
JEDER GEGEN JEDEN
VPNs mit Linux, Windows, Cisco,
Solaris, Checkpoint, u. v. a.
www.admin-magazin.de 4 196360 509805 3 0
D EUR 9,80
A EUR 10,80 - BeNeLux EUR 11,25
CH sfr 19,60 - E / I EUR 12,75

TesT
Univention Corporate Server für virtuelle Infrastrukturen
Cockpit
die bremer Firma univention schickt mit dem Corporate server (uCs) einen der interessantesten vorkonfigurierten
Linux-server als strategische Plattform für andere Oss-Produkte ins Rennen. die seit ende 2010 verfügbare
Version 2.4 lockt mit einem manager für virtuelle maschinen auf basis von Xen oder KVm. Thomas drilling
Univentions Corporate Server ist ein
auf Debian GNU/ Linux basierender und
ausschließlich als Appliance erhältlicher
Linux-Server, der ein eigenentwickeltes
Managementsystem mitbringt. Die aktuelle
Version 2.4 enthält auch einen Manager
für virtuelle Maschinen, der im neuesten
Patchlevel 2.4-2 um interessante
Funktionen erweitert wurde.
Der Univention Server unterscheidet sich
insofern von anderen Linux-Appliances
wie etwa dem Collax Business Server
(CBS) dadurch, dass er ein eigenes Do-
univention
Die Bremer Univention GmH um Gründer und
Geschäftsführer Peter Ganten ist seit einigen
Jahren einer der innovativsten Impulsgeber
und Fürsprecher für Linux und Open Source in
Behörden und kleinen Unternehmen.
Interessanterweise wurde auch auf der CeBit
2011 die Linux-Fahne durch kleine
Unternehmen wie Univention hochgehalten.
Die Bremer teilten sich im OpenSource-Park
Kosten und Ausstellungsfläche mit ihren
Partnern wie dem Debian-Projekt und Open-
univention Corporate server
mänen-Konzept auf Basis von OpenLDAP
umsetzt. Zwar sorgt der altmodische anmutende
Curses-Installer beim Admin
zunächst für Argwohn, aber der fertig
installierte Server entschädigt mit einem
durchdachten Gesamtkonzept und einer
praxisgerechten Vorkonfiguration.
Die Installation erledigt der Linux-Admin
mit wenigen Tastendrucken – im Grunde
genügt das Bestätigen sämtlicher Defaults
mit F12. Der fertige Server bringt ein
durchdachtes Rollenmodell mit, das Master
Domain Controller, Backup Domain
Xchange und demonstrierten damit ganz
nebenbei die strategische Bedeutung, die der
UCS als Infrastruktur-Produkt einnimmt.
Nebenbei bemerkt, beschäftigt Univention drei
offizielle Debian-Maintainer in den eigenen
Reihen, was ein Indiz dafür ist, dass die
Univention-Programmierer dicht am Puls von
Linux operieren. Univention ist übrigens
Mitglied im LIVE (Linux-Verband) und der Lisog
und unterstützt den Aufbau des Lisog Open
Source Software Stacks.
Controller, Slave Domain Controller und
Basis-Systeme (Univention Servern und
Desktops) unterstützt. Für das gesamte
Identity- und Systemmanagement kommt
der Verzeichnisdienst OpenLDAP zum
Einsatz, den der Admin im laufenden
Betrieb mit dem Univention Directory
Manager (UDM) konfiguriert. Zusätzlich
erlaubt der eingebaute Active Directory
Connector den bidirektionalen Sync mit
dem Microsoft-Verzeichnisdienst.
Dank verschiedener definierter Schnittstellen
für Anwendungssoftware, lassen
sich Anwendungen wie Open-Xchange,
Scalix, Kolab oder Zarafa hervorragend
in das UCS-Konzept integrieren, sodass
deren Hersteller gerne auf den UCS
zurückgreifen, wenn sie ihre Lösungen
als Appliance realisieren möchten.
Mit Freigabe der Version 2.4 stellte Univention
übrigens die Lizenz auf die Affero
General Public Licence (AGPLv3)
um. Privat-Anwender können daher den
Univention-Server kostenlos herunterladen
und uneingeschränkt nutzen. Außerdem
steht im Rahmen der kommerziel-
108 AusgAbe 03-2011 Admin www.Admin-mAgAzin.de
© Martin B., pixelio.de

len UCS-Varianten für Softwarehersteller
und Integratoren auch eine OEM-Version
zur Verfügung.
UVMM
Die aktuelle »Free for personal use«-Edition
des UCS 2.4 steht unter [1] zum
Download zur Verfügung. Allerdings ist
das ISO »ucs_2.4-0-100829-dvd-amd64.
iso« nicht mehr ganz auf dem aktuellsten
Stand. Insbesondere das UVMM-Modul
hat inzwischen eine Reihe von Verbesserungen
erfahren, sodass die erste
Amtshandlung des Administrator darin
besteht, in der Univention Management
Console im Modul »Online-Update« auf
die aktuell verfügbare Version 2.4-2 hochzurüsten.
Interessantestes Merkmal der aktuellen
UCS-Version ist der von Univention entwickelte
UVMM (Univention Virtual Machine
Manager), der sich als Modul nahtlos
in die Univention Management Console
integriert und eine Browser- basierte
Administration von virtuellen Maschinen
auf Xen- und KVM-Basis erlaubt. Univention
setzt dazu ausschließlich auf offene
Standards, im Fall des UVMM etwa
auf die Bibliothek Libvirt, die neben Xen
und KVM übrigens auch weitere Virtualisierungstechnologien,
wie Virtualbox
unterstützt.
Performance-Tuning
Im praktischen Einsatz wird es vielen Admins
nicht genügen, die virtuellen Maschinen mit
emulierten Treibern auszustatten, denn das geht
zulasten der Performance. Mit KVM installiert
UVMM nämlich Microsofts Windows-Systeme
per Default in der Betriebsart Vollvirtualisierung.
Dabei werden Hardware-Treiber etwa für
Netzwerkkarte oder Storagetreiber vom KVM-
Hypervisor mittels Qemu emuliert. Deutlich
höhere Performance verspricht das Verwenden
der Virtio-Schnittstelle, die für Netzwerk- und
Storagegeräte eine direkte Anbindung an den
KVM-Hypervisor ermöglicht (Passthrough), was
dann etwa mit der Paravirtualisierung unter Xen
vergleichbar ist.
Paravirtualisierte Treiber für Linux-Systeme sind
in den meisten Linux-Distributionen enthalten,
für Windows-Systeme gibt es eine Reihe von
Virtio-Treibern auf der KVM-Seite unter [7]. Der
Univention Corporate Server bringt Virtio-Treiber
für Linux-Systeme ebenfalls mit und richtet
diese im Zuge der Installation einer virtuellen
Linux-Instanz automatisch ein. Virtio-Treiber
Übrigens ist UVMM wie alle von Univention
entwickelten UCS-Bestandteile
vollständig freie Software. Univention
positioniert sein Virtualisierungsprodukt
primär als kostengünstige Alternative
zu den kostspieligeren Virtualisierungs-
Lösungen von VMware, Citrix und Red
Hat. Das UVMM-Modul ist seit der UCS-
Verison 2.4 integraler Bestandteil des
Servers und darf von allen Kunden mit
laufendem Maintenance-Vertrag ohne
Mehrkosten genutzt werden.
Mit dem UVMM (Univention Virtual
Machine Manager) lassen sich virtuelle
Server, Clients, Festplatten-, CDROM-
und DVD-Images samt der physischen
Systeme auf denen sie laufen, zentral
verwalten. Dazu gehört auch das Migrieren
virtueller Maschinen im laufenden
Betrieb von einem physischen Server auf
einen anderen. UCS-Kenner finden sämtliche
Neuerungen der Version 2.4-2 in
den Releasenotes zum Patchlevel 2.4-2
vom April diesen Jahres [2].
Xen und KVM
Wer Server und Desktops ausschließlich
mit freier Software virtualisieren möchte,
muss sich für eine der beiden freien Lösungen
KVM oder Xen entscheiden. Obwohl
Xen spätestens seit der Version 3.2
aus dem Jahr 2008 mit der Unterstützung
für Windows-Systeme kann der Admin dagegen
am schnellsten von Fedora unter [8] in Form
einer ISO- oder VFD-Datei herunterladen und
im Storage-Pool unter »/var/lib/libvirt/images«
ablegen. Aktuell ist die Version 1.1.16. Dann legt
er mit dem vorkonfigurierten Windows-7-Profil
in UVMM eine virtuelle Instanz an. Außerdem
muss der Admin in UVMM bei »Laufwerke« den
Haken bei »Paravirtualisiertes Laufwerk« aktivieren
sowie bei »Netzwerkschnittstellen« mit
»Bearbeiten« für die anlegte Netzwerkkarte den
Treiber auf »Paravirtualisiertes Gerät« (Virtio)
umstellen.
Danach lässt sich die Installation des Windows-
Gastsystems zunächst wie gewohnt in die Wege
leiten. Allerdings wird der Microsoft-Installer
im Zuge der Festplatten-Partitionierung darauf
hinweisen, dass er keine Massenspeicher findet,
weil für den Zugriff zunächst das Einbinden des
Virtio-Treibers erforderlich ist. Dieser lässt sich
aus dem gleichen Menü mithilfe der Funktion
»Treiber laden« nachinstallieren. Hier ist dann
der Treiber »Red Hat virtIO SCSI Controller«
univention Corporate server
www.Admin-mAgAzin.de Admin
von USB-Passthrough alle Voraussetzungen
für den professionellen Einsatz
mitbringt, scheint ihm KVM derzeit den
Rang abzulaufen. Das hat zwei Gründe:
Zum einen unterstützen die offiziellen
Linux-Kernel noch nicht den Betrieb einer
mit PVOps implementierten Dom0.
Zwar hat man seitens XenSource einen
Kernel 2.6.31 speziell für diesen Zweck
angepasst, die auf PVOps aufbauenden
Funktionen des offiziellen Linux-Kernels
bieten aber noch keinen Betrieb als
Dom0.
Zum anderen gab es zwar in der Vergangenheit
einige Linux-Distributionen
mit Xen-3.0-Unterstüzung, allerdings ist
bei ihnen für den Betrieb als vollwertige,
native DomU nur der offizielle Linux-
Kernel-Quellcode von Xen benutzbar,
der ausschließlich in der Version 2.6.18.8
vorliegt. Daher setzen die meisten Linux-
Distributionen inzwischen auf KVM, das
eine im Linux-Kernel vorhandene Infrastruktur
nutzen kann.
Das UVMM-Modul unterstützt mit seinem
aktuellen UCS-Kernel 2.6.32 Xen
und KVM, Xen allerdings nur mit der
Version 3.4.3. Ein UCS kann abhängig
von der Installation eines der drei Pakete
»Virtual Machine Manager«, »Xen Virtualisierungsserver«
oder »KVM Virtualisierungsserver«
wahlweise eine der drei
mit dem Paketnamen korrespondieren-
in der Version für Windows 7 auszuwählen, sowie
der »Red Hat virtIO«-Ethernet Adapter in
der Version für Windows Server 2008, der mit
Windows 7 kompatibel ist. Nach erfolgreichem
Installieren der Treiber ist die neu angelegte
Festplatte im Windows-Installer sichtbar und
die Installation lässt sich wie gewohnt fortsetzen.
Nach Abschluss der Installation sollten im
Windows-Gerätemanager die Geräte »Red Hat
virtIO SCSI Disk Device« und »Red Hat virtIO
Ethernet Adapter« auftauchen.
Anders sieht es dagegen mit der Paravirtualisierung
mittels Xen aus. Hier stellt Xensource unter
[10] im Rahmen des GPLPV-Projekts Open-
Source-Treiber für virtuelle Windows-Systeme
zur Verfügung. Das Installieren stellt an sich
kein größeres Problem dar, allerdings sind die
GPLPV-Treiber nicht mit zertifizierten Treiber-
Signaturen ausgestattet, sodass diese von Windows
Server 2008 und Vista in der Grundeinstellung
abgewiesen werden. Eine detaillierte
Beschreibung, was dann zu tun ist, findet sich
unter [10].
AusgAbe 03-2011
TesT
109

TesT
Abbildung 1: Eine UCS-Virtualisierungsumgebung
setzt sich aus drei Komponenten zusammen, die
im einfachsten Fall auf ein und derselben Maschine
laufen können.
den Rollen spielen: KVM Hypervisor, Xen
Dom0 oder Virtual Machine Manager.
KVM ist eine auf Teilen des Qemu-Codes
basierende Virtualisierungstechnik, die
offiziell im Linux-Kernel integriert ist.
KVM bietet echte Hardware-Virtualisierung,
läuft aber daher nur auf Hardware-
Plattformen, deren Prozessor Virtualisierungs-Unterstützung
mitbringt (Intel
VT oder AMD-V). Xen basiert ebenfalls
auf einem Hypervisor-Modell und ist
prinzipiell mit allen CPUs verwendbar.
Beide Technologien lassen sich normalerweise
über die Kommandozeile einrichten
und verwalten. Da hierzu bei
Xen und KVM/ Qemu unterschiedliche
Kommandos zum Einsatz kämen, bedient
sich der Univention Server hierzu der
C- Bibliothek Libvirt.
Die Libvirt bietet eine einheitliche Schnittstelle
zum Verwalten unterschiedlicher
Virtualisierungslösungen. Ursprünglich
gab es nur einen Xen-Treiber, mittlerweile
enthält libvirt Treiber für Xen, Qemu,
KVM, Virtualbox, VMware ESX, Xen,
LXC Linux Container System, OpenVZ,
User Mode Linux, OpenNebula und verschiedene
Storage-Systeme und fungiert
damit als API zwischen Virtualisierungssoftware
und Managementwerkzeugen
wie UVMM. Neben dem Verwalten von
virtuellen Maschinen kann Libvirt auch
virtuelle Speichermedien, Netzwerke und
Geräte des Host-Systems managen. Die
gesamte Konfiguration ist über XML-Dateien
realisiert. Das Libvirt-Paket bringt
darüber hinaus das interaktive Kommandozeilen-Verwaltungstool
»virsh« mit.
Für die Kommunikation zwischen
den Host-Systemen (Nodes) dient der
univention Corporate server
Daemon »libvirtd«, der auf allen Nodes
gestartet sein muss und oberhalb des
Libvirt-APIs residiert. Der »libvirtd« ermittelt
außerdem den lokalen Hypervisor
und stellt den entsprechenden Treiber zur
Verfügung. Außerdem kommunizieren
auch die Managementtools über diesen
Daemon. Die Verbindung lässt sich verschlüsseln
und unterstützt SASL-Authentifizierung
mit Kerberos und SSL-Client-
Zertifikaten. Der Virtual Machine Manager
sichert die VNC-Verbindung mit SSH.
Da UVMM die Libvirt zum Zugriff auf die
darunterliegende Virtualisierungs-Ebene
nutzt, erscheint das Verwalten von Xen-
und KVM-Systemen in UVMM für den
Nutzer nahezu identisch, auch wenn es
funktionale Unterschiede in der Libvirt-
Unterstützung gibt. So beherrscht etwa
nur KVM Sicherungspunkte.
UCS-Virtualisierung
Beim UCS besteht eine Virtualisierungsumgebung
stets aus mindestens zwei
Komponenten, nämlich einem Virtualisierungsserver
(Xen oder KVM) und
einem UCS, der als Virtual Machine Manager
(UVMM) fungiert. Die zugehörige
Rollenverteilung ergibt sich wie gesehen
einerseits aus der Auswahl des zu installierenden
Pakets im Setup-Programm.
Im Verlauf der Installation muss man außerdem
jedem UCS-System eine Systemrolle
zuweisen. So kann ein als UVMM-
Manager auserkorener UCS gleichzeitig
auch Master Domain Controller, Backup
Domain Controller oder Slave Domain
Controller sein. Ein Virtualisierungsserver
kann zudem
UCS-Memberserver
sein.
Beim Aufsetzen
einer neuen UCS-
Virtualisierungsumgebung
genügt
es im einfachsten
Szenario, einen
DC Master aufzusetzen,
der gleichzeitig
als physischer
Server für
die Virtualisierung
fungiert und den
UVMM-Dienst zur
Verfügung stellt.
Nach dem obliga- Virtualisierungsserver.
torischen Neustart stehen im Grub-Bootloader
mehrere Kernel zur Auswahl. Mit
dem ersten Eintrag startet der UCS den
Xen-Kernel und lädt den Hypervisor für
die Virtualisierung auf dem physischen
Server.
Der Xen-Hypervisor ist im Xen-Virtualisierungszenario
für das Verteilen der
Ressourcen auf die virtuellen Maschinen
zuständig. Allerdings muss der Administrator
den Xen-Hypervisor noch konfigurieren.
Dabei gilt es, zunächst die
Gewichtung der Ressourcenverteilung
zwischen Hypervisor und Gast-Instanzen
anzupassen, was Xen intern mithilfe sogenannter
Credits regelt. Per Default sind
alle Ressourcen gleich verteilt und mit
einem Credit-Wert von 256 belegt. Die
Dokumentation empfiehlt, in der Datei »/
etc/ rc.local« den Wert für den Hypervisor
auf 512 zu erhöhen. Dazu ist in der vorletzten
Zeile vor »exit 0« der Eintrag
xm sched‑credit ‑d Domain‑0 ‑w 512
zu ergänzen. Die Xen-Dokumentation
empfiehlt außerdem, dem Hypervisor
einen Anteil des physischen Arbeitsspeichers
und auf MehrkernSystemen eine
oder mehrere CPUs fest zuzuweisen.
Diese Konfiguration kann beim UCS mithilfe
einer UCS-Systemvariable »grub/
xenhopt« erfolgen, die der Admin beim
UCS mit »ucr set« setzen kann:
ucr set grub/xenhopt="dom0_mem=xxxxM U
dom0_max_vcpus=x dom0_vcpus_pin"
Hierbei steht xxxx für die Größe des zuzuweisenden
Arbeitsspeichers in Megabyte,
x für die Anzahl zuzuweisender
Abbildung 2: Dieser UCS-Server kann wahlweise als Xen-Hypervisor oder UCS-
Managementsystem fungieren, mangels CPU-Unterstützung aber nicht als KVM-
110 AusgAbe 03-2011 Admin www.Admin-mAgAzin.de

CPUs. Die nötige Größe des Arbeitsspeichers
hängt primär von der Anzahl
laufender Dienste ab. Wer einen reinen
UCS-Virtualisierungsserver aufsetzt,
sollte mit 1 GByte Arbeitsspeicher für
einen Xen-Hypervisor zurechtkommen.
Will man neben der Xen-Virtualisierung
weitere Dienste vom UCS zur Verfügung
stellen (Webserver, Mailserver), ist der
Wert gegebenenfalls nach oben zu korrigieren,
etwa
ucr set grub/xenhopt="dom0_mem=1024M U
dom0_max_vcpus=1 dom0_vcpus_pin"
für einen Virtualisierungs-Server mit
4 GByte RAM und zwei CPUs.
UVMM-Assistenten
Sind alle Konfigurationsvorarbeiten erledigt,
ist das Anlegen und Verwalten virtueller
Instanzen im grafischen UVMM-Modul
der Univention Management Console
relativ einfach. Vor dem Konfigurieren
ADMIN
Netzwerk & Security
virtueller Instanzen ist unbedingt darauf
zu achten, den seit Anfang April 2011
verfügbaren Patch-Level 2.4-2 wie beschrieben
einzuspielen. Damit lässt sich
dann beispielsweise der paravirtualisierte
Zugriff auf Laufwerke und Server direkt
über das UVMM-Modul einrichten. Virtualisierte
Systeme können so auf Geräte des
physischen Virtualisierungsservers (CD,
DVD) zugreifen (Passthrough), außerdem
lassen sich jeder virtuellen Instanz auch
mehrere Netzwerkkarten zuweisen. Weiter
kann der Admin im UVMM-Profil den
Parameter »Architektur« auf »automatic«
setzten, womit das UVMM-Modul stets
die Hardware des physischen Servers auf
der virtuellen Maschine anbietet.
Übrigens ist es auf einem 64-Bit-System
nicht mehr erforderlich, eine 32-Bit-
CPU zu emulieren. Allerdings lässt sich
durchaus auch ein 32-Bit-Betriebssystem
installieren. Beim Erstellen virtueller
Maschinen erzeugt das System in der
Regel vollvirtualisierte Systeme (KVM),
HOME DAS HEFT MEDIADATEN KONTAKT NEWSLETTER ABO
sofern die im Virtualisierungsserver
verbaute CPU über eine VT-Erweiterung
verfügt. Xen-Hosts dagegen beherrschen
in Verbindung mit Linux auch Paravirtualisierung.
Das UVMM-Modul heißt innerhalb der
Univention Management Console (UMC)
»Virtuelle Maschinen« und zeigt auf der
linken Seite in einer Baumstruktur eine
Übersicht der vorhandenen physischen
Server gruppiert nach Namen an, dazu
die jeweils konfigurierten virtuellen Instanzen.
Wählt man einen physischen Server
aus, erscheint rechts seine CPU- und
Speicherauslastung.
Das UVMM-Modul kann virtuelle
Instanzen anlegen, bearbeiten und
löschen. Außerdem kann der Admin den
Status einer virtuellen Instanz ändern.
Im Detail hängt der Funktionsumfang
von der darunter liegenden Virtualisierungstechnik
ab; sogenannte Sicherungspunkte
sind beispielsweise nur mit
KVM möglich. Zum Erstellen einer neuen
ADMIN-Magazin – für alle IT-Administratoren
Bei uns wird SICHERHEIT groß geschrieben
Linux I Windows I Security I Monitoring I Storage I Datenbanken I Mailserver I Virtualisierung
SECURITY
Server-Systeme richtig abzusichern
gehört zu den Hauptaufgaben jedes
Administrators. Sei es durch Firewalls,
Intrusion-Detection-Systeme oder Mandatory
Access Control mit SELinux.
Besonderes Augenmerk richtet ADMIN
auf die Absicherung von Webservern,
die heute heute mit SQL-Injection, Cross Site
Scripting und Request Forgery bis zu
90% der der Sicherheitslücken ausmachen.
univention Corporate server
www.admin-magazin.de
Suchen
Diese Website durchsuchen:
Security
➔ über 100 Ergebnisse!
Themen
TesT
Suchen
Windows Verschlüsselung Datenbank
IDS Dateisysteme Linux Monitoring
Storage Webserver Virtualisierung
Nobilior, Fotolia

TesT
virtuellen Instanz steht im UVMM-Modul
ein Assistent zur Verfügung.
Profile
Mit »Hinzufügen« muss der Admin zunächst
ein Profil auswählen, von dem
Einstellungen für die virtuelle Instanz wie
etwa Namenspräfix, Anzahl der CPUs,
Arbeitsspeicher sowie die Verfügbarkeit
einiger weiterer Parameter abhängen. Im
Profil lässt sich übrigens auch festlegen,
ob der direkte Remote-Zugriff via VNC
erlaubt sein soll.
Übrigens stellt UVMM im Assistenten
zum Erzeugen virtueller Instanzen eine
Reihe vordefinierter Profile zur Verfügung,
die die meisten Einstellungen mit
sinnvollen Vorgabewerten füllen. Der
Administrator kann diese Werte entweder
direkt im Assistenten oder später in den
erweiterten Einstellungen nachträglich
ändern. Zurzeit stehen abhängig von der
verwendeten Rechnerarchitektur (i386
oder AMD64), die vordefinierten Profile
Windows XP, Windows 7, Windows 7 (64
Bit), Windows 2003, Windows 2003 R2
(64 Bit), Windows 2008, Windows 2008
R2 (64 Bit), UCS 2.4, UCS 2.4 (64 Bit),
Other und Other (64 Bit) zur Auswahl.
Zusätzlich liest der UVMM vorhandene
Profile aus dem LDAP-Verzeichnis.
Experten können diese dort im Container
»cn=Profiles,cn=Virtual Machine Manager«
auch direkt bearbeiten, zum Beispiel
im grafischen Univention Directory
Manager (UDM).
Dort lassen sich übrigens auch weitere
Profile hinzufügen. Mit der aktuellen
univention Corporate server
Abbildung 3: Steht KVM mangels CPU-Unterstützung nicht zur Verfügung, erstellt das System eine
paravirtualisierte Xen-Umgebung.
UCS-Version 2.4-2 wird das UVMM-Modul
übrigens vom Univention-Directory-
Listener-Modul aktualisiert, sobald sich
Informationen über virtuelle Maschinen
im LDAP ändern, was zu einer deutlichen
Lastreduzierung führen soll.
Laufwerkstypen
Mit »Weiter« lässt sich ein Laufwerk in
die Virtualisierungsumgebung einbinden.
Bei virtuellen Festplatten ist wahlweise
das Erstellen einer Image-Datei
oder das Auswählen einer vorhandenen
Image-Datei möglich. Der Admin kann
für Festplatten-Images bei KVM auch
das erweiterte Standardformat »qcow2«
verwenden (Default), das Copy-on-Write
unterstützt oder das einfache Raw-Format.
Bei Copy-on-Write überschreibt eine
Änderung nicht das Original, sondern
legt die neue Version an einer anderen
Position ab. Dabei wird allerdings die interne
Referenzierung derart aktualisiert,
dass ein Zugriff wahlweise auf die Originalversion
oder die neue Version möglich
ist, eine entscheidende Voraussetzung für
das Erstellen von Sicherungspunkten.
Diese Funktion steht nur bei virtuellen
Festplatten im erweiterten Image-Format
zur Verfügung. Auf Xen-Systemen gibt es
dagegen nur das Raw-Format.
Virtuelle CDs
Abbildung 4: Assistenten helfen beim Anlegen neuer virtueller Instanzen.
Jeder Virtualisierungsserver stellt per
Default den Speicherbereich »Lokales
Verzeichnis« zur Verfügung, der auf dem
Virtualisierungs-Servern unter »/var/lib/
libvirt/images/« abgebildet ist. Selbstverständlich
lassen sich ISO-Dateien auch
direkt in dieses Verzeichnis kopieren und
sich dann von dort im UVMM-Dialog mit
Laufwerken verknüpfen.
Im nächsten Schritt muss der
Administrator mindestens noch ein
weiteres Laufwerk, diesmal ein CD-
Laufwerk, hinzufügen und kann dann
unmittelbar das zuvor kopierte ISO als
Boot-Medium auswählen.
112 AusgAbe 03-2011 Admin www.Admin-mAgAzin.de

Abbildung 5: Profile für virtuelle Instanzen sind beim UCS konsequenterweise auch im LDAP gespeichert.
Beim Anlegen eines neuen virtuellen
Laufwerks für eine neue Virtualisierungsinstanz
muss der Admin im UVMM-Profil
die Bootreihenfolge für vollvirtualisierte
Instanzen einstellen, damit sichergestellt
ist, dass die VM auch tatsächlich von
dem mit dem CD-Laufwerk verknüpften
ISO-Image bootet. Bei paravirtualisierten
Instanzen ergibt sich Boot-Reihenfolge
aus der Reihenfolge beim Definieren der
Laufwerke. Diese lässt sich aber nach Beenden
des Assistenten mit »Fertigstellen«
im Menü »Laufwerke« mit »Als Boot-Medium
setzen« beeinflussen.
www.Admin-mAgAzin.de
Wurde eine virtuelle Instanz erfolgreich
definiert, zeigt das UVMM-Modul links
eine Übersicht der neuen Instanzen,
gruppiert nach Sicherungspunkten (nur
KVM), Laufwerken, Netzwerkschnittstellen
und Einstellungen. Die meisten Einstellungsoptionen
in der GUI sind intuitiv
und selbsterklärend. Wer entsprechende
Dialoge von Virtualbox, Parallels oder
VMware Workstation kennt, wird sich
zurechtfinden.
Via UVMM angelegte virtuelle Instanzen
sind übrigens per Default ausgeschaltet.
Das Einschalten lässt sich auf zweierlei
Abbildung 6: Beim Hinzufügen von Laufwerken stehen das Gcow- und das Raw-Format zur Auswahl.
Linux-Magazin
ACADEMY
Online-Training
Prüfungsvorbereitung
für LPIC 1 & 2
Besorgen Sie sich
Brief und Siegel
für Ihr Linux-
Knowhow mit der
LPI-Zertifizierung.
- Training für die Prüfungen LPI
101 und 102
- Training für die Prüfungen LPI
201 und 202
SpAren SIe mIt
pAketpreISen 20%
Rabatt für
Abonnenten
Auszug aus dem Inhalt:
❚ Hardware-Einstellungen,
Paketverwaltung
❚ Arbeiten auf der
Kommandozeile
❚ Partitionen und Dateisysteme
❚ Shell-Umgebung
❚ Netzkonfiguration und
-verwaltung
❚ Protokolle
❚ DNS-Server einrichten und
verwalten
❚ Verschlüsselung und
Rechteverwaltung
❚ Kernel kompilieren und
patchen
❚ RAID-Konfiguration,
Logical Volume Manager
❚ Web-, Proxy-, Samba-Server
Mit vielen
Praxisbeispielen
Information und Anmeldung unter:
academy.linux-magazin.de/wordpress

TesT
Art bewerkstelligen, nämlich entweder in
der Übersicht des jeweiligen physischen
Servers mit dem zugehörigen Listeneintrag
oder in der Übersicht der virtuellen
Instanz selbst. In diesem Fall gibt es hier
einen Abschnitt »Operationen«.
Mit »Starten« fährt der Admin eine virtuelle
Instanz hoch, »Beenden« stoppt
sie erwartungsgemäß. Fährt der Benutzer
oder Admin das darin laufende Betriebssystem
vorher nicht herunter, gleicht
dieser Vorgang dem Ausschalten eines
physischen Rechners. Mit »Pausieren«
lässt sich der jeweiligen virtuellen Instanz
sämtliche CPU-Zeit entziehen; allerdings
bleibt der Arbeitsspeicher auf
dem physischen System belegt. Mit »Speichern
und Beenden« ist gewährleistet,
dass der Arbeitsspeicher der virtuellen
Instanz gesichert ist, bevor der Instanz
CPU-Zeit vollständig entzogen wird. Im
Unterschied zum Pausieren gibt diese
Funktion außerdem den Arbeitsspeicher
wieder frei.
Neustart mit KVM
Gespeicherte virtuelle Maschinen lassen
sich mit »Starten« wieder in Betrieb nehmen,
allerdings ist diese Funkion nur auf
Virtualisierungs-Servern auf KVM-Basis
verfügbar. Mit »Fortfahren« wird einer
pausierenden Instanz wieder CPU-Zeit
zugewiesen, was den Zustand vor dem
Pausieren restauriert. Das »Löschen« einer
virtuellen Instanz hängt das betref-
univention Corporate server
Abbildung 7: ISO-Imagedateien liegen beim UCS im Speicherbereich »lokaler Speicher« und lassen sich mit
UVMM einfach etwa als CD-Laufwerk einbinden.
fende Laufwerk aus und löscht optional
auch die korrespondierende Image-Datei.
Das Menü »Laufwerke« zeigt eine Liste
aller definierten virtuellen Laufwerke mit
Typ, Image-Datei und Größe.
Virtuelle CDROM-Images erlauben ausschließlich
das Einbinden existenter
ISOs. Bei Festplatten-Images lassen sich
dagegen auch solche hinzufügen, deren
reale Größe im laufenden Betrieb bis zur
angegebenen Größe mitwächst (Sparse-
Datei). Außerdem legt der Admin hier
die Boot-Reihenfolge fest, in der das
emulierte BIOS der virtuellen Instanz
die Laufwerke nach bootbaren Medien
durchsucht.
Ganz unten im Menü »Einstellungen« findet
der Admin die grundlegenden Einstellungen
jeder virtuellen Instanz, die sich
freilich nur ändern lassen, wenn die virtuelle
Instanz ausgeschaltet ist und keine
Sicherungspunkte angelegt sind. Dabei
muss der Name der virtuellen Instanz bei
»Name« mit deren Hostnamen im LDAP
storage-Verwaltung
UVMM greift mithilfe sogenannter Speicherbereiche
(Storage Pools) auf Festplatten- und
ISO-Images zu. Bei einem solchen Storage-
Pool handelt es sich wahlweise um ein lokales
Verzeichnis auf einem Virtualisierungsserver,
ein NFS-Share, ein iSCSI-Target oder ein LVM-
Volume. Die Definition solcher Speicherbereiche
erfolgt über XML-Dateien. Definitionsbeispiele
für Storage-Backends können der Dokumentation
der Libvirt-Seite [5] entnommen werden.
übereinstimmen. Im Feld »Architektur«
kann der Admin die Architektur der
emulierten Hardware festlegen. Virtuelle
64-Bit-Instanzen lassen sich nur auf Servern
mit AMD64-Architektur anlegen.
Das Feld »Anzahl der CPUs« legt fest,
wie viele virtuelle CPUs die Libvirt der
virtuellen Instanz zuteilt. Das Feld »Speicher«
bestimmt die Größe des Arbeitsspeichers.
Einstellungen zum virtuellen
Netzwerk-Interface finden sich im Menü
»Netzwerkschnittstellen«, wie etwa die
MAC-Adresse der Netzwerkschnittstelle.
Bei Nichtausfüllen trägt UVMM einen Zufallswert
ein. Mit »Netzwerkschnittstelle«
gibt der Admin das für die Bridge des
physischen Servers benutzte Interface an;
Default ist »eth0«. Seit dem Patch-Level
2.4.2 lassen sich pro virtueller Instanz
übrigens mehrere Netzwerkschnittstellen
definieren. UVMM unterstützt dazu die
Typen »Bridged« und »NAT«.
Ganz unten gibt es noch den Bereich
»Erweiterte Einstellungen«, in dem sich
Attribute, wie beispielsweise die verwendete
Virtualisierungstechnik finden und
die der Admin in der Regel beim Erzeugen
einer virtuellen Instanz bestimmt.
Außerdem findet sich hier auch die schon
bei der Profil-Definition festgelegte Option
für den Direktzugriff. Mit Setzen
der Option »Direktzugriff« öffnet UVMM
unmittelbar beim Starten der virtuellen
Instanz eine Java-Session im Browser, die
den Zugriff via VNC auf das virtualisierte
Betriebssystem ermöglicht.
Zugriff mit VNC
Es ist allerdings auch möglich, ein eigenständiges
VNC-Zugriffsprogramm zu
benutzen. Wie das funktioniert, lässt sich
unter [4] nachlesen. Auf KVM-Systemen
bietet UVMM außerdem die Möglichkeit
zum Anlegen von Sicherungspunkten, zu
UCS verwendet per Default »/ var/lib/libvirt/
images« als Storage-Pool. Alle durch UVMM
erzeugten Festplatten-Images sind sogenannte
Sparse-Dateien, die im laufenden Betrieb mit
dem tatsächlichen Füllstand kontinuierlich
anwachsen. Daher ist es empfehlenswert, das
Volllaufen dieses Verzeichnisses stetig zu überwachen,
etwa mit einer Monitoring-Lösung wie
Nagios. Tipps, etwa zum Anlegen eines iSCSI-
Speicherbereiches, finden sich unter [6].
114 AusgAbe 03-2011 Admin www.Admin-mAgAzin.de

denen man bei Bedarf jederzeit zurückkehren
kann. Voraussetzung dafür sind
Festplatten-Images im QCow2-Format.
Wie beschrieben werden sämtliche Sicherungspunkte
im Copy-on-Write-Verfahren
in den Image-Dateien gespeichert.
Die zugehörige Verwaltungsfunktion findet
sich im Abschnitt »Sicherungspunkte«
der Einstellungen für eine virtuellen
Machine. Mit » Neuer Sicherungspunkt
erstellen« erstellt der Admin einen Sicherungspunkt.
Neben dem frei wählbaren
Namen speichert UVMM auch den Zeitpunkt,
an dem der Sicherungspunkt erstellt
wurde. Die nachfolgende Liste zeigt
alle vorhandenen Sicherungspunkte in
chronologisch-umgekehrter Reihenfolge.
Mit »Wiederherstellen« lässt sich die virtuelle
Instanz leicht zu einem früheren
Sicherungspunkt zurücksetzen.
Fazit
Neben den kommerziellen Virtualisierungslösungen
haben sich die beiden
freien Virtualisierungstechnologien
Xen und KVM einen festen Platz in der
Admin-Gunst erworben. Seit KVM fester
Bestandteil des Linux-Kernels ist und im
Zusammenhang mit einer entsprechend
ausgestatteten CPU volle Hardwarevirtualisierung
ermöglicht, scheint KVM dem
einstigen Star Xen den Rang abzulaufen.
Trotzdem wird es noch eine ganze Zeit für
beide Technologien ihre Daseinsberechtigung
geben, weil es einerseits immer
noch sehr viele Xen-Nutzer gibt und zum
anderen nur Xen-Paravirtualisierung ohne
Abbildung 9: UVMM bietet einen eingebauten VNC-Viewer, der unkompliziert
einen grafischen Zugriff auf die virtuelle Maschine aus UVMM ermöglicht.
CPU-Unterstützung ermöglicht. Zu der im
ADMIN 05/ 2010 [3] vorgestellten Open
Source Virtualisierungsplattform Proxmox,
die KVM- und OpenVZ-Container im Browser
administriert, gesellt sich der neue Univention
Corporate Server 2.4-2 als weitere
Plattform, die das Verwalten von KVM-
Instanzen im Browser erlaubt. Zusätzlich
bietet UCS eine komfortable Möglichkeit
zum Einrichten vom Xen-Virtualisierungsszenarien,
wenn auch nur auf Basis der
Version 3.4. Interessant für den Unternehmenseinsatz
sind am Univention Corporate
Server das Domänen-Konzept auf Basis
von Open LDAP
sowie die BrowserbasiertenManagementsysteme
UDM
und UMC. Zwar
mutet die Aufmachung
mit den etwas
angestaubten
KDE-Icons sowie
der Curses-basierte
Installer etwas altertümlich
an. Hinter
dem gesamten
Konzept des UCS-
Servers steckt eine
geballte Portion
Know-how, die für
jeden Admin von
Nutzen ist. (jcb) n
univention Corporate server
Abbildung 8: Virtuelle Instanzen verwaltet der Administrator im zugehörigen UVMM-Profil.
www.Admin-mAgAzin.de Admin
Infos
[1] Download Univention UCS 2.4:
[http:// www. univention. de/ download/
free-for-personal-use-edition/]
[2] Changelog Patchlevel 2.4-2 :
[http:// download. univention. de/ doc/
changelog-2. 4-2. pdf]
[3] Thomas Drilling, „Proxmox: Container-
und Hardware-Virtualisierung unter einem
Dach“, ADMIN 05/ 2010: [http:// www.
admin-magazin. de/ content/ 05-2010-virtual
isierung-vom-virtuellen-server-zur-cloud]
[4] VNC-Viewer: [http:// wiki. univention. de/
index. php? title=Konfiguration_eines_externen_VNC-Viewers]
[5] Libvirt-Storage:
[http:// libvirt. org/ storage. html]
[6] iSCSI-Storage für UCS/ UVMM:
[http:// wiki. univention. de/ index. php? title
=UVMM-iSCSI-Speicherbereiche]
[7] KVM Virtio-Treiber:
[http:// www. linux-kvm. org/ page/
WindowsGuestDrivers/ Download_Drivers]
[8] Virtio-Treiber von Fedora:
[http:// alt. fedoraproject. org/ pub/ alt/
virtio-win/ latest/ images/ bin/]
[9] Xensource GPLPV-Treiber:
[http:// wiki. xensource. com/ xenwiki/
XenWindowsGplPv/]
[10] GPLPV-Treiber für Xen installieren:
[http:// wiki. univention. de/ index. php?
title=UVMM-GPLPV]
AusgAbe 03-2011
TesT
115