K-Tux » architecture

OSSEC : Surveillance du système et réponse active

KXan — Mon, 10 Oct 2011 13:00:59 +0000

Le dernier post était axé sur la surveillance de certaines données via auditd. Et bien cette fois, câblons plus efficace, et englobons dans un joli package surveillance du système ET réponse active ! C'est le rôle d'OSSEC.

OSSEC

OSSEC est un HIDS (Host-based Intrusion Detection System). Il s'agit en quelque sorte d'une sonde qui travaille sur une machine en particulier et analyse les éléments propres à cette machine. OSSEC dispose de fonctionnalités adaptées à son utilisation, comme l'analyse de logs, la détection de rootkit, les alertes en temps réel et les réponses actives. OSSEC fonctionne sur la plupart des OS communément rencontrés : Windows, Linux, Mac OS, HP-UX, solaris, ... Il s'appuie sur un schéma client / Serveur :

d'une part le Manager, qui met à disposition les éléments permettant d'évaluer les clients et stocke les informations renvoyées par ces clients
d'autre part un agent, qui se charge de récupérer les éléments nécessaires aux analyses et pousse le tout au Manager

Cependant, OSSEC peut très bien se passer de l'agent, par exemple pour le cas où les systèmes à monitorer seraient plus de l'ordre des équipements réseaux. Ce mode ne sera pas testé ici, mais sachez qu'il est tout-à-fait envisageable.

Installation et configuration en standalone

Comme d'habitude, l'installation se fera depuis les sources, non pas que l'outil ne soit pas disponible sur les dépôts, mais il se peut qu'il date un peu par rapport à la fraiche mouture du site référent. L'installation est on ne peut plus simple : ./install

$ wget http://www.ossec.net/files/ossec-hids-2.6.tar.gz
$ tar zxvf ossec-hids-2.6.tar.gz
$ cd ossec-hids-2.6
$ sudo "./install.sh "
Password:

** Pour une installation en français, choisissez [fr]
(en/br/cn/de/el/es/fr/it/jp/nl/pl/ru/sr/tr) [en]: fr

OSSEC HIDS v2.6 Script d'installation - http://www.ossec.net

Vous êtes sur le point d'installer OSSEC HIDS.
Vous devez avoir une compilateur C préinstallé sur votre système.
Si vous avez des questions ou des commentaires, envoyez un email
à dcid@ossec.net (ou daniel.cid@gmail.com).

- Système: Linux ossec-server.k-tux Debian
- Utilisateur: root
- Hôte: ossec-server.k-tux

-- Appuyez sur Entrée pour continuer ou Ctrl-C pour annuler. --

1- Quel type d'installation voulez-vous (serveur, agent, local ou aide) ? serveur
- Installation du serveur choisie.

2- Définition de l'environnement d'installation.
- Choisissez votre répertoire d'installation de OSSEC HIDS [/var/ossec]:
- L'installation sera faite sur  /var/ossec .

3- Configuration de OSSEC HIDS.
3.1- Voulez-vous une alerte par email ? (o/n) [o]: o
- Quel est votre adresse email ? k-tux@k-tux.com
- Quel est l'adresse IP ou le nom d'hôte de votre serveur SMTP ? smtp.k-tux.com

3.2- Voulez-vous démarrer le démon de vérification d'intégrité ? (o/n) [o]: o
- Lancement de syscheck (démon de vérification d'intégrité).

3.3- Voulez-vous démarrer le moteur de détection de rootkit ? (o/n) [o]: o
- Lancement de rootcheck (détection de rootkit).

3.4- La réponse active vous permet d'éxécuter des commandes  spécifiques en fonction d'évènement. Par exemple, vous pouvez bloquer une adresse IP ou interdire l'accès à un utilisateur spécifique. Plus d'information sur : http://www.ossec.net/en/manual.html#active-response
- voulez-vous démarrer la réponse active ? (o/n) [o]: o
- Réponse active activée.

- Par défaut, nous pouvons activer le contrôle d'hôte
et le pare-feu (firewall-drop). Le premier ajoute un hôte dans /etc/hosts.deny et le second bloquera l'hôte dans iptables (sous linux) ou dans ipfilter (sous Solaris, FreeBSD ou NetSBD).
- Ils peuvent aussi être utilisés pour arrêter les scans en force brute de SSHD, les scans de ports ou d'autres formes d'attaques. Vous pouvez aussi les bloquer par rapport à des évènements snort, par exemple.
- Voulez-vous activer la réponse pare-feu (firewall-drop) ? (o/n) [o]:
- pare-feu (firewall-drop) activé (local) pour les levels >= 6
- liste blanche (white list) par défaut pour la réponse active :
- Voulez-vous d'autres adresses IP dans votre liste (white list) ? (o/n)? [n]:

3.5- Voulez-vous activer fonctionnalité syslog (port udp 514) ? (o/n) [o]:
- Fonctionnalité syslog activé.

3.6- Mise en place de la configuration pour analyser les logs suivants :
-- /var/log/messages
-- /var/log/auth.log
-- /var/log/secure
-- /var/log/syslog
-- /var/log/security
-- /var/log/maillog
-- /var/log/proftpd/proftpd.log
-- /var/log/httpd/error_log (apache log)
-- /var/log/httpd/access_log (apache log)

- Si vous voulez surveiller d'autres fichiers, changez le fichier ossec.conf en ajoutant une nouvelle valeur de nom de fichier local. Pour toutes vos questions sur la configuration, consultez notre site web http://www.ossec.net
--- Appuyez sur Entrée pour continuer ---

5- Installation du système
- Exécution du Makefile INFO: Little endian set.
[...]
- Le Système est Debian Linux.
- Script d'initialisation modifié pour démarrer OSSEC HIDS pendant le boot.
- Configuration correctement terminée.
- Pour démarrer OSSEC HIDS:
/var/ossec/bin/ossec-control start
- Pour arrêter OSSEC HIDS:
/var/ossec/bin/ossec-control stop
- La configuration peut être visualisée ou modifiée dans /var/ossec/etc/ossec.conf

Merci d'utiliser OSSEC HIDS.
Si vous avez des questions, suggestions ou si vous trouvez un bug, contactez nous sur contact@ossec.net ou en utilisant la liste de diffusion publique sur ossec-list@ossec.net ( http://www.ossec.net/en/mailing_lists.html ).
Plus d'information peut être trouver sur http://www.ossec.net

- Vous devez ajouter le(s) agent(s) avant qu'ils aient un accés autorisé. Lancez 'manage_agent' pour les ajouter ou les supprimer:
/var/ossec/bin/manage_agents

Plus d'information sur http://www.ossec.net/en/manual.html

C'est plutôt verbeux, ce qui nous permet de bien maîtriser ce qui est fourni à OSSEC et de savoir par où commencer. Allons faire un tour sur le basedir d'OSSEC : /var/ossec.

$ cd /var/ossec/
$ ll
total 76
4 dr-xr-x--- 15 root  ossec 4096 2011-08-25 15:28 .
4 drwxr-xr-x 21 root  root  4096 2011-08-25 15:28 ..
4 dr-xr-x---  3 root  ossec 4096 2011-08-25 15:28 active-response
4 dr-xr-x---  2 root  ossec 4096 2011-08-25 15:28 agentless
4 -r-xr-x---  1 root  ossec   24 2011-08-25 15:28 .bash_logout
4 -r-xr-x---  1 root  ossec  191 2011-08-25 15:28 .bash_profile
4 -r-xr-x---  1 root  ossec  124 2011-08-25 15:28 .bashrc
4 dr-xr-x---  2 root  ossec 4096 2011-08-25 15:28 bin
4 dr-xr-x---  3 root  ossec 4096 2011-08-25 15:28 etc
4 dr-xr-x---  2 root  ossec 4096 2011-08-25 15:28 .gnome2
4 drwxr-x---  5 ossec ossec 4096 2011-08-25 15:28 logs
4 dr-xr-x---  2 root  ossec 4096 2011-08-25 15:28 .mozilla
4 dr-xr-x--- 11 root  ossec 4096 2011-08-25 15:28 queue
4 dr-xr-x---  3 root  ossec 4096 2011-08-25 15:28 rules
4 -r-xr-x---  1 root  ossec 3793 2011-08-25 15:28 .screenrc
4 drwx------  2 ossec ossec 4096 2011-08-25 15:28 .ssh
4 drwxr-x---  2 ossec ossec 4096 2011-08-25 15:28 stats
4 dr-xr-x---  2 root  ossec 4096 2011-08-25 15:28 tmp
4 dr-xr-x---  3 root  ossec 4096 2011-08-25 15:28 var

Comme on peut le voir, toute une arborescence a été créée et remplie avec les informations données à l'installation.

La configuration se trouve sous etc, profitons-en pour jeter un oeil dessus :

$ cat etc/ossec.conf


yes
k-tux@k-tux.com
smtp.k-tux.com
ossecm@ossec-server.k-tux



rules_config.xml
pam_rules.xml
sshd_rules.xml
telnetd_rules.xml
syslog_rules.xml
arpwatch_rules.xml
symantec-av_rules.xml
symantec-ws_rules.xml
pix_rules.xml
named_rules.xml
smbd_rules.xml
vsftpd_rules.xml
pure-ftpd_rules.xml
proftpd_rules.xml
ms_ftpd_rules.xml
ftpd_rules.xml
hordeimp_rules.xml
roundcube_rules.xml
wordpress_rules.xml
cimserver_rules.xml
vpopmail_rules.xml
vmpop3d_rules.xml
courier_rules.xml
web_rules.xml
apache_rules.xml
nginx_rules.xml
php_rules.xml
mysql_rules.xml
postgresql_rules.xml
ids_rules.xml
squid_rules.xml
firewall_rules.xml
cisco-ios_rules.xml
netscreenfw_rules.xml
sonicwall_rules.xml
postfix_rules.xml
sendmail_rules.xml
imapd_rules.xml
mailscanner_rules.xml
dovecot_rules.xml
ms-exchange_rules.xml
racoon_rules.xml
vpn_concentrator_rules.xml
spamd_rules.xml
msauth_rules.xml
mcafee_av_rules.xml
trend-osce_rules.xml
ms-se_rules.xml

zeus_rules.xml
solaris_bsm_rules.xml
vmware_rules.xml
ms_dhcp_rules.xml
asterisk_rules.xml
ossec_rules.xml
attack_rules.xml
openbsd_rules.xml
clam_av_rules.xml
bro-ids_rules.xml
dropbear_rules.xml
local_rules.xml




79200


/etc,/usr/bin,/usr/sbin
/bin,/sbin


/etc/mtab
/etc/mnttab
/etc/hosts.deny
/etc/mail/statistics
/etc/random-seed
/etc/adjtime
/etc/httpd/logs
/etc/utmpx
/etc/wtmpx
/etc/cups/certs
/etc/dumpdates
/etc/svc/volatile


C:\WINDOWS/System32/LogFiles
C:\WINDOWS/Debug
C:\WINDOWS/WindowsUpdate.log
C:\WINDOWS/iis6.log
C:\WINDOWS/system32/wbem/Logs
C:\WINDOWS/system32/wbem/Repository
C:\WINDOWS/Prefetch
C:\WINDOWS/PCHEALTH/HELPCTR/DataColl
C:\WINDOWS/SoftwareDistribution
C:\WINDOWS/Temp
C:\WINDOWS/system32/config
C:\WINDOWS/system32/spool
C:\WINDOWS/system32/CatRoot



/var/ossec/etc/shared/rootkit_files.txt
/var/ossec/etc/shared/rootkit_trojans.txt
/var/ossec/etc/shared/system_audit_rcl.txt
/var/ossec/etc/shared/cis_debian_linux_rcl.txt
/var/ossec/etc/shared/cis_rhel_linux_rcl.txt
/var/ossec/etc/shared/cis_rhel5_linux_rcl.txt



127.0.0.1
^localhost.localdomain$



syslog



secure



1
7



host-deny
host-deny.sh
srcip
yes



firewall-drop
firewall-drop.sh
srcip
yes



disable-account
disable-account.sh
user
yes



restart-ossec
restart-ossec.sh




route-null
route-null.sh
srcip
yes





host-deny
local
6
600




firewall-drop
local
6
600





syslog
/var/log/messages



syslog
/var/log/auth.log



syslog
/var/log/secure



syslog
/var/log/syslog



syslog
/var/log/security



syslog
/var/log/maillog



syslog
/var/log/proftpd/proftpd.log



apache
/var/log/httpd/error_log



apache
/var/log/httpd/access_log

Par défaut telle quelle, la configuration est tout-à-fait viable. On recevra alors des mails du genre :

[...]Received: from notify.ossec.net (ossec-server.k-tux.com)[...]
To: 
From: "OSSEC HIDS" 
Date: Wed, 21 Sep 2011 14:23:41 +0200
Subject: OSSEC Notification - ossec-server.k-tux - Alert level 4

OSSEC HIDS Notification.
2011 Sep 21 14:23:28

Received From: ossec-server.k-tux->/var/log/messages
Rule: 10100 fired (level 4) -> "First time user logged in."
Portion of the log(s):

Sep 21 14:23:26 ossec-server.k-tux sshd[3185]: Accepted password for k-user1 from 192.168.10.105 port 62205 ssh2

 --END OF NOTIFICATION

C'est pratique, notamment pour garder un oeil sur ce qui se passe sur votre infrastructure, cela s'inscrit notamment dans la même veine que le monitoring via Nagios, à ceci près qu'il n'a besoin que des logs de la cible. D'ailleurs, on pourrait mettre également en place la centralisation de logs, afin de pouvoir sécuriser les éléments sur lesquels OSSEC s'appuie.

Active responses

Les actives responses -ou réponses actives en français- sont une des principales fonctionnalités d'OSSEC. Ce sont des actions qui, selon certaines conditions, permettent d'agir immédiatement et de prendre les mesures qui s'imposent. Comme on peut s'en douter, il est facile de mesurer les avantages et inconvénients de ces mécanismes : rapidité de réponse, efficacité (trop parfois), faux positifs, ... Tout est contenu dans la définition : il s'agit d'une part de paramétrer une action / une commande, et de l'autre, de spécifier les conditions déclenchant l'action. Comme vous pouvez le constater, la cnfiguration par défuat en contient déjà quelques unes, comme par exemple :


firewall-drop
firewall-drop.sh
srcip
yes

[...]


firewall-drop
local
6
600

En ce qui concerne la définition de la commande, on a principalement :

le nom de la commande
l'exécutable auquel OSSEC doit se référer pour l'action, situé sous /var/ossec/active-response/bin/
expect, qui contient l'argument nécessaire pour effectuer l'action
la possibilité d'autoriser un timeout

Pour ce qui est de la définition de la réponse active, on doit spécifier :

le nom de la commande
location : où la commande doit être exécutée. 4 choix s'offrent à vous :

local ; c'est-à-dire sur la machine cliente, où l'agent s'est exécuté
server ; donc sur le serveur OSSEC lui-même
defined-agent ; sur un agent spécifique, il faut alors renseigner un champ agent_id pour que cela soit fait correctement
all : partout

agent_id : le fameux agent sur lequel l'action sera faite si on a mentionné defined-agent dans les balises de location
level : la réponse sera exécutée sur chaque évènement ayant un niveau supérieur ou égal à celui spécifié
timeout : combien de temps avant que la réponse soit défaite (par exemple, ici, l'ip débloquée)

Voyons ce que cela donne dans le cadre d'une installation d'un client seulement...

Clients / Serveur

L'installation d'un client distinct fonctionne à peu près pareil que pour l'installation du serveur, à ceci près que l'on mention agent au lieu de server.

# cd /usr/lcoal/src/ossec-hids-2.6
-bash-4.0# ls
active-response/  BUGS  CONFIG  contrib/  CONTRIBUTORS  doc/  etc/  INSTALL  install.sh*  LICENSE  README  src/
-bash-4.0# ./install.sh
** Pour une installation en français, choisissez [fr]
(en/br/cn/de/el/es/fr/it/jp/nl/pl/ru/sr/tr) [en]: fr

OSSEC HIDS v2.6 Script d'installation - http://www.ossec.net
[...]

- Système: Linux Debian
- Utilisateur: root
- Hôte: ossec-agent.k-tux.com

1- Quel type d'installation voulez-vous (serveur, agent, local ou aide) ? agent
- Installation de l'agent (client) choisie.
2- Définition de l'environnement d'installation.
- Choisissez votre répertoire d'installation de OSSEC HIDS [/var/ossec]:
- L'installation sera faite sur  /var/ossec .
3- Configuration de OSSEC HIDS.
3.1- Quelle est l'adresse IP de votre serveur OSSEC HIDS ?: 192.168.206.145
- Ajout de l'IP du Serveur 192.168.206.145
3.2- Voulez-vous démarrer le démon de vérification d'intégrité ? (o/n) [o]: o
- Lancement de syscheck (démon de vérification d'intégrité).
3.3- Voulez-vous démarrer le moteur de détection de rootkit ? (o/n) [o]:
- Lancement de rootcheck (détection de rootkit).
3.4 - voulez-vous démarrer la réponse active ? (o/n) [o]:
3.5- Mise en place de la configuration pour analyser les logs suivants :
-- /var/log/messages
-- /var/log/auth.log
-- /var/log/secure
-- /var/log/syslog
-- /var/log/security
-- /var/log/maillog
-- /var/log/proftpd/proftpd.log
-- /var/log/httpd/error_log (apache log)
-- /var/log/httpd/access_log (apache log)

5- Installation du système
- Exécution du Makefile [...]
- Le Système est Debian Linux.
- Script d'initialisation modifié pour démarrer OSSEC HIDS pendant le boot.
- Configuration correctement terminée.
- Pour démarrer OSSEC HIDS:
/var/ossec/bin/ossec-control start
- Pour arrêter OSSEC HIDS:
/var/ossec/bin/ossec-control stop
- La configuration peut être visualisée ou modifiée dans /var/ossec/etc/ossec.conf
- Vous devez d'abord ajouter cet agent sur le serveur pour
qu'ils communiquent entre eux. Quand cela sera fait,
vous pourrez lancer l'outil 'manage_agents' pour
importer la clef d'authentification depuis le serveur.

/var/ossec/bin/manage_agent

Comme mentionné, il faut ajouter manuellement l'agent sur le serveur, car sinon, il ne voit que lui-même. Pour cela il faut utiliser manage_agent, qui, sur mon serveur, se situe sous /var/ossec/bin. Quant à agent_control, il permet d'avoir la main sur la liste des agents référencés et de leur faire subir quelques contrôles.

 ossec-server.k-tux# agent_control -l

OSSEC HIDS agent_control. List of available agents:
ID: 000, Name: ossec-serv.k-tux (server), IP: 127.0.0.1, Active/Local

# manage_agents
****************************************
* OSSEC HIDS v2.6 Agent manager.     *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: A

- Adding a new agent (use '\q' to return to the main menu).
Please provide the following:
* A name for the new agent: ossec-agent.k-tux
* The IP Address of the new agent: 192.168.206.151
* An ID for the new agent[001]:
Agent information:
ID:001
Name:ossec-agent.k-tux
IP Address:192.168.206.151
Confirm adding it?(y/n): y
Agent added.

****************************************
* OSSEC HIDS v2.6 Agent manager.     *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: Q

** You must restart the server for your changes to have effect.
manage_agents: Exiting ..

Et de redémarrer le serveur ossec :

# ossec-control restart
Deleting PID file '/var/ossec/var/run/ossec-remoted-7684.pid' not used...
Killing ossec-monitord ..
Killing ossec-logcollector ..
ossec-remoted not running ..
Killing ossec-syscheckd ..
Killing ossec-analysisd ..
Killing ossec-maild ..
Killing ossec-execd ..
OSSEC HIDS v2.6 Stopped
Starting OSSEC HIDS v2.6 (by Trend Micro Inc.)...
OSSEC analysisd: Testing rules failed. Configuration error. Exiting.
Started ossec-maild...
Started ossec-execd...
Started ossec-analysisd...
Started ossec-logcollector...
Started ossec-remoted...
Started ossec-syscheckd...
Started ossec-monitord...
Completed.

Du client, si rien de plus n'est fait, on part tout de même en erreur sur une histoire de clé :

 ossec-agent.k-tux # /var/ossec/bin/ossec-control start
Starting OSSEC HIDS v2.6 (by Trend Micro Inc.)...
Started ossec-execd...
2011/10/05 13:21:39 ossec-agentd(1402): ERROR: Authentication key file '/var/ossec/etc/client.keys' not found.
2011/10/05 13:21:39 ossec-agentd(1750): ERROR: No remote connection configured. Exiting.
2011/10/05 13:21:39 ossec-agentd(4109): ERROR: Unable to start without auth keys. Exiting.

Pour récupérer la clé du client, il faut créer un fichier /var/ossec/etc/client.keys qui contiendra la clé du client que le serveur garde sous son /var/ossec/etc/clients.keys (attention, il y a bien un s à clients, contrairement à celui du client).

ossec-agent.k-tux # cat /var/ossec/etc/client.keys
001 ossec-agent.k-tux 192.168.206.151 3ba007429eb3f283e85cc18eefcf4e01e64604e82757723db94c23fd1026df88

Une autre méthode, mais qui n'a pas fonctionné pour moi, est, depuis le client, de passer par manage_agent avec un bon cut/paste de la clé :

ossec-agent.k-tux # ./manage_agents

****************************************
* OSSEC HIDS v2.6 Agent manager.     *
* The following options are available: *
****************************************
(I)mport key from the server (I).
(Q)uit.
Choose your action: I or Q: I

* Provide the Key generated by the server.
* The best approach is to cut and paste it.
*** OBS: Do not include spaces or new lines.

Paste it here (or '\q' to quit): 3ba007429eb3f283e85cc18eefcf4e01e64604e82757723db94c23fd1026df88

** Invalid authentication key. Starting over again.
** Press ENTER to return to the main menu.

Dans un cas comme dans l'autre -du moins si votre manage_agent fonctionne sur l'import-, vous pouvez dès que cela est réglé, lancer ossec-agent sur le client :

ossec-agent.k-tux # /var/ossec/bin/ossec-control start
Starting OSSEC HIDS v2.6 (by Trend Micro Inc.)...
ossec-execd already running...
Started ossec-agentd...
Started ossec-logcollector...
Started ossec-syscheckd...
Completed.

A partir de là, votre agent fonctionne tout comme votre serveur, notifications et réponses actives !

Conclusion

Il est indéniable qu'OSSEC dispose de fonctionnalités clé qui permettent d'avoir un état en temps réel de votre infrastructure. En cela, il devient un des outils nécessaires à tout administrateur voulant contrôler un peu plus ce qui se passe sur son parc. Cependant, comme pour tous les outils puissants, il reste maintenant à faire un peu de tri dans les informations renvoyées, afin de distinguer celles qui sont vraiment importantes de celles qui relèvent plus de l'anecdote. Car c'est un risque identifié : plus il y a de bruit, et moins on voit le problème...

Bcfg2 : la gestion de conf du bout des doigts

KXan — Thu, 21 Jul 2011 13:49:18 +0000

Il n'y a pas si longtemps que ça, je vous avais parlé d'un gestionnaire de conf, Puppet, qui s'appuyait sur son propre langage descriptif et jouait avec du Ruby. Après quelques essais ma foi assez pertinents, je me suis aperçue que Puppet était somme toute un peu lent : pour 3 packages (certes, il y avait du java dans le tas) et 2 conf, plus de 20 minutes étaient nécessaires pour mettre à niveau les nodes. Un autre fâcheux défaut est que, par défaut, il agrège toutes les instructions dans un même espace, sans tenir compte de la séquence selon laquelle ils sont définis. Pour le coup, les résultats sont pour le moins inattendus, surtout si on est dans un cas de figure où l'on doit passer une instruction (exemple : définition des dépôts officiels) avant une autre (installation de package). Au final, l'organisation des manifests finit, par défaut en un gigantesque mashup d'instructions. Pas trop sympa quand, naif, on n'y a pas pensé et passé des heures à tout bien organiser. Le seul moyen d'échapper à ce mécanisme est de passer par de lourdes définitions de dépendances. Il était temps de faire jouer AlternativeTo... Et de tomber sur bcfg2, un gestionnaire de conf s'appuyant sur du python ! Retour sur une conf aux petits oignons !

Principes de fonctionnement

Dans l'absolu, le fonctionnement de bcfg2 est assez similaire à celui de Puppet : on a un agent qui interroge le serveur, et exécute -ou pas- les modifications. Après, étant un peu flemmarde et n'étant pas trop pour la copie illégitime de contenu, je vous renvoie sur le fonctionnement détaillé au poil du projet !

Un peu de technique

Installation

Comme d'habitude, on partira des sources : fraîches, dispo, et surtout dernière version :)

$ cd /usr/local/src
$ wget ftp://ftp.mcs.anl.gov/pub/bcfg/bcfg2-1.1.2.tar.gz
$ tar zxvf bcfg2-1.1.2.tar.gz
$ python setup.py build
$ python setup.py install

$ bcfg2-admin init
Store bcfg2 configuration in [/etc/bcfg2.conf]:
Location of bcfg2 repository [/var/lib/bcfg2]:
Input password used for communication verification (without echoing; leave blank for a random):
What is the server's hostname [bcfg2-server]:
Input the server location [https://bcfg2-server:6789]:
Input base Operating System for clients:
1: Redhat/Fedora/RHEL/RHAS/Centos
2: SUSE/SLES
3: Mandrake
4: Debian
5: Ubuntu
6: Gentoo
7: FreeBSD
: 5
Generating a 2048 bit RSA private key
.......+++
........+++
writing new private key to '/etc/bcfg2.key'
-----
Signature ok
subject=/C=US/ST=Illinois/L=Argonne/CN=bcfg2-server.k-tux.com
Getting Private key
Repository created successfuly in /var/lib/bcfg2

Bon, certificat un peu faussé parce que K-Tux, dans l'Illinois, c'est un peu tiré par les cheveux, mais bon, en s'en contentera :)

Configuration du service

La configuration du serveur en lui-même (je veux dire par là, le paramétrage du service, hein, pas celui concernant les nodes qui vont le solliciter) se situe tout simplement sous /etc et se compose de 3 éléments : la conf, la clé et le certificat en lui-même.

bcfg2-server $ ls /etc/bc*
bcfg2.conf  bcfg2.crt   bcfg2.key

Un petit start du service pour se rendre compte du truc :

bcfg2-server $ bcfg2-server start
Handled 14 events in 0.017s
service available at https://bcfg2-server.k-tux.com:6789
serving bcfg2-server at https://bcfg2-server.k-tux.com:6789
serve_forever() [start]

...Qui reste en foreground, mais c'est pas plus mal pour voir ce qui se passe ! La première conf est celle du Hello World : tester le service en local. Notre serveur sera donc, pour cette fois-ci du moins, également notre node. On lance donc la partie cliente, avec les options qui vont bien : -q (query) -v (verbose) -n (dry-run mode)

bcfg2-server $ bcfg2 -q -v -n
Loaded tool drivers:
Action     Chkconfig  POSIX      RPMng

Phase: initial
Correct entries:        0
Incorrect entries:      0
Total managed entries:  0
Unmanaged entries:      2754

Phase: final
Correct entries:        0
Incorrect entries:      0
Total managed entries:  0
Unmanaged entries:      2754

C'est un peu violent de se prendre 2754 Unmanaged entries dans la tronche, mais pas d'erreur, le serveur nous renvoie tout simplement un :

Generated config for bcfg2-server.k-tux.com in 0.001s
Client bcfg2-server.k-tux.com reported state clean

En clair, il nous reste 2754 packages à configurer.

Configuration du client en local

Il faut savoir, et c'est intéressant car c'est là que vous allez bosser, que la configuration des paramétrages pour les nodes tapant sur votre bcfg2-server se situe par défaut sous /var/lib/bcfg2. Là-dedans, vous avez tout une arborescence qui a été mise en place lors de l'installation :

bcfg2-server $ ls -lsaR  /var/lib/bcfg2
/var/lib/bcfg2:
total 40
4 drwxr-xr-x 10 root root 4096 2011-07-06 16:14 .
4 drwxr-xr-x 48 root root 4096 2011-07-06 16:14 ..
4 drwxr-xr-x  2 root root 4096 2011-07-06 16:14 Base
4 drwxr-xr-x  2 root root 4096 2011-07-06 16:14 Bundler
4 drwxr-xr-x  2 root root 4096 2011-07-06 16:14 Cfg
4 drwxr-xr-x  2 root root 4096 2011-07-06 16:14 etc
4 drwxr-xr-x  2 root root 4096 2011-07-06 16:14 Metadata
4 drwxr-xr-x  2 root root 4096 2011-07-06 16:14 Pkgmgr
4 drwxr-xr-x  2 root root 4096 2011-07-06 16:14 Rules
4 drwxr-xr-x  2 root root 4096 2011-07-06 16:14 SSHbase

/var/lib/bcfg2/Base:
total 8
4 drwxr-xr-x  2 root root 4096 2011-07-06 16:14 .
4 drwxr-xr-x 10 root root 4096 2011-07-06 16:14 ..

/var/lib/bcfg2/Bundler:
total 8
4 drwxr-xr-x  2 root root 4096 2011-07-06 16:14 .
4 drwxr-xr-x 10 root root 4096 2011-07-06 16:14 ..

/var/lib/bcfg2/Cfg:
total 8
4 drwxr-xr-x  2 root root 4096 2011-07-06 16:14 .
4 drwxr-xr-x 10 root root 4096 2011-07-06 16:14 ..

/var/lib/bcfg2/etc:
total 8
4 drwxr-xr-x  2 root root 4096 2011-07-06 16:14 .
4 drwxr-xr-x 10 root root 4096 2011-07-06 16:14 ..

/var/lib/bcfg2/Metadata:
total 16
4 drwxr-xr-x  2 root root 4096 2011-07-06 16:14 .
4 drwxr-xr-x 10 root root 4096 2011-07-06 16:14 ..
4 -rw-r--r--  1 root root  111 2011-07-06 16:14 clients.xml
4 -rw-r--r--  1 root root  354 2011-07-06 16:14 groups.xml

/var/lib/bcfg2/Pkgmgr:
total 8
4 drwxr-xr-x  2 root root 4096 2011-07-06 16:14 .
4 drwxr-xr-x 10 root root 4096 2011-07-06 16:14 ..

/var/lib/bcfg2/Rules:
total 8
4 drwxr-xr-x  2 root root 4096 2011-07-06 16:14 .
4 drwxr-xr-x 10 root root 4096 2011-07-06 16:14 ..

/var/lib/bcfg2/SSHbase:
total 8
4 drwxr-xr-x  2 root root 4096 2011-07-06 16:14 .
4 drwxr-xr-x 10 root root 4096 2011-07-06 16:14 ..

Et par défaut, et bien vous avez vraiment peu de choses :) En fait, seuls /var/lib/bcfg2/Metadata/clients.xml et groups.xml sont définis. Soit dit en passant, ce sont ces fichiers qui vont permettre d'associer un profil à un node, le profil pouvant ensuite se moduler à l'infini, par le biais de Bundle et d'autres subtilités. Jetons-y un oeil, pour le coup :

bcfg2-server $ cat /var/lib/bcfg2/Metadata/clients.xml

Ici, notre client (qui est aussi le serveur) est associé au profil par défaut; "basic". pinguable et pingtime parlent d'eux même. Pour ce qui est de groups.xml, c'est la même trame : une série de sont définis, par défaut vides et fonction de la distribution du client.

bcfg2-server $ cat /var/lib/bcfg2/Metadata/groups.xml

A noter que 2 types de groupes existent : les publics, qui sont en fait les entrées par lesquelles les clients accèdent à leur catalogue, et les autres, qui ne sont pas directement visibles par les clients mais servent à mieux organiser les catégories.

Jouer avec les conf

Le premier jeu va consister à mettre à jour une conf sur un client.Les conf, les fichiers texte e, général sont toujours stockés dans /var/lib/bcfg2/Cfg. Pour jouer donc, tapons et modifions d'abord nos jolis xml :

bcfg2-server:/var/lib/bcfg2 $ cat Metadata/groups.xml










/var/lib/bcfg2 $ cat Bundler/release.xml

Bien sûr, il faut tout de même mettre la conf dans un endroit précis, distinct du système (que se passerait-il si ce ne sont pas les mêmes OS ?). Pour cela, il suffit de créer un dir portant le path et le nom de la conf sous /var/lib/bcfg2/Cfg/. Par exemple, ici, on va :

bcfg2-server $ mkdir -p /var/lib/bcfg2/Cfg/etc/ubuntu-release/
bcfg2-server $ cp /etc/ubuntu-release /var/lib/bcfg2/Cfg/etc/ubuntu-release/

Enfantin, n'est-ce pas ? Le plus embêtant, c'est que j'ai dû redémarrer le service pour qu'il prenne en compte les changements.

bcfg2-server $ bcfg2-server start
service available at https://bcfg2.k-tux.com:6789
serving bcfg2-server at https://bcfg2.k-tux.com:6789
serve_forever() [start]
Handled 30 events in 0.020s

Lançons le client,qui dispose de son ubuntu-release correctement paramétré :

bcfg2-server $ bcfg2 -q -v -n
Loaded tool drivers:
Action     Chkconfig  POSIX      RPMng

Phase: initial
Correct entries:        1
Incorrect entries:      0
Total managed entries:  1
Unmanaged entries:      2754

Phase: final
Correct entries:        1
Incorrect entries:      0
Total managed entries:  1
Unmanaged entries:      2754

Et cette fois, qui a volontairement le ubuntu-release tronqué :

bcfg2-server $ bcfg2 -q -v -n
Loaded tool drivers:
Action     Chkconfig  POSIX      RPMng

Phase: initial
Correct entries:        0
Incorrect entries:      1
Total managed entries:  1
Unmanaged entries:      2759

Le dry-run mode ne faisant rien de spécial sur le système, il se contente de nous broncher une Incorrect entry. Virons le dry-run et voyons si la conf redescend bien comme il faut !

bcfg2-server $ bcfg2 -q -v
Loaded tool drivers:
Action     Chkconfig  POSIX      RPMng

Phase: initial
Correct entries:        0
Incorrect entries:      1
Total managed entries:  1
Unmanaged entries:      2759

Installing ConfigFile /etc/ubuntu-release
The Following Bundles have been modified:
release

Phase: final
Correct entries:        1
Incorrect entries:      0
Total managed entries:  1
Unmanaged entries:      2759

Clair, net, concis : notre conf est bien redescendue ! C'est bien joli tout ça, mais tant qu'à y être, autant voir les choses en grand :) Passons donc en multi clients !

Client - Serveur distincts

Notre client, lui, n'est plus sous ubuntu comme le serveur mais sur une autre machine , en Debian 6.0.1. En réalité, que se passe-t-il qui est différent de notre mode client=serveur ? Et bien, rien de spécial, si ce n'est qu'on a rajouté une entrée dans le clients.xml.

bcfg2-server $ /var/lib/bcfg2 $ cat Metadata/clients.xml

Notre groups.xml est aussi enrichi, puisque l'OS est différent et qu'il existe pile poil la bonne catégorie pour ce type de machine : bcfg2-server Au niveau du client, c'est un peu plus palpable :

bcfg2cli-deb $ apt-get update && apt-get upgrade
bcfg2cli-deb $ apt-get install bcfg2
Creating config file /etc/bcfg2.conf with new version

Forcément, la conf par défaut n'est pas valide, puisque pour fonctionner doit d'ailleurs directement taper sur le serveur (logique). Avant, on avait donc ça :

bcfg2cli-deb $ cat /etc/bcfg2.conf
[communication]
protocol = xmlrpc/ssl
password = foobat
# certificate = /etc/bcfg2.key
# key = /etc/bcfg2.key

[components]
bcfg2 = https://localhost:6789

Et après modification du general password et du serveur sur lequel taper :

bcfg2cli-deb $ cat /etc/bcfg2.conf
[communication]
protocol = xmlrpc/ssl
password = sF9Xlpuv
# certificate = /etc/bcfg2.key
# key = /etc/bcfg2.key

[components]
bcfg2 = https://bcfg2-server.k-tux.com:6789

On lance le client :

bcfg2cli-deb $ bcfg2 -qvn
No ca is specified. Cannot authenticate the server with SSL.
No ca is specified. Cannot authenticate the server with SSL.
Loaded tool drivers:
APT      Action   DebInit  POSIX

Phase: initial
Correct entries:        0
Incorrect entries:      0
Total managed entries:  0
Unmanaged entries:      365

Phase: final
Correct entries:        0
Incorrect entries:      0
Total managed entries:  0
Unmanaged entries:      365

No ca is specified. Cannot authenticate the server with SSL.

Au niveau du serveur, il existe des outils permettant de bien visualiser ce que l'on a, sans forcément rentrer dans le xml. Un peu comme... bcfg2-info :

bcfg2-server $ bcfg2-info "clients"
Handled 31 events in 0.012s
cli Client          | Profile
============================
bcfg2cli-deb   | deb
bcfg2-server  | basic

Installer des packages via bcfg2

Forcément, la conf ne fait pas tout, et on aimerait -moi en tout cas- pouvoir monter un noeud qui aurait été victime d'une installation très basique pour en faire un noeud fonctionnel, prêt à brasser du code. Contrairement à son petit nom qui sonne un peu restrictif somme toute, bcfg2 peut, comme Puppet, prendre en charge cette opération, aussi facilement que pour la partie configuration. Attaquons de suite par un exemple on ne peut plus simple ! Je rappelle que le noeud en question rentre dans le profil deb qui fait appel au group debian. Pour pouvoir accéder à la fonctionnalité installation / gestion des packages, il faut retoucher la conf de bcfg2 et rajouter le plugin Packages au bon endroit. Votre conf deviendra donc :

bcfg2-server $ cat /etc/bcfg2.conf

[server]
repository = /var/lib/bcfg2
plugins = Base,Bundler,Cfg,Metadata,Pkgmgr,Packages,Rules,SSHbase

[statistics]
sendmailpath = /usr/lib/sendmail
database_engine = sqlite3
# 'postgresql', 'mysql', 'mysql_old', 'sqlite3' or 'ado_mssql'.
database_name =
# Or path to database file if using sqlite3.
#/etc/brpt.sqlite is default path if left empty
database_user =
# Not used with sqlite3.
database_password =
# Not used with sqlite3.
database_host =
# Not used with sqlite3.
database_port =
# Set to empty string for default. Not used with sqlite3.
web_debug = True

[communication]
protocol = xmlrpc/ssl
password = sF9Xlpuv
certificate = /etc/bcfg2.crt
key = /etc/bcfg2.key
ca = /etc/bcfg2.crt

[components]
bcfg2 = https://bcfg2-server.k-tux.com:6789

Il faut également créer le répertoire et la configuration qu'il contiendra et qui permettra d'indiquer les dépôts sur lesquels chercher les packages. Dans ma config.xml, comme c'est une Debian Squeeze à qui je m'adresse, les dépôts sont spécifiques. Donc à modifier pour aligner sur vos noeuds.

bcfg2-server:/var/lib/bcfg2 $ mkdir /var/lib/bcfg2/Packages
bcfg2-server:/var/lib/bcfg2 $ vim Packages/config.xml



debian-squeeze
http://ftp.de.debian.org/debian/
squeeze
main
multiverse
restricted
universe
amd64

A présent, il faut indiquer quels packages, et pour qui.

bcfg2-server $ cat /var/lib/bcfg2/Metadata/groups.xml

Voila pour qui. Maintenant, le quoi en question. Pour les packages, on utilise ce que bcfg2 appelle des Bundles, qui permettent de grouper plusieurs définitions pour actions. Le tout étant, bien entendu, stocké à sa place dans /var/lib/bcfg2/Bundler/. Nous avons indiqué un Bundle nommé python, nous allons le mettre en forme :

bcfg2-server $ cat /var/lib/bcfg2/Bundler/python.xml

Le restart du service n'est pas très rassurant :

bcfg2-server:/var/lib/bcfg2 $ bcfg2-server start
Failed to read file /var/lib/bcfg2/Packages/cache/http:@@ftp.de.debian.org@debian@dists@squeeze@multiverse@binary-amd64@Packages.gz
Packages: File read failed; falling back to file download
Packages: Updating http://ftp.de.debian.org/debian/dists/squeeze/main/binary-amd64/Packages.gz
Packages: Updating http://ftp.de.debian.org/debian/dists/squeeze/multiverse/binary-amd64/Packages.gz
Packages: Failed to fetch url http://ftp.de.debian.org/debian/dists/squeeze/multiverse/binary-amd64/Packages.gz. code=404
Packages: Updating http://ftp.de.debian.org/debian/dists/squeeze/restricted/binary-amd64/Packages.gz
Packages: Failed to fetch url http://ftp.de.debian.org/debian/dists/squeeze/restricted/binary-amd64/Packages.gz. code=404
Packages: Updating http://ftp.de.debian.org/debian/dists/squeeze/universe/binary-amd64/Packages.gz
Packages: Failed to fetch url http://ftp.de.debian.org/debian/dists/squeeze/universe/binary-amd64/Packages.gz. code=404
Failed to read file /var/lib/bcfg2/Packages/cache/http:@@ftp.de.debian.org@debian@dists@squeeze@multiverse@binary-amd64@Packages.gz
Failed to update source
Traceback (most recent call last):
File "/usr/lib/python2.6/site-packages/Bcfg2/Server/Plugins/Packages.py", line 120, in setup_data
self.read_files()
File "/usr/lib/python2.6/site-packages/Bcfg2/Server/Plugins/Packages.py", line 406, in read_files
raise
File "/usr/lib/python2.6/site-packages/Bcfg2/Server/Plugins/Packages.py", line 403, in read_files
reader = gzip.GzipFile(fname)
File "/usr/lib/python2.6/gzip.py", line 79, in __init__
fileobj = self.myfileobj = __builtin__.open(filename, mode or 'rb')
IOError: [Errno 2] No such file or directory: '/var/lib/bcfg2/Packages/cache/http:@@ftp.de.debian.org@debian@dists@squeeze@multiverse@binary-amd64@Packages.gz'
The following plugins conflict with Packages;Unloading ['Pkgmgr']
Loading experimental plugin(s): Packages
NOTE: Interfaces subject to change
Handled 32 events in 0.012s
service available at https://bcfg2-server.k-tux.com:6789
serving bcfg2-server at https://bcfg2-server.k-tux.com:6789
serve_forever() [start]

Par contre, le service est opérationel ! Le client en dry-run, nous renvoie :

bcfg2cli-deb $ bcfg2 -qvn
No ca is specified. Cannot authenticate the server with SSL.
No ca is specified. Cannot authenticate the server with SSL.
Loaded tool drivers:
APT      Action   DebInit  POSIX
Package python-openssl not installed
Package python-pytools not installed
Package python-setuptools not installed

Phase: initial
Correct entries:        0
Incorrect entries:      3
Total managed entries:  3
Unmanaged entries:      364

In dryrun mode: suppressing entry installation for:
Package:python-openssl     Package:python-pytools     Package:python-setuptools

Phase: final
Correct entries:        0
Incorrect entries:      3
Package:python-openssl     Package:python-pytools     Package:python-setuptools
Total managed entries:  3
Unmanaged entries:      364

No ca is specified. Cannot authenticate the server with SSL.

Et en mode non dry-run, on a effectivement les installations qui se déroulent comme prévu :

bcfg2cli-deb $ bcfg2 -qv
No ca is specified. Cannot authenticate the server with SSL.
No ca is specified. Cannot authenticate the server with SSL.
Loaded tool drivers:
APT      Action   DebInit  POSIX
Package python-openssl not installed
Package python-pytools not installed
Package python-setuptools not installed

Phase: initial
Correct entries:        0
Incorrect entries:      3
Total managed entries:  3
Unmanaged entries:      364

The Following Bundles have been modified:
python

Phase: final
Correct entries:        3
Incorrect entries:      0
Total managed entries:  3
Unmanaged entries:      364

No ca is specified. Cannot authenticate the server with SSL.

bcfg2cli-deb $ dpkg -s python-openssl
Package: python-openssl
Status: install ok installed [...]

Et voilà ! Il ne reste plus qu'à gérer les 364 entrées restantes, plus celles que vous allez rajouter pour enrichir vos nodes :) Pour ma part, je dois encore paufiner la conf sur la partie authentification par certificat SSL et tant qu'à faire résoudre le pourquoi-qu'il-me-crache-des-erreurs-python-au-start. Mais tout ceci est une autre histoire ! Ah ! Et à toujours garder en tête : garder la conf par défaut est trèèèèèèèèèèèès dangereux (je pense au port 6789 en question) !!! Enjoy !!!

Ubuntu Server 11.04 i686 sur plus de 8 CPU

KXan — Fri, 08 Jul 2011 09:02:32 +0000

Récemment, j'ai pu tester l'installation d'un Ubuntu Server 11.04 i686 sur un serveur contenant 2 CPU Intel® Xeon® Processor X5650, ce qui fait pas moins de 24 CPUs visibles sous nunux. La demande était expresse : OS 32 bits imposé, donc aucune discussion possible. Et là surprise : à la fin de l'install, on ne voit plus que 8 CPU. Alors forcément, on se pose des questions... Enfin, on pose des questions à dmesg, qui nous renvoie un joli : WARNING: NR_CPUS limit of 8 reached. Pour cela, il existe une solution : recompiler le noyau avec les bonnes options :) Pas de panique ni de make menuconfig, sous Ubuntu, la procédure est standardisée. Au cas où le lien n'est plus valide :

sudo apt-get install fakeroot build-essential crash kexec-tools makedumpfile kernel-wedge
sudo apt-get build-dep linux
sudo apt-get install git-core libncurses5 libncurses5-dev libelf-dev asciidoc binutils-dev

fakeroot debian/rules clean
sudo apt-get build-dep --no-install-recommends linux-image-$(uname -r)
apt-get source linux-image-$(uname -r)

A partir de là, il suffit juste d'éditer linux-2.6.38/debian.master/config/i386/config.flavour.generic-pae (enfin pour moi, à modifier pour votre cas de figure), et de stipuler en plus 2 options :

CONFIG_NR_CPUS=32
CONFIG_X86_BIGSMP=y

Pourquoi 32 ? D'une, il s'agit en fait d'une limite, donc pas besoin de mettre 24 dans la mesure où Ubuntu va lui-même détecter le bon nombre de CPU présent. Et de deux, pour l'avoir testé avec 24, j'ai pu constater qu'en fait, il pouvait voir 32 slots possibles -sûrement la capacité d'accueil de la carte mère-, donc au cas où je décide de rajouter des processeurs (on ne sait jamais), autant la fixer au max :) Ne pas oublier le chmod des scripts :

chmod -R u+x debian/scripts/*

Update de la config :

debian/rules updateconfigs

On recompile en adoptant l'option skipabi (car pour moi ça partait en erreur):

DEB_BUILD_OPTIONS=parallel=2 AUTOBUILD=1 NOEXTRAS=1 skipabi=true fakeroot debian/rules binary-generic-pae

Si vous tombez sur une question vous demandant de choisir entre Sparse et Discontinious Memory et que vous ne savez absolument pas de quoi il en retourne, mieux vaut choisir la Discontinuous Memory, car la Sparse est à titre expérimentale. Toute l'information est ici. Et c'est parti pour la génération des .deb ! Il ne restera plus qu'à dpkg -i les .deb, rebooter et vous avez un serveur prêt, frais et dispo !!

Back To Basis : Torque & MAUI

KXan — Mon, 06 Jun 2011 11:44:36 +0000

Rapide tip pour sauver ce qui me reste de mémoire avec la mise en place et l'exploitation d'un cluster de calcul via Torque et MAUI.

Fonctionnement

Un cluster de calcul est composé de noeuds de calcul, plus ou moins riches en ressources, et à plus ou moins charger. Typiquement, ici, j'ai un cluster composé de 2 ensembles :

les noeuds de calcul 24/24 7/7
les noeuds de calcul cumulant 2 rôles et qui sont principalement des postes de travail

Pour info, je ne détaille pas l'installation ni du cluster en lui-même (réplication d'un noeud sur tous les autres, voir le tip sur SystemImager) ni celle des installations de Torque ni MAUI, qui sont triviales. Je n'attaquerais que la partie configuration. Le fonctionnement d'un cluster de calcul sous Torque / MAUI est le suivant. Les utilisateurs soumettent des travaux (on appellera ça des batchs) au master. Ce master a pour tâche d'enregistrer ces travaux dans une queue et de les soumettre à n noeuds en fonctions des ressources disponibles et demandées par le travail en question. Pour cela, il existe sur chacun des noeuds de calcul un daemon, pbs_mom, qui est chargé de la communication entre le master et le noeud. Pourquoi pbs_mom ? Et bien parce qu'avant de s'appeler Torque, l'outil portait le doux nom de PBS. Le master quant à lui fait tourner principalement 2 daemons : MAUI, l'ordonnanceur, et pbs_server, qui est notre serveur TORQUE. De plus, il gère toute une collection (enfin ça dépend de vous) de queue avec -de préférence- des priorités et des contraintes différentes.

Ces contraintes sont notamment liées au temps d'exécution qui est borné, et selon votre bon plaisir, le mien en tout cas, à un maximum de soumission et de jobs en cours d'exécution.

Comment faire ? Il suffit de continuer à lire :)

Configuration

Maui

En réalité, MAUI n'a pas besoin, sauf cas particulier -du genre allouer telle ressources entre telle heure et telle heure à tel utilisateur- de configuration spécifique. Tout ce qu'il y a à savoir se trouve sous /var/spool/maui/maui.cfg, je vous ai même rajouté ce cas particulier dont je vous parlais :

$ cat /var/spool/maui/maui.cfg | grep -v "#"

SERVERHOST            master
ADMIN1                root

RMCFG[base] TYPE=PBS
AMCFG[bank]  TYPE=NONE

RMPOLLINTERVAL        00:00:30
SERVERPORT            50001
SERVERMODE            NORMAL

LOGDIR                /var/log/maui
LOGFILE               maui.log
LOGFILEMAXSIZE        1000000000
LOGLEVEL              3

QUEUETIMEWEIGHT       1

BACKFILLPOLICY        FIRSTFIT
RESERVATIONPOLICY     CURRENTHIGHEST
NODEALLOCATIONPOLICY  LASTAVAILABLE

SRCFG[prioritaire]          PERIOD=DAY
SRCFG[prioritaire]          STARTTIME=3:00:00
SRCFG[prioritaire]          ENDTIME=11:45:00
SRCFG[prioritaire]          HOSTLIST=ktux-w1,ktux-w2
SRCFG[prioritaire]          USERLIST=kuser

Torque

Par défaut, l'installation de Torque / PBS vous a crée un petit fichier de conf, destiné à paramétrer notamment le démarrage des services. Il nous indique également où est le home de Torque, c'est-à-dire où il range ses petites affaires. Ici, c'est sous /var/spool/pbs.

$ cat /etc/pbs.conf
#!/bin/sh
# init of some var needed bi pbs service
# config: /etc/pbs.conf

pbs_home=/var/spool/pbs
pbs_exec=/usr
# set 1 to start the service
start_server=1
start_sched=0
start_mom=0

/var/spool/pbs

Ce répertoire contient notamment les logs, mais aussi les données relatives aux queues et aux jobs

$ ll /var/spool/pbs/
total 112
drwxr-xr-x  2 root root  4096 2011-06-06 02:40 aux/
drwx------  2 root root  4096 2011-06-06 02:40 checkpoint/
drwxr-xr-x  2 root root  4096 2011-06-06 00:00 mom_logs/
drwxr-xr-x  3 root root  4096 2011-06-06 09:20 mom_priv/
-rw-r--r--  1 root root 56261 2011-06-06 12:46 nodes
-rwxr-xr-x  1 root root  2317 2011-06-06 02:41 pbs_config.sample*
-rw-r--r--  1 root root    26 2011-06-06 02:40 pbs_environment
drwxr-xr-x  2 root root  4096 2011-06-06 09:40 sched_logs/
drwxr-xr-x  3 root root  4096 2011-06-06 10:33 sched_priv/
drwxr-xr-x  2 root root  4096 2011-06-06 00:00 server_logs/
-rwxr-xr-x  1 root root    13 2011-06-06 16:39 server_name*
drwxr-xr-x 12 root root  4096 2011-06-06 15:10 server_priv/
drwxrwxrwt  2 root pbs   4096 2011-06-06 12:30 spool/
drwxrwxrwt  2 root pbs   4096 2011-06-06 02:40 undelivered/

Principalement, ce qui nous intéressera sera situé sous server_priv :

$ ll /var/spool/pbs/server_priv/
total 328
drwxr-xr-x 2 root root  12288 2011-06-06 05:00 accounting/
drwxr-xr-x 2 root root   4096 2011-06-06 02:40 acl_groups/
drwxr-xr-x 2 root root   4096 2011-06-06 02:40 acl_hosts/
drwxr-xr-x 2 root root   4096 2011-06-06 10:40 acl_svr/
drwxr-xr-x 2 root root   4096 2011-06-06 10:23 acl_users/
drwxr-xr-x 2 root root   4096 2011-06-06 02:40 arrays/
drwxr-xr-x 2 root root   4096 2011-06-06 02:40 disallowed_types/
drwxr-xr-x 2 root root   4096 2011-06-06 02:40 hostlist/
drwxr-xr-x 2 root root 274432 2011-06-06 10:52 jobs/
-rw-r--r-- 1 root root   1058 2011-06-06 15:10 nodes
drwxr-xr-x 2 root root   4096 2011-06-06 06:55 queues/
-rw------- 1 root root   1351 2011-06-06 10:52 serverdb
-rw------- 1 root root      5 2011-06-06 09:41 server.lock
-rw------- 1 root root      0 2011-06-06 16:47 tracking
$ ll /var/spool/pbs/server_priv/queues/
total 36
-rw------- 1 root root 1319 2011-06-06 13:58 longday
-rw------- 1 root root 1321 2011-06-06 06:55 longnight
-rw------- 1 root root 1320 2011-06-06 13:58 shortday
-rw------- 1 root root 1321 2011-06-06 06:55 shortnight

$ file /var/spool/pbs/server_priv/queues/shortday
/var/spool/pbs/server_priv/queues/shortday: data

Et sous server_logs :

$ ll /var/spool/pbs/server_logs/ | head
-rw-r--r-- 1 root root 315447768 2011-06-06 00:00 20110606

Tout ça pour dire que c'est facile de retrouver une information.

Queues

Je vous parlais plus haut de queue. Une queue est exactement ce à quoi son nom fait penser : c'est une file type FIFO qui contient les travaux en attente. L'utilitaire par définition qui va s'occuper de créer et moduler nos queues comme bon nous semble répond au doux nom de qmgr. Ce qui est bien avec lui, c'est qu'il permet, juste en lançant une petite requête, de nous dumper l'essentiel des commandes nécessaires à créer et paramétrer les queues que nous nous sommes donné tant de mal à créer. Ca me permet de faire 2 manips en une : une, vous montrer comment interroger Torque, et deux, vous montrer comment créer une queue :)

$ qmgr -c "print queue @master"
#
# Create queues and set their attributes.
#
#
# Create and define queue longday
#
create queue longday
set queue longday queue_type = Execution
set queue longday Priority = 4
set queue longday max_user_queuable = 30
set queue longday from_route_only = False
set queue longday resources_default.neednodes = day
set queue longday resources_default.nodect = 1
set queue longday resources_default.nodes = 1:day
set queue longday resources_default.walltime = 100:00:00
set queue longday max_user_run = 6
set queue longday enabled = True
set queue longday started = True
#
# Create and define queue shortday
#
create queue shortday
set queue shortday queue_type = Execution
set queue shortday Priority = 2
set queue shortday max_user_queuable = 200
set queue shortday from_route_only = False
set queue shortday resources_max.walltime = 03:00:00
set queue shortday resources_default.neednodes = day
set queue shortday resources_default.nodect = 1
set queue shortday resources_default.nodes = 1:day
set queue shortday resources_default.walltime = 03:00:00
set queue shortday max_user_run = 12
set queue shortday enabled = True
set queue shortday started = True

#
# Create and define queue shortnight
#
create queue shortnight
set queue shortnight queue_type = Execution
set queue shortnight Priority = 2
set queue shortnight max_user_queuable = 400
set queue shortnight from_route_only = False
set queue shortnight resources_max.walltime = 04:00:00
set queue shortnight resources_default.neednodes = night
set queue shortnight resources_default.nodect = 1
set queue shortnight resources_default.nodes = 1:night
set queue shortnight resources_default.walltime = 04:00:00
set queue shortnight max_user_run = 70
set queue shortnight enabled = True
set queue shortnight started = False

#
# Create and define queue longnight
#
create queue longnight
set queue longnight queue_type = Execution
set queue longnight Priority = 4
set queue longnight max_user_queuable = 180
set queue longnight from_route_only = False
set queue longnight resources_default.neednodes = night
set queue longnight resources_default.nodect = 1
set queue longnight resources_default.nodes = 1:night
set queue longnight resources_default.walltime = 100:00:00
set queue longnight max_user_run = 30
set queue longnight enabled = True
set queue longnight started = False

Comme vous pouvez le voir, les priorités entre queues sont tranchées au couteau : les queues de priorité moindre seront plus prioritaire que celles ayant une valeur plus grandes. Pour modifier un de ces paramètres, il suffit de les modifier avec par exemple un :

$ qmgr -c "set queue longnight max_user_run = 20"

Noeuds de calcul

Pour rajouter des noeuds de calcul, il faut être un peu plus sournois : il faut jouer avec les propriétés du noeud. Même principe, je print, mais pour le créer, soit on passe par un qmgr -c, soit qmgr tout court, qui nous renvoie un prompt :

$ qmgr -c "print node ktux-1"

#
# Create and define node ktux-1
#
create node ktux-1
set node ktux-1 np = 2
set node ktux-1 properties = night
set node ktux-1 ntype = cluster

Ici, je dis que mon noeud ktux-1 a 2 CPUs, de type cluster et doit faire jouer uniquement les travaux en mode night. Pour un noeud de calcul 24/24, 7/7, ça donnera plus du genre : Via qmgr -c :

$ qmgr -c 'create node ktux-w1 np=4,ntype=cluster'
$ qmgr -c 'set node ktux-w1 properties=day'

Ce qui nous donne :

$ qmgr -c "print node ktux-w1"
#
# Create nodes and set their properties.
#
#
# Create and define node ktux-w1
#
create node ktux-w1
set node ktux-w1 state = free
set node ktux-w1 np = 4
set node ktux-w1 properties = day
set node ktux-w1 ntype = cluster

Au fur et à mesure que les noeuds communiqueront avec le master, tout un tas d'autres infos vont être remontées, comme l'état actuel, les jobs en cours sur ce noeud, ...

$ qmgr -c "print node ktux-w1"
#
# Create nodes and set their properties.
#
#
# Create and define node ktux-w1
#
create node ktux-w1
set node ktux-w1 state = busy
set node ktux-w1 np = 4
set node ktux-w1 properties = day
set node ktux-w1 ntype = cluster
set node ktux-w1 status = opsys=linux
set node ktux-w1 status += uname=Linux ktux-w1 2.6.31.14-server-1mnb
set node ktux-w1 status += sessions=23566 23591 23629 23680
set node ktux-w1 status += nsessions=4
set node ktux-w1status += nusers=1
set node ktux-w1 status += idletime=8968185
set node ktux-w1 status += totmem=9009420kb
set node ktux-w1 status += availmem=8458932kb
set node ktux-w1 status += physmem=8143220kb
set node ktux-w1 status += ncpus=4
set node ktux-w1 status += loadave=1.36
set node ktux-w1 status += netload=2067207052
set node ktux-w1 status += state=free
set node ktux-w1 status += jobs=65605 65606 65607 65608
set node ktux-w1 status += varattr=
set node ktux-w1 status += rectime=1307353529

En réalité, le lien entre properties et queue est fait via l'instruction resources_default.neednodes :

set queue longnight resources_default.neednodes = night

et qmgr mentionne explicitement, pour chaque noeud, à quelle queue il se rattache. Le tout est sous /var/spool/pbs/server_priv/nodes :

$ cat /var/spool/pbs/server_priv/nodes

ktux-1 np=2 night
ktux-2 np=2 night
ktux-3 np=2 night
ktux-w1 np=4 day
ktux-w2 np=4 day

Sans ces instructions, on aurait une erreur du genre :

$ qmgr -c "print node ktux-2"
qmgr obj=ktux-2 svr=default: Unknown node  MSG=cannot located specified node

Évidemment, toute modification doit être ponctuée par un restart de pbs_server pour être effective.

Job

Toute soumission de travail passe par un qsub et doit mentionner le job à faire, la queue sur laquelle on désire travailler et optionnellement si l'on souhaite être averti en allocation des ressources, run et fin du travail. En retour, on obtient un identifiant de travail.

$ qsub -q shortday -o /home/kuser/date.res -e /home/kuser/date.err -m  abe -N  date -M ktux@ktux.com  /home/kuser/date.sh

Ici, -q attend une queue spécifique, -o précède l'emplacement de l'output désiré, -e celui de l'erreur renvoyée si il y a, -m abe désigne l'instruction de mailing en cas de a(borted) b(egin) e(nd). -N donne un nom au travail, -M précise le mail en question et en dernier, le script à exécuter. A noter qu'ici, le /home de kuser est un partage NFS, qui fonctionnera quelque soit le noeud de calcul choisi. Autrement, il aurait fallu désigner un espace accessible avec les droits de kuser par le noeud de calcul en question. Sur le master, on peut alors suivre le job et son évolution :

$ qstat -u kuser

master :
Req'd  Req'd   Elap
Job ID               Username Queue    Jobname          SessID NDS   TSK Memory Time  S Time
-------------------- -------- -------- ---------------- ------ ----- --- ------ ----- - -----
656969            kuser           shortday date                --      1  --    --  00:45 Q   --

Q : le job est enqueue. R : running. Sur le client aussi, et ce en étant loggé en tant que kuser :

$ qstat
Job id                    Name             User            Time Use S Queue
------------------------- ---------------- --------------- -------- - -----
656969              date                 kuser              0 Q shortday

Un affichage plus complet passe par un qstat -f, d'où on extrait facilement l'exec host, c'est à dire l'hôte qui a pris en charge le calcul dès que celui-ci passe en mode Running. Cet exec host peut être composé de plusieurs noeuds de calcul, en fonction des ressources nécessaires au run du travail. Lorsque l'on souhaite investiguer sur un batch qui ne s'est pas passé comme on l'attendait, deux options s'offrent à nous pour mettre le doigt sur les noeuds ayant participé à sa résolution :

une analyse classique de log
tracejob

L'analyse classique de log va vous amener à grepper votre jobID sur les logs de /var/spool/pbs/server_logs/ et à remonter jusqu'à l'attribution d'un noeud au batch. C'est sympa, mais manuellement, et sur beaucoup de batch, ça devient un peu long. Tracejob permet de parser justement un ensemble de logs et de vous retourner automatiquement tout ce qui a, de près ou de loin, participé à votre batch. La petite faiblesse étant que, par défaut, il ne prend que les logs du jour même. Tracejob est à lancer sur le master, qui sait et qui voit tout. En gros, pour aujourd'hui le lundi 06 Juin, il va chercher : /var/spool/pbs/server_priv/accounting/20110606 /var/spool/pbs/server_logs/20110606 /var/spool/pbs/mom_logs/20110606 /var/spool/pbs/sched_logs/20110606 Ca nous donne ça :

$ tracejob 656969
/var/spool/pbs/mom_logs/20110606: No matching job records located
/var/spool/pbs/sched_logs/20110606: No such file or directory

Job: 656969

06/06/2011 12:29:22  S    ready to commit job
06/06/2011 12:29:22  S    ready to commit job completed
06/06/2011 12:29:22  S    committing job
06/06/2011 12:29:22  S    enqueuing into veryshortjour, state 1 hop 1
06/06/2011 12:29:22  S    Job Queued at request of kuser@ktux-1, owner = kuser@ktux-1, job name = date, queue = shortday
06/06/2011 12:29:22  A    queue=shortday
06/06/2011 12:35:25  S    attr Resource_List modified
06/06/2011 12:35:25  S    Job Modified at request of root@master

06/06/2011 12:35:25  S    Job Run at request of root@master
06/06/2011 12:35:25  S    forking in send_job                                                                                                      06/06/2011 12:35:25  S    send_job child job pid is 30568
06/06/2011 12:35:25  S    entering post_sendmom
06/06/2011 12:35:25  S    child reported success for job after 0 seconds (dest=ktux-w1), rc=0
06/06/2011 12:35:25  S    attr Resource_List modified
06/06/2011 12:35:25  S    Job Modified at request of root@master
06/06/2011 12:35:25  S    attr session_id modified
06/06/2011 12:35:25  S    sending 'b' mail for job 656969 to kuser@ktux-1 (---)
06/06/2011 12:35:25  A    user=kuser group=kuser jobname=date queue=shortday ctime=1307356162 qtime=1307356162 etime=1307356162 start=1307356525
owner=kuser@ktux-1 exec_host=ktux-w1/0 Resource_List.neednodes=ktux-w1 Resource_List.nodect=1 Resource_List.nodes=1:day
Resource_List.walltime=00:45:00
06/06/2011 12:35:29  S    obit received
06/06/2011 12:35:29  S    obit received - updating final job usage info
06/06/2011 12:35:29  S    attr resources_used modified
06/06/2011 12:35:29  S    job exit status 0 handled
06/06/2011 12:35:29  S    sending 'e' mail for job 656969 to kuser@ktux-1 (Exit_status=0
06/06/2011 12:35:29  S    Exit_status=0 resources_used.cput=00:00:00 resources_used.mem=0kb resources_used.vmem=0kb resources_used.walltime=00:00:04
06/06/2011 12:35:29  S    on_job_exit task assigned to job
06/06/2011 12:35:29  S    req_jobobit completed
06/06/2011 12:35:29  S    JOB_SUBSTATE_EXITING
06/06/2011 12:35:29  S    JOB_SUBSTATE_STAGEOUT
06/06/2011 12:35:29  S    about to copy stdout/stderr/stageout files
06/06/2011 12:35:29  S    JOB_SUBSTATE_STAGEOUT
06/06/2011 12:35:29  S    JOB_SUBSTATE_STAGEDEL
06/06/2011 12:35:29  S    JOB_SUBSTATE_EXITED
06/06/2011 12:35:29  S    JOB_SUBSTATE_COMPLETE
06/06/2011 12:35:29  S    dequeuing from shortday, state COMPLETE
06/06/2011 12:35:29  S    removed job script
06/06/2011 12:35:29  S    removed job file
06/06/2011 12:35:29  S    freeing job
06/06/2011 12:35:29  A    user=kuser group=kuser jobname=date queue=shortday ctime=1307356162 qtime=1307356162 etime=1307356162 start=1307356525
owner=kuser@ktux-1 exec_host=ktux-w1/0 Resource_List.neednodes=1:day Resource_List.nodect=1 Resource_List.nodes=1:day
Resource_List.walltime=00:45:00 session=24524 end=1307356529 Exit_status=0 resources_used.cput=00:00:00 resources_used.mem=0kb
resources_used.vmem=0kb resources_used.walltime=00:00:04

Manipulations de jobs

Bien entendu, on peut manipuler comme bon nous semble les batches ! Pour cela, nous avons tout un éventail de commandes en q.

qdel : suppression du jobID
qrun : forçage du run du batch, avec options possibles, comme de le faire tourner sur tel et tel noeuds,...
qalter : modifier les attributs du job : queue, mailing, ...
qhold : mettre en suspens un job
qenable/qdisable : activer/désactiver la destination, typiquement une queue particulière
qstart/qstop : démarrer/arrêter les queues dans le sens où on peut soumettre, mais les jobs enqueued ne sont pas distribués
...

Conclusion

En fait, monter un cluster de calcul est beaucoup plus contraignant au moment de la conception matérielle (installation, câblage, mise dans un VLAN, homogénéisation des configurations) et lors de sa maintenance quotidienne que dans la configuration. D'autant plus que le couple Torque/MAUI est vraiment opérationnel ! Que dire, maintenant que d'autres moyens, plus abstraits comme le Cloud Computing existent ? Car malgré tout, un cluster de calcul, ce n'est rien que pour parser des données. A vous de voir si celles-ci méritent un peu de temps et de moyens pour garder le tout sous contrôle ou si ce besoin de sécurité n'est pas du tout pertinent...

Keepalived : entrée en matière

K-TUX — Wed, 23 Feb 2011 12:38:03 +0000

Le down d'un service peut avoir d'étranges conséquences sur le milieu professionnel. En effet, cela peut passer totalement inaperçu ou bien cela va générer une crise sans précédent, au cours de laquelle vous n'aurez jamais assez bien fait en aval que ce que vous auriez dû prévoir en amont. L'appréhension de ce genre d'incident permet l'évaluation du besoin et des SLA (Service Level Agreements) et, en fonction, le déploiement d'architecture dites HA (High Availability). Dans ce type d'architecture, typiquement, l'objectif est de pouvoir assurer un service quelque soit les incidents possibles et imaginables. Techniquement, cela se traduit par la mise en place de n machines, capables, toutes de délivrer le service, et de savoir ordonner qui prend la main et quand. Ce dernier point implique la présence d'un maître d'orchestre, et donc d'un Single Point Of Failure. Dans ce cas, qui monitore et assure la disponibilité du service de dispatchage des rôles ?

KeepAlived ?

Keepalived est un daemon tournant en Userland qui a pour ambition d'adresser ces 2 problématiques : d'une part gérer la vérification de l'état des intervenants d'un cluster de serveurs et d'autre part assurer, en fonction de ces états, la distribution des rôles aux membres de ce regroupement. En clair, il s'agit de monitorer les états des différents serveurs impliqués dans la délivrance du service et d'en gérer la disponibilité via l'attribution dynamique de l'IP par laquelle les clients sollicite ce service. La clé repose sur l'exploitation des fonctionnalités du projet LVS (Linux Virtual Server) et sur le concept d'IP virtuelle. Le tout fonctionne sur une infrastructure de type cluster de serveur / load balancer, généralement contenu dans une DMZ. Afin de mieux comprendre son fonctionnement, je vous propose de rentrer directement dans la configuration de la bête, car comme dit le vieux proverbe : "il faut avoir les manches retroussées pour comprendre complètement la mécanique !" Par la suite, je vais donc lâchement supposer que votre infrastructure est en place, et qu'il ne reste plus que le point Keepalived à traiter. Si vous avez besoin d'un petit coup de pouce niveau LVS, jetez un coup d'oeil sur le LVS HowTo de Joseph Mack.

Installation depuis les sources

L'installation la plus nette est toujours celle utilisant git, c'est d'ailleurs elle que j'ai choisi, mais rien ne vous empêche d'utiliser les dépôts !

$ git clone http://master.formilux.org/git/people/alex/keepalived.git /usr/local/src/

$ ll /usr/local/src/
total 12
drwxr-xr-x  3 bux bux 4096 2011-02-16 12:08 .
drwxr-xr-x 20 bux bux 4096 2011-02-16 12:08 ..
drwxr-xr-x  9 bux bux 4096 2011-02-16 12:08 keepalived

$ cd keepalived

$ ./configure

[...]

Keepalived configuration
------------------------
Keepalived version       : 1.1.20
Compiler                 : gcc
Compiler flags           : -g -O2
Extra Lib                : -lpopt -lssl -lcrypto
Use IPVS Framework       : No
IPVS sync daemon support : No
Use VRRP Framework       : Yes
Use Debug flags          : No

$ make && make install

[...]

install -d /usr/local/sbin
install -m 700 ../bin/keepalived /usr/local/sbin/
install -d /usr/local/etc/rc.d/init.d
install -m 755 etc/init.d/keepalived.init /usr/local/etc/rc.d/init.d/keepalived
install -d /usr/local/etc/sysconfig
install -m 755 etc/init.d/keepalived.sysconfig /usr/local/etc/sysconfig/keepalived
install -d /usr/local/etc/keepalived/samples
install -m 644 etc/keepalived/keepalived.conf /usr/local/etc/keepalived/
install -m 644 ../doc/samples/* /usr/local/etc/keepalived/samples/
install -d /usr/local/share/man/man5
install -d /usr/local/share/man/man8
install -m 644 ../doc/man/man5/keepalived.conf.5 /usr/local/share/man/man5
install -m 644 ../doc/man/man8/keepalived.8 /usr/local/share/man/man8
make[1]: quittant le répertoire « /usr/local/src/keepalived/keepalived »
make -C genhash install
make[1]: entrant dans le répertoire « /usr/local/src/keepalived/genhash »
install -d /usr/local/bin
install -m 755 ../bin/genhash /usr/local/bin/
install -d /usr/local/share/man/man1
install -m 644 ../doc/man/man1/genhash.1 /usr/local/share/man/man1
make[1]: quittant le répertoire « /usr/local/src/keepalived/genhash »

Installation cleared !

Configuration

Comme on peut le déduire des traces laissées par le make de keepalived, les fichiers de configuration se situent sous /usr/local/etc/keepalived/, en sachant qu'un fichier est déjà fourni de base et qu'on peut également s'appuyer sur les samples (exemples, extraits) fournis :

$ ll /usr/local/etc/keepalived/
total 16
drwxr-xr-x 3 root root 4096 2011-02-16 12:13 .
drwxr-xr-x 5 root root 4096 2011-02-16 12:13 ..
-rw-r--r-- 1 root root 3562 2011-02-16 12:13 keepalived.conf
drwxr-xr-x 2 root root 4096 2011-02-16 12:13 samples

$ ll samples/
total 104
drwxr-xr-x 2 root root 4096 2011-02-16 12:13 .
drwxr-xr-x 3 root root 4096 2011-02-16 12:13 ..
-rw-r--r-- 1 root root 1745 2011-02-16 12:13 client.pem
-rw-r--r-- 1 root root  245 2011-02-16 12:13 dh1024.pem
-rw-r--r-- 1 root root  433 2011-02-16 12:13 keepalived.conf.fwmark
-rw-r--r-- 1 root root  684 2011-02-16 12:13 keepalived.conf.HTTP_GET.port
-rw-r--r-- 1 root root  746 2011-02-16 12:13 keepalived.conf.inhibit
-rw-r--r-- 1 root root  550 2011-02-16 12:13 keepalived.conf.misc_check
-rw-r--r-- 1 root root  538 2011-02-16 12:13 keepalived.conf.misc_check_arg
-rw-r--r-- 1 root root 2467 2011-02-16 12:13 keepalived.conf.quorum
-rw-r--r-- 1 root root  919 2011-02-16 12:13 keepalived.conf.sample
-rw-r--r-- 1 root root 2760 2011-02-16 12:13 keepalived.conf.SMTP_CHECK
-rw-r--r-- 1 root root 1587 2011-02-16 12:13 keepalived.conf.SSL_GET
-rw-r--r-- 1 root root  842 2011-02-16 12:13 keepalived.conf.status_code
-rw-r--r-- 1 root root  735 2011-02-16 12:13 keepalived.conf.track_interface
-rw-r--r-- 1 root root  887 2011-02-16 12:13 keepalived.conf.virtualhost
-rw-r--r-- 1 root root 1087 2011-02-16 12:13 keepalived.conf.virtual_server_group
-rw-r--r-- 1 root root 1425 2011-02-16 12:13 keepalived.conf.vrrp
-rw-r--r-- 1 root root 3019 2011-02-16 12:13 keepalived.conf.vrrp.localcheck
-rw-r--r-- 1 root root 1083 2011-02-16 12:13 keepalived.conf.vrrp.lvs_syncd
-rw-r--r-- 1 root root  888 2011-02-16 12:13 keepalived.conf.vrrp.routes
-rw-r--r-- 1 root root 1146 2011-02-16 12:13 keepalived.conf.vrrp.scripts
-rw-r--r-- 1 root root  591 2011-02-16 12:13 keepalived.conf.vrrp.static_ipaddress
-rw-r--r-- 1 root root 1742 2011-02-16 12:13 keepalived.conf.vrrp.sync
-rw-r--r-- 1 root root  802 2011-02-16 12:13 root.pem
-rw-r--r-- 1 root root  323 2011-02-16 12:13 sample.misccheck.smbcheck.sh

Le fichier de configuration en question est généré tel quel :

! Configuration File for keepalived

global_defs {
  notification_email {
    acassen@firewall.loc
    failover@firewall.loc
    sysadmin@firewall.loc
  }
  notification_email_from Alexandre.Cassen@firewall.loc
  smtp_server 192.168.200.1
  smtp_connect_timeout 30
  router_id LVS_DEVEL
}

vrrp_instance VI_1 {
  state MASTER
  interface eth0
  virtual_router_id 51
  priority 100
  advert_int 1
  authentication {
    auth_type PASS
    auth_pass 1111
  }
  virtual_ipaddress {
    192.168.200.16
    192.168.200.17
    192.168.200.18
 }
}

virtual_server 192.168.200.100 443 {
  delay_loop 6
  lb_algo rr
  lb_kind NAT
  nat_mask 255.255.255.0
  persistence_timeout 50
  protocol TCP

  real_server 192.168.201.100 443 {
    weight 1
    SSL_GET {
      url {
        path /
        digest ff20ad2481f97b1754ef3e12ecd3a9cc
      }
      url {
        path /mrtg/
        digest 9b3a0c85a887a256d6939da88aabd8cd
      }
      connect_timeout 3
      nb_get_retry 3
      delay_before_retry 3
    }
   }
}

virtual_server 10.10.10.2 1358 {
  delay_loop 6
  lb_algo rr
  lb_kind NAT
  persistence_timeout 50
  protocol TCP
  sorry_server 192.168.200.200 1358

  real_server 192.168.200.2 1358 {
    weight 1
    HTTP_GET {
      url {
        path /testurl/test.jsp
        digest 640205b7b0fc66c1ea91c463fac6334d
     }
      url {
        path /testurl2/test.jsp
        digest 640205b7b0fc66c1ea91c463fac6334d
      }
      url {
        path /testurl3/test.jsp
        digest 640205b7b0fc66c1ea91c463fac6334d
      }
      connect_timeout 3
      nb_get_retry 3
      delay_before_retry 3
    }
  }

  real_server 192.168.200.3 1358 {
  weight 1
  HTTP_GET {
    url {
    path /testurl/test.jsp
    digest 640205b7b0fc66c1ea91c463fac6334c
    }
    url {
      path /testurl2/test.jsp
      digest 640205b7b0fc66c1ea91c463fac6334c
    }
    connect_timeout 3
    nb_get_retry 3
    delay_before_retry 3
  }
 }
}

virtual_server 10.10.10.3 1358 {
  delay_loop 3
  lb_algo rr
  lb_kind NAT
  nat_mask 255.255.255.0
  persistence_timeout 50
  protocol TCP

  real_server 192.168.200.4 1358 {
    weight 1
    HTTP_GET {
      url {
        path /testurl/test.jsp
        digest 640205b7b0fc66c1ea91c463fac6334d
      }
      url {
        path /testurl2/test.jsp
        digest 640205b7b0fc66c1ea91c463fac6334d
      }
      url {
        path /testurl3/test.jsp
        digest 640205b7b0fc66c1ea91c463fac6334d
      }
     connect_timeout 3
     nb_get_retry 3
     delay_before_retry 3
   }
  }

  real_server 192.168.200.5 1358 {
  weight 1
    HTTP_GET {
      url {
        path /testurl/test.jsp
        digest 640205b7b0fc66c1ea91c463fac6334d
      }
      url {
        path /testurl2/test.jsp
        digest 640205b7b0fc66c1ea91c463fac6334d
     }
      url {
        path /testurl3/test.jsp
        digest 640205b7b0fc66c1ea91c463fac6334d
      }
      connect_timeout 3
      nb_get_retry 3
      delay_before_retry 3
    }
  }
}

Grâce à lui, on a déjà un aperçu de la manière dont KeepAlived organise les informations : tout passe par la définition de bloc.

Epluchage de conf

On peut voir que la configuration est scindée en trois :

une partie globale (le bloc global_def), qui n'est ni plus ni moins que la définition des adresses mail, de routes statiques et d'identifiant.
une partie définissant les instances et groupes de synchronisation VRRP,
une partie propre aux paramétrages des LVS, qui peut contenir un ou plusieurs blocs de définition de serveurs virtuels, eux-même encapsulant des serveurs réels caractérisés par des paramétrage en terme de poids, d'IP, et de process de vérification.

Intéressons-nous aux 2 dernières parties.

VRRP

vrrp_sync_group

Les VRRP synchronization groups sont des groupes qui rassemblent les instances VVRP.

#string, name of group of IPs that failover together
vrrp_sync_group VG_1 {
group {
VI_1   # name of vrrp_instance (below)
VI_2  # One for each moveable IP.
...
}

# notify scripts and alerts are optional

# filenames of scripts to run on transitions can be unquoted (if just filename) or quoted (if has parameters) to MASTER transition

notify_master /path/to_master.sh
# to BACKUP transition
notify_backup /path/to_backup.sh
# FAULT transition
notify_fault "/path/fault.sh VG_1"

# for ANY state transition.
# "notify" script is called AFTER the
# notify_* script(s) and is executed
# with 3 arguments provided by keepalived (ie don't include parameters in the notify line).
# arguments
# $1 = "GROUP"|"INSTANCE"
# $2 = name of group or instance
# $3 = target state of transition
#     ("MASTER"|"BACKUP"|"FAULT")
notify /path/notify.sh

# Send email notifcation during state transition,
# using addresses in global_defs above.
smtp_alert
}

vrrp_instance

La partie vrrp_instance est définie dans la configuration créée telle que :

vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 51
    priority 100
    advert_int 1
    authentication {
      auth_type PASS
      auth_pass 1111
    }

    virtual_ipaddress {
      192.168.200.16
      192.168.200.17
      192.168.200.18
  }
}

Alors, c'est quoi au juste cette vrrp_instance ? Commençons par le commencement. VRRP, pour Virtual Router Redondancy Protocol, est un protocole d'abstraction de serveur, qui permet via la création d'un groupe de serveurs réels et la gestion d'adresses IP réelles et virtuelles, d'attribuer dynamiquement le rôle de réponse aux requêtes client à un des serveurs en état de le faire. En un mot, il assure le monitoring des instances capables de délivrer le service et donc sa disponibilité. La configuration par défaut définit donc notre machine comme l'instance VRRP maître et y associe :

un identifiant (virtual_router_id 51),
une interface liée à VRRP (interface eth0),
une priorité très haute (priority 100), en sachant que plus cette priorité est haute et plus la machine a de chance d'être élue,
des paramètres d'authentification
des adresses IP virtuelles à rajouter / supprimer lors des bascules.

Juste au cas où, auth_pass doit être strictement identique sur toutes les machines impliquées. De cette façon, il faudra définir, pour chaque membre étant ou pouvant être impliqué potentiellement dans la bascule les caractéristiques de sa vrrp_instance.

A noter que le template généré est loin d'être exhaustif. En effet, pas mal d'options permettent de mieux travailler la bascule.

LVS

De la même manière qu'il est possible de faire des groupes d'instance vrrpd, il est possible de grouper les instances virtual_server, mais la Communauté ne semble envisager son utilisation que dans le cas où vous êtes en présence de très grands LVS , ce ne sera donc pas abordé ici.

virtual_server

Notre bloc concernant un virtual_server a cette tête-là dans la conf générée. Les commentaires sont là pour éviter une répétition laborieuse et peu utile de chacune des instructions pour détail :)

virtual_server 192.168.200.100 443 {
# delay timer for service polling
delay_loop 3

# LVS scheduler
lb_algo rr

# LVS forwarding method
lb_kind NAT
nat_mask 255.255.255.0

# LVS persistence timeout, sec
persistence_timeout 50
protocol TCP

# RS to add when all realservers are down
sorry_server 192.168.200.200 443

# one entry for each realserver
real_server 192.168.201.100 443 {
# relative weight to use, default: 1
 weight 1

# pick one healthchecker
# HTTP_GET|SSL_GET|TCP_CHECK|SMTP_CHECK|MISC_CHECK
 SSL_GET {
     url {
       path /
       digest ff20ad2481f97b1754ef3e12ecd3a9cc
     }
     url {
      path /mrtg/
      digest 9b3a0c85a887a256d6939da88aabd8cd
     }

connect_timeout 3
nb_get_retry 3
delay_before_retry 3
  } # End HTTP_GET section
 } # End real_server definition
} # End virtual_server definition

Beaucoup plus intuitif que les sections VRRP, cette configuration est très simple à manier et se passe assez facilement d'explication. Même remarque, les options ne sont pas exhaustives et une véritable mine de paramètres vous attendent au détour d'un man. Il ne reste plus qu'à paufiner la conf et à lancer un petit keepalived -D (detailed logs).

La preuve par l'exemple

Jouons un peu avec les serveurs DNS. Nous avons un serveur maître, et un esclave. Ces deux serveurs ont chacun une IP réelle (192.168.0.2 pour le Maître et 192.168.0.3 pour l'esclave). En revanche, le service est accédé l'IP virtuelle 192.168.0.10.

$ ssh root@dns1 ip addr sh eth0
2: eth0:  mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:50:56:a3:00:0d brd ff:ff:ff:ff:ff:ff
inet 192.168.0.2/24 brd 192.168.0.255 scope global eth0
inet 192.168.0.10/32 scope global eth0
inet6 fe80::250:56ff:fea3:d/64 scope link
valid_lft forever preferred_lft forever

$ ssh root@dns2 ip addr sh eth0
2: eth0:  mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:50:56:a3:00:0c brd ff:ff:ff:ff:ff:ff
inet 192.168.0.3/24 brd 192.168.0.255 scope global eth0
inet6 fe80::250:56ff:fea3:c/64 scope link
valid_lft forever preferred_lft forever

$ ping dns

PING dns.k-tux.com (192.168.0.10) 56(84) bytes of data.
64 bytes from dns.k-tux.com (192.168.0.10): icmp_seq=1 ttl=63 time=0.499 ms
^C
--- dns.k-tux.com ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 535ms
rtt min/avg/max/mdev = 0.499/0.499/0.499/0.000 ms

En terme de configuration Keepalived, nous aurons donc 2 types d'instances vrrp. Ici, nous effectuons une vérification toutes les 6 secondes qui, selon le résultat du check, pourra potentiellement faire basculer l'IP virtuelle 192.168.0.10 d'un serveur à l'autre. Pour cela nous devons définir un vrrp_script, qui fera en temps et en secondes les traitements voulus.

Sur le master :

vrrp_script check_named {           # Requires keepalived-1.1.13
    script "killall -0 named"           # cheaper than pidof
    interval 6                          # check every 6 seconds
    weight -60                          # add 60 points of prio if OK
}

vrrp_instance dns_on_master {
    state MASTER
    interface eth0
    virtual_router_id 91
    priority 200
    advert_int 1
    smtp_alert
    authentication {
      auth_type PASS
      auth_pass 1111
   }

    virtual_ipaddress {
      192.168.0.10
    }

    track_script {
      check_named
    }

notify_master "/etc/rc.d/init.d/named reload"
notify_backup "/etc/rc.d/init.d/named reload"
}

Et sur le slave :

vrrp_script check_named {           # Requires keepalived-1.1.13
    script "killall -0 named"           # cheaper than pidof
    interval 6                          # check every 6 seconds
    weight -60                          # add 60 points of prio if OK
}

vrrp_instance dns_on_slave {
    state SLAVE
    interface eth0
    virtual_router_id 91
    priority 150
    smtp_alert
    advert_int 1
    authentication {
      auth_type PASS
      auth_pass 1111
    }
    virtual_ipaddress {
      192.168.0.10
   }

   track_script {
   check_named
}

notify_master "/etc/rc.d/init.d/named reload"
notify_backup "/etc/rc.d/init.d/named reload"
}

Le test le plus probant est d'arrêter un des deux serveurs dns, au hasard le master (celui qui a la plus haute priorité détient logiquement l'IP virtuelle) : on doit observer une bascule de l'IP virtuelle 192.168.0.10 de dns1 à dns2. Le smtp_alert nous rajoute une couche d'information en nous mailant la bascule.

Conclusion

Quelques détails suffisent à changer la donne, et coupler Keepalived avec une infrastructure bien étudiée permet de balayer assez facilement les petits soucis relatifs à des pannes de service. De plus c'est un outil simple, intuitif, riche en terme d'options et paramétrable à souhait. Pourquoi s'en passer ?

SystemImager : concepts d’une solution d’automatisation de déploiement

K-TUX — Sun, 04 Jul 2010 14:59:59 +0000

SystemImager est un projet très abouti qui permet de gérer l'installation et le déploiement de logiciel et de distribution Linux, tout en s'appuyant des outils standards comme SSH et rsync. Il se distingue très nettement des outils comme Fedora kickstart et Debian debootstrap dans la mesure où il est capable de gérer plusieurs architectures et distributions différentes. D'autre part, la finesse des petites customisations et tout ce qui pourrait sortir du standard des dépôts est directement prise en compte et appliquée, sans avoir à se confronter aux fameux scripts de post-installation. En ce sens, cela fait de lui l'outil incontournable pour une gestion de parc uniforme et automatisée. Son fonctionnement est simple : il aspire dans un premier temps tout ou partie d'un système de fichier (on peut spécifier des exclusions ou même en créer un viable, via les outils du package) qu'il stocke tel quel au sein d'un dépôt d'image. Il s'agit ensuite de rebalancer l'arborescence, soit pour une installation complète, soit pour un alignement des version. Du fait que le système de fichier soit stocké en l'état, il est alors très facile de modifier et contrôler le contenu de l'image avant déploiement. La seule contrainte concerne les clients et requiert une parfaite adéquation dans le nombre de disques durs des noeuds sous la juridiction de SystemImager. La capacité peut varier, mais attention aux disques plus petits que ceux du GoldenClient. En effet, si l'on venait à balancer une install qui ne tiendrait pas sur le disque, cela ferait désordre. Pour pouvoir entrer dans les détails, il est nécessaire de définir les notions sur lesquelles s'appuie SystemImager.

Les éléments

L'image server

SystemImager a besoin d'un maître d'orchestre, appelé le serveur d'image, afin de pouvoir centraliser toute la partie gestion des images et des noeuds. Notre serveur contiendra donc tous les packages et toute la configuration nécessaire à SystemImager. La racine de SystemImager se situe au niveau de /var/lib/systemimager, et est enrichie de plusieurs éléments :

# ll /var/lib/systemimager/
total 28
-rw-r--r--  1 root root 14361 2010-06-29 11:13 clients.xml
drwxr-xr-x  9 root root  4096 2010-06-23 10:21 images/
drwxr-xr-x 55 root root  4096 2010-06-23 10:21 overrides/
drwxr-xr-x  4 root root  4096 2010-06-23 10:21 scripts/

Les explications relatives aux différents éléments seront fournies un peu plus loin. Afin de pouvoir distribuer les images correctement -et surtout lors du boot PXE-, le server devra regrouper le duo TFTP server et DHCP server. A noter que SystemImager permet de rapidement mettre en place une configuration complète de serveur de boot grâce à l'outil si_mkbootserver, intégré au package systemimager-server. Il existe plusieurs façons d'installer via SystemImager. PXE, comme nous l'avons mentionné un peu plus haut, Bittorent, ou par multicast. Ces variations sont à l'origine de certains packages qui ont été spécialement crée sur ces spécificités. A titre d'information, les packages intéressants sont :

systemimager-server : le core du serveur SystemImager,
systemimager-common : les outils qui vont avec,
systemimager-*boot-standard : les outils relatifs à la partie boot server, * regroupe i386 et x86_64

systemimager-server-flamethrower* : pour utiliser le mode multicast
systemimager-server-bittorrent : pour utiliser le mode BitTorrent.

Il va sans dire que, si vous projetez d'installer plusieurs distributions, il faudra assurer au niveau stockage des images. Même réflexion concernant la partie réseau, surtout si l'intention de virtualiser vous taraude. Le paramétrage fin de SystemImager se fait comme d'habitude, via un fichier de configuration : /etc/systemimager.conf, ou /etc/systemimager/systemimager.conf.

Les nodes

Les nodes sont les postes clients qui vont faire l'objet d'une installation automatisée par SystemImager. Ils sont rattachés préalablement à une image bien précise, et optionnellement à un ou plusieurs overrides. Accessoirement, ils disposent d'une entrée dans le fichier /etc/dhcpd.conf du serveur afin de pouvoir obtenir une adresse et pouvoir rapatrier, via TFTP par exemple, un noyau minimal qui se chargera de l'installation. Le paramétrage des clients et leur association à une image peut passer par si_addclients (c'est d'ailleurs historique)ou par si_clusterconfig. Je ne vous éplucherais pas toutes les options qui sont disponibles, sachez que vous pouvez absolument tout faire, grouper vos clients en liste FQDN, IP, avec un domainname qui leur pend, en interactif,... Bref, man est votre meilleur ami. On retrouve les informations relatives aux nodes dans le fichier /var/lib/systemimager/clients.xml. Point important, si_clusterconfig est un outil au-dessus de la gestion de node, c'est-à-dire qu'il définit l'ensemble de votre cluster en terme de groupe, de priorité, d'image, d'override, et de node.

Le GoldenClient

Le GoldenClient est un poste de même calibre que les nodes, et qui leur servira indirectement de référence. Il doit être installé et configuré manuellement et est à l'origine de l'image référente que vous déployerez. systemimager-common et systemimager-client devront être présents sur le GoldenClient.

Les images

Les images sont des répertoires chrootables qui contiennent l'intégralité du système de fichier à déployer sur les clients. Elles sont identifiées par un nom intelligible, fourni en entrée lors de leur récupération du GoldenClient. Toutes les images sont stockées sous la racine de SystemImager, c'est-à-dire sous /var/lib/systemimager/images. Gardez sous le coude si_lsimage pour les voir, si_rmimage pour les supprimer et surtout si_getimage pour en rapatrier une (oui, aussi si_mvimage et si_cpimage mais pas besoin de vous expliquer ce que ça vaut).

Les overrides

Parce qu'on ne va pas stocker plusieurs systèmes de fichiers juste pour une différence de configuration sur une poignée de fichiers, SystemImager a défini la notion d'override. Les overrides concernent les customisations appliquées à une image en particulier, il y peut donc y avoir plusieurs overrides pour une image. De la même façon que les images ont un nom, les overrides en disposent également d'un. Les overrides contiennent une portion de l'arborescence du système de fichier, qui diffère de celle proposée par l'image, et qui viendra écraser celle issue de l'image originale après que celle-ci ait été mise en place.

ls overrides/ide/
boot/  etc/

On retrouve les overrides sous /var/lib/systemimager/overrides, et pour les pousser sur les nodes, il vous suffit d'un si_pushoverrides.

Fonctionnement

Voila commence ça se passe... Premièrement, vous avez dû monter, à la sueur de votre front, votre petit serveur DHCP/TFTP/SystemImager. Deux-trois tips sympa qui vous permettront d'avancer rapidement : - si_mkdhcpserver / si_mkdhcpstatic, qui va vous arquer sur la configuration d'un DHCP opérationnel, - si_mkbootserver, pour l'aspect PXE / TFTP, - /etc/systemimager/systemimager.conf, pour la conf. Et puis on attaque le gros œuvre !

From Scratch ! L'installation automatisée

Le plus pénible d'abord. Prenez votre GoldenClient et, gentillement, patiemment, installez-le et configurez au poil toutes les options qui vont bien. Saupoudrez de systemimager-common et de systemimager-client, vos petits outils qui vous sauveront une énorme quantité de temps. N'oubliez pas de customiser le /etc/systemimager/client.conf pour tout ce qui est port d'adressage, exclude,... si_prepareclient va vous permettre de lancer tout ce qui va bien -rsync, fichiers,... afin que votre server SystemImager puisse récupérer l'image. En clair, il déduit de la conf actuelle toutes les informations utiles, dont le partitionnement des disques.

$ si_prepareclient  --server kaster
Welcome to the SystemImager si_prepareclient command.  This command may modify
the following files to prepare your golden client for having it's image
retrieved by the imageserver.  It will also create the /etc/systemimager
directory and fill it with information about your golden client.  All modified
files will be backed up with the .before_systemimager-4.1.6 extension.

/etc/services:
This file defines the port numbers used by certain software on your system.
Entries for rsync will be added if necessary.

/tmp/filerNi0f5:
This is a temporary configuration file that rsync needs on your golden client
in order to make your filesystem available to your SystemImager server.

inetd configuration:
SystemImager needs to run rsync as a standalone daemon on your golden client
until it's image is retrieved by your SystemImager server.  If rsyncd is
configured to run as a service started by inetd, it will be temporarily
disabled, and any running rsync daemons or commands will be stopped.  Then,
an rsync daemon will be started using the temporary configuration file
mentioned above.

See "si_prepareclient --help" for command line options.

Continue? (y/[n]): y
*********************************** WARNING ***********************************
This utility starts an rsync daemon that makes all of your files accessible
by anyone who can connect to the rsync port of this machine.  This is the
case until you reboot, or kill the 'rsync --daemon' process by hand.  By
default, once you use si_getimage to retrieve this image on your imageserver,
these contents will become accessible to anyone who can connect to the rsync
port on your imageserver.  See rsyncd.conf(5) for details on restricting
access to these files on the imageserver.  See the systemimager-ssh package
for a more secure method of making images available to clients.
*********************************** WARNING ***********************************

Continue? (y/[n]): y

Signaling xinetd to restart...
...
Using "sfdisk" to gather information about disk:
/dev/sda

[...]
>>> Choosing filesystem for new initrd:  cpio
>>> Creating new initrd from staging dir:  /tmp/.systemimager.0
>> cd /tmp/.systemimager.0 && find . ! -name "*~" | cpio -H newc --create | gzip -9 > /etc/systemimager/boot/initrd.img
123093 blocks
>> ls -l /etc/systemimager/boot/initrd.img
-rw-r--r-- 1 root root 44150730 Jul  1 16:02 /etc/systemimager/boot/initrd.img

>> Evaluating initrd size to be added in the kernel boot options
>> (e.g. /etc/systemimager/pxelinux.cfg/syslinux.cfg):
>>     suggested value -> ramdisk_size=71786.5

>>> Using kernel from:          /boot/vmlinuz-2.6.31.13-server-1mnb
>> ls -l /etc/systemimager/boot/kernel
-rw-r--r-- 1 root root 2748752 Jul  1 16:02 /etc/systemimager/boot/kernel

Starting or re-starting rsync as a daemon.....
done!

This client is ready to have its image retrieved.  You must now run
the "si_getimage" command on your imageserver.

Your client has been successfully prepared.  Boot kernel (copied from
this Linux distribution) and an initrd.img (generated by the
initrd_template package) can be found in /etc/systemimager/boot.

Automatically create configuration file for systemconfigurator:
>> /etc/systemconfig/systemconfig.conf

Ici, le transport se fera par rsync, mais il est possible d'utiliser rsync over SSH, BitTorrent, multicast,... Switchez sur votre serveur SystemImager et lancez le si_getimage qui va bien, avec -golden-client et image en entrée. En optionnel, des options sur des exclusions, les assignements IP, le comportement postinstallation (reboot, beep, shutdown,...), bref, de quoi bien jouer. Une fois l'image rapatriée, et mise au frais, si_clusterconfig -e pour organiser votre cluster -tel node va avec telle image, tel overrides,... Pour la petite idée de ce à quoi ça ressemble :



kaster
absolutely_all_nodes
override_for_absolutely_all_nodes

kluster.knBSD.overBSD
1
knBSD
overBSD
knod1


kluster.kDeb.overDeb
2
kDeb
overDeb
knod2,knod3,knod4

Tous vos nodes paramétrés bien comme il faut dans votre SystemImager, il ne vous reste plus qu'à forcer leur boot réseau avec si_mkclientnetboot...

si_mkclientnetboot --client=knod2 --netboot
[netboot] using the kernel and initrd.img for architecture: i386
[netboot] using the flavor: standard

...Et de les rebooter en PXE. si_pushinstall prend alors le contrôle des choses et le server va tout simplement redescendre par SSH, brute de force, l'image sur le node.

Les synchronisations

Evidemment, je vous avais parlé de SystemImager en tant qu'outil de déploiement d'OS, oui, mais de logiciel également. En soi, le processus est le même, il s'agit d'une synchronisation -initiée par le serveur SystemImager à destination des nodes- entre l'image assignée au node et le système de fichier du node en lui-même. Ce qui diffère, ce sont les outils.

si_pushupdate

L'outil adapté à tout ce qui doit découler d'une mise à jour de l'image référente. si_pushupdate va, ici via rsync, transférer tout ce qui manque du server aux nodes. Vu que c'est du rsync, la gestion de la bande passante est optimisée -on ne redescend pas absolument toute l'image-, malgré tout, le multicast est, à mon avis, beaucoup plus adapté à ce genre de redescente, surtout si vous avez beaucoup de node à mettre à jour.

si_pushupdate --server kaster --hosts="knod2"
knod2 : ======================= WARNING =================================
knod2 :  This command will update this host with the image: kDeb
knod2 :  and overrides (in order of importance):
knod2 :
knod2 :  overDeb, override_for_absolutely_all_nodes
knod2 :
knod2 :  Some files could be deleted or overwritten, so probably it is a
knod2 :  good idea to run this command with --dry-run before and stop the
knod2 :  production on this host.
knod2 : ======================= WARNING =================================
knod2 :
knod2 : Are you sure to continue? (y / N)? y
knod2 : [...]
knod2 : Excluding (filesystem ext2): /tmp
knod2 : >> Updating image from module kDeb...
knod2 : receiving incremental file list
knod2 : deleting .readahead_collect
knod2 : sent 86986 bytes  received 23829894 bytes  621217.66 bytes/sec
knod2 : total size is 10895198915  speedup is 455.54
knod2 : >> Updating image from module overrides/override_for_absolutely_all_nodes...
knod2 : Running bootloader...Kernel /boot/...

si_pushoverrides

Comme son nom l'indique, il s'agit en réalité non pas d'aligner le node avec son image mais avec ses overrides.

si_pushoverrides -v knod2
Building clients list...
Grouping clients by common overrides...
WARNING: in case of file overlaps the overrides will be distributed using the following order (first hit wins):
WARNING: -->
Performing the updates...
>> si_pcp -v    -n knod2 /var/lib/systemimager/overrides/overDeb/ /
knod2 :/: sending incremental file list
[...]
knod2 :/: sent 898 bytes  received 203 bytes  734.00 bytes/sec
knod2 :/: total size is 2510  speedup is 2.28

Le monitoring

Monitorer un node revient, sous SystemImager, à se faire une idée d'où il en est au niveau de l'installation. Pour cela, SystemImager exploite grandement /var/lib/systemimager/clients.xml et met à disposition 2 outils, l'un étant la version graphique de l'autre, il s'agit de si_monitor et si_monitortk.

Conclusion

SystemImager apporte donc une réponse simple, complète et très satisfaisante aux besoins d'automatisation d'installation et de déploiement. De par ce fait, il est tout-à-fait dans la ligne de mire des exploitation en cluster, et se marie très bien avec des systèmes de répartition de charge dans des environnements de calcul, comme c'est le cas pour OSCAR, Torque, MAUI, et autres. Attention toutefois, car même s'il correspond également au besoin d'uniformisation dans un parc constitué de postes de travail, il peut s'avérer que la synchronisation provoque des problèmes d'incohérence et d'instabilité au niveau de l'environnement graphique ou du noyau, selon ce qui a été mis à jour. Il est donc sage de l'utiliser avec parcimonie quand vous êtes en première ligne face à vos utilisateurs. Il ne vous reste plus qu'à vous en faire une idée par vous-même, et, pourquoi pas, l'adopter !

TSM : Petite mise en bouche

K-TUX — Thu, 08 Apr 2010 11:08:11 +0000

Tivoli Storage Manager, de son petit nom TSM, compte parmi les plus puissantes architectures dédiées aux sauvegardes / stockage / restauration de données. Seulement voilà, non content d'être une technologie propriétaire, c'est en plus un gros morceau à gérer... Enfin du moins au début. Ce billet a donc pour vocation de découvrir les premiers concepts qui se cachent sous TSM et de vous lancer dans l'apprivoisement de ce géant bourru.

Fonctionnement général

TSM fonctionne sur un mode Client/Serveur, c'est-à-dire que le serveur TSM se tient à la disposition des Clients, nos nodes, afin que les sauvegardes soient faites. Selon la manière dont la sauvegarde est effectuée, les rôles varient. En effet, sur une sauvegarde faite manuellement, le node sollicite le serveur TSM et lui demande d'effectuer une tâche bien précise (sauvegarde ou restauration). Lorsque la sauvegarde est automatisée, c'est le serveur TSM qui sollicite le node -via un scheduler- et qui va lui demander les données à sauvegarder. Le node endosse ainsi la fonction de serveur (en perpétuelle écoute de requête en provenance du serveur TSM). Au sein de l'architecture TSM, un node se définit par rapport à d'autres entités, qui permettent notamment d'organiser et de paramétrer au plus fin les détails liés aux sauvegardes à faire. Logiquement, on a :

Policy
- Domain
  - CLOptSet (jeu d'options pour le domaine (INCLEXCL), optionnel)
    - Schedule (planification des sauvegarde)
      - Node (noeud à sauvegarder)

Les mains dans le cambouillis

Sur de l'opérationnel

L'appel du terminal se fait par dsmadmc, qui, par défaut, ouvre une interface de commande avec le serveur TSM. Il est également possible de stipuler la commande sur la même ligne que dsmadm. Ainsi, dsmadm exécutera la commande, fermera l'invite de commande tsm et rendra le terminal à l'utilisateur. Dans un système qui fonctionne, on peut interroger l'existant grâce à la commande QUERY -abrégée en q- QUERY sert à rapporter un état précis du système, par exemple, l'état des processes qui tournent et s'il y en a (q proc), les associations existantes (q association)...

tsm: TSMSERVER>q policy

Policy        Policy        Default       Description
Domain        Set Name      Mgmt
Name                        Class
Name
---------     ---------     ---------     ------------------------
NDMP          ACTIVE        STANDARD
[...]

tsm: TSMSERVER>q domain

Policy        Activated     Activated      Number of     Description
Domain        Policy        Default       Registered
Name          Set           Mgmt               Nodes
Class
---------     ---------     ---------     ----------     ------------------------
NIX          STANDARD      STANDARD             205     serveurs UNIX
[...]
tsm: TSMSERVER>q sched
Domain           *     Schedule Name        Action     Start Date/Time          Duration     Period     Day
--
NIX                   Schedbux             Inc Bk     27-05-2008 00:00:00          8 H        1 D      Any
[...]

Ce qui revient à dire que, lorsque l'on arrive sur un système TSM tout frais, prêt à être installé, il faut donc créer et paramétrer tout le système.

Sur du tout neuf

Et bien, allons-y, recréons tout ça ! L'invite dsmadmc lancée, vous pouvez d'ores et déjà vous essayer à créer tout ce bazard. Et si vous bloquez sur une option, il existe une commande help qui, invoquée seule, vous énumérera l'ensemble des catégories qu'elle détient, et sinon, si vous savez sur quelle commande vous bloquez, il suffit de lancer help pour avoir accès à tout le descriptif, illustré d'exemple, de ladite commande. Alors pas de panique !

Petit aperçu de comment faire...

1. Créer un domaine, avec ou non son set d'option :

define domain domainname [...]
define cloptset cloptsetname [...]
define clientopt cloptsetname inclexcl "exclude.dir /tmp*"
[...]

2. Définir une policyset :

define policyset domainname policysetname [...]

3. Définir sa mgmtclass ou utiliser celle par défaut (STANDARD)

define mgmtclass domainname policysetname classname [...]

4. Assigner la mgmtclass définie (on peut utiliser celle par défaut en mentionnant STANDARD en lieu et place de classname) :

assign defmgmtclass domainname policysetname classname [...]

5. Valider la policyset (il n'existe qu'une et une seule policyset activée à un instant donné) :

validate policyset policysetname [...]
activate policyset policysetname [...]

6. Créer un schedule et fixer le schedule et les paramètres de sauvegarde pour le node :

define sched domainname schedname nodename action=Incremental|[...voir help define sched] desc=\\\"description\\\" type=client scheds=classic startDate=11/25/2005 startTime=20:00:00 period=1 perunits=days priority=1 duration=8 durUnits=hours

7. Enregistrer le node dans le domaine, ainsi que ses paramètres de connexion au service :

register node nodename nodepasswd passexp=0 contact=contact\@bux.fr domain=domainname cloptset=optionsetname forcepwreset=no url=http://nodename:1581

8. Définir l'association entre le domain, le schedule et le node :

define association domainname schedulename nodename

9. Customiser le node :

update node nodename [...]

Et lorsqu'on veut supprimer des nodes... D'abord supprimer ses data :

delete filespace nodename *

Et enfin supprimer le node :

remove node nodename

En cas, supprimer le schedule, si on lui a attribué un schedule rien que pour lui :

delete schedule domainname schedulename

Et oui, ce n'est pas de tout repos...

La config

Les fichiers de configuration se situent généralement aux emplacements mentionnés, à savoir dans /opt/tivoli, mais il peut arriver que ce ne soit pas le cas. Si vous êtes dans ce genre de situation, un petit find vous fixera de suite sur la localisation de votre configuration.

Le client

Le client dispose de 2 fichiers relatifs à sa configuration : dsm.opt et dsm.sys, tous les 2 disponibles à l'emplacement /opt/tivoli/tsm/client/ba/bin/. dsm.opt, comme son extension laisse le supposer, précise les options utilisateur du client, tandis que dsm.sys, quant à lui, définit les options système du client. Par défaut, à l'installation, TSM met à disposition des samples permettant de comprendre et de paufiner les réglages client. Voici quelques exemples :

# cat /opt/tivoli/tsm/client/ba/bin/dsm.opt
SERVERNAME              TSMSERVER
DOMAIN                  /home
DATEFORMAT              3
ARCHSYMLINKASFILE       no

# cat /opt/tivoli/tsm/client/ba/bin/dsm.sys
SERVERNAME          TSMSERVER
NODENAME            tsmcli
COMMMETHOD          TCPIP
TCPPORT             1500
HTTPPORT            1581
TCPSERVERADDRESS    192.168.1.252
TCPNODELAY          YES
PASSWORDACCESS      GENERATE
COMMRESTARTDURATION 0
SCHEDLOGRETENTION   7 D
ERRORLOGRETENTION   7 D
SCHEDLOGNAME        /var/log/dsmsched.log
ERRORLOGNAME        /var/log/dsmerror.log
MAXCMDRETRIES       10
RETRYPERIOD         5
REVOKEREMOTEACCESS      ACCESS
SCHEDMODE           PROMPTED
MANAGEDSERVICES     schedule webclient
INCLUDE             /home/.../* DONNEES
EXCLUDE.DIR         /tmp

Il est possible d'avoir un bref aperçu de la configuration client en lançant en superutilisateur, la commande dsmc query session, qui vous rendra un output qui ressemble à peu près à ça :

# dsmc query session
IBM Tivoli Storage Manager
Interface du client de sauvegarde/archivage en ligne de commande
Version client 5, Edition 5, Niveau 2.2
Date/heure client : 2010-04-10 11:00:19
(c) Copyright by IBM Corporation and other(s) 1990, 2009. All Rights Reserved.

Nom du poste : TSMClient
Session etablie avec le serveur SERVER1 : Linux/i386
Version serveur 5, edition 5, niveau 4.1
Date/heure serveur : 2010-04-10 10:57:37    Dernier acces : 2010-04-10 10:55:55

Informations sur la connexion au serveur TSM

Nom du serveur...........................: TSMSERVER
Type de serveur..........................: Linux/i386
Proteger la conservation de l'archivage..: "Non"
Version du serveur.......................: Ver. 5, Edi. 5, Niv. 4.1
Date du dernier acces....................: 2010-04-10 10:55:55
Supprimer les fichiers sauvegardes.......: "Non"
Supprimer les fichiers archives..........: "Oui"

Nom du poste client......................: TSMClient
Nom d'utilisateur........................: root

Le server

Le serveur dispose, de la même manière, d'un dsmserver.opt, par contre, pas de dsmserv.sys, tout du moins, dans mon installation. Du coup, tout le paramétrage du serveur se concentre dans un et un seul fichier de conf, dont voici un aperçu.

# cat /opt/tivoli/tsm/server/bin/dsmserv.opt
* dsmserv.opt
COMMmethod TCPIP
COMMmethod HTTP
TCPPort 1500
TCPWindowsize 64
TCPNODELAY         YES
HTTPPort 1580
MSGINTerval 1
MAXSessions 400
LOGPoolsize 3072
TXNGroupmax 256
COMMTimeout 300
IDLETimeout 30
LANGuage en_US
DATEformat 1
TIMEformat 1
NUMberformat 1
EXPInterval  0
MIRRORREAD LOG NORMAL
MIRRORREAD DB  NORMAL
MIRRORWRITE LOG PARALLEL
MIRRORWRITE DB  SEQUENTIAL
VOLUMEHistory volhist.out
DEVCONFIG devconfig.out
MOVEBatchsize 1000
MOVESizethresh 500
USELARGEBUFFERS    YES
EVENTSERVer        YES
DISABLESCHEDS no
REQSYS Yes
ASSISTVCRRECOVERY  YES
QUERYAUTH NONE
DBPAGEShadow Yes
DBPAGESHADOWFILE dbpgshdw.bdt
DNSLOOKUP       NO
ALIASHALT bye
NOMIGRRECL
DIRECTIO YES

TXNGROUPMAX 1024
BUFPOOLSIZE 786432

IDLETIMEOUT 60
COMMTIMEOUT 300

MAXSESSIONS 400
* EOF

Votre premier choc : les commentaires sont marqués par une *. Dur. Enfin, vous êtes habitués, maintenant...

La WebI

Selon que l'on ait paramétré comme il faut son serveur TSM -flagez le paramètre COMMmethod et HTTPPort-, il est possible de faire en sorte que l'utilisateur puisse accéder facilement à ses sauvegardes TSM sans avoir à se débattre avec dsmadmc, et ceci, en passant par l'interface Web du node. Ainsi, les données engrangées par notre serveur seront disponibles simplement à l'adresse http://nodename:1581. Petit bémol, pensez que c'est une applet JAVA, par conséquent, vérifiez tout de même que vous faites bien tourner le JDK de Sun avant de vous lancer dans la grande aventure.

Conclusion

Voila ! Fin de l'introduction, qui, quoiqu'un peu massive, donne un aperçu bien ciselé de TSM. Pour les plus curieux, la documentation est très présente, et il vaut mieux, car TSM est un produit propriétaire bien coûteux, mais qui peut valoir l'investissement, s'il est couplé avec la IBM Tape Library. Ce point rajoute d'ailleurs encore aux commandes à savoir manier, car la gestion des bandes est plus rapide via un terminal type dsmadmc que via une interface web. Enfin, à ce niveau-là, nous ne sommes plus en introduction. Les aides officielles / non officielles qui aident bien :

GPU joins the game : quick intro to Cuda and OpenCL

K-TUX — Fri, 19 Feb 2010 21:49:23 +0000

C'est dit, c'était déjà sur la sellette, et maintenant c'est en train de grandir, DEVINEZ QUOI !!! Vous qui pensiez que le CPU était le cerveau véritable de votre superbe étalon watercooled qui ronronne dans votre bureau / salle des serveurs ! Vous qui vous êtes laissé emporté par les sirènes des commerciaux qui vendent toujours plus de core, toujours plus cher, sans jamais assurer quoi que ce soit en cas d'explosion impromptue, voici pour vous l'occasion d'effectuer un 280 et, par la même occasion, de pouvoir tester encore, et encore !!!

Utilisez votre GPU bon sang !!!

Ce n'est pas une idée nouvelle. Elle nous vient de ces maniaques à demi-fous qui planchent sur des phrases aux lettres incompréhensibles et sur des équations qui ressemblent à la vie. Des besoins immenses et toujours plus importants en puissance de calcul, harcelant nuit et jour l'ASR, toujours en quête de ressources, ils se sont vite résignés à trouver une autre solution après avoir constaté (Moore ?) que l'empilage des CPU ne mène nulle part. Et ils ont trouvé autre chose, quelque chose de plus puissant et surtout, de plus disponible ! Pensez donc à la fabuleuse évolution des PC, qui sont passés du statut froid et vide de terminaux de travail à un divertissement majeur largement répandu. L'apparition de jeux de plus en plus sophistiqués notamment amène une évolution flagrante au niveau des équipements directement mis en cause, et la carte graphique est au centre de toutes les préoccupations.

Cuda, technologie propriétaire NVidia

Cuda est une technologie qui permet de tirer parti de manière drastique des capacités du GPU. C'est un outil qui s'articule autour de l'installation de 3 packages, les pilotes, le SDK et les toolkits / exemples. Elle amène pas mal de contraintes, notamment concernant les conflits que les pilotes peuvent entraîner avec ceux déjà présents sur la machine, ce qui nécessite notamment de redémarrer la machine sous environnement texte, et de se palucher les tests de configurations, debout devant la machine. Pire, et c'est un inconvénient majeur, elle est propriétaire.

OpenCL, la petite soeur de Khronos

Très belle initiative des grands de ces monde, d'ailleurs également à l'origine d'OpenGL, OpenCL s'inscrit dans les mêmes lignes, à ceci près que c'est une technologie OpenSource. Elle est donc vouée à très vite se développer, à être optimisée, et sûrement à être intégrée dans les distributions -voir même à avoir la sienne, dédiée. Déjà une version 1.0, à suivre de très près donc ! Enfin, pour ceux qui aiment les gros calculs !

Le CPU, ce n'est plus ce que c'était...

Et ce n'est pas une histoire de puissance, mais plutôt, de système réparti. Car oui, l'Ère de la Centralisation a bel et bien touché à son terme, et ce, depuis l'apparition d'Internet et des architectures n-tiers. Et bientôt ce mouvement s'étendra à votre pc -votre CPU- qui apprendra, et c'est sûrement déjà le cas, à distribuer les tâches à ses petits copains et non plus tout se garder pour lui et finir par en avaler trop. Ah, c'est beau...

Marionnet : conception et tests d’infrastructure réseau

K-TUX — Wed, 20 Jan 2010 21:22:20 +0000

Connaissez-vous Marionnet ? Non ? Et bien voilà, c'est l'occasion ! Marionnet est un simulateur d'architecture réseau. Il permet aux novices qui aimeraient s'y coller -mais qui n'ont pas les autorisations ou le matériel requis- de se familiariser avec toutes les problématiques que vous, ASR, rencontrez lorsque vous arrivez dans un chaos de réseau à l'ancienne et qu'il faut tout casser pour tout reconstruire. Et intelligemment. Marionnet met à disposition des objets -switches, routers, hosts, ...- que vous pouvez alors organiser et structurer dans l'espace, dont vous pouvez analyser les processes en cours -par exemple sous les hosts- et vérifier que tout fonctionne avant justement de tout casser, de tout remettre, et de s'apercevoir que ça ne fonctionne pas -Diantre ! Marionnet est un projet qui s'inscrit donc plus dans un contexte d'enseignement, et fonctionne grâce au User Mode Linux, fonctionnalité des noyaux récents Linux (oui, le projet tourne sur du Linux, mais continuez à lire, vous serez agréablement surpris). UML permet notamment de lancer un ou plusieurs noyaux Linux comme s'il ne s'agissait que d'applications toutes simples. Le projet est disponible soit en sources -./configure; make && make install, enfin, vous connaissez la chanson-, soit via un LiveCD, et tout ça, sur le site officiel. Voilà ! Avec ça, les DSI n'auront plus d'excuse pour vous enlever tout le fun de la conception d'une architecture !

Cfengine, cet outil qui facilite la vie des ASR…

K-TUX — Sun, 17 Jan 2010 18:47:41 +0000

Une grande partie de l'activité d'un Administrateur Système consiste à suivre, à bichonner, à soigner et à updater ses serveurs. Certains ont choisi de le faire manuellement, comme sur une bonne vieille architecture constituée d'une poignée de serveurs. Sachez qu'il existe plusieurs moyens de s'en dispenser, pas totalement, mais suffisamment pour pouvoir se dégager du temps libre et donc attaquer des activités à plus forte plus-value et plus intéressantes. Cfengine est un puissant outil qui permet de s'affranchir des contraintes machinales dues à un parc de serveurs dépassant en nombre notre enjouement à passer tout bien tout comme il faut manuellement et unitairement. Le but du jeu étant de centraliser et d'organiser les traitements selon des classes d'objet. Cfengine fonctionne en utilisant TCP/IP (port 5308 tcp/udp) et les outils libres, en mode client / serveur, et dont les principaux acteurs sont :

Sur le client :
- cf-agent, process client, qui va analyser et traiter les différentes configurations, on peut l'apparenter à un interpréteur,
- cf-execd, un process scheduler,
- cf-runagent, un outil qui permet de déclencher manuellement les traitements et de solliciter des hosts précis,
Sur le serveur :
- cf-servd, process serveur, qui a la responsabilité du partage des fichiers,
- cf-key, le process permettant de sécuriser un minimum les flus de données, qui fonctionne à la manière du keygen d'OpenSSH.

La version 3 est implémentée à l'heure où j'écris ces lignes, c'est donc sur elle que je vais baser mon article.

Mais avant cela, pourquoi dois-je choisir entre les versions ? Et bien parce que la dernière version amène un schisme au niveau du langage utilisé par Cfengine. Malgré tout, la Communauté a fait les choses intelligemment en faisant collaborer les binaires de Cfengine 2 et ceux de Cfengine 3.

On peut donc sans soucis utiliser la version 2 de cfservd avec les versions 3 de cf-agent. C'est ce qu'on appelle être run-time compatible.

Pour analyser la version 3, il est donc nécessaire de détailler un peu le fonctionnement sous la version 2, et c'est ce que nous allons faire.

En version 2, ça se passait comment déjà ?

En version 2, l'installation construit l'outil, génère un couple de clés grâce à cfkey, et stocke tout ça dans /var/cfengine/ppkeys. Notez bien au passage que le répertoire important qui contient pratiquement tout ce qui est intéressant est justement situé sous /var/cfengine/.

Notamment concernant /var/cfengine/inputs/, qui contient tous les fichiers de configuration, par défaut et customisés, que vous serez amené à éditer. On y trouve donc :

cfagent.conf, le fichier de conf de l'agent,
update.conf, lu avant cfagent.conf et chargé, comme son nom l'indique, de rapatrier les mises à jour de configuration,
cfservd.conf, notre configuration de serveur. Utile surtout pour encadrer correctement les droits d'accès de certains serveurs sur certains répertoires,
cfrun.conf, un listing des serveurs à joindre en cas d'utilisation de cfrun.

Ce qu'il est important de savoir, c'est que vous n'êtes pas tenu de bourrer de suite toutes vos règles dans cfagent.conf, mais vous pouvez, à volonté, utiliser autant de fichier de configuration que vous le voulez, grouper certaines règles en fonction de vos critères. Au contraire cela ne fera que vous faciliter un peu plus le boulot. Il est également intéressant de préciser que Cfengine adopte un comportement de non surcharge des ressources. Ainsi, les boucles infernales de commandes sont évitées, et un délai aléatoire est introduit pour éviter que toutes les requêtes ne convergent et viennent s'étrangler sur notre serveur. Les fichiers de configuration sont donc au cœur de Cfengine et leur skeleton n'est pas crée par défaut à l'installation. Un fichier de configuration typique est structuré tel quel :

section1 :
classe1::
directives11
section2 :
classe1::
directives21
classe2::
directives22

Il peut contenir en lui-même plusieurs sections distinctes.

Les sections.

Les sections constituent le moteur même de Cfengine. On peut diviser les sections en 2 catégories : celles qui vont moduler le comportement de Cfengine, et celles qui, à proprement parler, vont faire tout le boulot.

Les classes.

Elles servent à cibler les conditions qui déclencheront les actions à entreprendre. La plupart des classes sont prédéfinies mais il est possible d'en créer de nouvelles. Elles peuvent concerner très spécifiquement une configuration donnée, à un temps t, comme l'OS, la date, la distribution, l'architecture (32 bits, 64bits), on parle alors de hard classes, ou être beaucoup plus abstraites, ce sont alors des evaluated classes. La troisième catégorie contient les classes que nous, administrateurs, nous allons définir. Notez également l'existence d'une hard classe any, qui regroupe toute machine, quel qu'elle soit. Le fonctionnement est simple. Cfagent détecte que c'est l'heure à laquelle il doit déclencher un traitement. Avant toute chose, il va chercher sur notre serveur -le policy host- via update.conf la version à jour, s'il y en a une, de cfagent.conf. En cas d'impossibilité de joindre le serveur, il se basera alors sur celui dont il dispose en local. Les traitements seront alors fait selon ce qui est écrit dans ce cfagent.conf. C'est une stratégie de pull, c'est-à-dire que le client est autonome et c'est lui qui sollicite le serveur. Et, bien sûr, pour plus de fun, tout cela est à votre charge ! Petit exemple de cfservd.conf :

################################################################
#
# cfservd.conf
#
################################################################
control:
   domain = ( k-tux.com )
   AllowConnectionsFrom = ( 192.168.0 )
   TrustKeysFrom = ( 192.168.0 )
   Access = ( root kbux )

# Variables internes, pour faciliter les choses.
   cfrunCommand = ( "/usr/local/sbin/cfagent" )

# Utile pour que 'cfrun' sache ce qu'il a à faire...
grant:
   any::
      /usr/local/sbin   $(policyhost)

   policyhost::
      /var/cfengine/inputs   *.k-tux.com

# Sans cette spécification-là, c'est l'action 'copy' de 'update.conf'
# qui ferait une erreur
# EOF cfservd.conf.

Petit exemple de cfagent.conf.

################################################################
#
# cfagent.conf basique, tout juste fonctionnel.
#
################################################################
control:
   domain  = ( k-tux.com )
   actionsequence = ( shellcommands )

shellcommands:
   "/bin/echo cfagent OK"

# Dans un premier temps, cela suffit !
# En effet, cfagent requiert essentiellement la présence d'une
# 'actionsequence' dans son fichier de conf'.
#
# EOF cfagent.conf.

Petit exemple d'update.conf.

##############################################################
#
# Ceci est le fichier update.conf, simple et fonctionnel,
# servant à tenir à jour tous les fichiers de conf,
# (soit l'intégralité du répertoire /var/cfengine/inputs)
# sur les machines locales.
# En tout état de cause, le garder simple et fonctionnel !
#
##############################################################
control:
   domain = ( k-tux.com )
   actionsequence = ( copy )

# En fait, l'action 'copy' sera utilisé ici pour 'update',
# mais comme cette dernière n'existe pas...
# De toute façon, basiquement, c'est bien une copie de fichiers que l'on demande.
   policyhost = ( policyhost )
   masterdir = ( /var/cfengine/inputs )
   localdir = ( /var/cfengine )

# Bien entendu, 'policyhost' existe dans le fichier /etc/hosts de la machine locale.
# En-dehors de ça, nous venons de déclarer nos propres variables.
# Elles ne tarderons pas à servir...
copy:
   !policyhost::

# Inutile de spécifier une classe, 'any' ou autre,
# car nous voulons que TOUS les hôtes soient à jour de leurs fichiers de conf...
# Tous, sauf le ‘policyhost’, bien sûr
# Précédée du signe '!', toute machine ou classe de machine sera
# exclue de l'action entreprise.
      $(masterdir)   dest=$(localdir)/inputs

# L'action 'copy' est structurée de cette façon.
# L'usage de l'espace autour de la source et de la destination est libre,
# mais pas d'espace à l'intérieur de celles-ci.
# Règle d'or : si la source est un fichier, la destination doit être un fichier.
# Ici, la source est un répertoire, la destination doit en être un aussi.
# Tout ce que contient l'un sera copié dans l'autre.
                     server=$(policyhost)
                     r=inf

# Option obligatoire car copie de répertoire.'r' pour récursif
# (peut également s'écrire 'recurse'). 'inf' pour niveau maximum de récursivité,
                     purge=true

# Sans cette option, 'copy' générerait des fichiers *.cfsaved
# dans le répertoire de destination.
# Ici, nous obtiendrons une réplication exacte et fidèle du répertoire source, sans plus.
                     type=binary

# Le fichier 'dest' sera comparé bit à bit à son homologue source.
                     mode=644

# Là, 'copy' se "contente" de vérifier les permissions d'accès des fichiers
# présents dans $(localdir)/inputs, et de corriger le tir en cas de besoin.
                     trustkey=true

# Le point sensible.
# Ici, nous voulons que $(policyhost) fasse confiance à la machine locale,
# et accepte sa clef publique lors du premier contact entre les deux hôtes.
# Cela nous évitera d'avoir à faire cette échange de clefs manuellement,
# mais bien évidemment nous créons ainsi une petite faille de sécurité...
#
# EOF update.conf.

En version 3, ce n'est plus pareil alors ?

Presque ! On peut voir déjà une subtile différence au niveau du nom des binaires, cf-servd au lieu de cfservd, cf-agent au lieu de cfagent,... Mais vous me direz, et vous n'avez pas tort, que ce ne sont que des détails. D'abord, un petit état des lieux. Voici, après installation, ce qui vous a bourgeonné sur le filesystem. Notez en passant que Cfengine tourne sous root par défaut, mais il est possible de changer ce comportement en retouchant un peu le fichier de configuration du serveur. Toutefois, gardez à l'esprit qu'il lui faut certains privilèges pour pouvoir fonctionner normalement.

[kbux@policyhost cfengine]$ ls -lsa /var/lib/cfengine/
total 80
4 drwxr-xr-x 13 root root 4096 2010-01-13 11:43 ./
4 drwxr-xr-x 31 root root 4096 2010-01-12 12:44 ../
4 drwxr-xr-x  2 root root 4096 2010-01-12 12:44 bin/
4 -rw-------  1 root root 1252 2010-01-13 11:43 cf3.localhost.runlog
8 -rw-------  1 root root 8192 2010-01-13 11:43 cfengine_lock_db
4 -rw-------  1 root root    5 2010-01-13 11:43 cf-execd.pid
4 -rw-------  1 root root    5 2010-01-13 11:43 cf-monitor.pid
4 -rw-------  1 root root    5 2010-01-13 11:43 cf-serverd.pid
0 lrwxrwxrwx  1 root root   21 2010-01-12 12:44 inputs -> ../../../etc/cfengine/
4 drwxr-xr-x  2 root root 4096 2009-08-23 21:03 lastseen/
4 drwxr-xr-x  2 root root 4096 2009-08-23 21:03 modules/
4 drwxr-xr-x  2 root root 4096 2010-01-13 11:45 outputs/
4 drwx------  2 root root 4096 2010-01-12 12:45 ppkeys/
4 -rw-------  1 root root  185 2010-01-13 11:18 promise.log
4 drw-r--r--  2 root root 4096 2009-08-23 21:03 randseed/
4 drwxr-xr-x  2 root root 4096 2009-08-23 21:03 reports/
4 drwx------  2 root root 4096 2009-08-23 21:03 rpc_in/
4 drwx------  2 root root 4096 2009-08-23 21:03 rpc_out/
4 drwxr-xr-x  2 root root 4096 2009-08-23 21:03 rpc_state/
4 drwxr-xr-x  2 root root 4096 2010-01-13 11:43 state/

[kbux@policyhost cfengine]# ls -lsa /usr/sbin/cf*
72 -rwxr-xr-x 1 root root 72008 2009-08-23 21:03 /usr/sbin/cf-agent*
60 -rwxr-xr-x 1 root root 60256 2009-10-14 18:54 /usr/sbin/cfdisk*
32 -rwxr-xr-x 1 root root 30896 2009-08-23 21:03 /usr/sbin/cf-execd*
12 -rwxr-xr-x 1 root root 10116 2009-08-23 21:03 /usr/sbin/cf-key*
80 -rwxr-xr-x 1 root root 79908 2009-08-23 21:03 /usr/sbin/cf-know*
52 -rwxr-xr-x 1 root root 51272 2009-08-23 21:03 /usr/sbin/cf-monitord*
12 -rwxr-xr-x 1 root root  9960 2009-08-23 21:03 /usr/sbin/cf-promises*
56 -rwxr-xr-x 1 root root 55700 2009-08-23 21:03 /usr/sbin/cf-report*
20 -rwxr-xr-x 1 root root 18244 2009-08-23 21:03 /usr/sbin/cf-runagent*
76 -rwxr-xr-x 1 root root 76160 2009-08-23 21:03 /usr/sbin/cf-serverd*

[kbux@policyhost cfengine]$ ls -lsa /etc/cfengine/
total 32
4 drwxr-xr-x  2 root root 4096 2010-01-12 12:44 ./
4 drwxr-xr-x 91 root root 4096 2010-01-12 12:45 ../
4 -rw-r--r--  1 root root  204 2009-08-23 21:03 failsafe.cf
4 -rw-r--r--  1 root root 2518 2009-08-23 21:03 library.cf
4 -rw-r--r--  1 root root 1898 2009-08-23 21:03 promises.cf
8 -rw-r--r--  1 root root 6006 2009-08-23 21:03 site.cf
4 -rw-r--r--  1 root root  971 2009-08-23 21:03 update.cf

[kbux@policyhost cfengine]$ grep cfengine /etc/services
cfengine        5308/tcp                        # CFengine
cfengine        5308/udp                        # CFengine

Les éléments importants se situent au niveau de /var/lib/cfengine, ce sont les répertoires inputs, outputs et bin.

Inputs servira de référence pour ce qui est de passer les paramètres aux cf-agents, il faut donc faire en sorte que ce répertoire soit copié et maintenu à jour fréquemment par toutes les machines concernées. Vu que dans l'installation, le répertoire est en fait un lien symbolique vers /etc/cfengine, nous retrouvons dedans les 5 fichiers *.cf.
Outputs sert de conteneur de reports qui peuvent alors être entreposés et mailés via cf-execd, si on le souhaite.
Bin, en revanche, ne contient qu'un lien symbolique vers le binaire /usr/sbin/cf-promises.

Finalement, on retrouve une arborescence tout à fait comparable à celle de cfengine 2. Et oui, car la majeure différence en version 3 est palpable au niveau du langage en lui-même, ce qui amène à une réorganisation complète de la structure interne aux fichiers de configuration. Par ailleurs, de nouveaux composants se sont rajoutés et on nous parle de promises (oui, c'est de l'anglais). Les promises synthétisent les états que l'on veut maintenir, autrement dit, ce sont vos fichiers de configuration. D'ailleurs, tout ce qui concerne leur gestion, vérification, tout cela dépend de cf-promises. Par exemple, pour vérifier que votre test.cf est correct, rien ne vaut un

[kbux@policyhost cfengine]# cf-promises -v -f /var/lib/cfengine/inputs/test.cf
cf3 Cfengine - autonomous configuration engine - commence self-diagnostic prelude
cf3 ------------------------------------------------------------------------
cf3 Work directory is /var/lib/cfengine
cf3 cf3: INFO: /var/lib/cfengine/inputs is a symbolic link, not a true directory!
cf3 Making sure that locks are private...
cf3 Checking integrity of the state database
cf3 Checking integrity of the module directory
cf3 Checking integrity of the input data for RPC
cf3 Checking integrity of the output data for RPC
cf3 Checking integrity of the PKI directory
cf3 Looking for a source of entropy in /var/lib/cfengine/randseed
cf3 Could not read sufficient randomness from /var/lib/cfengine/randseed
cf3 Loaded /var/lib/cfengine/ppkeys/localhost.priv
cf3 Loaded /var/lib/cfengine/ppkeys/localhost.pub
cf3 Setting cfengine default port to 5308 = 5308
cf3 Reference time set to Sun Jan 17 11:48:27 2010
cf3 Cfengine - 3.0.2 (C) Cfengine AS 2008-
cf3 ------------------------------------------------------------------------
cf3 Host name is: policyhost
cf3 Operating System Type is linux
cf3 Operating System Release is 2.6.31.5-desktop-1mnb
cf3 Architecture = i686
cf3 Using internal soft-class linux for host localhost
cf3 The time is now Sun Jan 17 11:48:27 2010
cf3 ------------------------------------------------------------------------
cf3 # Extended system discovery is only available in version Nova and above
cf3 Additional hard class defined as: 32_bit
cf3 Additional hard class defined as: linux_2_6_31_5_desktop_1mnb
cf3 Additional hard class defined as: linux_i686
cf3 Additional hard class defined as: linux_i686_2_6_31_5_desktop_1mnb
cf3 GNU autoconf class from compile time: compiled_on_linux_gnu
cf3 Address given by nameserver: 127.0.0.1
cf3 Interface 1: lo
cf3 Interface 2: eth0
cf3 Trying to locate my IPv6 address
cf3 Found IPv6 address inet6:
cf3 Found IPv6 address fe80::a00:27ff:fe24:ef9f
cf3 Found IPv6 address inet6:
cf3 Looking for environment from cf-monitor...
cf3 Loading environment...
cf3 Environment data loaded
cf3 This appears to be a mandriva system.
cf3 Looking for Mandriva linux info in "Mandriva Linux release 2010.0 (Official) for i586
"
cf3 This appears to be a LSB compliant system.
cf3 ***********************************************************
cf3  Loading persistent classes
cf3 ***********************************************************
cf3 ***********************************************************
cf3  Loaded persistent memory
cf3 ***********************************************************
cf3   > Parsing file /var/lib/cfengine/inputs/test.cf
cf3 Initiate variable convergence...
cf3 Initiate variable convergence...
cf3 # Knowledge map reporting feature is only available in version Nova and above
cf3  -> Defined hard classes = { any verbose_mode Sunday Hr11 Morning Min48 Min45_50 Q4 Hr11_Q4 Day17 January Yr2010 Lcycle_0 GMT_Hr10 linux localhost undefined_domain 32_bit linux_2_6_31_5_desktop_1mnb i686 linux_i686 linux_i686_2_6_31_5_desktop_1mnb linux_i686_2_6_31_5_desktop_1mnb__1_SMP_Fri_Oct_23_01_46_54_EDT_2009 compiled_on_linux_gnu net_iface_lo net_iface_eth0 ipv4_10_0_2_15 ipv4_10_0_2 ipv4_10_0 ipv4_10 inet6_ fe80__a00_27ff_fe24_ef9f rootprocs_high_normal syslog_low_normal messages_low_normal entropy_netbiosns_in_low entropy_netbiosdgm_in_low entropy_netbiosssn_in_low entropy_irc_in_low entropy_cfengine_in_low entropy_nfsd_in_low entropy_smtp_in_low entropy_www_in_low entropy_ftp_in_low entropy_ssh_in_low entropy_wwws_in_low entropy_netbiosns_out_low entropy_netbiosdgm_out_low entropy_netbiosssn_out_low entropy_irc_out_low entropy_cfengine_out_low entropy_nfsd_out_low entropy_smtp_out_low entropy_ftp_out_low entropy_ssh_out_low entropy_icmp_in_low entropy_udp_in_low entropy_dns_in_low entropy_tcpsyn_in_low entropy_tcpack_in_low entropy_tcpfin_in_low entropy_misc_in_low entropy_icmp_out_low entropy_udp_out_low entropy_dns_out_low entropy_tcpsyn_out_low entropy_tcpack_out_low entropy_tcpfin_out_low entropy_misc_out_low cfengine_3_0_2 cfengine_3_0 cfengine_3 Mandrake Mandriva mandriva mandriva_2010 mandriva_2010_0 lsb_compliant mandrivalinux mandrivalinux_adelie mandrivalinux_2010_0 mandrivalinux_2010 common }
cf3  -> Negated Classes = { }
cf3 Initiate variable convergence...
cf3 Initiate control variable convergence...
cf3 Inputs are valid

Le -v vous inonde d'informations. Ne vous perdez pas, seule la dernière ligne compte, puisqu'elle vous indique explicitement que votre configuration est valide. Mais alors, comment faire votre cf, à proprement parler ? Et bien, comme vous avez pu lire, il faut d'abord revenir sur notre bon vieux concept concernant le composant central de Cfengine : les classes. Les classes sont toujours présentes et organisées en 2 grandes familles, les hard et les soft, dont on peut d'ailleurs facilement en avoir la liste avec un cf-promises -v. Elles sont définies exclusivement au sein de bundle, ces derniers pouvant être typés. Un bundle est un container qui permet de regrouper plusieurs déclarations et définitions de promesse. Le type d'un bundle est généralement le nom du composant auquel il est destiné. Le typage intervient sur la portée des classes et des traitements associés. Concrètement, un type common invoquera des classes globales au sens de la portée de la classe, un type server sera destiné... Et bien à notre cf-servd, le serveur -que nous appellerons aussi le policy host-, tandis que le type agent impliquera une utilisation locale des classes, et sera destiné à nos cf-agents -nos hosts. Il existe d'autres containers que le bundle, le body par exemple. Le body permet surtout d'organiser une série de paramétrages complexes sous une et une seule dénomination afin de faciliter son exploitation dans les divers bundles du fichier. Le nombre de body n'est pas limité, il est d'ailleurs recommandé d'en disposer plutôt que de lister toutes les variables, crûment, au sein du bundle en lui-même et de nuire ainsi à la lisibilité du fichier... Sans compter tout ce qui concerne la réutilisabilité du code... En logique, nous avons ça :

type:
classes::
"promiser"->{"promisee1","promisee2",...}
attribute_1=>value_1,
attribute_2=>value_2,
...
attribute_n=>value_n;

La promesse la plus simple est la suivante.

commands:
"/bin/echo Hello World";

commands est un type de promiser qui est défini par défaut dans Cfengine. Le promiser en lui-même ne constitue qu'une entité aux yeux de Cfengine, n'override pas les paramètres par défaut qui lui sont appliqués et n'en prend aucun. Et voici l'exemple illustrant le contenu d'un fichier /var/lib/cfengine/inputs/test.cf. L'association d'une variable avec sa valeur est faite via la syntaxe nomvariable => valeurs.

body common control {
bundlesequence => { "g", "tryclasse1", "tryclasse2" };
}

##
bundle common g {
classes:
"one" expression => "any" ;
}

##
bundle agent tryclasse1 {
classes:
"two" expression => "any" ;
}

##
bundle agent tryclasse2 {
classes:
"three" expression => "any";

reports:
one.three.!two::
"Success" ;
}

Ici, la classe one est globale à tout le fichier, alors que les two et three sont locales. Il en résulte que, dans le bundle tryclasse2, le report renvoie Success, car one est connue, three est connue, et two ne l'est pas. Toujours des détails, rien que ça, mais ça permet de mettre en lumière 2-3 éléments clés. Tout d'abord, la partie bundlesequence contenue dans la première déclaration, celle du body common control. C'est cette partie qui décide de l'enchainement des traitements. Ici, dans cet exemple succinct, nous demandons g, puis tryclasse1 et enfin tryclasse2. Il se trouve que c'est le même ordre dans lequel les classes sont déclarées, ne vous y trompez pas, la déclaration n'a aucun rapport avec l'ordre d'invocation. Seule la bundlesequence fait foi. Et c'est d'ailleurs pour ça que sa déclaration est en common. Common est le type de déclaration globale. Pour tester cette configuration, vous pouvez attaquer par un cf-promises -f pour la syntaxe et enchainer sur un cf-agent -f pour voir ce qui est vraiment fait.

[kbux@policyhost cfengine]# cf-promises -f /var/lib/cfengine/inputs/test0.cf
[kbux@policyhost cfengine]# cf-agent -f /var/lib/cfengine/inputs/test0.cf
R: Success

En un peu plus élaborée et demandant quelques argument, et nous avons :

bundle agent testbundle
{
files:
"/var/cfengine/inputs"

handle=>"update_policy",
depends_on=>"serve_updates",
perms=>system("600"),
copy_from=>mycopy("$(master_location)","$(policy_server)"),
depth_search=>recurse("inf"),
file_select=>input_files,
action=>immediate;
}

bundle server access_rules
{
access:
"/var/lib/cfengine/inputs"
admit=>{"192.168.0.*"};
}

body copy_from mycopy(from,server)
{
source=>"$(from)";
servers=>{"$(server)"};
copy_backup=>"true";
special_class::
purge=>"true";
}

Il est possible d'accéder aux variables définies au sein d'un bundle -soit dit en passant, si ce n'était pas le cas, où serait la fonctionnalité d'en disposer ?- pour peu qu'elles soient accessibles (mais si ! Rappelez-vous du scope des containers). Pour cela, la syntaxe rappelle celle du Java : nombundle.var. Nous n'en sommes toujours pas au niveau de ce que je vous avais promis, à savoir l'interaction et les traitements automatisés entre les hosts et le policy host (notre serveur Cfengine), mais nous n'en sommes pas loin. Comme je vous l'ai dit auparavant, Cfengine fonctionne sur un système de clé basé sur un modèle semblable à celui d'OpenSSH et mis en place par cf-keys. Ce qui implique donc la mise en place de l'infrastructure clé de Cfengine (vous savez, les copies des .pub sur le serveur et les hosts concernés), et naturellement, puisque Cfengine, par défaut, est imperméable aux sollicitations des nouvelles clés, un paramétrage plus fin des accès. Ca aussi, ça passe par des bundles de classe. Plus particulièrement, ces bundles étant destinés au serveur, leur typage lui aussi se distingue de ceux que nous avons vu jusqu'à présent : ils sont de type server. Le mécanisme doit passer plusieurs étapes. Tout d'abord, l'authentification.

body server control
{
allowconnects=>{"127.0.0.1","::1" ...etc };
allowallconnects=>{"127.0.0.1","::1" ...etc };
trustkeysfrom=>{"127.0.0.1","::1" ...etc };
}

Vos armes pour tester l'authentification sont principalement cf-agent -v et cf-servd -v. Éventuellement, vous pouvez passer en mode debug avec -d2. N'oubliez pas que vous devez enlever le trustkeysfrom de l'hôte qui a fini avec succès l'échange de clé. En effet, une fois la transmission acceptée, la déclaration de cet hôte à cet endroit n'a plus aucun intérêt. Petit point intéressant, si vous mettez en place sur une architecture conséquente, ça serait long de devoir se taper toutes les IPs à la main. On peut donc mettre, au lieu de notre trustkeysfrom un petit trustkey=>"true", ce qui aurait pour conséquence d'accepter toutes les sollicitations d'échange, et d'enregistrer toutes les clés associées. Avec tout ce que cela peut impliquer. Donc à faire sur un réseau safe et surtout de penser à le désactiver une fois tous les hosts enregistrées, car cela peut être dangereux. Ensuite, une fois que l'accès est ok, il vous faut spécifier qui a accès à quoi.

bundle server access_rules()
{
access:
"/var/lib/cfengine"
admit=>{"127.0.0.1","192.168.0.*"},
deny=>{"172\..*"};
}

Au final, votre configuration de serveur pourra éventuellement ressembler à ça :

#######################################################
# Server configuration
#######################################################
bundle server access_rules()
{
access:
"/var/lib/cfengine"
admit => { "127.0.0.1", "192.168.0.*" };
# Rule for cf-runagent
"/home/kbux/.cfagent/bin/cf-agent"
admit => { "127.0.0.1" };

# New in cf3 - RBAC with cf-runagent
roles:
".*" authorize => { "kbux" };
}

Il vous faut également, en plus du server.cf et du promises.cf, notre fameux update.cf qui donnera le ton aux cf-agents distants et un failsafe.cf. L'update.cf devra être le plus stable possible dans le temps, ne jamais le modifier serait l'idéal. Dans le cas où vous êtes amené à le modifier, faites en sorte de vérifier qu'il fonctionne correctement. L'officiel met à disposition cette matrice d'update.cf. A vous de jouer !

#######################################################
#
# update.cf
#
#######################################################
bundle agent update
{
files:
"/var/cfengine/inputs"
perms => system("600"),
copy_from => mycopy("/home/mark/cfengine-inputs","localhost"),
depth_search => recurse("inf");
"/var/cfengine/bin"
perms => system("700"),
copy_from => mycopy("/usr/local/sbin","localhost"),
file_select => cf3_files,
depth_search => recurse("inf");
}
############################################
body perms system(p)
{
mode => "$(p)";
}
############################################
Chapter 4: A complete conguration 51
body file_select cf3_files
{
leaf_name => { "cf-.*" };
file_result => "leaf_name";
}
#########################################################
body copy_from mycopy(from,server)
{
source => "$(from)";
compare => "digest";
}

Le failsafe.cf, quant à lui, est destiné aux cas où Cfengine n'arrive pas à lire votre configuration principale. C'est votre porte de sortie, notamment lorsqu'une migration ne s'est pas exactement passée comme prévue. Lui aussi devra subir aussi peu de changements que possible, et être testé très sérieusement pour éviter justement de ne pas vous en sortir en cas de pépin. Je vous donne également la matrice officielle du fichier.

#######################################################
#
# failsafe.cf
#
#######################################################
body common control
{
bundlesequence => { "update" };
}
#########################################################
bundle agent update
{
files:
"/var/cfengine/inputs"
perms => system,
copy_from => mycopy("/home/mark/cfengine-inputs","localhost"),
file_select => cf3_files,
depth_search => recurse("inf");
"/var/cfengine/bin"
perms => system,
copy_from => mycopy("/usr/local/sbin","localhost"),
file_select => cf3_files,
depth_search => recurse("inf");
}
#########################################################
body perms system
{
mode => "0700";
}
#########################################################
body depth_search recurse(d)
{
depth => "$(d)";
}
############################################
body file_select cf3_files
{
leaf_name => { "cf-.*" };
file_result => "leaf_name";
}
#########################################################
body copy_from mycopy(from,server)
{
source => "$(from)";
servers => { "$(server)" , "failover.domain.tld" };
#copy_backup => "true";
#trustkey => "true";
encrypt => "true";
}

Voilà. Normalement, vous êtes parés niveau configuration. Il ne vous reste plus qu'à tester, piocher sur les expressions régulières et les détails de variables, à savoir les listes, les scalaires, etc, etc, et vous serez vite enclin à adopter la solution. Allez-y doucement tout de même et n'oubliez pas d'exclure votre policy host des hosts qui doivent mettre leurs configurations à jour. Vous pouvez retrouver des ensembles consistants de fichier de configuration directement en lisant les documents officiels.

3408494K

Nos amis les Filesystems… Part II (suite et fin)

K-TUX — Tue, 05 Jan 2010 14:16:52 +0000

Tout d'abord, BONNE ANNEE à tous les courageux qui ont réussi à se convaincre de reprendre le boulot sur leur site de travail -car maintenant, avec tous les moyens qu'il existe, il est largement possible de skipper l'implication physique, avec tout ce qu'elle entraîne, tout gardant la charge et la pleine responsabilité de l'infrastructure-. Donc nous voila de retour sur les filesystems pour continuer -et éventuellement finir, tout dépend de ce qui vous reste en motivation le sujet. Pour rappeler le contexte, ceci n'est qu'un épluchage de filesystems échantillonnés au hasard des rencontres, le tout rangé comme il faut dans les catégories qui vont bien. Si vous êtes curieux des épisodes précédents mais que le scroll down est trop pénible (je comprends, je comprends), vous pouvez juste placer votre souris sur le lien <- ici et vous laisser transporter dans la première partie de cet article ! Rapidement, nous nous sommes pluché les généralités, l'architecture logique, les classiques et les extensibles / haute disponibilités... Non, je n'ai pas prévu les apéritifs... Mais si vous avez faim, on attaque ! Les réseaux. A l'heure de la communication et des flux de données, il aurait été inconcevable de ne pas mentionner les systèmes de fichier distants. En effet, il est possible d'exporter un système de fichier et de le rendre accessible par plusieurs machines. L'avantage concerne notamment le fameux "Zero Conf", et donc la possibilité d'être complètement -ou presque- indépendant de la machine que l'on utilise. Cela permet aussi de beaucoup mieux contrôler, sécuriser les accès et les droits sur ce système de fichiers, de centraliser les traitements et d'apporter une certaine robustesse et une certaine portabilité. Le plus connu est NFS (Network File System). Il existe à l'heure où j'écris ces lignes, 2 versions qui sont exclusives l'une de l'autre, la version 3 et la version 4. La version 4 est celle désormais supportée par défaut. NFS fonctionne comme un export de répertoire, qui peut être fait de manière lâche ou en contraignant les accès. Les machines autorisées peuvent alors, de manière manuelle ou automatique, monter ces répertoires, en lecture, en écriture et/ou exécution et les utiliser comme s'ils faisaient partie intégrantes de leur filesystem local. Si l'on veut savoir de quoi il en retourne, il suffit alors de lancer un netstat, un rpcinfo -p, un nmap ou un nfsstat sur les machines impliquées. Globalement, les différences entre NFSv3 et NFSv4 tiennent à une réécriture du code pour optimisation et améliorations. Elles concernent notamment :

une gestion plus poussée de la sécurité, - support de techniques comme Kerberos, - réduction des ports à ouvrir sur un firewall (plus d'UDP, on passe de 4 ports à 1, 2049:tcp)
une gestion de cache plus poussée,
une compatibilité pour les clients non Unix-like (donc Windows, via SFU, Services For Unix) ,
une administration facilité (en terme de réplication, de migration,...),
la gestion du crash recovery (client comme serveur)...

NFSv4 est statefull (il gère les états, ce qui n'était pas le cas de NFSv3), utilise la notion de répertoires virtuels, et supporte IPv6 côté client. L'unique port auquel il s'adresse est le 2049:tcp. Il est bien sûr tout à fait possible de migrer de NFSv3 à NFSv4. Et pour ceux que cela intéresse, un petit lien sur les benchmarks réalisés sur les 2 versions et des infos sur la bête en question ! Effectivement, NFS est bien visible, beaucoup utilisé, mais il existe d'autres filesystems dans cette catégorie, comme SAMBA, qui présente l'avantage d'être accessible nativement par Windows et par Mac OS X. En effet, à l'heure actuelle, aucun support n'a été intégré au nouveau noyau de Mac concernant la prise en charge d'NFSv4. Bien entendu, un courageux développeur a bien tenté de créer un module pour pallier au manque -d'autant plus éprouvant qu'NFSv4 est maintenant devenu standard sous Linux- mais le résultat est aléatoire et peut sans problème et à répétition, faire planter outrageusement Mac OS X. Le module est accessible ici. Les outils et fichiers importants :

nfs-common et nfs-kernel-server : les packages respectivement pour le client et le serveur et pour le serveur,
/etc/exports : le fichier de paramétrage d'export et de contrôle d'accès des fichiers accessibles via NFS,
/etc/default/nfs-kernel-server et /etc/default/nfs-common : fichiers de configuration globaux
/etc/fstab : notre fichier de montage automatique au démarrage,
mount -t nfs : notre outil de montage manuel.

Les systèmes répartis.

Gros gibier. Eh oui, les clusters ont, eux-aussi, droit à leur catégorie puisqu'il existe des systèmes de fichiers conçus exprès pour eux. PVFS (Parallel Virtual FileSystem) est l'un d'eux. PVFS, comme son nom l'indique, s'adresse aux clusters destinés à faire tourner des traitements en parallèle. Il a été conçu pour optimiser les flux d'information transitant entre les nœuds du cluster. Ses principaux objectifs sont :

d'offrir une large capacité concernant les accès concurrents de multiples processes sur un même espace,
supporter plusieurs API (UNIX/POSIX IO, MPI I/O, PVFS I/O,...) et d'être Unix command-compliant (ls, cp, rm,...)
offrir robustesse et scalabilité tout en restant accessible à l'utilisateur.

PVS est en réalité composé d'un set de daemons et de librairies, liés aux nodes suivant des rôles qui leur sont attribué par l'administrateur (donc vous). Il en existe 3 : compute, IO et management, certains peuvent même se cumuler. Grâce à l'attribution de ces rôles, il devient possible de découper les responsabilités attribuées à un filesystem orienté parallel computing sur plusieurs nodes et donc mieux gérer les accès aux ressources et par là même d'optimiser les performance du système. Pour schématiser, c'est au rôle de Manager que reviennent les charges de contrôle des permissions d'accès et la maintenance des métadonnées et de l'organisation logique des éléments du filesystem. Les IO nodes, quant à eux, ont pour tâche de fournir l'accès aux données et de se corréler pour gérer les accès concurrents. Les Compute nodes sont à la base des requêtes d'accès, de création et de modification des données, communiquent directement avec les IO nodes et sont donc encadrés en amont par les Management nodes au moment de la vérification des permissions d'accès, de lecture, d'écriture, d'exécution, et toute autre modification comme une copie ou un effacement de fichier. Ce sont eux qui font tourner les processes à proprement parler. On notera que PVFS est très user-friendly, compatible, scalable à souhait et permet d'atteindre de haute performances concernant les applications IO intensives (parallèles comme distribuées) mais qu'en revanche, il ne fournit aucun mécanisme de recovery en cas de crash de node, et la redondance de donnée n'est pas présente. Il est également soumis aux limitations de TCP (nombre de socket ouvertes simultanément, surchage du trafic,...) et celles des filesystems Linux en général (taille de fichier <= 2Gb). Son module de compatibilité d'API UNIX/POSIX pose un problème de support des différentes versions de glibc. Enfin, le modèle de sécurité fourni par PVFS est plutôt basique (aucune restriction sur les connexions client, pas d'encryption des données, aucune vérification d'authenticité sur l'identité des clients, comme pour NFS, les clients et les informations qu'ils transmettent (UID) sont considérés comme fiables), ce qui le destine à des clusters confinés dans un réseau sécurisé. Il faut tout de même dire que PVFS est encore en évolution, et quelques améliorations sont d'ores et déjà annoncées. Pour les liens, ça se passe par ici et par là ! Sachez que les principaux rivaux à PVFS se nomment GFS (Global FileSystem), MFS (Mosix FileSystem), Coda, Intermezzo, et Lustre. La discussion sur les différences inhérentes à ces filesystems représente un vaste débat dans lequel je n'entrerais pas, pour la simple et bonne raison que d'une part je ne les ai pas mis en pratique, et d'autre part, comme on dit, c'est le contexte qui choisit sa solution. Je vous laisse donc potasser joyeusement, du moins si le cœur vous en dit... Les encryptés. Nous en arrivons à nous demander si, par rapport à toute cette histoire d'accès aux données, de confiance implicite accordée au client et de tout ce que l'on entend à la radio, vandalisme, blackmailing, trafic de données et espionnage industriel, si nos données à nous, locales, notre filesystem, si lui est sécurisé contre les intrusions... Ou pas... Tout d'abord, vous devez absolument savoir que des lois s'étendent sur le sujet, notamment parce que l'absolue imperméabilité des échanges pourrait servir des desseins terroristes, des machinations, des pushs, bref l'autorité n'est pas tranquille. Cette anticipation amène donc à de drôles de restrictions au niveau de l'encodage des données. Les solutions Linux. Il y a plusieurs manières de faire le boulot sous Linux, surtout depuis le noyau 2.6. Dans un premier temps déjà, au niveau de l'installation, la plupart des distributions vous demande si vous désirez crypter vos données (Ubuntu 9.10 : "le mot de passe est requis pour ouvrir une session et déchiffrer mon dossier personnel", Fedora : "Encrypt System || Encrypt", ...). L'avantage d'opérer la manip' à ce niveau est surtout que vous n'aurez pas à passer par des sauvegardes pour migrer d'un espace non encrypté à un qui l'est. Par ce que, oui, il n'y a pas de recette miracle : lorsque vous devez faire en sorte que telle ou telle partition doit encryptées, les données existantes sont écrasées. L'inconvénient est qu'en fait, les opérations d'encryption réalisées à ce moment-là nous sont complètement cachées, impossible de savoir précisément ce qui se trame, et surtout ce qu'il y a dessous cette "encryption". S'il n'a pas jugé opportun de procéder à l'encryption du filesystem à l'installation, ou si les données ont changé (nouveau disque tout beau, PSSI renforcée, syndrome de paranoïa aigüe, ...), alors Linux, depuis le noyau 2.6, met à disposition nativement une API de cryptographie (CryptoAPI) qui centralise les traitements et ce, quelque soit le choix de l'outil qui fera le sale boulot. Notons également que certaines distributions (les *BSD par exemple) proposent un panel d'outils supplémentaire. Parmi les outils et les mécanismes disponibles, il est nécessaire de cerner le besoin : a-t-on besoin d'une granularité fine sur les répertoires et fichiers, ou nous arrêtons-nous aux partitions ? En effet, il est possible de gérer l'encryption de manière totale, c'est-à-dire que tout le disque est encrypté, y compris les outils qui permettent justement d'encrypter et de décrypter, c'est ce que l'on appelle le Full Disk Encryption. Généralement, ce type de fonctionnement implique une déclaration statique de l'espace à encrypter, qui est fixe et ne peut être alloué dynamiquement, par exemple lors du rajout d'un disque, du moins sans avoir préalablement renouvelé la démarche de déclaration et d'encryption. Ce type d'encryption englobant la totalité du support, cela permet d'éviter tout leaking d'information, notamment au niveau swap, malheureusement, il est parfois impossible de paramétrer l'encryption plus finement au niveau des répertoires. Parmi les grands noms impliqués, dm-crypt et LUKS (Linux Unified Key Setup) figurent dans le top ten. Remarquez, c'est normal, on les trouve souvent ensembles, ces deux-là. N'hésitez pas à mettre les mains dans le cambouillis ! Les dm-Crypt, par ici et ici ! Les LUKS, là et là (pour les RedHat) ! A contrario, l'encryption peut être gérée en elle-même par le filesystem, et donc nous ne trouvons plus face à la nécessité d'allouer et de crypter explicitement avant d'écrire sur l'espace. L'encryption est alors faite à la volée (on the fly). Ce mode apporte une certaine souplesse mais en revanche, il laisse des traces au niveau swap et les traitements intermédiaires ne sont pas adaptés à une large sollicitation des accès disques. C'est ce que l'on appelle communément un Filesystem-Level Encryption. On peut citer, par exemple, dm-Crypt avec ou sans LUKS (et oui, qui peut le plus peut souvent le moins), Truecrypt, CryptFS, Enc-FS, Loop-AES, ... Il est intéressant que certains des outils fonctionnent en UserSpace grâce à notre bon vieux FUSE, et ne nécessitent souvent pas de root access pour être mis en place. Si vous décidez de ce type d'encryption, CryptoAPI est votre ami. Enfin, on peut se pencher uniquement sur certains fichiers, et on bascule sur le cryptage manuel via des certificats numériques. Si vous avez besoin de plus de détails concernant les généralités des 3 niveaux d'encryption, vous pouvez trouver une masse conséquente de savoir ici ! Les solutions *BSD. En ce qui concerne les solutions *BSD, il vous arrivera d'entendre 2 noms : CDG pour FreeBSD et GELI pour NetBSD. Vous vous posez sûrement la question, vous qui ne faîtes pas partie des troupes *BSD, en quoi ces 2 OS sont-ils différents ? Pour répondre à cette question qui abrite beaucoup de trolls et qui sort complètement du scope de l'article, vous pouvez vous référer aux sites officiels, de les tester, tout simplement, ou si vous n'avez ni le temps ni la patience pour l'une ou l'autre solution proposée, vous pouvez toujours couper court en lisant l'article de Comment ça marche. CDG se compose d'une couche d'abstraction supplémentaire qui se situe en dessous du buffer cache, cette position lui permettant de faire abstraction du système de fichier employé, de ce qu'il encrypte et décrypte (swap, disque, ...) et d'une partie user utility, située dans le UserSpace. Il a été conçu et optimisé pour les machines destinées à une seule personne ou pour les supports de stockage amovibles et encrypte entièrement les partitions. Il est portable sur toute autre version dérivée de BSD et il est nécessaire d'activer son support à la création du kernel. Techniquement parlant, CDG, via son outil de configuration en UserSpace, supporte et met à disposition différentes méthodes de cryptage, afin que l'utilisateur ne soit pas tenu à une technologie et qu'il puisse adapter CDG à son niveau de besoin. La partie située dans le kernel, sous le buffer cache, se contente, elle, d'encrypter les données, ce qui lui permet d'être plus réactive, mais de fait, l'encryption par utilisateur n'est pas possible. Pour les détails techniques, rendez-vous sur le chapitre dédié. GELI (GEOM_ELI de son petit nom) demande également l'activation de son support avant recompilation du kernel car il n'est pas intégré nativement dans NetBSD. GELi est en fait la combinaison de 2 outils. Le premier outil, GEOM, s'occupe de gérer les disques (labels BSD, MBR, ...) et qui sert souvent de base pour la mise en place de RAID. Dans le cas de l'encryption, GEOM sert également de base pour GBDE (Geom Based Disk Encryption). GELI, quant à lui, s'occupe de la partie encryption en elle-même. Le reste est librement consultable ici ! Pour ceux qui voudraient même aller plus loin, vous pouvez lire l'excellente poussée Unix Garden. On trouve de la même façon des solutions dites "cross plateform", c'est-à-dire qui fonctionnent sous importe quel OS. Amis Windowsien, voici pour toi. Parce qu'il est vrai que jusqu'à présent, nous avons parlé de solutions exclusivement Linux, pour autant, il en existe pour Windows -EFS, FreeOTFE- et pour les deux -BestCrypt, TrueCrypt-. Si vous êtes intéressés, vous pouvez aller faire un petit tour sur les sites officiels. BestCrypt a aussi un article pour lui tout seul dans Linux Journal. Notre "rapide" tour d'horizon s'achève sur ces mots. Oui, promis, plus jamais aussi basique. Plus court aussi. Je note dans mes bonnes résolutions. Par contre, pour ceux qui ont décroché -et donc qui ne sont sûrement plus en train de lire ces lignes-, vous pouvez noter dans les vôtres plus d'endurance ! Après tout, c'est bien beau les tutos et autres, mais faut aussi savoir ce que l'on fait. Et pour cela, 4 lettres bénites : RTFM. Sur ce ! Paix et longue vie à vos serveurs critiques (et aux autres aussi) !

Nos amis les Filesystems… Part I

K-TUX — Fri, 11 Dec 2009 07:51:50 +0000

Bonjour readers et readeuses acharnés. Aujourd'hui, nous allons parler des différents système de fichiers -Filesystem, pour briller en société- qui font la richesse et la pluridisciplinarité de Linux, et comme il y en a beaucoup et de toutes sortes, nous allons découper ça bien propre en plusieurs parties. Utilisateur Windows, ne t'inquiète pas ! Ton heure viendra, mais pas tout de suite quand même, parce que, même avec Windows 7 (dites Séveuuun), il y a encore un petit bout de chemin à faire. Avertissement pour les puristes de la technique : Cette note est tournée grand public et la mise en œuvre des techniques décrites ci-dessous ne sera pas détaillée, même si quelques liens propices vous guideront vers des howtos bien ficelés. Petites généralités. Selon notre ami Wikipédia, un système de fichier est un ensemble structuré qui permet d'organiser, de localiser, d'accéder et de maintenir des données. Le tout sur un support persistant, c'est-à-dire qui gardera les informations en l'état à l'extinction de la machine. Le plus communément, c'est donc sur votre (vos ?) disque(s) dur(s) que vous retrouverez vos fichiers. Afin de pouvoir maintenir toutes ces informations, le système de fichier crée lui-même d'autres informations, relatives, elles, aux fichiers en eux-même. C'est ce que l'on appelle des métadonnées. Sous Linux, ce sont les inodes qui contiennent ces métadonnées. Les inodes sont des structures de données contenant toutes les informations utiles d'un fichier, permissions comprises. Elles sont liées aux fichiers par une autre structure de données, le dentry. Les fichiers, les inodes et les dentries sont contenus dans ce que l'on appelle le superblock, entité qui est chargée de la maintenance et de la gestion de la structure de donnée. Il contient le nom du filesystem (par exemple ext4), sa taille, son état, des métadonnées et une référence aux bloc devices. Le superbloc est la racine du filesystem. Pour votre curiosité, Windows, lui, stocke directement ces métadonnées dans le fichier lui-même. De visu, le système de fichier se présente comme une arborescence de répertoires dont la racine est /:

/bin /boot /dev /etc /home /lib /lib64 /lost+found /media /mnt /opt /proc /root /sbin /tmp /usr /var

Ce que vous ne voyez pas, mais que vous avez pu rencontrer si vous avez, par curiosité ou par science, partitionné votre disque manuellement, c'est la swap.

La swap est en fait une petite partie du disque réservée à la mémoire. Du fait qu'elle soit située sur le disque, elle est beaucoup plus lente d'accès que la mémoire vive en elle-même, mais elle présente un avantage dans le cas où vous êtes submergé par une occupation excessive de la mémoire vive par un ou plusieurs processus. Dans ce cas, au lieu de vous bloquer définitivement pour cause de pénurie de RAM, on utilise la swap. Une règle de pouce consiste à créer une swap de taille égale à la quantité de RAM présente sur la machine.

Organisation logique.

Mais revenons-en à nos moutons. Vous vous doutez bien qu'avec la quantité et la diversité des médias existants en ce bas-monde, le système de fichier Linux ne peut raisonnablement pas être livré tel quel, figé sur une implémentation pure et dure qui serait relative à un et un seul type de média, ni être décliné pour chacun des médias existant sur cette petite planète. D'une part parce qu'il en existe vraiment beaucoup, et d'autre part parce que cela nécessiterait de faire massivement évoluer le code lors d'une évolution de média. Bref, pas du tout portable, aucune scalabilité, le cauchemar. Il en est tout autrement. User-Space, Kernel-Space.

En effet, le système de fichier Linux distingue 2 couches abstraites. Pourquoi ? Et bien pour séparer les traitements effectués par le système de fichier des manipulations de device à proprement parler.

Le schéma parle de lui-même. Nous pouvons donc voir que toutes les interactions avec le User-Space (autrement dit, tout ce qui touche à l'environnement utilisateur) passe par l'interface SYSTEM CALL, Kernel-Space qui, elle-même, devra s'adresser à un système de fichier virtuel (VFS) pour que ses traitements soient effectués à proprement dit. VFS abstrait les interfaces qui lui viennent d'un export de l'individual filesystem. Il gère également les informations concernant les filesystems supportés et ceux actuellement montés (oui, promis, j'expliquerais "monter"). Individual Filesystem, à l'origine de l'export des interfaces, fonctionnera très différemment selon le filesystem choisi (ext2, ext3, JFS, ...). Des caches sont présents à différent niveau afin d'optimiser le temps de traitement (Inode cache, Directory cache, Buffer cache). Ok, je sens que je vais un peu loin alors je vais arrêter là. Pour ceux qui en veulent plus, n'hésitez plus, allez farmer un peu sur le Net. Les types de filesystem. Les classiques. Lorsque vous installez votre Linux, sachez que vous avez la possibilité de choisir votre filesystem, et de le partitionner vous-même (c'est-à-dire le scinder en morceau de disque). Par défaut, Linux, dans ses versions récentes, installera votre filesystem sous ext4 -Extended FileSystem- (Ubuntu Karmic Koala, Fedora 12 Constantine, ...). Mais comme cela est si bien dit dans les notes d'Ubuntu, cela ne signifie pas que les autres filesystems ne sont plus supportés. Il existe en effet, historiquement, d'autres versions d'ext : ext2, ext3 sont les plus souvent rencontrées (au-delà, votre serveur est vraiment vieux). Ah. Question au fond. La différence ? Entre ? AAAH !!! Déjà, entre ext2 et ext3, nous avons principalement une différence au niveau de la journalisation. En effet, ext2 est un des dinosaures de Linux. Il était certes plus intelligent que le FAT de Windows, en ce sens qu'il organisait les fichiers et donc limitait le recours à la fragmentation, mais il restait perfectible. Vous en avez révé ? Ext3 l'a fait ! La journalisation sert essentiellement à maintenir la cohérence des métadonnées, notamment en cas de crash. Cela évite par exemple le gentil fsck de ext2 lorsque le système a subi un arrêt impromptu. Le système relit tranquillement son fichier de log, retrace les dernières transactions non commitées et remet d'aplomb un système sain en 2 temps trois mouvements. Hop, ne soyons pas radin, un peu de doc vous fera du bien ! Ext3 et Ext4, c'est une autre histoire. Ext4 est une évolution puisqu'étant encore attaché à la compatibilité descendante, il reste limité dans ses mouvements. Ext4 oriente la majorité de son travail sur les problèmes de tailles et de fragmentation. Hop, moment opportun pour un petit lien d'info sur Linuxfr.org et sur le Wiki officiel Ext4. Ext3 et Ext4 sont principalement utilisés, ce sont eux qui supportent votre Linux. Ils peuvent travailler sur disques durs, sur volumes logiques, sur partition raid, toussa toussa, sans broncher (ou si peu). Les outils et fichier impliqués font partie du noyau Linux depuis belle lurette, ce sont, entre autre :

fdisk : permet de manipuler / voir / gérer les partitions,
mkfs.ext2 ou mkfs.ext3 : créer le système de fichier (respectivement ext2 ou ext3),
fsck : monitorer et réparer votre système de fichier,
resize2fs : redimensionner le filesystem,
mount : "monter", c'est-à-dire rendre accessible en lecture (et, pourquoi pas, en écriture-exécution) un système de fichier,
/etc/fstab : fichier de configuration pour les montages automatiques au démarrage des différents filesystems. Par défaut, votre filesystem est déjà monté et inscrit dans ce fichier.

Les extensibles et les hautes disponibilités. Lorsque l'on donne, dans son immense bonté, vie à une machine Linux, elle a, comme tout être vivant, un cycle de vie. Parce que oui, dans un contexte généralisé, votre machine aussi a besoin de grandir, en terme de composant, de performances, de service et d'espace. Il existe plusieurs moyens permettant de construire et d'étendre un système de fichier. Certaines approches nécessitent un travail de réflexion en amont, à savoir si réellement on a besoin de rajouter de l'espace, si ce doit être opérationnel sans avoir à réinstaller, rapidement, de manière modulaire, si il y a une forte contrainte de temps et de disponibilité,... Bref, plus on veut, plus fallait réfléchir avant. De même, souhaitons-nous recourir à des outils qui ont fait leurs preuves depuis des années, des solutions toutes packagées, principalement hardware, ou bien préférerons-nous les versions plus intelligentes, plus intuitives, plus modulables ? Les alternatives sont nombreuses, et je ne les maîtrise pas toutes. RAID. Voilà le premier point qu'il vous vient à l'esprit. Un RAID (Redundant Array of Inexpensive Disks) est une agrégation de device de stockage qui permet d'avoir une tolérance aux éventuels accidents (panne, crash d'un disque dur,...) et qui améliore les performances d'accès aux données. En effet, composé de plusieurs disques, cela lui permet d'une part d'étaler les données sur l'ensemble des disques, mais en plus, et c'est vital, de rajouter des brides d'information concernant ces données tour à tour sur chacun des disques (RAID 5). Ces bribes d'information (bits de parité) sont stockés dans des stripes et servent à contrôler les données ajoutées et, au besoin, de les reconstruire. En conséquence, puisque ces données sont éclatées sur plusieurs disques, les temps d'accès en lecture et en écriture sont grandement améliorés. Notre ami Wiki est toujours là pour vous. Construire un RAID -logiciel, j'entends, puisqu'il n'y a jamais assez de moyens pour le tout packagé et qu'on est curieux de savoir ce qu'il y a sous le capot-, et surtout le maintenir, ce n'est pas de tout repos. Dans la meilleure des configurations, il vous faut n fois le même genre de disque dur (capacité, mémoire cache, vitesse, connectique), sinon le bonus de capacité qu'un disque pourrait avoir sur les autres sera jeté aux oubliettes. Il vous faut aussi, de préférence (mais c'est comme dans la vraie vie, tout est une histoire de bon matériel au bon moment) des disques en spare, histoire que vous ne soyez pas en position malheureuse si un autre "incident" survenait. De même, en cas de fail d'une unité du raid, la reconstruction des données peut prendre du temps. Le RAID est une bonne solution concernant la scalabilité et la haute disponibilité, mais ce n'est pas un système de fichier, c'est une technologie. Vos meilleurs amis seront :

mdadm : monitorer, créer, gérer le raid,
mkraid : créer un raid,
lsraid : lister les composants du (des) raid(s),
raidhotadd : ajout à chaud de volume dans le raid,
raidsetfaulty : forcer la sortie d'une volume en le mettant en faulty,
raidstop, raidstart,...
mknod : créer un fichier spécial block ou character
/etc/raidtab : fichier de configuration d'un raid (optionnel)
/proc/mdstat : fichier monitorant l'état du raid (pensez à watch pour le visionner en temps réel),
/var/log/messages : log système,
tous les outils gérant le filesystem sous-jacent.

Resté sur votre faim ? Par ici ! Une autre façon de faire serait de passer par LVM (Logical Volume Manager). La principale différence entre RAID et LVM, c'est que justement LVM n'est pas un RAID. LVM ne travaille pas directement sur les disques, mais sur des entités appelées Logical Volumes, crées, maintenus et gérés par tout un arsenal d'outil rattachés au package lvm2. LVM apporte donc un niveau d'abstraction supplémentaire qui permet à vous, utilisateur et administrateur, de pouvoir redimensionner, créer, supprimer, étendre,... vos partitions sans avoir à vous soucier du hardware en dessous. Plus en détail, LVM décompose le disque dur en pv, physical volumes, qu'il regroupe au sein d'un vg, Volume Group, et sur lequel il crée un lv, Logical Volume. C'est sur le Logical Volume que le filesystem s'installe, donc "quelque part" sur le Volume Group. Il est vraiment très facile d'étendre et de shrinker (réduire) l'espace disque. LVM est très stable, éprouvé en production, modulable à souhait, un brin plus souple que le RAID, et plus que propice à la scalabilité mais en revanche, il n'aide pas niveau haute-disponibilité. Il est cependant possible d'utiliser LVM sur un RAID pour ajouter les avantages du RAID -et ses inconvénients par la même occasion- à ceux de LVM. Les outils qui vous aideront :

lvm2 : le package de référence,
pv{change||ck||create||display||move||remove||resize||display||scan||s} : gestion des physical volumes (par exemple, pvcreate /dev/sda2),
vg{cfgbackup||cfgrestore||change||ck||convert||create||display||export||extend||import ||merge||mknodes||reduce||remove||rename||s||scan||split} : gestion des volume groups,
lv{change||convert||create||display||extend||reduce||remove||rename||resize||s||scan} : gestion des logical volumes,
lvm{||change||diskscan||dump||sadc||sar} : gestion lvm.

Si vous voulez en venir aux mains, faites. Le dernier point que je souhaiterais voir avec vous au niveau des extensibles et hautement disponibles, se cache sous trois lettres : ZFS. ZFS, contrairement aux deux autres points, est un filesystem à part entière, il ne s'agit donc pas d'un outil. Zeta Filesystem, de son petit nom, a été développé par Sun. Ce système de fichier présente des caractéristiques très particulières mais n'est pas intégré au noyau Linux pour une raison simple : la licence sous lequel il est distribué (CDDL) est incompatible avec GPL dans sa version 2. Mais là encore, grâce à Ricardo Correia, développeur, nous pouvons utiliser ZFS via fuse (filesystem in userspace), environnement qui met à disposition, comme son nom l'indique, les fonctionnalités des filesystems dans l'espace User. ZFS constitue un peu le fantasme de tout administrateur système. Il fait en sorte d'être toujours cohérent. Oui. Vous avez bien entendu. Il se corrige tout seul. Cette citation à elle seule, comme ça, sans preuve peut choquer. De même, il fournit une très haute capacité de stockage (nettement plus haute que tous les autres filesystems d'après notre ami Wiki). Voyons comment tout ça fonctionne. Eh bien ZFS nous rappelle un peu le fonctionnement de LVM. En effet, notre filesystem s'appuie en réalité sur des pools de stockage. Les pools permettent, comme on l'a vu précédemment, d'éviter de se soucier du hardware, partionnement compris. Dans ZFS, ils sont utilisés pour centraliser les IO (entrées-sorties) et comme lien entre les différents périphériques de stockage. Lorsqu'une donnée est destinée à être écrite sur un disque, elle passe par le pool, à ce moment-là, elle est vérifiée à la volée, dupliquée, puis stockée. ZFS dispose donc de tous les éléments nécessaires pour contrôler à n'importe quel moment la cohérence et la véracité des données et va même jusqu'à corriger la donnée corrompue sans que vous ayez à le lui demander. De la même manière, ZFS s'appuie sur du RAID Z, qui est un peu semblable à notre bon vieux RAID 5, à la différence que les stripes de données ont une largeur variable, de sorte que ZFS limite les pertes d'espace disque à leur origine. Si vous avez envie d'en savoir plus, jetez un coup d'oeil sur le site officiel, la doc officielle, et l'article d'Unix Garden sur sa mise en place. Sachez aussi que ZFS est présent nativement sous OpenSolaris, version Open Source de Solaris. Il existe beaucoup d'autres qui mériteraient d'être dans cette catégorie, mais j'arrêterais là. Sachez que je vous encourage à participer si vous estimez qu'il manque vraiment quelque chose. C'est tout pour la première partie et encore !!! Je suis loin d'être exhaustive, même en me cantonnant à Linux. Sur ce, potassez bien, farmez, complétez et n'oubliez pas de passer de Bonnes Fêtes -oui, un ASR aussi, ça se repose parfois- !!!