[sage] automatische netzwerkgestützte Grundinstallation von Gentoo - gibts das , laeuft das?

Juergen Kahnert Juergen.Kahnert at DESY.de
Thu Oct 2 15:20:28 CEST 2008 

Moin,

um Thomas nicht ganz alleine zu lassen, gibt es von mir noch eine andere
Sicht auf FAI.

On Wed, Oct 01, 2008 at 11:28:11PM +0200, Andreas Jellinghaus wrote:
> hat fai eine datenbank, welches debian packet man wie repariert? sonst
> kann es einem da wohl kaum das mühsamme try&fix&retry ersparen.

Worauf möchtest Du hinaus? Debian Pakete fallen wir eher weniger
unangenehm auf, nichts was sich nicht korrigieren lassen könnte.

Da hatte ich mit Redhat oder SuSE Pakete deutlich häufiger Probleme.


> weiter machen diverse packete richtig viel ärger, wenn man die im
> chroot() installieren will. debian hat leider die ansicht, was
> installiert wird, muss auch gleich gestartet werden. zeit um zwischen
> den beiden schritten was zu konfigurieren ist nicht vorgesehen.

Kann ich auch nicht nachvollziehen. Die Pakete müssen nicht während der
Installation des Pakets komplett konfiguriert werden, das Feintuning
kann man danach mit FAI erledigen.


> schwieriger wird es, wenn man server hat, die z.B. in ein hochverfügbares
> system eingebunden sind. einen server halb installieren kann da viel ärger
> machen, wenn der load-balancer denkt: hei, der server ist wieder da, dann
> bekommt der auch last, aber datenbanken/webseiten/... noch mitten in der
> installation sind. auch eine problematik, bei der fai nicht helfen kann,
> oder?

Das hängt vom Loadbalancer ab. Während der FAI Installation kannst Du im
Prinzip alles regeln, das ist sehr felxibel und ich wüßte nicht, warum
man diese Problematik nicht auch abdecken könnte. Der Loadbalancer muß
doch lediglich während der Installation keine positive Meldung vom
System erhalten und das ist machbar.


> ein blick auf die fai webseite:
>  * base.tar.gz entpacken? du nutzt kein debootstrap?

Doch, geht aber mit vorgefertigtem tgz deutlich schneller.


>  * passwort? geht hoffentlich auch ohne?

Eine Schwachstelle von FAI, dafür haben wir hier eine eigene Lösung
gebaut, die Host-Secrets (wie SSH-Keys, Kerberos-Keytab, Paßwörter,
etc.) sicher auf die Kisten bringt.


>  * kann man sachen wie "exim" gleich mal irgendwie loswerden,
>    auf das die von anfang an nie installiert werden? will doch bei
>    dreistelliger anzahl an servern, nicht überall einen mta laufen
>    haben. nullmailer/ssmtp und co reichen mir meist.

Sicher, läßt sich alles einrichten.


>  * mit chroot dpkg/apt hab ich schlechte erfahrung gemacht, zuviel murks
>    packete, die in /proc rumpfuschen, seltsame tests haben etc.

Diese Erfahrung kann ich nicht teilen. Nichts was sich nicht lösen läßt.


> zudem ist die wahl fai oder nicht fai IMO eine sekundäre.
> erstmal sollte man sich entscheiden, wie man seine rechner administriert, und 
> mit welcher software. wenn man z.B. sich für cfengine oder puppet 
> entscheidet, dann stehen diese packete im vordergrund. die aufgabe der 
> installation ist dann, den rechner soweit zu bekommen, das diese tools 
> loslegen können. 

Nicht nötig, man kann die Rechner auch mit FAI administrieren. Das sind
die sogenannten "Softupdates". Somit kann man mit ein und dem selben
Tool sowohl installieren als auch administrieren. Meiner Meinung nach
ein sehr großer Vorteil von FAI.


> weiter fragen zu fai:
>  * nfs, muss das sein? schön an der eigenen lösung (in der debian variante)
>    fand ich, das es "nur" bootpd, tftpd und apache brauchte, kein nfs und co.

Große Schwachstelle, da würde ich auch gerne was anderes sehen,
insbesondere für die Softupdates.


>  * nur cfengine wird erwähnt. was ist mit puppet?

Egal, FAI ist da komplett flexibel. Ob Shell, Perl, Cfengine oder was
auch immer, läßt sich alles benutzen.


>  * kann man cfengine auch ganz weglassen? ich fand das tool nie toll, auch
>    nachdem ich es jahrelang nutzen durfte. (klar, sowas ist
>    geschmackssache...)

Wegen der Paket-Abhängigkeit kommt es wohl mit auf's System, muß aber
nicht von Dir benutzt werden.


>  * cluster installieren ist ja recht simpel, wenn vieles gleichartig ist.
>    wie siehts denn mit komplexen beispielen aus (z.B. 20 verschiedene 
>    server typen oder sowas)? 

Kein Problem. Wir benutzen hier an die 100 verschiedene Klassen mit
denen wir nicht nur Cluster- und Farmknoten aufsetzen, sondern auch
individuelle Server.

Dabei sind die Klassen teilweise verschränkt, sodass je nach Kombination
sich sinnvolle Resultate ergeben. Hat man z.B. einen Radius-Server und
benötigt auf diesem Backup, so wird durch die Backup-Klasse automatisch
die notwendigen Radius-Verzeichnisse zur Backupkonfiguration hinzugefügt.

Setzt man eine Kiste neu auf, mit gesetzter Backup-Klasse, so wird auf
dem Backupserver nachgeschaut, ob Daten vorhanden sind und während der
Installation ein Desaster-Recovery gestartet.

So kann man schnell bei einem Serverausfall mit neuer Hardware weiter
machen, indem man die neue Hardware einfach per FAI installiert. Der
Server kommt dann mit dem letzten Backup-Punkt wieder hoch. Das läßt
sich natürlich auch deaktivieren.

Wie gesagt, alles sehr flexibel.


> btw: thomas: hast du in fai eine möglichkeit, der der install
> client eine erfolgreiche installation zurückmeldet? über welches
> protokoll geht das? (oder was eigen entwickeltes?)

Erfolgreiche Installationen booten bei uns sofort durch. Bei Fehlern
bleiben sie stehen. Aber auch das läßt sich beliebig anpassen. Aber FAI
hat keine direkte Unterstützung dafür, es gibt allerdings Tools, die man
benutzen kann um Life den Zustand während einer Installation bzw. von
Updates verfolgen zu können.


> ich hatte mir einen 30-zeilen c server/client nach stevens geschrieben,
> der mir sowas zurückmeldet, damit ich als ergebnis per perl script
> die bootp config für den rechner wieder ändern konnte, sonst wäre
> die installation in eine endlos schleife geraten.

Wir haben hier etwas ähnliches im Einsatz, das aber nichts mit FAI zu
tun hat, sondern von allen anderen Systemen auch so verwendet wird. Was
FAI da zu bieten hat, kann ich im Moment nicht sagen. Vorhandenes läßt
sich jedenfalls ohne Probleme integrieren.


> beim durchschauen des guide fällt mir auf, das ich nicht jedem rechner
> sagen will, welche config andere rechner haben. wer einen server
> hackt, soll ja nicht im nfs genüsslich nachlesen können, wie alle
> anderen konfiguriert sind. bei clustern voller identischer maschinen
> stellt sich das problem natürlich nicht.

Du kannst Dir gerne andere Methoden überlegen, wie die Configs auf den
Rechner gelangen. FAI hat zur Zeit lediglich den NFS Config-Space im
Angebot. Aber alles ist denkbar.

FAI ist sehr flexibel und läßt sich gut an die eigenen Bedürfnisse
anpassen. Sobald man vom "Standard" abrückt, ist es mehr oder weniger
Arbeit, aber prinzipell ist es möglich. Und obwohl es so flexibel ist,
läßt es sich schnell produktiv einsetzen. Die initiale Installation zu
planen ist zwar etwas aufwändiger, aber jemanden die Verwendung von
einer bestehenden FAI Installation zu erklären, ist schnell getan, da es
sehr übersichtlich ist.



Zum eigentlichen Thema, was Gentoo angeht, so wäre mir ein Einsatz von
Gentoo auf Produktionsmaschinen zuviel Arbeit. Würde sich aber bestimmt
auch mit FAI teilweise vereinfachen lassen - trotzdem noch viel Arbeit.

Ich persönlich bevorzuge jetzt FAI und Ubuntu. Bei Ubuntu hat man im
Gegensatz zu Debian planbare Release Zyklen, ein enormer Vorteil. Alle
zwei Jahre gibt es eine LTS (Long Time Support) Version und ansonsten
alle halbe Jahre eine neue Version für die es ein Jahr Support gibt. Da
ist für jeden Anwendungsfall eigentlich immer was passendes dabei.

$0.02

    Jürgen


-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 1990 bytes
Desc: not available
Url : http://lists.guug.de/pipermail/sage/attachments/20081002/ac1d4c60/attachment.bin

More information about the SAGE mailing list