SUSE Linux Enterprise 10 - staedtetag-rlp.de0).pdf · SUSE Linux Enterprise 10 Karsten Grebing...
Transcript of SUSE Linux Enterprise 10 - staedtetag-rlp.de0).pdf · SUSE Linux Enterprise 10 Karsten Grebing...
SUSE Linux Enterprise 10
Karsten GrebingBusiness Partner Manager
<[email protected]>Dennis DeitermannTechnical Partner Services Linux
Common Code Base und AutoBuildtm
Städtetag Rheinland-Pfalz
3
Die Herausforderung bei derEntwicklung von OSS
• Tausende von OSS Community-Projekten• Zehntausende von Entwicklern• Hunderte Zeitstrecken• Versionszersplitterung• Fehlender Support
• Hochwertige Software gänzlich oder fast kostenlos• Lösungen für fast alle Aufgabenfelder• Hohe Innovations- & Evolutionsgüte
CommunityCode Stream
Produkte
• Kunden erwarten gebrauchsfertige Produkteaus einer Hand mit festenZeitstrecken, Versions-vergabe, Wartung undSupport.
Kunden-erwartungen
Städtetag Rheinland-Pfalz
4
Die Herausforderung bei derEntwicklung von OSS
CommunityCode Stream
• Tausende von OSS Community-Projekten• Zehntausende von Entwicklern• Hunderte Zeitstrecken• Versionszersplitterung• Fehlender Support
• Hochwertige Software gänzlich oder fast kostenlos• Lösungen für fast alle Aufgabenfelder• Hohe Innovations- & Evolutionsgüte
Produkte
• Kunden erwarten gebrauchsfertige Produkteaus einer Hand mit festenZeitstrecken, Versions-vergabe, Wartung undSupport.
Kunden-erwartungen
Städtetag Rheinland-Pfalz
5
Die Herausforderung bei derEntwicklung von OSS
Com
mon
Cod
e Ba
se
CommunityCode Stream
Kunden-erwartungen
AutoBuild™
• Automatisierte + Manuelle Regression• Qualitätssicherungsvorgänge• Funktionsprüfung• Novell SuperLab• SUSE Labs
Automatisiertes System erkennt Kompatibilitäts-
konflikte
= Fixes, Patches, Updates
•SUSE Linux Enterprise Server
•SUSE Linux Enterprise Desktop •Novell Open Enterprise Server
•SUSE Linux SDK
Produkte
Städtetag Rheinland-Pfalz
6
Die Herausforderung bei derEntwicklung von OSS
...
Linux Solution StackIhre Produkte
•SUSE Linux Enterprise Server
•SUSE Linux Enterprise Desktop
•Novell Open Enterprise Server
Novell bietet Ihnen einen unternehmenstüchtigen Common-Code-basierenden Linux Solution Stack,auf dem Ihre eigenen Anwendungen und Dienste aufgebaut werden können.
CommunityCode Stream
Kunden-erwartungen
SUSE Linux Enterprise Desktop 10
Städtetag Rheinland-Pfalz
8
SUSE Linux Enterprise Desktop 10
Finden und Verwalten von Informationen
Sicherheit und gesetzliche Anforderungen
Mobile Mitarbeiter
Optimierung der Desktop Infrastruktur
BenutzerIT
Mitarbeiter
Städtetag Rheinland-Pfalz
9
Menü und Applikations Browser
Neuer App. Browser
Neues Haupt Menü
Städtetag Rheinland-Pfalz
10
Einfacher und schneller Zugriff auf alle Daten
• Durchsucht alle relevanten Daten :
– Email Anhänge
– Termine
– Kontakte
– Besuchte Web Seiten (http)
– Dokumente (OpenOffice, PDF, usw.)
– Instant messages (Chats)
– Notizen
– etc...
Städtetag Rheinland-Pfalz
11
Novell Evolution
Städtetag Rheinland-Pfalz
12
OpenOffice.org 2.0 Novell® Edition
• Novell ist der zweit größte Mitgestalter von OO
• Volle Unterstützung des Open Document Formates
• Verbesserte Calc Interoperabilität
– Microsoft Excel VBA macro support
– Besserer support für Pivot Tabellen
• Verbessertes Slideshow rendering
– Kantenglättung (anti-aliasing)
– Echte Alpha-transparents in Animationen
• Collaboration client (Evolution) Integration
• Fonts Wiedergabetreue
Städtetag Rheinland-Pfalz
13
Novell CASA
• Vollständige Single Sign on Lösung
• Speichert alle Passwörter in einem
Lokalen Secret Store
• Unterstützt alle KDE, GNOME und
Novell Programme
• Unterstützung für Webseiten (Firefox)
• Unterstützung für Funknetzwerke
•
•
•
Städtetag Rheinland-Pfalz
14
Plug-n-Play Hardware Support
Intuitive und einfache Hardware Konfiguration
– USB Geräte (automatische Erkennung und Installation)
– Maus, Scanner, Digital Kameras und Portable Musik Player (inklusive Apple iPod)
– Bluetooth support für Mäuse, Telefone und andere Geräte
– Firewire Geräte
– Notebook Docking Station und Port Replikator Support
– Drucker (Lokal und Netzwerk)
– Scanner (über das Sane project)
SUSE Linux Enterprise Server 10
Städtetag Rheinland-Pfalz
16
SUSE Linux Enterprise Server
Oracle- Datenbank
Database Cluster
Speicherungim Netzwerk
Application Hosting
Windows, Mac und Linux-Anwender
Admin Tools
Administration Mainframe Application Hosting
ERP-System oderServerkonsolidierung
DNS, DHCP FTPJ2EE
Server
Network Services
Web Server Cluster
Internet
Firewall, Proxy VPN
Virtualisierung
Städtetag Rheinland-Pfalz
18
HW based Virtual Machines
z/Series• z/VM • LPAR• IFL
P5 OpenPower
Virtualization Engine• Micro-partitioning• Dynamic LPAR• Virtual storage• Virtual Ethernet
UNISYS ES7000 family• Static, • soft and • dynamic
partitioning
FSC PrimeQuest• System mirror• flex. I/O
Städtetag Rheinland-Pfalz
19
Software-basierte Virtualisierung im Linux-Umfeld
User Mode Linux• Linux inside Linux• Linux Kernel läuft als
Prozess im User Space• GPL• Hardware-unabhängig
VMWare• ESX Server• Virtual SMP• GSX Server• Workstation• ACE
• Virtualisierung für x86 Server
• Nutzt x86 Server als Baustein für virtuellen Server (VM + Aggregation)
(Paravirtualisierung)• Virtual Machine Monitor• Hohe Performance• Benötigt portiertes Gast-
Betriebssystem• GPL• x86 Architektur
Städtetag Rheinland-Pfalz
20
PrivilegedRing-0
UnprivilegedRings 1-3
IA-32 Privilege-Ebenen
Hardware-Plattform
Betriebssystem
Anwendungen
Virtual Machine Monitor
Hardware-Plattform
Virtual Machine
Betriebssystem
Anwendungen
IA-32 bietet 17 für die Nutzung durch Betriebssysteme bevorzugte (“privileged”) Befehle, um kritische Plattform-Ressourcen zu steuern (wie zum Beispiel Memory-Mapping)
Wenn das Betriebssystem nicht im Ring 0 läuft, kann die Ausführung eines beliebigen dieser bevorzugten Befehle einen Konflikt erzeugen, welcher Systemfehler oder Ausfälle verursachen kann.
Es gibt zwei Wege, diesem Problem zu begegnen ...
Städtetag Rheinland-Pfalz
21
Volle & Para-Virtualisierung
Virtual Machine Monitor
Hardware-Plattform
Virtual Machine
Betriebs-system
Apps
Virtual Machine
Betriebs-system
Apps
Volle Virtualisierung
Laufzeitänderung des Gast-Betriebssystems: VMM verwaltet den Konflikt und kehrt dann zum Betriebssystem zurück.
Virtual Machine Monitor
Hardware-Plattform
Virtual Machine
Betriebs-system
Apps
APIA
PI
Virtual Machine
Betriebs-system
Apps
APIA
PI
Para-Virtualisierung
Statische Veränderung des Gast-Betriebssystems vor der Laufzeit: Bevorzugte Befehlsaufrufe werden über API-Funktionen ausgetauscht, die vom VMM bereitgestelt werden.
Städtetag Rheinland-Pfalz
22
Xen-Architektur
Virtual Machines Virtual Machines
Domain 1
Gast
Linux Kernel
AndererBetriebs-systems-Kernel
Physische Treiber
Linux Kernel
Verwaltung / Host-OS
Domain 0
E/A-System E/A-System
VM Verwaltungs- Anwendung
Hypervisor (XEN)
Physische HardwareE/A & Plattform-Geräte(Disk, LAN, USB, BMC, IPMI, ACPI, usw.)
Speicher & CPU(x86, x86-64, EM64T)
Memory & CPU Management
Virt
uelle
r Tr
eibe
r
Virt
uelle
r Tr
eibe
r
Phys
isch
er
Trei
ber
Phys
isch
er
Trei
ber
Verwaltungs-pfad
CIMOM-Agent
Intern / Extern
E/A Pfad
Direkter E/A Pfad Direkter E/A Pfad
E/A Pfad
E/A PfadDirekter E/A Pfad
E/APfad
Gast
Domain N
Städtetag Rheinland-Pfalz
23
Vor- & Nachteile
• Volle-Virtualisierung+Hosting von unveränderten
alten (legacy)Gast-Betriebssystemen
- Komplexe Workarounds
- Auswirkungen auf die Performance
• Para-Virtualisierung+ Geringe Auswirkung auf die Performance
+ Hardware kann direkt VMs zugeordnet werden
- Gast-Betriebssystem muß abgeändert werden
- Tandem-Upgrade des Virtual-Machine-Managements (VMM) und der Betriebssystem-Software
Städtetag Rheinland-Pfalz
24
Unterstützte Prozessoren
Xen 2.0:
• IA-32 (x86)
Xen 3.0:
• IA-32 (x86)
• IA-32 + PAE (x86 mehr als 4GB Hauptspeicher)
• IA-64
• Itanium
• Opteron (x86_64)
• Power (IBM i & pSeries)
• x86 Hardwareunterstützung (Intel VT; AMD Pacifica)
Städtetag Rheinland-Pfalz
25
Unterstützte Betriebssysteme
Da Xen Paravirtualisierung verwendet, war seither eine Kernel-modifikation notwendig.
Bereits auf Xen portiert:• Linux 2.4• Linux 2.6• NetWare 6.5 +• NetBSD• FreeBSD• Plan9
In Arbeit:• OpenSolaris• ReactOS• Andere
Städtetag Rheinland-Pfalz
26
Vorteile der Intel® VT (Vanderpool) Technologie
VT verringert die Abhängigkeit vom Gast-Betriebssystem
• Eliminiert die Notwendigkeit von Binär-Patching / Übersetzung
• Erleichtert die Unterstützung von alten Betriebssystemen
VT verbessert die Robustheit• Eliminiert die Notwendigkeit von komplexen Software-Techniken
• Einfachere und kleinere VMMs
• Kleinere Trusted-Computing Basis
VT verbessert die Performance • Weniger ungewollte Gast VMM Übergänge
Städtetag Rheinland-Pfalz
27
XEN und Intel® VT
• Xen ist die erste Virtualisierungs-Software, die Intels Vanderpool-Technologie (VT) nutzen kann.
• VT-Code in Xen wird von Intel geliefert.
• XENsource führte einen Windows-XP Gast auf Xen 3.0 mit Vanderpool im August 2005 auf dem Intel Developer Forum (IDF) vor.
• Novell hat auf der IDF ein vollständig virtualisiertes Betriebssystem mit XEN 3.0 auf Intel VT-Hardware laufend vorgestellt.
• Sponsoren von Xen:– Novell, Intel Research, HP Labs, Microsoft Research, Network
Appliance, and XenSource Inc.
Städtetag Rheinland-Pfalz
28
XEN (live) Migration
SAN / NAS
Testumgebung
XEN Instanzen
Speicherinhalt XEN Instanz wird
Kopiert
ProduktivumgebungProjekt X
XEN Instanzen
Projekt X
Städtetag Rheinland-Pfalz
29
Gewinn mit XEN
- Open Source unterstützt von großen Anbietern
- Sehr gute Leistung
- Saubere/Sichere Trennung zwischen den VMs
- HA durch VM-Migration während des Betriebs
- Kosten reduzieren durch Serverkonsolidierung– HW-Ressourcen besser nutzen – Lastverteilung besser planen
– weniger Server zu verwalten
– Strom-, Kühl- und Lagerungskosten senken
Städtetag Rheinland-Pfalz
30
2006 2007 2008
Target project (but uncommitted)
Committed project (FCS targeted but not interlocked)
Committed and interlocked FCS date
Planned end of life
SUSE® Linux Enterprise ServerVirtualization Roadmap
SLES 10 SP2 SLES 10 SP3
Virtualization Support• SLES10 XEN Host• SLES10 DomU (Guest)
Technical Preview• SLES9 SP3 DomU (Guest)
Technical Preview using Intel VT and AMD Pacifica• SLES 8, 9, 10• NetWare• Solaris x86• RHEL 3, 4• Microsoft Windows Server
Virtualization Support• SLES10 XEN Host • SLES10 DomU (Guest)• SLES9 SP4 DomU (Guest)
Unmodified using Intel VT and AMD Pacifica• SLES 8, 9, 10• NetWare• Solaris x86• RHEL 3, 4• Microsoft Windows Server
VM-Lab 1.0
Virtualization Support• SLES10 XEN Host• SLES10 DomU (Guest)• SLES9 SP4 DomU (Guest)• OES NetWare Dom U (Guest)• RHEL 5 DomU (Guest)• Solaris x86 DomU (Guest)
All para-virtualized x86/x86-64 OSwhich support XEN 3.0.2 API standards
Unmodified using Intel VT and AMD Pacificaall existing x86/x86-64 OS2
Jul Mai Feb
SLES 10 EOL
Q2 2013
Sicherheit
Städtetag Rheinland-Pfalz
32
Sicherheit• Vorausgreifend (proactive)
• Code-Überprüfungen von möglicherweise gefährlichen Programmen• Verbesserungen am Compiler (Überprüfung auf Pufferüberläufe mit
fortify)• Der Stack wird mit randomize weniger vorhersehbar (Verhinderung von
Exploits)
• Server Jail• Sichere Abschottung in der VM über Xen-Virtualisierung
• AppArmor Schutz vor Eindringen• Bildet eine “Firewall” um Anwendungen• Schützt sogar vor unbekannten Gefährdungen in Anwendungen• Kein Expertenwissen zu Sicherheit notwendig
• Umfassender assistentenbasierter Werkzeugsatz in YaST eingebaut• Voreingestellte Profile für Standardanwendungen
• Niedrige Auswirkung auf Performance (typisch: < 0.2 %,im schlimmsten Fall: 2%)
Städtetag Rheinland-Pfalz
33
YaSTManagement Console
Immunix AppArmor
Application Profiles
Linux OSProgram
DesktopAppication
ServerAppication SubDomain
Module
LSM Interface
Reporting/Alerting
Linux 2.6 Kernel
Reporting/Alerting
Wie AppArmor funktioniert
Städtetag Rheinland-Pfalz
34
Städtetag Rheinland-Pfalz
35
AppArmor SicherheitsprofilAppArmor überwacht die folgenden Dinge, solange ein geschütztes Programm läuft, unabhängig von der UID:
– Die POSIX-Fähigkeiten, die es haben kann (sogar wenn es als root laufen sollte).
– Die Verzeichnisse oder Dateien, die es lesen, schreiben oder ausführen darf.
Viele voreingestellte Profile.
Apache2, postfix, usw.
Zusätzliche Profile verfügbar.
/usr/sbin/ntpd {
#include <abstractions/base>
#include <abstractions/nameservice>
capability ipc_lock,
capability net_bind_service,
capability sys_time,
capability sys_chroot,
capability setuid,
/etc/ntp.conf r,
/etc/ntp/drift* rwl,
/etc/ntp/keys r,
/etc/ntp/step-tickers r,
/tmp/ntp* rwl,
/usr/sbin/ntpd rix,
/var/log/ntp w,
/var/log/ntp.log w,
/var/run/ntpd.pid w,
/var/lib/ntp/drift rwl,
/var/lib/ntp/drift.TEMP rwl,
/var/lib/ntp/var/run/ntp/ntpd.pid w,
/var/lib/ntp/drift/ntp.drift r,
/drift/ntp.drift.TEMP rwl,
/drift/ntp.drift rwl,
}
Beispielhaftes Sicherheitsprofil für ntpd
Städtetag Rheinland-Pfalz
36
• Eingeschränkte Werkzeuge für die Definition von Sicherheitsrichtlinien. Erfordert zusätzliches Expertenwissen
• Volle Unterstützung erfordert Änderungen in den Anwendungen
• Der Prozeß ist die kleinste Begrenzungseinheit
• Richtlinien werden in umständlicher Typendurchsetzungs-Sprache verfaßt
• Auswirkung auf den Performance-Overhead wird mit 7% angegeben
AppArmor vs. SELinux
● Automatisierte YaST-basierte Werzeuge machen die Entwicklung von Sicherheitsprofilen einfach
• Keine Änderungen and den Anwendungen
• Unterstützt Sicherheitsrichtlinien für Unterprozesse
• Im Klartext lesbare Sicherheitsrichtlinien mit Unterstützung für Reguläre Ausdrücke
• Gemessener Performance-Overhead beträgt 0-2%
AppArmor SELinux
Management
Städtetag Rheinland-Pfalz
38
Management Lifecycle
Konfiguration
1 zu 1
Management Impact
1 zu vielen
Management Aufgaben
Installation
Update-Verwaltung
Monitoring
Städtetag Rheinland-Pfalz
39
Management Lifecycle – Installation
• 1 zu 1– Arbeitsablauf der YaST
Installation– Vorkonfigurierte
Softwareverteilung
• 1 zu vielen– AutoYaST
– ZENworks Linux Management
Städtetag Rheinland-Pfalz
40
Management Lifecycle – Konfiguration
• 1 zu 1– YaST Control Center
> Modulgestützt
> Kategorisiert
• 1 zu vielen– AutoYaST
– ZENworks Linux Management> Zugriffseinschränkung auf den
Rechner
> AppArmor Profileinsatz
– OpenWBEM / CIM Support
Städtetag Rheinland-Pfalz
41
Management Lifecycle – Updates
• 1 zu 1– YaST Paketmanager– ZENworks Werkzeuge
> zmd> rug> zen-updater
– Novell Customer Center> Automatische Konfiguration> Verwaltung von Erfassung und
Befugniserteilung
• 1 zu vielen– ZENworks Linux Management
als Satelliten- Server
ZENworksLinux Management
Novell Customer Center
SUSE Linux Enterprise
Städtetag Rheinland-Pfalz
42
Management Lifecycle – Monitoring
• 1 zu 1– sysstat-Paket für nützliche
Beobachtung auf niedriger Ebene
– ksysguard mit grafischem Frontend> lokal oder fern
• 1 zu vielen– nagios
– OpenWBEM / CIM Support
– ZENworks
Weitere Eigenschaften
Städtetag Rheinland-Pfalz
44
Hochverfügbarkeit und Failover
• Heartbeat v2:– Mehr als 2 Knoten
– YaST-Erweiterung für mehr als 2 Knoten
– Fehlererkennung binnen Millisekunden
– I/O Data Integritätsüberprüfung vor der Migration
– “Wiederbelebte” Knoten kehren “automatisch” oder “manuell” zurück in den Cluster
• Multipath I/O:– Lastenausgleich (load balancing) und Fehlertoleranz durch
mehrere “Channels”
– Bessere Unterstützung von EMC Storage-Arrays
Städtetag Rheinland-Pfalz
45
NFS v4 und Cluster-Dateisysteme
• NFS v4: – NFS Version 2,3 und 4 über UDP/TCP auf ALLE Architekturen
– NFS Version 4 Client und Server
– Höhere Sicherheit
– Höhere Performance
– Stateful-Protokoll
• OCFS 2: – in Oracle Home und Oracle Real Application Cluster (RAC)
aber auch als “Standard” Dateisystem
– Ünterstützt in ALLEN Architekturen
– Höhere Performance bei Meta-Daten-Operationen
– Höheres Data Caching / Locking
Städtetag Rheinland-Pfalz
46
Enterprise Application ServicesOracle und SAP
• orarun– Vereinfacht die Konfiguration von Oracle
– Erzeugt Oracle Benutzer und Gruppen
– Setzt die Oracle Umgebungsvariablen
– Setzt die von Oracle empfohlenen Kernelparameter
– Automatisiert das Starten und Stoppen der Oracle System-Komponente
– YaST-Integration
• sap-init– Automatisiert das Starten und Stoppen der SAP Komponenten
und setzt die erforderlichen Variablen
Unpublished Work of Novell, Inc. All Rights Reserved.
This work is an unpublished work and contains confidential, proprietary, and trade secret information of Novell, Inc. Access to this work is restricted to Novell employees who have a need to know to perform tasks within the scope of their assignments. No part of this work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or adapted without the prior written consent of Novell, Inc. Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability.
General Disclaimer
This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. Novell, Inc., makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. Further, Novell, Inc., reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All Novell marks referenced in this presentation are trademarks or registered trademarks of Novell, Inc. in the United States and other countries. All third-party trademarks are the property of their respective owners.
Städtetag Rheinland-Pfalz
49
XEN - Installationsschritte
SLES 10 Installation auf dem Hostsystem (Yast)
Installation der XEN rpm-Pakete (Yast)
Erstellen eines VM-Images (Yast)
Anpassung des VM-Images (Yast)
Konfiguration einer VM
Städtetag Rheinland-Pfalz
50
Konfiguration der VM
Erstellen einer Konfigdatei “vm1.vmx” unter /etc/xen auf dem Hostsystem
kernel = "/boot/vmlinuz-xen"ramdisk = "/boot/initrd-xen"memory = 256name = "dom1"vif = [ 'mac=aa:00:00:00:00:12, bridge=xenbr0' ]disk = [ 'file:/tmp/vm1.img,hda1,w' ]dhcp="dhcp"hostname= "xen3vm1"root = "/dev/hda1 rw"
Städtetag Rheinland-Pfalz
51
Nutzung und Tools
“xm” Perl-Skript zur Steuerung der VM
– $ xm create vm1.vmx
– $ xm list
– $ xm top
– $ xm console <dom-name>
– $ xm shutdown <dom-name>
– $ xm migrate <dom-name> <ziel-ip>
– $ xm migrate –live <dom-name> <ziel-ip>
Städtetag Rheinland-Pfalz
52
Physical Storage (SAN)
Physical Server(CPU, Memory, I/O)
Policy Driven Adaptive Data Center
Städtetag Rheinland-Pfalz
53
Physical Storage (SAN)
Physical Server(CPU, Memory, I/O)
VSVirtual Storage
VMVirtual Machines
Policy Driven Adaptive Data Center
LVM, Cluster File Systems, NAS, Parallel FS
Städtetag Rheinland-Pfalz
54
Physical Storage (SAN)
Physical Server(CPU, Memory, I/O)
VSVirtual Storage
Policy Driven Adaptive Data Center
LVM, Cluster File Systems, NAS, Parallel FS
VMVirtual Machines
Städtetag Rheinland-Pfalz
55
Physical Storage (SAN)
Physical Server(CPU, Memory, I/O)
VSVirtual Storage
Policy Driven Adaptive Data Center
LVM, Cluster File Systems, NAS, Parallel FS
CTContainment &Protection
VMVirtual Machines
WMWorkload Management
Städtetag Rheinland-Pfalz
56
Physical Storage (SAN)
Physical Server(CPU, Memory, I/O)
VSVirtual Storage
Policy Driven Adaptive Data Center
LVM, Cluster File Systems, NAS, Parallel FS
RMResource Management
VMVirtual Machines
WMWorkload Management
CTContainment &Protection
IMIdentity Management
PPPolicy &Profiles
Rules & ExecutionEngine