Živý rozhovor: s Martinem Žídkem o administraci linuxových serverů

Na vaše otázky k administraci linuxových serverů odpovídal Martin Žídek, absolvent informatiky na FEI VUT v Brně a od roku 2001 vedoucí technického oddělení společnosti Master Internet. Specializací Martina Žídka je návrh a provoz IP sítě a linuxových serverových systémů.
Kapitoly článku

Jakým způsobem se vlastně zavádí grafické prostředí? Použil jsem několik nástrojů pro nastavení pozice zobrazovací plochy, ale neustále při každém restartu se vše vrátí do původního stavu. (Jakub Malý)

Martin Žídek: Váš problém je špatné nastavení Xwindow systému, zkuste prostudovat man stránky man 5 xorg.conf. Na webu je spousta materiálu věnujícího se konfiguraci, zkuste hledat „xorg.conf howto“ pomocí Google.

Jaké jsou podle vás největší současné problémy a nedostatky Linuxu? (Michal Vyskočil)

Martin Žídek: Jako největší problém vidím neochotu některých velkých výrobců zveřejňovat specifikace nového HW. Díky tomu prakticky blokují vývoj open source ovladačů. Je to problém hlavně grafických karet a WiFi chipsetů.

Dalším problémem je nedostatečná, popř. úplně neexistující, podpora Linuxu ze strany výrobců rozšířeného desktop SW (např. Adobe, Autodesk, Microsoft, atd.).

Větší integrace a normalizace v rámci desktopu by určitě rozšíření Linuxu také pomohla. Vývojáři potřebují stabilní prostředí, pro které můžou vytvářet svůj SW. V rámci integrace a normalizace desktopu již vzniklo několik projektů.

Jak vidíte budoucnost Linuxu/BSD? Může ještě v některém směru překvapit? Co je podle vás slabinou (kromě známého faktu, že nikdo nedělá ovladače pro neWin systémy)? (Peter Kotrčka)

Martin Žídek: Budoucnost Linuxu a ostatních otevřených systémů vidím dobře. Pro některé aplikace je nutné použít OS s přístupem ke zdrojovým kódům. Určitě zde bude odklon od čistě serverového použití k desktopu, jak je to již vidět u BSD (PCBSD).

V rámci kernelu Linuxu i BSD budou v budoucnu určitě integrovány virtualizační a clustrové technologie (migrace procesů), tyto technologie jsou již v dnešní době dostupné z externích projektů.

To, že nikdo nevyvíjí ovladače pro ne-Win systémy není pravda. Chyba je většinou na straně výrobců HW, kteří nejsou ochotní uvolnit specifikace svého HW pro potřeby vývoje ovladačů. Existují i výjimky - např. Intel, Realtek, kteří přímo vyvíjejí open source ovladače.

V heterogenní síti plánujeme přechod z již nevyhovujícího NIS na LDAP. Máte nějaké osobní preference v teto oblasti? Voleb máme spoustu: OpenLDAP, eDirectory, Sun Java System Directory Server, Active Directory (používáme pro Windows). Rozdíl v možnostech a ceně je značný. Jakmile rozhodnutí padne, tak je obtížné je změnit? (Sobota)

Martin Žídek: Řešení bych vám doporučil použít podle většiny klientů, kteří budou server používat. Pokud již používáte Active Directory a většina klientů poběží na Windows, bude asi nejlepší variantou zůstat u něj. Pokud používáte produkty Sun, bude nejlepší použít řešení postavené na jejich serveru. V každém případě, než se rozhodnete určité řešení použít, pečlivě si otestujte všechny funkce, které budete od serveru požadovat.

Sdílíte mezi servery nějakým způsobem procesorový čas? Využíváte clustery nebo virtualizaci? Pokud ano, na jaké technologii? (hufhendr)

Martin Žídek: Prakticky využíváme distcc a mysql cluster/heartbeat. Někteří zákazníci začali využívat Microsoft Virtual Server a VmWare server. Na desktopu jsem využíval VmWare pro testování, v minulosti jsme testovali technologii vserver.

Používáte nějaký systém jednotné správy uživatelských účtů jako např. LDAP? Nebo má každý server své vlastní uživatele v etc/passwd? Navrhl jste si schéma sám nebo jste využil již nějaké připravené? (hufhendr)

Martin Žídek: Většina serverů má vlastní uživatele v etc/passwd, nebo virtuální uživatele, jejichž data jsou uložena v mysql (např. u mailserverů).

Mám ve škole deset Ubuntu 6.10 stanic a Debian server. Jaký způsob centrálního ověřování uživatelských účtů byste mi doporučil? (Roman Ravas)

Martin Žídek: Zkuste postavit řešení na LDAP, osobně Ubuntu nepoužívám, ale řešení bude určitě postavené na PAM modulu LDAP.

Používáte sdílení diskového prostoru mezi jednotlivými servery? (hufhendr)

Martin Žídek: Osobně používám NAS založený na sambě a protokolu CIFS.

Máte nějaké konkrétní důvody pro používání Gentoo na serveru? Sám stále uvažuji co je vlastně nejvhodnější. Také jsem došel ke Gentoo, ale vlastně přesně nevím proč. (Jan Forman)

Martin Žídek: Gentoo je vhodné tam, kde potřebujete maximální volnost při instalaci a optimalizaci SW na serveru. Pokud požadujete unifikované řešení, je vhodnější požít Fedoru nebo CentOS. U Gentoo je taky výhodná možnost neustálé kontinuální aktualizace systému a systém SW portage.

Jak máte vymyšlenou hromadnou instalaci update a patches na servery? Máte to automatizované nebo instalujete ručně? (hufhendr)

Martin Žídek: Updaty většinou instalujeme ručně pomocí nástrojů emerge v Gentoo a yum na Fedoře. Ruční instalací záplat se snažíme vyhnout polámání konfigurací, které může způsobit automatická instalace. Po instalaci každé záplaty otestujeme funkčnost aplikace, na kterou byla záplata aplikována.

Používáte na linuxových serverech nadstandardní zabezpečovací systémy jako např. SELinux nebo RBAC? Pokud ano, komplikuje vám to nějak správu systému? (hufhendr)

Martin Žídek: Žádný z těchto systémů nevyužíváme. Kvůli stabilitě se snažíme využívat jádro bez aplikovaných patchů třetích stran.

Vaše společnost provozuje CBIX jako alternativu k NIXu. Můžete popsat, jak to funguje? (Martin Mrajca)

Martin Žídek: CBIX je peeringový bod, který byl vytvořen jako alternativa bodu NIX. V současné době jsou v bodě CBIX propojeny sítě pěti poskytovatelů, vesměs z Brna. Pomocí uzlu CBIX tečou data, která geograficky začínají a končí v rámci Brna a tím se šetří kapacita linek do Prahy (NIXu). Doufám, že počet sítí časem vzroste. Jedná se o dlouhodobý projekt.

Líbí se vám více ty klikací distra nebo textové? Jsou podle vás použitelné win2k3 na server? (Supex)

Martin Žídek: Začínal jsem s Linuxem v době, kdy žádné „klikací“ distribuce neexistovaly. Používal jsem Slackware a nyní Gentoo - obojí „textové“. Windows 2003 Server jsou kvalitní OS pro použití na serveru, pokud vám nevadí vyšší cena licence.

Na oddělení máme několik linuxových aplikačních serverů a Linux bude i na souborovém serveru. Na klientech běží Windows, Linux, Mac OS X, Solaris. Celá síť jede pod IPv4. Mezi výhodami IPv6 je zmiňována i bezpečnost (authentication, privacy). Lze tuto výhodu v našem prostředí využít? (abcd)

Martin Žídek: IPv6 vyžaduje povinou implementaci IPsec přímo v IPv6 stacku. Před implementací bych určitě věnoval čas testování kompatibility. Šifrování také přinese větší zatížení CPU na straně serverů i klientů.

Slyšel jsem, že velká ISP používají IPv6 již na svých páteřích. Je to pravda? Jaká je výhoda? (Jaroslav Svatý)

Martin Žídek: Protokol IPv6 je implementován paralelně k IPv4 na oddělených routerech a L2 spojích, i když současná generace páteřních routerů (např. Cisco 7600 s supervisor engine 720) umožňuje využít tzv. dual stack. Směrování IPv6 provozu je přímo podporováno hardware routeru.

Minulé generace routerů podporovaly IPv6 pouze softwarově, nebo jej nepodporovaly vůbec. Vzhledem k malému objemu IPv6 provozu používají ISP k routování buď PC, nebo starší univerzální routery, které dříve sloužily v IPv4 provozu.

Páteřní infrastruktura je většinou postavena na okruhové přenosové technologii jako je C/DWDM a SDH popř. Ethernet, nad ní jsou pak budovány MPLS/IP sítě.

Od jaké velikosti firmy (nebo datové náročnosti) by bylo dobré uvažovat o nasazení Linuxu jako OS? Jaká hlediska rozhodují? (Albert Kahánek)

Martin Žídek: Linux se využívá pro různé aplikace, od telefonů a PDA po superpočítače. Nasazení Linuxu je personální otázka, ve firmě musí pracovat administrátor, který se Linuxu věnuje. Pokud využíváte služby externí firmy, musíte nasazení Linuxu konzultovat s ní. Výhodou nasazení Linuxu můžou být snížené náklady na chod serverů. Pokud využíváte specifický SW vytvořený přímo pro vaši firmu, je nutné kontaktovat výrobce a zjistit si dostupnost tohoto SW pro Linux.

Jaký Netflow collector používáte? Dá se přes netfilter dostat k obsahu paketu (tzv. „netfilter hook-om“)? (Palo)

Martin Žídek: V současné době používáme nástroje nfdump. K obsahu paketu se jde dostat na úrovni API netfilteru více (s příklady kódů) zde.

Co používáte na analýzu dat zachycených pomocí nfdump (generování grafů, statistik)? Já jsem experimentoval s ntop, nfsen, ale nejsem s nimi úplně spokojený. (Palo)

Martin Žídek: Data analyzujeme pomocí nfdump a výsledky se přímo importují do našeho účetního systému, který je vyvíjen interně v naší firmě.

Jaká je podle vás příčina, že se stále ještě neujalo IPv6? A myslíte si, že se vůbec někdy ujme? (Honza)

Martin Žídek: Myslím si, že IPv6 se ujalo a většina ISP jej v menší či větší míře podporuje. Jediný problém je v tom, že koncoví uživatelé pro své aplikace vystačí s IPv4. „Připojením na internet“ se v dnes rozumí IPv4. IPv6 se nerozšiřuje, protože na ISP není vyvíjen obchodní tlak ze strany zákazníků. Pro řadového koncového uživatele IPv6 nic převratného nepřináší.

Jestli někdy IPv6 plně nahradí IPv4 si při jeho dnešním rozšíření netroufám odhadnout.

Chci vytvořit automatický webhosting, kdy se po zadání informací na stránkách (PHP) nastaví vše ostatní bez zásahu administrátora (FTP, doména, webmail). Existuje v Linuxu již hotový program, který se dá využít na toto založení doménového sídla, nebo se musejí tyto věci naprogramovat zvlášť v PHP? (Miroslav Novák)

Martin Žídek: Pro Linux existují tzv. control panely VirtualMin (GPL), cPanel (komerční), Plesk (komerční), které mají podobnou funkčnost. Vlastní implementace je možná, např. v PHP a při využití virtuálních uživatelů uložených v MySQL.

Jaký je dle vašeho názoru největší rozdíl mezi serverovými systémy společnosti Microsoft (Windows Server 2003) a linuxovým řešením? Neberme nyní v potaz finanční stránku věci, ale spíše nejzásadnější rozdíly ve funkčnosti, operabilitě a administraci těchto systémů. (Adam F.)

Martin Žídek: Osobně si myslím, že technicky jsou oba systémy na stejné úrovni. Administraci obou systémů je v dnešní době možné provádět z textové konzole i při použití grafických nástrojů. Největší rozdíl je v licenci. U Linuxu, narozdíl od Windows, dostáváte k systému zdrojové kódy - jádra systému i knihoven. Tyto zdrojové kódy mohou administrátorům pomoci při řešení provozních problémů.

Můžete popsat základní výhody a nevýhody systému Linux vůči Windows z pohledu administrátora a potom řadového uživatele? (Peter)

Martin Žídek: Nepoužívám Windows již delší dobu a administraci Windows serverů jsem se nikdy nevěnoval. Nemůžu proto odpovědět na váš dotaz. Výhodou Windows na desktopu zůstává podpora nejnovějšího HW a velké množství komerčního i volně šiřitelného SW.

Kapitoly článku

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , ,