SUSE Linux Enterprise 10 - staedtetag-rlp.de0).pdf · SUSE Linux Enterprise 10 Karsten Grebing Business Partner Manager Dennis Deitermann Technical Partner

SUSE Linux Enterprise 10

Karsten GrebingBusiness Partner Manager

<[email protected]>Dennis DeitermannTechnical Partner Services Linux

<[email protected]>

Common Code Base und AutoBuildtm

Städtetag Rheinland-Pfalz

3

Die Herausforderung bei derEntwicklung von OSS

• Tausende von OSS Community-Projekten• Zehntausende von Entwicklern• Hunderte Zeitstrecken• Versionszersplitterung• Fehlender Support

• Hochwertige Software gänzlich oder fast kostenlos• Lösungen für fast alle Aufgabenfelder• Hohe Innovations- & Evolutionsgüte

CommunityCode Stream

Produkte

• Kunden erwarten gebrauchsfertige Produkteaus einer Hand mit festenZeitstrecken, Versions-vergabe, Wartung undSupport.

Kunden-erwartungen


4



• Tausende von OSS Community-Projekten• Zehntausende von Entwicklern• Hunderte Zeitstrecken• Versionszersplitterung• Fehlender Support

• Hochwertige Software gänzlich oder fast kostenlos• Lösungen für fast alle Aufgabenfelder• Hohe Innovations- & Evolutionsgüte

Produkte

• Kunden erwarten gebrauchsfertige Produkteaus einer Hand mit festenZeitstrecken, Versions-vergabe, Wartung undSupport.

Kunden-erwartungen


5


Com

mon

Cod

e Ba

se


Kunden-erwartungen

AutoBuild™

• Automatisierte + Manuelle Regression• Qualitätssicherungsvorgänge• Funktionsprüfung• Novell SuperLab• SUSE Labs

Automatisiertes System erkennt Kompatibilitäts-

konflikte

= Fixes, Patches, Updates

•SUSE Linux Enterprise Server

•SUSE Linux Enterprise Desktop •Novell Open Enterprise Server

•SUSE Linux SDK

Produkte


6


...

Linux Solution StackIhre Produkte

•SUSE Linux Enterprise Server

•SUSE Linux Enterprise Desktop

•Novell Open Enterprise Server

Novell bietet Ihnen einen unternehmenstüchtigen Common-Code-basierenden Linux Solution Stack,auf dem Ihre eigenen Anwendungen und Dienste aufgebaut werden können.


Kunden-erwartungen

SUSE Linux Enterprise Desktop 10


8

SUSE Linux Enterprise Desktop 10

Finden und Verwalten von Informationen

Sicherheit und gesetzliche Anforderungen

Mobile Mitarbeiter

Optimierung der Desktop Infrastruktur

BenutzerIT

Mitarbeiter


9

Menü und Applikations Browser

Neuer App. Browser

Neues Haupt Menü


10

Einfacher und schneller Zugriff auf alle Daten

• Durchsucht alle relevanten Daten :

– Email

– Email Anhänge

– Termine

– Kontakte

– Besuchte Web Seiten (http)

– Dokumente (OpenOffice, PDF, usw.)

– Instant messages (Chats)

– Notizen

– etc...


11

Novell Evolution


12

OpenOffice.org 2.0 Novell® Edition

• Novell ist der zweit größte Mitgestalter von OO

• Volle Unterstützung des Open Document Formates

• Verbesserte Calc Interoperabilität

– Microsoft Excel VBA macro support

– Besserer support für Pivot Tabellen

• Verbessertes Slideshow rendering

– Kantenglättung (anti-aliasing)

– Echte Alpha-transparents in Animationen

• Collaboration client (Evolution) Integration

• Fonts Wiedergabetreue


13

Novell CASA

• Vollständige Single Sign on Lösung

• Speichert alle Passwörter in einem

Lokalen Secret Store

• Unterstützt alle KDE, GNOME und

Novell Programme

• Unterstützung für Webseiten (Firefox)

• Unterstützung für Funknetzwerke

•

•

•


14

Plug-n-Play Hardware Support

Intuitive und einfache Hardware Konfiguration

– USB Geräte (automatische Erkennung und Installation)

– Maus, Scanner, Digital Kameras und Portable Musik Player (inklusive Apple iPod)

– Bluetooth support für Mäuse, Telefone und andere Geräte

– Firewire Geräte

– Notebook Docking Station und Port Replikator Support

– Drucker (Lokal und Netzwerk)

– Scanner (über das Sane project)

SUSE Linux Enterprise Server 10


16

SUSE Linux Enterprise Server

Oracle- Datenbank

Database Cluster

Speicherungim Netzwerk

Application Hosting

Windows, Mac und Linux-Anwender

Admin Tools

Administration Mainframe Application Hosting

ERP-System oderServerkonsolidierung

DNS, DHCP FTPJ2EE

Server

Network Services

Web Server Cluster

Internet

Firewall, Proxy VPN

Virtualisierung


18

HW based Virtual Machines

z/Series• z/VM • LPAR• IFL

P5 OpenPower

Virtualization Engine• Micro-partitioning• Dynamic LPAR• Virtual storage• Virtual Ethernet

UNISYS ES7000 family• Static, • soft and • dynamic

partitioning

FSC PrimeQuest• System mirror• flex. I/O


19

Software-basierte Virtualisierung im Linux-Umfeld

User Mode Linux• Linux inside Linux• Linux Kernel läuft als

Prozess im User Space• GPL• Hardware-unabhängig

VMWare• ESX Server• Virtual SMP• GSX Server• Workstation• ACE

• Virtualisierung für x86 Server

• Nutzt x86 Server als Baustein für virtuellen Server (VM + Aggregation)

(Paravirtualisierung)• Virtual Machine Monitor• Hohe Performance• Benötigt portiertes Gast-

Betriebssystem• GPL• x86 Architektur


20

PrivilegedRing-0

UnprivilegedRings 1-3

IA-32 Privilege-Ebenen

Hardware-Plattform

Betriebssystem

Anwendungen

Virtual Machine Monitor

Hardware-Plattform

Virtual Machine

Betriebssystem

Anwendungen

IA-32 bietet 17 für die Nutzung durch Betriebssysteme bevorzugte (“privileged”) Befehle, um kritische Plattform-Ressourcen zu steuern (wie zum Beispiel Memory-Mapping)

Wenn das Betriebssystem nicht im Ring 0 läuft, kann die Ausführung eines beliebigen dieser bevorzugten Befehle einen Konflikt erzeugen, welcher Systemfehler oder Ausfälle verursachen kann.

Es gibt zwei Wege, diesem Problem zu begegnen ...


21

Volle & Para-Virtualisierung


Hardware-Plattform

Virtual Machine

Betriebs-system

Apps

Virtual Machine

Betriebs-system

Apps

Volle Virtualisierung

Laufzeitänderung des Gast-Betriebssystems: VMM verwaltet den Konflikt und kehrt dann zum Betriebssystem zurück.


Hardware-Plattform

Virtual Machine

Betriebs-system

Apps

APIA

PI

Virtual Machine

Betriebs-system

Apps

APIA

PI

Para-Virtualisierung

Statische Veränderung des Gast-Betriebssystems vor der Laufzeit: Bevorzugte Befehlsaufrufe werden über API-Funktionen ausgetauscht, die vom VMM bereitgestelt werden.


22

Xen-Architektur

Virtual Machines Virtual Machines

Domain 1

Gast

Linux Kernel

AndererBetriebs-systems-Kernel

Physische Treiber

Linux Kernel

Verwaltung / Host-OS

Domain 0

E/A-System E/A-System

VM Verwaltungs- Anwendung

Hypervisor (XEN)

Physische HardwareE/A & Plattform-Geräte(Disk, LAN, USB, BMC, IPMI, ACPI, usw.)

Speicher & CPU(x86, x86-64, EM64T)

Memory & CPU Management

Virt

uelle

r Tr

eibe

r

Virt

uelle

r Tr

eibe

r

Phys

isch

er

Trei

ber

Phys

isch

er

Trei

ber

Verwaltungs-pfad

CIMOM-Agent

Intern / Extern

E/A Pfad

Direkter E/A Pfad Direkter E/A Pfad

E/A Pfad

E/A PfadDirekter E/A Pfad

E/APfad

Gast

Domain N


23

Vor- & Nachteile

• Volle-Virtualisierung+Hosting von unveränderten

alten (legacy)Gast-Betriebssystemen

- Komplexe Workarounds

- Auswirkungen auf die Performance

• Para-Virtualisierung+ Geringe Auswirkung auf die Performance

+ Hardware kann direkt VMs zugeordnet werden

- Gast-Betriebssystem muß abgeändert werden

- Tandem-Upgrade des Virtual-Machine-Managements (VMM) und der Betriebssystem-Software


24

Unterstützte Prozessoren

Xen 2.0:

• IA-32 (x86)

Xen 3.0:

• IA-32 (x86)

• IA-32 + PAE (x86 mehr als 4GB Hauptspeicher)

• IA-64

• Itanium

• Opteron (x86_64)

• Power (IBM i & pSeries)

• x86 Hardwareunterstützung (Intel VT; AMD Pacifica)


25

Unterstützte Betriebssysteme

Da Xen Paravirtualisierung verwendet, war seither eine Kernel-modifikation notwendig.

Bereits auf Xen portiert:• Linux 2.4• Linux 2.6• NetWare 6.5 +• NetBSD• FreeBSD• Plan9

In Arbeit:• OpenSolaris• ReactOS• Andere


26

Vorteile der Intel® VT (Vanderpool) Technologie

VT verringert die Abhängigkeit vom Gast-Betriebssystem

• Eliminiert die Notwendigkeit von Binär-Patching / Übersetzung

• Erleichtert die Unterstützung von alten Betriebssystemen

VT verbessert die Robustheit• Eliminiert die Notwendigkeit von komplexen Software-Techniken

• Einfachere und kleinere VMMs

• Kleinere Trusted-Computing Basis

VT verbessert die Performance • Weniger ungewollte Gast VMM Übergänge


27

XEN und Intel® VT

• Xen ist die erste Virtualisierungs-Software, die Intels Vanderpool-Technologie (VT) nutzen kann.

• VT-Code in Xen wird von Intel geliefert.

• XENsource führte einen Windows-XP Gast auf Xen 3.0 mit Vanderpool im August 2005 auf dem Intel Developer Forum (IDF) vor.

• Novell hat auf der IDF ein vollständig virtualisiertes Betriebssystem mit XEN 3.0 auf Intel VT-Hardware laufend vorgestellt.

• Sponsoren von Xen:– Novell, Intel Research, HP Labs, Microsoft Research, Network

Appliance, and XenSource Inc.


28

XEN (live) Migration

SAN / NAS

Testumgebung

XEN Instanzen

Speicherinhalt XEN Instanz wird

Kopiert

ProduktivumgebungProjekt X

XEN Instanzen

Projekt X


29

Gewinn mit XEN

- Open Source unterstützt von großen Anbietern

- Sehr gute Leistung

- Saubere/Sichere Trennung zwischen den VMs

- HA durch VM-Migration während des Betriebs

- Kosten reduzieren durch Serverkonsolidierung– HW-Ressourcen besser nutzen – Lastverteilung besser planen

– weniger Server zu verwalten

– Strom-, Kühl- und Lagerungskosten senken


30

2006 2007 2008

Target project (but uncommitted)

Committed project (FCS targeted but not interlocked)

Committed and interlocked FCS date

Planned end of life

SUSE® Linux Enterprise ServerVirtualization Roadmap

SLES 10 SP2 SLES 10 SP3

Virtualization Support• SLES10 XEN Host• SLES10 DomU (Guest)

Technical Preview• SLES9 SP3 DomU (Guest)

Technical Preview using Intel VT and AMD Pacifica• SLES 8, 9, 10• NetWare• Solaris x86• RHEL 3, 4• Microsoft Windows Server

Virtualization Support• SLES10 XEN Host • SLES10 DomU (Guest)• SLES9 SP4 DomU (Guest)

Unmodified using Intel VT and AMD Pacifica• SLES 8, 9, 10• NetWare• Solaris x86• RHEL 3, 4• Microsoft Windows Server

VM-Lab 1.0

Virtualization Support• SLES10 XEN Host• SLES10 DomU (Guest)• SLES9 SP4 DomU (Guest)• OES NetWare Dom U (Guest)• RHEL 5 DomU (Guest)• Solaris x86 DomU (Guest)

All para-virtualized x86/x86-64 OSwhich support XEN 3.0.2 API standards

Unmodified using Intel VT and AMD Pacificaall existing x86/x86-64 OS2

Jul Mai Feb

SLES 10 EOL

Q2 2013

Sicherheit


32

Sicherheit• Vorausgreifend (proactive)

• Code-Überprüfungen von möglicherweise gefährlichen Programmen• Verbesserungen am Compiler (Überprüfung auf Pufferüberläufe mit

fortify)• Der Stack wird mit randomize weniger vorhersehbar (Verhinderung von

Exploits)

• Server Jail• Sichere Abschottung in der VM über Xen-Virtualisierung

• AppArmor Schutz vor Eindringen• Bildet eine “Firewall” um Anwendungen• Schützt sogar vor unbekannten Gefährdungen in Anwendungen• Kein Expertenwissen zu Sicherheit notwendig

• Umfassender assistentenbasierter Werkzeugsatz in YaST eingebaut• Voreingestellte Profile für Standardanwendungen

• Niedrige Auswirkung auf Performance (typisch: < 0.2 %,im schlimmsten Fall: 2%)


33

YaSTManagement Console

Immunix AppArmor

Application Profiles

Linux OSProgram

DesktopAppication

ServerAppication SubDomain

Module

LSM Interface

Reporting/Alerting

Linux 2.6 Kernel

Reporting/Alerting

Wie AppArmor funktioniert


34


35

AppArmor SicherheitsprofilAppArmor überwacht die folgenden Dinge, solange ein geschütztes Programm läuft, unabhängig von der UID:

– Die POSIX-Fähigkeiten, die es haben kann (sogar wenn es als root laufen sollte).

– Die Verzeichnisse oder Dateien, die es lesen, schreiben oder ausführen darf.

Viele voreingestellte Profile.

Apache2, postfix, usw.

Zusätzliche Profile verfügbar.

/usr/sbin/ntpd {

#include <abstractions/base>

#include <abstractions/nameservice>

capability ipc_lock,

capability net_bind_service,

capability sys_time,

capability sys_chroot,

capability setuid,

/etc/ntp.conf r,

/etc/ntp/drift* rwl,

/etc/ntp/keys r,

/etc/ntp/step-tickers r,

/tmp/ntp* rwl,

/usr/sbin/ntpd rix,

/var/log/ntp w,

/var/log/ntp.log w,

/var/run/ntpd.pid w,

/var/lib/ntp/drift rwl,

/var/lib/ntp/drift.TEMP rwl,

/var/lib/ntp/var/run/ntp/ntpd.pid w,

/var/lib/ntp/drift/ntp.drift r,

/drift/ntp.drift.TEMP rwl,

/drift/ntp.drift rwl,

}

Beispielhaftes Sicherheitsprofil für ntpd


36

• Eingeschränkte Werkzeuge für die Definition von Sicherheitsrichtlinien. Erfordert zusätzliches Expertenwissen

• Volle Unterstützung erfordert Änderungen in den Anwendungen

• Der Prozeß ist die kleinste Begrenzungseinheit

• Richtlinien werden in umständlicher Typendurchsetzungs-Sprache verfaßt

• Auswirkung auf den Performance-Overhead wird mit 7% angegeben

AppArmor vs. SELinux

● Automatisierte YaST-basierte Werzeuge machen die Entwicklung von Sicherheitsprofilen einfach

• Keine Änderungen and den Anwendungen

• Unterstützt Sicherheitsrichtlinien für Unterprozesse

• Im Klartext lesbare Sicherheitsrichtlinien mit Unterstützung für Reguläre Ausdrücke

• Gemessener Performance-Overhead beträgt 0-2%

AppArmor SELinux

Management


38

Management Lifecycle

Konfiguration

1 zu 1

Management Impact

1 zu vielen

Management Aufgaben

Installation

Update-Verwaltung

Monitoring


39

Management Lifecycle – Installation

• 1 zu 1– Arbeitsablauf der YaST

Installation– Vorkonfigurierte

Softwareverteilung

• 1 zu vielen– AutoYaST

– ZENworks Linux Management


40

Management Lifecycle – Konfiguration

• 1 zu 1– YaST Control Center

> Modulgestützt

> Kategorisiert

• 1 zu vielen– AutoYaST

– ZENworks Linux Management> Zugriffseinschränkung auf den

Rechner

> AppArmor Profileinsatz

– OpenWBEM / CIM Support


41

Management Lifecycle – Updates

• 1 zu 1– YaST Paketmanager– ZENworks Werkzeuge

> zmd> rug> zen-updater

– Novell Customer Center> Automatische Konfiguration> Verwaltung von Erfassung und

Befugniserteilung

• 1 zu vielen– ZENworks Linux Management

als Satelliten- Server

ZENworksLinux Management

Novell Customer Center

SUSE Linux Enterprise


42

Management Lifecycle – Monitoring

• 1 zu 1– sysstat-Paket für nützliche

Beobachtung auf niedriger Ebene

– ksysguard mit grafischem Frontend> lokal oder fern

• 1 zu vielen– nagios

– OpenWBEM / CIM Support

– ZENworks

Weitere Eigenschaften


44

Hochverfügbarkeit und Failover

• Heartbeat v2:– Mehr als 2 Knoten

– YaST-Erweiterung für mehr als 2 Knoten

– Fehlererkennung binnen Millisekunden

– I/O Data Integritätsüberprüfung vor der Migration

– “Wiederbelebte” Knoten kehren “automatisch” oder “manuell” zurück in den Cluster

• Multipath I/O:– Lastenausgleich (load balancing) und Fehlertoleranz durch

mehrere “Channels”

– Bessere Unterstützung von EMC Storage-Arrays


45

NFS v4 und Cluster-Dateisysteme

• NFS v4: – NFS Version 2,3 und 4 über UDP/TCP auf ALLE Architekturen

– NFS Version 4 Client und Server

– Höhere Sicherheit

– Höhere Performance

– Stateful-Protokoll

• OCFS 2: – in Oracle Home und Oracle Real Application Cluster (RAC)

aber auch als “Standard” Dateisystem

– Ünterstützt in ALLEN Architekturen

– Höhere Performance bei Meta-Daten-Operationen

– Höheres Data Caching / Locking


46

Enterprise Application ServicesOracle und SAP

• orarun– Vereinfacht die Konfiguration von Oracle

– Erzeugt Oracle Benutzer und Gruppen

– Setzt die Oracle Umgebungsvariablen

– Setzt die von Oracle empfohlenen Kernelparameter

– Automatisiert das Starten und Stoppen der Oracle System-Komponente

– YaST-Integration

• sap-init– Automatisiert das Starten und Stoppen der SAP Komponenten

und setzt die erforderlichen Variablen

Unpublished Work of Novell, Inc. All Rights Reserved.

This work is an unpublished work and contains confidential, proprietary, and trade secret information of Novell, Inc. Access to this work is restricted to Novell employees who have a need to know to perform tasks within the scope of their assignments. No part of this work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or adapted without the prior written consent of Novell, Inc. Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability.

General Disclaimer

This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. Novell, Inc., makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. Further, Novell, Inc., reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All Novell marks referenced in this presentation are trademarks or registered trademarks of Novell, Inc. in the United States and other countries. All third-party trademarks are the property of their respective owners.


49

XEN - Installationsschritte

SLES 10 Installation auf dem Hostsystem (Yast)

Installation der XEN rpm-Pakete (Yast)

Erstellen eines VM-Images (Yast)

Anpassung des VM-Images (Yast)

Konfiguration einer VM


50

Konfiguration der VM

Erstellen einer Konfigdatei “vm1.vmx” unter /etc/xen auf dem Hostsystem

kernel = "/boot/vmlinuz-xen"ramdisk = "/boot/initrd-xen"memory = 256name = "dom1"vif = [ 'mac=aa:00:00:00:00:12, bridge=xenbr0' ]disk = [ 'file:/tmp/vm1.img,hda1,w' ]dhcp="dhcp"hostname= "xen3vm1"root = "/dev/hda1 rw"


51

Nutzung und Tools

“xm” Perl-Skript zur Steuerung der VM

– $ xm create vm1.vmx

– $ xm list

– $ xm top

– $ xm console <dom-name>

– $ xm shutdown <dom-name>

– $ xm migrate <dom-name> <ziel-ip>

– $ xm migrate –live <dom-name> <ziel-ip>


52

Physical Storage (SAN)

Physical Server(CPU, Memory, I/O)

Policy Driven Adaptive Data Center


53



VSVirtual Storage

VMVirtual Machines


LVM, Cluster File Systems, NAS, Parallel FS


54



VSVirtual Storage



VMVirtual Machines


55



VSVirtual Storage



CTContainment &Protection

VMVirtual Machines

WMWorkload Management


56



VSVirtual Storage



RMResource Management

VMVirtual Machines

WMWorkload Management

CTContainment &Protection

IMIdentity Management

PPPolicy &Profiles

Rules & ExecutionEngine

Documents

SUSE Linux Enterprise 10 - staedtetag-rlp.de0).pdf · SUSE Linux Enterprise 10 Karsten Grebing Business Partner Manager Dennis Deitermann Technical Partner