ADMIN Magazin Sicher verstaut - Backup für Profis mit und ohne Cloud (Vorschau)

Jetzt
mit
ADMIN
IT-Praxis & Strategie
Sicher
Enterprise-SSD
Flash-Speicher im Test
Landscape
Zentrale Verwaltung
für Ubuntu-Rechner
Zabbix-Monitoring:
jetzt in Version 2.2
Deduplizierung spart Platz
Cloud-Backup für Windows
Areca sichert kostenlos
FreeBSD 10 –
was ist neu?
OpenResty:
Nginx + Lua
64Bit
01/2014 Januar
Backup für profis
mit und ohne Cloud
verstaut
FreeIPA
Die Unix-Alternative zu
Active Directory
SNMP & Co.
Management-Protokolle
www.admin-magazin.de
Kickstack
OpenStack auf Knopfdruck
D EUR 9,80
A EUR 10,80 - BeNeLux EUR 11,25
CH sfr 19,60 - E / I EUR 12,75
4 196360 509805 01

Service
Editorial
3
Was bauen die da?
Liebe Leserinnen und Leser,
„Er abonniert diese Magazine… Und er winkt einem beim Vorbeigehen nie
zu. Irgendetwas versteckt er vorm Rest von uns.“ So lässt Tom Waits in seinem
genialen Sprechgesang „What’s he building?“ einen misstrauischen
Nachbarn vor düsterer Tonkulisse sinnieren. Man hört die Dielen knacken
und Geräusche wie aus einem avantgardistischen Krimi-Soundtrack, während
sich der Spion von nebenan zu immer wüsteren Gerüchten versteigt:
„Und ich schwöre bei Gott, ich hörte jemanden tief stöhnen … Er hat eine
Fräse und eine Tischsäge… Und Sie würden nicht glauben, was Mr. Sticha
sah: Da ist nicht nur Gift unter dem Waschbecken versteckt, da gibt es auch genug Formaldehyd, um ein
Pferd umzubringen. Was baut er da drinnen nur?“
Was Waits nicht wissen konnte, als er dieses wunderbare Mini-Drama für sein 1999er Album „Mule Variations“
schrieb: In die Rolle des griesgrämigen, vom Argwohn zerfressenen Mitbewohners schlüpft heute
der Staat mit seinen Geheimdiensten. Wie der Ich-Erzähler des Songs seinen Nachbarn, stellt er jeden
Bürger anlasslos unter Generalverdacht. Was basteln die sich da zusammen, seine Bürger?
Mit Vorratsdatenspeicherung, mit Telefonüberwachung, mit dem Scannen von Chats und E-Mails, mit
Zugriff auf Kontodaten und Flugbuchungen, durch Mitlesen bei Google, Amazon oder Facebook, durch
Anzapfen von Glasfaserkabeln, Standorttracking und vieles mehr raubt er ihnen die Privatheit. Bürgerrechte
hin oder her. Es gibt nichts mehr, was ein zwanghafter Sicherheitswahn nicht rechtfertigen soll.
Das ist inzwischen nicht mehr neu, klar. Muss deshalb nicht irgendwann mal Schluss damit sein? Nein.
Denn worum geht es? Die durch niemanden kontrollierte Ausnutzung der heutigen technischen Möglichkeiten
untergräbt unsere Demokratie. Es herrscht nicht länger das Volk, sondern ein Moloch, vor dem im
Bedarfsfall jeder gläsern erscheint.
Glücklicherweise regt sich Widerstand: Schon im Juli haben mehr als 300 internationale Organisationen
und Experten aus der ganzen Welt, aus den USA, Japan und Australien, aus Indien, China oder Europa
die „Internationalen Grundsätze für die Anwendung der Menschenrechte in der Kommunikationsüberwachung“
unterschrieben. Würden sie befolgt, wären nur noch verhältnismäßige, begründete und überwachte
Zugriffe auf unsere Kommunikation möglich. Und gerade eben haben Deutschland und Brasilien
eine – obgleich schon wieder abgeschwächte – UNO-Resolution gegen Spähattacken eingebracht.
„Er hat keine Freunde. Bekommt aber eine Menge Post. Ich wette, er war eine Weile im Knast. Ich habe
gehört, er sei letzte Nacht auf dem Dach gewesen und habe mit einer Taschenlampe geblinkt. Und was
für eine Melodie pfeift er da immer? Was baut er sich da drinnen nur zusammen? Wir haben ein Recht,
das zu wissen.“
@ leserbriefe@admin-magazin.de www.facebook.com/adminmagazin www.twitter.com/admagz
www.admin-magazin.de
Admin
Ausgabe 01-2014

4
Service
Inhalt
ADMIN
IT-Praxis & Strategie
Backupab Seite 30
n Login
8 Vorgelesen
System Performance und C++.
10 Leserbriefe
Kommentare und Kritik.
12 TechNet-Konferenz
Besuch in Berlin.
14 Branchen-News
Neues von Firmen und Projekten.
20 Admin-Story
Logging mit Systemd.
n Netzwerk
22 OpenResty
Modul-Distribution für Nginx.
26 SNMP, CMI, WBEM
Standards fürs Netzwerk- und
Systemmanagement.
n Schwerpunkt
30 Deduplizierung
Das neue Deduplizierungs-Feature
bei SEP sesam.
34 Azure
Online-Backup mit Windows Azure.
40 Areca
Datensicherung einzelner Hosts
94
mit freier Software.
Pandas
Daten analysieren mit
Python.
22
OpenResty
Application Server auf
Basis von Nginx.
Service
3 Editorial
4 Inhalt
6 Heft-DVD
114 Impressum und Vorschau
Ausgabe 01-2014
Admin
www.admin-magazin.de

Service
Inhalt
5
92
Directory Service auf
52FreeIPA
Augenhöhe.
Virt-Builder
Images für virtuelle
Maschinen mit Linux.
Seite 6 und 73
n Know-how
44 Al'exa GUI-Tester
End-to-End-Monitoring mit Benutzersimulation
für GUIs.
48 Landscape
Das Canonical-Werkzeug wartet
Ubuntu-Umgebungen.
n Security
52 FreeIPA
Active Directory mit freier
Software.
58 Crypto-FS
Verschlüsselung von Block Devices.
n Basics
62 Kickstack
OpenStack einfach deployen mit
Puppet und Kickstack.
68 User und Logs
Benutzer- und Logdaten unter
Linux verwalten.
72 ADMIN-Tipps
Die monatlichen Tipps.
n Test
73 OpenSuse 13.1
Die neue OpenSuse-Version.
74 Test: Enterprise-SSDs
Enterprise-SSDs im Vergleich.
78 Zabbix 2.2
Monitoring-Paket überarbeitet.
n Virtualisierung
82 Cloudify
Cloud-Orchestration mit Cloudify.
88 Storage in in Hyper-V
Virtuelle IDE- und SCSI-Controller
mit Hyper-V einsetzen.
92 Virt-Builder
VM-Images im Handumdrehen.
n Programmieren
94 Pandas
Datenanalyse mit Python.
100 Lua
Programmieren mit Lua.
n FreeX
106 FreeBSD 10
FreeBSD erscheint in Version 10.
Zuverlässige und performante
74Enterprise-SSDs
Flash-Speicher im Test.
58
CryptoFS
Linux verschlüsselt
Festplatten.
Admin
Ausgabe 01-2014

6
Service
Heft-DVD
DVD kaputt?
Wir schicken Ihnen kostenlos eine Ersatz-DVD
zu. E-Mail genügt: info@admin-magazin.de
OpenSuse 13.1
Heft-DVD
Auf dem beiliegenden Datenträger finden Sie die Linux-Distribution
OpenSuse in der neuesten Version 13.1.
n Info
Weiterführende Links und
Informationen zu diesem
Artikel finden Sie unter:
www.admin-magazin.de/qr/31047
n Enthält 6000 Pakete.
n Mit der aktuellen Version "Havana"
des Cloud-Computing-Frameworks
OpenStack.
n Mit zwei Virtualisierungslösungen:
KVM 1.6 und Xen 4.1.
n Bindet den Amazon-Speicherdienst
S3 direkt als Dateisystem ein.
n Läuft mit dem aktuellen Linux-
Kernel 3.11 mit verbesserter Speicherverwaltung,
komprimiertem
Swap-Cache (Zswap) und neuen
Dateisystemen.
Legen Sie einfach die DVD in das Laufwerk
ein und starten Sie den Rechner.
Möglicherweise müssen Sie noch im
BIOS die richtige Boot-Reihenfolge
einstellen. Danach können Sie Open-
Suse 13.1 auf dem Rechner als Betriebssystem
installieren. n
Ausgabe 01-2014 Admin www.admin-magazin.de

8
Login
Bücher
Galina Peshkova, 123RF
Methodologie zur System-Performance und C++-Bibel in neuer Auflage
Vorgelesen
Über 2000 Seiten: Die aktuellen Buchbesprechungen nehmen biblische
Ausmaße an. Es geht in englischen Originalausgaben um
System-Performance und C++. Oliver Frommel, Rainer Grimm
Allein schon aufgrund des Umfangs von
gut 700 Seiten drängt sich der Eindruck
auf, hier versuche jemand eine Bibel
der System-Performance
zu verfassen. Und tatsächlich
ist es der Anspruch des
Autors, methodologische
Grundlagenarbeit zu leisten.
Zu diesem Zweck hat
er für die Performance-
Analyse die USE-Methode
(Utilization, Saturation,
Errors) entwickelt, die sich
als roter Faden durch das Buch zieht.
Darüber hinaus erklärt er ausführlich
den Aufbau jedes Subsystems von
Linux- und Solaris-Servern, denn
das grundlegende Verständnis ist die
Grundlage jeder Analyse. Für jedes dieser
Systeme, das heißt CPU, Speicher,
Disk, Dateisystem und Netzwerk, stellt
Gregg die wichtigen Leistungsvariablen
und die zur Messung verfügbaren
Tools vor, wieder jeweils für Linux und
Solaris. Das sind bekannte und weniger
bekannte Utilities und auch komplexe
Tracing-Tools wie DTrace, das ebenfalls
immer wieder seinen Platz hat.
Das Kapitel über Cloud Computing geht
dagegen wenig in die Tiefe und ist wohl
eher dem Zeitgeist und der Beschäftigung
Greggs beim Cloud-Provider
Joyent geschuldet. Nützlicher sind eine
umfangreiche Fallstudie und die Checklisten
zur Anwendung der USE-Methode
mit den verfügbaren Tools auf Linux
und Solaris. Auch eine Übersetzungstabelle
von DTrace zum Linux-Pendant ist
praktisch.
Allein schon die enzyklopädischen
Übersichten von Computer- und Betriebssystemarchitekturen,
die sich auf
dem aktuellen Stand befinden,
sind den Kauf des Buchs wert.
Ansonsten hat Gregg sein Ziel
erreicht, ein umfangreiches
Kompendium der Performance-Analyse
zu schreiben.
Lediglich der Praxisbezug
hinsichtlich der Interpretation
der gemessenen Werte könnte
etwas ausführlicher ausfallen.
C++-Bibel aktualisiert
Mit gut 1300 Seiten bringt »The C++
Programming Language« von Bjarne
Stroustrup in seiner vierten Auflage
genauso viel auf die Waage wie der
aktuelle C++-Standard,
der die Grundlage des
Buches bildet.
Das Buch gilt einerseits
als C++-Bibel, droht
andererseits den C++-
Einsteiger aufgrund seines
Umfangs und seiner
Akribie zu erschlagen.
»The C++ Programming Language« besteht
aus vier Themenblöcken. Bevor
n Systems Performance
Brendan Gregg
Systems Performance: Enterprise and
the Cloud
Prentice Hall 2013, 735 Seiten
47 Euro
ISBN-10: 0133390098
Bjarne Stroustrup auf gut 300 Seiten
die Grundlagen der Programmiersprache
vorstellt, gibt er eine Einführung in
C sowie die Abstraktionen in C++ im Allgemeinen
und in sein eigenes Werk im
Besonderen. So beschäftigt Stroustrup
sich im weiteren Verlauf des Buchs mit
objektorientierter und generischer Programmierung.
Den Abschluss des Buches bildet die
Standardbibliothek. Das umfasst die
Standard Template Library, die I/​O-
Streams, die neuen Bibliotheken für
reguläre Ausdrücke und Smart Pointer,
aber auch die neue Multithreading-
Funktionalität von C++.
Dieser Klassiker ist im wahrsten Sinne
des Wortes schwere Literatur. Der
Autor stellt nicht nur C++ mit vielen
Code-Beispielen und großer Liebe zum
Detail vor, er belegt die Theorie auch
mit Verweisen zum C++-Standard, setzt
sie in mehreren Beispielen zu String-,
Datums- und Vektorklassen um und beendet
jedes Kapitel mit einigen
Ratschlägen.
Neben der vielen Theorie und
Praxis zieht sich ein Aspekt wie
ein roter Faden durch das ganze
Werk, der ihm den Ruf einer Bibel
eingebracht hat: Stroustrups
Vorstellung von gutem C++-Stil,
den er immer wieder vermittelt.
Ein großartiges Buch, das Detailwissen
mit der Vorstellung von gutem Stil auf
einzigartige Weise verbindet. (csc) n
n C++
Bjarne Stroustrup
The C++ Programming Language
Addison-Wesley 2013, 1370 Seiten
50 Euro
ISBN: 978-0-3215-6384-2
Ausgabe 01-2014 Admin www.admin-magazin.de

Login
10 Leserbriefe
Pavel Ignatov, 123RF
Leser-Feedback
Leserbriefe
Haben Sie Anregungen, Kritik oder Kommentare? Dann schreiben Sie an leserbriefe@admin-magazin.de.
Die Redaktion behält es sich vor, die Zuschriften und Leserbriefe zu kürzen. Sie veröffentlicht alle Beiträge
mit Namen, sofern der Autor nicht ausdrücklich Anonymität wünscht.
Browser-Fingerprinting
11/​2013, Seite 32: Sie schreiben im
Artikel „Inkognito“ über Browser-
Fingerprinting, dass noch keine Anzeigen-
oder sonstige Netzwerke vom
Browser-Fingerprinting Gebrauch machen
würden. Der Fingerabdruck des
Browsers wird aber bereits von folgenden
Tracking-Diensten ausgewertet:
Bluecava, Zanox.com, Multicounter.de,
PianoMedia und WebTrekk. Weitere
Informationen zum Fingerprinting und
zu den genannten Tracking-Diensten
finden Sie unter: [https:// www.​
anonym‐surfen. de/ help/ wwwprivacy_
technik. html# fingerprint]
Eine wissenschaftliche Untersuchung
zum Einsatz von Browser-Fingerprinting
auf populären Webseiten hat die
Universität KU Leuven (Belgien) veröffentlicht:
[http:// www. cosic. esat. kuleuven. be/​
publications/ article‐2334. pdf]
Carsten N. (per E-Mail)
Für Kommentare und Anregungen können Sie
mit der Redaktion auch über die Facebook- oder
Google+-Seiten in Kontakt treten, die Sie unter
[http:// facebook. com/ adminmagazin] und
[http://google.com/+Admin-magazinDe] finden.
Neues ADMIN-Layout
Neugestaltungen sind immer so eine
Sache: Altes wird über Bord geworfen
um Neuem Platz zu machen. Damit
riskiert man aber auch, Altbewährtes
zu zerstören, welches noch gut hätte
weiterbestehen können, ohne altbacken
zu wirken.
Auf der positiven Seite der Umgestaltung
möchte ich die Schrift erwähnen.
Trotz des typgrafischen Dogmas, dass
man für Drucksachen Serifenschriften
benutzen soll, zeigt das neue ADMIN-
Magazin, dass auch Groteskschriften
gut lesbar sind. Im aktuellen Fall meines
Erachtens sogar klar lesbarer als
vorher. Das Schriftbild wirkt angenehm
locker und die Schrift einen Tick größer
als die alte.
Das größte Ärgernis aus meiner Sicht
ist, dass die weiterführenden Informationen
auf die Webseiten des ADMIN-
Magazins ausgelagert worden sind.
Ein großes NEIN zu dieser Maßnahme!
Fußnoten und Autoreninformationen
in einem gedruckten Artikel sind integraler
Teil des Artikels und gehören ins
gedruckte Medium. Ansonsten wird die
Einheit des Artikels zerstört. Der Medienbruch
Papier/​Web sollte nach dem
Artikel beginnen, nicht im Artikel.
Wenn ich einen Artikel lese, will ich
sofort wissen, was die Fußnoten sind,
also beispielsweise den Titel und die
URL. Es spricht nichts dagegen, diese
Informationen zusätzlich auf einer
Webseite bereitzuhalten, aber nicht
ausschließlich.
Frank Thommen (per E-Mail)
Danke für das Lob und Ihre Kritik. Ehrlich
gesagt überrascht es mich etwas,
dass der Wegfall des Infokastens auf
negative Resonanz stößt. Die hinter der
Änderung stehende Idee war, den Lesern
und Leserinnen Arbeit zu ersparen und
die Referenzen, die zum größten Teil aus
URLs bestehen, elektronisch anzubieten.
Schließlich muss man sich, wenn man
diese URLs besuchen möchte, ohnehin
an einen Rechner begeben oder ein
Smartphone verwenden.
Allerdings sind Sie nicht der Einzige, der
sich an dieser Änderung stört, weshalb
sich die ADMIN-Redaktion zu einem
Kompromiss entschlossen hat: Künftig
werden wir wieder wie gewohnt die Infokästen
abdrucken und zusätzlich einen
Kurzlink mit einem QR-Code. Wir hoffen,
dass damit allen Lesern gedient ist.
Unsere neue Schrift ist übrigens die
Source Sans Pro von Adobe, die unter
einer freien Lizenz verfügbar ist.
(Oliver Frommel)
@ leserbriefe@admin-magazin.de www.facebook.com/adminmagazin www.twitter.com/admagz
Ausgabe 01-2014 Admin www.admin-magazin.de

12
Login
TechNet-Konferenz
Die IT-Welt aus Microsoft-Perspektive:
Auf drei von vier
Servern läuft Windows.
Microsofts TechNet-Konferenz in Berlin
Im Kosmos
Microsoft hat in Berlin eine technikorientierte Konferenz veranstaltet.
Das ADMIN-Magazin war dabei. Oliver Frommel
Ein Event von der Community für
die Community sollte die TechNet-
Konferenz in Berlin sein, betonte Karin
Janina Schweizer von Microsoft in ihrer
Begrüßungsansprache. Dass sich dann
doch sämtliche Präsentationen um Microsoft-Produkte
drehten und ihren Teil
zum Marketing beitrugen, liegt wohl in
der Natur der Sache.
Präsentiert wurden die vielen Features
neuer Windows-Technologien aber
wenigstens nicht nur von Microsoft-
Mitarbeitern, sondern von insgesamt
80 anwesenden MVPs (Most Valuable
Professionals). Lediglich die Keynote
war Mike Schutz vom Microsoft-Headquarter
vorbehalten, der die Vision des
Unternehmens vorstellte, die unter
dem Schlagwort „Cloud OS“ zusammengefasst
wurde. Damit wolle man
den aktuellen Trends wie Big Data, Mobile
Workplace und Consumerization of
IT folgen. In Software gegossen werden
Großer Andrang vor
der Microsoft-Tech-
Net-Konferenz. Der
Veranstaltungsort,
das Kosmos Berlin,
ist ein ehemaliges
Kino im Osten.
soll die Vision mit neuen und immer
weiter entwickelten Produkten wie
Windows Server 2012 R2, Hyper-V und
Windows Azure, der Cloud-Plattform
von Microsoft. Die Ausgangsbedingungen
für die Vision „Cloud OS“ sind günstig,
wenn man Schutz glauben darf:
Auf 75 Prozent der 30 Millionen Server
weltweit läuft derzeit ein Windows-
Betriebssystem.
Big Data ist das große Thema für SQL
Server 2014, das laut Schutz etwa 45
Prozent aller Datenbank-Installationen
weltweit ausmacht und damit den
größten Anteil einnimmt – der Rest teilt
sich auf zahlreiche kommerzielle wie
freie Datenbanken auf. Unstrukturierten
Daten will Microsoft künftig damit
Rechnung tragen, dass es Hadoop in
SQL Server integriert. Hierzu gibt es
eigene Produkte wie HDInsight, das
helfen soll, Erkenntnisse aus solchen
Datenmengen zu gewinnen.
Während die Übernahme von Nokia
durch Microsoft noch läuft, trägt Microsoft
erst einmal der herrschenden
Marktsituation Rechnung und unterstützt
künftig iOS und Android besser,
etwa mit eigenen Remotedesktop-
Clients für diese Plattformen.
Im Fokus: Hyper-V
Die folgenden Vorträge gingen dann
etwas mehr in die Tiefe und stellten
etwa die neuen Features des Hypervisors
Hyper-V im Detail vor. Dabei ist
es durchaus beeindruckend, wie es
Microsoft geschafft hat, mit dem Konkurrenten
VMware nicht nur gleichzuziehen,
sondern ihn in vielen Aspekten
noch zu überrunden, wenngleich etwa
die maximale Anzahl von Cores in einer
VM und ähnliche Limits nur für eine
kleine Gruppe von Anwendern eine
Rolle spielen dürfte. Interessanter ist
dabei vermutlich die noch einmal gesteigerte
Geschwindigkeit bei der Live-
Migrations von virtuellen Maschinen,
automatische Performance-Gewinne
und gleichzeitig einfaches Deployment
bei der Verwendung des neuen SMB3-
Protokolls und natürlich die Integration
in die Management-Tools. Die MVPs,
darunter Szene-Legenden wie Aidan
Finn, waren jedenfalls begeistert von
dem, was Microsoft ihnen in den neuen
Releases beschert hat, und schlimmstenfalls
enttäuscht davon, das etwa die
Konfigurations eines HA-Clusters nun
so einfach vonstatten geht.
Als praktisches Beispiel für die Anwendung
von Hyper-V stellte die Wortmann
AG im Detail ihre neue Cloud vor, die
komplett auf Microsoft-Technologie
basiert. Auch hier gab es Beeindruckendes
zu sehen, etwa die Hardware, die
Wortmann dazu in den Racks seines
Rechenzentrums verbaut hat: Switche
mit 40 GBit/s, Mellanox-Ethernet-
Karten, SAS Dual Channel Storage und
dergleichen mehr.
Begleitet wurden die Vorträge auf der
TechNet-Konferenz von praktisch orientierten
Hands-on-Labs, die alle restlos
ausgebucht waren. Insgesamt waren
nach Angaben von Microsoft etwa 500
IT-Professionals auf der Veranstaltung,
die vom Veranstalter als voller Erfolg
verbucht wurde. n
Ausgabe 01-2014 Admin www.admin-magazin.de

14
Login
News
Neue Software und Produkte
Branchen-News
Festplatten mit Helium
Die Western-Digital-Tochter HGST verkauft ab sofort heliumgefüllte
6-TByte-Platten. Die Ultrastar He6, die sich für die Produkte zahlreicher
Storage-OEMs eignet, darunter HP, Netflix, Huawei und Unified
Storage, bietet mit 6 TByte die derzeit weltweit höchste Kapazität.
Ebenfalls weltweit einmalig ist die Füllung der Laufwerke mit Helium,
das nur ein Siebentel der Dichte von Luft hat. Das erlaubt einen fast
um die Hälfte besseren Watt-pro-TByte-Wert und 23 Prozent weniger
Stromaufnahme im Leerlauf. Dabei ist das Laufwerk außerdem deutlich
leichter als ein herkömmliches 3,5-Zoll-Laufwerk.
HGST sieht die Helium-Technologie als Basis für eine Reihe weiterer
Storage-Technologien, die bereits im Einsatz sind – wie Shingled
Magnetic Recording (SMR) und Heat-assisted Magnetic Recording
(HAMR) – oder an denen derzeit entwickelt wird (wie Cold Storage).
OpenSuse 13.1 veröffentlicht
Wie der Community-Manager Jos Portvliet auf der Open-
Suse-Website berichtet, ist das neue Release 13.1 der freien
Linux-Distribution fertig. Insgesamt umfasst es 6000 Pakete
und ist für fünf Rechnerarchitekturen verfügbar. Darin
enthalten ist aktuelle Software wie das neueste Release
„Havana“ des Cloud-Computing-Framework OpenStack.
Außerdem gibt es ein neues Modul, das es erlaubt, den
Amazon-Speicherdienst S3 in das lokale Dateisystem einzubinden.
Zur Virtualisierung setzt OpenSuse 13.1 auf den
Linux-Hypervisor KVM in Version 1.6 sowie alternativ auf
Xen 4.1.
OpenSuse 13.1 bringt eine aktualisierte Version von MySQL
mit, die stärkere Verschlüsselung und Performance-Verbesserungen
bei der InnoDB-Storage-Engine enthält. Alternativ
stehen auch der MySQL-Fork MariaDB und PostgreSQL
zur Verfügung. Zur Integration in Windows-Netzwerke bietet
OpenSuse die Version 4.1 des Samba-Servers.
Das Herz der neuen Suse-Distribution ist der Linux-Kernel
3.11, der einige Verbesserungen gegenüber älteren Kernel-
Versionen enthält, darunter bessere Speicherverwaltung,
Zswap (komprimierter Swap-Cache), Updates für Btrfs,
Ext4 und XFS, das neue Flash-Dateisystem F2FS, experimentellen
Support für NFS 4.2 und einiges mehr.
Das Suse-Evergreen-Team hat angekündigt, nach der
üblichen Laufzeit von 18 Monaten
weiterhin Patches bereitzustellen.
Insgesamt erhält OpenSuse 13.1 damit
also drei Jahre Support.
OpenNMS-Konferenz sucht Referenten
Für die nächste OpenNMS-Konferenz, die vom 8. bis 11. April
im englischen Southampton stattfinden wird, startete jetzt der
Call for Papers. Gesucht werden Referenten, die auf der fünften
Ausgabe der OpenNMS-Konferenz zu Monitoring-Themen
sprechen möchten, die einen Bezug zu OpenNMS haben. Bis
zum 31. März 2013 können unter [http:// www. opennms. eu/​
call‐for‐papers‐ouce‐2014] Vorschläge für Präsentationen (45
Minuten), Workshops (90 Minuten) oder Lightning Talks (10
Minuten) eingereicht werden. Erwartet werden rund 70 Teilnehmer.
Als Vertreter der Firma OpenNMS Group wird ihr CEO
Tarus Balog eine Keynote halten.
Eucalyptus-Cloud verbessert
Amazon-Kompatibilität
Eucalyptus Systems hat mit Version 3.4 das neueste Release
des gleichnamigen freien Cloud-Computing-Frameworks freigegeben.
Verbessert wurde unter anderem die Kompatiblität
zur Amazon Computing Cloud, die für die Eucalyptus-Entwickler
hohe Priorität besitzt. Insbesondere ist nun der Identity
Manager IAM implementiert, der rollenbasierte Zugangsregeln
ermöglicht.
Vereinfacht wurde die Migration durch neue Tools, die etwa
Amazon- in Eucalyptus-Images umwandeln. Auch die Images
von VMware-Maschinen lassen sich nun einfach konvertieren.
Ein neuer Dienst überprüft die Images auf eventuelle Probleme.
Darüber hinaus haben die Entwickler die Möglichkeiten
verbessert, eine hochverfügbare Cloud aufzubauen.
Ausgabe 01-2014 Admin www.admin-magazin.de

Login
News
15
Quellcode von Apple-II-Betriebssystem offen
Der Quellcode des 1978 veröffentlichten Betriebssystems Apple DOS steht Computerhistorikern
nun zur Verfügung.
Windows, Mac OS X und Linux haben damit nicht mehr viel gemein: 1978 brachte
Apple seinen Apple-II-Computer auf den Markt. Das amerikanische Computer
History Museum veröffentlicht das zugehörige Betriebssystem Apple DOS jetzt
im Quelltext.
Betriebssysteme wurden damals noch in Assembler geschrieben; bei vier KByte
Arbeitsspeicher bot der Apple II nicht den geringsten Platz für Umwege auf dem
Weg zum Prozessor. Die Assembler-Instruktionen nebst Kommentaren finden
sich in der ersten veröffentlichten Version von Juni 1978 sowie in einer späteren
Ausgabe vom Oktober desselben Jahres auf eingescannten Ausdrucken.
Neben dem Betriebssystem veröffentlicht die computerhistorische Seite eine
abgetippte Variante der späteren Apple-DOS-Version im Doc-X-Format sowie
einige Dokumentationen und Besprechungsprotokolle. Auch der Vertrag mit
dem Programmierer Robert C. Stephardson, der für 13 000 US-Dollar zentrale
Komponenten des Systems beisteuerte, findet sich als Scan. Interessant daran
ist auch, dass Stephardson erst im April 1978 mit der Programmierarbeit
begann; im Juni kam das fertige System auf den Markt.
Das Betriebssystem bleibt weiterhin Eigentum von Apple, die Firma erlaubt
die Benutzung nur für nicht kommerzielle Zwecke. Allerdings ist der Quellcode
in der heutigen Praxis ohnehin eher für Historiker als für Programmierer
von Interesse.

16
Login
News
Univention Corporate Server 3.2 ist fertig
Die Univention GmbH hat das Release 3.2 ihrer Enterprise-
Linux-Distribution Univention Corporate Server (UCS) veröffentlicht.
Im Mittelpunkt der neuen Version der Windows-
Server-Alternative steht leichtere Bedienbarkeit. Darüber
hinaus wurde die Kompatibilität zu aktueller Hardware und
zu den Microsoft-Systemen Windows Server 2012 und Windows
8.1 verbessert. Dafür verwendet UCS das SMB2-Protokoll
und Samba 4.1.
Überarbeitet wurde auch das App Center, über das sich
Third-Party-Erweiterungen in UCS integrieren lassen, etwa
ERP-Software oder ein Zarafa-Connector. Auch die Univention-eigenen
Module für UCS werden nun über das App Center
verwaltet, das damit zum zentralen Management-Punkt
wird. Eine neue Übersichtsseite vereinfacht Endanwendern
und Administratoren den Zugriff auf für sie verfügbare
Anwendungen.
Im Bereich des Identity Management gibt es zwei Veränderungen:
Administratoren können nun Single-Sign-on nutzen,
um sich das immer wieder neue Einloggen auf einer Vielzahl
verwalteter Rechner zu ersparen. Anwender dürfen zum Einloggen
in Webservices wie Google-Enterprise-Dienste nun
SAML verwenden, über das Administratoren den Zugriff wiederum
einfacher regulieren können.
VLANs, Bonding und Bridges lassen sich in einem eigenen
Modul in der Verwaltungsoberfläche konfigurieren. Die Treiber
für den virtualisierten Einsatz von Windows auf UCS wurden
aktualisiert. Dazu bietet UCS Support für die Hypervisor-
Systeme Xen und KVM.
Im ersten Jahr kostet ein UCS-Server mit 50 Usern und Installationssupport
985 Euro, mit Standardsupport 1885 Euro.
Begutachten lässt sich der UCS 3.2 in einer Demo-Installation
unter [http:// demo. univention. de].
ENISA: Viele Fehler beim Krypto-Deployment
Der »Algorithms, Key Sizes and Parameters
Report« der European Union
Agency for Network and Information
Security (ENISA) gibt IT-Spezialisten
Tipps zum Einsatz von Verschlüsselungstechnologien.
Die kryptografischen
Verfahren sind dabei eher unproblematisch,
solange die Anwender auf
bewährte Algorithmen setzen, die keine
bekannten Schwächen aufweisen. Im
Hinblick auf die Zukunftssicherheit sind
dies etwa AES und Camilla. 3DES, Blowfish
und Kasumi sind nach Meinung der
ENISA nur noch für eine Übergangszeit
akzeptabel. Von DES dagegen wird aufgrund
seiner Schwächen abgeraten. Bei
Hash-Verfahren sieht es ähnlich aus:
Für die Zukunft rät die ENISA zu SHA-3
und Whirlpool, SHA-2 oder gar SHA-1
sind problematisch.
Grundsätzlich werden die Kryptoverfahren
aber als sicher angesehen, ganz
im Gegensatz zu deren Anwendung, die
Administratoren vor große Probleme
stellt. Die dafür nötigen Protokolle
seien extrem komplex, schwer durchschaubar,
kaum formal überprüft oder
sowieso unsicher, meint die ENISA.
Der vollständige Report ist unter
[http:// www. enisa. europa. eu/​
activities/ identity‐and‐trust/ library/​
deliverables/ algorithms‐key‐sizes‐and
‐parameters‐report] zu finden.
Cebit 2014: Open-Source-Vorträge gesucht
Vom 10. bis 14. März findet in Hannover die Messe Cebit 2014
statt. Für die Special Conference Open Source nimmt die Medialinx
AG bis 6. Januar Vorschläge für Vorträge an.
Auch unter ihrem neuen Namen soll die bisher als Forum
Open Source bekannte Vortragsreihe den Besuchern Wissenswertes
rund um Open Source, Linux und freie Software
vermitteln. Der Call for Papers richtet sich an Praktiker,
Entwickler und Strategen aus Community, Unternehmen
und Behörden. Gesucht sind Erfahrungsberichte, die
den praktischen Einsatz und die Entwicklung freier Software
behandeln. Im Fokus stehen Themen, die an das Cebit-Leitthema
2014 „Datability“ anknüpfen, außerdem Beiträge zu
Cloud Computing und Virtualisierung, Security und Privacy,
Automation und Konfigurationsmanagement und alles zu
Treibern, Kernel und ARM-Architektur.
Als Vortragsdauer inklusive anschließender Frage-Antwort-
Session sind jeweils 30 beziehungsweise 45 Minuten vorgesehen.
Die Vortragssprachen sind Deutsch und Englisch.
Interessierte kontaktieren die Organisatoren über das Formular
auf [http:// www. linux‐magazin. de/ callforpapers].
Alternativ schicken sie eine E-Mail mit einer kurzen
Beschreibung und ihrer Mobiltelefonnummer an callforpapers@medialinx-gruppe.de.
Über die Vergabe der Vortragsslots
entscheidet eine internationale Jury aus Open-
Source-Experten.
Das komplette Vortragsprogramm des Forums wird als
Live-Stream auf Linux-Magazin Online übertragen und
später im Archiv kostenlos zugänglich gemacht.
www.admin-magazin.de

Login
News
17
Javascript-Alternative Dart fertig
Google entwickelt bereits seit zwei Jahren eine neue Programmiersprache namens
Dart. Sie soll wie Javascript vor allem im Web Anwendung finden und hat mit Version
1.0 jetzt ein stabiles Stadium erreicht.
Die Sprache vereint syntaktische Features mehrerer bekannter Sprachen wie Javascript
und Java. Dazu kommt eine optionale Typisierung: Gibt der Entwickler
den Typ einer Variablen an, kommt es bei Diskrepanzen zu Warnungen oder Fehlern,
ansonsten erfolgt die Typisierung dynamisch. Dabei hilft Dart bei der Umsetzung
zeitgemäßer Programmierparadigmen wie funktionaler Programmierung,
Event-basierter asynchroner Abläufe, testgetriebener Entwicklung und macht
Http-Requests sowie den Umgang mit Json leicht.
Google liefert mit Dartium zugleich eine Variante des freien Chromium-Browsers
mit Dart-Unterstützung aus. Da andere Browser die Sprache noch nicht kennen,
übersetzt das Tool Dart2js Dart-Code in Javascript. Nach Messungen mit dem
Google-Benchmark DeltaBlue läuft das Ergebnis immer noch schneller als natives
Javascript, wobei solche Zahlen vor allem den zum Vergleich herangezogenen
Javascript-Code in Frage stellen. Im Direktvergleich zwischen Javascript in Chrome
und Dart im Dartium-Browser erzielt Letzteres im DeltaBlue-Benchmark ein etwa
doppelt so gutes Ergebnis.
Neben Dartium und dem Dart-Entwicklungskit liefert Google auch eine passende
Entwicklungsumgebung aus. Der Dart-Editor basiert auf Eclipse und beherrscht
automatische Code-Vervollständigung, Refaktorisierung und Debugging. Wer
eclipse bereits benutzt, ist mit dem Dart-Plugin besser bedient.
n Info
Neueste nachrichten
immer auf
www.admin-magazin.de
Weiterführende Links und
Informationen zu den
News finden Sie unter:
www.admin-magazin.de/qr/31048

18
Login
News
Google verschlüsselt interne Verbindungen – RC4 in Echtzeit geknackt?
Die Washington Post enthüllte eine
weitere Komponente im weltweiten
Abhörskandal. Die Zeitung berichtete,
dass der US-Geheimdienst NSA im Rahmen
des Programms Muscular offenbar
auch die Kommunikation zwischen
internen Servern von Yahoo und Google
massenhaft abfing.
Verantwortlich für das Programm ist
den Berichten zufolge der britische
Geheimdienst GCHQ, wodurch die NSA
das Abhörsystem außerhalb der Zuständigkeit
US-amerikanischer Justiz
verwenden konnte.
Google reagiert nun offenbar auf
den Angriff. Wie Google-Mitarbeiter
Mike Hearn über Google+ mitteilte,
verschlüsselt die Firma nun auch die
über ihre privaten Glasfaserleitungen
stattfindende Kommunikation. Somit
seien die Daten, die die NSA laut der
Washington-Post-Enthüllungen mitgeschnitten
hatte, geschützt vor illegalen
Zugriffen, durch Kriminelle oder Geheimdienste.
Auf technische Details geht Hearn nicht
ein. Es bleibt zu hoffen, dass Google
nicht auf den RC4-Algorithmus setzt,
der immer noch vielen verschlüsselten
Internet-Verbindungen zugrunde liegt.
Er gilt zwar schon seit Jahren als theoretisch
geknackt, mangels praktischer
Nutzbarkeit der Sicherheitslücken findet
er aber weiterhin rege Verbreitung.
Laut des Sicherheitsexperten Jacob Appelbaum,
der auch bei den Enthüllungen
um das globale Abhörprogramm
Prism eine wichtige Rolle spielte,
verfügt die NSA aber inzwischen über
die Möglichkeit, RC4-verschlüsselte Verbindungen
in Echtzeit zu knacken und
abzuhören.
Dark Mail Alliance will E-Mail-Sicherheit verbessern
Unter dem Namen „Dark Mail Alliance“
haben die Betreiber von Lavabit und Silent
Circle ein neues Projekt gestartet,
das E-Mail-Benutzern mehr Sicherheit
und Privatsphäre bescheren soll. Dabei
soll ein neues Protokoll entstehen,
dass Nachrichten über End-to-End-
Verschlüsselung überträgt. Unter dem
Schlagwort „E-Mail 3.0“ soll es eine
neue Generation von sicherem, privaten
Nachrichtenaustausch werden.
Lavabit war ein Anbieter eines verschlüsselten
E-Mail-Dienstes, der im
Rahmen der Snowden-Affäre in die
Schlagzeilen geriet.
Als amerikanische Sicherheitsbehörden
vom Lavabit-Betreiber die Herausgabe
von Schlüsseln und somit Einblick in
die verschlüsselten E-Mails verlangten,
schloss dieser kurzerhand sein komplettes
Angebot. Im Anschluss an die
Lavabit-Schließung stellte auch Silent
Circle, das unter anderem vom PGP-
Erfinder Phil Zimmerman gegründet
wurde, sein Angebot ein. Die Dark Mail
Alliance ist unter [http:// darkmail. info]
zu finden.
Neuer HPC-Europarekord
Der Supercomputer Piz Daint schafft es mit einer Rechenleistung
von 6,2 Petaflop/​s als schnellster europäischer Rechner
in die Spitzengruppe der heute veröffentlichten 42. Top-500-
Liste der Supercomputer weltweit.
Darüber hinaus stellt Piz Daint (ein Cray XC30) das erste
Petascale-System dar, das die 3 Gigaflop-pro-Watt-Grenze
durchbricht (3,11 Gigaflop/​Watt). Dies bedeutet eine um
50 Prozent höhere Energieeffizienz als der nächstplatzierte
Rechner dieser Klasse.
Der weltschnellste Rechner überhaupt ist nach wie vor der
Tianhe-2, ein Superrechner der China National University
of Defense Technology. Er bewältigt 33,86 Petaflop/​s im
Linpack-Benchmark. Auf dem Silberrang rangiert Titan, ein
Cray-XK7-System, installiert im Department of Energy (DOE)
Oak Ridge National Laboratory. Für diesen Rechner stehen
17,59 Petaflop/​s zu Buche.
So beeindruckend die stetig wachsende Rechenleistung auch
wirkt, wurde doch kürzlich wieder deutlich, wie beschränkt
sie verglichen mit dem Intellekt des Menschen ist. Ein Team
japanischer und deutscher Wissenschaftler konnte auf einem
Supercomputer mit 83 000 Prozessoren ein Prozent der
menschlichen Hirntätigkeit während einer Sekunde simulieren
– und brauchten dafür 40 Minuten.
Storage-Software als Zugabe
An Käufer eines virtualisierungsfähigen Servers vom Typ
HP ProLiant Generation 8 (Gen8) verschenkt HP ab sofort
die Software HP StoreVirtual Virtual Storage Appliance
(VSA) 2014.
Das Angebot soll mittelständischen Kunden helfen, ihre
Speicherinfrastruktur zu modernisieren. HP erwartet,
dass kleine und mittelgroße Kunden auf Grundlage dieses
Angebots in den nächsten zwölf Monaten Zugriff auf ein
Gesamtvolumen von über einem Exabyte VSA-Storage haben
werden.
In Kombination mit HP StoreVirtual VSA werden HP-Pro-
Liant-Server zu einer leistungsfähigen Lösung für das Software
Defined Data Center (SDDC). Sie sind sofort einsetzbar
und maximieren die Vorteile der Server-Virtualisierung.
Mit der Verbindung dieser beiden Technologien hilft HP
Kunden dabei:
– die Kosten für die Inbetriebnahme robuster Shared-
Storage-Lösungen zu senken,
– die Lösungen in Umgebungen mit VMware- und Microsoft-Hypervisoren
einfacher in Betrieb zu nehmen und
– ihre Agilität zu erhöhen, indem Rechen- und Speicherkapazitäten
parallel steigen, wenn die Geschäftsanforderungen
sich ändern.
Ausgabe 01-2014 Admin www.admin-magazin.de

20
Login
Admin-Story
Zsolt Biczo, 123RF
Syslog oder kein Syslog, das ist hier die Frage
Besser protokolliert
Log-Meldungen verwaltet in den allermeisten Fällen ein Syslog-Server. Das Fedora-Projekt will dieses jetzt
ändern und in zukünftigen Releases neue Wege beschreiten. Hier soll dann Journald aus dem Systemd-
Paket zum Einsatz kommen. Thorsten Scherf
Wenn ich mich mit jemandem über
das Thema System- und Service-Management
unterhalte, stelle ich oft eine
gewisse Verunsicherung fest, wenn wir
auf das Thema „systemd“ zu sprechen
kommen. Deshalb an dieser Stelle eine
kleine Einführung und ein paar Gründe,
die für ein neues Init-System sprechen.
Man ist es zwar irgendwie gewohnt,
dass sich ein SysV-basierter Init-Prozess
um den Systemstart kümmert, da
dieses System aber in die Jahre gekommen
ist und aktuelle Anforderungen
nicht mehr wirklich gut erfüllt, wird es
Zeit für einen Nachfolger. Dieser existiert
eigentlich bereits seit geraumer
Zeit mit Upstart.
Upstart ist zum größten Teil abwärtskompatibel
mit dem alten SysV-System
und löst viele der alten Probleme. Anstatt
eine vordefinierte Liste abzuarbeiten,
welche Dienste zu starten sind, ist
Upstart Event-basiert. Auf Basis dieser
Events finden dann Aktionen statt. All
diese Event-/​Aktionsregeln definiert der
Administrator beziehungsweise Entwickler
eines Dienstes in den Upstart-
Konfigurationsdateien. Und hier liegt
genau das Problem von Upstart. Passt
man nicht genau auf, welche Events
von anderen Events abhängig sind,
erhält man eine Reihe von Abhängig-
keiten, die dann dafür sorgen, dass
Dienste wieder aufeinander warten
müssen, bevor sie starten können. Und
genau dies möchte man ja verhindern.
Problem gelöst
Lennart Poettering und sein Team wollen
mit ihrer Implementierung eines
neuen Init-Systems dieses (und andere)
Probleme lösen und gehen sogar noch
einen Schritt weiter. Die »systemd«
genannte Software startet einfach alle
Dienste parallel, ohne sich dabei um
Abhängigkeiten zu kümmern. Möchte
ein Dienst auf einen anderen Dienst zugreifen,
so landen die Anfragen einfach
so lange in einer Warteschlange, bis der
gewünschte Dienst verfügbar ist. Dieser
von Apples »launchd« bekannte Trick
sorgt dafür, dass ein System extrem
schnell hochfährt. Neben dieser Funktion
bietet »systemd« natürlich noch
viele weitere Neuerungen. Interessant
ist auch, dass jeder durch »systemd«
gestartete Prozess in einer eigenen
Control-Group (Cgroup) landet und
somit unter der Kontrolle des Kernels
steht. Eine sehr gute und sehr ausführliche
Beschreibung des neuen Init-
Systems findet sich unter [1].
An dieser Stelle geht es nun um eine
Funktion von Systemd, die bereits seit
der Version 38 zur Verfügung steht: das
Journal. Hierbei handelt es sich um
ein neuartiges Logging-System, das,
ähnlich wie Systemd selbst, radikale
Änderungen mit sich bringt und einige
grundlegende Probleme des alten Syslogd
beheben möchte. Davon gibt es in
der Tat genügend. So sieht das Syslog-
Protokoll beispielsweise nicht vor, eine
Log-Meldung zu authentifizieren. Jeder
ist in der Lage, Meldungen von einem
bestimmten Prozess vorzutäuschen beziehungsweise
zu verändern.
Das Log-Format selbst sieht nur wenige
Felder vor, die in jeder Nachricht zu
verwenden sind, beispielsweise den
Prozessnamen und die ID des Prozesses.
Der Inhalt der Nachricht wird zumeist
so aufbereitet, dass er für einen
Menschen gut leserlich ist. Jedoch ist
das manuelle Durchforsten von Log-
Dateien nicht wirklich effektiv, sodass
in den allermeisten Fällen doch wieder
ein Log-Parser zum Einsatz kommt. Dieser
muss dann den umgekehrten Weg
beschreiten und die Nachricht so zerlegen,
dass ihre Informationen lesbar
werden – alles nicht sehr effektiv.
Hinzu kommt noch das Problem, dass
die Syslog-Meldungen ja nicht die einzigen
Logs auf einem System darstellen.
Es existieren auch noch Logs von
Ausgabe 01-2014 Admin www.admin-magazin.de

Login
Admin-Story
21
Abbildung 1: Das Tool systemctl zeigt bei Status-Abfragen eines Dienstes die aktuellen Log-Meldungen für diesen Dienst an.
anderen Subsystemen, die nicht auf
Syslog zurückgreifen. Die Audit- und
Accounting-Subsysteme sind Beispiele
hierfür. Dann gibt es natürlich auch
jede Menge Anwendungen, die ihre
eigenen Logs verwenden. Am Ende sind
es also eine Vielzahl unterschiedlicher
Log-Mechanismen, mit denen man sich
auseinandersetzen muss. Der in Systemd
integrierte Journald versucht all
diese Probleme zu lösen und stellt ein
einheitliches Log für sämtliche Komponenten
eines Systems zur Verfügung.
Anwendungen und Services können
beliebige Meta-Informationen an den
Journald weiterreichen. Dies erfolgt
entweder mittels »printk()«, der regulären
»syslog()«-Funktion, über die native
API oder für Coredumps mittels »/proc/
proc/sys/kernel/core_pattern«. Die
Informationen werden als Key-/​Value-
Paare übergeben und können einzeln
abgefragt werden. Log-Meldungen werden
kryptografisch gesichert und sind
somit vor Veränderungen geschützt.
Benutzerrelevante Meldungen können
dabei von den Benutzern selbst eingesehen
werden, Systemmeldungen sind
»root« oder den Mitglieder der Gruppe
»adm« vorbehalten.
Um eine Übersicht sämtlicher Log-
Meldungen, auch von bereits rotierten
Logs, zu bekommen, reicht der Aufruf
von »journalctl«. Die Ausgabe und
das Format sind nahezu identisch mit
dem, was man von einer »/var/log/
messages«-Datei gewohnt ist. Auch die
von »tail« bekannten Optionen »‐f« und
»‐n« kann man verwenden, um lediglich
die letzten Zeilen des Journals zu
sehen. Warnmeldungen stellt der »journald«
fettgedruckt, Fehlermeldungen
in Rot dar. Wer lediglich die Meldungen
seit des letzten Bootvorgangs sehen
möchte, der ruft journalctl einfach mit
der Option »‐b« auf. Nett, aber noch
nicht sonderlich aufregend.
Da das Journal für jedes Log-Feld einen
Index besitzt, lassen sich die Meldungen
recht schön filtern. Möchte man
eine Übersicht aller Meldungen eines
Services innerhalb eines bestimmten
Zeitfensters bekommen, so wäre dies
mit folgendem Befehl möglich:
# journalctl ‐u vsftpd ‐‐since=U
yesterday ‐‐until '2013‐11‐05 11:00'
Keine Ahnung, welche Systemd-Units
auf dem System vorhanden sind?
Kein Problem: Der Befehl »systemctl
list‐unit‐files« zeigt sie an. Interessiert
man sich lediglich für Services, grenzt
die Option »‐‐type=service« die Ausgabe
entsprechend ein. Insgesamt
stellt Systemd aktuell zwölf verschiedene
Unit-Types zur Verfügung.
Doch woher weiß man, welche Felder
zu einer Log-Meldung gehören? Hier
hilft es weiter, die Option »‐o verbose«
an den Journald zu übergeben. Alle
Felder einer Meldung werden dann
im Key-/​Value-Format angezeigt. Mit
diesen Informationen gewappnet, kann
man weiter auf Entdeckungsreise gehen.
Sie möchten etwa alle Meldungen
eines bestimmten Nutzers sehen, die zu
einem Fehler geführt haben? Kein Problem.
Übergibt man das gewünschte
Feld zusammen mit der Log-Priorität
»err«, werden die beiden Optionen miteinander
verknüpft und das
passende Ergebnis angezeigt:
# journalctl ‐p err _UID=1000
Es wird noch besser. Ich
möchte vielleicht alle relevanten
Fehlermeldungen einer
bestimmten SELinux-Domäne
sehen? Nun, der Aufruf hierfür wäre
entsprechend:
# journalct ‐p err _SELINUX_CONTEXT=U
Kontext
Was aber, wenn ich nicht mehr genau
weiß, wie denn der Kontext der entsprechenden
SELinux-Domäne lautet?
Dann lasse ich das Feld für den Kontext
einfach leer und drücke zweimal die
Tab-Taste, bekomme eine Liste aller
bekannten Kontextinformationen aus
den Logs und kann die richtige Domäne
raussuchen. Diese Auto-Completion
funktioniert mit allen Feldern, die das
Journal kennt.
Suche eingebaut
Abschließend sei noch erwähnt, dass
die Journal-Meldungen für einen bestimmten
Service in der Status-Ausgabe
des Systemd verwendet werden
(Abbildung 1). Somit sind alle relevanten
Log-Meldungen für einen Dienst
sofort sichtbar und man muss nicht
erst umständlich in der passenden Log-
Datei danach suchen. (ofr) n
n Info
n Autor
Weiterführende Links und
Informationen zu diesem
Artikel finden Sie unter:
www.admin-magazin.de/qr/31052
Thorsten Scherf arbeitet als Principal
Consultant für Red Hat EMEA. Er ist oft
als Vortragender auf Konferenzen anzutreffen.
Wenn ihm neben der Arbeit und
Familie noch Zeit bleibt, nimmt er gerne
an Marathonläufen teil.
www.admin-magazin.de
Admin
Ausgabe 01-2014

22
Netzwerk
OpenResty
Die OpenResty-Distribution für Nginx
Agentenkoffer
Kirill Kurashov, 123RF
Event-basierte Verarbeitung von Requests macht Nginx zu einem flinken Webserver. Mit den OpenResty-
Paketen wird daraus ein schneller Application-Server auf Basis der Skriptsprache Lua. Oliver Frommel
In der Open-Source-Welt gibt es täglich
so viele neue, interessante Projekte,
nach denen es sich lohnt, Ausschau
zu halten. Meist sind es Projekte USamerikanischen
Ursprungs, denen die
große Aufmerksamkeit zuteil wird,
n Listing 1: /etc/​init/​openresty.conf
01 # openresty
02
03 description "nginx openresty stack"
04 author "Oliver Frommel "
05
06 start on (filesystem and net‐device‐up IFACE=lo)
07 stop on runlevel [!2345]
08
09 env DAEMON=/usr/local/openresty/nginx/sbin/nginx
10 env PID=/var/run/nginx.pid
11
12 expect fork
13 respawn
14 respawn limit 10 5
15
16 pre‐start script
17 $DAEMON ‐t
18 if [ $? ‐ne 0 ]
19 then exit $?
20 fi
21 end script
22
23 exec $DAEMON
während Projekte aus anderen Ländern
zum Teil eher unbekannt sind.
Das können deutsche Projekte sein,
aber vor allem französische oder chinesische
Projekte sind hierzulande oft
unbekannt. Ein Beispiel dafür ist der
chinesische Fork des Webservers Nginx
(der ja seinerseits russischen Ursprungs
ist), den wir in [1] vorgestellt haben. Ein
weiteres Projekt aus dem Umfeld des
„chinesischen Amazon“ Taobao ist die
Nginx-Distribution OpenResty [2], die
fast im Alleingang von Yichun „Agent“
Zhang entwickelt wurde. Er hat in
OpenResty den Nginx-Server mit vielen
nützlichen Modulen gebündelt, die er
zum Großteil selbst geschrieben hat
und die aus Nginx einen superschnellen
Web-Application-Server machen.
Den Großteil von OpenResty machen
Module für die Skriptsprache Lua aus,
die als eingebettete Sprache wegen
ihres geringen Ressourcenverbrauchs
und ihrer guten Performance beliebt
ist. Auch der Apache-Webserver hat
mittlerweile das in ADMIN 03/​2012
vorgestellte Mod-Lua in die Kerndistribution
aufgenommen [3]. Weitere Beispiele
für die Beliebtheit von Lua und
eine Einführung in die Sprache sind im
Programmieren-Teil dieses Hefts zu finden.
Die OpenResty-Module erlauben
es, schon in den Konfigurationsdateien
Lua-Anweisungen zu verwenden. Das
erlaubt komplexe und dynamische
Konfigurationen, mit denen sich zum
Beispiel Web-Services implementieren
lassen. Mitgeliefert werden etwa Module
zur Anbindung an Memcache und
Datenbanken wie MySQL/​Drizzle, PostgreSQL
und Redis.
Lua inklusive
Mit OpenResty können Lua-Skripts in
alle Phasen der Verarbeitung eines
HTTP-Requests eingreifen, sie verändern,
Antworten erstellen und Header
verändern. Dies alles passiert in recht
hoher Geschwindigkeit, sodass die
Kombination Lua und Nginx, namentlich
OpenResty, unter den ersten Plätzen
der Web-Framework-Benchmarks
von TechEmpower zu finden ist (Abbildung
1). Der Grund dafür liegt in
der Event-basierten Verarbeitung von
Requests, die Nginx auszeichnet, und
die sich dank OpenResty auch mit Lua-
Code nutzen lässt. Noch schneller geht
es mit dem Lua-Just-in-Time-Compiler
(LuaJIT), der Teil von OpenResty ist.
Ausgabe 01-2014 Admin www.admin-magazin.de

Netzwerk
OpenResty
23
Den gängigen Linux-Distributionen
liegt OpenResty nicht bei, Sie müssen
es also aus dem Quellcode selbst übersetzen.
Dafür müssen einige Pakete und
Bibliotheken installiert sein, nämlich
Perl 5.6.1 oder neuer, Libreadline, Libpcre
und LibSSL. Dann laden Sie das
Quellcode-Paket von der OpenResty-
Website herunter, entpacken es und
führen »./configure« aus, am besten
mit der Option »‐‐with‐luajit«. Per
Default sind außerdem die Module für
die Drizzle-Datenbank, PostgreSQL
und Iconv ausgeschaltet. Aktivieren
Sie sie mit den passenden Configure-
Optionen, wenn Sie sie brauchen. Mehr
verrät »./configure ‐‐help«. Installiert
werden die Binärdateien und die Module
mit »make install«. Allerdings gibt
es kein »make install«, weshalb es sich
empfiehlt, zum Beispiel das Checkinstall-Paket
zu installieren und dann
OpenResty mit »checkinstall make
install« zu installieren. Die installierten
Dateien lassen sich dann über den
Paketmanager der Distribution wieder
entfernen.
Manuelle Installation
Per Default werden die Nginx-Dateien
in »/usr/local/openresty« installiert.
Wer das nicht will, setzt mit der Configure-Option
»‐‐prefix« ein anderes
Verzeichnis. Die Default-Einstellung ist
aber nicht schlecht, denn sie kollidiert
nicht mit eventuell installierten Nginx-
Paketen einer Linux-Distribution. Bleibt
noch, den Nginx-Server beim Booten
zu starten, was die beiden Konfigurationsdateien
in Listing 1 (Upstart)
und Listing 2 (Systemd) übernehmen.
Ein Aufruf von »nginx ‐t« überprüft die
Konfiguration, bevor der Serverprozess
startet. Im Fehlerfall verschafft »nginx
‐V« einen Überblick über die vorhandenen
Module.
Abbildung 1: OpenResty rangiert unter den ersten Plätzen der TechEmpower-Benchmarks.
Übrigens gibt es auch Module für
einschlägige Software zum Konfigurationsmanagement,
mit denen sich
OpenResty auf Servern deployen lässt.
So liegen auf Github einige Module für
Puppet, ein Chef-Kochrezept ist direkt
auf der Opscode-Website zu finden.
Das Chef-Modul wird gut gepflegt und
wurde zuletzt Anfang November 2013
aktualisiert.
Im einfachsten Fall lässt sich nun Lua-
Code über das Schlüsselwort »content_
by_lua« direkt in die Konfigurationsdateien
einbetten, etwa so:
content_by_lua '
ngx.say("test")
';
Aus einer Datei liest Nginx den Lua-
Code über »content_by_lua_file«. Analog
dazu übernimmt Lua auch das Umschreiben
von Requests (Rewrite) oder
die Authentifizierung. Die dafür vorgesehenen
Anweisungen, die Lua-Code
aus einer Datei laden, heißen »rewrite_
by_lua« und »content_by_lua«. Dabei
lädt der Webserver normalerweise
den Lua-Code nur einmal ein, was
klarerweise den Overhead reduziert.
Abschalten lässt sich dies, etwa bei der
Entwicklung von Skripts, indem man
»lua_code_cache« auf »off« setzt.
Im Prinzip geht es sogar auch ganz
ohne Lua-Code, wie ein Beispiel von Richard
Nyström zeigt [5], der einen Web-
Service nur mit SQL-Anweisungen in der
Nginx-Konfiguration realisiert. Zum Beispiel
liefert der folgende Ausschnitt der
Konfiguration bei einem Get-Request
alle Artikel einer Datenbank zurück:
postgres_query HEAD GET U
"SELECT * FROM articles";
Oft liegen die interessanten Daten nicht
direkt auf dem Webserver, sondern
sind auf andere Rechner ausgelagert,
wo zum Beispiel ein Verzeichnisdienst,
eine Datenbank oder Ähnliches laufen.
OpenResty unterstützte solche Serviceorientierten
Architekturen (SOA) über
sogenannte Subrequests. Ein eingehender
HTTP-Requests löst also weitere
n Listing 2: /lib/​systemd/​system/​nginx.service
01 [Unit]
02 Description=OpenResty Stack for Nginx
03 After=syslog.target network.target remote‐fs.target nss‐lookup.
target
04
05 [Service]
06 Type=forking
07 PIDFile=/var/run/nginx.pid
08 ExecStartPre=/usr/local/openresty/nginx/sbin/nginx ‐t
09 ExecStart=/usr/local/openresty/nginx/sbin/nginx
10 ExecReload=/bin/kill ‐s HUP $MAINPID
11 ExecStop=/bin/kill ‐s QUIT $MAINPID
12 PrivateTmp=true
13
14 [Install]
15 WantedBy=multi‐user.target
www.admin-magazin.de
Admin
Ausgabe 01-2014

24
Netzwerk
OpenResty
n Info
Requests aus, die fehlende Daten einholen,
entweder von anderen Rechnern
oder von Diensten auf demselben Server,
auf dem auch Nginx läuft. Ein Beispiel
dafür ist das Auth-Request-Modul,
das Subrequests zur Authentifizierung
verwendet. So lässt sich der Zugriffsschutz
modular gestalten und verschiedene
Dienste miteinander verbinden:
Modul
ArrayVarNginxModule
AuthRequestNginxModule
CoolkitNginxModule
DrizzleNginxModule
EchoNginxModule
EncryptedSessionNginxModule
FormInputNginxModule
HeadersMoreNginxModule
IconvNginxModule
StandardLuaInterpreter
MemcNginxModule
Nginx
NginxDevelKit
LuaCjsonLibrary
LuaJIT
LuaNginxModule
LuaRdsParserLibrary
LuaRedisParserLibrary
LuaRestyDNSLibrary
LuaRestyLockLibrary
LuaRestyMemcachedLibrary
LuaRestyMySQLLibrary
LuaRestyRedisLibrary
LuaRestyStringLibrary
LuaRestyUploadLibrary
LuaRestyWebSocketLibrary
PostgresNginxModule
RdsCsvNginxModule
RdsJsonNginxModule
RedisNginxModule
Redis2NginxModule
SetMiscNginxModule
SrcacheNginxModule
XssNginxModule
Weiterführende Links und
Informationen zu diesem
Artikel finden Sie unter:
www.admin-magazin.de/qr/31291
n Tabelle 1: OpenResty-Module
location /private/ {
auth_request /auth;
...
}
Selbst parallele Subrequests können
abgesetzt werden, wenn man den
Aufruf »capture_multi« verwendet. Auf
einer niedrigeren Ebene angesiedelt ist
ein Interface, um direkt mit Netzwerk-
Sockets zu arbeiten. Es entspricht der
TCP-API von Lua, arbeitet aber per Default
nichtblockierend.
Auch Realtime-Webanwendungen sind
mit OpenResty kein Problem. Sie lassen
sich zum Beispiel mit dem Websocket-
Support verwenden, den Nginx in der
Funktion
Array-Variablen für Nginx-Konfigurationsdateien
Authentifizierung mit Subrequests
Sammlung kleiner Nginx-Addons
Anbindung an Drizzle- und MySQL-Datenbank
Shell-artige Utilities für Debugging
Verschlüsselte Session-Daten
Verarbeitung von Formularen in Nginx-Konfiguration
Erweiterte Header-Verarbeitung
Konvertierung von Zeichensätzen
Standard-Lua-Interpreter
Memcache-Protokoll
Nginx-Distribution
Nginx-SDK
Schnelles JSON-Modul für Lua
Just-in-Time-Compiler für Lua
Lua-Modul für Nginx
Parser für Resty-DBD-Stream von Datenbankmodulen
Parser für Redis-Antworten
DNS-Bibliothek
Nichtblockierende Mutex-Locks
Treiber für Memcache
Treiber für MySQL
Treiber für Redis
String-Bibliothek
Bibliothek für HTTP-Uploads
Bibliothek für Websockets
Anbindung an PostgreSQL
Konvertiert Resty-DBD-Streams ins CSV-Format
Konvertiert Resty-DBD-Streams nach JSON
Redis-Modul, liefert verarbeitete Antworten
Redis-Modul, liefert unverarbeitete Antworten
Diverse Einstellungen (MD5, JSON, …)
Transparentes Caching
Support für Cross-Site-Ajax-Requests
stabilen Version 1.4.0 hinzugewonnen
hat [6]. Allerdings wird Nginx damit nur
zum Websocket-Proxy. Um die Verarbeitung
der Daten muss sich jemand
anders kümmern. Mit OpenResty kann
das zum Beispiel ein Lua-Modul übernehmen.
Weil Socket-Programmierung
damit relativ unaufwendig ist, braucht
es dafür nur wenige Zeilen Code. Wie
das geht, hat Aapo Talvensaari in seinem
Blog [7] demonstriert.
Ein recht interessantes Modul, das sich
für Debugging oder die Entwicklung
von Webanwendungen oder ‐diensten
gut eignet, ist »ngx_echo«, das das
Konfigurationsvokabular um Shell-artige
Anweisungen wie »echo«, »sleep«,
»time« und »exec« erweitert. Damit
lassen sich URLs einrichten, um Clients
zu testen, ohne dass auf dem Server
gleichzeitig fehleranfälliger Code geschrieben
werden muss. Das folgende
Beispiel zeigt eine Anwendung:
location /echodelay {
echo hello;
echo_flush;
echo_sleep 2.5;
echo world;
}
Zuerst gibt der Codeblock den String
»hello« aus, der durch das Leeren des
Output-Puffers mit »echo_flush« sofort
sichtbar wird. Danach wartet der Server
2,5 Sekunden lang, bevor er mit der
Ausgabe von »world« weitermacht.
Die Beschreibung der vielen Möglichkeiten,
die OpenResty über die Programmierung
mit Lua bietet, würde
den Rahmen des Artikels sprengen. Tabelle
1 gibt aber einen Überblick über
alle mitgelieferten Module.
Fazit
Wer schon Nginx einsetzt oder mit dem
Gedanken spielt, darauf umzusteigen,
sollte einen Blick auf OpenResty werfen.
Es enthält neben den Standardmodulen
eine ganze Reihe nützlicher
Erweiterungen, meistens mit der
Skriptsprache Lua, die ohne großen
Aufwand erlernbar ist. Damit sind auch
komplizierte Setups von Webdiensten
kein Problem, und eine hohe Performance
ist garantiert. n
Ausgabe 01-2014 Admin www.admin-magazin.de

26
Netzwerk
SNMP & Co.
Alexander Shadrin, 123RF
Standards fürs Netzwerk- und System-Management
Das Komitee tanzt
Zwei Jahrzehnte lang hat SNMP als Protokoll fürs Netzwerk-Management gedient. Dieser Artikel erklärt,
wie es funktioniert und beleuchtet auch die Nachfolgeprotokolle CIM und WBMF. Oliver Frommel
Ansätze zum Remote-Management von
Servern und Netzwerk-Equipment gibt
es eher zu viele als zu wenige. Im Internet
und IP-basierten Netzen ist immer
noch das Simple Network Management
Protocol (SNMP) die dominierende
Lösung. Ihren Ursprung hat sie im Vorgänger
namens SGMP (Simple Gateway
Monitoring Protocol), der 1987 standardisiert
wurde. Ein Jahr später folgte
dann mit dem RFC 1067 das erste Standardisierungsdokument
für SNMPv1.
Die erste Version des SNMP-Protokolls
verwendete wie bereits der Vorgänger
SGMP zur Definition der Syntax die
abstrakte Notation ASN.1 (Abstract
Syntax Notation One), die von ISO,
IEC und ITU-T definiert worden war.
Längerfristig sollte so der Übergang zu
OSI-basierten Netzwerken erleichtert
werden, aber dieser Wunsch wurde
glücklicherweise nie realisiert.
Lesen und Schreiben
Geregelt sind in SNMP das Netzwerkprotokoll,
das Client und Server (der
Agent) miteinander sprechen und auch
zur Authentifizierung verwenden. Dabei
sieht SNMP unterschiedliche Protokoll-
Token vor, um Informationen zu lesen
und zu schreiben (GetRequest, SetRequest).
Um den Netzwerk-Overhead
zu reduzieren, bietet es auch die Möglichkeit,
gleich eine ganze Reihe von
Werten in einer Anfrage auszulesen.
Neben dem Antwort-Typ bietet SNMP
auch noch den Nachrichtentyp Trap,
der vom Agenten (dem überwachten
Gerät) ausgeht und zum Beispiel bei
Störungen verschickt wird. Ansonsten
schreibt SNMP grundsätzlich nur die
Struktur der Informationen vor, die
dann konkret für eine Anwendung,
etwa ein Gerät, in einer Management
Information Base (MIB) abgelegt sind.
Jede Informationseinheit ist dort als
Objekt ID (OID) definiert.
Zur Integration von SNMP-fähigen
Geräten gibt es eine ganze Reihe von
Möglichkeiten. Auf SNMP spezialisierte
Netzwerk-Management-Software ist
heute weitgehend abgelöst und in
umfassenden Management-Lösungen
aufgegangen, die unter anderem auch
SNMP beherrschen. So bietet etwa
die Firma HP statt ihres OpenView-
Produkts nun den Systems Insight Manager
an. Von IBM beispielsweise gibt
es zum gleichen Zweck den Systems
Director. In vielen Netzwerken werden
Ausgabe 01-2014 Admin www.admin-magazin.de

Netzwerk
SNMP & Co.
27
Sicherheit
Die größte Schwäche von SNMP war
immer die mangelnde Sicherheit des
Protokolls. So gab es für den Zugriffsschutz
auf die Ressourcen eines SNMPfähigen
Geräts nur den sogenannten
Community-String, ein einfaches unverschlüsseltes
Passwort ohne Benutzernamen.
Ohne weiteren Schutz waren
damit selbst Brute-Force-Angriffe
ein Kinderspiel, etwa mit Onesixtyone
[2]. SNMPv2 führte einige Maßnahmen
für mehr Sicherheit ein, die sich aber in
der Praxis kaum durchsetzten.
Erst SNMPv3, das im Jahr 2003 standardisiert
wurde, erweiterte den Zugriffsheute
statt solcher „Enterprise-Lösungen“
lieber freie Monitoring-Lösungen
wie Nagios, Icinga oder Zabbix eingesetzt,
die allesamt SNMP beherrschen.
Darüber hinaus sind eine ganze Reihe
von Programmen SNMP-fähig und lassen
sich so in eine Management-Umgebung
integrieren. Zum Beispiel gibt es
für Telefonie-Programme wie Asterisk
und Opensips eigene SNMP-Module.
Auch der Viren- und Malware-Scanner
Amavis bietet seine Statistiken auf
Wunsch über SNMP an. Zum Management
virtueller Maschinen, die in Linux-
Hosts per Libvirt verwaltet werden,
gibt es eine Bibliothek namens Libvirt-
SNMP, die beide Welten zusammenbringt.
Sie befindet sich allerdings noch
in Entwicklung und muss für manche
Distributionen noch selbst kompiliert
werden. Allerdings ist sie beispielsweise
schon Bestandteil von Fedora
19. Unter dem Namen Foghorn gibt es
auch eine Software, die Ereignisse des
D-Bus auf Linux in SNMP umsetzt.
Agenten
Router und bessere Switches besitzen
wie auch Storage-Geräte meistens eingebauten
SNMP-Support. Um sie per
SNMP zu managen, muss der Administrator
nur noch die passende MIB in das
Management-System integrieren, um
mit Namen auf die vorhandenen Subsysteme
unter Interfaces zuzugreifen.
Oft ist allerdings aus Sicherheitsgründen
die SNMP-Funktionalität ab Werk
ausgeschaltet, also muss der Anwender
sie zuerst manuell aktivieren.
Bei Linux-Servern sieht die Sache anders
aus. Prinzipiell gibt es ein Menge
freier SNMP-Software, die man auf
einer Distribution installieren kann,
so etwa auch einen SNMP-Agenten,
der das System überwacht und die
Laufdaten an das Management-System
übergibt. Die bessere Option ist allerdings
oft ein spezifischer Agent, den
ein Hardware-Hersteller zur Verfügung
stellt. Dies tut er, wenn überhaupt,
aber meistens nur für eine Handvoll
(Enterprise-)Distributionen. Das SNMP-
Paket auf Linux basiert meist auf
Net-SNMP [1], während die Standard-
MIBs die OIDs wie »HOST‐RESOUR-
CES‐MIB::hrFSTable« bereitstellen. Ein
Abbildung 1: Bei richtiger Konfiguration gibt das Kommando »snmptable« die konfigurierten
Dateisysteme eines Linux-Servers aus.
Beispiel dafür, wie man solche Werte
ausliest, findet sich im Kasten „Linux-
Setup“.
In der Windows-Welt hat sich im Laufe
der Jahre hinsichtlich SNMP etwas
verändert. Microsoft hat nämlich in
Windows Server 2012 den SNMP-Support
für veraltet (deprecated) erklärt.
Stattdessen wird Windows-Admins
empfohlen, künftig CIM zu verwenden
(dazu später mehr). Allerdings steht die
Software weiterhin zur Verfügung, sie
muss nur extra aktiviert werden: Der
Dienst ist im Feature »SNMP Services«
(»SNMP‐Dienst«) enthalten, die Programme
in »SNMP Tools«.
Wer selbst Hand anlegen möchte, findet
dazu in den meisten Programmiersprachen
Gelegenheit. Diverse Bibliotheken
gehören zum Standardumfang
der gängigen Linux-Distributionen,
etwa die C-Bibliothek von Net-SNMP
»net‐snmp‐devel« (Red Hat, Fedora)
beziehungsweise »libsnmp‐dev« (Debian/​Ubuntu).
Für C++-Programmierer
gibt es SNMP++, für die Java-Welt SN-
MP4J. Skript-Programmierer können
beispielsweise auf Pysnmp, PHP-SNMP
oder Perl-Net-SNMP zurückgreifen.
schutz so, dass er einerseits umfassend
und andererseits so einfach war, dass
ihn die Anwender auch einsetzen
wollten. Mit dem neuen Protokoll gibt
es nun Authentifizierung mit Benutzernamen
und einem verschlüsselten
Passwort. Gleichzeitig stellt das Protokoll
sicher, dass SNMP-Pakete nicht
unterwegs abgehört oder modifiziert
werden. Wer besonders sicher gehen
will, verschlüsselt die SNMP-Verbindungen
zwischen Management-System und
Agent zusätzlich mit TLS.
n Linux-Setup
Wie üblich ist die SNMP-Konfiguration mit Linux distributionsspezifisch.
Bei Ubuntu/​Debian heißen die
Agenten-Pakete »snmpd«, die Tools sind im »snmp«-
Paket enthalten. Bei Fedora findet sich der Agent in
»net‐snmp«, die Tools im Paket »net‐snmp‐utils«.
Wer auf Ubuntu- und Debian-Systemen nach der
Installation einen Test mit »snmpwalk«, »snmpget«
oder »snmptable« durchführt, wird im Normalfall mit
einer Fehlermeldung konfrontiert, weil die MIBs noch
nicht heruntergeladen sind. Dies lässt sich durch die
Installation des Pakets »snmp‐mibs‐downloader«
nachholen.
Ein erfolgreicher Test mit »snmptable ‐v1 ‐Os ‐Cb ‐c
public localhost HOST‐RESOURCES‐MIB::hrFSTable«
sieht so aus wie in Abbildung 1. Die Option »‐Os«
sorgt dafür, dass nur das letzte Element der OID ausgegeben
wird, »‐Cb« sorgt für abgekürzte Feldnamen.
Wichtig ist auch, mit »‐v1« die Version 1 von SNMP
festzulegen, denn sonst erhält man ebenfalls eine
Fehlermeldung, wenn man nicht SNMPv4 richtig
konfiguriert hat. Der Parameter »‐c public« authentifiziert
den Aufruf mit der SNMP-„Community“ »public«,
die entsprechend in der Konfigurationsdatei
des Agents festgelegt sein muss (meist »/etc/snmp/
snmpd.conf«) – mehr dazu im Abschnitt „Sicherheit“
dieses Artikels. Eine weitere Fehlerquelle respektive
voreingestellte Sicherheitsmaßnahme ist, dass auf
vielen Distributionen der SNMP-Agent nur auf der
Localhost-Adresse lauscht.
www.admin-magazin.de
Admin
Ausgabe 01-2014

28
Netzwerk
SNMP & Co.
WBEM
WBEM Protocols & Bindings
(CIM-XML, WS-Management, SM CLP)
WBEM Infrastructure
(Operations, Events, Query Language, Registry Definitions, ...)
Other Schema
(Registries)
CIM
Alternativen, Ergänzungen
SNMP ist weit verbreitet und das dominante
Protokoll beim Netzwerk- und
System-Management. Trotzdem gibt es
einige Kritikpunkte. So erlaubt es die
MIB-Spezifikation nicht, Beziehungen
und Abhängigkeiten zwischen Objekten
untereinander auszudrücken. Auch ist
das Management (im Gegensatz zur
reinen Überwachung) etwas unzuverlässig,
denn es bietet beim Einstellen
komplexer Konfigurationen keine
Transaktionen. Also kann leicht ein
Management Profiles
(Systems, Devices, Software,
Indications, ...)
CIM Schema
(Models, Classes, Properties, Methods)
CIM Infrastructure
(Meta Schema, Rules, MOF, ...)
Abbildung 2: Das Management-Framework der DTMF spezifiziert die gemanageten Objekte in CIM
und überträgt die Daten über die WBEM-Protokolle.
n Info
Weiterführende Links und
Informationen zu diesem
Artikel finden Sie unter:
www.admin-magazin.de/qr/30857
Abbildung 3: In Windows Server 2012 R2 muss der Administrator den
SNMP-Dienst als Feature eigens installieren.
inkonsistenter Zustand eintreten, wenn
Teile der Konfigurationsanfragen umgesetzt
werden und andere nicht.
Und natürlich gibt es auch mehr als
genug Industriekonsortien, die immer
neue Standards ins Leben rufen. In diesem
Fall ist es die Distributed Management
Task Force (DMTF), die aus den
großen Namen der Industrie wie AMD,
Cisco, EMC, Intel, Microsoft, Oracle und
VMware besteht. Ihr jüngstes Produkt
ist das Cloud Infrastructure Management
Interface (CIMI), das ein standardisiertes
Modell für das Management
von Clouds werden soll. Darum soll
es aber jetzt nicht gehen, sondern um
ein älteres Produkt der DMTF-Standardisierung,
nämlich das Common
Information Model (CIM, [3]) und das
Web-Based Enterprise Management
(WBEM, [4]), die zusammen eine ähnliche
Funktion erfüllen wie SNMP (siehe
Abbildung 2).
Das CIM übernimmt
dabei die Funktion der
SNMP-MIB und definiert
die gemanageten
Objekte einer
IT-Umgebung. CIM
orientiert sich dabei
an der Unified Modeling
Language (UML)
und erlaubt es, auch
Klassen und Vererbung
zu repräsentieren.
Protokolle zur Übertragung
übers Netz (etwa
HTTP), Abfragesprache,
Discovery und Ähnliches
übernimmt das
WBEM. In Dateien sind die CIM-Daten
wiederum im MOF-Format abgelegt
(Managed Object Format). Auch an die
Sicherheit wurde bei der Spezifikation
von WBEM gedacht: Der Zugriff lässt
sich rollenbasiert oder über ACLs (Access
Control Lists) regeln.
Wie bereits erwähnt, setzen die Windows-Server-Produkte
seit Server 2012
statt auf SNMP von Haus aus auf CIM
(beziehungsweise ihre spezielle Variante
WMI). Tatsächlich hat Microsoft
sogar einen „CIM/​WBEM Manageability
Services Broker“ geschrieben und unter
einer freien Lizenz verfügbar gemacht,
der auf Linux- und Unix-Systemen
läuft und jetzt bei der Opengroup sein
Zuhause hat [5]. Er findet allerdings in
Linux-Distributionen keinen Einsatz.
Aber natürlich müssen Linux-Admins
auf die standardisierten Management-
Protokolle nicht verzichten. Ubuntu
setzt wie Red Hat Enterprise Linux und
Suse Linux Enterprise Server auf den
Small Footprint CIM Broker »sfcb« des
SBLIM-Projekts, das WBEM für Linux
implementiert [6]. In älteren Versionen
der Enterprise-Distributionen fanden
noch die Alternativen OpenWBEM
(SLES 10) und OpenPegasus (RHEL 5)
Verwendung, von denen letzter immer
noch in Fedora zu finden ist. Über einen
Kommandozeilen-Client lassen sich die
WBEM-/​CIM-Informationen dann beispielsweise
nach folgendem Schema
abrufen: »wbemcli ecn https://root@
localhost/root/cimv2«. Dieser Befehl
zeigt – bei erfolgreicher Authentifizierung
– alle CIM-Klassen an.
Komplexe Sache
Um Router, Switche und Server standardgemäß
zu managen, gibt es einige
Möglichkeiten, getreu dem Motto
„many standards to choose from“.
Bewährt hat sich seit langem SNMP,
und es wird vermutlich noch eine
Weile erhalten bleiben, auch wenn sich
Windows offiziell davon verabschiedet
hat. Die Alternativen sind komplexe
Standards wie CIM und WBEM der
DMTF, für die es auch unter Linux diverse
Implementierungen gibt. Über
die DMTF-Standards lassen sich alle
Geräte auch in Enterprise-Lösungen für
IT-Management integrieren. n
Ausgabe 01-2014 Admin www.admin-magazin.de

izoon, 123RF
Das neue Feature Deduplizierung in SEP sesam
Datenpresse
Irgendwann landen die exponentiell wachsenden Datenberge schließlich im
Backup. Dann stellt sich auch hier die Frage, wie man am effektivsten mit
ihnen umgeht. Eine Möglichkeit, sie zu verkleinern, die seit kurzem auch SEP
sesam beherscht, heißt Deduplizierung. Jens-Christoph Brendel
Die Deduplizierung kennt eine ganze
Reihe verschiedener Ausprägungen
und Spielarten, aber einen zentralen
Gedanke haben alle gemeinsam: Immer
geht es darum, in einer Menge gespeicherter
Dateien oder in einem Datenstrom,
Teilstücke zu erkennen, die
genauso zuvor bereits vorgekommen
sind. Sie werden dann nur ein einziges
Mal gespeichert – alle anderen Vorkommen
dieses Datenstücks werden
durch Verweise auf das erste Muster
ersetzt. Da die Verweise viel kürzer als
die Daten sind, auf die sie zeigen, ergeben
sich handfeste Platzeinsparungen.
Das ist gerade für Backup-Software ein
essenzieller Gewinn.
Beim Restore werden die Zeiger automatisch
durch die Blöcke ersetzt, auf
die sie verweisen. Das ist einer der Un-
terschiede zu ebenfalls platzsparenden
inkrementellen oder differenziellen
Backups, bei denen beim Restore immer
eine Serie vorausgegangener Sicherungen
nötig ist, die nacheinander
einzuspielen sind.
Wie hoch die Einsparungen durch das
Deduplizieren wirklich sind, ist nicht
zuletzt eine Frage des Rechenverfahrens
– einen Standard hierfür gibt es
nicht. Berücksichtigt man, wieviel Platz
man mit konventionellen Vollbackups
gebraucht hätte, um eine bestimmte
Datenmenge zu sichern, kann sich ein
Verhältnis von 15:1, 25:1 oder auch
50:1 ergeben. In die Rechnung gehen
die Änderungsrate der Daten, die
Aufbewahrungsfristen, die Anzahl der
Quellen oder die Art und Häufigkeit der
Sicherungen ein. Auch die Struktur der
Daten hat einen sehr großen Einfluss.
Sehr dankbar sind beispielsweise Images
virtueller Maschinen mit gleichen
Betriebssystemen.
Je länger die Haltefrist und je kleiner
die Änderungsrate, je größer der Effekt.
Oder andersrum: Wenn man seine
Backups aus Platzmangel nur eine
Woche aufheben kann, dann profitiert
man auch weniger vom Deduplizieren,
weil jede weitere Sicherung derselben
Daten den Gewinn erhöhte.
Die Angaben zu Dedup-Rate sind allerdings
oft Marketingzahlen. Die Unterschiede
der Raten klingen größer als sie
tatsächlich sind. So würde man von 100
GByte bei einer Deduplizierungsrate
von 10:1 nur 10 GByte sichern, also 90
Prozent sparen. Könnte man eine Rate
von 50:1 erreichen, immerhin fünfmal
so viel, bräuchte man nur noch 2 GByte
abzulegen und würde 98 Prozent sparen
– das sind allerdings gerade einmal
8 Prozent mehr als bei 10:1.
Geschichte
An Deduplikationsverfahren wurde
verstärkt um die Jahrtausendwende
herum entwickelt. Noch vor Ablauf
des ersten Jahrzehnts hatten kleinere,
spezialisierte Firmen entsprechende
Produkte auf dem Markt, die sich große
Storage- und Backup-Hersteller in der
Ausgabe 01-2014 Admin www.admin-magazin.de

Backup
Deduplizierung
31
Folge reihenweise einverleibten. So
erwarb EMC den Deduplikationsspezialisten
Avamar bereits 2006 für 165
Millionen Dollar. IBM kaufte im ersten
Quartal 2008 das Startup Diligent Technologies,
um dessen In-Line-Deduplikation
in eigene Produkte zu integrieren.
NetApp legte 2009 aus demselben
Grund für Data Domain ungefähr 1,5
Milliarden Dollar auf den Tisch und
Dell schnappte sich 2010, drei Jahre
nach dessen Gründung, den Storage-
Optimierer Ocarina Networks. Auch
Backup-Software-Hersteller beteiligten
sich an der Shoppingtour: So kaufte
Arkeia 2009 die Deduplikationsfirma
Kadena samt ihrer Patente.
Mittelständische Anbieter von Backup-
Lösungen wie SEP, deren Kriegskasse
sich mit der von IBM oder EMC nicht
messen kann, hatten zunächst das
Nachsehen. Inzwischen haben sie aber
aufgeholt, Deduplikation ist zu einem
Standard-Feature von Backup-Anwendungen
geworden und auch unter
Open-Source-Flagge wurden Deduplikationslösungen
entwickelt [1]. SEP
sesam nutzt Deduplikation seit diesem
Sommer.
Spielarten
Deduplikation lässt sich auf verschiedene
Art und Weise bewerkstelligen.
Zunächst kann man nach dem Ort, an
dem dedupliziert wird, unterscheiden.
Findet die Deduplikation beim Backup
bereits auf dem Client statt, hat das
den Vorteil, dass sich schon die via
Netzwerk zum Backup-Server zu übertragende
Datenmenge verringert. Der
Datentransfer benötigt weniger Bandbreite
und geht schneller vonstatten.
Gleichzeitig wird die Rechenkapazität
des Servers entlastet.
Dafür wird entweder der Hashwert
auf dem Client berechnet und an den
Server gesendet, der nachsieht, ob er
einen solchen Block bereits gespeichert
hat. Oder die zu versendenden Daten
werden gecachet und der Client prüft
vor dem Senden eines Datenteilstücks,
ob diese Daten früher bereits einmal
gesendet wurden, was weitere Versandoperationen
ebenfalls spart.
SEP sesam kann derzeit nicht mit
Client-seitiger Deduplikation aufwar-
Abbildung 1: Die Konfiguration eines passenden Store Types beim Einrichten eines Data Store ist
schon fast alles, was für die Deduplikation konfiguriert werden muss.
ten, ein solches Feature steht allerdings
auf der Roadmap und soll im zweiten
Quartal 2014 nachgerüstet werden. Was
SEP sesam derzeit beherrscht, ist die
Server-seitige Deduplikation, die den
ankommenden Datenstrom mit den
bereits gesicherten Daten vergleicht
und nicht noch einmal sichert, was sich
bereits in einem Backup befindet (egal
von welchem Client es stammt).
Hier gibt es wieder zwei Varianten, wie
Duplikate erkannt werden. Zum einen
ist das auf Dateiebene möglich, indem
beispielsweise ein Hashwert pro Datei
berechnet wird. Falls erforderlich
können übereinstimmende Hashwerte
dann immer noch durch einen bitweisen
Vergleich verifiziert werden, um
sogenannte Hash-Kollisionen zu vermeiden,
bei denen in extrem seltenen
Fällen unterschiedliche Dateien gleiche
Hashes erzeugen können. Bitweise
Vergleiche sind genauer, kosten aber
Performance.
Eines im Prinzip gleichen Verfahrens
wie der dateibasierten Deduplikation
bedient sich auch der sogenannte Single
Instance Storage (SIS), der zuweilen
in Dateisystemen oder bei Mail- oder
Groupware-Servern realisiert wird
(zum Beispiel bei Novell Groupwise).
Daneben gibt es eine ganze Reihe von
Backup-Lösungen, die gleiche Files
durch Hardlinks ersetzen (etwa
rsnapshot).
Das dateibasierte Verfahren schöpft
allerdings nicht alle Möglichkeiten
aus, weil auch nach minimalen Änderungen
immer ganze Files erneut
gesichert werden. Diesen Nachteil hat
die blockweise Deduplikation nicht, bei
der unterhalb der File-Ebene gleiche
Datenteilstücke nur einmal verwendet
werden. Die feinere Granularität ermöglicht
größere Einsparungen, kostet
aber mehr Rechenkapazität.
Eine weitere Unterscheidung ergibt
sich danach, wann die Deduplikation
stattfindet: Entweder unmittelbar
während der Datenübertragung (Inline)
oder nachdem die Daten übertragen
wurden – in bestimmten Intervallen auf
der Grundlage einer Zeitsteuerung. Im
letzteren Fall können Zeiten geringer
Auslastung für die Deduplikation genutzt
werden, dafür wird Platz für eine
komplette temporäre Kopie auf den
Speichermedien zusätzlich gebraucht.
SEP sesam beherrscht sowohl das
Inline-Deduplizieren, das in diesem Fall
www.admin-magazin.de
Admin
Ausgabe 01-2014

32
Backup
Deduplizierung
recht gut steuerbar, weil jeder Backupstream
(also jeder Sicherungsauftrag)
von einem CPU-Core bedient wird
(solange es genügend Cores gibt).
Abbildung 2: Die Statusübersicht verrät unter anderem auch die Saveset-ID dieser Sicherung.
n Listing 1: Erstes Backup
01 backupserver#: sm_dedup_interface ‐d dedupstore1_2 list
02
03 INFO Successfully initialized i2dedup library version v2.0.0‐beta5‐wip5
04 Filename (Total MiB / MiB After DeDupe) (DeDupe Ratio):
Si3 heißt und um das es im Folgenden
hauptsächlich gehen wird, als auch das
zeitversetzte Deduplizieren, hier SEP
FDS VA genannt, das auf einer Lösung
von FalconStore basiert.
Schaut man noch genauer hin, stößt
man schließlich auf Unterschiede
der verwendeten Algorithmen. Ein
Knackpunkt ist hier beispielsweise das
Zerlegen des Datenstroms in Teilstücke
(Chunking). Hier kann man entweder
mit variablen oder mit festen Blockgrößen
arbeiten. Zu kleine Blocks sind
ungünstig, weil der Overhead für ihre
Verwaltung dann den Nutzen übersteigen
kann. Genauso ungünstig sind aber
auch zu große Blocks, bei denen es
immer unwahrscheinlicher wird, Blöcke
zu finden, die vollkommen identisch
sind. Variable Blockgrößen kommen
dem Optimum näher, kosten dafür aber
mehr Rechenzeit. SEP Si3 benutzt variable
Blockgrößen zwischen 8 und 64
KByte. Die CPU-Belastung ist dennoch
05 ‐‐SC20131107155413674@Y2zqsDWksIx.data 104886144 : 104886144 ( 0.00%)
06 ...
n Listing 2: Alles dedupliziert
01 backupserver#: sm_dedup_interface ‐d dedupstore1_2 list
02
03 INFO Successfully initialized i2dedup library version v2.0.0‐beta5‐wip5
04 Filename (Total MiB / MiB After DeDupe) (DeDupe Ratio):
05
06 ‐‐SC20131107163703729@5kAEYseAiWR.data 104886144 : 0 (100.00%)
n Listing 3: Hohe Dedup-Rate
01 backupserver#: sm_dedup_interface ‐d dedupstore1_2 list
02
03 INFO Successfully initialized i2dedup library version v2.0.0‐beta5‐wip5
04 ‐‐SC20131107164321295@7AB‐QQ0VG‐U.data 104886144 : 15797 ( 99.98%)
Konfiguration
Will man die Deduplizierung mit einem
SEP-sesam-Server benutzen, überzeugt
man sich zuerst davon, dass Hard- und
Software die Voraussetzungen erfüllen.
Si3 braucht mindestens 16 GByte RAM
und wenigstens 4 Rechenkerne sowie
1 TByte freien Plattenplatz. Für Testumgebungen
reichen notfalls auch 8
GByte RAM und 2 Kerne. Software-seitig
werden die Linux-Paketformate Deb
und RPM für Suse-, Debian- und Red-
Hat-Distributionen untertützt, dazu
Windows 2003/​2008/​Win 7, Mac OSX,
Solaris (Sparc und x86), Netware und
einige weitere Unix-Derivate (darunter
AIX, FreeBSD und HP-UX).
Die Deduplikation ist plattformübergreifend
als Java-Applikation gestaltet.
Sie integriert sich sehr gut in die bestehende
SEP-Infrastruktur. Die komplette
Logik der Aufträge und Zeitpläne bleibt
bestehen, das Migrieren und Restaurieren
von Sicherungen und das Monitoring
funktionieren genauso wie bei
herkömmlichen Backups.
Beim Einrichten ist tatsächlich nur an
einer einzigen Stelle die Deduplikation
einzustellen: Beim Einrichten eines sogenannten
Data Stores muss als »Store
Type« der Wert »SEP Si3 Deduplication
Store« gewählt werden (Abbildung 1).
Hernach werden in diesem Data Store
mehrfach vorkommende Blöcke mit
gleichem Inhalt durch Zeiger auf das
erste Vorkommen ersetzt.
Vom Erfolg der Konfiguration kann man
sich mit einem kleinen Test überzeugen.
Dazu haben wir zehn 10-MByte-
Files mit Zufallsdaten erzeugt, die
anschließend auf den Dedup-Store
gesichert wurden. Aus den über die GUI
zugänglichen Protokollen (»Monitoring
| letzter Backup‐Status«) kann man
die entsprechende Saveset-ID ersehen
(Abbildung 2). Diese ID findet sich in der
Ausgabe des Befehls »sm_dedup_interface«
auf der Kommandozeile im
Filenamen wieder (Listing 1).
Im ersten Schritt konnte erwartungsgemäß
nichts dedupliziert werden, da
Ausgabe 01-2014 Admin www.admin-magazin.de

Backup
Deduplizierung
33
schließlich nichts da war, mit dem die
anfallenden Daten hätten verglichen
werden können. Die vollen 100 MByte
gelangten auf die Platte und die Dedup-Rate
betrug null Prozent.
Wer nun ohne die Daten zu ändern
unmitelbar einen zweiten Lauf folgen
lässt, erhält die ebenfalls zu erwartende
hundertprozentige Deduplikation
(Listing 2): Jeder einzelne Block
war bereits vorhanden. Dieselbe hundertprozentige
Deduplikation wäre
auch erreicht worden, wenn ein anderer
Client dieselben Daten gesichert
hätte.
Vor einem dritten Durchgang haben
wir nur ein einziges Byte geändert. Bei
einer dateibasierten inkrementellen
Sicherung hätte das zur Folge, dass die
betroffene Datei – und damit 10 MByte
an Daten – neu geschrieben werden
müssten. Mit Deduplizierung ist der
Aufwand viel geringer (Listing 3): Nur
rund 15 KByte werden neu geschrieben.
Wird auch fortan nur wenig geändert,
dann bleibt die Deduplizierungssrate
über die gesamte Haltezeit des Backups
auf diesem Niveau.
Fazit
Deduplikation ist kein Allheilmittel, sie
hat Vor- und Nachteile. Wo es etwa auf
absolute Authentizität der Daten ankommt,
wird man sie nicht zerpflücken
und wieder zusammensetzen können.
Wo die Performance das oberste Kriterium
ist, sollte man bedenken, dass
Deduplikation Zeit kostet. Und auch
mit Blick auf die Datensicherheit kann
man überlegen, dass ein Datenverlust
durch Hardware-Ausfall – das ist unter
ungünstigen Bedingungen trotz RAID
möglich – wesentlich mehr Daten betrifft,
wenn das deduplizierte Volume
die zwanzigfache Menge fasst. Hat die
Sicherheit höchste Priorität, muss man
daran denken, dass verschlüsselte Daten
schlecht deduplizierbar sind.
Will man aber in erster Linie Platz und
damit auch Kosten sparen, dann hat
man mit der Deduplikation ein sehr
effektives Werkzeug an der Hand. Wenn
es noch dazu wie bei SEP sesam gut in
die Backup-Applikation integriert ist,
dann fällt auch die Bedienung leicht
und verursacht kein zusätzliches Kopfzerbrechen.
Stimmt das Verhältnis von
Rechenleistung zu parallel zu verarbeitenden
Sicherungsaufträgen, fallen die
Performance-Einbußen nicht groß ins
Gewicht. Unter dem Strich bleibt dann
vor allem eine geldwerte Platzersparnis,
die man in diesem Umfang anders
nicht erreichen könnte. n
n Info
Weiterführende Links und
Informationen zu diesem
Artikel finden Sie unter:
www.admin-magazin.de/qr/31292

Windows Azure Backup nutzen
Überwiegend heiter
Oleksiy Mark, 123RF
Mit Windows Azure Backup bietet Microsoft einen Dienst an, mit dem sich Server-Daten in der Cloud
sichern lassen. Damit fällt die eigene Infrastruktur weg. Datenschutzbedenken begegnet der Dienst mit
durchgängiger Verschlüsselung. Thomas Joos
Immer mehr Funktionen bietet Microsoft
nicht nur als Software zum Selberinstallieren
(„On premise“) an, sondern
auch als reine Dienste, die heutzutage
in der Azure-Cloud laufen. Ein aktuelles
Beispiel dafür ist das jüngst gestartete
Azure Backup [1], das die Datensicherung
in der Cloud erlaubt. Der Dienst
bindet sich in die interne Datensicherung
von Windows Server 2012/​2012
R2 ein und erlaubt es, einen eigenen
Zeitplan für die Datensicherung in die
Cloud zu erstellen. Windows Azure
Backup lässt sich parallel zu bestehenden
Datensicherungen betreiben
oder als komplette Datensicherung.
Die Daten sind in der Cloud und selbstverständlich
während der Übertragung
verschlüsselt und daher für Fremde
nicht einsehbar.
Backup in der Cloud
Mit Windows Azure Backup lassen sich
sogar komplette virtuelle Server, inklusive
deren Konfiguration, in die Cloud
sichern. Kompatibel ist der Dienst zum
neuen Windows Server 2012 R2, selbst
in der Essentials-Edition, sowie zu den
älteren Produkten Windows Server
2008 R2 und 2012. Die Preise von Win-
dows Azure Backup belaufen sich auf
0,38 Euro pro GByte. Die Abrechnung
erfolgt auf Basis der komprimierten Dateien,
die während des Abrechnungszeitraums
von einem Monat in der
Cloud gespeichert sind.
Azure im Überblick
Um Windows Azure Backup nutzen
oder testen zu können, benötigen Sie
ein kostenloses Windows-Azure-Konto.
Windows Azure Backup ist nach der
Installation der Client-Software in die
Windows-Datensicherung integriert
und lässt sich getrennt von einer lokalen
Sicherung aktivieren und einstellen.
Im Gegensatz zu SkyDrive und Co dient
Windows Azure Backup der Datensicherung
und nicht dem Datenaustausch.
Darüber hinaus benötigen Sie einen
Agenten, der die Daten online in Windows
Azure speichern kann und im
Azure-Portal [2] zu finden ist. Zur Sicherung
und Wiederherstellung dient die
gewohnte Oberfläche der Windows-
Datensicherung. Auch eine Steuerung
in der Windows-Powershell ist möglich,
für die es ein eigenes Modul gibt.
Windows Azure Backup unterstützt
auch inkrementelle Sicherungen und
überträgt in diesem Fall nur geänderte
Blöcke. Die Daten werden durch den
Agenten verschlüsselt übertragen und
werden auch verschlüsselt in Windows
Azure gespeichert. Nach der Sicherung
überprüft Windows Azure Backup
automatisch die Integrität der Daten.
Außerdem können Sie über Richtlinien
für ältere Sicherungen einen automatischen
Verfall festlegen.
Richtig sinnvoll ist der Dienst vor allem
beim Einsatz von Windows Server
2012 R2 Essentials oder der Essentials-
Umgebung-Serverrolle in den anderen
Editionen von Windows Server 2012
R2. Zur Einrichtung und Verwendung
des Dienstes stehen im Dashboard von
Windows Server 2012 R2 Essentials entsprechende
Assistenten zur Verfügung.
Die Sicherung in Azure Backup lässt
sich aber auch mit dem System Center
Data Protection Manager verwalten.
Unternehmen können damit Daten teilweise
lokal sichern und teilweise in der
Cloud. Der Agent ist Proxy-fähig, was
die Anbindung an das Internet deutlich
vereinfachen kann.
Um die Datensicherung auf einem
Server einzurichten, installieren
Sie zunächst die Windows-Server-
Ausgabe 01-2014 Admin www.admin-magazin.de

Backup
Azure
35
Sicherung. Diese müssen Sie über den
Server-Manager mit »Verwalten\Rollen
und Funktionen hinzufügen«. Installieren
Sie dazu das Feature »Windows
Server‐Sicherung«. In Windows Server
2012 R2 Essentials ist diese Funktion
bereits automatisch installiert.
Konfiguration im Dashboard
Beim Einsatz von Windows Server 2012
R2 Essentials melden Sie sich über das
Dashboard an Windows Azure Backup
an. Klicken Sie dazu auf der »Startseite«
des Dashboards auf »Add‐Ins« und
dann auf »In Windows Azure Backup
integrieren«. Auf der rechten Seite
melden Sie sich zunächst an Windows
Azure Backup an. Sie können sich über
diesen Weg oder auch auf der Standardseite
von Windows Azure Backup
für eine Testversion registrieren. Haben
Sie ein Konto erstellt, dürfen Sie im
Dashboard den Client für die Integration
von Windows Azure Backup herunterladen.
Für die Integration in DPM
und in die Windows-Server-Sicherung
stehen jeweils eigene Agenten zur Verfügung.
Wollen Sie Windows Azure Backup in
anderen Editionen von Windows Server
2008 R2/​2012 oder Windows Server
2012 R2 einrichten, müssen Sie im
Windows-Azure-Portal zunächst über
die Auswahl des Pluszeichens unten im
Bildschirm und danach von »Neu\Datendienste\Wiederherstellungsdienste\
Sicherungstresor« einen Speicher
(Tresor) einrichten, in dem Windows
Azure Backup seine Daten speichern
kann (Abbildung 1). Die Daten in diesem
Speicher werden verschlüsselt
abgelegt.
Ist der Tresor vorhanden, finden Sie
im Verwaltungsportal von Windows
Azure den neuen Link »Wiederherstellungsdienste«,
wo Ihr Tresor zu finden
ist. Klicken Sie ihn an, können Sie ein
Zertifikat für die Sicherung verwalten,
Informationen für die Einrichtung abrufen
und den Agenten für die Anbindung
lokaler Server herunterladen. Die Authentifizierung
zwischen Agenten und
Windows Azure Backup erfolgt über ein
Zertifikat.
Dieses exportieren Sie auf dem Server,
der Daten in Windows Azure sichern
Abbildung 1: Für die Verwendung von Windows Azure Backup benötigen Sie einen Sicherungstresor.
soll, als Cer-Datei. Rufen Sie dazu mit
»certlm.msc« die lokale Zertifikateverwaltung
auf dem Server auf und klicken
Sie das Zertifikat nach der Installation
mit der rechten Maustaste an. Über
»Alle Aufgaben\Exportieren« können
Sie das Zertifikat in eine Cer-Datei
exportieren. Den privaten Schlüssel
müssen Sie nicht mitexportieren. Diese
Datei importieren Sie dann wiederum
im Tresor über das Dashboard. Sobald
sich der entsprechende Server mit
Windows Azure Backup verbindet, wird
das Zertifikat erkannt und der Server
angebunden. Das heißt, Windows Azure
Backup und die Server, die Sie sichern,
benötigen das gleiche Zertifikat, unabhängig
davon, ob Sie sich ein Zertifikat
kaufen oder ein internes Zertifikat verwenden.
Für Testzwecke können Sie auch ein
selbstsigniertes Zertifikat erstellen.
Dazu verwenden Sie das Tool »makecert.exe«
aus dem Windows 8/​8.1
SDK [3]. Sie finden
»makecert.exe« im Verzeichnis
»C:\Program
Files (x86)\Windows
Kits\8.0\bin\x64«. Ein
Zertifikat erstellen Sie
so:
makecert.exe ‐r ‐pe ‐nU
CN=Servername ‐ssU
my ‐sr localmachine U
‐eku 1.3.6.1.5.5.7.U
3.2 ‐len 2048 ‐e U
01/01/2016 Zertifikat
Das erstellte Zertifikat
installieren Sie auf
dem Server, exportieren es und laden
die exportierte Cer-Datei in Windows
Azure Backup hoch – genau wie bei einem
normalen Zertifikat (Abbildung 2).
Agenten für die Sicherung
Die Server, mit denen Sie Daten in die
Cloud sichern wollen, benötigen einen
Agenten, den Sie im Verwaltungsportal
von Windows Azure finden. Zur Installation
des Agenten auf dem Server, den
Sie sichern wollen, müssen Sie keine
weiteren Daten eingeben. Der Assistent
unterstützt Windows Server 2008 R2
SP1 und Windows Server 2012/​2012 R2.
Auch Windows Server 2012 R2 Essentials
und System Center Data Protection
Manager 2012 SP1/​2012 R2 werden
unterstützt. Für Windows Server 2012/​
2012 R2 Essentials gibt es einen eigenen
Agenten. Die Einrichtung erfolgt
nach der Installation des Agenten über
die Windows-Server-Sicherung oder
eine eigene Verknüpfung. Sie können
Abbildung 2: Die erste Einrichtung von Windows Azure Backup erfolgt
in der Weboberfläche von Windows Azure.
www.admin-magazin.de
Admin
Ausgabe 01-2014

36
Backup
Azure
Abbildung 4: Während der Einrichtung des Agenten binden Sie diesen
über ein Zertifikat an den Tresor in Windows Azure an.
Abbildung 3: Anzeigen der verfügbaren Befehle für Microsoft Online
Backup in der Powershell.
die Installation des Agenten aber auch
in der Befehlszeile mit verschiedenen
Optionen skripten:
n »/q« – Installieren ohne Rückmeldung
n »/l« – Installationsverzeichnis, zum
Beispiel »/l:"D:\Online‐Agent"«
n »/d« – Deinstallieren
Nach dem Start der Windows-Server-
Sicherung müssen Sie zunächst den
Server in Windows Azure als Backup-
Quelle registrieren. In den nächsten
Abschnitten erfahren Sie, wie das
geht. Registrierte Server können Sie im
Azure-Verwaltungsportal wieder aus
Azure Backup entfernen. Das hat den
Vorteil, dass Sie die entsprechende
Lizenz dann für einen anderen Server
nutzen können.
Für eine Sicherungs-ID können Sie auch
mehrere Server registrieren und lizenzieren.
Alle Server können Sie zentral
verwalten, um zum Beispiel Daten von
verschiedenen Servern an unterschiedlichen
Stellen wiederherzustellen. Die
Wiederherstellung erfolgt ebenfalls in
n Listing 1: Komplexe Einstellungen
der grafischen Oberfläche
über einen Assistenten.
Haben Sie die Windows-Server-Sicherung
und den Agenten
installiert, finden Sie
auf der Startseite von
Windows Server 2012/​2012 R2 zwei
neue Icons zur grafischen Oberfläche
und direkt zur »Windows Azure Backup
Shell«, dem Powershell-Modul der
Online-Sicherung. Sie finden die grafische
Oberfläche auch in der normalen
Verwaltungsoberfläche der Datensicherung
von Windows Server 2012/​2012 R2
(»wbadmin.msc«). Die Befehle für die
Online-Sicherung können Sie ebenso
in einer normalen Powershell-Sitzung
eingeben.
In der Powershell lassen Sie sich
die verfügbaren Commandlets mit
»get‐command *ob*« anzeigen. Alternativ
verwenden Sie den Befehl
»get‐command ‐module MSOnline-
Backup« (Abbildung 3). Sie müssen
dazu keine Module mehr laden, denn
die Powershell in Windows Server 2012
und 2012 R2 lädt Module automatisch
beim Aufruf eines Commandlets.
01 $mon = [System.DayOfWeek]::Monday
02 $tue = [System.DayOfWeek]::Tuesday
03 Set‐OBMachineSetting ‐WorkDay "Mo", "Tu" ‐StartWorkHour "9:00:00" ‐EndWorkHour "18:00:00"
‐WorkHourBandwidth (512*1024) ‐NonWorkHourBandwidth (2048*1024)
Mit der GUI registrieren
Um die Verwaltung der Datensicherung
zu starten, öffnen Sie im Startbildschirm
am besten mit »wbadmin.msc«
die Verwaltungskonsole. Sie finden
eine entsprechende Verknüpfung auch
auf der Startseite, wenn Sie nach „Windows
Azure Backup“ suchen. Klicken
Sie als Nächstes auf den Menüpunkt
»Backup«, der sich unterhalb von »Lokale
Sicherung« im Sicherungsverwaltungsprogramm
von Windows Server
2012/​2012 R2 befindet. Die Konsole
überprüft den installierten Agenten.
Zunächst klicken Sie auf »Server registrieren«.
Active Directory optional
Im Assistenten wählen Sie das Zertifikat
aus, mit dem sich der Agent in Windows
Azure anmelden kann. Sie können hier
auch mit Zertifikaten aus den Active-
Directory-Zertifikatsdiensten arbeiten.
Wählen Sie während der Einrichtung
des Servers das Zertifikat aus, überprüft
der Assistent, ob er das Pendant
des Zertifikats in Windows Azure findet.
Danach ist eine Anbindung an den
zuvor erstellten Tresor möglich (Abbildung
4).
Als Nächstes geben Sie zur Verschlüsselung
der Daten die Passphrase ein,
die Sie am besten notieren und an
einem sicheren Ort aufbewahren. Geht
sie verloren, haben Sie keinen Zugang
mehr zur Datensicherung. Im letzten
Schritt schließen Sie den Vorgang zum
Registrieren ab. Erst danach können
Sie die Datensicherung einrichten. Sie
sehen den registrierten Server nach der
Einrichtung auch im Windows-Azure-
Portal. Klicken Sie dazu auf »Wiederherstellungsdienste«
und wählen Sie
Ihren Tresor aus. Alle verbundenen
Ausgabe 01-2014 Admin www.admin-magazin.de

Backup
Azure
37
Server finden Sie über den Menüpunkt
»Server«. In diesem Fenster können Sie
die Verbindung auch wieder lösen.
Zeitplan
Haben Sie den Server registriert, können
Sie in der Verwaltungsoberfläche
(»wbadmin.msc«) einen Zeitplan für die
Sicherung festlegen. Oder Sie führen,
wie mit der lokalen Sicherung auch,
eine Sofortsicherung durch. Dazu
klicken Sie auf »Backup\Sicherung planen«
und legen fest, welche Dateien Sie
in die Sicherung einbeziehen wollen.
Haben Sie die Daten festgelegt, legen
Sie die Zeiten der Sicherung fest. Hier
unterscheidet sich die Einrichtung
nicht von der normalen Verwendung
der Datensicherung. Als Nächstes legen
Sie fest, wie lange die Sicherung
aufbewahrt werden soll. Ältere Sicherungen
ersetzt der Assistent mit neuen
Sicherungen, sobald der Zeitraum
abgelaufen ist. Die Sicherungen bleiben
so lange erhalten, bis eine neuere
Sicherung den Platz benötigt.
Sie können immer nur einen Cloud-
Sicherungsjob anlegen, aber parallel je
einen Zeitplan für eine lokale Sicherung
und eine Cloud-Sicherung. So können
Sie beispielweise mit der lokalen Sicherung
alle Daten sichern und mit der
Cloud-Sicherung nur wichtige Daten.
Sie können aber problemlos den Cloud-
Sicherungsjob mehrfach täglich zu unterschiedlichen
Zeiten starten lassen.
Den Sicherungsjob können Sie in der
Powershell konfigurieren. Für den
ganzen Vorgang gibt es eine Reihe von
Commandlets. Zunächst erstellen Sie
mit »New-OBPolicy« eine neue Richtlinie
für die Sicherung und speichern
sie in einer Variablen:
$policy = New‐OBPolicy
Danach legen Sie das Verzeichnis fest,
das Sie mit der Sicherung berücksichtigen
wollen. Auch hier verwenden Sie
wieder eine Variable:
$files = New‐OBFileSpec ‐FileSpec U
C:\daten
Danach legen Sie den Zeitplan fest,
zudem Sie die Sicherung ausführen
wollen. Auch diesen speichern Sie in
einer Variablen:
$sched = New‐OBSchedule ‐DaysofWeek U
Wednesday ‐TimesofDay 19:30
Anschließend legen Sie noch eine
Richtlinie fest, die steuert, wann die
Sicherung ablaufen soll:
$ret = New‐OBRetentionPolicy
Wollen Sie die Einstellung vom Standardwert
(7 Tage) auf den Maximalwert
(30 Tage) setzen, verwenden Sie den
Befehl:
$ret = New‐OBRetentionPolicy U
‐RetentionDays 30
Sie können die Richtlinie auch folgendermaßen
erstellen, um die Sicherung
zum nächsten festgelegten Zeitpunkt
zu starten:
Add‐OBFileSpec U
‐Policy $policy U
‐FileSpec $files
Anschließend verbinden
Sie die Richtlinie
mit dem erstellten
Zeitplan:
Set‐OBSchedule U
‐policy $policy U
‐schedule $sched
Set‐OBRetentionPolicy U
‐policy $policy U
‐retentionpolicy $ret
Handelt es sich um
die erste Sicherung
nach der Registrierung
des Servers,
müssen Sie noch sicherstellen,
dass die
Passphrase für die
Sicherung gesetzt ist:
$passphrase = U
ConvertTo‐U
SecureString U
Passphrase U
‐asplaintext ‐Force
Set‐OBMachineSetting
‐EncryptionPassphraseU
$passphrase
Speichern Sie dann die Online-Backup-
Sicherungsrichtlinie:
Set‐OBPolicy ‐policy $policy
Sie können eine erstellte Sicherung
auch in der Powershell starten. Dazu
verwenden Sie das Commandlet
»Get‐OBPolicy | Start‐OBBackup«.
Überwachen und Fehler
beheben
Sie können die Einstellungen der Sicherung
natürlich jederzeit anpassen. Außerdem
können Sie über »Eigenschaften
ändern\Bandbreiteneingrenzung«
die Bandbreite begrenzen, welche der
Online-Sicherung zur Verfügung steht.
Sie können hier Daten von 256 Kbps bis
1 Gbps eintragen und auch Zeitpunkte
festlegen, wann diese Werte gültig sein
www.admin-magazin.de
Admin
Ausgabe 01-2014

38
Backup
Azure
Abbildung 5: Daten aus Windows Azure Backup stellen Sie über die
Verwaltungsoberfläche von Windows Azure Backup oder mit der
Powershell wieder her.
n Info
sollen. Sie haben auch die Möglichkeit,
diese Einstellungen in der Powershell
vorzunehmen. Ein Beispiele dafür ist in
Listing 1 zu sehen.
Schlüssel und Proxy
Auf der Registerkarte »Verschlüsselung«
ändern Sie das Kennwort für die
Verschlüsselung, auf der Registerkarte
»Proxykonfiguration« tragen Sie die Daten
des Proxy-Servers ein.
Sie sehen den Zeitplan der Online-
Sicherung auch in der Aufgabenverwaltung
von Windows Server 2012 im
Bereich »Microsoft\OnlineBackup«.
Auch hier können Sie Änderungen vornehmen.
In der Verwaltungskonsole
von Azure Backup finden Sie auch die
Registerkarte »Warnungen«. Hier sehen
Weiterführende Links und
Informationen zu diesem
Artikel finden Sie unter:
www.admin-magazin.de/qr/31225
n Listing 2: Wiederherstellung mit der Powershell
Sie Meldungen des
Dienstes. Das können
zum Beispiel Meldungen
bezüglich des
Speicherplatzes sein
oder wenn eine neue
Version des Agenten
zur Verfügung steht.
Klicken Sie auf eine
Meldung, erhalten Sie
meistens noch einen
Hinweis oder einen
Link zu einer Webseite,
die bei der Lösung des
Problems weiterhelfen
kann.
Um sich einen Überblick
zum konfigurierten
Sicherungsjob
anzeigen zu lassen,
verwenden Sie den
Powershell-Befehl »Get‐OBJob«. Fehler
hält der Agent, neben der Ereignisanzeige,
auch in Log-Dateien fest. Diese
finden Sie zum Beispiel im Verzeichnis
»C:\Program Files\Windows Azure
Backup Agent\Temp«. In der Ereignisanzeige
finden Sie genauere Meldungen
unter »Anwendungs‐ und Dienstprotokolle\CloudBackup«.
Die Sicherung
wird durch den Systemdienst Windows
Azure Backup Agent bereitgestellt.
Diesen können Sie zur Fehlerbehebung
neu starten lassen oder beenden. In der
Befehlszeile verwenden Sie dazu »NET
START OBENGINE« oder »NET STOP
OBENGINE«.
Daten wiederherstellen
Daten stellen Sie mit Azure Backup genauso
wieder her wie bei einer lokalen
Sicherung: Sie klicken mit der rechten
Maustaste auf »Backup« und wählen
die Wiederherstellung von Daten. Im
Assistenten wählen Sie zunächst aus,
von welchem Datenträger Sie die Daten
wiederherstellen wollen und zu welchem
Zeitpunkt. Auch den Speicherort
01 $source = Get‐OBRecoverableSource
02 $item = Get‐OBRecoverableItem ‐Source $source[0]
03 $FinalItem = Get‐OBRecoverableItem ‐ParentItem $item[0]
04 $recover_option = New‐OBRecoveryOption
05 Start‐OBRecovery ‐RecoverableItem $FinalItem ‐RecoveryOption $recover_option
der wiederhergestellten Daten legen
Sie im Fenster fest.
Sie können beim Starten der Wiederherstellung
auch einen Server
auswählen, von dem Sie Daten wiederherstellen
wollen (Abbildung 5). Der Assistent
zeigt dazu alle Server an, die Sie
registriert haben. Statt der grafischen
Oberfläche können Sie auch hierfür
die Powershell verwenden. Sie legen
dazu die entsprechenden Daten wieder
in Variablen fest und starten dann die
Wiederherstellung (Listing 2).
Im Webportal verwalten
Zentral verwalten Sie die Datensicherung
von Windows Azure direkt im
Azure-Portal. Klicken Sie dazu auf »Wiederherstellungsdienste«
und wählen
Sie danach den Tresor aus, in dem sich
die Server und Daten befinden, die Sie
verwalten wollen. Über »Dashboard«
sehen Sie die Datenmenge im Tresor,
die für die Abrechnung wichtig ist. Außerdem
sind hier die bereits registrierten
Server zu finden.
Über »Geschützte Elemente« sind die
gesicherten Daten zugänglich. Sie
können hier nicht auf einzelne Daten
zugreifen oder Daten wiederherstellen,
aber erkennen, wann Daten gesichert
wurden und von welchen Servern und
Laufwerken sie stammen. Informationen
zu den einzelnen Servern finden
Sie über den Menüpunkt »Server«. Hier
sehen Sie alle registrierten Server in
Ihrem Portal.
Fazit
Windows Azure Backup kann für Unternehmen
eine wertvolle Ergänzung oder
sogar ein kompletter Ersatz für eine
vorhandene Datensicherung sein. In
kleineren Unternehmen mit Windows
Server 2012 R2 Essentials kann die
Cloud-Lösung eine lokale Datensicherung
vollständig ersetzen.
Auch für kleine Niederlassungen oder
mittelständische Unternehmen ist
Windows Azure Backup eine durchaus
interessante Ergänzung oder sogar
vollständige Backup-Lösung. Da die
gesicherten Daten verschlüsselt in der
Microsoft-Cloud gespeichert werden,
sind diese vor fremden Zugriff soweit
möglich geschützt. (ofr) n
Ausgabe 01-2014 Admin www.admin-magazin.de

40
Backup
Areca
bowie15, 123RF
Datensicherung einzelner Hosts mit Areca
Für Solisten
Modulare und verteilte Installation, Ansteuerung großer RAIDs und Tape-Libraries, Verwaltung Hunderter
Clients – nicht immer sind das die Anforderungen an ein Backup. Manchmal gilt es einfach nur ein paar
Verzeichnisse von einem Rechner zu sichern. Auch dafür gibt es gute Tools. Jens-Christoph Brendel
Für ein Desktop-Backup oder die
einfache Sicherung weniger Verzeichnisse
gelten andere Gesetze als für das
Backup in einem Rechenzentrum. Hier
kommt es vor allem auf einfache Bedienung
an, ohne komplizierte Konfigurationsfiles
oder tief verschachtelte Menüs.
Die üblichen platzsparenden Techniken
wie inkrementelle Sicherungen
sollen anwendbar sein. Mit Pre- und
Post-Backup-Skripts sollten Applikationen
wie etwa Datenbanken während
des Backups angehalten werden können.
Mehrere zurückliegende Versionen
müssen archiviert werden. Auch Verschlüsselung
und Kompression wären
nicht schlecht. Das Backup soll sich auf
anderer Hardware wiederherstellen
lassen, dabei ist es der Einfachheit halber
gut, wenn die Daten nicht in einem
proprietären Format abgelegt werden,
was im Desaster-Fall zuerst die erneute
Installation von Betriebssystem und
Backup-Software nötig machen würde.
LVM- oder RAID-Konfigurationen dürfen
kein Hindernis sein. Die Rechte an den
Dateien müssen erhalten bleiben und
die Sicherung sollte unter Linux nicht
über Links oder Named Pipes stolpern.
Schließlich sollte man auch leicht
kontrollieren können, ob alles wie gewünscht
gelaufen ist.
Abbildung 1: Das leere Hauptfenster nach dem ersten Start. Neue Ziele definiert mandurch Rechtsklick
in die obere Hälfte des linken Panels.
Schmankerl
Eine Open-Source-Software, die all
diese Ansprüche gut erfüllt, ist Areca
[1]. Über die schon aufgezählten Features
hinaus, hat Areca noch ein paar
Schmankerl zu bieten. So lassen sich
Quelldateien vom Backup aus- oder
einschließen, die man nach diversen
Kriterien filtern kann. Dabei sind auch
Konstrukte mit AND, OR und NOT er-
Ausgabe 01-2014 Admin www.admin-magazin.de

Backup
Areca
41
laubt. Backups können simuliert werden, sodass man vorher
abschätzen kann, was und wieviel mit den gegebenen Einstellungen
auf die Platte gelangen würde.
Areca kann auf Netzlaufwerke via (S)FTP sichern und von dort
auch Daten wiederherstellen. Neben inkrementellen und differenziellen
Sicherungen gibt es auch ein Delta-Backup, das nur
geänderte Teile von Dateien speichert. Um noch mehr Platz
zu sparen, lassen sich Backups komprimieren und diverse Archive
zu einem Archiv vereinigen. Dateien sind in dem Zustand
zurücksicherbar, den sie zu einem bestimmten Datum hatten.
Alle kritischen Prozesse werden als Transaktionen behandelt,
können damit an definierten Aufsetzpunkten nach einer Unterbrechung
wieder aufgenommen werden. Alle Benutzeraktionen
lassen sich dank einer History-Funktion jederzeit rekapitulieren.
Auf Wunsch werden Reports erzeugt und per E-Mail verschickt.
Erstes Backup
Das Installieren beschränkt sich im Wesentlichen auf das Entpacken.
Hat man die Java-Applikation via Shell-Skript »areca.
sh« gestartet (Abbildung 1), ist zunächst ein Backup-Ziel zu konfigurieren.
Der Begriff Ziel (Target) ist dabei insofern vielleicht
etwas irreführend, als das hier nicht nur definiert wird, wohin
gesichert werden soll, sondern auch was (also die Quelle) und
wie. Derartige Ziele können auf Wunsch gruppiert werden – beispielsweise
um inhaltlich verwandte Backups aus verschiedenen
Quellen (Verzeichnissen) logisch zusammenzufassen. Will
man davon Gebrauch machen, legt man zuerst eine Gruppe
durch Rechtsklick in das linke obere Panel des Hauptfensters
und Auswahl aus dem Kontextmenü fest. Im selben Kontextmenü
findet sich dann auch der Punkt »Neues Ziel ...«.
In dem Dialog zum Einrichten eines Ziels (Abbildung 2) legt man
zuerst ein Verzeichnis fest, in dem das Backup landen soll. Mit
Bändern kann Areca nicht umgehen. Der Anwender gibt dem
Ziel einen Namen und entscheidet sich, ob ein konventionelles,
File-basiertes Backup entstehen soll (Standard), ob nur die
Änderungen innerhalb von Dateien zu sichern sind (Delta) oder
ob eine einzige große Archivdatei anzulegen ist, die mit jedem
Backup aktualisiert wird (Image). Zusätzlich lassen sich alle einzelnen
Files eines Backups oder die Sicherung als Ganzes in einem
File komprimieren. In letzterem Fall können abgebrochene
Backups allerdings nicht wiederaufgenommen werden.
Als nächstes müssen die Verzeichnisse bestimmt werden, die
gesichert werden sollen. Das gelingt auf Wunsch auch, indem
einfach die Quellordner per Drag&Drop über das Dialogfenster
bewegt werden. Der nächste Punkt erlaubt es, gegebenenfalls
eine Datenkompression einzurichten. Sollen Unterordner einbezogen
werden? Sollen Links verfolgt werden? Das kann man
unter dem Punkt »Erweitert« bestimmen.
Unter »Filter« lassen sich Ausdrücke hinterlegen, die bestimmte
Files vom Backup ausschließen. Die Grundlage können Dateiendungen
sein, Datum oder Größe von Dateien, es lassen sich
gesperrte Dateien ausnehmen oder spezielle Typen (wie Pipes,
Sockets und so weiter) oder man gibt reguläre Ausdrücke als
Ausschlusskriterium an, die auf Datei- und/​oder Ordnernamen
angewendet werden. Beliebige Filter sind kombinierbar, sodass
man ziemlich genau regulieren kann, was gesichert werden soll.
Abbildung 2: Der Dialog zum Einrichten eines Backup-Ziels in Areca.
Die folgenden beiden Punkte erlauben die Konfiguration
von Vor- und Nachlauf-Skripten, die beispielsweise vor einer
Sicherung Applikationen anhalten und danach wieder
starten können.
Anschließend ist es möglich, eine Datenmenge anzugeben,
nach der jeweils der Zustand des Backups derart
gespeichert wird, dass es nach einem Abbruch an dieser
Stelle wieder aufgenommen werden kann. Schließlich
kann man jeder Sicherung eine Beschreibung mitgeben.
www.admin-magazin.de

42
Backup
Areca
Abbildung 3: Das Ergebnis der Simulation eines differenziellen Backups
in Areca.
Abbildung 4: Zum Schluss wählt man in diesem Dialog
die Art der Sicherung aus.
n Info
Weiterführende Links und
Informationen zu diesem
Artikel finden Sie unter:
www.admin-magazin.de/qr/31072
Nachdem man das Ziel
im rechten Panel markiert
hat, kann man
das Backup über das
Icon »Platte mit Plus«
in der Navigationsleiste
darüber starten.
Alternativ geht das
auch über das Menü
»Ausführen«. Hier ist
es auch möglich, ein
Backup zunächst zu simulieren.
Im Ergebnis
(Abbildung 3) erhält
man eine Übersicht,
wieviele Dateien in die
Sicherung einbezogen würden, welches
Datenvolumen insgesamt erreicht
würde und wieviel davon auf jedes zu
sichernde File entfiele.
Zum Schluss kann der Admin im
Backup-Startdialog wählen, ob er eine
inkrementelle, differenzielle oder eine
Vollsicherung haben möchte (Abbildung
4), ob das Backup zum Schluss
verifiziert werden soll und ob Informationen
über die gesicherten Dateien
anzufügen sind (Manifest).
Ein Protokoll führt jeden Schritt der Sicherung
auf und erlaubt es dem Admin,
sich im Nachhinein davon zu überzeugen,
dass die Sicherung problemlos auf
der Festplatte gelandet ist oder worin
gegebenenfalls der Fehler bestand.
Kommando zurück
Das Backup beweist sich beim Restore,
ist eine vielzitierte Binsenweisheit. Ein
erster Vorteil von Areca ist dabei schon
einmal, dass die Applikation für das
Restore prinzipiell verzichtbar wäre:
Abbildung 5: Auch das Rücksichern ist über zahlreiche Versionen auf die eigenen Bedürfnisse
einstellbar.
Die Files liegen – gegebenenfalls komprimiert
– als 1:1-Kopien im Backupverzeichnis
und könnten durch einfaches
zurückkopieren restauriert werden. Das
ist besonders nach einem Ausfall hilfreich,
der auch die Areca-Installation
selbst getroffen hat. In diesem Fall
müsste nicht zuerst die Backup-Software
neu installiert werden, um an die
Sicherung heranzukommen.
Wer keine kompletten Archive zurücksichern
will, sondern einzelne Files, was
sicherlich häufiger vorkommt, der kann
in Areca nach den fraglichen Dateien
suchen (Abbildung 4). Bei der Suche
– entweder nur im aktuellen oder in
allen Archiven – können auch reguläre
Ausdrücke verwendet werden. Zu den
Fundstellen lassen sich Details einblenden,
die beispielsweise darüber Auskunft
geben, wieviel zurückgeschrieben
würde.
Auch beim Restore stehen wieder etliche
Optionen zur Verfügung (Abbildung
5). So kann man bereits existierende
Dateien immer überspringen oder nur
dann, wenn die gesicherte Version älter
wäre. Genauso gut kann man sie immer
überschreiben oder in jedem Fall
nachfragen lassen. Auch ob gelöschte
Dateien wiederhergestellt werden
sollen, ist wählbar. Schließlich kann
man alle Files nach der Rücksicherung
überprüfen.
Fazit
Areca bringt alles mit, was man für
die unkomplizierte Sicherung einzelner
Rechner auf Festplatten braucht.
Backup und Restore sind über zahlreiche
Optionen vielfältig anpassbar. Eine
intuitiv bedienbare GUI erleichtert den
Umgang mit dem Backup-Programm.
Via Kommandozeile (oder in Skripts) ist
es aber genauso steuerbar. Auf diese
Weise wäre Areca auch cron-gesteuert
startbar, denn über eine eigene Logik
für Zeitpläne verfügt es nicht. Genausowenig
kann es mit Tapes umgehen oder
als Server für Backup-Clients dienen.
Überall da aber, wo eine ausgewachsene
Profi-Datensicherung überdimensioniert
wäre, weil nur ein einzelner
Rechner zu sichern ist, bietet sich Areca
als vielseitiges und zuverlässiges Werkzeug
an. n
Ausgabe 01-2014 Admin www.admin-magazin.de

End-to-End-Monitoring mit Benutzersimulation für GUIs
Perspektivwechsel
Al’exa ist ein Open-Source-Python-Modul, mit dessen Hilfe sich grafische
User Interfaces (GUIs) durch Simulation von Benutzereingaben
testen und überwachen lassen. Alan Pipitone
mihtiander, 123RF
Über die letzten 15 Jahre hat sich die
IT rasant weiterentwickelt und ist immer
komplexer geworden, weil immer
mehr Abhängigkeiten zwischen verschiedenen
Komponenten entstanden
sind. Hardware und Betriebssysteme,
Applikationen und Middleware, Hypervisoren,
Infrastrukturkomponenten,
Storage-Systeme, Netzwerktechnik,
Serverdienste – all das greift heute
ineinander und baut aufeinander auf.
Daraus folgt, dass all das auch zu überwachen
ist, um im Fehlerfall schnell
reagieren zu können.
Entsprechend wuchs über die Jahre
die Anzahl von Monitoring-Systemen
im proprietären, aber auch im Open-
Source-Bereich. Systeme wie Nagios,
Zabbix, OpenSNMP, Icinga und Shinken
haben sich dabei längst etabliert. Alle
diese Lösungen versuchen Ausfälle zu
erkennen, die Verfügbarkeit zu messen
und anhand von Modellen die grundlegende
Ursache von Folgefehlern zu
trennen (Root Cause Analysis). Nicht
immer reicht dies jedoch aus, denn
das herkömmliche Rechenzentrums-
Monitoring misst zwar die Performance
der einzelnen IT-Komponenten, berücksichtigt
aber nicht die Performance
und Verfügbarkeit der IT-Services aus
dem Blickwinkel des End Users oder
Kunden.
Das traditionelle Monitoring fokussiert
sich somit auf eine horizontale Sichtweise.
Ihr Vorteil ist, dass der Ausfall einer
Komponente damit sofort erkannt
wird. Der Nachteil: Haben einzelne
Anwender ein Problem, beispielsweise
mit der Performance, ist nicht sofort
ersichtlich, wer wann und in welchem
Maß davon betroffen ist. Solche Informationen
liefert dagegen ein Endto-End-Monitoring.
Dabei wird die zu
überwachende Applikation aus dem
Blickwinkel der User auf Verfügbarkeit
und Performance hin getestet – und
nicht mehr nur aus dem Blickwinkel
des Rechenzentrums.
Was tun mit Terminal-
Servern?
Im Bereich Webapplikationen gibt es
bereits unterschiedliche Lösungen
im Open-Source-Bereich, die einen
solchen Ansatz verfolgen. Als Beispiel
sei SeleniumHQ [1] genannt. Solche
Lösungen haben ihren Ursprung dabei
oftmals im Bereich Quality Assurance,
um bei der Software-Entwicklung von
Produkten Regressionstests durchführen
zu können. Vielfach eignen sich
diese Tools auch für das operative Mo-
Ausgabe 01-2014 Admin www.admin-magazin.de

Know-how
Al’exa
45
nitoring von Anwendungen (wie auch
SeleniumHQ, das unter anderem auch
Web-Automations-Tests beherrscht).
Offen bleibt in diesem Zusammenhang
jedoch, was passiert, wenn die zu überwachende
Applikation keine Webapplikation
ist, oder diese über einen Terminal-Server
beziehungsweise über Citrix
zur Verfügung gestellt wird.
Ein weiterer, oftmals nicht berücksichtigter
Aspekt ist das Monitoring von
nativen Applikationen auf Windows
oder von Legacy-Applikationen, die
auf Mainframes laufen, und über
Terminal-Emulatoren von den Anwender
bedient werden. Häufig sind genau
diese Anwendungen Business-kritisch.
Bei komplexen ERP-Umgebungen besteht
zudem die Herausforderung, die
Performance und Verfügbarkeit für die
Anwender an mehreren weltweit verteilten
Standorten sicherzustellen.
Das Al’exa-Projekt
Es waren dies die wesentlichen Überlegungen,
die dazu führten, das Projekt
Al’exa ins Leben zu rufen. Entwickelt
wurde dabei eine Engine, die in der
Lage ist, exakt wie ein User mit unterschiedlichen
Anwendungen zu interagieren
– über die Tastatur, die Maus
oder die Erkennung von Texten, Bildern
und Menüelementen. Die Al’exa-Engine
simuliert dabei die Interaktion mit
Anwendungen wie ein Anwender und
zeichnet die Zeiten für jede Handlung
auf. Damit wird eine Überwachung
jeder einzelnen Aktion ermöglicht.
genauso wird aber auch die Summe
aller einzelnen Zeiten eines gesamten
Testszenarios ausgewertet.
Die Engine ist außerdem so konzipiert,
dass Änderungen in der Anwendung
nicht zwangsläufig eine Neuentwicklung
des Test-Cases erfordern. Stattdessen
findet die Engine die Elemente
auch an anderen Positionen wieder.
Dafür sucht Al’exa die Objekte auf dem
Bildschirm und merkt sich ihre neue
Position automatisch.
Die Simulation bezieht alle Komponenten
ein, mit denen die User umgehen.
Die Verfügbarkeit wird somit nicht aus
dem Headquarter gemessen, sondern
die Al’exa-Engine stellt sicher, dass
alle Core-Business-Anwendungen,
Abbildung 1: Eine intelligente User-Simulation, die exakt dort angesiedelt ist, wo die Anwender
auch wirklich agieren.
unabhängig von der Technologie ihrer
Bereitstellung, nach dem Modell des
End-User-Monitorings berücksichtigt
werden (Abbildung 1).
Al’exa verhält sich somit genau so
wie ein intelligenter User und ist auch
genau dort aktiv, wo die Anwender
im wirklichen Leben wirklich agieren.
Die Engine misst die Performance
ausschließlich aus dem Anwenderblickwinkel.
In dieser Simulation sind somit
Latenzzeiten des Netzwerkes sowie der
Anwendung wie auch Verzögerungen
eines möglichen Terminal-Servers
enthalten. Al’exa kann die Anwendungen
in Intervallen prüfen und erkennt,
sobald bestimmte Schwellwertüberschreitungen
bei einzelnen Aktionen
zu verzeichnen sind. Die werden dem
zentralen Monitoring-System als Status
»warning« oder auch »critical« mit
sämtlichen Details zu den zugrunde
liegenden Performance-Messungen
mitgeteilt (Abbildung 2).
Abbildung 2: Sämtliche Performance-Daten werden an das zentrale Monitoring-System weitergegeben.
www.admin-magazin.de
Admin
Ausgabe 01-2014

46
Know-how
Al’exa
Abbildung 3: Die Al’exa-Architektur.
Die Entwicklung
Die Entwicklung von Al’exa startete im
Oktober 2012. Erst dank der Vielfalt
existierender Open-Source-Technologien
im Bereich visueller Erkennung
(OpenCV) sowie dank des OCR-
Scanners Tesseract war es überhaupt
möglich, in dieser kurzen Zeit eine erste
Version zu entwickeln. Dabei war von
Anfang an klar, dass Al’exa selbst unter
einer Open-Source-Lizenz stehen wird,
sodass sich eine entsprechende Community
bilden kann. Eine enge Zusammenarbeit
mit dem Team des freien
Überwachungssystem von NetEye war
dabei ein wichtiger Schritt, um das Projekt
rasch voranzubringen.
n Listing 1: Output eines Test-Cases
Die Architektur
Die Architektur von
Al’exa ist um OpenCV,
Tesseract-OCR und
um Python herum
aufgebaut. OpenCV
übernimmt sozusagen
die Aufgabe
eines Auges, nämlich
des Erkennens der
visuellen Objekte am
Bildschirm. Die Integration
von OpenCV
in Python ermöglicht
es dabei, Bildschirmschirmelemente
wie Labels, Buttons,
Wörter und Textfelder
zu erkennen und
diese dann dank der
Windows-Events auch wie ein gewöhnlicher
Anwender anzusteuern.
Tesseract-OCR übernimmt in Al’exa die
Aufgabe, Bildelemente als Textbausteine
zu erkennen, sodass sie umgehend
als Input für reguläre Ausdrücke
in Python genutzt werden können.
Python als Skriptsprache eignet sich
in diesem Zusammenhang sehr gut
als Bindeglied zwischen den Technologien
OpenCV und Tesseract-OCR.
Python verfügt über sehr viele, bereits
vorhandene Bibliotheken, sodass einfache
Test-Cases sehr schnell erstellt
werden können. Darüber hinaus besteht
auch die Möglichkeit, Test-Cases
dynamisch zu erweitern und somit bei
01 Running: C:\alexa2\TestCases\wuerth‐phoenix\NetEye_Blog.py (Wed Nov 20 16:14:46 2013)
02
03 CRITICAL: one or more steps are in critical state
04
05 IE_window=11.4179999828s;8;10;; inputbox_search_rendering=0.608999967575s;8;10;; contact_
form=1.21700000763s;8;10;;
06 company_page=1.21300005913s;7;12;;
07
08 CRITICAL: IE_window time is 11.4179999828 sec.
09 OK: inputbox_search_rendering time is 0.608999967575 sec.
10 OK: contact_form time is 1.21700000763 sec.
11 OK: company_page time is 1.21300005913 sec.
12
13 Erklärung Aufbau:
14 [Name Aktion]; Verwendete Zeit für die Aktion; Schwellenwert für Warning; Schwellenwert für
Critical
15 IE_window=11.4179999828s;8;10;;
Datenbankanwendungen zum Beispiel
unterschiedliche Daten zu erfassen und
abzufragen. Diese erweiterte Intelligenz
ermöglicht Al’exa, das tatsächliche
Anwenderverhalten noch besser zu
simulieren.
Erweiterungsmöglichkeiten auf Basis
bisheriger Simulationsdurchläufe
werden zudem laufend im Bereich
Test-Cases, aber auch in der Engine
archiviert und für zukünftige Szenarien
als Erfahrungswerte genutzt. Kontinuierliche
Verbesserungen sind vor allem
in diesem Zusammenhang durch den
Community-Beitrag möglich, um auch
sehr komplexe Anwendungsszenarien
abzudecken und zum Beispiel auch
über das operative Monitoring den Weg
in Richtung QA/​Regressionstest oder
auch Skalierbarkeitstests zu gehen.
Integration in den
klassischen Monitoring-
Prozess
Die Integration in gängige Open-
Source-Monitoring-Systeme erfolgt
über den NSclient++, der die erstellten
Test-Cases in Al’exa ausführt und die
Performance-Daten sowie den Status
(»ok«, »warning«, »critical«) an die
Monitoring-Systeme übermittelt.
Der Output eines einfachen Al’exa-Test-
Cases sieht so aus wie in Listing 1.
Die IDE
Um die Erstellung der Test-Cases selbst
zu erleichtern, ist Al’exa um eine IDE
erweitert worden. Die Al’exa-IDE ermöglicht
die Erstellung der Test-Cases
über geführte Wizards. Das heißt, für
einfache Fälle ist kein tiefergehendes
Python-Know-how nötig. Der Python-
Sourcecode wird durch die Al’exa-IDE
generiert.
Auch an dieser Stelle zeigen sich die
Vorteile der Open-Source-Technologie.
Es wäre im Rahmen des Projektes und
der zur Verfügung stehenden Zeit- und
Manpower-Ressourcen nicht machbar
gewesen, eine IDE von Grund auf neu
zu entwickeln. In der Open-Source-
Community von Python gibt es Ninja
als voll funktionsfähige IDE, die auch
eine Plugin-Architektur anbietet. Die
Kombination aus IDE und der Plugin-
Architektur ermöglichte es, Ninja als
Ausgabe 01-2014 Admin www.admin-magazin.de

Know-how
Al’exa
47
Basis-IDE für Al’exa zu nutzen und
somit die Erweiterungen für die Erstellung
von Test-Cases als Plugin in Ninja
zu entwickeln.
Weitere Funktionen sind bereits in Arbeit,
darunter:
n Verbesserungen beim Handling von
Applikationsfehlermeldungen,
n bessere Erkennungsmöglichkeiten
für Al’exa,
n Aufzeichnung von Test-Cases durch
User mit einem Recorder,
n Caching-Mechanismen, die die Ausführung
der Test-Cases beschleunigen.
Ausblick
Al’exa ist noch ein sehr junges Projekt.
Schon die ersten umgesetzten Projekte
zum Monitoring von Applikationen wie
etwa SAP- oder Java-Applikationen
über Citrix-Terminal-Server lassen das
Potenzial von Al’exa erkennen. Pro
Test-Case mittlerer Komplexität ist bei
Anwenderunternehmen erfahrungsgemäß
mit einem Aufwand von maximal
ein bis zwei Manntagen zu rechnen.
Komplexe Test-Cases können auch fünf
Arbeitstage in Anspruch nehmen.
Die Test-Cases können dann 24x7 über
ein ganzes Jahr kontinuierlich ausgeführt
werden und lassen die IT-Abteilung
umgehend erkennen, wenn Applikationen
nicht mehr die Performance
liefern, die benötigt wird.
Interessant kann
der Einsatz von
Al’exa auch in Cloud-
Umgebunen oder
bei Outsourcing-
Projekten sein, in
denen Performance-
SLAs eingehalten
werden müssen. Außerdem
kann Al’exa
schließlich auch dazu
genutzt werden, um
festzustellen, ob der
Outsourcing-Partner die SLAs bei der
Performance der Applikationen etwa
über Citrix einhält.
Hinsichtlich Citrix wurde im Rahmen
eines Anwendungsprojektes auch die
Idee geboren, dass Al’exa eigenständig
erkennen sollte, welche Applikationen
dem Anwender zur Verfügung stehen.
Sie könnten dann automatisiert gestartet
werden. Dadurch hätte die
IT-Abteilung die Sicherheit, dass die
Anwendungen über Citrix aktiviert
werden können und der Test-Case nicht
mehr erstellt werden muss. Die besten
Ideen sind bis dato stets bei konkreten
Einsätzen entstanden. Es bleibt zu hoffen,
dass sich rund um Al’exa über die
Zeit eine große und noch lebendigere
Community entwickelt, die Anwendungsbeispiele
und Entwicklungsideen
für die Erweiterung des Projektes einbringt.
(jcb) n
Abbildung 4: Integration in den klassischen Monitoring-Prozess.
n Info
n Autor
Weiterführende Links und
Informationen zu diesem
Artikel finden Sie unter:
www.admin-magazin.de/qr/31059
Alan Pipitone ist Projektleiter und Chefentwickler
von Al’exa. Interessierte Entwickler können direkt mit
dem Projektleiter oder mit dem NetEye-Team von
Würth Phoenix, das die Initiative bereits umfassend
unterstützt, in Kontakt treten [2].

48
Know-how
Landscape
Das Canonical-Werkzeug Landscape wartet Ubuntu-Umgebungen
Landschaftspflege
Kitsadakron Pongha, 123RF
Große IT-Infrastrukturen manuell zu pflegen, führt fast zwangsläufig zu Fehlern. Canonical bietet mit
Landscape ein kostenpflichtiges Werkzeug an, das per Weboberfläche und API Informationen sammelt,
grafisch aufbereitet und Wartungsarbeiten erledigt. Carsten Schnober
Monitoring und Wartung bleibt ein
wichtiges Thema für alle, die mehrere
Rechner administrieren. Für Ubuntu-
Landschaften bietet Canonical mit
Landscape ([1], siehe Abbildung 1) einen
nützlichen Dienst an.
Landscape verwaltet eine beliebige
Anzahl von Clients – vorausgesetzt,
dass die Lizenzen genügen. Es ist dabei
stets der Client, der den ersten Schritt
macht: Er meldet sich beim Server an
und versorgt diesen aktiv mit Informationen.
Der Server verwertet, was er bekommt,
und legt die Kommandos der
Administratoren in Warteschlangen, wo
sie die Clients wiederum abrufen.
Einberufung
Um einen Ubuntu-Rechner in den eigenen
Landscape-Account einzubinden,
ist als Erstes die Installation des Pakets
»landscape‐client« vonnöten. Es ent‐
hält unter anderem das Kommandozeilenprogramm
»landscape‐config«, mit
dem die Landscape-Einrichtung erfolgt.
Die Eingabe des Rechnernamens sowie
der Landscape-Kontoinformationen
genügen.
Die Landscape-Konfiguration stellt darüber
hinaus die Frage, ob das System
Landscape die Ausführung beliebiger
Shell-Skripte erlauben soll (»Enable
Script execution?«). Es folgt gegebenenfalls
die Angabe der User-Accounts,
mit deren Berechtigungen solche Programme
laufen dürfen; standardmäßig
sind das »nobody« und »landscape«.
Mit solchen Skripten führt ein Administrator
via Landscape aus der Ferne
Abfragen durch.
Zum Abschluss der Konfiguration
schickt der Client eine Registrierungsanfrage
an den angegebenen Landscape-Account.
Im Web-Interface erfolgt
die Freigabe darauf per Mausklick.
Danach sammelt der neue Client lokal
alle relevanten Systeminformationen
wie die Hardware-Konfiguration und
die installierten Pakete und sendet
diese an Landscape. Hierbei ist allerdings
ein wenig Geduld gefragt, denn
es dauert bis zu anderthalb Stunden,
bis alle Angaben übertragen sind.
Kernfunktionen
Von nun an informieren die Landscape-
Clients den Server regelmäßig über ihr
Wohlergehen. Das Web-Interface stellt
dem Admin – oder auch mehreren Admins,
optional in verschiedenen Rollen
mit unterschiedlichen Berechtigungen
– diese Informationen in unterschiedlichen
Darreichungsformen zur Verfügung.
Über den Zustand der überwachten
Rechner geben zusammenfassend die
Ausgabe 01-2014 Admin www.admin-magazin.de

Know-how
Landscape
49
Reports Auskunft (Abbildung 2). Sie
visualisieren den Gesamtzustand aller
oder einzelner überwachter Rechner,
die zugrunde liegenden Daten stehen
auch zum Download zur Verfügung.
Auf Wunsch lassen sich die Computer
mittels Tags in Gruppen organisieren,
sodass sich alle Überwachungsfunktionen
auf beliebige Untermengen
anwenden lassen. Auf die gleiche Weise
erstellt der Admin gruppenspezifische
Profile, mit denen Server verschiedene
Pakete und Updates erhalten oder
eben nicht.
Die Paketverwaltung stellt eine der
wichtigsten Annehmlichkeiten des
Landscape-Dienstes dar. Neu- und
Deinstallationen erfolgen ebenso per
Mausklick und für ganze Gruppen wie
Updates. Diese lassen sich wiederum
einzeln auswählen, wobei Landscape
Sicherheits-Updates separat anzeigt
und installiert. Auf Wunsch erfolgt die
Auswahl aber auch auf der Ebene einzelner
Pakete (Abbildung 3). Auch Upgrades
auf neue Ubuntu-Versionen unterstützt
Landscape. Es lässt allerdings
die Möglichkeit zur manuellen Konfiguration
der Paketquellen vermissen.
Die Monitoring-Funktion gibt einen
Überblick über die Auslastung der
Landscape-Clients, wiederum nach
Bedarf gruppiert. Hier stellt Landscape
standardmäßig Graphen über den
durchschnittlichen Arbeitsspeicherverbrauch,
die Festplattenauslastung und
die Netzwerklast bereit (Abbildung 4).
Mit eigenen Shell-Skripten fügt man
hier beliebige Auswertungen hinzu, vorausgesetzt
man hat bei der Client-Konfiguration
die Ausführung von Skripten
zugelassen.
Die Hauptforderung an ein eigenes
Skript ist, dass es bei jeder Ausführung
eine Zahl ausgibt, die Landscape
daraufhin sammelt und grafisch wiedergibt.
Hierbei sind negative ebenso
wie Dezimalzahlen erlaubt; die Zahl
muss aber auf die Standardausgabe geschrieben
werden. Landscape beachtet
den Exit-Code des Skripts: Ist er nicht 0,
meldet es einen Fehler. Das Gleiche gilt
im Übrigen für Kurzprogramme mit zu
langer Laufzeit: Nach zehn Sekunden
bricht Landscape die Ausführung ebenfalls
mit einer Fehlermeldung ab.
Abbildung 1: Landscape verwaltet Ubuntu-Rechner per Web-Interface.
Weiterhin gibt Landscape Auskunft
über die auf den Clients laufenden Prozesse
sowie vorhandene User-Accounts
und führt Protokoll über abgeschlossene
Aktivitäten.
Mit all diesen Basisfunktionen stellt Canonical
mit Landscape ein praktisches
Tool bereit, mit dem Admins ortsunabhängig
die meisten alltäglichen
Wartungsarbeiten durchführen können.
Sie benötigen lediglich einen Internet-
Zugang. Admins, die gehofft – oder
gefürchtet – hatten, schon auf dem Weg
zur Arbeit die ersten Arbeitsschritte
zu tun, werden allerdings enttäuscht,
denn eine Smartphone-optimierte
Seite bietet die Landscape-Weboberfläche
nicht.
Verbindungen
Damit Landscape keine größeren Lücken
in die Sicherheitsvorkehrungen
der eigenen Infrastruktur reißt, initiieren
ausschließlich Clients die Kommunikation
mit dem Landscape-Server.
Dabei verwenden sie die typischen
Abbildung 2: Die Landscape-Reports geben einen Gesamtüberblick über den Zustand der überwachten
Rechner.
www.admin-magazin.de
Admin
Ausgabe 01-2014

50
Know-how
Landscape
api«, außer wenn man auf das Canonical-Angebot
einer lokalen Landscape-
Installation (on-site) zurückgreift. Die
Dokumentation empfiehlt, diese Variablen
in der Datei »~/.landscape‐api.rc«
zu speichern und vor dem Aufruf von
»landscape‐api« einzulesen mit:
source ~/.landscape‐api.rc
Eine vollständige Liste der verfügbaren
Befehle gibt es mit:
landscape‐api help
Abbildung 3: Landscape installiert und aktualisiert Pakete einzeln oder in Gruppen.
n Info
HTTP- beziehungsweise HTTPS-Ports
80 und 443, die in den meisten Netzwerken
und Firewalls ohnehin für ausgehende
Verbindungen offenstehen.
Alle 30 Sekunden schickt der Landscape-Client
einen unverschlüsselten
HTTP-Request an den Server. Damit
bekundet er einerseits, dass der Rechner
noch läuft und gibt andererseits
dem Server Gelegenheit, ein Ereignis
auszulösen. Liegt irgendeine Nachricht
vom Server vor, folgt eine diesbezügliche
Anfrage über den verschlüsselten
HTTPS-Port.
Abgesehen von diesen Kommunikationsvorgängen
mit dem Landscape-Server
schicken Landscape-Clients lediglich
Abfragen an die Paket-Repositories.
Damit halten sie ihre Quellen auf dem
neuesten Stand und liefern auf dieser
Grundlage dem Server Informationen
über aktualisierbare Pakete. Landscape
lädt und installiert diese auf Aufforderung;
anderen Tools oder Benutzern,
die das Paketverwaltungswerkzeug
»apt‐get« direkt aufrufen, kommt es
dabei nicht in die Quere.
Weiterführende Links und
Informationen zu diesem
Artikel finden Sie unter:
www.admin-magazin.de/qr/31334
Programmierbare
Schnittstelle
Landscape stellt nicht nur eine bequeme
Weboberfläche für die Administration
von Rechnern bereit. Über eine
API greift der Admin auch mit eigenen
Programmen und Skripten direkt auf
die durch Landscape angebotenen Informationen
und Funktionen zu. Dafür
stellt Ubuntu im Landscape-Repository
das Ubuntu-Paket »landscape‐api« zur
Verfügung. Der folgende Befehl fügt das
Repository hinzu:
sudo add‐apt‐repository ppa:landscape/ U
landscape‐api
Anschließend installiert man das Paket
»landscape‐api«, das einen gleichnamigen
Kommandozeilen-Client sowie
eine Python-Bibliothek für den direkten
Landscape-Zugriff enthält.
Das Kommandozeilenprogramm greift
für die Authentifizerung auf die Variablen
»LANDSCAPE_API_KEY«, »LAND‐
SCAPE_API_SECRET« und »LAND‐
SCAPE_API_URI« zu, die man vor dem
Aufruf von »landscape‐api« in der Shell
exportiert. Die ersteren beiden sind
User-spezifisch und lassen sich in der
Weboberfläche in den Benutzereinstellungen
im Feld »API access« nachschlagen
beziehungsweise generieren. Die
Landscape-URI lautet im Allgemeinen
»https://landscape.canonical.com/
Größtenteils entsprechen die durch
die API zur Verfügung gestellten Funktionen
denen der Webschnittstelle.
Allerdings schließt sie eine Lücke in der
Paketverwaltung, denn die API erlaubt
auch das Hinzufügen und Löschen von
Paketquellen, auch auf Basis von Rechnergruppen.
Die zum API-Paket gehörige Python-
Bibliothek liefert die gleiche Funktionalität.
Nach dem Import von »landscape_api«
erzeugt dieser Befehl im
Python-Interpreter ein API-Objekt:
api = new landscape_api.base.API(uri, U
key, secret)
Die Werte der Variablen »uri«, »key«
und »secret« entsprechen denen der
gleichnamigen Bash-Variablen. Das
neue Objekt »api« erledigt wiederum
die gleichen Abfragen wie das Shell-
Pendant, beispielsweise mit »api.
get_computers()«.
Alternativ erfolgt der Zugriff direkt über
die HTTP-Schnittstelle per »GET« und
»POST«. Der Parameter »action« enthält
hier die Funktion, also etwa »GetComputers«.
Die Anleitung unter [2] beschreibt,
wie man eine gültige Signatur
für die Authentifizierung erzeugt.
Preise
Landscape eignet sich zur Verwaltung
von Servern und Desktop-Systemen
gleichermaßen. Gerade bei letzteren ist
es von Vorteil, dass vom Admin angeordnete
Aufgaben wie Paket-Updates
zunächst in einer Warteschlange landen,
die die Clients bei nächster Gelegenheit
abarbeiten. Es gibt also, auch
Ausgabe 01-2014 Admin www.admin-magazin.de

Know-how
Landscape
51
wenn Desktop-Rechner gerade ausgeschaltet
sind, kein Problem.
Allerdings bietet Canonical Landscape
lediglich als eine Komponente im Rahmen
seiner Ubuntu-Advantage-Pakete
an. Dazu gehören in allen verfügbaren
Varianten außerdem ein umfassender
Support sowie eine Rechtsgarantie,
die Ubuntu-Nutzer vor Patentklagen
schützen soll. Optional erfolgt die
Landscape-Installation auf einem
eigenen Server (on-site), sodass die
Kommunikation zwischen Clients und
Server vollständig im eigenen Intranet
stattfinden kann.
Ubuntu Advantage für den Desktop
gibt es in zwei Varianten: Standard und
Advanced. Sie kosten im Fünferpack
473 beziehungsweise 1014 Euro für ein
Jahr. Für Server bietet Canonical neben
Standard und Advanced eine Essential-
Version an; die drei Varianten kosten
pro Server und Jahr 248, 542 und 930
Euro. Rabatte gibt es in allen Fällen für
drei- und fünfjährige Verträge. Immerhin:
Wer sich mit Landscape erstmal
vertraut machen möchte, kann dies 30
Tage lang kostenlos tun – mit bis zu 50
Rechnern und 5 Administratoren.
Homogen
Der offensichtliche Haken des
Landscape-Dienstes besteht in seiner
Beschränkung auf Ubuntu-Rechner.
Zwar verwenden auch andere Debian-
Abbildung 4: Die Monitoring-Funktion zeigt die Auslastung von Rechnern und Netzwerk.
Derivate das gleiche Paketverwaltungssystem
und arbeiten so ebenfalls mit
Landscape zusammenarbeiten, aber
offizielle Unterstützung durch Canonical
fehlt, was für einen bezahlten
Dienst kaum akzeptabel ist. Andere
Distributionen wie Red Hat und Suse
fallen komplett aus, sodass ein Vendor
Lock droht: Ein Wechsel auf ein anderes
Betriebssystem – auch nur bei einem
Teil der eigenen Rechner – macht Landscape
wertlos.
Des Weiteren lohnt sich der Kauf eines
Ubuntu-Advantage-Pakets nur für die
Landscape-Funktionalität kaum, zumal
es freie Software gibt, die zumindest
die Funktionalität teilweise ebenfalls
abdecken, etwa Puppet und Foreman
[3] oder Chef [4]. Für Red-Hat-basierte
Distributionen gibt es das freie Werkzeug
Spacewalk [5], auf dem auch das
kostenpflichtige Satellite [6] basiert.
So bleibt Landscape leider nur für
diejenigen empfehlenswert, die auch
die anderen Leistungen von Ubuntu
Advantage nutzen möchten; schade,
dass Canonical hier eine so restriktive
Lizenzierung praktiziert. n

Security
52 FreeIPA
Gordon Saunders, 123RF
Active Directory mit freier Software
Zusammengeschweißt
Im Gegensatz zu OpenLDAP hat das noch junge FreeIPA das Zeug, sich mit einer Technologie wie Active
Directory zu messen. Der Beitrag erklärt, warum das so ist und wie man FreeIPA in der Praxis einsetzt.
Thomas Drilling
Der Begriff Alternative bedeutet in
diesem Zusammenhang nicht, dass
FreeIPA ein Active Directory ersetzen
kann, sondern im Unix-Umfeld eine
Technologie zur Verfügung stellt, die
konzeptionell mit Microsofts mit Windows
2000 eingeführtem Domänen-
Konzept vergleichbar ist. Um beurteilen
zu können, was FreeIPA leistet, ist es
hilfreich, sich ein paar Grundlagen in
Erinnerung zu rufen. In der IT steht der
Begriff Verzeichnis für eine Ansammlung
von Objekten und Informationen,
die in einer bestimmten Ordnung oder
Reihenfolge gespeichert sind.
Der Verzeichnisdienst verschafft Zugriff
auf die gespeicherten Informationen
und Objekte, etwa zum Suchen, Erstellen,
Abfragen, Ändern, Hinzufügen und
Löschen. Bekannte Implementierungen
von Verzeichnisdiensten sind beispielsweise
DNS, X.500 und LDAP. Insbeson-
dere Letzterer gilt streng genommen
als Urvater all der Produkte, die heute
unter der Bezeichnung Verzeichnisdienst
firmieren, obwohl der im Jahr
1993 initiierte Standard eigentlich nur
das Protokoll LDAP meint, eine vereinfachte
Variante des Directory Access
Protocol (DAP), das als Teil des X.500-
Standards spezifiziert ist.
Im Gegensatz zum X.500-Standard,
der einen vollständigen ISO/​OSI-Stack
voraussetzt, benötzigt LDAP nur einen
TCP/​IP-Stack und implementiert nur
eine Untermenge der im DAP definierten
Funktionen und Datentypen. Während
LDAP im ursprüngliche Sinne sozusagen
als Proxy zwischen X.500 und
dem DAP vermittelte, bildet es heute
das Fundament aller modernen Verzeichnisdienste,
die Informationen in
einer hierarchischen Struktur ablegen.
Für das Abfragen der Daten kommt wie
schon beim X.500-Standard ein objektorientiertes
Datenmodell zum Einsatz,
das mit Objekten und Klassen Anleihen
bei der objektorientierten Programmierung
einschließlich Mechanismen wie
Vererbung und Polymorphie nimmt.
Aufgaben eines
Verzeichnisdienstes
Moderne Verzeichnisdienste dienen
meist dazu, Netzwerk-Ressourcen wie
Benutzer, Gruppen, Dienste, Server,
Workstations, Freigaben und Geräte
zentral zu verwalten. Oft aber dienen
sie auch der zentralen Authentifizierung
der Benutzer. In diesem Beitrag
geht es insbesondere um das Identity-
Management, das häufig mit einer
LDAP-Datenbank implementiert ist.
Verzeichnisdienste sind für das Abbilden
der Objekte im LDAP-Verzeichnisbaum
(DIT: Directory Information Tree)
Ausgabe 01-2014 Admin www.admin-magazin.de

Security
FreeIPA
53
zuständig und bieten zahlreiche Möglichkeiten,
die Objekte miteinander in
Beziehung zu setzen.
Dabei repräsentiert jedes Objekt im
LDAP-Verzeichnisbaum einen sogenannten
Verzeichniseintrag mit einem
eindeutigen Namen (DN) im DIT. Im
LDAP gibt es die Objekttypen „Organisational
Unit“ (OU) zum Aufbau der
Baumstruktur und Blatt-Objekte zum
Verwalten der Ressourcen im DIT, wie
zum Beispiel User ID (UID) oder der
Common Name (CN). Microsofts Active
Directory erweitert die oberste Verwaltungsstruktur
Tree zu einem Wald
(Forest). Die Bezeichnungen leiten sich
aus vorgegebenen Objektklassen und
Schemas ab.
Ein Objekt ist eine im DIT zu verwaltende
Ressource, wobei LDAP unterschiedliche
Typen von Ressourcen
kennt, etwa Container, Benutzer und
Gruppen mit jeweils speziellen Attributen,
welche die Eigenschaften von
Objekten beschreiben. Ferner gibt es
in allen Verzeichnisdiensten Schemas,
die Objektklassen in Gruppen zusammenfassen.
LDAP kennt eine Reihe von
Standard-Schemas, etwa zum Verwalten
von Benutzern, allerdings lässt
sich LDAP beliebig um eigene Schemas
erweitern.
Import von LDAP-Daten
Für das Einfügen von Objekten in
den DIT kommen ASCII-lesbare LDIF-
Dateien zum Einsatz, in denen der
LDAP-Admin Objektklassen und Attribute
mit den jeweiligen Werten für
das zu erstellende Objekt einträgt. Das
Einspielen von LDAP-Dateien in den DIT
erfolgt mit »ldapadd«. Insofern können
Software-Hersteller oder System-Integratoren
LDAP beziehungsweise die freie
Variante OpenLDAP im Prinzip nach
Belieben an die eigene Bedürfnisse
anpassen.
Nahezu alle auf Linux basierenden Server-Distributionen
nutzen OpenLDAP
beispielsweise zum Speichern von
Benutzer- und Gruppen-Informationen
oder für Posix- und Samba-Konten
beziehungsweise zum Speichern von
Mail-Aliases für Postfix. Die eigentliche
Authentifizierung, also das Identity-
Management, ist aber nicht Aufgabe
IPA Server
Kerberos KDC
Web−GUI
DNS
Abbildung 1: Die Architektur von FreeIPA.
von LDAP, auch wenn LDAP zusammen
mit Erweiterungen wie Kerberos häufig
zum Authentifizieren von Benutzern
verwendet wird, etwa für einen IMAP-
Server oder für geschützte Bereiche
eines Webserver. Enterprise-Linux-Distributionen
wie Univentions Corporate
Server nutzen LDAP zudem zum Speichern
der nahezu gesamten Konfiguration
und für das Client-Management.
Komponenten eines
Verzeichnisdienstes
Während LDAP für alle möglichen
Zwecke zum Einsatz kommen kann,
haben Microsofts Active Directory und
Novells eDirectory einen klar umrissenen
Zweck. Active Directory erlaubt
es beispielsweise, die gesamte Unternehmensstruktur,
seine Hierarchie und
die räumliche Verteilung im Netzwerk
abzubilden, wozu zum Beispiel Benutzer,
Gruppen, Computer, Dienste, Server,
Freigaben, Drucker oder Scanner
samt deren Eigenschaften in Form von
LDAP-Objekten in einer sogenannten
Domäne erfasst werden.
Die Domäne ist die zentrale organisatorische
Verwaltungseinheit in Windows-
Netzen und nicht identisch mit einer
DNS-Domain. Dabei kommt dem
sogenannten Domain Controller (DC)
die Rolle der zentralen Authentifizierung
und Autorisierung von Benutzern,
Gruppen und Computern im Netz zu.
Der Domain-Controller ist in der Regel
auf einem dedizierten Server beheimatet
und hält die gesamte Verzeichnishierarchie
des AD vor.
Directory Server
Management Interface
NTP
PKI (Dogtag)
Commandline Tools
Die grundlegenden Strukturmerkmale
von LDAP finden sich in allen heute relevanten
LDAP-Implementationen der
führenden IT-Hersteller wie Microsofts
Active Directory, Novells eDirectory
(einschließlich des Vorgängers Novell
Directory Services), IBMs Tivoli Directory
Server, Apples Open Directory oder
dem 389 Directory Server, den zum Beispiel
Red Hat unterstützt (siehe Kasten
„389“). Darüber hinaus erlauben moderne
Verzeichnisdienste einschließlich
LDAP das Replizieren der Daten
zwischen mehreren Verzeichnissen und
bieten ein zentrales Identity-Management,
das häufig mithilfe von Kerberos
realisiert ist. Auch bei Active Directory
ist Kerberos neben DNS und LDAP eine
der drei zentralen Komponenten des
Verzeichnisdienstes und unter anderem
in der Lage, den Clients einer Domäne
einen zentralen Single-Sign-On-Service
zur Verfügung zu stellen.
Was OpenLDAP nicht kann
Zwar lässt sich auch im Linux-Umfeld
eine mit Active Directory vergleichbare
Funktionalität zur zentralen Netz-
n 389
Der 389 Directory Server hieß vorher Fedora Directory
Server, ist eine Weiterentwicklung des einstigen
„Netscape Directory Servers“ der Firma Netscape
Communications und wurde im Jahr 2004 von Red
Hat gekauft. Der 389 Directory Server ist vollständig
freie Software unter der GNU General Public License
und wird seit seiner „Geburt“ an der Universität
Michigan im Jahr 1996 stetig weiterentwickelt.
www.admin-magazin.de
Admin
Ausgabe 01-2014

54
Security
FreeIPA
Abbildung 2: Der Firefox-Browser lässt sich für ein Login mit Kerberos-
Authentifizierung einrichten.
Abbildung 3: Die Einrichtung von Kerberos im Browser erfordert das
Herunterladen eines Zertifikats.
werkverwaltung und für das Identity-
Management realisieren, allerdings
müssen Hersteller oder System-Integratoren
dazu OpenLDAP, Kerberos [1]
[2], DNS, NTP und/​oder NIS zu einem
harmonischen Ganzen verschmelzen,
was alles andere als trivial ist. Die
Bremer Univention GmbH beispielsweise
gehört mit ihrem Univention
Corporate Server zu den Vorreitern auf
diesem Gebiet. Der UCS ist einer der
wenigen auf Linux basierenden Server-
Plattformen, die Out-of-the-Box ein
durchgehend implementiertes Identity-
Management bieten (siehe [3]).
Ein OpenLDAP-Server kann zwar
Account-Informationen speichern, aber
da die eigentliche Authentifizierung ein
zusätzlicher Dienst wie Kerberos übernimmt,
muss der System-Integrator
oder Administrator zwei Systeme
installieren und administrieren. Fertigprodukte
wie ein Univention Corporate
Server verstecken solche Vorgänge
hinter einer einfachen Administrations-
Oberfläche.
FreeIPA-Komponenten
Das quelloffene FreeIPA [4] ist ein noch
relativ junges, derzeit vorwiegend von
Red Hat und Fedora unterstütztes Projekt,
das auf Basis des 389 Directory
Server [5] ein einfach verwaltbares
Identity-Policy-and-Audit-System (IPA)
zur Verfügung stellt. FreeIPA bietet
eine ähnliche Funktionalität wie Active
Directory, basiert aber vollständig
auf Open-Source-Projekten, die es zu
einem zentral via Web-Interface verwalteten
Framework zusammenführt.
Neben der LDAP-Implementation 389
Directory Server nutzt FreeIPA die
MIT-Implementation [2] von Kerberos
zur Authentifizierung. Ferner sind wie
bei Active Directory ein mittels BIND
realisierter Domain Name Server und
eine Zertifikatsverwaltung in Form des
Dogtag Certificate System [6] Teil der
Architektur. Dogtag liefert anfragenden
Clients passende X.509-Zertifikate
für die von FreeIPA angebotenen
Domänen-Dienste. Außerdem kann
der FreeIPA-Server als NTP-Server in
der von ihm zur Verfügung gestellten
beziehungsweise kontrollierten Domäne
fungieren, obwohl sich auch
andere NTP-Server einbinden lassen.
Ein NTP-Service ist für jeden Domänen-
Controller Pflicht, denn nur mit einer
Domänen-weit synchronen Systemzeit
funktioniert die Kerberos-Authentifizierung
korrekt (Abbildung 1).
FreeIPA stellt eine Reihe von Funktionen
zur Implementation eines Linuxbasierten
Domänen-Controllers zur
Verfügung, der sämtliche Identity- und
Policy-Daten an zentraler Stelle verwaltet.
Ferner erzeugt FreeIPA analog
zu einer Domäne im Active Directory
eine (Kerberos-)Domäne für Linux-
Clients. Darüber hinaus versteht sich
FreeIPA auch in gewisser Hinsicht mit
einem bestehenden Active Directory.
So ist es mit FreeIPA möglich, eine Vertrauensstellung
zu einer bestehenden
Windows-Domäne aufzubauen und
Accounts aus einem Active Directory
zu replizieren, sodass sich diese dann
ebenfalls in einer FreeIPA-Domäne
nutzen lassen. Im ersten Fall lassen sich
die AD-Konten auch ohne Replikation
in der FreeIPA-Domäne verwenden.
Um die Ausfallsicherheit zu erhöhen
und die Skalierbarkeit zu verbessern,
lassen sich wie im AD mehrere FreeIPA-
Domänen-Controller betreiben, die sich
dann untereinander replizieren. Diese
Backup-Domänen-Controller heißen im
FreeIPA-Kontext Replica.
FreeIPA-Clients
Mit Fertigstellung der Installation von
FreeIPA auf einem FreeIPA-Domänen-
Controller stellt dieser den Clients
innerhalb der FreeIPA-Domäne zwei
elementare native Client-Anwendungen
SSSD [7] und Certmonger zur Verfügung.
Der System Security Services
Daemon kümmert sich um die Kommunikation
mit einem der im Backend
verfügbaren Identity- und Authentifizierungssysteme.
Das ist per Default
Free IPA, allerdings ist der SSS-Daemon
auch in der Lage, mit Active Directory,
LDAP oder direkt mit Kerberos zu
kommunizieren. Auf Frontend-Seite ist
der SSSD durch je eine PAM- und eine
NSS-Schnittstelle präsent. Ein Cache
hält die aktuellen Policy- und Identity-
Informationen im Speicher, um Authentifizierungsvorgänge
zu beschleunigen.
Ausgabe 01-2014 Admin www.admin-magazin.de

Security
FreeIPA
55
Damit kann sich ein Client auch dann
erfolgreich anmelden, wenn das Frontend
über keine aktive Verbindung zum
Backend verfügt.
Die zweite von FreeIPA nativ zur Verfügung
gestellte Anwendung ist Certmonger,
ein schlanker Daemon, der für ein
Erneuern der auf dem Client verwendeten
Zertifikate zuständig ist. Dieser
automatische Prozess erfordert kein
manuelles Eingreifen und kann verhindern,
dass Zertifikate unbeabsichtigt
ablaufen. Dieses und viele weitere
Details zu einem FreeIPA-Setup finden
sich in der Dokumentation im Fedora-
Wiki [8]. Dieser Artikel beschreibt im
Folgenden, wie man einen FreeIPA-Server
installiert und sich via Kerberos am
komfortablen Web-Interface anmeldet.
Abbildung 4: Manuelle Firefox-Konfiguration für Kerberos.
FreeIPA ausprobieren
FreeIPA liegt aktuell in der Version 3.3.3
vor und lässt sich am einfachsten mit
Fedora ausprobieren. Die Version 3.2
ist beispielsweise in den Paketquellen
von Fedara 19 enthalten – nach dem
Aktivieren des Repository »fedora‐updates‐testing«
auch in der aktuellen
Version 3.3.3. Optional gibt es den
Quellcode unter [9].
Zum Aufsetzen des FreeIPA-Servers
genügt es, das Paket »freeipa‐server«
zu installieren, was unter Fedora 19 das
Auflösen einer stattlichen Anzahl von
Abhängigkeiten nach sich zieht: rund
70 Pakete einschließlich »krb5«, »nsstools«,
»389‐ds‐base«, »certmonger«
und so weiter. Ein eigener DNS-Server
ist nicht zwingend erforderlich, weil
FreeIPA auch das Einbinden eines existierenden
DNS erlaubt. Will man selber
den Namensdienst betreiben, muss
man außerdem das LDAP-Backend-
Plugin für BIND in Form des Paketes
»bind‐dyndb‐ldap« installieren.
Zur Grundkonfiguration des FreeIPA-
Domänen-Controllers dient das Skript
»ipa‐server‐install«, das entweder interaktiv
eine Anzahl von Parametern abfragt
oder die Argumente als Parameter
erwartet, wie zum Beispiel »‐n« (Domain-Name)
, »‐r« (Realm-Name), »‐p«
(Master-Passwort) oder »‐a« (Admin-
Passwort). Ferner wird mit »‐setup‐dns«
bei Bedarf eine DNS-Zone generiert und
ein DNS-Server konfiguriert, was allerdings
erfordert, mit »‐forwarder« einen
externen DNS-Forwarder anzugeben
oder die Option »‐no‐forwarders« zu
verwenden.
Mit »‐U« (unmaintained) lässt sich auch
jede Nutzer-Interaktion unterdrücken,
was voraussetzt, alle benötigten Parameter
beim Aufruf zu übergeben. Das
Setup eines DNS kann allerdings auch
später mit »ipa‐dns‐install« erfolgen.
Ein Vorteil des eigenen DNS besteht
darin, dass dieser sowohl A- und
PTR-Records für sämtliche Domänen-
Mitglieder als auch Service-Records zur
Verfügung stellt. Clients haben dann
die Möglichkeit, den richtigen Kerberos-
beziehungsweise LDAP-Server über
ein DNS-Recovery zu ermitteln.
Im Beispiel kommt die interaktive Variante
zum Einsatz, bei der per Default
keine DNS-Konfiguration stattfindet.
Das Skript erzeugt und konfiguriert
eine Instanz des 389-DS, erzeugt
und konfiguriert ein KDC, richtet den
Apache-Webserver für den Zugriff auf
das Web-Interface ein, konfiguriert
den NTP-Daemon und eine Standalone-CA
für das Dogtag-Certificate-
Management-System. Im Anschluss an
die Frage, ob das System einen DNS
konfigurieren soll oder nicht, ist der
vollständige FQDN des FreeIPA-Servers
anzugeben. Gleiches gilt anschließend
für den Domain-Namen (ohne Host-
Teil) und den Kerberos-Realm, bei dem
sich ebenfalls in der Regel der Default-
Vorschlag übernehmen lässt.
Service-Vielfalt
Nach erfolgreicher Installation zeigt
das Skript eine Zusammenfassung
der konfigurierten Ports für das Web-
Interface (HTTP 80, HTTPS 443), 389-DS
(LDAP 389, LDAPS 636) und Kerberos
(88, 464) sowie der benötigten und konfigurierten
UDP-Ports an.
FreeIPA lässt sich wahlweise vollständig
über das Kommandozeilenwerkzeug
»ipa« oder über das Web-Interface
administrieren.
Das FreeIPA-Web-Interface
Nach dem Abschließen des Installationsskriptes
sollte sich die Login-Seite
des Web-Interfaces zeigen und ein
Login mit dem IPA-Admin-Namen
nebst gewählten Passworts von jedem
beliebigen Client aus prinzipiell möglich
sein. Allerdings ist die Username-/​
Passwort-Methode nur für Testzwecke
sinnvoll, weil sie lediglich via Basic
Authentication von außerhalb des Kerberos-Realm
erfolgt. Das ist auch als
Fallback-Lösung tauglich, etwa wenn
sich der FreeIPA-Admin zum Beispiel
von einem Client anmeldet, der nicht
zur FreeIPA-Domäne gehört. Für ein
Kerberos-Login muss sich der Admin
zunächst ein Kerberos-Ticket besorgen,
was am schnellsten mit »kinit admin«
funktioniert: Die benötigten Informationen
zum Konfigurieren des Kerberos-
Realm in Firefox liefert der Link »configured«,
der mit einem weiteren Klick
auf »Use Firefox Configuration Page«
die benötigten Konfigurations-Optionen
zeigt (Abbildung 2). Hier importiert
der Admin zunächst das benötigte
Zertifikat (Abbildung 3) und installiert
dann die Firefox-Kerberos-Extension.
Mit einem Klick auf »Configure Browser«
sollte es dann gelingen, Firefox
automatisch für Kerberos zu konfigurieren.
Das funktioniert auch manuell.
Hierzu muss der Admin in der Firefox-
Konfiguration (»about:config«) den
Domain-Namen bei »network.negotiate‐auth.trusted‐uris«
und »network.
negotiate‐auth.delegation‐uris« eintragen
sowie »network.negotiate‐auth.
using‐native‐gsslib« auf „true“ setzen
(Abbildung 4).
www.admin-magazin.de
Admin
Ausgabe 01-2014

56
Security
FreeIPA
Abbildung 5: Erste Schritte im komfortablen Web-Interface.
Abbildung 6: FreeIPA beherrscht nicht nur LDAP und DNS.
Ab jetzt kann die weitere Konfiguration
im Web-Interface erfolgen. Ein Klick auf
den »admin«-Nutzer zeigt zum Beispiel
die Account-Details (Abbildung 5).
Danach lässt sich im Reiter »Identity«
im Menü »Users« mit »Add« ein neuer
Benutzer anlegen. Auf der Kommandozeile
geht das mit »ipa user‐add tdrilling
‐‐first Thomas ‐last Drilling«.
Neue Hosts legt man mit dem Link
»Add« im Menü »Identity / Hosts« an.
Ferner lassen sich neben LDAP, DNS
und HTTPD unter »Identity / Services«
innerhalb der FreeIPA-Domäne mit
»Add« weitere Services unter die Kontrolle
von FreeIPA bringen und mit einer
Kerberos-Authentifizierung verknüpfen
(Abbildung 6).
Abbildung 7: FreeIPA verfügt über eine rollenbasierte Berechtigungssteuerung.
Wie es weiter geht
Fedora-Clients dazu zu bewegen, sich
an einer Kerberos-Domäne anzumelden,
zusätzlich noch PAM auf den
Clients zu konfigurieren und die Home-
Verzeichnisse automatisch einzubinden,
ist nicht weniger aufwendig als
das Aufsetzen des FreeIPA-Servers und
deshalb einem künftigen Artikel vorbehalten.
Das gilt auch für die Zusammenarbeit
mit einem Active Directory.
Es sei aber darauf hingewiesen, dass
das FreeIPA-Projekt auch eine Client-
Software beinhaltet, die durch Installieren
des Paketes »freeipa‐client« auf den
gewünschten Linux/​Fedora/​Red Hatoder
CentOS-Arbeitsplatz gelangt und
analog zum Server mit dem CLI-Tool
»ipa‐client‐install« installiert wird. Die
damit einhergehende Konfiguration erstreckt
sich auf das Anpassen der NSSund
PAM-Subsysteme auf dem Client
und der dortigen SSSD-, SSH- und
NTP-Konfiguration. Außerdem wird der
zuständige Kerberos-Host-Eintrag in
der »/etc/krb5« gesetzt
und das CA-Zertifikat
des FreeIPA-Servers
übertragen.
Weitere CLI-Tools
Die oben gezeigte
Basis-Installation geht
stillschweigend davon
aus, dass FreeIPA mit
einer neu eingerichteten
und eigenständigen
Root-CA arbeitet.
Es ist im Zuge der
Installation aber mit der Option »‐external‐ca«
auch möglich, eine Third-
Party-CA einzubinden. Zum Installieren
von Replicas steht das Kommando
»ipa‐replica‐install« zur Verfügung. Das
erwartet allerdings das Übergeben
eines verschlüsselten Konfigurations-
Archives, das zuvor auf dem Master
erzeugt wird, wobei die Adresse und die
FQDN des Replica-Servers anzugeben
ist. Das auf dem Master einzugebende
Kommando lautet »ipa‐replica‐prepare
‐‐ip‐adress

Security
FreeIPA
57
onsdateien wieder in den Urzustand
versetzt.
Fazit
FreeIPA ist weit mehr als die Summe
der Teile 389-DS (LDAP), Kerberos und
BIND. In Linux- und Unix-Umgebungen
bietet es eine vollständig Domänenbasierte
Netzwerkverwaltung einschließlich
Identity-Management nach
dem Vorbild eines Active Directory oder
Novell eDirectory. Mit Vertrauensstellungen
zum Active Directory lassen sich
auch heterogene Strukturen verwalten,
wobei alle Bausteine wie ein Räderwerk
zusammenarbeiten. Derartige
Szenarien sind zwar auch im Unix-
Umfeld nicht unbedingt revolutionär
(Stichwort NIS) und LDAP lässt sich theoretisch
sogar ohne Kerberos für eine
Authentifizierung verwenden. FreeIPA
funktioniert aber als Framework aufeinander
abgestimmter Komponenten.
Das erlaubt den Aufbau eines umfassenden
Identity- und Infrastruktur-Management-Systems,
das einen zentral
verwalteten Betrieb sämtlicher Rechner
und Dienste in einer FreeIPA-Domäne
über eine webbasierte Administrationsoberfläche
ermöglicht.
FreeIPA ist allerdings derzeit vorrangig
für den Betrieb im Red-Hat-Umfeld ausgelegt.
So enthält ein FreeIPA-Benutzerkonto
beispielsweise unter anderem
auch Informationen über die SELinux-
Rolle, die der betreffende Nutzer beim
Zugriff auf eine bestimmte Ressource
erhält – eine Möglichkeit, die ein manuell
konfiguriertes LDAP-basiertes
Login nicht bieten könnte. Es lohnt
sich daher, sich intensiver mit FreeIPA
auseinanderzusetzen, denn das freie
Identity-Policy-and-Audit-System wird
eine zentrale Rolle in der kommenden
Version von Red Hat Enterprise Linux 7
spielen und damit Vertrauensstellungen
zu einem Active Directory erlauben.
(ofr) n
n Info
n Autor
Weiterführende Links und
Informationen zu diesem
Artikel finden Sie unter:
www.admin-magazin.de/qr/31309
Thomas Drilling ist seit mehr als zehn Jahren hauptberuflich
als freier Journalist und Redakteur für Wissenschafts-
und IT-Magazine tätig. Er selbst und das
Team seines Redaktionsbüros verfassen regelmässig
Beiträge zu den Themen Open Source, Linux, Server,
IT-Administration und Mac OS X. Außerdem arbeitet
Thomas Drilling als Buchautor und Verleger, berät
als IT-Consultant kleine und mittlere Unternehmen
und hält Vorträge zu Linux, Open Source und IT-
Sicherheit.

58
Security
Crypto-Dateisysteme
alexmit, 123RF
Verschlüsselung von Block-Devices
In den Safe
Verschlüsselung ist nach wie vor das wirksamste Mittel gegen fremde Blicke auf eigene Daten. Um den
kompletten Datenträger kryptografisch zu schützen, gibt es mit Linux einige Möglichkeiten. Jeff Layton
Für die Verschlüsselung von Daten
gibt es prinzipiell zwei Möglichkeiten:
Hardware-basiert oder rein in Software.
Beide Lösungen lassen sich auch kombinieren,
aber das wäre wohl zuviel des
Guten – angesichts des aktuellen Zeitgeists
vielleicht aber auch nicht.
Hardware-basierte Verschlüsselung
erfordert spezielle Hardware, etwa
eine Self Encrypting Disk (SED). Die
Idee dahinter ist einfach: Der Hersteller
nimmt ein normales Laufwerk, versieht
es mit einem Crypto-Prozessor sowie
Authentifizierungsmechanismen in der
Firmware, und fertig ist das SED.
Das bringt dem Anwender einige Vorteile:
So ist die Verschlüsselung immer
eingeschaltet, es werden also stets
nur verschlüsselte Daten gespeichert.
Die Authentifizierung ist unabhängig
vom Betriebssystem. Man muss sich
nicht um die Verwaltung der Schlüssel
kümmern, die gleichzeitig nie die
Hardware verlassen. Schließlich ist
auch die Performance sehr gut, da die
Verschlüsselung und Entschlüsselung
in Hardware ablaufen. Typischerweise
wird für solche Lösungen AES (Advanced
Encryption Standard) mit 128 oder
256 Bit verwendet, von dem zumindest
Letzteres ziemlich guten Schutz bietet.
Im praktischen Einsatz sind SEDs oft
ein bisschen umständlich, weil man
sich zum Beispiel erst authentifizieren
muss, bevor das Betriebssystem von
der Platte booten kann. Wenn man also
in einem Netzwerk auf Servern SEDs
einsetzt, können Reboots ziemlich umständlich
werden. Auch SED-Lösungen
sind nicht völlig immun gegen Angriffe,
die meisten erfordern aber physischen
Zugriff auf die Hardware.
Dateien verschlüsselt
Bei Software-Ansätzen gibt es drei
Optionen, Daten zu verschlüsseln:
einzelne Dateien, Verzeichnisse und
Dateisysteme oder komplette physische
Datenträger. Dateiverschlüsselung
ist ziemlich einfach und mit diversen
Tools zu bewerkstelligen, etwa Bcrypt,
Ncrypt und 7-Zip, die Dateien komprimieren
und auf Wunsch mit AES-256
verschlüsseln. Das am weitesten verbreitete
Tool ist vermutlich GnuPG, das
Teil jeder Linux-Distribution ist.
Verzeichnisse beziehungsweise Dateisysteme
werden meist über sogenannte
Stacked Filesystems verschlüsselt.
Ansätze wie EncFS und eCryptFS
implementieren einen zusätzlichen
Layer über die eigentlich verschüsselten
Daten, der dem Anwender eine unverschlüsselte
Sicht der Dinge bietet.
Verschlüsselung auf Datei- oder Dateisystemebene
bietet die größte Flexibilität,
aber eine Festplatte komplett zu
verschlüsseln, besitzt ebenso Vorteile.
Die dabei eingesetzte Block-Verschlüsselung
macht aus den Daten eine
einzige verschlüsselte Einheit. Ist die
Verschlüsselung aktiviert, verwendet
man das Block-Device wie üblich und
legt etwa ein Dateisystem darauf an.
Damit ist das Dateisystem automatisch
auch verschlüsselt.
Der große Vorteil dieses Ansatzes liegt
darin, dass die Verschlüsselung alle Da-
Ausgabe 01-2014 Admin www.admin-magazin.de

Security
Crypto-Dateisysteme
59
Passphrase ein. Man
sollte sich dazu etwas
Gutes ausdenken, was
man gleichzeitig im
Kopf behalten kann,
aber für Angreifer
schwer zu erraten ist,
also am besten keine
bekannten Zitate oder
Ähnliches.
Der nächste Schritt
besteht darin, das
Mapping für das Volume
einzurichten und
sich mit dem Deviceten
auf dem Device betrifft. Als Administrator
muss man sie also nur einmal
konfigurieren, damit sie allen Benutzern
zugutekommt. Block-Verschlüsselung
bedeutet, dass nicht nur der Datei-
Inhalt verschlüsselt wird, sondern auch
Datei- und Verzeichnisnamen, freier
Speicherplatz und Metadaten.
Im weiteren Verlauf dieses Artikels geht
es darum, mit Linux-Tools Block-Verschlüsselung
für Devices zu implementieren.
Wer das mit den eigenen Daten
nachvollziehen möchte, sollte aber daran
denken: Wer seinen Schlüssel oder
die Passphrase vergisst, kann Abschied
von allen auf der verschlüsselten Platte
gespeicherten Daten nehmen!
DMCrypt
Der Device-Mapper ist eine der wichtigsten
Schaltstellen im Linux-Kernel,
der es zum Beispiel ermöglicht, ein
Block-Device auf ein anderes abzubilden.
DMCrypt [1] ist Teil dieses
Frameworks und verwendet die
kryptografischen Funktionen der
Crypto-API im Linux-Kernel [2]. Es ist
ein sogenanntes Device-Target, das
sich auf andere Transformationen des
Device-Mappers packen lässt. Dank der
Flexibilität des Device-Mappers ist es
möglich, DMCrypt sozusagen unterhalb
wie auch oberhalb von LVM-Devices
zu nutzen. Damit können komplette
Disks, einzelne Partitionen, aber auch
Software-RAIDs mit dieser Technologie
verschlüsselt werden.
Administratoren können das Tool »dmsetup«
verwenden, um das gewünschte
Device-Mapping einzurichten. Ein Beispiel
dafür ist auf der Konfigurationsseite
der DMCrypt-Homepage zu sehen.
Allerdings ist der Einsatz des Tools
relativ komplex und erfordert einiges
an Wissen zum Device-Mapper. Als Alternative
verwenden deshalb viele Administratoren
das Programm »cryptsetup«,
das DMCrypt zusammen mit LUKS
(Linux Unified Key Setup) verwendet.
LUKS [3] ist der Standard für die Festplattenverschlüsselung
unter Linux und
bietet ein Standardformat dafür, das
das Schlüssel-Management erheblich
vereinfacht: Alle nötigen Informationen
stecken im Partitions-Header.
Zum Test haben wir eine Intel X25-E
SLC SSD (64 GByte) mit einer einzigen
Partition versehen, die »/dev/sdb1«
heißt. Die Konfiguration findet mit
»cryptsetup« statt. Der erste Schritt
konfiguriert die LUKS-Partition (Listing
1). Dieser Befehl initialisiert die Volumes
und liest die
n Listing 1: LUKS-Partition konfigurieren
Mapper vertraut zu machen (Listing 2).
Für das Mapping muss man bereits die
Passphrase eingeben. Im Beispiel heißt
der Mapper »data«, aber es ist natürlich
auch jeder andere Name möglich. Der
zweite Befehl zeigt das Mapping, das im
Beispiel »dm-0« heißt. Der dritte Aufruf
gibt den Status des gemappten Volumes
aus, einschließlich des Volumes,
des Verschlüsselungsalgorithmus, der
Schlüssellänge, der Anzahl Sektoren
und des Mode. Auf Wunsch gibt der
n Listing 2: Volume-Mapping
[root@test8 ~]# cryptsetup ‐y ‐v luksFormat /dev/
sdb1
WARNING!
========
This will overwrite data on /dev/sdb1 irrevocably.
Are you sure? (Type uppercase yes): YES
Enter LUKS passphrase:
Verify passphrase:
Command successful.
[root@test8 ~]# cryptsetup luksOpen /dev/sdb1 data
Enter passphrase for /dev/sdb1:
[root@test8 ~]# ls ‐l /dev/mapper/data
lrwxrwxrwx. 1 root root 7 Sep 28 13:17 /dev/mapper/data ‐> ../dm‐0
[root@test8 ~]# cryptsetup ‐v status data
/dev/mapper/data is active.
type: LUKS1
cipher: aes‐cbc‐essiv:sha256
keysize: 256 bits
device: /dev/sdb1
offset: 4096 sectors
size: 125029736 sectors
mode: read/write
Command successful.
n Listing 3: Dump des LUKS-Header
[root@test8 ~]# cryptsetup luksDump /dev/sdb1
LUKS header information for /dev/sdb1
Version: 1
Cipher name: aes
Cipher mode: cbc‐essiv:sha256
Hash spec: sha1
Payload offset: 4096
MK bits: 256
MK digest: 40 18 71 8f 97 00 9b 83 4f 9b 32 79 31 8d da 74 c8 35
53 f5
MK salt: 84 12 5d dc b8 02 73 fd f3 e0 65 bf 17 ba 40 cb
92 2d e6 7a 50 6f 97 07 33 12 76 92 53 a7 a1 a2
MK iterations: 35750
UUID:
648accb3‐19ce‐4da7‐8fc6‐43ed1dd4a908
Key Slot 0: ENABLED
Iterations: 143012
Salt:
4a 03 0c dd 17 b9 2c fd 3d 39 1e d9
1b 3f c5 33
c7 07 95 bc 46 d9 76 c9 a6 ed a6 fd
19 a1 63 ad
Key material offset: 8
AF stripes: 4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
www.admin-magazin.de
Admin
Ausgabe 01-2014

60
Security
Crypto-Dateisysteme
n Listing 4: Volume initialisieren
[root@test8 ~]# dd if=/dev/zero of=/dev/mapper/data
dd: writing to `/dev/mapper/data': No space left on
device
125029737+0 records in
125029736+0 records out
64015224832 bytes (64 GB) copied, 2761.06 s, 23.2 MB/s
n Listing 5: Dateisystem anlegen
[root@test8 ~]# mkfs.ext4 /dev/mapper/data
mke2fs 1.41.12 (17‐May‐2010)
Filesystem label=
OS type: Linux
Block size=4096 (log=2)
Fragment size=4096 (log=2)
Stride=0 blocks, Stripe width=0 blocks
3907584 inodes, 15628717 blocks
781435 blocks (5.00%) reserved for the super user
....
n Listing 6: Mounten des Dateisystems
[root@test8 ~]# mkdir /data
[root@test8 ~]# mount /dev/mapper/data /data
[root@test8 ~]# df ‐h
Filesystem
Size Used Avail Use% Mounted on
/dev/sda3 97G 4.8G 87G 6% /
tmpfs 3.6G 512K 3.6G 1% /dev/shm
/dev/sda1 485M 30M 430M 7% /boot
/dev/sda5 355G 24G 313G 7% /home
/dev/mapper/data 59G 180M 56G 1% /data
n Listing 7: Mapping und Volume
[root@test8 src]# /usr/bin/truecrypt
‐‐volume‐type=normal ‐c /dev/sdb1
Encryption algorithm:
1) AES
2) Serpent
3) Twofish
4) AES‐Twofish
5) AES‐Twofish‐Serpent
6) Serpent‐AES
7) Serpent‐Twofish‐AES
8) Twofish‐Serpent
Select [1]: 1
Hash algorithm:
1) RIPEMD‐160
2) SHA‐512
3) Whirlpool
Select [1]: 1
Filesystem:
1) None
2) FAT
Befehl »cryptsetup« einen kompletten
Dump des LUKS-Header aus (Listing 3).
Jetzt ist im Prinzip fast alles vorbereitet,
um das Dateisystem anzulegen,
aber erst wird noch das Volume initialisiert,
indem man es mit Nullen füllt
(Listing 4). Weil wegen der Verschlüsselung
alle Daten transformiert werden,
landen im Endeffekt zufällige Werte auf
der Festplatte. Jetzt legt ein Befehl wie
in Listing 5 das Dateisystem an.
Nach dem Mounten (Listing 6) können
Anwender das Dateisystem wie gewohnt
verwenden. Alle Dateien werden
automatisch verschlüsselt. Beim Aushängen
des Filesystems gibt es allerdings
einen zusätzlichen Schritt:
# umount /data
# cryptsetup luksClose data
Ohne den letzten Befehl ist es weiterhin
möglich, das Dateisystem ohne die Eingabe
der Passphrase zu mounten. Nach
einem »luksClose« führt ein Mount-
Versuch dagegen – wie gewünscht – zu
einer Fehlermeldung: Das Dateisystem
kann nicht gefunden werden.
Truecrypt
Bei Truecrypt [4] handelt es sich um
ein sehr beliebtes Tool, das unter
Linux, Windows und OS X komplette
Block-Devices verschlüsselt. Die Daten
3) Linux Ext2
4) Linux Ext3
5) Linux Ext4
Select [2]: 5
Enter password:
Re‐enter password:
Enter keyfile path [none]: none
Please type at least 320 randomly chosen
characters and then press Enter:
Characters remaining: 290
Characters remaining: 290
Characters remaining: 181
Characters remaining: 139
Characters remaining: 83
Characters remaining: 47
Characters remaining: 24
Done: 100.000% Speed: 193 MB/s Left: 0 s
The TrueCrypt volume has been successfully
created.
werden dabei ebenfalls verschlüsselt,
bevor sie auf die Festplatte gelangen.
Das Programm bietet eine ganze
Reihe interessanter Features, darunter
Support für Hardware-beschleunigte
Verschlüsselung mit Intel-AES-NI
und Beschleunigung durch die Nutzung
mehrerer Prozessorkerne. Eine
Reihe weiterer Optimierungen wie
Read-​Write-Pipelining sorgen für gute
Performance des Systems. Selbst die
Boot-Partition eines Systems kann mit
Truecrypt verschlüsselt werden. Das
Ganze bekommt man sogar kostenlos
mit einer Open-Source-Lizenz.
GUI optional
Truecrypt gibt es mit grafischem
Frontend (Abbildung 1) oder als Kommandozeilenprogramm,
wobei selbst
Letzteres sehr einfach zu benutzen
ist. Nach der Installation steht auf der
Kommandozeile das Tool »truecrypt«
zur Verfügung, mit dem man zuerst das
Mapping und das Volume vorbereitet.
Das umfasst einige Schritte, die in Listing
7 zu sehen sind: Auswahl der Verschlüsselungs-
und Hash-Algorithmen,
des eingesetzten Dateisystems, der
Passphrase und des Keyfiles [5].
Das Keyfile ist optional, aber es verhilft
beispielsweise zu besserem Schutz
gegen Brute-Force-Attacken. Außerdem
können damit mehrere Benutzer mit
unterschiedlichen Passwörter ein Volume
mounten. Unabhängig davon verlangt
das Truecrypt-Setup die Eingabe
von 320 zufälligen Buchstaben. Dann
legt es das Dateisystem an, das sich mit
»truecrypt« mounten lässt.
Truecrypt wickelt das Mapping und das
Mounten im Gegensatz zu DMCrypt in
einem Schritt ab. Das ist kein großer
Unterschied, aber trotzdem macht es
die Benutzung von Truecrypt etwas einfacher.
Auch für das Unmounten genügt
der »truecrypt«-Befehl.
Faustregeln
DMCrypt und TrueCrypt funktionieren
auf die gleiche Weise: Sie verschlüsseln
alle Daten auf einem verschlüsselten
Dateisystem, beispielsweise »/home«,
automatisch. Solange es eingehängt
und entschlüsselt ist, haben alle Benutzer
darauf Zugriff. Erst wenn das
Ausgabe 01-2014 Admin www.admin-magazin.de

Security
Crypto-Dateisysteme
61
Abbildung 1: Truecrypt gibt es für Linux, Windows und
OS X als Kommandozeilenprogramm oder mit GUI.
Dateisystem ausgehängt wird, beispielsweise
beim Systemneustart, ist
das Passwort wieder vonnöten.
Andere Wartungsarbeiten funktionieren
bei den verschlüsselten Dateisystemen
genauso wie bei unverschlüsselten,
beispielsweise der Dateisystem-Check
mit »fsck«
und Snapshot-Backups.
Die Sicherheitskopie bleibt
ebenfalls verschlüsselt,
sodass die Wiederherstellung
dasselbe Entschlüsselungsverfahren
voraussetzt.
Abschließend stellt sich
die Frage, an welcher
Stelle die Verschlüsselung
der eigenen Daten am
besten stattfindet: Bei der
Hardware – wie bei selbstverschlüsselnden
Geräten
(SEDs) –, direkt auf der
Ebene des Dateisystems
oder für einzelne Verzeichnisse oder
Dateien?
SEDs und Dateisystemverschlüsselung
auf Geräteebene mit DMCrypt oder
Truecrypt bieten sich an, wenn ein großer
Teil der Daten verschlüsselt werden
soll. In der Handhabung unterscheiden
sich die beiden Techniken kaum; sie
erfordern beim Einhängen die Eingabe
eines Passworts zur Entschlüsselung
und sind anschließend transparent
benutzbar.
Genügt hingegen die Verschlüsselung
einer oder mehrerer einzelner Dateien,
bietet sich die Verwendung eines passwortgeschützten
ZIP-Archivs oder von
GnuPG an. Für ganze Verzeichnisbäume
hingegen empfehlen sich verschlüsselte
Userspace-Dateisysteme wie EncFS [6]
oder eCryptFS [7], das beispielsweise
Ubuntu für verschlüsselte Benutzerverzeichnisse
einsetzt. (csc/​ofr) n
n Info
Weiterführende Links und
Informationen zu diesem
Artikel finden Sie unter:
www.admin-magazin.de/qr/30808

Peter Bernik, 123RF
OpenStack einfach deployen mit Puppet und Kickstack
Startvorteil
OpenStack haftet der Ruf an, ein komplexes Konstrukt zu sein, für dessen Installation eine Unmenge an
Zeit draufgeht. Das muss nicht sein: Kickstack automatisiert die OpenStack-Installation und erleichtert
auch die Wartung. Martin Loschwitz
Regelmäßige ADMIN-Magazin-Leser
fanden vor einigen Monaten einen
Artikel, der sich ausführlich mit der
Frage beschäftigt hat, wie die Installation
von OpenStack funktioniert.
Eine Tatsache hat eben jener Artikel
unter Beweis gestellt: Die OpenStack-
Installation ist keine Kleinigkeit, wenn
man sie manuell absolvieren möchte.
Verschiedene Dienste sind dazu auf
eigene Server zu verteilen, falls kein Allin-One-Setup
gewünscht ist. Verschärft
wird das Problem dadurch, dass viele
Befehle im Rahmen eines Setups von
OpenStack wenig intuitiv sind und im
ersten Augenblick auch nur begrenzt
einleuchten. Wer mit Technologien
wie Open vSwitch noch nicht gearbeitet
hat, wird viele der Befehle bei der
Installation von OpenStack Neutron
überhaupt nur schwer nachvollziehen
können.
Manuelles Installieren war
gestern
Wer sich schon mal an einer manuellen
OpenStack-Installation versucht hat,
wird festgestellt haben, dass einige
Konfigurationsschritte über die Grenzen
der einzelnen OpenStack-Komponenten
hinweg identisch sind; man
führt also den gleichen Arbeitsschritt
mehrere Male aus. Wer jetzt an Automatisierung
denkt, liegt damit genauso
richtig wie die Admins, die sich die
manuelle Wartung einer kompletten
OpenStack-Installation so oder so nicht
antun wollen.
Genau das ist im Jahre 2013 angesichts
verschiedener Automatisierungswerkzeuge
auch ein legitimer Wunsch. Denn
gerade Cloud-Computing-Installationen
müssen ja massiv in die Breite
skalieren können – der perfekte Anwendungsfall
für die klassische System-
Automatisierung.
Kickstack ist ein Ansatz zur Lösung
dieses Problems: Es ermöglicht auf
Puppet-Grundlage die sinnvolle und effiziente
Administration von OpenStack-
Clouds. Wer innerhalb von 20 Minuten
eine eigene OpenStack-Cloud aufsetzen
will, ist hier genau an der richtigen
Stelle.
OpenStack-Automatisierung
für Ubuntu
Kickstack ist im Grunde eine Zusatzschicht,
die sich zwischen den Admin
und OpenStack legt. Es nutzt die Puppet-Module,
die bereits seit einiger Zeit
für sämtliche Core-Komponenten von
OpenStack existieren. Die Aufgabe, die
Kickstack übernimmt, ist die eigentliche
Automatisierung: Mit den normalen
Puppet-Modulen ließen sich die Dienste
zwar auch automatisiert installieren,
doch wäre dann wieder eine mühsame
Konfiguration verschiedener Parameter
in Puppet notwendig, sodass sich kaum
ein zeitlicher Vorteil ergäbe, besonders
nicht im direkten Vergleich mit der Installation
zu Fuß.
Kickstack räumt damit radikal auf: Es
kümmert sich um das Anlegen von
Daten wie Keystone-Benutzern automatisch,
sorgt dafür, dass sämtliche
Dienste der OpenStack-Umgebung
passwortgesichert mit ihrer Datenbank
kommunizieren und stellt auch sicher,
dass die OpenStack-Dienste auf den
ihnen vom Admin zuvor zugewiesenen
Hosts laufen. Aus einer Vielzahl von Parametern,
aus denen der Admin bei den
Puppet-Modulen wählen kann, filtert
Kickstack die wichtigsten Parameter
heraus und erledigt den Rest automatisch.
Dabei bedient es sich eines eigens eingeführten
Rollensystems, das verschiedenen
Maschinen einer OpenStack-Installation
eine eigene Rolle zuweist
– um die Motivation hinter diesem
Umstand zu verstehen, ist ein kleiner
Ausflug in die Ideen notwendig, die
OpenStack ausmachen.
Ausgabe 01-2014 Admin www.admin-magazin.de

Basics
Kickstack
63
Rollen und Dienste in
OpenStack
Wer in den letzten Monaten regelmäßig
die Berichterstattung dieser Zeitschrift
zum Thema OpenStack verfolgt hat,
der weiß: OpenStack ist nicht ein großes
Programm sondern eine Sammlung,
die aus verschiedenen Komponenten
besteht. Dieser Umstand ist von
elementarer Bedeutung, um die Funktionsweise
von Kickstack oder Packstack
zu verstehen. Denn um OpenStack
sinnvoll zu deployen, ist es notwendig,
in Rollen zu denken und nicht in einzelnen
Komponenten.
Die folgende Gegenüberstellung macht
das deutlich – aktuell setzt sich Open-
Stack aus neun Kernkomponenten
zusammen:
n Keystone, der Autentifizierungsdienst,
der die Benutzeranmeldung
und auch die Anmeldung der
Dienste untereinander ermöglicht.
n Horizon, das Dashboard, das erst in
Kombination mit einem Webserver
sinnvoll nutzbar ist.
n Nova , die Computing-Komponente,
die sich um das Starten, Stoppen
und das Steuern virtueller Maschinen
kümmert.
n Cinder, der Block-Storage-Dienst,
der virtuelle Maschinen innerhalb
von OpenStack mit virtuellem, persistenten
Block-Speicher versorgt.
n Glance, der Image-Dienst, der Abbilder
von Betriebssystemen sowohl
verwaltet als auch je nach Bedarf
an die Hypervisor-Knoten ausliefern
kann.
n Neutron, der Netzwerkdienst, der
sämtliche Aufgaben rund um Software
Defined Networking (SDN) in
OpenStack erledigt.
n Ceilometer, die Metering-Komponente,
die mit dem Release Havana
Einzug gefunden hat und das detaillierte
Aufzeichnen von Verkehrsdaten
ermöglicht.
n Heat, das für Orchestrierung innerhalb
einer OpenStack-Cloud sehr
nützlich ist und Admins viel Arbeit
abnimmt.
n Swift, die Object-Store-Komponente,
die in OpenStack-Clouds
einen mit Amazon S3 vergleichbaren
Speicher-Dienst anbietet.
Der Haken an der Sache ist, dass selbst
die genannten Komponenten keine einzelnen
Programme sind, sondern sich
wiederum in mehrere Module aufteilen.
Praktisch jeder Dienst in OpenStack
hat eine eigene API-Komponente, die
eine Restful-API exponiert und so dafür
sorgt, dass der Dienst überhaupt erst
per HTTP-Protokoll steuerbar wird. Aus
technischer Sicht kann es durchaus
sinnvoll sein, diese APIs auch in das
Internet zu exponieren. So macht es
beispielsweise Rackspace mit der eigenen
OpenStack-Cloud. Dann kommt es
allerdings zu einem Setup, bei dem die
einzelnen Module der Komponenten
auf verschiedene Systeme aufgeteilt
sind. Denn dort, wo die API-Komponenten
laufen, laufen nicht zwangsläufig
oder sinnvollerweise auch die anderen
Komponenten.
Eine weitere Fraktionierung findet statt,
wenn einzelne Teile einer OpenStack-
Komponente zwangsläufig auf mehrere
Systeme aufzuteilen sind. Der Dienst
»cinder‐volume« beispielsweise ist die
Schnittstelle, die VMs auf Hypervisor-
Systemen mit dem zugewiesenen
persistenten Speicher verbindet. Der
Dienst wird also auf den Hosts laufen,
wo der Platz auf den Platten zur Verfügung
steht. »cinder‐scheduler« wird
meist auf einem anderen Host laufen
– die Komponente koordiniert den
Zugriff auf mehrere Storage-Backends,
wenn diese konfiguriert sind. Und
dann gibt es noch die Dienste, die innerhalb
einer OpenStack-Installation
mehrere Male vorhanden sein müssen:
»nova‐compute«, das im Auftrag von
Nova virtuelle Maschinen startet, ist
dafür ein gutes Beispiel.
Rollen statt Programme
Offensichtlich wäre es nicht besonders
sinnvoll, die Dienste, die zu OpenStack
gehören, als einzelne Gruppen auf
verschiedene Rechner zu verteilen.
Kickstack nutzt deshalb einen anderen
Ansatz und geht davon aus, dass sich
innerhalb einer OpenStack-Installation
quasi ab Werk eine Vielzahl verschiedener
Rollen definieren lässt. Jede Rolle
ist durch eine spezifische Kombination
aus Diensten gekennzeichnet. Es
empfiehlt sich, das Gruppenschema
nachzuvollziehen, bevor die Arbeit mit
Kickstack losgeht, denn das Rollensystem
ist in Kickstack zentral. Die folgenden
Rollen kennt Kickstack ab Werk:
n Infrastructure Node: Dieses System
betreibt die Hilfsdienste für Open-
Stack: RabbitMQ sowie MySQL.
n API Node: Auf diesem Knoten laufen
zentral die API-Dienste sämtlicher
Komponenten.
n Network Node: Der Netzwerkknoten
betreibt die Neutron-Teile, die für
die DHCP- und L3-Verbindungen verantwortlich
sind und VMs so den Zugriff
auf die Außenwelt ermöglichen.
n Auth Node: Dieser Knoten betreibt
Keystone, den ID-Dienst, der quasi
so etwas wie der Wurzel-Service in
OpenStack ist – ohne ihn sind die
anderen Komponenten nicht sinnvoll
einzusetzen.
n Compute Node: Enthält im Wesentlichen
»nova‐api« und macht einen
Host, dem diese Puppet-Rolle zugewiesen
ist, zum Computing-Knoten,
n Kickstack versus Packstack
Kickstack ist nicht das einzige Werkzeug, das das
automatische Deployment von OpenStack mittels
Puppet ermöglicht. Red Hat arbeitet beispielsweise
zur gleichen Zeit an Packstack, das ganz ähnliche
Ziele verfolgt. Warum gibt es für diese Aufgabe zwei
unterschiedliche Tools?
Die Antwort auf diese Frage ist die klassische Open-
Source-Antwort: Es gibt mehr als einen Weg, etwas
zu tun. Im Falle von Packstack und Kickstack ergeben
sich obendrein merkliche Unterschiede hinsichtlich
der Funktionen. Denn Packstack ist zumindest augenblicklich
Red-Hat-spezifisch: Das Werkzeug steht
in enger Verbindung zu Red Hats eigener OpenStack-
Distribution namens RDO [1] und ist maßgeblich auf
dieses zugeschnitten.
Kickstack im Gegenzug setzt eher auf die klassische
Ubuntu-Umgebung, die auf der Ubuntu-LTS-Version
12.04 aufsetzt und jeweils aus dem Repository des
Ubuntu-Cloud-Teams mit den neuesten OpenStack-
Versionen versorgt wird. Ob und wenn ja wann eines
der beiden Werkzeuge dahingehend erweitert wird,
neben der angestammten Distribution auch andere
Systeme zu unterstützen, steht derzeit in den Sternen;
bis dahin tun Admins gut daran, das richtige
Werkzeug für die richtige Aufgabe auszuwählen. Am
Ende setzen Packstack und Kickstack ja eh auf die
gleichen Puppet-Module, die von denselben Entwicklern
gepflegt werden.
www.admin-magazin.de
Admin
Ausgabe 01-2014

64
Basics
Kickstack
Kommandozeilen-Clients für die
verschiedenen OpenStack-Dienste
installiert, also die Binaries wie
»glance« und »nova«. OpenStack
selbst nutzt im Hintergrund ohnehin
die Python-Bibliotheken. Die Client-
Rolle lässt sich sinnvoll auf dem
Knoten anwenden, der auch die API-
Rolle inne hat.
Abbildung 1: Ein Run des Puppet-Agents auf den eigentlichen Servern führt zur Anwendung der
festgelegten Regeln.
Abbildung 2: Die Modul-Liste vom Puppet-Master
macht deutlich, dass Kickstack maßgeblich auf die
OpenStack-Puppet-Module setzt.
der virtuelle Maschinen betreiben
kann.
n Dashboard Node: Der Dashboard-
Knoten betreibt einen Apache mit
Dashboard. Er ist von den API-Diensten
getrennt.
n Metering Node: Der Knoten betreibt
jene Dienste, die direkt zur Metering-
Applikation Cinder gehören (ausgenommen
ist die API).
n Orchestration Node: Die Rolle
enthält alle benötigten Dienste für
OpenStack Heat mit Ausnahme der
API.
n Controller Node: Diese Rolle umfasst
verschiedene Dienste für den
internen OpenStack-Gebrauch, die
sich aus Teilen verschiedener Services
zusammensetzen; sie ist üblicherweise
auf dem gleichen Host
beheimatet, wie die Infrastructure-
Rolle.
n Storage Node: Enthält die Komponenten,
die notwendig sind, damit
ein Host seinen lokalen Speicher für
Cinder zur Verfügung stellen kann,
im Wesentlichen also »cinder‐volume«.
n Client Node: Die Besonderheit
dieser Rolle ist, dass sie sämtliche
Freies Kombinieren
Aus den bezeichneten Node-Rollen
lässt sich in Kickstack eine Mixtur verschiedener
Knoten erstellen, wobei
sich alle Rollen beliebig kombinieren
lassen. Auch sogenannte All-in-One-Installationen
sind dabei durchaus möglich;
dabei würden einem einzelnen
Knoten sämtliche Rollen auf einmal
zugewiesen. Sehr praxisbezogen wäre
das allerdings nicht, denn der Trend
geht durchaus dorthin, in OpenStack
verschiedene Knoten-Typen zu definieren,
die anschließend spezifische
Aufgaben wahrnehmen.
Und noch ein Hinweis: Verschiedene
Rollen lassen sich natürlich auch mehreren
Knoten gleichzeitig zuweisen; es
wäre unsinnig, wäre nur ein Hypervisor-
Knoten möglich. Die »Compute«-Rolle
lässt sich deshalb einer beliebigen Zahl
von Knoten zuweisen.
Kickstack-Installation
Die grundsätzliche Funktionsweise von
Kickstack basiert elementar auf diesen
definierten Rollen. Im Web-Interface
des Puppet-Masters fügt der Admin die
Knoten, die Kickstack verwalten soll,
der passenden Gruppe hinzu und weist
den einzelnen Knoten anschließend die
gewünschten Rollen auch per Web-Interface
zu. Auf dem Knoten selbst fehlt
dann bloß noch der Agent für Puppet,
der die definierte Knoten-Konfiguration
umsetzt (Abbildung 1). Damit dieser
Ablauf funktionieren kann, braucht
es aber erstmal eine funktionierende
Kickstack-Installation, und die wiederum
braucht zwangsläufig Puppet.
Eine passende
Laborumgebung
Wer das in diesem Artikel beschriebene
Beispiel-Setup nachbauen möchte,
braucht dafür keine Unmengen an
Ausgabe 01-2014 Admin www.admin-magazin.de

Basics
Kickstack
65
Hardware: Die vorgestellte Installation
passt problemlos in vier virtuelle Maschinen
auf Grundlage von Ubuntu in
der LTS-Version 12.04. Eine Maschine
stellt dabei den Puppet-Master, sie
heißt im Beispiel einfach »puppet«.
Die drei anderen Rechner, die auf die
Namen Alice, Bob und Charlie hören,
betreiben die eigentliche OpenStack-Installation.
Konkret nutzt dieses Beispiel
VMs, die per VirtualBox zur Verfügung
gestellt werden; weniger als ein Gigabyte
RAM sollte keiner der Maschinen
zur Verfügung stehen – natürlich gilt: Je
mehr RAM, desto besser.
Wer Blech zur Verfügung hat, kann ein
Setup dieser Art freilich auch auf echter
Hardware nachbauen und dann realitätsnah
OpenStack testen. Die einzige
Einschränkung dabei ist, dass Charlie in
einem solchen Szenario drei Netzwerkanschlüsse
haben sollte, Bob mindestens
zwei sowie Alice einen (diese Anforderung
hängt mit dem OpenStack-
Netzwerkdienst Neutron zusammen
und ist nicht Kickstack-spezifisch).
Abbildung 3: Das Puppet-Dashboard zeigt eine Übersicht über die Kickstack-Gruppe sowie deren
wichtigste Konfigurationsparameter und die beteiligten Knoten.
Schritt 1: Puppet-Master und
Puppet-Nodes
Um eine Kickstack-Installation wie im
Beispiel zu betreiben, sollte am Anfang
das Setup der Puppet-Infrastruktur
stehen. Das Beispiel setzt auf eine klassische
Puppet-Architektur aus einem
Master-Server und Clients auf, die von
eben jenem Master ihre Konfiguration
erhalten. Der Admin stellt für solch ein
Setup zunächst sicher, dass die Hosts
sich untereinander per funktionierendem
DNS erreichen und dass die Hostnamen
der Maschinen auch korrekt im
DNS eingetragen sind. Nach der Installation
empfiehlt es sich, die bei Ubuntu
nach der Puppet-Installation vorhandene
»/etc/puppet/puppet.conf« zu bearbeiten.
Dabei sollten Puppet-Reports
aktiviert und das Speichern der Puppet-Informationen
in eine Datenbank
aktiviert werden. Wichtig im Kickstack-
Kontext ist auch, »Exported Resources«
explizit einzuschalten. Der benötigte
Konfigurationsparameter dafür lautet
»storeconfigs=true«, allerdings weisen
die Puppet-Entwickler darauf hin, dass
neue Nutzer besser PuppetDB nutzen
sollten, die den gleichen Effekt produziert
und ebenfalls »Exported Resources«
unterstützt.
Ist der Puppet-Master hergerichtet,
folgen die eigentlichen Nodes; sie
benötigen ebenfalls eine »puppet.
conf«, die sie anweist, sich mit dem
Puppet-Master zu verbinden. Dann fehlen
noch die für Kickstack benötigten
OpenStack-Module: Diese finden sich
fast durchgehend auf PuppetForge, von
wo aus sie unmittelbar zu installieren
sind (Abbildung 2). Ausnahmen bilden
die Module für Neutron [2] und Open
vSwitch [3]. Ebenfalls ist das Modul für
Glance per Hand zu installieren, weil
die zu Redaktionsschluss auf Puppet-
Forge zur Verfügung stehende Version
einen lästigen Bug hatte. Das neue Modul
gibt es unter [4].
Schritt 2 und 3: Kickstack
Die jeweils aktuelle Version von
Kickstack finden Admins direkt auf
GitHub unter [5] oder in PuppetForge.
Sobald das Modul samt Abhängigkeiten
installiert ist, kann es losgehen.
Die vormals beschriebenen Node-
Rollen sind sinnvoll auf die Knoten,
die zur Verfügung stehen, zu verteilen.
Das Beispiel folgt einer eher konservativen
Aufteilung: Während Charlie der
Netzwerk-Knoten wird, der alle Teile
von Neutron außer der Neutron-API
betreibt, stellt Bob den Computing-
Knoten dar, der die entsprechende
Rolle hat. Alle anderen Rollen landen
auf Alice, die den Löwenanteil der Arbeit
verrichtet.
Das folgende Beispiel geht davon aus,
dass die einzelnen Knoten nach der
Installation von Kickstack auf dem
Puppet-Master bereits vom Admin zum
Teil der Puppet-Installation gemacht
worden sind. In diesem Falle tauchen
sie nach dem Admin-Login in Puppet-
Dashboard unter
»Nodes« auf.
Ein Klick auf
»Groups« oben
führt zur einzigen
angelegten Gruppe
mit dem Namen
»kickstack« – Knoten,
die im Rahmen
von Kickstack
Aufgaben in der
Cloud übernehmen,
sollten Mitglied
dieser Gruppe
sein (Abbildung
3). Ein Klick auf
»kickstack« gefolgt
Abbildung 4: Sind alle
Node-Rollen zugewiesen,
ist das über die Klassenübersicht
links im Puppet-
Dashboard erkenntlich.
www.admin-magazin.de
Admin
Ausgabe 01-2014

66
Basics
Kickstack
von einem weiteren Klick auf »Edit« bieten
die Möglichkeit, Knoten zur Gruppe
hinzuzufügen. Das Editier-Fenster für
die Gruppe bietet zudem Zugriff auf die
wichtigsten Einstellungen bezüglich
der OpenStack-Cloud: Soll beispielsweise
innerhalb von OpenStack vollvirtualisiert
werden (also nur mit Qemu,
aber ohne KVM), so ist der Eintrag im
Feld » kickstack_nova_compute_libvirt_type«
der richtige Ansatzpunkt
hierfür. Von großer Bedeutung sind
auch die Einträge für »kickstack_nic_
external«, » kickstack_nic_management«
und »kickstack_nic_data«: Sie
legen fest, auf welchen Netzwerk-Interfaces
welche Netzwerk-Typen liegen.
OpenStack kennt
n das Management-Netzwerk, das die
einzelnen Dienste auf den Knoten
direkt miteinander verbindet,
n das Data-Netzwerk, über das der
Traffic zwischen VMs wandert, die in
der Cloud laufen sowie
n das externe Netzwerk, das eine Verbindung
für die virtuellen Maschinen
mit der Außenwelt herstellt.
Wer Kickstack und OpenStack in virtuellen
Maschinen ausprobiert, legt die
Netzwerk-Interfaces der VMs sinnvollerweise
gleich so an, dass sie diesem
Schema entsprechen; bei Blech sind die
Abbildung 5: Nach der Installation von OpenStack per Kickstack ist es nötig, für den
»admin«-Tenant ein Netzwerk anzulegen.
Abbildung 6: Gut zu erkennen sind die OpenStack-Dienste, deren Konfiguration von Kickstack
stammt.
Parameter der Kickstack-Gruppe unter
Umständen anzupassen. Falls sich die
Werte nicht einheitlich für alle Knoten
anpassen lassen, weil zum Beispiel der
Netzwerkknoten eine andere NIC für
das Management-Netzwerk als der API-
Knoten nutzt, lassen sich die Parameter
im nächsten Schritt übrigens auch pro
Knoten anpassen. Besonders wichtig
dabei ist der Parameter »kickstack_cinder_lvm_pv«
für den Knoten, auf dem
die »Storage«-Rolle landet – im Beispiel
also Alice: Kickstack macht aus dem
dort angegebenen Device automatisch
ein Logical Volume in LVM, um es danach
für Cinder zu nutzen. Passt die
Konfiguration der Kickstack-Gruppe,
geht es weiter mit den Rollen.
Schritt 4: Rollen zuweisen
Ein Klick auf »Nodes« im Puppet-Dashboard
führt direkt zu den einzelnen Einträgen
der Knoten, die Puppet kennt.
Ein Klick auf einen Knotennamen sowie
ein anschließender Klick auf »Edit« führen
zum Konfigurationsdialog dieses
Knotens.
Die vorletzte Checkbox unten markiert
die Klassen, zu der ein Knoten sich
zugehörig fühlt: Per Auto-Completion
lassen sich hier die entsprechenden
Rollen zuweisen. Für Charlie ist das
»kickstack::node::network« und für
Bob »kickstack::node::compute«; alle
anderen Rollen landen bei Alice. Am
Ende steht eine Reihe von Aufrufen des
Puppet-Agents auf Alice, Bob sowie
Charlie an. Falls die Puppet-Agents dort
nicht ohnehin im Daemon-Modus und
dauerhaft laufen, müssen gegebenenfalls
mehrere Puppet-Runs hintereinander
folgen, um alle Rollen sinnvoll
anzuwenden (zur Erinnerung: Puppet
versteht Abhängigkeiten, führt also pro
Ausgabe 01-2014 Admin www.admin-magazin.de

Basics
Kickstack
67
Puppet-Run nur die Aufgaben aus, die
nicht von einer unerfüllten Abhängigkeit
betroffen sind).
Das war’s: Nach den abschließenden
Puppet-Runs findet sich im Dashboard
auf der linken Seite einerseits die Information,
dass nun jede Rolle innerhalb
der Kickstack-Klasse einmal vergeben
ist (Abbildung 4). Und OpenStack selbst
läuft bereits: Das OpenStack-Dashboard
ist unter »http://IP-des-Dashboard‐Knotens/
horizon« zu finden, im
konkreten Beispiel von Alice also unter
»http:// 192. 168. 122. 111/ horizon«. Die
für den Login benötigten Zugangsdaten
finden sich im File »openstackrc«, das
auf dem Knoten mit der Auth-Rolle
in »/root« liegt. Eine Aufgabe nimmt
Kickstack dem Admin allerdings nicht
ab: Das Anlegen von Netzwerken in
Neutron – das lässt sich entweder per
Skript oder per Dashboard im Nachhinein
manuell erledigen. Gleiches gilt
für das Einspielen eines Images – zum
Testen empfiehlt sich CirrOS [6].
Fazit
Kickstack ist eine willkommene Abwechslung
für alle, die OpenStack
gerne ausprobieren möchten, aber die
aufwendige und sehr komplexe Installation
scheuen. Denn die weicht bei
Kickstack der Installation von Puppet
sowie der benötigten Kickstack-Module.
Tatsächlich lässt sich ein grundlegendes
Puppet-Setup bestehend
aus einem Master sowie mehreren
Puppet-Clients verhältnismäßig schnell
aufziehen. Obendrein ist die Konfiguration
der einzelnen Knoten zu Open-
Stack-Maschinen über das in Puppet
integrierte Dashboard deutlich komfortabler
als das manuelle Einrichten der
Dienste. Und wer seine OpenStack-Installation
später um zusätzliche Rechner
erweitern möchte, tut das ebenfalls im
GUI per Mausklick (Abbildung 6).
Wer OpenStack übrigens unter Nutzung
von Kickstack ausprobieren und
testen möchte, kann das auch auf
Grundlage fertiger VM-Abbilder tun, die
für VirtualBox unter [8] zur Verfügung
stehen. In diesen ist die Puppet-Master-
Client-Installation bereits fertig, sodass
direkt nach dem Starten der VMs alle
Kickstack-Funktionen zur Verfügung
stehen. Vom Importieren der Abbilder
bis zur fertigen kleinen OpenStack-
Cloud sind es auf aktuellen Rechnern
so gerade ein paar Minuten.
Allerdings ist für Kickstack das Ende der
Fahnenstange noch nicht erreicht, was
wünschenswerte Features angeht: Insbesondere
das Thema Hochverfügbarkeit
kommt bei der Lösung derzeit noch
zu kurz; das ist einerseits dem Umstand
geschuldet, dass das OpenStack-Projekt
selbst erst eine Vorstellung entwickeln
musste, wie es Hochverfügbarkeit
denn umsetzen wollte, und andererseits
auch dadurch zu erklären, dass
die typischen HA-Werkzeuge wie Pacemaker
derzeit eher schlecht als recht in
Puppet integriert sind. (jcb) n
n Info
n Autor
Weiterführende Links und
Informationen zu diesem
Artikel finden Sie unter:
www.admin-magazin.de/qr/31280
Martin Gerhard Loschwitz arbeitet als Principal
Consultant bei hastexo. Er beschäftigt sich dort intensiv
mit den Themen HA, Distributed Storage und
OpenStack. In seiner Freizeit pflegt er Pacemaker für
Debian.
n Design-Entscheidung: Puppet oder Chef?
Die Frage, ob Setups lieber auf Puppet oder auf Chef setzen sollten, hat
mittlerweile die Qualität eines Glaubenskrieges erreicht. Ãhnlich hitzige
Debatten sind sonst nur mit den Ur-Admin-Themen zu erreichen – also
Vi versus Emacs, Ubuntu versus Debian und Java oder kein Java. Im
Falle von Kickstack hat Florian Haas Puppet gewählt. Auch Packstack,
das Red-Hat-Gegenstück zu Kickstack, setzt auf Puppet. Warum setzen
die OpenStack-Entwickler und mit OpenStack arbeitende Firmen offensichtlich
auf Puppet und vernachlässigen Chef?
Am grundsätzlichen Design beider Lösungen kann es kaum liegen, denn
zwar arbeiten Chef und Puppet unter der Haube anders, erreichen aber
letztlich das gleiche Ziel. Beide Systeme setzen auf eine Architektur aus
Servern und Clients, beide setzen auf eine eigene Syntax, wenn es darum
geht, Befehle zu definieren.
Die Arbeitsabläufe unter der Haube unterscheiden sich freilich dahingehend,
dass Puppet sich selbst um die Abhängigkeiten einzelner Arbeitsschritte
kümmern kann, während Chef diese Funktion nicht beherrscht.
Bei Puppet ist es also möglich, durch einen entsprechenden Eintrag
im Manifest festzulegen, dass Schritt A vor Schritt B zu erfolgen hat – in
Chef müssen Schritt A und Schritt B in der richtigen Reihenfolge im
Cookbook stehen, sonst steigt Chef aus.
Dieses System der »Eventual Consistency« hat Befürworter sowie erbitterte
Gegner – im OpenStack-Kontext fallen die Unterschiede aber kaum
auf, können also nicht der ausschlaggebende Punkt dafür sein, dass
Auto-Deployment-Umgebungen für OpenStack derzeit nur in Form von
Puppet-Lösungen bestehen. Der Grund ist letztlich viel banaler: Puppet
ist insgesamt deutlich besser an OpenStack gekoppelt, als Chef es ist.
Ein Blick auf die für Puppet zur Verfügung stehenden Module macht
das sehr deutlich: Für alle Core-Komponenten finden sich im Internet
Module auf dem neuesten Stand, die regelmäßig gepflegt werden und
so letztlich den größten Teil der benötigten Funktionen bereits selbst
umfassen.
Chef ist im Vergleich dazu deutlich im Hintertreffen, denn zwar sind
Module für einige der Kernkomponenten vorhanden, aber offiziell ist
von diesem Code nichts, außerdem fehlen Module für wichtige Teile wie
den Netzwerkdienst Neutron. Dass Erweiterungen wie Packstack und
Kickstack auf Puppet setzen, hat also maßgeblich damit zu tun, dass
hier einfach deutlich mehr Vorarbeit bereits geschehen ist, als bei Chef.
Aber keine Panik: Wer sich mit Puppet partout nicht anfreunden möchte
und eher auf Chef setzt, dürfte in absehbarer Zeit Abhilfe durch Suse
erhalten.
Denn zusammen mit einigen Entwicklern von Dell arbeitet Suse gerade
massiv an Crowbar, das auf Chef aufbaut und ebenfalls eine Lösung
werden soll, die automatische OpenStack-Deployments ermöglicht. Im
Vergleich zu Kickstack und Packstack kommt Crowbar sogar mit einigen
Zusatzteilen wie einem vorkonfigurierten Nagios daher. Nähere Details
zu Crowbar finden sich auf [7].
www.admin-magazin.de
Admin
Ausgabe 01-2014

norebbo, 123RF
Benutzer- und Log-Daten unter Linux verwalten
Zu Protokoll
Verschiedene Werkzeuge für die Verwaltung von Log-Dateien und Usern behalten die Rahmendaten und
Sicherheitsaspekte eines Linux-System im Blick. Bruce Byfield
Unix und Linux wurden von Beginn an
als Mehrbenutzersysteme entwickelt.
Das erklärt die Vielzahl von Kommandos,
die sich mit Protokollen und
Benutzerinformationen befassen und
häufig erste Hinweise auf Einbruchsversuche
geben. In einer größeren Umgebung
finden sie außerdem heraus,
Abbildung 1: »adduser« fügt mit einem Kommandozeilenassistenten
Benutzerkonten hinzu.
welche Ressourcen in Benutzung sind
und ob alle User das tun, was sie tun
sollten.
User hinzufügen
Die meisten Linux-Administratoren
kennen den Befehl »adduser« (Abbildung
1). Er stellt einen Assistenten zur
Verfügung, der ein
neues Benutzerkonto
anlegt. Er kümmert
sich auch um Aufgaben
wie die Vergabe einer
User ID (UID), obwohl
beispielsweise die
Optionen wie »‐‐gid
ID« und »‐‐shell SHELL«
eigene Gruppen-IDs
und Benutzer-Shells
definieren.
Alternativ kommt das
etwas weniger komfortable
Kommando
»useradd« zum Einsatz.
Im Gegensatz zu
»adduser« fehlt ihm
der Assistent, dafür
ändert es aber die Informationen eines
bereits existierenden Benutzers. Beide
Befehle haben außerdem Gegenstücke
zum Löschen von Benutzerkonten: »deluser«
und »userdel«. Sie ähneln sich
in puncto Funktionalität, nehmen aber
unterschiedliche Optionen entgegen.
»userdel« kennt anders als »deluser«
beispielsweise die Option »‐f«
oder »‐‐force«, um ohne Nachfrage
zu löschen. Es verwendet außerdem
»‐r« oder »‐‐remove«, um mit einem
Benutzerkonto auch dessen Home-
Verzeichnis und Druckerwarteschlangen
zu löschen; bei »deluser« erzielt
»‐‐remove‐home« diesen Effekt.
Benutzerinformationen im
Protokoll
Linux protokolliert zahlreiche Informationen
über jeden Aspekt des Systems;
dazu zählen auch die Benutzer. Viele
Log-Dateien liegen im reinen Textformat
vor und lassen sich so mit den
Befehlen »less« und »cat« ansehen. Wer
deren Entwicklung verfolgen möchte,
behält neu hinzukommende Einträge
Ausgabe 01-2014 Admin www.admin-magazin.de

Basics
Logging-Tools
69
»faillog«
Die Datenbank in »/var/​log/​faillog«
speichert die fehlgeschlagenen Login-
Versuche aller Benutzer. Das zugehörige
Kommando »faillog« hat zwei Ausgabemodi.
Zunächst gibt es die Fehlmit
dem Befehl »tail ‐f« dauerhaft im
Auge.
Andere Protokolle werden als binäre
Datenbanken gespeichert. Sie verfügen
meist über spezielle Programme zum
Betrachten, die auf denselben Namen
wie die jeweiligen Protokolldateien
selbst hören.
»lastlog«
Die Datei »/var/​log/​lastlog« speichert
die Login-Aktionen. Der zugehörige
Befehl »lastlog« gibt eine vollständige
Liste aller im System vorhandenen Benutzer
aus. Das schließt solche Konten
ein, die nur von speziellen Daemons
verwendet werden, beispielsweise
»syslog«; gelöschte Benutzer erscheinen
nicht mehr.
Für jeden Benutzer gibt »lastlog« die
verwendete Schnittstelle an, also etwa
»tty« für ein lokales Terminal oder
»pty« für ein Pseudo-Terminal wie beim
SSH-Login übers Netzwerk. Dahinter
erscheint das Datum des letzten Logins
oder »Noch nie angemeldet«, falls sich
ein User mindestens seit der letzten
Passwortänderung nicht eingeloggt
hat.
Der Parameter »‐u« oder »‐‐user« beschränkt
die Ausgabeliste auf einen
bestimmten Benutzer. Das Argument
nimmt statt eines Benutzernamens
auch einen Bereich von Benutzer-IDs
entgegen:
root@nanday:~# lastlog ‐u1000‐1005
Benutzername Port Von Letzter
bruce
**Noch nie U
angemeldet**
bb tty2 Mo Nov 18 16:51:33U
+0100 2013
Die Ergebnisse lassen sich auch mit
»‐b« oder »‐‐before« anpassen. Damit
gibt »lastlog« nur Einträge aus, die mindestens
eine bestimmte Anzahl von Tagen
zurückliegen. Als Gegenstück dazu
dient »‐t« oder »‐‐time«, woraufhin nur
Einträge auftauchen, die weniger als
die angegebene Anzahl von Tagen zurückliegen.
versuche mit Anzahl und letzten Datum
aus, mit »‐a« für alle und mit »‐u« für
einen bestimmten Benutzer. Diese Statistiken
weisen den Administrator etwa
auf Einbruchsversuche hin oder zeigen
ihm an, dass er automatisch gesperrte
Benutzerkonten gegebenenfalls reaktivieren
muss.
root@nanday:~# faillog ‐u bruce
Login Fehlver. Maximum Letzter
Auf
bruce 0 0 01/01/70
01:00:00 +0100
Falls es für einen Benutzer noch keinen
gescheiterten Login-Versuch gab,
erscheint als Datum die früheste dem
System bekannte Zeit, normalerweise
»01/​01/​70 01:00:00 +0100«.
Eine automatische Sperrung ordnet
man mit »faillog ‐m« und einer Zahl an.
Abbildung 2: Die Datei »auth.log« speichert Login- und Logout-Vorgänge.
Abbildung 3: Je nach Distribution enthält »/var/​log/​user.log« systemweite Sicherheitshinweise.

70
Basics
Logging-Tools
Abbildung 4: Der Befehl »who« sammelt nicht nur Informationen über eingeloggte Benutzer, sondern
auch über das System.
Abbildung 5: »id« zeigt reale und effektive Benutzer- und Gruppen-IDs.
Erreicht die Zahl der fehlgeschlagenen
Login-Versuche für einen Account diese
Anzahl, sperrt das System den Account.
Diese Zahl stellen die meisten Distributionen
auf 0 und damit die automatische
Sperrung ab. Die Option »‐r«
oder »‐‐reset« setzt die Hürde für ein
bestimmtes Benutzerkonto auf 0.
»auth.log« und »user.log«
Die Datei »/var/​log/​auth.log« speichert
alle Arten von Authorisierungsvorgängen.
Das umfasst Logins und Logouts
seit dem letzten Start des Systems
(Abbildung 2) und dient zur Analyse
typischer Verhaltensmuster sowie verdächtiger
Abweichungen.
Je nach Distribution landen neben
den An- und Abmeldungen auch Warnungen
in der Datei »auth.log«, die auf
mögliche Sicherheitsprobleme hinweisen.
Manche Linux-Varianten speichern
diese in der separaten Datei »/var/​log/​
user.log« (Abbildung 3).
Benutzer zu Befehl
Die meisten Linux-Kommandos zur
Benutzerverwaltung stammen noch
aus der Vor-Linux-Ära und sind zu Unix-
Frühzeiten entstanden. Ihr historisches
Alter macht sich im Alltag nur noch
oberflächlich bemerkbar, etwa daran,
dass sie häufig nicht über Argumente
im GNU-Standard mit zwei Bindestrichen
verfügen, sondern ausschließlich
über die Unix-typischen mit einem Bindestrich
und einem Buchstaben.
Zwar steht der Benutzernamen bei den
meisten Distributionen im Kommandozeilenprompt,
aber gerade bei Kontowechseln
etwa mit »su ‐« kann der
Überblick verloren gehen. In diesem
Fall gibt der Befehl »whoami« wieder
Orientierung.
»who«
Der Befehl »who« führt ohne weitere
Optionen alle Benutzer außer »root«
auf, die momentan im System eingeloggt
sind, sowie Zeit und Datum
ihres Logins. Wenn Benutzer mehrere
Terminals gleichzeitig verwenden,
erscheinen sie in der Liste mehrfach.
Die Option »‐q« oder »‐‐count« fasst die
Anzahl der User-Logins zusammen. Die
in Tabelle 1 gezeigten Optionen lassen
sich kombinieren (Abbildung 4).
»id«
Der reale Linux-Benutzername entspricht
dem beim Login verwendeten.
Der Wechsel zwischen den Identitäten
etwa mit »sudo« oder »su ‐« kann allerdings
zu einem davon abweichenden
effektiven Benutzernamen führen. Das
Kommando »id« gibt beide preis (Abbildung
5).
Ohne weitere Optionen gibt »id« die
reale Benutzer-ID für den eingeloggten
n Tabelle 1: Optionen für den »who«-Befehl
n Info Kurzoption Lange Option Beschreibung
Weiterführende Links und
Informationen zu diesem
Artikel finden Sie unter:
www.admin-magazin.de/qr/31568
-d --dead Tote Prozesse
Account aus und dazu die Gruppen, zu
denen dieser gehört. Die Option »‐a«
hingegen führt zur effektiven ID, die
auch von »whoami« ausgegeben wird.
Der Unterschied zwischen realer und
effektiver ID zeigt sich allerdings in allen
Fällen nur, wenn der Benutzer auch
über verschiedene Logins verfügt.
In ähnlicher Weise zeigt das Argument
»‐g« oder »‐‐group« die ID der benutzereigenen
Gruppe an, während »‐G« oder
»‐‐groups« die IDs aller Gruppen wiedergibt,
denen der Benutzer angehört.
»groups«
Wie der Name bereits andeutet, liest
»groups« die Datei »/etc/​group« aus
und zeigt darin enthaltene Informationen
an. Ohne Zusatzoptionen führt das
Programm Informationen zum aktiven
Benutzer an, allerdings lässt sich ein
anderer Account abfragen, indem man
»groups« dessen Namen als Argument
übergibt.
»finger«
Viele Distributionen erfordern die Installation
des Pakets »finger«, bevor der
gleichnamige Befehl »finger« zur Verfügung
steht. Dann gibt »finger« gefolgt
von einem Benutzernamen Auskunft
über dessen Konto mit Informationen
wie letztem Login, Home-Verzeichnis,
und Standard-Shell. Ohne Angabe
eines speziellen Accounts gibt das Programm
für alle Benutzer des Systems
eine einzeilige Zusammenfassung aus.
»w«
Das wohl einfachste Kommando zum
Einholen von Benutzerinformationen
hat nur einen Buchstaben: »w«. Es zeigt
die angemeldeten Benutzer und den
von ihnen aktuell gestarteten Prozess.
Ein zusätzlich angegebener Benutzername
schränkt die Ausgabe auf dessen
Konto ein. (csc) n
-b --boot Zeit des letzten Systemstarts
-p --process Alle aktiven Prozesse
-r --runlevel Aktueller Runlevel
-t --time Zeit der letzten Änderung der Systemzeit
Ausgabe 01-2014 Admin www.admin-magazin.de

72
Basics
ADMIN-Tipps
Die Tipps des Monats
ADMIN-Tipps
Pavel Ignatov, 123RF
Hier finden Sie eine Auswahl der im wöchentlichen ADMIN-Newsletter erscheinenden Praxistipps.
n Vom Ubuntu-Desktop zum Server
Ubuntu Linux erscheint in verschiedenen Varianten. Für den Admin
genügt in der Regel die Server-Ausgabe. Sie unterscheidet
sich in wichtigen Details, dennoch ist für einen nachträglichen
Wechsel eine Neuinstallation überflüssig. Wer eine Maschine mit
installiertem Desktop zum Server umrüsten möchte, deinstalliert
zunächst das Paket »ubuntu-desktop« sowie alle davon abhängigen
Pakete. Diese lassen sich mit einer Verkettung von grep und
sed automatisch auslesen. Der vollständige Befehl lautet so:
$ sudo apt‐get remove ubuntu‐desktop $(apt‐cache show ubuntu‐desktop
| grep "^Depends:" | sed "s/^Depends: //" | sed "s/,//g")
Als Argument für »apt-get remove«
folgt neben »ubuntudesktop«
das Ergebnis von
»apt-cache show ubuntudesktop«,
aus dem »grep«
und »sed« die Abhängigkeiten
extrahieren und ins
richtige Format bringen. Als
Resultat entfernt »apt-get«
Grafikbibliotheken, Oberflächen,
Login-Manager,
Xorg und alle verwandten
Pakete.
Danach folgt die Installation
der Server-typischen
Pakete. Anders als bei der Desktop-Edition erfolgt die Auswahl
über das Programm »tasksel«, das man mit
$ sudo apt‐get install tasksel
installiert und mit dem Befehl
sudo tasksel
aufruft. In der Eingabemaske erfolgt die Installation des Tasks
»Basic Ubuntu Server« sowie darüber hinaus benötigte Server-
Pakete wie »OpenSSH Server«, »LAMP Server«, »Tomcat Server«
und so weiter. Vor Version 12.04 verwendete die Server-Version
außerdem einen anderen Kernel, doch inzwischen setzt Ubuntu
auf dem Desktop und dem Server denselben ein.
Mit dem Basic Ubuntu Server erreicht unter anderem das Paket
»unattended-upgrades« das System, das auf Wunsch Aktualisierungen
automatisch einspielt. Einerseits sollte man dabei
Vorsicht walten lassen, denn ein unbeaufsichtigtes Update legt
im schlimmsten Fall einen Produktivserver lahm. Andererseits
ist es auch ein effektiver Weg, um das System auf dem aktuellen
Stand zu halten und Sicherheitslücken schnell zu schließen. In
der Voreinstellung installiert »unattended-upgrades« deshalb
nur sicherheitsrelevante Updates automatisch. Die anderen Kategorien
»updates«, »proposed« und »backports« aktiviert man,
indem man in »/etc/​apt/​apt.conf.d/​50unattended-upgrades« die
Kommentarzeichen vor den entsprechenden Zeilen entfernt.
neue Tipps im Newsletter
Jede Woche erscheint in unserem Newsletter ein neuer ADMIN-Tipp. Eine Sammlung aller Tipps
finden Sie im Archiv der ADMIN-Tipps unter [http:// www. admin‐magazin. de/ News/ Tipps/].
Den Newsletter können Sie unter [http:// www. admin‐magazin. de/ newsletter] abonnieren.
Ausgabe 01-2014 Admin www.admin-magazin.de

Test
OpenSuse 13.1
73
Das neue OpenSuse 13.1
Grün ist
die Hoffnung
marigranula, 123RF
Nach längerer Zeit gibt es jetzt wieder ein OpenSuse-Release mit
mehreren Jahren Support. Den leistet aber nicht Suse selbst, sondern
ein Community-Projekt. Oliver Frommel
Die Firma Suse hat eine bewegte
Vergangenheit hinter sich. Als Linux-
Pionier in Deutschland angetreten,
wurde Suse im Jahr 2004 von Novell
aufgekauft, was nicht unbedingt zur
allseitigen Zufriedenheit verlaufen ist.
Seit Novell 2011 von Attachmate gekauft
wurde, ist Suse wieder eigenständig
und agiert mit alter Frische auf dem
Enterprise-Linux-Markt [1]. Parallel
dazu produziert die Firma regelmäßig
die Community-Distribution OpenSuse,
die unter einer komplett freien Lizenz
verfügbar ist.
Mitte November ist nun OpenSuse 13.1
erschienen, das für Linux-Fans eine
Anzahl an Neuerungen bereithält und
dieser ADMIN-Ausgabe beiliegt. Aktualisiert
wurde der Linux-Kernel auf Version
3.11.6, der zum Beispiel effektiver
mit Speicher umgeht als ältere Versionen.
Der Mechanismus, um verwendete
Speicherseiten wieder neu zu nutzen,
wurde optimiert. Das soll dafür sorgen,
dass das System bei I/​O-intensiven Anwendungen
besser reagiert.
Dateisysteme
Ebenfalls für bessere Performance
sorgt eine neue Einrichtung namens
Zswap [2], die Speicherseiten komprimiert,
die auf die Festplatte ausgelagert
werden sollen (Swap). Der Kernel
legt sie im Hauptspeicher ab, bevor er
sie selektiv auf den Plattenspeicher
swappt. Dies soll die Zahl der aufwendigen
I/​O-Operationen reduzieren.
Weitere Verbesserungen im I/​O-Bereich
sind in diverse Dateisysteme wie Btrfs
eingeflossen. Ext4 kann kleine Dateien
nun direkt in den Inodes speichern,
während es für XFS Checksummen auf
Metadaten und das Journal gibt. Mit
F2FS (Flash-Friendly File System) ist sogar
ein komplett neues Dateisystem für
Flash-Speicher enthalten [3]. Das von
Suse eingesetzte Init-System Systemd
arbeitet nun mit Udev zusammen, was
dafür sorgt, dass Ethernet-Karten über
Reboots hinweg einheitliche Namen
erhalten.
Natürlich kommt auch OpenSuse nicht
an Virtualisierung und Cloud Computing
vorbei. Die Entwickler haben die
Pakete rund um den KVM-Hypervisor
umstrukturiert, dessen Userspace-
Tools nun in den Qemu-Paketen enthalten
sind. Alternativ bietet OpenSuse
auch noch den Hypervisor Xen in Version
4.1, der jetzt per Default mit dem
LibXL-Layer und dem Management-Tool
XL zusammenarbeitet [4]. Vom Cloud-
Computing-Framework OpenStack ist
das neueste Release „Havana“ enthalten,
das ein Artikel im letzten ADMIN-
Heft näher beleuchtet [5].
OpenSuse 13.1 bringt eine Version der
MySQL-Datenbank mit, die stärkere
Verschlüsselung und Performance-
Verbesserungen der InnoDB-Storage-
Engine enthält. Alternativ gibt es als
Datenbanken noch den MySQL-Fork
MariaDB und PostgreSQL. Auch der
Apache-Webserver liegt nun in der
aktuellen Version 2.4 bei. Das Logging
verschiedener Prozesse wurde etwas
vereinheitlicht, zum Beispiel finden
sich die Meldungen des Java-Application-Servers
Tomcat nun im Syslog.
Nicht alles klappt
Zur Integration in Windows-Netzwerke
enthält OpenSuse die Version 4.1 des
Samba-Servers. Allerdings funktioniert
es mit dieser Version nicht, einen Domain
Controller in der Art von Active
Directory zu betreiben, weil die Integration
mit dem dafür nötigen Kerberos-Paket
fehlt. Deshalb ist die Domain-
Controller-Funktion deaktiviert.
Wer neue Features wie die aktuelle
KVM-Version, Xen, OpenStack oder
einen neuen Kernel ausprobieren
möchte, sollte einen Blick auf Open-
Suse 13.1 werfen. Allerdings sollte man
sich im Klaren darüber sein, dass bei
dem aktuellen Release noch nicht alles
perfekt rund läuft. Auf der anderen
Seite hat die Evergreen-Community
angekündigt, noch über die normale
Laufzeit hinaus Support für die neue
Distribution zu leisten, der sich damit
auf insgesamt drei Jahre erstreckt. n
n Info
Weiterführende Links und
Informationen zu diesem
Artikel finden Sie unter:
www.admin-magazin.de/qr/31579
www.admin-magazin.de
Admin
Ausgabe 01-2014

Konstantin Sutyagin, 123RF
Enterprise-SSDs im Vergleich
Besonders belastbar
Die Datenmenge wächst explosionsartig. Daraus folgt direkt, dass die Geschwindigkeit im Umgang mit
diesen Daten ebenfalls zunehmen muss. Ein Weg dahin sind SSDs anstelle von Festplatten. Wir haben
Modelle getestet, die sich für den harten Rechenzentrumseinsatz eignen sollen. Jens-Christoph Brendel
n Info
Eine Schwierigkeit, auf die wir bei
unserem SSD-Test stießen, sei vorweggenommen:
„Enterprise“ ist ein Begriff,
dessen Dehnbarkeit sich das Marketing
durchaus zunutze macht. Wir hatten
uns vorgenommen, Flash-Speicher für
den Unternehmenseinsatz zu testen,
die sich bewusst von Consumer-Modellen
abgrenzen (siehe auch Kasten
„Enterprise-SSDs – was ist das?“).
Allerdings differieren die Abstände
der diversen PRO- oder Business-SSDs
von den Ausgaben für Endverbraucher
Weiterführende Links und
Informationen zu diesem
Artikel finden Sie unter:
www.admin-magazin.de/qr/31376
immer noch in beträchtlichem Maß. Sie
reichen beispielsweise von einer Widerstandsfähigkeit
gegenüber Schreiboperationen
von etlichen Tausend Terabyte
(wie bei OCZ Deneva 2) bis zum völligen
Fehlen einer solchen Angabe in der
Spezifikation (wie bei Samsung 840
PRO).
Dabei ist genau diese Beständigkeit
einer der Knackpunkte. Im Unterscheid
dazu bewegt sich beispielsweise die
Performance aller Modelle in einem
überschaubaren Korridor: Das beweisen
sowohl die Herstellerangaben wie
auch unsere eigenen Messergebnisse.
Sollen die SSDs aber nicht in einem
Notebook, sondern beispielsweise in
einem Storage Array eingesetzt werden,
das rund um die Uhr Schreiboperationen
zu verkraften hat, dann wird
die Fähigkeit, diese Last mit geringem
Verschleiß zu bewältigen, wichtiger als
eine Handvoll MByte mehr oder weniger
bei der Leseleistung pro Sekunde.
Dazu kommt: Selbst wenn Messwerte
angegeben werden, sind es nicht
immer dieselben und stimmt die Methodik
ihrer Erhebung nicht immer
überein. So geben die einen einen Wert
für die Datenmenge vor, die maximal
auf den Speicher geschrieben werden
kann, bevor er seine Funktion verliert
– TBW, Total Bytes Written –, wogegen
andere lieber die Anzahl Program-​
Erase-Zyklen melden, die das Laufwerk
verkraftet. Bei den Performance-
Werten werden für das wahlfreie Lesen
und Schreiben meistens 4K-, manchmal
aber auch 8K-Blöcke verwendet,
manchmal wird die Größe einer vorgeschalteten
Queue (Queue Depth) angegeben,
manchmal nicht und so weiter.
Ausgabe 01-2014 Admin www.admin-magazin.de

Test
Enterprise-SSDs
75
Immerhin streben alle hier getesteten Modelle eine besondere
Beständigkeit, hohe Performance und überdurchschnittliche Datensicherheit
an und wollen sich damit dem Geschäftskunden im
weitesten Sinn empfehlen.
OCZ Deneva 2 R Series
Das Deneva-2-Modell von OCZ, das uns zum Test zur Verfügung gestellt
wurde, fasst 400 GByte. Diese eMLC-SSD orientiert sich klar
am Enterprise-Einsatz: Der Hersteller gibt die Schreib-Endurance
mit sagenhaften 76 PByte an, das sind über einen Zeitraum von
fünf Jahren mehr als 40 TByte pro Tag und zehnmal so viel wie bei
der MLC-Variante desselben Modells. Damit ist dieser Wert für die
Beständigkeit gegenüber Schreibvorgängen auch der mit Abstand
höchste im gesamten hier getesteten Feld.
Überhaupt sollen sich hier Zuverlässigkeit und Performance, Sicherheit
und ökonomische Kriterien treffen. Auf Wunsch lassen
sich die Daten auf der SSD mit AES verschlüsseln, wenn auch nur
mit 128 Bit. Das Medium arbeitet mit einer DataWrite-Assurance-
Technologie, die garantiert, dass im Zugriff befindliche Daten auch
bei einem Stromausfall noch gespeichert werden können. Ein
ausgeklügelter Fehlerkorrektur-Mechanismus repariert bis zu 55 Bit
pro 512-Byte-Sektor.
Die Rate nicht korrigierbarer Lesefehler (Read Unrecoverable Bit
Error Rate (UBER)) liegt bei 10-17, das heißt, das komplette Drive
kann durchschnittlich mehr als 290mal komplett gelesen werden,
bis es einmal zu einem solchen Fehler kommt. Die Mean Time Between
Failure (MTBF) beläuft sich auf 2 Millionen Stunden, ein im
Vergleich hoher Wert.
In unserem Benchmark lag die Deneva 2 im vorderen Feld der Probanden
(Abbildung 1), wo sie sich mit steigender Last den Silberrang
erkämpfte. Wie bei allen Testteilnehmern deuten die Herstellerangaben
zur Performance (Tabelle 1) darauf hin, dass man unter
optimalen Bedingungen auch noch höhere Werte erreichen kann,
als wir diesmal ohne spezielle Anpassung unserer Testumgebung
messen konnten.
Intel DC 3500 Series
Die SSD von Intel bietet neben hoher Performance und geringen
Latenzen (typischerweise 50 Mikrosekunden) auch besondere
Vorkehrungen gegen Fehler und die Verfälschung von Daten
im NAND-Speicher wie auch im zugehörigen SRAM- und DRAM-
Memory. Dazu zählen zyklische Redundanz-Checks (CRC), Parity-
Checks und die LBA-Tag-Validation. Erkannte Fehler werden unmittelbar
korrigiert. Wie die meisten Drives ist zudem auch dieses
gegen plötzlichen Stromausfall gesichert – es kann in diesem Fall
Schreiboperationen noch abschließen.
Die hier verbauten MLC-NANDs in aktueller 20-nm-Technology verbrauchen
nicht mehr als 1,3 Watt Strom (im Leerlauf nur 650 mW).
Dabei sollen sie nach Herstellerangaben lesend bis zu 500 MByte
Daten pro Sekunde transferieren können. Das ist zwar kein Spitzenwert,
doch sind die Unterschiede in dieser Disziplin auch nicht sehr
groß. Dafür sind 2 Millionen Stunden MTBF ein guter Wert und auch
der Preis kann sich sehen lassen, wenn man bedenkt, dass das
Laufwerk ausdrücklich für den 24/​7-Betrieb zertifiziert ist.
Auf der Cloud Expo 13 hat Intel ein Software-basiertes SAN auf
Basis des 800-GByte-Modells der 3500-Series-SSD vorgestellt. Bei
Abbildung 1: Die Benchmark-Resultate der einzelnen SSDs im Test.
einer Kapazität von 17 TByte lieferte es 250 000 IOPS.
Mit herkömmlichen Festplatten hätte man dafür 1250
Disks mit 15 000 U/​min gebraucht, die zusammen 18,75
KW Strom verbraucht hätten. Die SSDs waren mit insgesamt
650 Watt zufrieden.
Kingston SSDnow E100
Die SSD von Kingston eignet sich ebenfalls für den
24/7-Betrieb: Der Hersteller garantiert 30 000 P/​E-
Zyklen und damit etwa die zehnfache Lebensdauer
einer typischen Consumer-SSD. Ein Wert für die maximal
schreibbare Datenmenge wird nicht angegeben.
Trotzdem dürfte sich die Schreib-Endurance in der Größenordnung
einpegeln, die auch OCZ garantiert. Das
schlägt sich in einem ähnlichen Gigabyte-Preis nieder.
n Die Benchmarks
Wir haben alle SSDs in einem kleinen Server mit einem SATA-III-
Controller von Asus (U3S6) unter Windows getestet. Einerseits hat
dieses Setup den Nachteil, dass man damit nicht die absolut höchsten
Transferraten erreicht, weil das Zusammenspiel von SSD-Controller,
SATA-Controller und Southbridge des Mainboard-Chipsatzes nur in
ausgewählten Fällen optimal funktioniert. Besser wäre dann unter
Umständen der direkte Anschluss der SSD an einen in das Mainboard
integrierten SATA-Controller. Andererseits ist ein nicht vollkommen
optimiertes Setup wahrscheinlich praxisnäher und die Benchmark-
Ergebnisse spiegeln eher die Leistungswerte wider, die man außerhalb
von Laboren im realen Leben erreicht. In Tabelle 1 geben wir dennoch
zusätzlich die maximalen Leistungswerte an, die wir in den Datenblättern
der Hersteller gefunden haben.
Fair waren die Bedingungen allemal: Jeder Proband absolvierte die
Benchmarks unter identischen Bedingungen. Gemessen haben wir
hauptsächlich mit Iometer. Dabei steigerten wir die Last in dreiminütigen
Läufen (mit 30 Sekunden Einschwingzeit) schrittweise von einem
bis zu 30 Worker-Prozessen. Jeder Worker war auf diese Zugriffs-Charakteristik
eingestellt: 100 Prozent sequenzielles Lesen, ausgerichtet an
4K-Grenzen, mit 64 KByte Blockgröße (Abbildung 1).
www.admin-magazin.de
Admin
Ausgabe 01-2014

76
Test
Enterprise-SSDs
Auch in diesem Fall ist ein Schutz
gegen Stromausfall eingebaut. Die
SSD bedient sich dabei spezieller
Tantal-Kondensatoren, damit laufende
Schreibvorgänge bei Stromausfall zur
Vermeidung von Datenverlusten abgeschlossen
werden können. Diese Kondensatoren
können ihre Aufladung im
Unterschied zu ähnlichen Technologien
der Konkurrenz auch bei besonders hoher
Umgebungstemperatur (bis zu 85
Grad) halten.
Extra optimiert wurden auch die
Algorithmen zur Verteilung der
Schreibzugriffe (DuraWrite) und zur
Fehlerkorrektur (RAISE). Unter unseren
Testbedingungen lieferte das Drive von
Kingston die beste Performance aller
Kandidaten.
Seagate SSD 600 Pro
Die 600-Pro-Serie ist ein Pendant der
600er-Modellreihe, das speziell für den
Enterprise-Einsatz optimiert wurde.
So liegt die Write Endurance knapp 30
Prozent höher als bei den Modellen
ohne Pro im Namen. Allerdings rangiert
die Pro-Serie bei Seagate nicht
an der Spitze der Modellpalette, denn
dort werden inzwischen mit der Reihe
Seagate 1200 SSDs für die 12-Gb-SAS-
Schnittstelle angeboten. Die Kapazitäten
bewegen sich zwischen 200 und 800
GByte. Diese SSDs sollen nach Herstellerangaben
Befehlsraten bei sequenziellen
Lese-/​Schreibvorgängen von 800
und 640 MByte/​s erreichen. Die hier
getestete 600 Pro bringt es dagegen nur
auf 520 beziehungsweise 450 MByte/​s
unter optimalen Bedingungen.
Beim unserem Modell wird zusätzlicher
Flash-Speicher für das Wear-Levelling
und Overprovisioning abgezwackt,
sodass nur rund 5/​6 des Speichers der
normalen Modelle für den Anwender
nutzbar sind. Der reservierte Speicher
hilft, die Langzeitfunktionalität mit
hoher Performance sicherzustellen.
Seagate gewährt auf die Pro-Modelle
eine verlängerte Garantie von fünf
(statt drei) Jahren, die allerdings davon
abhängt, dass eine bestimmte vorgegebene
Schreibleistung nicht überschritten
wird. Ähnliche Klauseln gibt es
auch bei anderen Herstellern.
Samsung 840 PRO
Die SSDs der Samsung-Modellreihe
840 PRO tragen zwar das Professional-
Kürzel im Namen, sind aber eigentlich
eher Consumer-SSDs für den Einsatz in
Desktop- oder Laptop-Rechnern. Entsprechend
gibt der Hersteller hier erst
gar keine Werte für Fehlerraten oder
Write Endurance an – wahrscheinlich
ist das einfach nicht die Schokoladenseite
dieser ansonsten schnellen und
noch dazu mit Abstand preisgünstigsten
SSD.
In unserem eigenen Performance-
Vergleich belegte das Samsung-Modell
einen guten Bronzerang, wobei aber
die beiden besser Platzierten pro Gigabyte
mehr als dreimal so viel kosten.
Insofern empfiehlt sich diese SSD für
den Arbeitsplatzrechner – auch gern
den professionell genutzten – eher als
für das Storage-Array. Hier kann sie
mit guter Performance, TRIM-Support,
S.M.A.R.T-Unterstützung, Garbage
Collection und starker Verschlüsselung
überzeugen.
PNY Prevail 5K
Auch das Modell von PNY passt nicht
ganz in das Enterprise-Schema. Zwar
hat es mit 5000 Program-​Erase-Zyklen
(daher das Kürzel 5K in der Modellbezeichnung)
eine deutlich höhere
Schreibbelastbarkeit als die normalen
Modelle, die nur 3000 P/​E-Zyklen vertragen
(und sich dennoch selbst etwas
vollmundig als „High Endurance SSD“
bezeichnen). Zu den 30 000 Zyklen
einer Kingston SSDnow E100 oder OCZ
Deneva 2 ist der Abstand aber dennoch
n Tabelle 1: Technische Kennzahlen
Model DC 3500 Deneva 2 SSDnow E100 840 PRO 600 PRO Prevail 5K
Hersteller Intel OCZ Kingston Samsung Seagate PNY
Kapazität (GByte) 480 400 200 512 400 120
Sustained Sequential Read 500 530 535 540 520 550
(MByte/​s)
Sustained Sequential Write 410 510 500 520 450 520
(MByte/​s)
Random Read Operartions 75 000 59 000 76 000 100 000 85 000 85 000
4 KByte (IOPS)
Random Write Operations 11 500 49 000 59 000 90 000 30 000 85 000
4 KByte (IOPS)
Verschlüsselung AES 256 Bit AES 128 Bit AES 128 Bit AES 256 Bit k.A. AES 128 Bit
MTBF (Mio. Stunden) 2 2 1 1,5 k.A. 1,2
Unrecoverable Bit Error Rate 10-17 10-17 k.A. k.A. 10-16 k.A.
(UBER)
Write Endurance (max. Total 450 7600 857 k.A. 1080 k.A.
Bytes Written, TBW, in TByte)
Garantie (Jahre) 5 3 3 5 5 3
Preis (Euro) ab 500 ab 1300 ab 630 ab 400 ab 450 ab 150
Preis pro GByte (Euro) 1,04 3,25 3,15 0,79 1,12 1,25
Ausgabe 01-2014 Admin www.admin-magazin.de

Test
Enterprise-SSDs
77
sehr groß, selbst bei den Modellen der
ebenfalls erhältlichen 10K-Serie von
PNY.
Subsumiert man unter dem Oberbegriff
„Enterprise“ aber auch professionelle
Büroarbeitsplätze, Videoschnittplätze
oder beispielsweise CAD-/​CAM-
Workstations, dann hat die Prevail 5K
mit einer für diese Verhältnisse guten
Belastbarkeit und Performance sicher
eine unbezweifelbare Daseinsberechtigung.
n
n Enterprise-SSDs – was ist das?
SSD ist nicht gleich SSD, das hat sich herumgesprochen – aber wofür
genau eignet sich welche Technologie? Das ADMIN-Magazin hat die
wichtigsten Fakten zusammengetragen.
Die NAND-Speicher in den SSDs unterscheiden sich in erster Linie in der
Art und Weise, wie sie Daten speichern. Die kompletten Produkte differenzieren
sich aber auch bei Faktoren wie Service und Support. Hinsichtlich
der Speichertechnik unterscheidet man heute Single-Level-Cell-
NAND-Speicher (SLC), Multi-Level-Cell-NANDs (MLC) in diversen Spielarten
und Triple-Level-Cell-NANDs (TLC). Um daraus eine komplette SSD
zu bauen, bedarf es im Wesentlichen noch Firmware und Controller, die
großen Einfluss auf Performance und Lebensdauer haben.
Single Level Cell: Bei einer SLC-SSD speichert jede Speicherzelle genau
ein Bit (zwei Zustände: Spannung oder keine Spannung). Das ist verglichen
mit den weiter unten beschriebenen Verfahren eine sehr schnelle,
stromsparende und zugleich robuste Methode, die andererseits aber
leider auch recht teuer ist, weil viel Chipfläche für relativ kleine Kapazitäten
benötigt wird.
Bei allen SSDs vermindert jede Schreiboperation prinzipbedingt ein
klein wenig die Lebensdauer des Speichers. In welchem Ausmaß das
passiert, ist aber sehr verschieden. So garantiert beispielsweise Intel
für seine SLC-SSD X25-E Schreibvorgänge in einer Größenordnung von
bis zu einem Petabyte. Andere Hersteller stehen heute sogar für Dutzende
Petabyte gerade. Umgerechnet könnte man auf die erwähnte
Intel-SSD über einen Zeitraum von fünf Jahren jeden Tag knapp 548
GByte schreiben, bevor die Fähigkeit der SLC-Zellen erlischt, elektrische
Ladungszustände zu speichern. Seinen MLC-Modellen X25-M gewährt
Intel im gleichen Zeitraum nur etwa 20 GByte wahlfreie Schreibvorgänge
pro Tag.
Weil der Flash-Speicher eine Zelle prinzipiell immer zuerst löschen
muss, bevor er sie erneut beschreiben kann, spricht man hier von Program-Erase-Zyklen
(P/​E-Zyklen). Auch OCZ gibt für seine MLC-SSDs eine
Lebensdauer von etwa 3000 bis 10 000 P/​E-Zyklen an, für eMLC-SSDs
aber 20 000 bis 30 000 und für SSDs mit SLC sogar bis zu 100 000 P/​E-
Zyklen. Die Widerstandsfähigkeit (Endurance) einer Enterprise-SSD ist
also verglichen mit einem billigeren Consumer-Produkt wenigstens
zehnmal so hoch. Gleichzeitig bieten SLC-SSDs eine hohe Performance
aufgrund der einfacheren Lese- und Schreibvorgänge.
SLC-SSDs eignen sich aus diesem Grund primär für den Einsatz in Servern
und Storage-Arrays, wo sie auch bei hoher Schreiblast ihre Zuverlässigkeit
und Performance ausspielen können und wo ein angemessener
Preis bezahlt werden kann.
Multi Level Cell: Multi-Level-Cell-NAND-Speicher können zwei oder
mehr Bits pro Speicherzelle ablegen, indem sie nicht nur die zwei Zustände
„Spannung“ oder „keine Spannung“ unterscheiden, sondern
verschieden hohe Spannungen erkennen. Der Vorteil dieses Verfahrens
ist die um ein Vielfaches höhere Speicherdichte – man spart bei gleicher
Kapazität Chipfläche und damit Kosten. MLC-SSDs können daher deutlich
preisgünstiger sein als solche mit SLC-Technik. Tatsächlich nähert
sich bei der MLC-Technik das Preisniveau pro Gigabyte bereits dem von
besseren Festplatten an und könnte es in naher Zukunft erreichen.
Nachteilig ist, dass das Verfahren im Gegenzug aber auch fehleranfälliger
ist als die SLC-Technik und viel weniger P/​E-Zyklen verträgt. Es sind
aufwendige Korrekturverfahren nötig, die Performance sinkt und die
Lebensdauer ist begrenzt.
MLC-SSDs eignen sich hervorragend für Notebooks oder Desktop-Rechner,
die keine 24 Stunden an sieben Tagen laufen und wo die Speicher
selbst während der Betriebsszeit nur sporadisch beansprucht werden.
Hier hat man auch mit einem Schreib-Limit von vielleicht 20 GByte pro
Tag noch ausreichend Sicherheitsabstand und bekommt für vergleichsweise
kleines Geld relativ hohe Kapazitäten und eine Performance, die
immer noch weit über der von normalen Festplatten liegt.
Triple Level Cell: Solche NAND-Speicher sind die neueste Spielart und
noch selten, sie können – wie der Name bereits andeutet – drei Bit pro
Speicherzelle ablegen, indem sie acht diskrete Ladungsniveaus des
Floating-Gates im Transistor unterscheiden. Zugleich ist hier aber das
Problem mit fehlerhaft abgelesenen Zuständen noch viel kritischer als
bei der MLC-Technik, sodass eine noch aufwendigere Fehlerkorrektur
nötig wird. Außerdem bleiben die gespeicherten Daten bei TLC nur rund
6 Monate erhalten, wohingegen Daten in der SLC-Technologie bis zu 10
Jahre und in der MLC-Technologie bis zu einem Jahr gespeichert werden
können. Auf der Habenseite steht dafür eine nochmal doppelt so
hohe Speicherdichte wie bei MLC.
TLC-NANDs eignen sich besonders für preissensitive Anwendungen, die
gleichzeitig keine High-End-Ansprüche an Performance und Langlebigkeit
haben, beispielsweise für den Einsatz in mobilen Geräten.
eMLC: Enterprise-MLC (eMLC, bei Intel auch HET für High Endurance
Technology) ist der Versuch einer Kompromisslösung zwischen SLC und
MLC. Verwendet werden verbesserte MLC-NANDs mit zwei Bit pro Zelle,
denen zusätzlich mit ausgeklügelter Software zu mehr Endurance verholfen
wird. So verteilen die Controller die zu schreibenden Daten besser
auf alle Zellen (Wear Leveling), verbesserte Algorithmen senken die
Unrecoverable Bit Error Rate (UBER). Oft wird auch mit Overprovisioning
gearbeitet, zusätzlichem Speicher, der nur der SSD intern zur Verfügung
steht und für den Host nicht erreichbar ist. Dieser Speicher bildet
eine sogenannte Spare Area, die wiederum beim Wear Leveling nützlich
ist. Im Ergebnis halten eMLC-Speicher mindestens zwei- bis dreimal so
viele P/​E-Zyklen aus wie gewöhnliche MLC-Chips. Auch preislich liegen
sie zwischen SLC und MLC.
eMLC gehören mit SLC-NANDs in die Klasse der Enterprise-Speicher,
die noch eine Reihe weiterer Vorteile haben. So durchlaufen sie beim
Hersteller strengere Qualitätskontrollen und können auf Wunsch von
Support-Ingenieuren des Herstellers installiert werden. Bei manchen
Produkten etwa von OCZ kann der Kunde sogar genau festlegen, welche
SSD-Bauteile für seine Charge verwendet werden.
www.admin-magazin.de
Admin
Ausgabe 01-2014

owie15, 123RF
Zabbix Release 2.2
Genauer betrachtet
Während viele nur von Nagios reden, ist Zabbix zumindest unter ADMIN-Lesern die beliebteste Monitoring-Lösung.
Es ist ebenfalls freie Software, kann zu überwachende Hosts direkt im Web-Interface konfigurieren
und überwacht in der Version 2.2 auch VMware-Maschinen. Thomas Drilling
Netzwerk-Überwachung wird auch für
kleine Unternehmen und im SOHO-Bereich
zunehmend wichtiger. Probleme
frühzeitig zu erkennen, erhöht die Verfügbarkeit
und spart damit vorbeugend
Kosten, unabhängig von vorhandenen
Backup-, Desaster-Recovery- und Hochverfügbarkeitsstrategien.
Zabbix
Die Monitoring-Lösung Zabbix [1] wird
bereits seit 2001 entwickelt und weist
eine Reihe von Gemeinsamkeiten mit
der wohl bekanntesten Monitoring-Lösung
Nagios auf. So wird die Weiterentwicklung
der unter der GPL lizenzierten
Software bis heute maßgeblich vom
Zabbix-Erfinder Alexei Vladishev gesteuert.
Er ist der CEO, Eigentümer und
Product Manager der von ihm gegründeten
Firma Zabbix SIA, die kommerzielle
Dienstleistungen rund um Zabbix
anbietet.
Wie andere Monitoring-Tools der Gattung
nutzt Zabbix für die Überwachung
wahlweise Simple Checks, mit denen
sich ohne das Installieren zusätzlicher
Software auf den zu überwachenden
Hosts von außen zugängliche Standarddienste
wie SMTP, SSH und HTTP
zur Überwachung ansteuern lassen.
Alternativ sind auf der Download-Seite
eine stattliche Anzahl von Agenten für
alle wichtigen Betriebssysteme wie
Linux, BSD, AIX, Solaris und Windows
zu finden.
Als dritte Möglichkeit kann Zabbix die
benötigten Überwachungsinformationen
auch mithilfe der in sämtlichen
modernen Betriebssystemen eingebauten
Netzwerk-Management-Protokolle
SNMP oder IPMI beziehen. Der wichtigste
Unterschied zu Nagios besteht
darin, dass das Zabbix-Web-Interface
nicht nur zum Visualisieren der zusammengetragenen
Informationen dient,
sondern auch die Konfiguration der zu
überwachenden Hosts im Webbrowser
erlaubt.
Wie andere Monitoring-Lösungen
auch versendet Zabbix im Ereignisfall
E-Mail-, SMS- oder IM-Sofortnachrichten.
Als Speicher-Backend für die
gesammelten Informationen sowie für
die Konfigurationsdaten der zu überwachenden
Hosts dient wahlweise
eine MySQL-, PostgreSQL-, IBM-DB2-,
Oracle- oder SQLite-Datenbank. In
den Handhabung zeichnet sich Zabbix
besonders durch die komfortable Kombinierbarkeit
von Hosts, Actions, Items
und Triggern sowie durch die komfortable
Verwaltung von Graphs, Screens
und Maps aus, wobei die Darstellung
der Hosts auf verschiedenen Typen von
Maps sehr elegant gelöst ist.
Ferner lässt sich eine Zabbix-Installation
mithilfe von Zabbix-Proxies und
Zabbix-Nodes auf mehrere Standorte
Ausgabe 01-2014 Admin www.admin-magazin.de

Test
Zabbix 2.2
79
verteilen, wobei sich beide regelmäßig
mit dem Zabbix-Server synchronisieren.
Zabbix-Proxies führen die Überwachung
quasi stellvertretend für den
Zabbix-Server durch, was zum Beispiel
einen Zabbix-Server entlastet. Zabbix-
Nodes sind eine Art Unter-Server,
bieten aber den gleichen Funktionsumfang
wie ein Zabbix-Server.
In der Version 2.2 wartet Zabbix mit
weit über 100 Neuerungen gegenüber
der Version 2.0.9 auf. So gibt es jetzt
zum Beispiel einen Werte-Cache, der
für ein noch schnelleres Verarbeiten
von Triggern sorgt. Weitere Geschwindigkeitsverbesserungen
ergeben sich
dadurch, dass die Entwickler den eigentlichen
Datensendeprozess sowie
die Caches für Historien und Konfigurationen
überarbeitet haben. Außerdem
verarbeitet der Zabbix-Server zeitbasierte
Funktionen jetzt parallel.
Noch interessanter macht sich Zabbix
für potenzielle Nagios-Umsteiger dadurch,
dass die Software jetzt auch VMwares
vCenter- und vSphere-Plattformen
überwachen kann. Zabbix erkennt
virtuelle Maschinen automatisch und
schließt die Auslastung und Verfügbarkeit
der VMs und Hypervisoren in die
Überwachung ein. Wer Zabbix bereits
kennt, sollte wissen, dass die Software
in der Version 2.2 keine unbekannten
Ereignisse mehr kennt.
Ferner ermöglicht die neue Applikationsvererbungslogik,
mehrere Templates
mit der gleichen Anwendung zu verbinden.
Beim Web-Monitoring lassen
sich jetzt auch vorlagenbasierte Szenarien
auswählen und reguläre Ausdrücke
verwenden. Um die Verfügbarkeit eines
Dienstes abzufragen, kann der Admin
in Zabbix 2.2 außerdem die Anzahl der
Wiederholungen festlegen. Für Entwickler
nicht uninteressant ist, dass
die Zabbix-Macher auch die Zabbix-API
überarbeitet haben.
Zabbix installieren
Zabbix steht auf der Download-Seite
wahlweise im Quellcode oder in Form
von Binärpaketen für RHEL, Debian und
Ubuntu zur Verfügung. Darüber hinaus
ist Zabbix in den Paketquellen vieler
Distributionen enthalten, zum Testzeitpunkt
aber bestenfalls in Version 2.0.9.
Außerdem stellt das
Zabbix-Team virtuelle
Zabbix-Appliances auf
Basis von OpenSuse
12.3 für VMware, VirtualBox,
KVM, Microsoft
(VHD) und im Open-
Virtualization-Format
zur Verfügung, zum
Testzeitpunkt allerdings
ebenfalls nur in
der Version 2.0.9. Für
einzelne Distributionen
wie Ubuntu 12.04 bietet
Zabbix ein eigenes
Repository für die Installation
der aktuellen
Version 2.2 an.
Auch die Installation aus den Sourcen
gelingt leicht, wenn die Installationsvoraussetzungen
erfüllt sind, also die
benötigten PHP-Module, darunter »gd«,
»mysqli«, »libxml« und »ctype« installiert
sind. Zudem ist für den Zabbix-
Daemon ein unprivilegierter Benutzer
»zabbix« erforderlich.
Sollen Server und Agent auf der gleichen
Maschine laufen, um etwa den
Server selbst in die Überwachung
einzubeziehen, braucht es einen separaten
Benutzer für den Agenten. Für
das Anlegen der Datenbanken für einen
Zabbix-Server oder -Proxy stehen auf
der Projektseite passende Skripte für
MySQL, PostgreSQL, Oracle, IBM DB2
und SQLite zur Verfügung [2]. Zum Konfigurieren
der Sourcen unter Verwendung
von MySQL genügt dann ein:
./configure ‐‐enable‐server U
‐‐with‐mysql ‐‐with‐net‐snmp
Zum Konfigurieren der Quellen für
einen Linux-Agent verwendet man dagegen:
./configure ‐‐enable‐agent
Das Übersetzen mit »make install«
sollte in beiden Fällen problemlos
über die Bühne gehen. Den Zabbix-
Server-Daemon startet das Kommando
»zabbix_server«, den Agenten
auf dem zu überwachenden System
»zabbix_agentd«. Solange das Web-
Interface noch nicht installiert ist,
Abbildung 1: Zabbix stellt einen webbasierten Installationsassistenten
zur Verfügung.
muss man die Agenten manuell in der
jeweiligen Konfigurationsdatei »/usr/
local/etc/zabbix_agentd.conf« auf dem
zu überwachenden Host einrichten. In
der muss mindestens die IP-Adresse
des Zabbix-Servers eingetragen sein
und außerdem der Port, auf dem der
Agent auf Anfragen des Servers horcht
(»ListenPort=10050«). Ob der Agent als
Daemon startet, legt die Konfigurationsdatei
»/etc/zabbix/zabbix_agentd.
conf« fest.
Konfiguration
Die weitere Konfiguration des Servers
erfolgt in der Datei » /usr/local/etc/
zabbix_server.conf« und muss mindestens
den Namen der Datenbank
(»DBName=zabbix«) sowie den administrativen
Datenbank-User (»DBUser«)
nebst Passwort (»DBPassword«) und
außerdem den Standard-Port für den
Zabbix-Daemon (»ListenPort=10051«)
enthalten. Ferner muss der Admin
eine gegebenenfalls aktive Firewall-
Konfiguration auf dem Server oder dem
Agenten anpassen (Ports 10050, 10051),
damit diese miteinander kommunizieren
können.
Auch das Aufsetzen des Web-Interfaces
ist nicht weiter schwierig. Da das Frontend
in PHP geschrieben ist, muss der
Admin lediglich die PHP-Dateien in
das Document-Root des jeweiligen
Webservers kopieren, etwa »/var/www/
html« (Fedora, RHEL, CentOS), »/var/
www« (Debian, Ubuntu) oder »/srv/
www/htdocs« (SLES, OpenSuse). Läuft
www.admin-magazin.de
Admin
Ausgabe 01-2014

80
Test
Zabbix 2.2
dem Überwachungstyp im Feld »Key«
mit »select« eine Reihe interner Zabbix-
Keys auswählen, die die Details der
Überwachung genauer spezifizieren.
Für einen schnellen Agenten-losen Test
könnte der Admin beispielsweise mit
dem Typ »Simple Check« im Key-Feld
den Zabbix-Schlüssel »icmpping« auswählen.
Mit einem Klick auf »Select«
steht eine entsprechende Auswahlliste
zur Verfügung, die alle Schlüssel für
»Simple Check« auf einen Blick zeigt.
Diese einfache Überwachung anhand
von Pings taucht mit einem Klick auf
»Save« zunächst noch ohne konfigurierte
Trigger in der Item-Liste mit dem
Status »Enabled« auf.
Abbildung 2: Das Konfigurieren der zu überwachenden Hosts erfolgt im Web-Interface.
der Webserver, lässt sich die weitere
Installation des Web-Interfaces unter
der URL »http://Server‐IP/zabbix« mit
einem Installationsassistenten für das
Frontend grafisch fortsetzen (siehe Abbildung
1).
Bei den Appliances sowie den vorkompilierten
Versionen können die geschilderten
Schritte einschließlich der Installation
des Web-Frontends entfallen.
Per Default meldet sich der Admin mit
dem Nutzernamen »Admin« und den
Passwort »zabbix« am Web-Interface
an. Ferner gibt es noch die Accounts
»root/zabbix« für die Konsole und
»root/zabbix« sowie »zabbix/zabbix« für
die Datenbank.
Konfigurieren von Hosts
Das Web-Interface verteilt alle Funktionen
auf die Reiter »Monitoring«, »Inventory«,
»Reports«, »Configuration« und
»Administration«. Zum Überwachen
eines Hosts mit Zabbix dient das Menü
»Configuration | Hosts«. Die angebotene
Host-Liste enthält in der Appliance
auch den Zabbix-Server selbst, der
sich ebenfalls mit Zabbix überwachen
lässt. Für einen neuen Host wählt man
im Menü »Group« den Eintrag »all« und
klickt auf »Create Host«, was zur Dialogseite
der Konfiguration des Hosts führt.
Das muss nicht notwendigerweise
ein PC sein. Ein Host ist in der Zabbix-
Nomenklatur jedes Netzwerkgerät, das
über eine IP-Ardesse verfügt.
Neben einem frei wählbaren »Host‐Namen«
nebst einem gegebenenfalls
etwas ausführlicheren »Visible Name«
für den zu überwachenden Host muss
der Admin eine passende Host-Gruppe
auswählen, wobei die vorkonfigurierten
Gruppen lediglich beispielhaft sind,
und dann die obligatorischen technischen
Parameter wie den DNS-Namen,
die IP-Adresse und den gewünschten
Port (per Default steht hier die Zabbix-
Portnummer 10050) für die Überwachung
angeben (Abbildung 2).
Daten sammeln
Wurde ein erster Host zur Überwachung
angelegt, kann Zabbix von ihm
Daten einsammeln, wozu der Admin
unter »Configuration | Hosts« in der
Spalte »Items« der Host-Liste auf den
betreffenden Link »Items (0)« klickt
und mit »Create Item« rechts oben den
Dialog »Item Hostname« zum Konfigurieren
einer Überwachung aufruft. Die
verfügbaren Überwachungstypen finden
sich im Listenauswahlfeld »Type«.
Neben dem Default-Eintrag »Zabbix
Agent« stehen unter anderem verschiedene
SNMP-Agents, ein IPMI-Agent,
ein SSH-Agent, ein Database-Monitor,
Simple Check oder External Checks zur
Verfügung. Ferner lassen sich neben
Trigger
Danach kann man sich um das Konfigurieren
von Triggern kümmern. Hier
klickt der Admin wieder ausgehend
vom Menü »Configuration | Hosts« in
der Spalte »Triggers« auf den zugehörigen
Link. Das Anlegen eines neuen
Triggers erfolgt mit »Create Trigger«.
Der Dialog erwartet zunächst wieder
einen aussagekräftigen Namen. Mit der
Schaltfläche »Add« lässt sich dann die
zugehörige »Expression« formulieren,
ein Ausdruck also, der beschreibt,
wann der Trigger den Status wahr oder
falsch annimmt. Mit einem Klick auf
»Select« wählt der Admin zunächst
das Item aus der Items-Liste in einem
Popup-Fenster aus. Der Eintrag bei
»Function« steht per Default auf »Last
(most recent) T value = N«, was man
unverändert übernehmen kann.
Das bedeutet, dass der Trigger den
Status »wahr« annimmt, wenn der
letzte ermittelte Wert des Items
»xxxxx:icmpping« »N (Null)« ist. Mit
einem Klick auf »Insert« ist die Expression
definiert und der Admin landet
wieder im Trigger-Dialog, in dem sich
dann noch die Dringlichkeit des Triggers
mithilfe des Listenauswahlfeldes
»Severity« klassifizieren lässt, etwa
»Information« oder »Warning«. Mit
dem Link »Expression constructor«
lassen sich aber auch individuelle
Trigger formulieren und gegebenenfalls
Makros einfügen. Mit »Save« geht
es zurück in die Trigger-Liste, die den
eben definierten Trigger in der Spalte
Ausgabe 01-2014 Admin www.admin-magazin.de

Test
Zabbix 2.2
81
Abbildung 3: Den Status jedes Triggers zeigt Zabbix im Monitor-Menü an.
»Status« mit »Enabled« aufführt. Der
Status des Triggers ist anschließend
jederzeit unter »Monitoring | Triggers«
einsehbar, wobei der Admin mithilfe
der Listenauswahlfelder »Host« und/
oder »Group« die richtigen Filter setzen
muss, um den betreffenden Trigger zu
finden (Abbildung 3).
Aktionismus
Beim Eintreten eines Triggers muss
eine Monitoring-Lösung wie Zabbix
eine Aktion auslösen, zum Beispiel eine
E-Mail an den zuständigen Admin versenden.
Dafür muss man zunächst im
Menü »Administration | Media types«
einen SMTP-Server einrichten. In der
Spalte »Description« sind per Default
die Typen »Email«, »Jabber« und »SMS«
verfügbar. Soll beim Auslösen eines
Triggers eine E-Mail versendet werden,
klickt man auf den Link »Email« und
trägt bei »SMTP server« »SMTP helo«
und »SMTP email« die gewünschten
Werte ein, wobei »SMTP email« die
Absender-Adresse ist, mit der Zabbix
die E-Mail verschickt.
Klickt der Admin dann im Benutzerdialog
des betreffenden Nutzers auf den
Reiter »Media«, kann er mit »Add« ein
neues Medium vom Typ »Email« hinzufügen
und dabei im Feld »Send to« die
gewünschte Ziel-E-Mail-Adresse eintragen.
Mit den Optionsfeldern darunter
stellt man die Dringlichkeitsstufe ein.
Das Einrichten einer Aktion passiert
im Menü »Configuration | Actions«. Mit
dem Listenfeld-Eintrag »Triggers« bei
»Event Source« und einem anschließenden
Klick auf »Create Action« öffnet
sich der Dialog zum Konfigurieren einer
Aktion. Im Reiter »Action« lässt sich
neben einem frei wählbaren Namen
für die Aktion eine Default-Nachricht
formulieren. Hier ist es – wie am Beispieleintrag
zu sehen – möglich und
sinnvoll mit »{TRIGGER.NAME}« oder
»{TRIGGER.STATUS}« auf Variablen zuzugreifen.
Danach lässt sich im Reiter
»Conditions« die jeweilige Bedingung
formulieren und im Reiter »Operations«
mit einem Klick auf »New« eine Operation
definieren. Hier bietet das Listenauswahlfeld
»Operations type« unter
anderem die Option »Send message«.
Mit »Add« bei »Send to User« oder
»Add« bei »Send to user groups« werden
dann die Adressaten bestimmt.
Besser mit Agenten
Im professionellen Einsatz wird man
statt agentenloser Überwachung
meist eher die Variante mit Agenten
vorziehen, alternativ vielleicht noch
eine SNMP- oder IPMI-basierte Überwachung.
Die hervorragenden Visualisierungsfunktionen
unter »Monitoring
| Graphs«, »Monitoring | Screens« und
»Monitoring | Map« sollte man sich
ebenfalls unbedingt ansehen. Ferner
bietet Zabbix im Menü »Iventory« auch
Inventarisierungsfunktionen an, die
andere Hersteller als eigenständiges
Produkt verkaufen würden.
Fazit
Im Vergleich mit Nagios gefällt an
Zabbix vor allem das Web-Interface,
das die Konfiguration von Host, Items
und Triggern erlaubt und nicht nur
der Monitoring-Darstellung dient. Mit
vielen verfügbaren Addons und Third-
Party-Tools einschließlich der in Version
2.2 hinzugekommenen Loadable-
Module-Architektur operiert Zabbix
mindestens auf Augenhöhe mit dem
Nagios-Ökosystem. Die umfangreichen
Visualisierungsfunktionen von Zabbix
und die Verwendbarkeit von Templates
als Grundlage für „Anwendungen“ sprechen
ebenfalls für das leistungsfähige
Tool. Trotz des riesigen Funktionsumfangs
findet man sich im klar strukturierten
und bei der Detailfülle immer
noch übersichtlichen Web-Interface
schnell zurecht. (ofr) n
n Info
Weiterführende Links und
Informationen zu diesem
Artikel finden Sie unter:
www.admin-magazin.de/qr/31532
www.admin-magazin.de
Admin
Ausgabe 01-2014

Dan Kosmayer, 123RF
Cloud Orchestration mit Cloudify
Auf Kommando
Cloud Computing zwingt Admins dazu, sich über Automatisierung neue Gedanken zu machen, denn
klassische Werkzeuge wie Puppet sind nur bedingt für den Einsatz in Cloud-VMs geeignet. Cloudify bietet
sich an, das Problem in den Griff zu kriegen. Martin Loschwitz
Admins befinden sich momentan ja
quasi im Dauerfeuer des Cloud-Marketing:
Die Cloud ist allgegenwärtig. Vor
lauter Wolken verschwimmt dabei oft
genug die Sicht auf die Ideen, die Cloud
Computing eigentlich zugrunde liegen.
Zwei Faktoren sind von großer Bedeutung:
Einerseits geht es darum, die
Hardware von einer einzigen Funktion
zu entkoppeln, die ihr traditionellerweise
oft zugedacht war, zum anderen
geht es um Automatisierung.
Entkopplung in der Cloud
Das Stichwort Entkopplung leuchtet
jedem ein, auch wenn es eigentlich
schon da war, bevor die Cloud ein
Thema wurde: Ein spezifisches Stück
Hardware kann heute in der Regel mehr
leisten als eine darauf laufende Anwendung
benötigt. Virtualisierung löst
das Problem, indem sie einen Rechner
als Host benutzt und verschiedene
virtuelle Systeme gleichzeitig auf ihm
laufen lässt. Im Rahmen der Cloud ist
das von großer Bedeutung, denn anders
als in klassischen Setups ist in der
Cloud die Fluktuation von Systemen
Alltag: Virtuelle Maschinen sind darauf
ausgelegt, gegebenenfalls einfach zu
verschwinden. Was bei physischen Maschinen
völlig undenkbar wäre, ist bei
virtuellen Systemen in Clouds an der
Tagesordnung.
Aus diesem Umstand ergeben sich Konsequenzen
für den Alltag des Admins.
Der Admin wird sich um ein einzelnes
virtuelles System nicht länger kümmern
wie um sein krankes Kätzchen
– nämlich liebevoll auf das Individuum
bezogen –, sondern eher wie um ein
Stück Vieh in der Herde, bei der es
letztlich nur um den durchschnittlichen
Fleischzuwachs geht. Virtuelle Systeme
in Massenhaltung können jederzeit im
Interesse eines übergeordneten Zwecks
starten und stoppen, umziehen oder
gelöscht werden.
Wenn der Plan etwa ist, eine virtuelle
Webserver-Architektur in der Cloud aufzubauen,
dann würde das für den Admin
viel Klickarbeit bedeuten. Deshalb
kommt hier der zweite wichtige Faktor
bei Clouds hinzu: Automatisierung.
Ausgabe 01-2014 Admin www.admin-magazin.de

Virtualisierung
Cloudify
83
Automatisierung drinnen
und draußen
Was das eigentliche Blech angeht, auf
dem Cloud-Umgebungen laufen, ist das
Thema Automatisierung mittlerweile
weit gediehen: Mittels Chef oder Puppet
ist es ohne Weiteres möglich, ganze
Cloud-Umgebungen mit wenigen Mausklicks
aus dem Boden zu stampfen,
sodass aus einem bloßen Server in Sekundenschnelle
ein Hypervisor-Knoten
wird. Um die Automatisierung in der
Cloud kümmert sich die Cloud-Plattform
weitestgehend selbst, lediglich
starten und stoppen muss der Benutzer
seine VMs noch.
Das mag nach sehr wenig Arbeit klingen,
wächst sich aber schnell aus, gerade
dann, wenn Kunden die Features
einer Cloud optimal nutzen wollen: Die
zuvor bereits beschriebene Umgebung
für Webserver manuell zusammenzuzimmern,
würde bedeuten, die einzelnen
VMs aus den vorgesehenen Images
zu starten, sie entsprechend zu konfigurieren
und so am Ende eine funktionierende
Plattform zu erhalten. Würde
man eine solche Umgebung anschließend
abschalten und ein Jahr später
erneut benötigen, ginge die Arbeit von
vorne los. Das Problem: Bis dato gab
es keine Werkzeuge, die sich um die
Automatisierung der VM-Konfiguration
in Clouds ordentlich kümmerten. Chef
und Puppet funktionieren nur bedingt,
denn sie sind eher auf starre Setups
gemünzt, bei denen im Vorfeld klar ist,
wie das Setup am Ende aussehen soll.
Außerdem sind Chef, Puppet und nahezu
alle anderen Automatisierer maßgeblich
auf eine Sicht zugeschnitten,
die eher von ganzen Systemen ausgeht
– IaaS anstatt PaaS, um im Cloud-Kontext
zu bleiben.
Genau an dieser Stelle schlägt die
Stunde der Orchestration-Tools. Unter
dem Oberbegriff der Orchestrierung
läuft bei den meisten Cloud-Umgebungen
im Augenblick alles, was irgendwie
mit der Konfiguration virtueller Maschinen
in Verbindung steht. Cloudify ist
eine solche Orchestrierungslösung und
tritt mit dem Versprechen an, Kunden
das Nutzen von Diensten in der Cloud
einfach und unkompliziert zu ermöglichen.
Dabei unterstützt es verschie-
dene Arten von Public
Clouds, ist Open-
Source-Software und
wird von Seiten des
Herstellers Gigaspaces
aktiv weiterentwickelt.
Grund genug also, sich
das Werkzeug einmal
etwas genauer anzusehen.
Start als PaaS
Gigaspaces, die Firma
hinter Cloudify, hat
mit der Entwicklung
des Tools im Jahre
2012 begonnen. Ursprünglich
konzipiert war Cloudify als
Hilfsmittel für Platform-as-a-Service-
Anwendungen (die Grenzen zu SaaS
sind dabei fließend). Die Grundidee
war, dass es Anwendern schnell und
unkompliziert möglich sein sollte, spezifische
Programme oder auch Dienste
innerhalb einer Cloud-Computing-
Umgebung zu starten.
Genau das ist ja im Grunde Platformas-a-Service:
Anders als bei IaaS-Diensten
erhält der Kunde bei PaaS nicht nur
eine virtuelle Maschine, sondern darin
vorinstalliert auch die Software, die er
für seinen spezifischen Anwendungsfall
benötigt. Das kann Java sein, das kann
eine Datenbank sein, ein Webserver –
Angebote, die Systeme im fertigen
Zustand an ihre Kunden übergeben,
kommen mittlerweile mit zahllosen
Diensten daher, die als PaaS-Angebot
funktionieren.
Seinen Ursprung als PaaS-Lösung sieht
man Cloudify bis heute noch an. Auch
der Slogan des Herstellers „Real apps.
On the Cloud. One Click“ lässt wenig
Spielraum für andere Interpretationen.
Gegenwärtig richtet sich Cloudify
an Kunden, die fertige Appliances in
Cloud-Umgebungen starten und darin
dann schnell eigene Dienste betreiben
wollen, ohne sich mit dem gesamten
technischen Unterbau in größerem
Umfang zu beschäftigen. Der Hersteller
bietet dazu fertige Templates und Images
an, die sich in Cloudify aktivieren
lassen und die danach in einer Cloud
die in ihnen hinterlegten Befehle ausführen.
Abbildung 1: Über die Cloudify-Shell lässt sich in Windeseile eine „lokale
Cloud“ starten, die aber eher als Anschauungs- und Testobjekt
gedacht ist.
Unter der Haube: Der erste
Start
Was genau dürfen sich Admins aber unter
Cloudify vorstellen? Wie verrichtet
das Werkzeug seine Arbeit? Es ist relativ
leicht, sich davon ein eigenes Bild zu
machen, sollte man Windows oder Linux
auf dem eigenen System betreiben.
Dann gibt es auf der Cloudify-Website
nämlich die Möglichkeit, Cloudify auf
die lokale Festplatte herunterzuladen
und dort als »Local Setup« zu betreiben
(Abbildung 1).
Zum besseren Verständnis ist die Information
wichtig, dass Cloudify selbst als
Orchestration-Werkzeug stets mit einer
eigenen Instanz innerhalb einer Cloud
vertreten ist. Ganz gleich, wie ein von
Cloudify gesteuertes Setup konstruiert
ist, die Master-VM gibt es immer. Im
Falle eines »Local Setups« läuft diese
auf dem lokalen Rechner. Cloudify
übernimmt das komplette Bootstrapping
einer eigenen lokalen Cloud, die
ohne einen Zugang zu einem öffentlichen
Cloud-Anbieter und somit mit
wenigen Voraussetzungen auskommt.
Der Cloudify-Tarball ist an die 160 Megabyte
groß, doch wirklich Kontakt hat
der Anwender anfangs nur mit genau
einer Komponente: Der Cloudify-Shell.
Dabei handelt es sich um eine spezielle
Shell für Cloudify; sie ähnelt den
Spezial-Shells, die andere Programme
wie Libvirt mitbringen und ermöglicht
es, an Cloudify spezifische Befehle zu
senden. Die Cloudify-Shell ist insofern
wichtig, als dass Cloudify selbst seine
Befehle über eine ReSTful-API entge-
www.admin-magazin.de
Admin
Ausgabe 01-2014

84
Virtualisierung
Cloudify
Abbildung 2: Basierend auf der Einteilung in Applikationen zeigt das
Dashboard von Cloudify an, wie es den Zustand einer solchen Applikation
einschätzt.
Abbildung 3: Ebenso kann die Cloudify-Shell eine echte Appliance im
Rahmen einer Public Cloud deployen; die entsprechenden Treiber
machen das möglich.
gen nimmt. Die Shell übersetzt quasi
Befehle von Anwendern in das JSON-
Format und ermöglicht so die effektive
Nutzung von Cloudify. Cloudify selbst
besteht im Übrigen aus Java und benötigt
deshalb ein aktuelles JDK (ein
Java-Runtime-Environment reicht ausdrücklich
nicht aus, wie die Cloudify-
Entwickler in der Dokumentation des
Werkzeugs erklären).
Hat das Bootstrapping der ersten Cloud
funktioniert, egal ob als Test auf dem
lokalen System oder als echtes Deployment
in einer Public Cloud, steht im
Anschluss das Cloudify-Web-Frontend
zur Verfügung (Abbildung 2). Das kann
mehr, als man auf den ersten Blick
glauben würde: Neben der Möglichkeit,
PaaS-Deployments zu starten, lassen
sich hier auch Performance-Werte des
aktuellen Deployments und Monitoring-Informationen
herausfinden.
Das Web-
Interface läuft dabei
stets in der Management-VM;
die meisten
Admins dürften es der
Cloudify-Shell vorziehen,
weil es in jedem
Webbrowser funktioniert.
Modularer
Aufbau
De facto besteht Cloudify
also aus mehreren
Teilen, und die Modularität
der Lösung setzt sich wiederum
auch bei den einzelnen Teilen fort, die
gleichfalls aus mehreren Komponenten
bestehen. Die Haupt-Engine ist zum
Beispiel in der Lage, die Kommunikation
mit einer spezifischen Public Cloud
abzuwickeln, indem sie dafür einen eigenen
„Cloud-Treiber“ verwendet (Abbildung
3). Das richtet sich besonders
an diejenigen Anwender, die Cloudify
tatsächlich nutzen möchten, um damit
die Orchestrierung von VMs in Public
Clouds durchzuführen – vermutlich die
große Mehrheit der Cloudify-Anwender.
Die Zahl der unterstützten Clouds deckt
dabei alle wichtigen Player ab: Amazon,
Rackspace, Microsoft Azure, alles,
was mit OpenStack kompatibel ist, HPs
Cloud. Mit der gleichen Instanz von
Cloudify ist es übrigens auch möglich,
mehrere Public-Cloud-Zugänge zeitgleich
zu verwalten,
sogar Multi-Tier-Clouds
sind möglich, also
Installationen, die
mehrere Public Clouds
überspannen.
In der Cloudify-Engine
verborgen existiert allerdings
noch deutlich
mehr Logik, welche die
Benutzung des Werkzeugs
sehr angenehm
macht. Da wäre unter
anderem die Tatsache,
dass sich für einzelne
PaaS-Anwendungen
Lastgrenzen definieren
lassen. Im laufenden
Betrieb findet die Master-Instanz
von Cloudify über eine eigene
Logik heraus, welche Last auf den
VMs mit der PaaS-Anwendung gerade
anliegt. Übersteigt die vorhandene Last
vom Admin festgesetzte Limits, kümmert
sich Cloudify automatisch darum,
dass mehr Instanzen der Applikation
gestartet werden. So bleibt die Ladezeit
für Benutzer der App auf einem erträglichen
und akzeptablen Level, und
dennoch ist das System automatisiert,
erfordert also seitens des Admins kein
Eingreifen.
Recipes
Technisch ist damit klar, wie eine
Cloudify-Installation auszusehen hat,
doch eine Frage ist unbeantwortet: Wie
definiert der Admin die Eigenschaften
einer PaaS-Plattform, sodass er darin
nach dem Start seine Anwendung auch
sicher betreiben kann? An dieser Stelle
kommen bei Cloudify die Recipes ins
Spiel, denn die legen genau jene Parameter
fest.
Intern unterscheiden die Cloudify-
Recipes zwischen mehreren Typen. Auf
der einen Seite gibt es die Application-
Recipes; eine Application in Cloudify ist
quasi der Oberbegriff für alle Dienste,
die zum Betrieb der Applikation notwendig
sind. Soll beispielsweise eine
Webplattform betrieben werden, die
phpBB enthält, so könnte die Applikation
»phpBB« heißen.
Ein Application-Recipe besteht aus
den Definitionen mehrerer Services.
Ein Service in Cloudify ist ein konkreter
Dienst, beispielsweise »MySQL«, das
im Beispiel notwendig sein könnte, um
»phpBB« sinnvoll zu nutzen. Damit ein
Dienst in Cloudify im Rahmen von PaaS
verwaltbar ist, bedarf es also eines entsprechenden
Service-Recipes, ein Füllhorn
an Recipes für die meisten alltäglichen
Anwendungen findet sich unter
[1] (Abbildung 4). Wer seinen Kunden
die Möglichkeit bieten möchte, einen
Webserver zum Beispiel für das eigene
Blog zu betreiben, wird mit diesen fertigen
Recipes bereits glücklich werden
– sollen allerdings spezifische Dienste
in der Cloud ebenfalls automatisiert zu
deployen sein, dann ist an dieser Stelle
die Entwicklung eines Service-Recipes
angesagt.
Ausgabe 01-2014 Admin www.admin-magazin.de

Virtualisierung
Cloudify
85
Service-Recipes haben eine verhältnismäßig
komplexe Anatomie, so
unterstützen sie sogenannte Lifecycle-
Events, die wichtiger sind, als sie im
ersten Augenblick wirken. Letztlich
erledigen Lifecycle-Events das, was für
das Deployment einer PaaS-Anwendung
elementar ist: Sie sorgen dafür,
dass – ausgehend von bestimmten
Events (zum Beispiel Start/Stopp) einer
Applikation – deren Service-Recipes die
entsprechenden Befehle befolgen. Ein
Recipe müsste also zum Beispiel beim
Lifecycle-Event „Start“ dafür sorgen,
dass das Programm installiert ist und
gestartet wird.
Auch auf die Begrifflichkeiten kommt
es an: Die Cloudify-Entwickler trennen
im Application-Kontext zwischen
„Services“ und „Service Instances“.
Letzeres ist eine konkrete Inkarnation
eines Dienstes, während der Begriff
„Service“ die clusterweit verfügbaren
Instanzen desselben Dienstes bezeichnet.
„MySQL“ als Service bezieht sich
also auf alle Instanzen von MySQL, die
zu einer Cloudify-Applikation gehören;
eine „Service-Instanz“ hingegen würde
sich auf eine spezifische Instanz des
Dienstes beziehen, die eindeutig identifizierbar
ist.
Insgesamt ist das Prinzip der Recipes
in Cloudify sehr umfassend und am
Anfang zweifellos auch komplex; hilfreich
zur Seite steht dann allerdings
die Cloudify-Dokumentation [2], die
neben ausführlichen Erklärungen auch
konkrete Beispiele für die wichtigsten
Themen enthält. Detailliert beschreibt
Gigaspaces darin beispielsweise, wie
sich über Recipes ein Tomcat- oder
auch ein MongoDB-System als PaaS
etablieren lässt.
Die Integration mit externen
Werkzeugen
Obgleich Chef sich eher um Hosts denn
um konkrete Applikationen kümmert,
ist den Cloudify-Entwicklern eine Anbindung
ihrer Software an das zentrale
Management-Werkzeug durchaus
wichtig; seit Cloudify 2.2 ist es deshalb
auch möglich, Chef zu benutzen,
um innerhalb virtueller Maschinen
Applikationen zu deployen. Die Gigaspaces-Entwickler
wollen die Funktion
ausdrücklich als eine
verstanden wissen,
die komplementär zu
den Cloudify-eigenen
Recipes ist; de facto
lässt sich über die Anbindung
an Chef aber
das meiste, was in den
Recipes von Cloudify
zu finden ist, über
Cookbooks anbinden,
insofern diese in hinreichender
Qualität für
Chef vorhanden sind.
Blick in die
Zukunft: Cloudify 3.0
Die aktuelle Cloudify-Version 2.6 hat
bereits einige Zeit auf dem Buckel.
Gigaspaces arbeitet mit Hochdruck an
einer neuen Version, die bei Erscheinen
die Versionsnummer 3.0 tragen wird.
Wobei es an dieser Stelle möglicherweise
untertrieben ist, nur von einer
„neuen Version“ zu sprechen, denn für
Cloudify 3.0 drehen die Entwickler die
Lösung quasi einmal auf links und
schreiben weite Teile neu. Das ist
zum Teil auch mit einer strategischen
Neuausrichtung verbunden, die unmittelbar
mit dem OpenStack-Projekt
zusammenhängt.
Ausgehend vom riesigen Hype, der das
OpenStack-Projekt sowie die zu ihm gehörende
Cloud-Computing-Umgebung
erfasst hat, muss sich ein Produkt wie
Cloudify natürlich auch mit OpenStack
genauer befassen. Bis dato war die
OpenStack-Unterstützung in Cloudify
eher ausbaufähig, was zum großen Teil
daran lag, dass es seitens OpenStack
keine klaren Vorgaben gab, was die
Orchestrierung angeht. Das Problem
ist übrigens keineswegs spezifisch im
Hinblick auf das Thema Orchestration,
denn auch die Hersteller anderer
Programme, die mit OpenStack zusammenarbeiten,
tun sich bisweilen
schwer. Der Netzwerk-Stack Neutron
ist ein klassisches Beispiel für eine
Komponente, die immer wieder eher
massive Veränderungen durchläuft und
es so für Drittanbieter schwierig macht,
strategische Entscheidungen zu fällen.
In Sachen Orchestration hielt sich
OpenStack bis dato sehr bedeckt.
Abbildung 4: Über das Web-Interface lassen sich Recipes auswählen,
die sich dann unmittelbar als Applikation starten lassen.
Zwar tauchte das Thema immer wieder
mal auf verschiedenen Agenden
auf, konkrete technische Ansätze zur
Implementierung fehlten allerdings.
In OpenStack Havana hat sich das
geändert, in Form von Heat steht jetzt
eine Komponente für OpenStack zur
Verfügung, die Orchestrierung nach
mehreren unterschiedlichen Formaten
ermöglicht. Heat ist im Grunde eine
Template-Processing-Engine, die Umgebungsbeschreibungen
auf der einen
Seite liest und dann auf der Cloud-Seite
entsprechend umsetzt. Ähnlich wie bei
Cloudify könnte ein Heat-Template also
durchaus die Anweisung haben: „Starte
fünf Webserver und einen Loadbalancer
mit automatischer Skalierung“.
Hausinterne Konkurrenz?
Heat basiert im Wesentlichen auf den
Erfahrungen, die Amazon schon mit seinem
CloudFormation-Produkt gesammelt
hat. Erstaunlicherweise ist Heat
als OpenStack-Komponente jüngeren
Datums: Erst im Oktober 2013 wurde
die Lösung Core-Komponente, also
offizieller OpenStack-Bestandteil. Was
bedeutet das für Cloudify? Denn im
Grunde existiert in OpenStack ja nun
eine Komponente, die genau das tut,
was Cloudify zuvor ebenfalls tat, und
zwar in sehr ähnlicher Weise. Lohnt
es sich da überhaupt noch, Zeit sowie
Arbeit in die Adaption von Cloudify für
OpenStack zu stecken?
Durchaus, denken jedenfalls die Entwickler:
Cloudify 3.0 driftet sehr deutlich
in Richtung OpenStack, die von
Gigaspace zur Verfügung gestellten
www.admin-magazin.de
Admin
Ausgabe 01-2014

86
Virtualisierung
Cloudify
Abbildung 5: Auch für Freunde der Statistik hält Cloudify Infos bereit:
Über die Last-Anzeige ist ersichtlich, welche Ressourcen einzelne Applikationen
gerade in Anspruch nehmen.
n Info
Informationen geben davon Zeugnis.
Selbstverständlich wird Cloudify 3.0
auch weiterhin andere Cloud-Systeme
unterstützen, die Lösung wird also
nicht zur „OpenStack-Only“-Software.
Und doch wird Cloudify 3.0 eng mit
OpenStack verzahnt sein – dazu gehört
die Unterstützung sämtlicher APIs
in OpenStack, sodass Cloudify nativ
mit ihnen kommunizieren kann. Und
natürlich wird Cloudify 3.0 nicht die
Funktionen nachbauen, die in Heat
bereits vorhanden sind; entsprechende
Arbeitsschritte leitet Cloudify in Zukunft
einfach an Heat weiter, was von
einer nahtlosen Integration der beiden
Tools zeugt.
Außerdem bohren die Gigaspaces-
Entwickler die Policy-Engine von Cloudify
auf: Jene ist in Cloudify 2 dafür
verantwortlich, die Skalierbarkeit in
die Breite zu gewährleisten. Wenn also
in einer bestehenden Plattform neue
VMs gestartet werden, um eine bessere
Lastverteilung zu erreichen, dann
steckt die Policy-Engine dahinter. In
Weiterführende Links und
Informationen zu diesem
Artikel finden Sie unter:
www.admin-magazin.de/qr/31279
Cloudify 3.0 wird die
Engine sehr viel mehr
können. Die Grundidee
besteht darin, definierbare
Workflows zu gestalten,
die ausgehend
von spezifischen Ereignissen
– also eventbasiert
– bestimmte
Aktionen durchführen,
und zwar deutlich
umfangreicher, als
es in den aktuellen
Versionen der Fall ist.
Letztlich soll Cloudify
for OpenStack das werden,
was Amazon bei
sich als AWS OpsWorks
tituliert: Automatisierung,
die sich weniger
auf virtuelle Systeme
denn auf spezifische
Applikationen in den VMs bezieht. Gigaspaces
realisiert das mittels des Template-Formats
»TOSCA« [3], das besser
auf die spezifischen Anforderungen
von Apps abgestimmt ist als die von
Heat genutzten Formate. Damit einher
geht erneut die Integration mit Chef,
wobei später definitiv auch andere
Konfigurations-Management-Systeme
funktionieren sollen.
Ein weiterer großer Schritt in Cloudify
3 ist die Tatsache, dass das Tool einen
Rewrite in Python durchlaufen hat, was
ebenfalls auf die gewünschte, engere
Anbindung an OpenStack zurückzuführen
sein dürfte.
Fazit
Cloudify in Version 2 ist ein überaus
praktisches Werkzeug, mit dem sich
Orchestrierung über die Grenzen verschiedener
Clouds hinweg praktisch
und effektiv umsetzen lässt. Gerade die
Möglichkeit der Multi-Tier-Clouds sorgt
für Freude, weil sie sogar das Verwalten
von VMs über die Grenzen einzelner
Cloud-Anbieter hinweg problemlos
ermöglicht. Möglichkeiten wie automatisches
Skalieren in die Breite bei
Anwendungen innerhalb der Cloud sind
nützlich und sorgen gegebenenfalls
dafür, dass Applikationen sogar dann
online bleiben, wenn gerade viel Last
anliegt (Abbildung 5).
Zugute kommt der Lösung dabei, dass
Gigaspaces tatsächlich konsequent
einzelne Applikationen auch als solche
betrachtet und damit dem Motto der
Platform-as-a-Service treu bleibt; alles,
was in Cloudify passiert, passiert auf
Grundlage konkreter Apps und nicht
auf Grundlage der VMs, in denen die
Apps laufen.
Nicht gar so heftige Begeisterungsstürme
lösen hingegen einige der
Design-Konzepte aus, die in Cloudify
2 umgesetzt sind. Die Tatsache, dass
der Dienst vollständig auf Java basiert,
dürfte manchem Admin böse aufstoßen.
Hinzu kommt, dass es in den meisten
Fällen wahrscheinlich eine Weile
dauern wird, bis sich ein Admin in das
System der Recipes in Cloudify hineingedacht
hat. Dass Chef alternativ zum
Einsatz kommen kann, ist gut, auch
wenn Puppet zumindest hierzulande
die augenblicklich weiter verbreitete
Lösung zu sein scheint.
Cloudify 3.0 verspricht viel Freude,
auch wenn zu Redaktionsschluss von
dem Werkzeug noch nicht viel mehr
öffentlich verfügbar war als eine kleine
Demo: Cloudify 3 hat das Potenzial
dazu, eine wichtige Komponente gerade
für OpenStack-Setups werden zu
können.
Die taktische Neuausrichtung ist dabei
nicht zu übersehen: Gigaspaces sieht
die Zukunft des Werkzeugs offenbar im
OpenStack-Kontext, verspricht allerdings,
die Features für andere Clouds
beizubehalten und auch diese weiterhin
zu unterstützen. Ob das Versprechen
für die Ewigkeit gilt, dürfte aber
wie immer davon abhängen, wie rege
sich die Nachfrage nach diesen Funktionen
gestaltet.
Fest steht: Wer ein nützliches Werkzeug
sucht, um im Rahmen einer Public
Cloud PaaS-Komponenten zu pflegen,
der sollte sich Cloudify auf jeden
Fall einmal anschauen. Eingedenk
der Tatsache, dass es sich um Open-
Source-Software handelt, die kostenlos
erhältlich ist, und dank des leichten
und sehr gut dokumentierten Setups ist
ein Testlauf recht schnell gestartet. Ob
das auch für Cloudify 3.0 gelten wird,
muss sich leider erst noch herausstellen.
(jcb) n
Ausgabe 01-2014 Admin www.admin-magazin.de

James Thew, 123RF
Virtuelle IDE- und SCSI-Controller mit Hyper-V einsetzen
Virtuelle Kontrolle
Hardware-Zugriffe nehmen bei der Virtualisierung eine Sonderrolle ein. Das gilt auch für Festplatten-
Controller; Hyper-V kommt sowohl mit IDE als auch mit SCSI zurecht, allerdings je nach Version in unterschiedlicher
Weise. Thomas Joos
Windows Server 2012 hat mit der einhergehenden
Hyper-V-Version einige
neue Möglichkeiten virtualisierter Festplatten-Controller
eingeführt. Bei der
neueren Version Windows Server 2012
R2 hat Hersteller Microsoft hier nochmals
nachgerüstet. Auch bei den Pround
Enterprise-Varianten von Windows
8 und 8.1 stehen diese zur Verfügung.
Die Unterschiede zwischen Server 2012
und 2012 R2 beziehungsweise Windows
8 und 8.1 betreffen vor allem die Einsatzmöglichkeiten
von IDE- und SCSI-
Controllern, wie dieser Artikel zeigt.
Grundlagen
In einer virtuellen Umgebung sind IDE-
Controller zwar nicht langsamer als
ihre SCSI-Pendants, dafür aber in den
Möglichkeiten deutlich begrenzt. Das
unterscheidet sie von den physischen
Controllern, wo SCSI sich gegenüber
IDE auch durch höhere Geschwindigkeit
auszeichnet.
Der Funktionsumfang ist jedoch bei virtuellen
IDE-Controllern gleichermaßen
begrenzt. Die Hintergründe zu verstehen,
hilft, den passenden Controller
zu finden. In Windows Server 2012 und
in den virtuellen Maschinen der ersten
Generation von Windows Server 2012
R2 müssen virtuelle Server immer über
einen IDE-Controller verfügen, an den
das Bootlaufwerk angeschlossen ist,
denn virtuelle Server booten erst ab
der zweiten Generation mit Windows
Server 2012 R2 von SCSI-Controllern.
Weder virtuelle IDE- noch SCSI-Controller
stehen in direkter Verbindung zum
physischen Controller. Sie stehen also
ausschließlich der virtuellen Maschine
zur Verfügung. Bei einem neuen virtuellen
Server bindet Hyper-V automatisch
zwei IDE- und einen SCSI-Controller
ein; nur bei Gästen der zweiten Generation
fehlen die virtuellen IDE-Controller.
Wie physische erlauben auch virtuelle
IDE-Controller höchstens zwei angeschlossene
Festplatten. Des Weiteren
bietet ein virtueller Server mit Hyper-V
Platz für maximal zwei IDE-Controller,
während darin bis zu vier virtuelle SCSI-
Controller unterkommen. Letztere bieten,
wiederum sowohl in physischer als
auch in virtueller Umsetzung, mehrere
Kanäle mit zahlreichen Anschlussmöglichkeiten.
Ein SCSI-Controller steuert
bis zu 16 Festplatten, bei vier Controllern
summiert sich die maximale
Anzahl angeschlossener Geräte also auf
64 (siehe Abbildung 1).
Beim Booten greift ein virtueller Server
der ersten Generation auf den IDE-Controller
in der gleichen Weise wie auf ein
physisches Gerät zu, reagiert also nicht
gesondert auf die virtuelle Umgebung.
Hyper-V schreibt die Befehle an den virtuellen
IDE-Controller so um, dass die
Zugriffe funktionieren. IDE-Festplatten
stehen also auch dann zur Verfügung,
wenn auf dem virtuellen Server die Integrationsdienste
noch nicht gestartet
sind. Sind diese dann geladen, stehen
der virtuellen Maschine auch die speziellen
Treiber für virtuelle IDE- und SCSI-
Controller zur Verfügung.
Das ist bei den virtuellen Maschinen der
zweiten Generation anders. Hier weiß
Ausgabe 01-2014 Admin www.admin-magazin.de

Virtualisierung
Virtuelle Controller
89
Abbildung 1: SCSI- und IDE-Controller im Hardware-Assistenten.
Abbildung 2: Virtuelle Platten können an mehreren Servern hängen.
chermaßen begrenzen,
allerdings ebenfalls
erst ab der Windowsdas
Betriebssystem bereits beim Start,
dass es sich in einer virtuellen Umgebung
befindet. Solche Gastsysteme
unterstützen allerdings keinerlei emulierte
Hardware, auch keine virtuellen
IDE-Controller beim Booten. Sie fahren
über das UEFI-System von virtuellen
SCSI-Controllern hoch. Diese werden
nicht emuliert, sondern sind als Treiber
direkt in den Hypervisor integriert
und dadurch schon beim Booten für
den Gast direkt zugänglich. Sobald ein
virtueller Server gestartet ist und die Integrationsdienste
geladen sind, greifen
die virtuellen Maschinen ebenfalls über
Treiber mit dem Hypervisor auf den
Controller zu. Ab diesem Moment gibt
es keine Geschwindigkeitsunterschiede
mehr zwischen virtuellen IDE- und
SCSI-Controller, da beide über die gleiche
Technik angebunden sind.
Virtuelle Maschinen der zweiten Generation
setzen als Gast-Betriebssystem
allerdings mindestens Windows Server
2012 oder Windows 8 voraus, da ältere
Betriebssysteme den neuen Standard
nicht unterstützen.
An virtuelle SCSI-Controller angeschlossene
Festplatten lassen sich
auch im laufenden Betrieb vom Server
an- oder aushängen (Abbildung 2). Das
funktioniert sowohl mit virtuellen Festplatten
als auch mit physischen, die
über virtuelle SCSI-Controller angebunden
sind. Bei virtuellen IDE-Controllern
funktioniert dies nicht; darüber angeschlossene
Festplatten lassen sich nur
an- oder aushängen, wenn die virtuelle
Maschine ausgeschaltet ist.
Seit Windows Server 2012 R2 und
Windows 8.1 bietet Hyper-V zudem die
Möglichkeit, auch die Größe virtueller
Festplatten im laufenden Betrieb zu
ändern. Dazu müssen die Festplatten
jedoch an einem virtuellen SCSI-Controller
angeschlossen sein.
Die beiden aktuellen Windows-
Versionen weisen optional außerdem
virtuelle Festplatten, die an virtuellen
SCSI-Controllern angeschlossen sind,
mehreren virtuellen Servern zu (Shared
VHDX). Das ist vor allem für virtuelle
Cluster auf Hyper-V-Hosts sinnvoll.
Diese Einstellung
findet sich in den erweiterten
Features bei
den Festplatten des
virtuellen Servers.
Bei virtuellen IDE- und
SCSI-Controllern lassen
sich Dienstqualität
und Bandbreite virtueller
Festplatten glei-
Server-Version 2012 R2 oder Windows
8.1 als Hyper-V-Host. Eine Kombination
mit Shared-VHDX-Festplatten erlaubt
diese Konfiguration bislang aber nicht.
Virtuelle SCSI-Controller
Egal, ob eine virtuelle Maschine läuft
– im Fall eines SCSI-Controllers – oder
nicht, eine neue Festplatte fügt die
Hyper-V-Manager im grafischen Frontend
nach einem Rechtsklick auf den
gewünschten virtuellen Server im
»Einstellungen«-Menü hinzu. In der
Folge wählt man dort den passenden
Controller und »Festplatte | Hinzufügen«
(Abbildung 3).
Anschließend wird eine neue Festplatte
über »Virtuelle Festplatte | Neu« angelegt.
Es folgt die Auswahl des Formats:
Zur Verfügung stehen hierbei VHD und
Abbildung 3: Virtuelle Festplatten emuliert Hyper-V sowohl für IDE- als
auch für SCSI-Controller.
www.admin-magazin.de
Admin
Ausgabe 01-2014

90
Virtualisierung
Virtuelle Controller
Abbildung 4: Physische Festplatten in virtueller Umgebung.
n Info
VHDX, die sich in ihrer Maximalgröße
von zwei beziehungsweise 64 TByte
deutlich unterscheiden. Die Option
»Dynamische Größe« statt »Feste
Größe« ermöglicht dem virtuellen Laufwerk,
erst bei zunehmender Auslastung
mitzuwachsen.
»Differenzierung« erzeugt die neue
Platte auf Basis einer bereits vorhandenen.
Auf diese Weise lässt sich eine
Festplatte – empfohlenerweise mit eingeschaltetem
Schreibschutz – als Basisinstallation
für mehrere Gastsysteme
verwenden. Die Differenzplatte enthält
nur die im Gastsystem vorgenommenen
Änderungen, indem alle Schreibzugriffe
auf die Differenzplatte umgeleitet
werden. Bei Lesezugriffen kombiniert
der Hypervisor den Inhalt der Differenzfestplatte
und den Inhalt der zugrunde
liegenden virtuellen Festplatte, ohne
dass der Gast etwas davon bemerkt.
Die zugrunde liegende Festplatte wird
nicht mehr verändert, und die Differenzfestplatte
bleibt relativ klein, da
Weiterführende Links und
Informationen zu diesem
Artikel finden Sie unter:
www.admin-magazin.de/qr/31226
sie nur Änderungen
enthält. So spart diese
Methode viel Zeit und
Platz im Vergleich zu
mehreren Klonen derselben
Maschine.
All diese Festplattenvarianten
stehen übrigens
für alle Controller
– egal ob IDE oder
SCSI – zur Wahl.
Alternativ zum grafischen
Frontend im
Hyper-V-Manager steht
auch die Powershell
zur Änderung der Festplattenkonfiguration
von virtuellen Maschinen
zur Verfügung.
Zunächst zeigt der
folgende Befehl die
bereits vorhandenen
SCSI-Controller an:
Get‐VMScsiController ‐VMname U
Um eine neue Festplatte hinzuzufügen,
geben Sie folgenden Befehl ein:
Add‐VMHardDiskDrive ‐VMname ‐Path U
‐ControllerType SCSI ‐ControllerNumber U
Das Kommando »CMDlet Add‐VMScsi-
Controller« fügt anschließend einem
virtuellen Server einen SCSI-Controller
hinzu.
Windows Server 2012 R2 hat auch die
Möglichkeit eingeführt, den physischen
Speicherort virtueller Festplatten auf
einem Hyper-V-Host sogar im laufenden
Betrieb zu ändern. Das ist zum
Beispiel sinnvoll, um einen Datenträger
zu vergrößern oder virtuelle Datenträger
auf ein NAS oder SAN auszulagern.
Auch diese Option steht für beide
Controller-Varianten, IDE und SCSI, zur
Verfügung.
Im Hyper-V-Manager genügt dafür ein
Klick mit der rechten Maustaste auf
einen virtuellen Server, die Wahl von
»Verschieben« und im folgenden Assistenten
»Speicher des virtuellen Computers
verschieben«. Bei Bedarf landen
Konfiguration, Snapshots, virtuelle
Festplatten und Smart-Paging-Dateien
in verschiedenen Zielordnern.
Smart Paging kommt zum Einsatz, um
virtuellen Maschinen beim Start die
Nutzung der Host-Festplatte als Arbeitsspeicher
zu erlauben, falls andere
Maschinen bei dynamischer Speicherverteilung
(Dynamic Memory) den vorhandenen
Speicher bereits vollständig
verwenden. Nach dem erfolgreichen
Start wird der Festplattenplatz wieder
freigegeben und der virtuelle Server
erhält seinen Speicher.
USB-Festplatten und Hyper-V
Leider unterstützt Hyper-V auch in
der neuen Version von Windows Server
2012 R2 keine direkte Anbindung
von USB-Geräten. Es besteht aber die
Möglichkeit, externe Festplatten, die
am Hyper-V-Host angeschlossen sind,
virtuellen Servern zur Verfügung zu
stellen.
Um eine USB-Festplatte mit einem
virtuellen Server zu verbinden, schließt
man diese direkt an den Hyper-V-Host
an, damit sie im System verfügbar
ist. Auf der Befehlszeile gibt das
Kommando »diskpart« Zugriff auf
die angeschlossenen Laufwerke. »list
disk« verrät die Nummer der externen
Festplatte, die anschließend als
Argument für das Kommando »select
« dient. Nun schaltet
»offline disk« die ausgewählte Platte
vorerst ab. Sie sollte nun auch mit »list
disk« im »diskpart«-Interface und in der
Datenträgerverwaltung des Hyper-V-
Hosts über »diskmgmt.msc« mit dem
Vermerk offline erscheinen.
Anschließend lässt sich diese Festplatte
im Hyper-V-Manager einem Controller
eines virtuellen Servers zuweisen. Die
Vorgehensweise unterscheidet sich
von der bei virtuellen Platten lediglich
darin, dass man »Physische Festplatte«
aktiviert und die gewünschte USB-
Platte in der entsprechenden Auswahlliste
markiert (Abbildung 4).
Nun kommt die Festplattenverwaltung
auf dem virtuellen Server zum Einsatz,
ebenfalls mit »diskmgmt.msc«. Hier
lässt sich die Platte per Kontextmenü
online schalten und mit einem Laufwerksbuchstaben
versehen. (csc) n
Ausgabe 01-2014 Admin www.admin-magazin.de

chuyu, 123RF
Virt-Builder erzeugt VM-Images im Nu
Wie der Blitz
Mit dem Virt-Builder-Tool lassen sich in wenigen Sekunden neue virtuelle Maschinen anlegen.
Das ADMIN-Magazin hat einen ersten Blick auf das brandneue Tool geworfen. Oliver Frommel
Im Bereich Virtualisierung schreitet
die Linux-Welt rasant voran. Erst gab
es nur VMware, dann war Xen eine Zeit
lang sehr beliebt, mittlerweile ist KVM
(Kernel Virtual Machine) das dominierende
Hypervisor-System, auf dem beispielsweise
auch die Enterprise-Virtualisierungslösung
von Red Hat basiert.
Der „weltweit führende Anbieter von
Open-Source-Lösungen“, wie er sich
gerne selbst bezeichnet, möchte mit
der Weiterentwicklung der RHEV (Red
Hat Enterprise Virtualization) gerne
VMware Marktanteile abnehmen, aber
das ist angesichts der mit dem gleichen
Plan antretenden Konkurrenz durch Mi-
n Listing 1: »localconfigure«
01 . localenv
02 ./autogen.sh \
03 ‐‐prefix /usr \
04 ‐‐libdir /usr/lib \
05 ‐‐disable‐static \
06 ‐‐enable‐gtk‐doc \
07 ‐C \
08 "$@"
n Listing 2: »localenv«
01 export SKIP_TEST_PARALLEL_MOUNT_LOCAL=1
02 export SKIP_TEST_FILE_ARCHITECTURE_11=1
crosofts Hyper-V ein ehrgeiziges Ziel.
Jedenfalls investiert Red Hat eine
ganze Menge in die Entwicklung des
Linux-Kernels, des Hypervisors und
der ganzen Infrastruktur drumherum.
Ein Beispiel dafür ist die Libguestfs,
die den Zugriff auf und das Arbeiten
mit virtuellen Disk-Images ermöglicht.
Sie wurde in ADMIN 02/​2011 vom Red-
Hat-Entwickler Richard W.M. Jones
vorgestellt [1], der jetzt ein neues Tool
der Sammlung hinzugefügt hat. Schon
länger hat er mit den von ihm so benannten
Supermin-Appliances experimentiert:
Extrem kleinen Images (um
100 KByte), die in Sekundenschnelle
booten. Darauf basierend hat er nun
das Tool Virt-Builder entwickelt [2],
das die Installation neuer VM-Images
stark beschleunigt. Sonst ist dies ein
eher langwieriger Prozess, der eine
gewöhnliche Installation einer Linux-
Distribution umfasst.
VMs blitzschnell
Mit Virt-Builder geht das alles etwas
schneller, denn ein neues VM-Image
wird damit basierend auf abgespeckten
Templates erstellt, die nur die
nötigsten Komponenten beinhalten:
im Wesentlichen einen Linux-Kernel,
die Basis-Daemons und Systemd (siehe
dazu die Admin-Story in diesem Heft).
Zurückgreifend auf weitere Tools aus
dem Libguestfs-Paket passt Virt-Builder
das Template an die Wünsche des
Administrators an, setzt etwa das Root-
Passwort, konfiguriert das Netzwerk
und so weiter.
Enthalten ist Virt-Builder in Libguestfs-
Paketen ab der Version 1.24, die noch
keiner aktuellen Linux-Distribution beiliegt.
Deshalb bleibt demjenigen, der
Virt-Builder schon jetzt ausprobieren
will, nur die Installation aus dem Quellcode,
den man als Tar-Paket oder direkt
aus dem Github-Repository herunterladen
kann. Für Fedora 20 bietet Jones
schon fertige RPMs von Libguestfs
1.24 an, aber die Distribution befindet
sich derzeit noch im Beta-Stadium.
Praktischerweise muss die Libguestfs
nicht systemweit installiert werden, um
die neuen Tools auszuprobieren. Mit
speziellen Run-Skripts lassen sich die
Programme auch direkt im Quellcodebaum
starten.
Die Abhängigkeiten für die Libguestfs
lassen sich auf Debian/​Ubuntu praktischerweise
leicht mit dem Befehl
»apt‐get builddep libguestfs« auflösen.
Darüber hinaus werden noch die Pa-
Ausgabe 01-2014 Admin www.admin-magazin.de

Virtualisierung
Virt-Builder
93
kete »flex«, »bison«, »curl« und »gnupg«
benötigt. Weil die Tools außerdem
Dateien aus dem Host-Dateisystem
verwenden, muss es unbedingt auf
dem Laufenden sein (»apt‐get update«
und »apt‐get dist‐upgrade« bei Debian/​
Ubuntu). Ist das alles erledigt, konfiguriert
»./configure« den Quellcode und
»make« übersetzt ihn – auf Multicore-
Systemen lässt sich das mit »make
‐jAnzahl‐Cores« beschleunigen. Um die
Libguestfs aus dem Github-Repository
zu übersetzen, empfehlen die Entwickler
das Skript aus Listing 1, das auf
Listing 2 zurückgreift.
Normalerweise braucht Virt-Builder für
das Erzeugen eines Images keine Root-
Rechte. Allerdings muss es auf das
Kernel-Image und die initiale Ramdisk
des Hosts zugreifen, die dummerweise
unter Ubuntu für normale Anwender
nicht zugänglich sind. Also muss man
entweder Virt-Builder mit »sudo« ausführen
oder die Zugriffsrechte im Verzeichnis
»/boot« entsprechend anpassen.
Einen Test der übersetzten Tools
startet »make quickcheck«. Hat alles
geklappt, kann es mit dem Virt-Builder
losgehen.
Eine Übersicht über die zur Verfügung
stehenden Systeme gibt »virt‐builder
‐‐list«. Wie erwähnt, muss das Tool im
Quellcode-Baum mit einem Run-Skript
ausgeführt werden:
./run builder/virt‐builder ‐‐list
Die Ausgabe ist in Abbildung 1 zu sehen.
Leider funktioniert aber der Bau
eines Images an dieser Stelle noch
nicht, denn es fehlen noch die passenden
Templates für diese Systeme, die
normalerweise im Verzeichnis »builder/
website/« liegen. Zu finden sind sie
unter der Adresse [3]. Um dort zum Beispiel
ein Image für eine Installation von
Fedora 19 herunterzuladen, wechselt
man ins Verzeichnis »builder/website«
und gibt dort den folgenden Befehl ein:
wget http://libguestfs.org/U
download/builder/fedora‐19.xz
Das Image ist nur 164 MByte groß, der
Download ist also recht schnell erledigt.
Jetzt lässt sich, wieder zurück
im Hauptverzeichnis der
Libguestfs-Distribution,
mit einem Aufruf ein neues
Fedora-Image erzeugen:
./run builder/virt‐builder U
fedora‐19 ‐‐output fedora19U
.img ‐‐hostname fedora19
Damit erzeugt das Tool ein
zufälliges Root-Passwort für
das neue System. Wer das
nicht will, kann ein neues
Passwort auch auf der
Kommandozeile angeben.
Aus Sicherheitsgründen,
damit das Passwort nicht in
der Prozessliste auftaucht,
allerdings nicht als direkten
Parameter, sondern über
den Umweg einer Datei. Das
Passwort steht im Klartext
in der Datei und wird über die Option
»‐‐root‐password file:Rootpass.txt« an
das Tool übergeben.
Die so entstehende Linux-Installation
kann man auf alle erdenklichen Arten
an die eigenen Wünsche anpassen.
Zum Beispiel listet »virt‐builder ‐‐notes
Template« die verwendeten Kickstartund
Installationsskripts auf, über die
man die Installation anpassen kann
(Abbildung 2).
Im Fall von Fedora 19 ist alles nach
45 Sekunden erledigt und ein neues
Disk-Image liegt auf der Festplatte. Wer
will, kann es sofort mit Qemu booten
oder mit virt-install in eine Linux- und
Libvirt-basierte Virtualisierungsinfrastruktur
importieren:
sudo virt‐install ‐‐name fedora19 U
‐‐import ‐‐ram 2048 ‐‐disk /var/lib/U
libvirt/images/fedora19.img
Das neue System braucht beim ersten
Booten ein bisschen länger, weil es
noch die Firstboot-Skripts ausführt,
danach dauert es ungefähr zehn Sekunden,
bis man den Login-Prompt zu
sehen bekommt. Wer nach dem Login
einen Blick auf das virtuelle Dateisystem
wirft, bekommt einen Eindruck
vom Ressourcenverbrauch: Das neu installierte
Linux-System belegt nur etwa
700 MByte.
Abbildung 1: Virt-Builder zeigt eine Liste von Linux-Systemen,
die es zur Installation anbietet.
Abbildung 2: Über die Kickstart-Datei und das Installationsskript
lässt sich ein Image individuell anpassen.
Über die Installation hinaus kann
Virt-Builder auch den Hostnamen der
neuen VM setzen, Benutzer anlegen,
Passwörter ändern, Pakete installieren
und beliebige Dateien editieren. Weil
sich die virtuellen Maschinen so schnell
erzeugen lassen, eignen sie sich auch
dazu, mal eben schnell was in einer anderen
Linux-Distribution zu erledigen.
Der Libguestfs-Entwickler Jones hat
das in seinem Blog vorgeführt, wo er
Virt-Builder verwendet, um Pakete für
andere Distributionen zu bauen [4]. Der
Bau eines kompletten Libvirt-Pakets
dauerte damit etwa sechs Minuten,
gegenüber den ungefähr zwei Minuten,
die es auf einem nicht virtualisierten
Host-System in Anspruch nahm.
Als dieser Artikel entstand, gab es übrigens
noch eine interessante Diskussion
zum Thema Virt-Builder [5]: Jones
musste sich dafür rechtfertigen, dass er
Virt-Builder in der vergleichsweise esoterischen
Programmiersprache Ocaml
geschrieben hat, die, wie es sein Kollege
ausdrückte, „nur er versteht.“ n
n Info
Weiterführende Links und
Informationen zu diesem
Artikel finden Sie unter:
www.admin-magazin.de/qr/31310
www.admin-magazin.de
Admin
Ausgabe 01-2014

yang chao, 123RF
Pandas: Datenanalyse mit Python
Daten-Panda
Die Python-Bibliothek Pandas basiert auf der schnellen Mathematik-Library NumPy und macht die Analyse
großer Datenmengen einfach und effizient. Carsten Schnober
Big Data für den Heimbedarf: Ganze
Gruppen von Entwicklern finden neue
Möglichkeiten in ihren Daten – in Zeiten
von Laptops, die nur wenige Jahre alte
Hochleistungsserver in Ausstattung
und Leistung übertreffen. Woran es
Unternehmen ohne große Entwicklungsabteilung
weiterhin mangelt, ist
allerdings die Manpower, um eigene
Software zu entwickeln und auf ihre
eigenen Daten zuzuschneiden. Die
Python-Bibliothek »Pandas« [1] liefert
fertige Methoden für viele Anwendungsfälle.
Analyse-Panda
Pandas, ein Akronym für Python Data
Analysis Library, zielt auf fünf typische
Schritte bei der Verarbeitung und Analyse
von Daten, egal aus welcher Quelle
diese stammen. Der erste besteht darin,
diese einzulesen: Gerade aufgrund
der Vielzahl existierender Formate und
Standards, sparen die von Pandas ge-
lieferten Werkzeuge Zeit. Die Bibliothek
liest Datensätze in den Formaten CSV
(Komma-separierte Werte), Excel, das
HDF-Format, SQL, JSON, HTML und
Stata ein, wobei Pandas Wert auf Flexibilität
beispielsweise bei abweichenden
Feldtrennern legt. Zusätzlich liest
es direkt aus dem Zwischenspeicher
oder auch vom Python-Modul Pickle
in Dateien serialisierte Python-Objekte
ein.
Es folgt die Vorbereitung der eingelesenen
Daten. Datensätze werden bei
fehlerhaften Einträgen gelöscht oder
mit Standardwerten versehen, normalisiert,
gruppiert, sortiert, transformiert
und anderweitig an die weitere
Verarbeitung angepasst. Auch hier gilt
wieder, dass es sich bei solchen Vorbereitungsarbeiten
in der Praxis meist um
arbeitsintensive, aber wenig effektive
Tätigkeiten handelt, die zu standardisieren
sich lohnt, um zur Auswertung
der Inhalte zu kommen.
Der interessante Teil im Big-Data-
Geschäft beginnt nun erst mit der
Berechnung beispielsweise statistischer
Modelle anhand eingelesener
Datensätze, die beispielsweise mithilfe
von Algorithmen aus dem Bereich des
maschinellen Lernens Prognosen über
künftige Eingaben zulassen.
Solide Basis
Als Hauptnachteil interpretierter Sprachen
wie Python galt lange Zeit vor
allem die mangelhafte Geschwindigkeit
beim Umgang mit großen Datenmengen
und aufwendigen mathematischen
Operationen. Vor allem die Python-
Bibliothek »NumPy« ([2], Numerical Python)
nimmt diesem Vorwurf den Wind
aus den Segeln. Sie legt ihre Daten effizient
im Arbeitsspeicher ab und integriert
C-Code, bei dem die Kompilierung
vor der Laufzeit abgeschlossen ist.
Als wichtigste Datenstruktur führt
NumPy die multidimensionalen Arrays
Ausgabe 01-2014 Admin www.admin-magazin.de

Prorammieren
Python Pandas
95
»ndarrays« ein. Im eindimensionalen
Fall repräsentieren sie Vektoren, ansonsten
Matrizen mit beliebig vielen
Spalten. Im Gegensatz zu Python-Listen
ist die Größe von NumPy-Arrays unveränderlich
und ihre Elemente von einem
festen, bei der Initialisierung vorgegebenen
Typ; standardmäßig Fließkommazahlen.
Die interne Struktur der
Arrays ermöglicht die Berechnung von
Vektor- und Matrizenoperationen mit
teils erheblich höherer Geschwindigkeit
als in einer nativen Python-Implementation.
Am einfachsten erzeugt man NumPy-
Arrays aus bestehenden Python-Listen:
np.array([1, 2, 3])
»np« steht hier für den Modulnamen
von NumPy, das per Konvention –
aber nicht zwangsläufig – mit »import
numpy as np« importiert wird. Mehrdimensionale
Matrizen entstehen auf
ähnliche Weise, nämlich mit verschachtelten
Listen:
np.array([[1, 2, 3], [4, 5, 6]])
Arrays generieren
Sind die Inhalte beim Erstellen eines
Arrays noch unbekannt, erzeugt »np.
zeros()« eine mit Nullen gefüllte Struktur
vorgegebener Größe. Als Argument
kommt ein Integer-Tupel zum Einsatz,
in dem jeder Eintrag das Ausmaß einer
Dimension repräsentiert. Für eindimensionale
Arrays genügt ein einfacher
Integer-Wert:
array2d = np.zeros((5,5))
array1d = np.zeros(5)
Wer den bei »np.zeros()« verwendeten
Nullen als initiale Elemente Einsen vorzieht,
erhält ein solches Array auf die
gleiche Weise mit »np.ones()«.
Geringfügig schneller funktioniert
»np.empty()«, da es die resultierende
Datenstruktur nicht mit Inhalten initialisiert.
Das Ergebnis enthält deshalb
willkürliche Werte, die bereits an den
verwendeten Speicherstellen stehen.
Als echte Zufallszahlen taugen diese
allerdings nicht.
Die Syntax von »np.empty()«
ist dieselbe wie
bei »np.zeros()« und
»np.ones()«. Alle drei
Funktionen kennen
außerdem ein Pendant
mit dem Suffix »_like«,
also beispielsweise
»np.zeros_like()«. Diese
Methoden kopieren
die Form eines bereits
vorhandenen Arrays,
das als Argument
übergeben wird, und
erzeugen anhand dessen
eine neue, gleich
dimensionierte Datenstruktur mit den
gewünschten Initialwerten.
Des Weiteren nehmen die genannten
Methoden das optionale Argument
»dtype« entgegen. Es erwartet als Wert
einen NumPy-Datentyp, beispielsweise,
»np.int32«, »np.string_« oder
»np.bool«, den es dem erzeugten Array
statt des Standards Fließkommazahl
zuweist. Im Fall von »np.empty()« ergeben
sich daraus wieder willkürliche
Inhalte.
Die NumPy-Methode »arange()«
schließlich funktioniert analog zum Python-Befehl
»range()«: Bei Angabe eines
Integer-Arguments erzeugt es ein Array
jener Länge, wobei es die Werte mit einer
schrittweisen Folge initialisiert:
In: np.arange(3)
Out: array([0, 1, 2])
Optional nimmt »arange()« ebenfalls
wie das Python-Pendant »range()« ein
oder zwei weitere Argumente entgegen.
Das zweite definiert einen Endwert,
wodurch das erste zum Startwert der
Folge wird. Das dritte Argument ändert
optional die Schrittgröße. Dieses Beispiel
erzeugt also eine Folge von 3 bis
10 mit der Schrittgröße 2:
In: np.arange(3, 10, 2)
Out: array([3, 5, 7, 9])
Grundrechenarten
NumPy erlaubt viele Operationen über
alle Elemente eines Arrays, ohne dabei
in Python-Manier Schleifen zu durchlaufen.
Dabei kommen die bekannten
Abbildung 1: Mit IPython und Pandas zur interaktiven Datenanalyse.
mathematischen Operatoren zum Einsatz,
beispielsweise »+« für die einfache
Addition. Als Grundregel gilt, dass sich
der Operator bei zwei gleichförmigen
Arrays auf die in beiden Arrays an der
gleichen Position stehenden Elemente
auswirkt. Addiert man hingegen ein
Skalar, also eine Zahl, zu einem Array,
fügt NumPy jedem Array-Element jene
Zahl hinzu:
In: np.array([1,2,3]) +
np.array([3,2,1])
Out: array([4, 4, 4])
In: np.array([1,2,3]) + 1
Out: array([2, 3, 4])
Auf die gleiche Weise funktionieren
Multiplikation, Division, Subtraktion
und auch Potenzrechnung mit »**«.
Darüber hinaus stellt NumPy einige
universelle Funktionen für weitere
Berechnungen zur Verfügung, etwa
»sqrt()« und »square()«, die von jedem
Inhaltselement eines Arrays die Quadratwurzel
ziehen beziehungsweise sie
mit zwei potenzieren.
List- und Dictionary-
Methoden
Auch der Zugriff auf Elemente eines
NumPy-Arrays funktioniert in der
von Python bekannten Weise mit Indizes
und Slices. Das erste Element
liefert »array[0]«, die ersten beiden
»array[:2]«. Bei mehrdimensionalen
Arrays steuert eine durch Kommas getrennte
Argumentliste die einzelnen Dimensionen
an, etwa »array[0,2]«. Auch
www.admin-magazin.de
Admin
Ausgabe 01-2014

96
Programmieren
Python Pandas
hier ermöglichen Slices die Extraktion
von Bereichen.
Neben den Listenfunktionen hält sich
NumPy auch für Mengenoperationen
bereit. Die Methode »unique()« gibt nur
die unterschiedlichen Elemente eines
Arrays aus und erstellt damit faktisch
ein Set (Menge). Daneben bildet es
Schnittmengen und Vereinigungsmengen
aus eindimensionalen Arrays mit
»intersect1d()« und »union1d()«.
Pandas in Serie
Auf Basis der NumPy-Arrays führt Pandas
weitere Datenstrukturen ein, die
die Effizienz von NumPy mit einfacher
Handbarkeit kombinieren. An erster
Stelle steht hier das »Series«-Objekt. Es
handelt sich dabei um ein eindimensionales
NumPy-Array, ist jedoch mit
zusätzlichen Methoden und Attributen
ausgestattet. Entsprechend gleicht das
Erzeugen eines Series-Objekts dem eines
NumPy-Arrays:
s = pd.Series([1, 2, 3])
Abbildung 2: Pandas liest und schreibt Daten aus Dateien
und stellt sie übersichtlich dar.
Eine der Erweiterungen verglichen mit
NumPy-Arrays besteht in den Indizes,
die jedes Series-Objekt bereithält. Werden
diese nicht explizit definiert, bestehen
sie wie bei einer Liste aus fortlaufenden
Nummern. Die Indizes dürfen
aber auch beispielsweise Strings sein:
Series([1, 2, 3], index=['a', 'b', 'c'])
Nun lassen sich die Elemente ähnlich
wie bei einem Python-Dictionary
abrufen, etwa über »s['a']«. Diesem
Umstand kommt Pandas entgegen und
erlaubt die Initialisierung eines Series-
Objekts auch direkt aus einem Python-
Dictionary:
Series({'a': 1, 'b': 2, 'c': 3})
Auch in diesem Anwendungsfall lässt
sich separat eine Liste als »index«-Argument
übergeben. Das führt dazu, das
aus dem Dictionary ausschließlich jene
Elemente im resultierenden Series-Objekt
landen, die auch im Index vorkommen.
Umgekehrt initialisiert Pandas
die Werte für Indizes, die im Dictionary
fehlen, als nicht vorhanden (»NaN«). Im
folgenden Fall fällt beispielsweise der
Eintrag für »'d'« im Ergebnis weg, während
»'c'« ohne Wert initialisiert wird.
In: Series({'a': 1, 'b': 2, 'd': 4},
index=['a', 'b', 'c'])
Out:
a 1
b 2
c NaN
dtype: float64
Auch mehrere Indizes sind erlaubt.
Dazu übergibt man dem »index«-
Argument statt einer einfachen Liste
eine Liste von Tupel, deren Elemente
wiederum die Indizes darstellen. Solche
Strukturen dienen in der Praxis vor
allem dazu, Datensätze anhand eines
ersten Index zu gruppieren, wobei der
zweite Index dann die Elemente innerhalb
einer solchen Gruppe eindeutig
identifiziert.
Bei den Indizes handelt es sich um
eigene Pandas-Datenobjekte, die generell
unveränderbar sind. Allerdings
lassen sie sich mit der Methode
»reindex()« austauschen. Sie akzeptiert
als Argument eine Liste, ebenso wie
das »index«-Argument bei der Series-
Initialisierung. Auch hier füllt Pandas
nicht vorhandene Werte mit »NaN«
auf und entfernt solche Werte, die im
neuen Index nicht mehr vorkommen.
Anstelle von »NaN« lassen sich mit dem
Argument »fill_value« andere Standardwerte
festlegen, sodass leere Zeilen
beispielsweise mit 0 gefüllt werden:
s.reindex(['d', 'e', 'f'], fill_value=0)
»s« steht hierbei für ein zuvor erzeugtes
Series‐Objekt.
Alles im Rahmen
Zweidimensionale Strukturen implementiert
Pandas mittels der »Data-
Frame«-Klasse. Die Initialisierung eines
DataFrame-Objekts erfolgt wiederum
auf die gleiche Weise wie bei Series. Die
Spalten definiert man ebenfalls über
ein Dictionary, in dem jeder Schlüssel
als Wert eine Liste aus Elementen enthält:
DataFrame({'a': [1, 2], 'b': [3, 4]})
Eine optionale »index«-Liste legt wie
bei Series die Indizes fest. Zusätzlich
nimmt der DataFrame-Konstruktor das
optionale Argument »columns« entgegen,
das wie »index« funktioniert, aber
statt der Zeilen die Spaltenbezeichnungen
definiert:
In: DataFrame({'a': [1, 2], 'b': [3,
4]}, columns=['a', 'c'], index=['top',
'bottom'])
Out:
a c
top 1 NaN
bottom 2 NaN
Auch hier fallen Spalten weg, die nicht
in der »columns«-Liste stehen. Nicht
definierte Spalten hingegen initialisiert
Pandas wiederum mit »NaN«.
Der Zugriff auf eine Spalte erfolgt bei
Dataframes ebenfalls wie auf ein Dictionary
durch »dataframe['a']«. Zusätzlich
lassen sich die Spalten als Attribute
eines DataFrame-Objekts ansteuern:
»dataframe.a«. Möchte man stattdes-
Ausgabe 01-2014 Admin www.admin-magazin.de

Prorammieren
Python Pandas
97
sen eine Zeile adressieren, hilft das
DataFrame-Attribut »ix«: »dataframe.
ix['top']«.
Wie Series kennt auch Dataframe die
»reindex()«-Methode. Sie bezieht sich
standardmäßig auf die Zeilenbeschriftungen,
aber das Argument »columns«
ersetzt auf die gleiche Weise die Spaltennamen.
Sowohl bei Series- als auch bei DataFrame-Objekten
dient die »drop()«-
Methode dazu, einzelne oder mehrere
Zeilen zu entfernen. Für den ersten Fall
dient die Angabe des gewünschten
Index als Argument. Um mehrere Zeilen
zu löschen, kommt eine Liste zum
Einsatz:
s.drop(['b', 'c'])
Dateien
In der Big-Data-Realität kommen zu
analysierende Daten meist nicht direkt
aus der Anwendung, die sie schließlich
analysiert. Pandas liefert deshalb einige
Hilfsfunktionen mit, die gängige
Dateiformate einlesen und deren Inhalte
direkt in Pandas-Datenstrukturen
überführen. Sie heißen »read_csv()«,
»read_table()« und »read_fwf()«. Abbildung
1 zeigt eine Beispielsitzung mit
der erweiterten Python-Shell IPython
[3] und einem »read_csv()«-Aufruf, Abbildung
2 die zusammengefasste Darstellung
eines Datensatzes.
Diese Methoden erwarten Datenquellen
in tabellarischer Form, also mit
einem Datensatz pro Zeile und durch
Kommas oder Tabulatoren separierte
Zellen. Beliebige andere Feldtrenner
lassen sich mit dem Argument »sep«
in Form einfacher Strings oder regulärer
Ausdrücke festlegen. Lediglich bei
»read_fwf()« machen fest definierte
Feldbreiten die Feldtrenner überflüssig,
stattdessen übergibt man mit »widths«
eine Liste der Feldbreiten in Zeichenanzahl
oder mit »colspecs« die absoluten
Start- und Endwerte jeder Spalte als
Tupel. Als Datenquelle erwarten die
Lesemethoden jeweils als erstes – oder
als »path«-Argument – Dateinamen
oder URLs.
Standardmäßig interpretieren die
Pandas-Lesemethoden die erste Zeile
einer Datei als Header, der die Spaltennamen
enthält. Setzt
man beim Methodenaufruf
das Argument
»header=None«, wird
die erste Zeile zum
ersten Datensatz. In
diesem Fall bietet
sich die Übergabe der
Spaltennamen als Liste
mithilfe des »names«-
Arguments an.
Um beim Verarbeiten
sehr großer Dateien Arbeitsspeicher
und Zeit
zu sparen, dient bei
allen Lesefunktionen
außerdem das Argument
»iterator=True«
dazu, das Einlesen
stückweise zu erledigen.
Statt des kompletten Dateiinhaltes
liefern die Lesefunktionen dann ein
TextParser-Objekt zurück. Die Größe
der eingelesenen Teilstücke spezifiziert
das Argument »chunksize«. Wird dieses
Argument angegeben, setzt Pandas
»iterator« übrigens automatisch auf
»True«. Über einen TextParser lässt sich
nun in einer »for«-Schleife die Datei
zeilenweise lesen und verarbeiten. Die
»get_chunk()«-Methode liefert direkt
den nächsten Abschnitt der Datei.
Die Datenstrukturen Series und Data-
Frame machen es ebenso leicht, ihre
Inhalte in Dateien zu schreiben. Beide
verfügen über eine »to_csv()«-Methode,
die als Argument die Ausgabedatei
erwartet; gibt man stattdessen »sys.
stdout« an, leitet sie die Daten direkt
an die Standardausgabe um. Als Feldseparator
kommt standardmäßig ein
Komma zum Zuge, eine Alternative deklariert
das »sep«-Argument.
Verschiedene Formate
Selbst Excel-Dateien verarbeitet Pandas
mithilfe der Klasse »ExcelFile«. Ihr
Konstruktor nimmt den Dateipfad entgegen;
das resultierende »ExcelFile«-
Objekt liefert über die Methode
»parse()« DataFrame-Objekte aus den
einzelnen Arbeitsblättern (Sheets) zurück:
excelfile = pandas.ExcelFile('datei.U
xls')
Abbildung 3: Mithilfe von Matplotlib visualisiert Pandas Datensätze.
dataframe = excelfile.parse('Sheet1')
Pandas macht sich auf Wunsch auch
das Modul Pickle zunutze, das Objekte
im Binärformat auf der Festplatte speichert.
Hierfür bieten Series und Data-
Frame, ebenso wie alle anderen Pandas-Objekte,
die Hilfsmethode »save()«
an. Sie erwartet nur die Ausgabedatei
als Argument. Die Pandas-Methode
»load()« liest diese wiederum ein und
gibt das entsprechende Objekt zurück.
Daneben bringt die Daten-Bibliothek
Unterstützung für das HDF5-Format
(Hierarchical Data Format) mit, das unter
anderem die Mathematik-Software
Matlab verwendet. Es bietet den Vorteil,
dass es sich selbst bei Verwendung
von Kompression auch ausschnittsweise
effizient lesen lässt und eignet
sich somit besonders für sehr große
Datensätze.
Eine HDF5-Datei liest Pandas über die
Klasse »HDFStore« ein, deren Konstruktor
den Dateinamen entgegennimmt.
Das resultierende Objekt lässt sich ähnlich
wie ein Dictionary auslesen:
hdf = HDFStore('datei.h5')
s1 = hdf['s1']
Diese Aufrufe lesen die HDF-Datei »datei.h5«
aus, deren Datentruktur ein Series-Objekt
namens »s1« enthält. Dieses
wird in der ebenfalls »s1« genannten
Variable gespeichert.
www.admin-magazin.de
Admin
Ausgabe 01-2014

98
Programmieren
Python Pandas
Objekten doppelte Einträge löscht.
»replace()« hingegen durchsucht alle
Einträge nach einem bestimmten Wert
und ersetzt die Treffer durch einen anderen:
series.replace('a', 'b')
Allgemeiner arbeitet die »map()«-
Methode. Sie nimmt eine Funktion oder
ein Dictionary entgegen und ändert
die Einträge eines Datenobjekts automatisch.
Das folgende Beispiel etwa
verwandelt mittels der Funktion »str.
lower()« alle Einträge einer Spalte in
Kleinbuchstaben:
dataframe['a'].map(str.lower)
Abbildung 4: Die Pandas-Dokumentation führt alle Möglichkeiten der Bibliothek auf.
n Info
Daten!
Die einmal eingelesenen Daten bringt
Pandas nun mittels zahlreicher Hilfsfunktionen
in Form. Zunächst vereint
etwa »merge()« zwei DataFrame-
Objekte:
pandas.merge(dataframe1, dataframe2)
»merge()« vereint die Spalten der beiden
Dataframes standardmäßig auf
Grundlage identischer Indizes. Soll es
zur Identifikation zusammengehöriger
Datensätze stattdessen andere Spalten
verwenden, definiert das Argument
»on« den betreffenden Spaltennamen.
Das funktioniert selbstverständlich nur,
wenn beide Dataframes eine Spalte
dieses Namens enthalten.
Statt Datensätze zweier Objekte zusammenzuführen,
hängt »concat()«
Series oder Dataframes aneinander.
Im einfachsten Fall ergibt sich beispielsweise
aus der Konkatenierung
zweier Series-Objekte ein neues solches
Objekt, das alle Einträge beider
Weiterführende Links und
Informationen zu diesem
Artikel finden Sie unter:
www.admin-magazin.de/qr/31287
Quellobjekte nacheinander aufführt.
Alternativ erzeugt
concat([series1, series2, series3],
axis=1)
aus mehreren Series-Objekten ein
Dataframe. In diesem Beispiel fügt
die Funktion die Quellen statt zeilenweise
(»axis=0«) anhand der Spalten
(»axis=1«) zusammen.
SQL-Datenbanknutzer kennen die
»concat()«-Funktionalität als Joins.
Standardmäßig kommt dabei die
»inner«-Methode zum Zuge, die zu einer
Schnittmenge der verwendeten Schlüssel
führt. Alternativ stehen »outer«
(Vereinigungsmenge) sowie »left« und
»right« zur Verfügung. Bei den letzteren
beiden enthält das Ergebnis einer
Zusammenführung ausschließlich die
Schlüssel des linken beziehungsweise
rechten Quellobjekts.
Immer weiter
Pandas spart nicht an weiteren Hilfsfunktionen
zur Datenmanipulation.
Die Dataframe-Methoden »stack()« und
»unstack()« etwa drehen ein Dataframe
so, dass die Spalten zu Zeilen werden
und umgekehrt.
Zum Säubern vorhandener Daten bietet
Pandas etwa »drop_duplicates()«
an, dass aus Series- und Dataframe-
Python-gemäß erlaubt Pandas hier
auch die Übergabe einer anonymen
Lambda-Funktion.
An dieser Stelle zeigt sich auch die
Stärke der durch NumPy ermöglichten
Vektorisierung. Die Series-Klasse
enthält unter anderem ein eigenes
Attribute »str« für die Verarbeitung von
Strings, die ohne zeilenweise Iteration
auskommt. Beispielsweise findet dieser
Befehl alle Einträge, die den String
»ADMIN« enthalten:
series.str.contains("ADMIN")
Ausblick
Pandas bietet zahlreiche weitere bislang
nicht angesprochene Methoden
für die Datenmanipulation, auch manches
hier nicht erwähnte Argument
macht manche Funktionen in mehr
oder weniger alltäglichen Anwendungsfällen
zu nützlichen Helfern. Des Weiteren
bedient sich Pandas etwa über die
»plot()«-Methode (Abbildung 3) der Bibliothek
Matplotlib [4], um Dataframes
und Series zu visualisieren. Die Pandas-
Dokumentation enthält eine vollständige
Referenz (Abbildung 4).
Die Datenbibliothek Pandas zeigt,
dass Python vor allem dank der
NumPy-Grundlage reif ist, um es mit
den kompilierten Sprachen in puncto
Geschwindigkeit aufzunehmen, während
es Vorteile wie eine intuitive Syntax
und verschiedene interaktive Shells
mitbringt. n
Ausgabe 01-2014 Admin www.admin-magazin.de

Nataliya-Velykanova, 123RF
Die Skriptsprache Lua
Mondsüchtig
Als eingebaute Skriptsprache ist Lua mittlerweile Teil einer Vielzahl von Programmen. Allein schon deshalb
lohnt es sich, sie zu lernen. Dieser Artikel gibt einen Einblick in den Lua-Kosmos. Oliver Frommel
Schon wieder eine neue Programmiersprache,
die keiner braucht, wird
sich vielleicht mancher denken, der
noch nie von Lua [1] gehört hat. Lua
ist jedoch keine neue Erfindung, sondern
feiert dieses Jahr bereits den 20.
Geburtstag. Ein Grund dafür, dass Lua
einen geringeren Bekanntheitsgrad
als etwa Python oder Perl besitzt, ist,
dass Lua seltener als eigenständige
Programmiersprache eingesetzt wird,
sondern meistens als eingebettete
Skripting-Sprache für einzelne Programme.
Abbildung 1: Ein kleines Lua-Skript, das Gebrauch
von der Libguestfs macht.
Besonders bei Spielen und Game
Engines ist Lua sehr weit verbreitet.
Beinahe 150 Spiele mit Lua-Einsatz
listet Wikipedia gar in einer eigenen Kategorie
„Lua-scripted video games“ auf.
Lua ist aber auch in einer Vielzahl von
Netzwerk- und Systemprogrammen zu
finden, etwa in dem Netzwerk-Analyzer
Wireshark, dem Scanner Nmap [2],
dem MySQL-Proxy [3], der Antispam-
Lösung Rspamd, der VoIP-Software
FreeSwitch, der Redis-NoSQL-Datenbank,
dem Webserver Apache [4] und
Nginx (siehe den Artikel zu OpenResty
in diesem Heft).
Homegrown
Entwickelt wurde Lua an der Katholischen
Universität von Rio de Janeiro
von Roberto Ierusalimschy, Luiz Henrique
de Figueiredo und Waldemar
Celes. Weil Brasilien bis 1992 starken
Importbeschränkungen für Hard- und
Software unterlag, hatten die drei sich
entschieden, für ihre Zwecke eine eigene
Skriptsprache zu entwickeln, die
schließlich in Lua (portugiesisch für
„Mond“) mündete. Ierusalimschy steuert
noch heute die Entwicklung und hat
das Standardwerk „Programming in
Lua“ verfasst, das Anfang dieses Jahres
in der dritten Auflage erschienen ist
(auf deutsch bei Open Source Press
erhältlich). Online ist die erste Auflage,
die sich mit Lua 5.0 beschäfigt, unter
[5] zu finden. Mittlerweile gibt es die
Version 5.2, aber das Online-Buch ist
noch zu großen Teilen aktuell.
Wie angesprochen, ist Lua im Wesentlichen
als Bibliothek konzipiert, die
Anwendungsprogrammierer in ihre
Software integrieren können, um sie
Ausgabe 01-2014 Admin www.admin-magazin.de

Programmieren
Lua
101
mit Skripting-Fähigkeiten auszustatten.
Das bedeutet aber nicht, dass man
Lua nicht ohne Zusatzsoftware nutzen
könnte. Die Lua-Distribution, die es für
alle gängigen Betriebssysteme gibt,
enthält einen Interpreter, der nur wenige
hundert Zeilen umfasst und sonst
auf die vorhandenen Bibliotheksfunktionen
zurückgreift. Gerade diese Kompaktheit
(Abbildung 1), die die gesamte
Lua-Distribution auszeichnet, zusammen
mit einer recht hohen Ausführungsgeschwindigkeit,
gehört zu den
immer wieder gepriesenen Vorzügen
von Lua. Dennoch bietet der Interpreter
auch Features wie Garbage Collection,
also die automatische Bereinigung
nicht mehr verwendeter Datenstrukturen
und damit Freigabe von Speicher.
Überschaubar
Konzeptuell bietet Lua wenige aufregende
Features. Die Syntax ist recht
konventionell und markiert beispielsweise
Blöcke statt mit geschweiften
Klammern mit den Schlüsselwörtern
»do« und »end«. Insgesamt bietet Lua
nur etwa 20 reservierte Schlüsselwörter,
die in Tabelle 1 zu finden sind, und
ist damit recht schnell erlernbar.
Lua ist eine dynamisch typisierte Sprache,
die die Typen »nil«, »boolean«,
»number«, »string«, »function«, »thread«,
»table« und »userdata« kennt.
Der Typ einer Variablen wird also bestimmt,
wenn ein Skript abläuft, und
gegebenfalls auch in einen anderen Typ
umgewandelt. Es ist also kein Problem,
einer Variable beispielsweise eine Zahl
zuzuweisen und später im Programm
dann einen String. Beim Boolean-Typ,
der Wahrheitswerte aufnimmt, verhält
es sich so, dass »false« und »nil« für
falsch stehen, während ein leerer String
oder 0 einen wahren Wert repräsentieren.
Das ist eindeutig und anders
als etwa in PHP, wo die Zuweisung
beliebiger Typen zu Wahrheitswerten
eher dem Chaos-Prinzip folgt als einer
bestimmten Methode.
Strings
Zeichenketten lassen sich – wie von
anderen Sprachen gewohnt – mit
einfachen oder doppelten Anführungszeichen
definieren. Eine Besonderheit
Abbildung 2: Für die Zerobrane-IDE dürfen Anwender soviel zahlen, wie sie möchten.
sind allerdings Strings, die sich über
mehrere Zeilen erstrecken. Hier verlangt
Lua doppelte eckige Klammern,
um einen solchen String einzuschließen.
Ein HTML-String sieht damit zum
Beispiel so aus:
html = [[
...
]]
Um Strings zu verbinden, gibt es den
speziellen Operator »..«. Wie in anderen
Sprachen etwa »+« zu verwenden, funktioniert
in Lua nicht. Dieser Operator
bleibt Zahlen vorbehalten. Zur Formatierung
gibt es ähnliche Formatstrings
wie in der Programmiersprache C, die
sich für Zahlen so verwenden lassen:
string.format("%.7f", math.pi)
Das String-Modul bietet außerdem
eine Reihe von Funktionen, mit denen
man zum Beispiel Zeichen in
Strings suchen kann. So gibt »string.
find(String, Suchstring)« zwei Zahlen
aus, die für den Beginn und das Ende
des gefundenen Strings stehen. »string.
gmatch« gibt einen Iterator zurück,
der mit einem Suchmuster versehen
nacheinander alle Fundstellen liefert.
Weitere Funktionen geben die Länge
eines Strings aus, wandeln Groß- und
Kleinbuchstaben um oder umgekehrt,
drehen einen String um und so weiter.
Im Prinzip lassen sich in Lua-Strings
auch UTF-8-Zeichenketten speichern,
denn sie verwenden acht Bits zur
Repräsentation. Allerdings gibt es im
Sprachkern keine darüber hinausgehenden
Features zur Verarbeitung von
UTF-8. Derzeit gibt es ein paar Module
wie »slnunicode«, die das übernehmen.
Im Lua-Sprachkern soll die Unterstützung
von UTF-8 in einer kommenden
Versionen folgen.
Das Angebot an Zahlentypen ist überschaubar:
Es gibt nur eine »number«,
die als Fließkommazahl weitgehend
dem Float in anderen Programmiersprachen
entspricht. Insbesondere
gibt es keine Ganzzahlen (Integer) als
Variablentyp.
n Tabelle 1: Lua-Schlüsselwörter
and break do else elseif
end false for function if
in local nil not or
repeat return then true until while
www.admin-magazin.de
Admin
Ausgabe 01-2014

102
Programmieren
Lua
Auch bei den angebotenen Datenstrukturen
gibt sich Lua bescheiden.
Es gibt nur die Tables, die Arrays und
Hashes anderer Programmiersprachen
ersetzen. Dabei funktionieren Tabellen
im Prinzip ohnehin wie Hashes oder
Dictionaries: Eine Variable kann nicht
nur einen einzelnen Wert aufnehmen,
sondern über sogenannte Keys, die
unterschiedlichen Typen angehören
dürfen, eine Vielzahl von Werten. Dabei
müssen in einer Table weder die Keys
noch die Werte vom gleichen Typ sein.
Eine neue Tabelle wird in Lua mit der
Expression »{}« initialisiert:
t = {}
t['foo'] = 'bar'
t['123'] = 'linux'
Wie die Lua-Entwickler betonen, sind
Tables eigentlich keine Variablen oder
Typen, sondern dynamische Objekte,
auf deren Werte man im eigenen Programm
nur mittels Referenzen Bezug
nimmt. Das klingt komplizierter als
es ist und ist bei der Programmierung
n Tabelle 2: Luarocks
Modul
AesFileEncrypt
Flu
Inotify
JSON4Lua
lapis
lbase64
lposix
lsocket
lsqlite3
lua-csnappy
lua-ev
lua-gnuplot
lua-inih
lua-websockets
LuaCrypto
luadaemon
luadbi-mysql
luadbi-postgresql
luadns
LuaFileSystem
lualogging
lzlib
MD5
Funktion
AES-Verschlüsselung
auch nicht weiter von Bedeutung, aber
man sollte im Kopf behalten, dass Tabellen
bei der Zuweisung nicht kopiert
werden, sondern es sich immer weiter
um dieselbe Tabelle handelt. Ein Beispiel:
x = {}
x['os'] = "linux"
y = x
print(y['os'])
linux
Jetzt ist auch der Inhalt von »y['os']«
der String »linux«, wie die Ausgabe
der Print-Anweisung zeigt. Um dem
Programmierer Tipparbeit zu ersparen,
bietet Lua auch eine Kurzschreibweise
dafür, den Key anzugeben:
print(y.os)
linux
Mit Tables lassen sich auch Arrays
realisieren. Dazu muss man sich bei
der Verwendung eben nur auf durchgehende
numerische Werte für die
Modul für das »Filesystem in Userspace« (FUSE)
API für Inotify
JSON-Modul
Web-Framework für MoonScript und Lua
Base64-Modul
POSIX-Bibliothek (inklusive Curses)
Unix-Sockets
Anbindung an SQLite-Datenbank
Unterstützung für Googles Snappy-Komprimierung
Modul für Linux-Libev
Diagramme mit Gnuplot
Parser für Ini-Dateien
Websockets für Lua
Lua-Frontend für OpenSSL
Macht aus Lua-Programmen Unix-Daemons
Datenbankabstraktion für MySQL
Datenbankabstraktion für PostgreSQL
DNS
Module für Dateisystemzugriff
Logging-API
ZLib-Komprimierung (Gzip)
MD5-Hashes
Keys beschränken. Prinzipiell können
die Arrays bei jedem Wert, also auch 0
oder 1 beginnen. Nach Lua-Konvention
starten sie allerdings bei 1. Zweidimensionale
Datenstrukturen wie Matrizen
entstehen, wenn man eine Table definiert,
die Tables enthält.
Ausprobieren lässt sich all dies, indem
man den Lua-Interpreter »lua« aufruft,
der in einem interaktiven Modus startet,
in dem man Code eingeben kann.
Alternativ führt er Lua-Skripts aus, die
er als Parameter erwartet. Außerdem
gibt es einen Lua-Compiler namens
»luac«, der Programme vor der Ausführung
in Lua-Bytecode übersetzt. Das
spart ein bisschen Übersetzungszeit
beim Ausführen ein, bringt aber ansonsten
keinen Performance-Vorteil.
Erste Klasse: Funktionen
Zur Strukturierung der Programme
bietet Lua Funktionen, die wie erwähnt
eigene Typen darstellen. Man kann sie
also zum Beispiel auch in Variablen
speichern. Definiert werden Funktionen
mit dem Schlüsselwort »function«,
gefolgt von Klammern, in denen die
Parameter stehen. Dann folgt der
Funktionsrumpf (Body), der mit dem
Schlüsselwort »end« abgeschlossen
wird. Um eine variable Anzahl von Parametern
zu definieren, bietet Lua das
Konstrukt »...« an, das in Codebeispielen
verwirrt, weil man meinen könnte,
der Kürze wegen sei Code weggelassen
worden. Über »select(x, ...)« lässt sich
das x-te Elemente im Funktionsrumpf
ansprechen. Die Anzahl der tatsächlich
übergebenen Parameter liefert »select('#',
...)«. Alternativ dazu packt die
Anweisung »args = {...}« alle Argumente
in die Table »args«.
Der Lua-Interpreter beschwert sich
auch nicht, wenn eine Funktion beispielsweise
drei Parameter vorsieht,
aber beim Aufruf nur zwei angegeben
werden. Der fehlende Parameter ist
dann einfach mit »nil« belegt. Ein gängiges
Idiom, um Default-Werte für Parameter
zu emulieren, die es in Lua nicht
gibt, sieht so aus:
function f(a, b, c)
local a = a or 0
...
Ausgabe 01-2014 Admin www.admin-magazin.de

Programmieren
Lua
103
Die lokale Variable »a« erhält also den
Wert der Parameter-Variablen »a«,
wenn diese vorhanden ist, ansonsten
den Wert 0. Weil man Funktionen in
Variablen speichern und an andere
Funktionen übergeben darf, lassen sich
so auch Funktionen höherer Ordnung
konstruieren. Deshalb eignet sich Lua
auch dazu, im funktionalen Stil zu programmieren,
der durch Sprachen wie
Scala, Clojure und sogar Javascript (in
Form von Node.js) zur Zeit wieder in
Mode gekommen ist. Zur Parallelisierung
von Programmen bietet Lua keine
Threads, sondern Coroutinen, die weniger
fehleranfällig sind.
Schleifen
Die Kontrollstrukturen in Lua sind im
Wesentlichen die gleichen wie bei
anderen gängigen Programmiersprachen.
Es gibt If-Abfragen, die mehrere
Elseif- und einen Else-Block enthalten
können. Ein While-Statement prüft immer
wieder zu Beginn eine Bedingung
und arbeitet den Block ab, solange sie
erfüllt ist. Ein Repeat-Block funktioniert
umgekehrt und läuft solange, bis die
Bedingung nicht mehr erfüllt ist, die am
Ende des Blocks steht.
For-Schleifen können sich über Zahlenbereiche
erstrecken oder über eine Iterator-Funktion,
die man beispielsweise
aus einem Array erzeugt. Dafür gibt es
spezielle Funktionen wie »pairs« oder
»ipairs«. Der folgende Code iteriert mit
einer For-Schleife über ein Array:
tbl = {"a", "b", "c"}
for key, value in ipairs(tbl) do
print(key, value)
end
Eine numerische For-Schleife erstreckt
sich über einen Zahlenbereich, wahlweise
mit oder ohne Schrittweite: »for
i = 1, 5« geht jede ganze Zahl zwischen
1 und 5 durch, während »for i = 1, 10, 2«
in Zweierschritten voranschreitet.
Ein Break-Statement bricht den Ablauf
der erwähnten Schleifen ab und fährt
danach mit der Bearbeitung fort. Ein
Continue-Statement, das es in anderen
Programmiersprachen gibt und ans
Ende einer Schleife springt, aber dann
fortfährt, fehlt seltsamerweise. Man
Abbildung 3: Codea ist eine Lua-Entwicklungsumgebung auf dem iPad.
muss es etwas umständlich mit einem
Goto simulieren:
for i = 1, 10 do
if i % 2 == 0 then goto continue end
print(i)
::continue::
end
Eine Goto-Sprungmarke wird, wie hier
zu sehen, durch zwei doppelte Doppelpunkte
eingeschlossen. Um die Continue-Anweisung
zu simulieren, setzt
man sie direkt vor das Schleifen ende.
Rocks
Damit sind die wichtigsten Sprach-
Features von Lua erklärt, mit denen es
sich schon ganz gut leben lässt. Zum
Weiterlesen und zum schnellen Nachschlagen
von Syntax und Funktionen
bietet sich die Sprachreferenz an [6].
Weil eine Programmiersprache ohne
ein gesundes Ökosystem wenig wert
ist, gibt es das Modul-Repository Luarocks
[7]. Es ist im Handumdrehen aus
dem Quellcode installiert, aber auch in
den meisten Linux-Distributionen enthalten.
Ein Aufruf von »luarocks search
Begriff« sucht in den Paketquellen,
»luarocks install Paket« installiert es
lokal. Root-Rechte sind nötig, wenn der
Speicherort für die Pakete nur für den
Superuser beschreibbar ist. Tabelle 2
zeigt eine Auswahl nützlicher Erweiterungen,
die im Luarocks-Verzeichnis zu
finden sind.
Leider sind nicht alle Lua-Bibliotheken
in Luarocks zu finden. So gibt es beispielsweise
noch Module für LDAP und
so moderne Dinge wie die Libguestfs
und die Konfigurations-API Augeas.
Für Linux-Anwender empfiehlt sich auf
jeden Fall, einmal das distributionseigene
Repository nach dem Schlüsselwort
»lua« zu durchsuchen.
Dank der großen Verbreitung von Lua
herrscht an Tools zur Programmierung
kein Mangel. Wer zur Entwicklung andere
Programme als Vi oder Emacs verwenden
will, kann auf eine Reihe von
grafischen Entwicklungsumgebungen
zurückgreifen, zum Beispiel Zerobrane
(Abbildung 2), das es für Linux, Windows
und OS X gibt und soviel kostet,
wie man zu zahlen bereit ist [8]. Auch
für die großen Java-IDEs wie Eclipse,
Netbeans und IntelliJ gibt es Lua-Plugins.
Zerobrane ist auf jeden Fall einen
Versuch wert. Die Website bietet zahlreiche
Tutorials, beispielsweise zum
Debuggen von Wireshark-Skripts [9].
Als Blick über den Tellerrand hinaus ist
die Codea-IDE [10] interessant, die eine
Lua-Entwicklungsumgebung auf dem
iPad implementiert (Abbildung 3).
Sehenswert ist allemal das Video auf
der Codea-Seite, das zeigt, wie eine
Entwicklungsumgebung aussehen
kann, die je nach Datentyp den Programmierer
bei der Eingabe etwa mit
Farb- und Dateiauswahl unterstützt. n
n Info
Weiterführende Links und
Informationen zu diesem
Artikel finden Sie unter:
www.admin-magazin.de/qr/31559
www.admin-magazin.de
Admin
Ausgabe 01-2014

freeX
Einführung
105
Sonderteil
Auf der folgenden Seite startet der regelmäßige
FreeX-Sonderteil des ADMIN-Magazins. Hier finden
Sie Know-how-Artikel und Workshops von erfahrenen
Autoren aus der langen Tradition der FreeX.
FreeBSD 10.....................................106
FreeBSD liegt der Sony Playstation 4 und Mac OS
zugrunde. Die neue Version 10 bringt neue Features
und bessert einiges aus.
ika747, 123RF
www.admin-magazin.de Admin Ausgabe 01-2014

106
freeX
FreeBSD 10
katisa, 123RF
FreeBSD erscheint in Version 10
Neues vom Teufel
Das Unix-Derivat FreeBSD gilt als äußerst zuverlässig und liegt sowohl Mac OS X als auch der Sony Playstation
4 zugrunde. Die neue Version 10 bringt neue Features und Performance-Gewinne. Jürgen Dankoweit
Seit 20 Jahren besticht FreeBSD [1] als
leistungsfähiges, sicheres und stabiles
Open-Source-Betriebssystem. Nun ist
es in Version 10 mit einigen Neuerungen
erschienen.
FreeBSD ist nicht nur auf Servern daheim,
sondern auch auf Workstations
und Embedded-Systemen. Die positiven
Eigenschaften des Betriebssystem
resultieren aus der Strategie, eine neue
Version erst dann vorzustellen, wenn
diese marktreif ist.
Familienstreit
FreeBSD gehört zur Unix-Familie, darf
diesen Namen allerdings aus rechtlichen
Gründen nicht tragen. Behörden
und Unternehmen in den Bereichen
Technologie und IT nutzen FreeBSD
intern als Entwickler- und Serverplattform.
Im Vergleich mit der Linux-typischen
GPL erlaubt die BSD-Lizenz mehr
Freiheiten für solche Unternehmen,
weil sie die Möglichkeit bietet, proprietären
eigenen Code mit dem FreeBSD-
Code zu kombinieren, ohne den eigenen
Quelltext offenlegen zu müssen.
Obwohl FreeBSD anders als Linux nicht
die massive Unterstützung so großer
Firmen wie IBM und Hewlett-Packard
genießt, hält es bei altmodischen Tugenden
wie Sicherheit und Zuverlässigkeit
mit Linux mit. Als jüngstes Beispiel
für das in FreeBSD gesetzte Vertrauen
dient Sony mit seiner Playstation 4,
die auf FreeBSD 9 basiert. Ebenso setzt
Juniper auf FreeBSD als robustes Betriebssystem
für Netzwerk-Router. Auch
Apple nutzt Teile von FreeBSD für ihr
Betriebssystem Mac OS X.
FreeBSD nimmt für sich in Anspruch,
das ausgereifteste Unix-artige Betriebssystem
für x86-Server zu sein. In den
neunziger Jahren etablierte es sich mit
seiner Geschwindigkeit, Zuverlässigkeit
und oftmals jahrelangen Uptimes als
Betriebssystem für kleine wie große
Web- und FTP-Server. Diese Tradition
wurde Verpflichtung und erfuhr nur wenige
Umbrüche.
Da im Serverbereich immer öfter Mehrprozessor-
und Mehrkern-Systeme
in den Markt drängen, musste die
Entwicklermannschaft um FreeBSD
reagieren. Mit dem im Jahre 2004
erschienenen FreeBSD 5 wurde der
Kernel in einem lang andauernden Prozess
komplett auf das symmetrische
Multiprocessing umgebaut. Dies führte
zu Problemen, die erst mit Version 7
weitestgehend beseitigt waren.
Der nächste, nicht ganz so radikale Umbruch
erfolgte mit der Einführung von
Virtualisierung und ZFS unter FreeBSD
8 im Jahre 2009. Das von Sun Microsystems
entwickelte Dateisystem mit integrierter
Volumenverwaltung ist für sehr
große Datenmengen bei gleichzeitig
hoher Datensicherheit ausgelegt. Die
Portierung zu FreeBSD erforderte einige
Anpassungen im Kernel, die aber auch
zur weiteren Stabilität und Sicherheit
beitrugen. Auch das neue FreeBSD 10
stellt in mancher Hinsicht einen Umbruch
dar.
Ausgabe 01-2014 Admin www.admin-magazin.de

freeX
FreeBSD 10
107
GCC hat ausgedient
Mit FreeBSD 10 kommt ein neuer
Compiler zur Übersetzung der Kernel-
Quellen und der zugehörigen Tools zum
Einsatz: LLVM/​CLang [2, 3]. Ein Wechsel
des GCC-Projekts auf die neue Lizenz
GPL-Version 3 hat die Entwickler dazu
bewogen, GCC aus dem FreeBSD-Basissystem
herauszunehmen.
LLVM, ursprünglich die Abkürzung für
Low Level Virtual Machine, enthält
nicht nur einen Compiler, sondern eine
ganze Reihe von Tools und Bibliotheken.
Traditionelle Compiler-Systeme
führen eine Reihe von Optimierungen
beim Kompilieren des Sourcecodes
durch. Anschließend verbinden sie
die kompilierten Module miteinander,
wobei sie die sich hierbei bietenden
Optimierungsmöglichkeiten vernachlässigen.
Das liegt daran, dass der
Linker nur die einzelnen Module sieht
und nicht das gesamte Programm
überblickt.
Dieser Problematik stellt sich LLVM,
indem es zunächst einen virtuellen
Bytecode erstellt, wie er auch in RISC-
Befehlssätzen zu finden ist (siehe
Abbildung 1). Dieser Bytecode lässt
sich während des Link-Vorgangs noch
einmal optimieren.
Wie der Name LLVM nahelegt, basiert
ein Teil der Architektur des Frameworks
auf einer virtuellen Maschine, die einen
Prozessor virtualisiert: entweder
einen Hauptprozessor (CPU) oder
auch einen Grafikprozessor (GPU). Die
virtuelle Maschine übersetzt während
der Ausführung die intern generierte
Sprache (Intermediate Language) des
Compilers (LLVM Assembly Language)
in die des aktuellen Systems. Ihre Effizienz
erlaubt auch eine Übersetzung auf
Anforderung (Just-in-Time). Außerdem
ermöglicht LLVM ein flexibles Backend-
System und unterstützt eine Vielzahl
unterschiedlicher Prozessorarchitekturen.
Clang als sogenanntes Frontend der
LLVM-Suite parst den C- oder C++-Code
und übersetzt ihn in die LLVM-Zwischensprache
LLVM Intermediate Representation
(LLVM IR). Das LLVM-Backend
erzeugt danach effizienten Maschinen-
Code. An dieser Stelle kommt die
virtuelle Maschine nicht zum Einsatz,
da LLVM als Compiler-
Backend für die
jeweilige Architektur
(x86, Power PC, IA64
usw.) an ihre Stelle
tritt. Neben C und C++
gibt es unter anderem
Frontends für Fortran,
Haskell und Ruby, andere
befinden sich in
Entwicklung.
Bedingt durch den
Aufbau des LLVM-/​
Clang-Systems verlängert
sich das Kompilieren
von FreeBSD
mit »make buildkernel« und »make
buildworld« um etwa zwanzig Prozent.
Dieser zusätzliche Zeitbedarf bringt
jedoch auch Nutzen, denn Clang prüft
den C-Code des Kernels und der Tools
genauer und hat so Fehler offenbart,
die GCC nicht gefunden hatte.
Das wirkt sich auch auf die portierte
Software (Ports) im Portstree von
FreeBSD aus. Die meisten Programme
lassen sich ohne oder mit nur wenigen
Code-Korrekturen auch mit LLVM/​Clang
übersetzen. Andere Ports setzen allerdings
die alte Compiler-Suite GCC voraus.
Um auch diese zu nutzen, installiert
man neben LLVM/​Clang auch GCC
und verwendet es ausschließlich für
die Ports. Bis sich alle Ports mit Clang
übersetzen lassen, muss man leider an
den Port-Makefiles Hand anlegen und
dort GCC eintragen:
CC=gcc47
CXX=g++47
CPP=cpp47
Da unter FreeBSD bislang Backends nur
für die Plattformen »amd64«, »arm«,
»armv6« und »i386« existieren, beschränkt
sich der Einsatz der Compiler-
Suite auch auf diese Architekturen. Die
anderen Zielplattformen setzen nach
wie vor auf eine etwas ältere Version
der GCC-Suite.
Kernelwelt
Der Austausch der Compiler-Suite
bleibt nicht die einzige Umstellung in
der neuen FreeBSD-Version, auch neue
Features kommen hinzu. So erhält
Abbildung 1: Aufbau der LLVM-Suite.
FreeBSD 10 einen sogenannten Tickless
Kernel [4]: Ein normaler Kernel, wie ihn
die FreeBSD-Versionen bis einschließlich
9.2 eingesetzt haben, hört auf sogenannte
Events (Ereignisse). Sie lösen
beispielsweise Lese- und Schreiboperationen
auf die Festplatte aus. Um eine
solche Unterbrechung zu handhaben,
speichert das System den Zustand der
CPU, um nach der Verarbeitung des
Events an derselben Stelle weiterzuarbeiten.
Dieselbe Prozedur findet allerdings
auch ohne Lese- oder Schreiboperationen
im Idle-Betrieb statt. Allerdings
kostet die Sicherung des CPU-Zustands
Rechenleistung und damit Zeit, Energie
und damit auf Notebooks auch Akkuladung,
obwohl sie im Idle-Betrieb
überflüssig ist. Der neue Kernel behebt
diese Schwachstelle, indem er auf
Events nicht mehr zu festen Zeitpunkten
lauscht, sondern erst, wenn sie
anfallen.
Der Vorteil dieser Methode besteht
nicht nur im für Notebooks wichtigen
Stromspareffekt, sondern auch in einer
Steigerung der Gesamt-Performance.
Auf Servern mit hoher Last fällt die
Energieersparnis allerdings geringer
aus, weil normalerweise viele Events
sowie Lese- und Schreiboperationen
anfallen.
Grafik
Unter FreeBSD kümmert sich klassischerweise
das X-Window-System Xorg
um das Umschalten in den Grafikmodus.
Ihn verwenden grafische Benutzeroberflächen,
während die Grafikkarte
www.admin-magazin.de
Admin
Ausgabe 01-2014

108
freeX
FreeBSD 10
Abbildung 2: Der Aufbau des neuen FreeBSD-Hypervisors Bhyve.
bis zu deren Start meist im Textmodus
arbeitet. Das sogenannte Mode Setting
findet mit dem Start eines X-Servers im
User-Space statt, etwa durch das Kommando
»startx« oder durch den Start
eines Login-Managers. Allerdings führt
dieser Moduswechsel zu unschönem
Bildschirmflackern sowie zu Sicherheitsproblemen.
Beim neu eingeführten Kernel Mode
Setting (KMS) hingegen schaltet der Betriebssystemkern
in den Grafikmodus
um, womit die genannten Nachteile
entfallen. Für den Umstieg übernimmt
FreeBSD Linux-Code, da auch das für
die Grafik zuständige Xorg-Projekt auf
KMS umgestiegen ist, sodass auch viele
Xorg-Grafikkartentreiber nur noch mit
KMS funktionieren.
Mit KMS nutzt FreeBSD nun auch den
Treiber »xf86‐video‐ati« für AMD-Grafikprozessoren
und stellt damit die Unterstützung
für die Chipsätze dieses Herstellers
sicher. Die FreeBSD-Wiki-Seite
[5] hat eine Tabelle zusammengestellt,
n Listing 1: Virtio in »/boot/loader.conf«
01 #Init VirtIO‐Paket
02 virtio_load="YES"
03 virtio_pci_load="YES"
04 # Blockdevices
05 virtio_blk_load="YES"
06 # Netzwerkhardware
07 if_vtnet_load="YES"
08 # Memory‐Ballooning
09 virtio_balloon_load="YES"
10 # SCSI‐Support
11 virtio_scsi_load="YES"
WITH_NEW_XORG=YES
die bereits mit dem
neuen KMS-Treiber
funktionierende AMD-
Grafikkarten auflistet.
Allerdings gibt es
auch einen Wermutstropfen:
Das besonders
für Notebooks
wichtige Suspend
und Resume funktioniert
mit KMS noch
nicht. Wer Kernel
Mode Setting dennoch
nutzen möchte,
ergänzt die Konfigurationsdatei
»/etc/
make.conf« um diesen
Eintrag:
Anschließend fällt eine Neukompilierung
von Xorg an.
Virtualisierung
Mit der neuen Version des Betriebssystems
bietet FreeBSD eine eigene
Virtualisierungslösung an: Bhyve [6],
eine Virtualisierungssoftware vom Typ
2. Das bedeutet, es setzt auf einem vollwertigen
Betriebssystem auf und nutzt
dessen Gerätetreiber. Im Gegensatz
dazu setzt ein Hypervisor vom Typ 1
direkt auf der Hardware auf.
Bei Bhyve (Abbildung 2) handelt es
sich um eine Hardware Virtual Machine
(HVM). Der Hypervisor verwendet bislang
ausschließlich Intels VT-x-Technik,
die Unterstützung für Secure Virtual
Machine (SVM) von AMD steht noch aus.
Bhyve nutzt die von Intel als Extended
Page Tables bezeichnete Verwaltung
von Speicheradressen virtueller Maschinen.
Der FreeBSD-Hypervisor emuliert I/O-
APIC (Advanced Programmable Interrupt
Controllers) und unterstützt damit
unter anderem APIC für Gastsysteme
und eine momentan allerdings nur teilweise
funktionierende AHCI-Emulation.
Die Entwickler arbeiten derzeit vor
allem an nicht gesperrten Schreib- und
Lesezugriffen und der Unterstützung
für Suspend und Resume.
Bhyve besteht aus dem Kernel-Modul
»vmm.ko«, der Bibliothek »libvmmapi.so«
sowie den Anwendungen
»bhyve(8)«, »bhyveload(8)« und »byhvectrl(8)«.
Die Komponenten kommen
mit nur etwa 250 KByte Speicher zurecht.
Das Tool »bhyveload(8)« lädt einen
FreeBSD-Gast direkt in die virtuelle
Maschine. Das ist mit einem einfachen
Befehl schnell ausgeführt, der FreeBSD
von einem ISO-Image startet:
bhyveload ‐m 1024 ‐d \
./freebsd.iso freebsd‐vm
Die Performance von FreeBSD als Gast
in virtualisierten Umgebungen verbessert
das Treiberpaket Virtio, das in der
neuen FreeBSD-Version von den Ports
ins Basissystem übersiedelt. Das im
Virtio-Paket enthaltene Kernel-Modul
»virtio‐kmod« bietet einem virtualisierten
FreeBSD durch paravirtualisierte
APIs direkten Zugriff auf die Ressourcen
des Host. Ohne »virtio‐kmod« müsste
der Host dem Gastbetriebssystem
Netzwerkkarte, Festplattencontroller
und andere Hardware-Komponenten
vorgaukeln. Die Emulation der Funktionalität
und die Umsetzung für die Backends
verbraucht Zeit und Ressourcen
und drosselt somit die Geschwindigkeit
des Gastes.
Daneben unterstützt Virtio das sogenannte
Memory-Ballooning. Diese
Technik stellt vom Gastsystem freigegebenen
Arbeitsspeicher anderen Gäste
zur Verfügung.
Listing 1 zeigt die Einträge in der Datei
»/boot/loader.conf«, die Virtio aktivieren.
Danach ist zu beachten, dass
sich die Bezeichnungen der virtuellen
Festplatten und Netzwerkkarten, beispielsweise
in »/dev/vtbd0« und »/dev/
vtnet0« ändern, was Anpassungen in
der Datei »/etc/fstab« nach sich zieht.
Abbildung 3 zeigt die typischen Boot-
Meldungen des Kernels.
Auch VirtualBox funktioniert mit Virtio.
Dazu aktiviert man im VirtualBox-Manager
bei den erweiterten Einstellungen
für Netzwerk als Adaptertyp »paravirtualisiertes
Netzwerk (virtio‐net)«
(Abbildung 4).
FreeBSD 10 bringt auch bei der Verwaltung
von Speichermedien Neuerungen.
Neben Performance-Optimierungen
Ausgabe 01-2014 Admin www.admin-magazin.de

freeX
FreeBSD 10
109
wandern nützliche Tools aus den Ports
ins Basissystem.
Dazu zählt das Kommando »growfs(8)«.
Es erlaubt die Änderung der Größe eines
UFS2-Dateisystems, dem Standard
unter FreeBSD. Dieses Werkzeug ist
besonders hilfreich, um ein Backup von
einem kleineren Slice auf ein größeres
zu überspielen. »growfs« bietet dann
die Möglichkeit, das Dateisystem bis
zur Slice-Grenze ohne Unmount zu
vergrößern. Natürlich empfiehlt sich
auch hier eine Datensicherung vor der
Änderung.
Auch das iSCSI-System (Internet Small
Computer System Interface) hat den
Weg ins Basissystem in Form eines
Kernel-Moduls geschafft. Das System
besteht aus iSCSI-Target und ‐Initiator.
iSCSI transportiert SCSI-Daten über IP-
Netze, verpackt in TCP/​IP-Pakete und
unter Verwendung der Ports 860 und
3260. iSCSI ermöglicht den Zugriff auf
ein Speichernetz über eine virtuelle
Punkt-zu-Punkt-Verbindung, ohne eigene
Speichergeräte aufzustellen. Vorhandene
Netzwerk-Switche lassen sich
auch für iSCSI nutzen; iSCSI benötigt
keine spezielle Hardware für die Knotenverbindungen.
Der Zugriff auf die Festplatten erfolgt
blockweise und ist daher auch für Datenbanken
geeignet. Der Zugriff über
iSCSI ist darüber hinaus transparent:
Beispielsweise zeigen sich iSCSI-Geräte
unter FreeBSD wie normale SCSI-Blockdevices
(»/dev/da*«) und lassen sich
wie lokale SCSI-Festplatten nutzen.
Auch das den Ports entstammende
Fuse (Filesystem in Userspace) migriert
ins Basissystem. Dabei handelt es sich
um ein Kernel-Modul, das Dateisystem-
Treiber aus dem Kernel-Mode in den
User-Mode verlagert. Das gestattet
nicht-privilegierten Benutzern, eigene
Dateisysteme zu mounten.
Aufgrund der Verwendung des auch
für normale Anwendungsprogramme
üblichen User-Mode ist eine Vielzahl
von Treibern entstanden. Einige dieser
Dateisystem-Treiber bilden statt Festplatten
und anderen Speichermedien
ganz andere Datenstrukturen in Form
eines Dateisystems ab.
Fuse bindet unter FreeBSD unter anderem
die folgenden Dateisysteme ein:
Windows NTFS-3G: Dabei
handelt es sich um
eine Fuse-Implementierung
des Windows-
NTFS-Dateisystems,
wie es unter anderem
unter Windows XP und
Windows Server 2003
zum Einsatz kommt.
Der Fuse-Treiber unterstützt
Lese- und
Schreib operationen
sowie fast alle POSIX-
Dateisystemfunktionen.
Nur die Änderung
von Dateizugriffsrechten
und ‐besitzern ist
nicht vorgesehen.
Linux-Ext4: Auch das unter Linux
verbreitete Dateisystem Ext4 steuert
FreeBSD mit Fuse an, allerdings bietet
das Modul bislang nur Lesezugriff.
FUSEPod: Mit dieser Erweiterung lässt
sich ein Apple iPod oder iPhone mounten
und man erhält dadurch Zugriff auf
alle Dateien des Geräts.
ZFS
ZFS als Dateisystem mit integrierter
Volumenverwaltung gehört bereits seit
Version 7 zu FreeBSD und eignet sich
seit Längerem für den Produktiveinsatz
[7]. Mit FreeBSD 10 hält die Funktion
ZFS-NOP (No Write Operation) Einzug,
die die Geschwindigkeit des Dateisystems
deutlich erhöht.
Der Performance-Gewinn ergibt sich
durch eingesparte Schreiboperationen.
Ohne NOP bildet ZFS beim Schreibvorgang
für jeden Datenblock
eine Prüfsumme,
auch wenn der Inhalt
des Datenblocks gleich
bleibt. Mit NOP hingegen
vergleicht das
System die Prüfsumme
des zu schreibenden
Blocks mit dem auf
der Festplatte existierenden
Block. Sind die
Prüfsummen identisch,
schreibt es den Datenblock
nicht. Hierbei
kommen kryptografische
Verfahren zur
Prüfsummenbildung
Abbildung 3: Boot-Meldungen des Kernels beim Einsatz von Virtio mit
einer Netzwerkkarte.
zum Einsatz, um die Datensicherheit zu
gewährleisten.
Weiterhin haben die ZFS-Entwickler
Datenkompression im Level-2-Cache
eingebaut. Der Level-2-Cache (L2ARC)
sorgt für schnelle Lese- und Schreibzugriffe.
Um einen ZPool optimal abzudecken,
unter ZFS eine Art virtuelle Zusammenfassung
mehrerer Blockgeräte,
wächst die Größe des L2ARC proportional
zur ZPool-Größe. Das führt bei sehr
großen Systemen allerdings schnell
zu Engpässen bei der Speicherkapazität.
Aus diesem Grund komprimiert
FreeBSD 10 die Daten im Cache und
reduziert somit dessen Größe.
Die gespeicherten Daten komprimiert
ZFS bereits in früheren FreeBSD-
Versionen auf Wunsch, bisher mit dem
Lempel-Ziv-Jeff-Bonwick-Verfahren
(LZJB). FreeBSD 10 setzt den schnelleren
LZ4-Algorithmus ein, der deutliche
Abbildung 4: Mit der Option »paravirtualisiertes Netzwerk« funktioniert
Virtio auch in VirtualBox.
www.admin-magazin.de
Admin
Ausgabe 01-2014

110
freeX
FreeBSD 10
Performance-Steigerungen ermöglicht: Bei leicht komprimierbaren
Daten ergibt sich eine um fünfzig Prozent höhere Kompressionsgeschwindigkeit,
bei der Dekomprimierung zeigt sich
eine achtzigprozentige Beschleunigung gegenüber LZJB. Bei
der Verarbeitung nicht komprimierbarer Daten ist der neu implementierte
Algorithmus immer noch etwa dreimal schneller.
Gerade auf Systemen mit schwächerer CPU macht sich der Geschwindigkeitsgewinn
deutlich bemerkbar.
Das folgende Kommando aktiviert die Kompression nach dem
neuen Standard für den ZPool namens users:
# zfs set compression=lz4 pool/users
Abbildung 5: Der Aufbau von WLAN-Meshes zeigt Ähnlichkeiten zu Mobilfunknetzen.
Abbildung 6: Installation des Tools »portupgrade« mit seinen Abhängigkeiten.
Besonders gut eignen sich die schnellen Solid State Disks (SSDs)
fürs Caching. Um diese Laufwerke optimal zu nutzen, implementiert
ZFS die Unterstützung für das ATA-Kommando »Trim«.
Damit teilt ZFS einer Solid State Disk mit, dass gelöschte oder
anderweitig freigewordene Blöcke nicht mehr benutzt werden.
Ohne Trim vermerkt ZFS nur in den Verwaltungsstrukturen, dass
die entsprechenden Bereiche wieder zur Verfügung stehen; der
SSD-Controller erhält diese Informationen dann jedoch nicht.
Das ATA-Kommando Trim teilt dem Laufwerk beim Löschen von
Dateien mit, die betroffenen Blöcke als ungültig zu markieren
und dass die enthaltenen Daten obsolet sind. Diese werden
somit nicht mehr geschrieben, was die Zugriffe auf die SSD verringert
und damit auch deren Abnutzungseffekte. Die markierten
Blöcke werden dann beim nächsten Löschen endgültig freigegeben.
Die ZFS-Unterstützung von Trim bringt folgende Konfigurationsoptionen
(Sysctl-MIBs, Management Information Base) mit:
»vfs.zfs.trim.enabled«: Steht dieser Sysctl-MIB auf Null, wird die
Trim-Unterstützung deaktiviert. Standardmäßig ist sie aktiv.
»vfs.zfs.trim.max_interval«: Dieser Sysctl-MIB definiert, wie viele
Sekunden zwischen zwei Trim-Aufrufen vergehen dürfen.
»vfs.zfs.trim.timeout«: Dieser Parameter setzt einen Verzögerungswert
in Sekunden bis zur ersten Ausführung von Trim.
»vfs.zfs.trim.txg_delay«: Gibt die Zeitspanne an, wie lange die
Daten einer Transaction Group (TXG) höchstens im Speicher
bleiben, bevor sie geschrieben werden. Das ist für ZFS ein wichtiger
Wert, da das Dateisystem Schreiboperationen verzögert,
bis genügend Daten bereitstehen. Anfangs war dieser Wert auf
dreißig Sekunden voreingestellt, was allerdings auf langsamen
Systemen mit nur einer Festplatten zu Problemen führte: Das
Schreiben von Daten und das Abarbeiten der Trim-Kommandos
fielen häufig zusammen und blockierten so das System.
Netzwerk
Dem Vormarsch der Mehrkern- und Mehrprozessorsysteme tragen
auch die FreeBSD-Entwickler Rechnung, indem sie Kernel
und Treiber anpassen. Um auch zukünftig das Leistungspotenzial
auszunutzen, haben sie den Paketfilter »pf« überarbeitet.
Dieses ursprünglich von OpenBSD portierte Tool wurde für
Single-CPU-Systeme entwickelt und hielt einen Datenstrom am
Anfang des Filterprozesses kurz an. Es erfolgte die Anwendung
der Filterregeln und am Ende des Prozesses die Freigabe des Datenstroms.
Mit der SMP-freundlichen Version ändert sich dieser
Ausgabe 01-2014 Admin www.admin-magazin.de

freeX
FreeBSD 10
111
sequenzielle Ablauf: Jetzt verarbeiten
mehrere parallel laufende Threads den
Datenstrom. Das steigert die Verarbeitungsgeschwindigkeit
erheblich und
reduziert die Systemlast.
Im Bereich Wireless LAN beseitigt
FreeBSD 10 nicht nur alte Probleme mit
dem Mehrprozessorbetrieb, sondern
ergänzt die Treiber für Atheros-WLAN-
Karten um neue Hardware-Komponenten.
»ath(4)« unterstützt jetzt alle
Atheros-PCI/​PCIe-Netzwerkkarten bis
einschließlich des AR9287-Chipsatzes.
Allerdings fehlt die Unterstützung für
Netzwerkkarten mit AR5513-MIMO-
802.11abg-Chips, AR5523/​AR5212-
Chips – die auf USB-WLAN-Sticks und
Steckkarten zum Einsatz kommen –
sowie die AR7010- und AR9271-Serie,
ebenfalls für USB-WLAN-Sticks.
Darüber hinaus kommt eine Reihe von
Verbesserungen für den IEEE802.11n-
Standard hinzu, der neuesten Version
des WLAN-Standards. Sie dienen
auch als Grundlage für sogenannte
vermaschte WLANs (Wireless Mesh
Networking). Dabei handelt es sich
um ein Netz aus miteinander kommunizierenden
WLAN-Knoten nach dem
IEEE802.11s-Standard. Sie heißen auch
Ad-hoc-Netzwerke.
Ad-hoc-Netze verbinden mobile Endgeräte
(Netzknoten) wie Mobiltelefone
und Notebooks ohne Rückgriff auf
eine feste Infrastruktur wie WLAN-
Access-Points. Die Daten werden von
Netzknoten zu Netzknoten weitergereicht,
bis sie ihren Empfänger erreicht
haben. So verteilt sich die Datenlast
in solchen Netzen besser als in Netzen
mit einem zentralen Knoten. Spezielle
Routing-Verfahren verwirklichen dieses
Prinzip, mit denen sich das Netz
ständig anpasst, wenn sich Knoten
bewegen, einklinken oder ausfallen
(Abbildung 5).
Dem praktischen Einsatz der Implementierung
des IEEE802.11s steht in
FreeBSD 10 nichts mehr im Wege, allerdings
ist die Kompatibilität zu Linux
noch nicht gegeben.
Bei der Unterstützung des IEEE802.11s-
Standards ergibt sich das folgende Bild:
Die Treiber für WLAN-Karten mit Atheros-Chipsatz
(»ath(4)«), Ralink-Chipsatz
(»ral(4)«) und Chips der Firma Marvell
(»mwl(4)«) bieten Support für WLAN-
Meshes. Schlechter sieht es bei WLAN-
Karten mit IntelPRO-Wireless-Chipsatz
aus, weil sie viel Funktionalität in die
Closed-Source-Firmware verlagern; das
verhindert auch für die Zukunft Besserung.
Dies betrifft die Treiber mit Intel-
PRO-Wireless-Chipsätzen »ipw(4)«,
»iwi(4)«, »iwn(4)« und »wi(4)«. An allen
anderen WLAN-Treibern arbeiten die
Entwickler fleißig, um sie für WLAN-
Meshes fit zu machen.
Das folgende Beispiel zeigt, mit wie
wenigen Befehlen sich ein WLAN-
Mesh aufbauen lässt. Die folgenden
Kommandos, ausgeführt auf jedem

112
freeX
FreeBSD 10
Abbildung 7: Der Installer bringt FreeBSD jetzt auch in ZFS-Pools unter, wenn auch noch experimentell.
n Info
Netzknoten, richten ein Mesh ein, das
auf Kanal 36 läuft und die Bezeichnung
admin-mag-mesh trägt:
# ifconfig wlan0 create wlandev U
ath0 wlanmode mesh U
channel 36 U
meshid admin‐mag‐mesh
# ifconfig wlan0
Das folgende Kommando gibt eine
Liste aller Knoten im Mesh aus:
# ifconfig wlan0 list sta
ADDR CHAN ... STATE RATE ...
36 ... IDLE 0M ...
36 ... ESTAB 6M ... WME U
MESHCONF
36 ... ESTAB 6M ... WME U
MESHCONF
36 ... ESTAB 6M ... WME U
MESHCONF
Die zweite Zeile zeigt den eigenen
Mesh-Knoten, die weiteren Einträge
listen die anderen Knoten auf.
Weiterführende Links und
Informationen zu diesem
Artikel finden Sie unter:
www.admin-magazin.de/qr/31044
Paketverwaltung
FreeBSD 10 stellt zudem auf eine neue,
zuvor optionale Paketverwaltung um
[8]. Das Kommando »pkg« löst jetzt die
bisher verwendeten Tools »pkg_add«,
»pkg_info« und »pkg_delete« ab.
Die neue Paketverwaltung verbessert
vor allem die Auflösung von Abhängigkeiten,
die entstehen, wenn eine
Applikation weitere Programme, Bibliotheken
oder Skripte benötigt. »pkg«
verlegt die Verwaltung der Abhängigkeiten
in eine SQLite-Datenbank und
verbessert damit die Geschwindigkeit
und Stabilität erheblich.
Künftig soll »pkg« auch signierte Pakete
verarbeiten und damit auch ein Sicherheitsplus
herbeiführen. Allerdings
dient »pkg« nicht zur Verwaltung der
Ports, dies bleibt den Tools »portmaster«
und »portupgrade« vorbehalten,
zu finden im Verzeichnis »/usr/ports/
ports‐mgmt«. Um das Management von
Ports und Paketen konsistent zu halten,
trägt man in der Datei »/etc/make.conf«
die folgende Zeile nach, sofern sie nicht
schon existiert:
WITH_PKGNG=yes
Die Bedienung ist einfach und nach
wie vor kommandozeilenorientiert.
Abbildung 6 zeigt die Abhängigkeiten
anhand des Tools »portupgrade«.
Die neue Software zur Paketverwaltung
installiert und deinstalliert nicht nur
Applikationen, sondern kümmert sich
auch um Upgrades. Dieser Befehl holt
eine Liste aller Pakete ein:
# pkg version
Nun bringt das folgende Kommando
veraltete Software inklusive aller Abhängigkeiten
auf den neuesten Stand:
# pkg upgrade
»pkg« kümmert sich auch um die Sicherheit.
Dieser Befehl zeigt alle Pakete
mit Sicherheitslücken an:
# pkg audit ‐F
Installation
Auch in der neuen Version läuft die
FreeBSD-Installation über die Textoberfläche
des Tools »bsdinstaller«, das den
Benutzer führt. Die textbasierte Installation
verhindert potenzielle Probleme
mit der Erkennung der Grafik-Hardware
durch Xorg.
Die neue Version von »bsdinstaller« ermöglicht
nun auch die Installation des
Systems in einen ZFS-Pool (Abbildung
7), was früher nur mit einigem Aufwand
möglich war [7].
Die FreeBSD-Standardinstallation läuft
im Allgemeinen reibungslos, sowohl
auf Notebooks als auch auf Servern.
Schwachstellen bleiben allerdings die
Unterstützung für ACPI und Grafik-
Hardware: Auf einem Notebook sollte
man unbedingt das »vesa«-Modul aus
dem Kernel entfernen, ansonsten stürzt
das Notebook beim nächsten Einschalten
(Resume) ab.
Des Weiteren sorgte die experimentelle
Installation von FreeBSD in einen
ZFS-Pool für Ärger. Eine mit VirtualBox
erstellte virtuelle Maschine stürzte mit
dieser Konfiguration in unseren Tests
regelmäßig ab oder reagierte nicht
mehr.
Generell bleibt FreeBSD auch in der
neuen Version 10 ein stabiles und
sicheres Betriebssystem und bringt
nützliche neue Features mit. Abgesehen
von der Behebung der erwähnten
Probleme würde man sich eine breitere
Hardware-Unterstützung etwa im Bereich
WLAN wünschen. Auf der anderen
Seite empfiehlt sich FreeBSD durch die
hohe Qualität bei der unterstützten
Hardware. (csc) n
Ausgabe 01-2014 Admin www.admin-magazin.de

114
Service
Impressum und Vorschau
n Impressum ISSN 2190-1066
ADMIN-Magazin eine Publikation der Medialinx AG
Redaktionsanschrift Putzbrunner Straße 71
81739 München
Tel.: 0 89 / 99 34 11-0
Fax: 0 89 / 99 34 11-99 oder -96
Internet
www.admin-magazin.de
E-Mail
redaktion@admin-magazin.de
Geschäftsleitung Brian Osborn (Vorstand), bosborn@medialinx-gruppe.de
Hermann Plank (Vorstand), hplank@medialinx-gruppe.de
Chefredakteure
Oliver Frommel (V. i. S. d. P.),
ofrommel@admin-magazin.de (ofr)
Jens-Christoph Brendel
jbrendel@admin-magazin.de (jcb)
Redaktion
News/Report
Ulrich Bantle (Ltg.), ubantle@medialinx-gruppe.de (uba)
Mathias Huber, mhuber@medialinx-gruppe.de (mhu)
Software/Programmieren Carsten Schnober, cschnober@medialinx-gruppe.de (csc)
Kristian Kißling, kkissling@medialinx-gruppe.de (kki)
Security/Networking Markus Feilner, mfeilner@medialinx-gruppe.de (mfe)
Thomas Leichtenstern, tleichtenstern@medialinx-gruppe.de (tle)
Ständige Mitarbeiter David Göhler (Schlussredaktion), Tim Schürmann, Claudia Thalgott
Produktionsleitung
Grafik
Abo-Infoseite
Abonnenten-Service
Christian Ullrich, cullrich@medialinx-gruppe.de
Judith Erb (Design und Layout)
Titel: Judith Erb, Ausgangsgrafik: lucadp, 123RF
www.admin-magazin.de/abo
Gudrun Blanz (Teamleitung)
abo@admin-magazin.de
Tel.: 07131/27 07 274, Fax: 07131/27 07 78 601
Preise Print Deutschland Österreich Schweiz Ausland EU
Einzelheft € 9,80 € 10,80 Sfr 19,60 (siehe Titel)
Mini-Abo (3 Ausgaben) € 9,80 € 10,80 Sfr 19,60 (siehe Titel)
Jahres-DVD (Einzelpreis) € 14,95 € 14,95 Sfr 18,90 € 14,95
Jahres-DVD (zum Abo 1 ) € 6,70 € 6,70 Sfr 8,50 € 6,70
Jahresabo € 99,90 € 109,90 Sfr 159,90 € 129,90
Preise Digital Deutschland Österreich Schweiz Ausland EU
Heft-PDF Einzelausgabe € 9,80 € 9,80 Sfr 10,71 € 9,80
DigiSub (12 Ausgaben) € 89,90 € 89,90 Sfr 129,50 € 89,90
DigiSub (zum Printabo) € 12,— € 12,— Sfr 12,— € 12,—
HTML-Archiv (zum Abo 1 ) € 48,— € 48,— Sfr 48,— € 48,—
Preise Kombiabos
Profi-Abo 2 € 181,90 € 198,90 Sfr 235,90 € 219,90
1
nur erhältlich in Verbindung mit einem Jahresabo Print oder Digital
2
mit Linux-Magazin-Abo und beiden Jahres-DVDs
Schüler- und Studenten-Ermäßigung: 20 Prozent gegen Vorlage eines Schülerausweises oder einer
aktuellen Immatrikulationsbescheinigung. Der aktuelle Nachweis ist bei Verlängerung neu zu erbringen.
Andere Abo-Formen, Ermäßigungen im Ausland etc. auf Anfrage.
Adressänderungen bitte umgehend mitteilen, da Nachsendeaufträge bei der Post nicht für
Zeitschriften gelten.
Pressemitteilungen info@admin-magazin.de
Anzeigen/Repräsentanz Es gilt die Anzeigenpreisliste vom 01.01.2013
National
Pressevertrieb
Druck
Petra Jaser
Tel.: 089 / 99 34 11 24, Fax: 089 / 99 34 11 99
E-Mail: pjaser@medialinx-gruppe.de
Michael Seiter
Tel.: 089 / 99 34 11 23, Fax: 089 / 99 34 11 99
E-Mail: mseiter@medialinx-gruppe.de
MZV, Moderner Zeitschriften Vertrieb GmbH
Breslauer Straße 5, 85386 Eching
Tel.: 089 / 31906-0, Fax: 089 / 31906-113
Vogel Druck und Medienservice GmbH
97204 Höchberg
Der Begriff Unix wird in dieser Schreibweise als generelle Bezeichnung für die Unix-ähnlichen Betriebssysteme
verschiedener Hersteller, zum Beispiel Eurix (Comfood), Ultrix (Digital Equipment), HP/UX (Hewlett-
Packard) oder Sinix (Siemens) benutzt, nicht als die Bezeichnung für das Trademark von X/Open. Linux ist ein
eingetragenes Marken zeichen von Linus Torvalds und wird in unserem Markennamen mit seiner Erlaubnis
verwendet. Alle anderen Marken sind Eigentum der jeweiligen Inhaber. Eine Haftung für die Richtigkeit von
Veröffentlichungen kann trotz sorgfältiger Prüfung durch die Redaktion vom Verlag nicht übernommen
werden. Mit der Einsendung von Manu s kripten gibt der Verfasser seine Zustimmung zum Abdruck im ADMIN-
Magazin. Für unverlangt ein gesandte Manuskripte kann keine Haftung übernommen werden. Die Redaktion
behält sich vor, Artikel zu kürzen. Das Exklusiv- und Verfügungsrecht für angenommene Manuskripte liegt beim
Verlag. Es darf kein Teil des Inhalts ohne ausdrückliche schriftliche Genehmigung des Verlags in irgendeiner
Form vervielfältigt oder verbreitet werden. Copyright © 1994–2013 Medialinx AG
n Autoren dieser Ausgabe
Bruce Byfield Zu Protokoll 68
Jürgen Dankoweit Neues vom Teufel 106
Thomas Drilling Genauer betrachtet 78
Thomas Drilling Zusammengeschweißt 52
Rainer Grimm Vorgelesen 8
Thomas Joos Virtuelle Kontrolle 88
Thomas Joos Überwiegend heiter 34
Jeff Layton In den Safe 58
Martin Loschwitz Auf Kommando 82
Martin Loschwitz Startvorteil 62
Alan Pipitone Perspektivwechsel 44
Thorsten Scherf Besser protokolliert 20
n Inserentenverzeichnis
ADMIN http://​www.admin-magazin.de 11, 41, 87, 91
Android User GY http://​www.android-user.de 104
ConSol Software GmbH http://​www.consol.de 37
Deutsche Messe AG http://​www.cebit.de 99
Galileo Press http://​www.galileo-press.de 15
GIMP-Magazin http://​www.gimp-magazin.de 61
Linux-Hotel http://​www.linuxhotel.de 17
Linux-Magazin http://​www.linux-magazin.de 9, 51, 71
LinuxUser http://​www.linuxuser.de 69
Medialinx AG http://​www.medialinx-gruppe.de 39
Medialinx IT-Academy http://​www.medialinx-academy.de 33, 111, 113
outbox AG http://​www.outbox.de 2
PlusServer AG http://​www.plusserver.de 7, 13, 19, 25, 29, 43
Raspberry Pi Geek http://​www.raspberry-pi-geek.de 47, 115
SEP Aktiengesellschaft http://​www.sep.de 116
Ubuntu User http://​www.ubuntu-user.de 57
Einem Teil dieser Ausgabe liegt eine Beilage der Firma ppedv (http://​www.visualstudio1.de ) bei. Wir bitten
unsere Leser um freundliche Beachtung.
n Vorschau: ADMIN 02/2014 erscheint am 9. Januar 2014
Youssouf Cader, 123RF
WLAN-Sicherheit
Drahtlose Netzwerke sind
überall: Zu Hause, im Café und
in der Firma. Im Gegensatz
zu Kabelnetzen verliert der
Admin bei WLANs allerdings
schnell die Kontrolle über die
Clients. Wer darf ins Netz, was
ist erlaubt und wie wehrt man
Einbruchsversuche ab?
Storage mit 10 GBit/s
SSDs in Fileservern waren lange
mehr oder weniger witzlos,
weil ihre Performance nicht via
Ethernet zu transportieren war.
Mit 10 GBit/s-Ethernet ändert
sich das. Und das Gute: Man
kann sogar Kupferkabel weiterverwenden.
Das ADMIN-Magazin
hat ein Setup getestet.
Ausgabe 01-2014 Admin www.admin-magazin.de