V Ústí nad Labem se už pátým rokem uskutečnila lokální konference Linux Meeting. Za pět let jste tu mohli vidět už 35 různých přednášek,
zahájil jako každý rok akci Ondřej Suchý ze společnosti Enlogit, která konferenci každým rokem pořádá. Suchý vysvětlil rozdělení konference na komunitní a firemní část. I lidé z akademické sféry by se měli seznamovat s komerčními technologiemi,
řekl a dodal, že většinu lidí přeci musí něco živit a bude jen dobře, pokud to bude právě Linux.
Milan Zelenka: Virtualizace KVM
První přednáška Milana Zelenky ze společnosti Enlogit se týkala virtualizačního rozhraní umístěného v jádře – KVM neboli Kernel-based Virtual Machine. Jedná se vlastně o modul, který ze standardního linuxového jádra udělá hypervisor,
vysvětlil na začátku Zelenka.
Přednáška dále vysvětlila rozdíl mezi paravirtualizací a plnou virtualizací. Milan Zelenka přitom srovnával především Xen a KVM. Zatímco Xen je určen především pro paravirtualizaci, KVM naopak nabízí plnou virtualizaci. To vyžaduje také podporu virtualizace na procesoru.
Přestože je KVM obvykle označován za plnou virtualizaci, některá specifická hardwarová zařízení mohou být použita jako při paravirtualizaci. Není tedy třeba emulovat třeba speciální síťovou kartu, ale virtualizovaný operační systém dokáže přímo přistupovat k fyzické kartě.
To přináší především výrazné snížení režie při náročných I/O operacích. Ovladače pro paravirtualizaci jsou k dispozici nejen pro Linux, ale také pro Windows. Ovladače pro Windows jsou navíc podepsány Microsoftem.
Další zajímavou technologií spojenou s KVM je Memory Page Sharing. Tu zajišťuje modul KSM, který vyhledává stejné stránky paměti v různých virtuálních strojích, které je pak dokážou sdílet a tím šetřit paměťový prostor. V reálu tak dokážete získat přibližně 150 % fyzického paměťového prostoru,
vysvětlil Zelenka.
Podle Zelenky je pro KVM velkou výhodou také jeho spojení s Linuxem. KVM například vůbec nemusí řešit Power Management nebo bezpečnost, to vše za něj spravuje Linux.
Zmíněna byla například podpora SELinuxu, LVM, Bonding a další vlastnosti, které už standardně Linux umí.
Společnost Red Hat se před časem rozhodla ve svých systémech virtualizaci změnit. U RHEL se teď přechází od technologie Xen právě ke KVM.
Od RHEL verze 5.4 je k dispozici kromě Xen také KVM. Od verze RHEL 6 se bude jednat o výchozí řešení, ačkoliv Red Hat bude Xen podporovat ještě do roku 2014. Instalace KVM do RHEL je velmi snadná, stačí doinstalovat jeden modul, používáte pořád certifikované jádro Red Hatu.
V případě Xenu bylo třeba startovat upravené jádro, pro které už neplatila certifikace. KVM je také modernější technologie než Xen, proto se Red Hat rozhodl pro přechod.
Naprostou novinkou mezi nástroji pro správu virtuálních strojů je balík Red Hat Enterprise Virtualization (RHEV). Součástí tohoto balíku je minimalistický hypervisor, správce pro servery a správce pro desktopy. Jedná se o naprostou novinku a probíhají první školení v Red Hatu, zatím ani my nemáme všechny informace o těchto nových produktech,
řekl Zelenka.
Roman Vaibar: High-performance computing na Linuxu
HPC je využití počítačů pro extrémně náročné úlohy,
zahájil přednášku Roman Vaibar. Zmínil například bio-lékařský výzkum, nanotechnologie, předpovědi počasí a další. Teoreticky by sem bylo možné zahrnout i gridová řešení používaná mezi uživateli internetu, ale to je úplně jiná kategorie.
Do té se řadí například projekt Boinc.
Obecně je možno jako superpočítač označit stroj, který obsahuje velké množství výkonných procesorů. Důležité je, že všechny procesory řídí jeden společný operační systém.
Z toho také plyne, že nelze dosáhnout lineárního nárůstu výkonu se zvyšováním počtu jader. Reálně se dosahuje 1,5 až 1,9 násobku výkonu při zdvojnásobení množství jader.
Proti tomu cluster je složen ze samostatných počítačů s vlastními operačními systémy, mezi které se úloha rozděluje. O clusterech se tvrdí, že u nich roste výkon lineárně. Není to ale pravda.
Podle Vaibara vždy nutně část výkonu spolkne režie, které navíc přibývá s tím, jak přibývá uzlů.
Clustery jsou extrémně náročné na správu a práce s nimi se diametrálně liší od práce s běžným počítačem. Roman Vaibar zmínil test diskového subsystému na jednom clusteru se 128 000 jádry. Při něm se jen na všech jádrech spustila malá aplikace, která měla zapsat „Hello world“na disky a ukončit se. Celý test se spouštěl pět hodin, zapsal 17 TB dat a úložiště zátěž nakonec nevydrželo a zhavarovalo.
Většina velkých clusterů je dnes postavena na linuxových operačních systémech. Podle Vaibara je to mezi 80 a 85 % počítačů z TOP500. Důvodů je několik: výkonnostní, ekonomický a samozřejmě licenční.
Proti tomu na MS Windows běží jen pět počítačů z žebříčku pěti set nejvýkonnějších počítačů světa. Je vidět, že je to úloha jako dělaná pro Linux.
V Česku je nejvýkonnějším HPC systémem stroj zvaný Amálka. Dnes už existuje pátá generace s celkovým výkonem 4 TFlops. První generace z roku 1998 měla jen osm procesorů a výkon v řádech MFlops. I poslední počítač z TOP500 je přibližně třikrát výkonnější než nejnovější česká Amálka,
povzdechl si Vaibar.
Roman Vaibar zmínil i některé hardwarové problémy, které je třeba řešit při stavbě opravdu velkého clusteru. Je třeba myslet nejen na napájení stovek tisíc procesorových jader, ale také především na kvalitní chlazení. Dvě třetiny příkonu takového clusteru spotřebuje právě systém chlazení. Obvykle se takové centrum staví společně s elektrárnou a nejlépe u vody,
vtipkoval na závěr přednášky Vaibar.
Jiří Hlinka: Dohledový systém
Jiří Hlinka ze společnosti Enlogit se zabýval dohledovým systémem postaveným nad open-source, který vyvíjí samotná společnost Enlogit. Ten nabízí více možností než samotný monitorovací systém, který dokáže jen upozorňovat na chyby. Pokud se jedná o služby, na kterých vám záleží, je to v podstatě nutnost,
zahájil přednášku Hlinka. Samotný monitor vám ale nedodá příliš mnoho informací třeba o historickém vývoji problémů.
Pokud byste měli k dispozici časově závislá data, mohli byste například předem plánovat nákup nového hardware.
Ke sledování takových rozšířených informací slouží takzvaný dohledový server. Monitorovat lze velké množství různých údajů. Můžete monitorovat jednak samotné virtuální servery, ale také různé jejich služby nebo fyzický hardware.
Sledovat je možné ale i podrobnější procesy probíhající ve vašich službách. Můžete třeba pravidelně odesílat mail a sledovat, zda proběhne doručení v pořádku.
Jedním z nejrozšířenějších open-source dohledových systémů je Nagios. Vyvíjí se přes deset let, takže má velkou podporu. Existuje pro něj velké množství různých skriptů.
Skripty je přitom možné psát v libovolném skriptovacím jazyce. Může to být PHP, C nebo i Bash.
Systém navíc nemusí jen pasivně monitorovat, ale v případě problémů může zkusit záchranné akce, jako například restarty postižených služeb.
Další součástí dohledového systému, který Jiří Hlinka popsal, byl systém Cacti. Ten dovoluje sledovat vývoj jednotlivých parametrů v čase. Můžete tak třeba sledovat tok na síti, zatížení procesorů, využití paměti nebo třeba Apache a MySQL. Díky tomu můžete zjistit, že vám některé služby na serveru zabírají více procesorového času než jiné. Můžete tak odhalit i další problémy.
Poslední součástí, které se Hlinka věnoval, byl RSyslogd. Jedná se o alternativu k syslogd, která umí přijímat logy ze vzdálených serverů. Je ideální k nasazení na centrální monitorovací server, kde může sbírat data z různých počítačů.
RSyslogd je už standardně nasazen v mnoha distribucích jako je Debian, Ubuntu, RHEL, Fedora a dalších.
David Pašek: Fibre Channel versus iSCSI
David Pašek ze společnosti Dell porovnal protokoly Fibre Channel a iSCSI, které se používají v oblasti úložných systémů také v linuxovém prostředí. Pašek začal svou přednášku technickými rozdíly obou řešení. Fibre Channel vyžaduje speciální hardwarový adaptér pro připojení k poli. Dnes se nejvíce prodávají 4Gb a 8Gb varianty. Už dlouho je tu 10 Gb, ale ten není zpětně kompatibilní a tak se příliš nepoužívá.
Velkým omylem je podle Paška tvrzení, že Fibre Channel běží pouze na optice. Fibre je protokol, který může běžet na různých kabelážích. Kromě optiky také na coaxialu nebo twisted pair kabelech.
Proti tomu iSCSI využívá standardní síťový hardware i software. Je možno dokonce disky připojit i do běžné sítě. To ale není doporučováno, obvykle se pro iSCSI buduje vlastní síťová infrastruktura.
K tomu se využívá běžný Ethernet, trendem je už nasazování 10Gb sítí. Storage je možno připojit přímo k serveru nebo skrze standardní switch.
Výrazný rozdíl je i v samotných protokolech. Fibre Channel balí SCSI protokoly do speciálního protokolu a zaručuje jeho doručení na druhou stranu. iSCSI proti tomu používá standardní TCP protokol a tak nedokáže vždy zajistit naprosto spolehlivý přenos. U TCP vždy data odešlete a doufáte, že dojdou na druhou stranu.
Co se týče výkonnostního porovnání, není jednoduché ověřit výkon pole v běžných podmínkách. Mnoho uživatelů, kteří si enterprise pole koupí, na něj zkusí na začátku nakopírovat data a diví se nízké propustnosti.
Pole se totiž podle Paška vždy chová jinak než lokální disk třeba v notebooku. Nemůže jednomu uživateli vydat celou svou přenosovou kapacitu, protože by se už nedostalo na ostatní. Výkon se tedy spravedlivě rozděluje.
Navíc se mnoho uživatelů ptá, proč pole nevyužívá plnou přenosovou kapacitu síťového spojení. Nejužším hrdlem ale dnes nebývá rozhraní. U gigabitu jsem schopen udělat stovky tisíc malých transakcí. Nejčastěji pak už zdržuje mechanika samotných disků.
Trendem u storage zařízení je konsolidovat veškerý provoz na Ethernetu. Každý admin zná Ethernet, je tedy logické, že chce vše provozovat na něm.
I Fibre Channel tak nově umí pracovat na Ethernetu, nepoužívá sice TCP, ale dokáže komunikovat po stejném standardním prostředí.
David Pašek se na konci své přednášky věnoval také budoucnosti Fibre Channelu a iSCSI. Ten kdo má dnes Fibre Channel, na něm ještě dlouho pojede. Je to stabilní a ověřené řešení.
Velcí hráči ale postupně zkoušení Fibre Channel over Ethernet. Malá prostředí do 100 serverů mohou v klidu využívat iSCSI. Vždy je třeba ale zvážit celkové náklady a zvolit správnou technologii. Každé prostředí je naprosto jiné.
Milan Zelenka: Astaro Security Gateway – bezpečnostní řešení
Poslední přednáškový blok patřil opět Milanu Zelenkovi, který ukázal možnosti bezpečnostní brány Astaro Security Gateway (ASG). Ta je postavená na Linuxu a je doplněná o proprietární bezpečnostní technologie. Jedná se de facto o linuxovou distribuci, kterou si můžete nainstalovat na jakýkoliv hardware.
ASG se skládá z několika různých součástí: Network Security, který řeší firewall, ochranu proti DoS útokům, intrusion detection filtr; Email Security kontrolující spam a viry; Web security, který zajišťuje filtrování obsahu webu.
Modul síťové bezpečnosti obsahuje rozsáhlou databázi osmi tisíc vzorků paketů, které by mohly být nebezpečné vůči počítačům uvnitř. Může se jednat například o různé červy nebo třeba útoky proti jednotlivým serverům.
Astaro pak dokáže v případě identifikace takového útoku spojení odříznout a tím chrání síť. Kromě toho jsou k dispozici další služby jako QoS, traffic shaping či policy routing. K dispozici jsou i technologie pro tvorbu různých VPN tunelů.
Astaro obsahuje také velmi pokročilý paketový filtr, který data filtruje na základě obsahů paketů, které mohou přicházet zevnitř či zvenčí. Blokování konkrétních protokolů je tak jednoduché a velmi efektivní. Software už nemůže firewall obejít jednoduše tím, že změní standardní komunikační porty. Astaro sleduje obsahy paketů a podle toho se rozhoduje, co s nimi.
Stejně tak modul pro sledování elektronické pošty má velmi mnoho různých možností. Je možno sledovat jak příchozí, tak i odchozí poštu.
Hlídat je možné viry, spam, automaticky provádět graylisting, případně kontrolovat, zda některý z uživatelů neodesílá ze zavirovaného počítače spam.
Astaro má vlastní webovou administraci, přes níž je možno celé zařízení kontrolovat a ovládat. Administrace je velmi intuitivní a využívá všech moderních vlastností webových rozhraní.
Přednáška se dále zaměřila na představování specifického a velmi mocného webového rozhraní.
ČLÁNKY DO MAILU