Temat: Nowa technologia i sposoby zabezpieczeń

Witam wszystkich zainteresowanych.
Przede wszystkim na początek polecam lekturę na stronie
http://www.microsoft.com/poland/technet/bazawiedzy/cen...

Zainteresowało mnie wprowadzenie w/w rozwiązania w Urzędzie Gminy i pojawił się bardzo ciekawy problem. Ponieważ Hypervisor w instalacji core nie posiada dodatkowych ról do zainstalowania powstał problem stworzenia fail-over clusteringu. Chciałbym aby ten post rozwinął się do tego stopnia aby można było w pełni zrozumieć role i zasady działania, wady oraz zalety tego typu rozwiązań. Wszelkie uwagi i komentarze mile widziane. Zapraszam do dyskusji.

Projekt zakłada :
1. Dwa serwery wraz z zainstalowanym windows 2008 hyper-v standard lub hyper-v core
2. Prosta macierz dyskowa Raid 6 podłączana przez sambę do hypervisora gdzie będą znajdować się systemy wirtualne.
3. Kopiowanie - export żywego systemu virtualnego w tle z macierzy na inny napęd (dysk)
4. Konfiguracja i przejęcie roli w przypadku awarii jednego z serwerów przez drugiego i odpalenie automatycznie systemów wirtualnych.

Pozdrawiam
Arkadiusz Tomaszczyk

Temat: Nowa technologia i sposoby zabezpieczeń

Pokrótce podzielę się posiadaną wiedzą:

- nie komplikując - są dwa produkty, dzięki którym możemy korzystać z Hyper-V:
  Windows Server 2008
  Windows Hyper-V Server 2008

- drugi z nich jest bezpłatny (również do zastosowań komercyjnych) ale nie uzyskamy na nim wysokiej dostępności poprzez Failover Clustering. Bezpłatna wersja = mocno ograniczona funkcjonalność.

- zatem pozostaje rozwiązanie płatne: dwie maszyny, czyli 2 x Windows Server 2008. Na pewno 64-bitowe wersje systemów, bo Hyper-V nie działa na 32-bitach. Ze względów licencyjnych, Windows Server 2008 Standard może nie wystarczyć (kwestia ilości zainstalowanych ról na serwerze). Wersje Core - jeśli ktoś lubi.

- "prosta macierz RAID 6 ... przez sambę" - chyba tak po prostu nie można podłączyć. Na pewno przez iSCSI działa. Tam gdzie jest macierz proponowałbym zatem Windows Storage Server albo bezpłatne FreeNAS lub Open iSCSI.

- nasz wysokodostępny klaster tworzymy przez dodanie cechy Failover Clustering na obydwu maszynach. Następnie na jednym z serwerów tworzymy za pomocą nowodoinstalowanego manager'a nasz klaster, wskazując wcześniej utworzone, wspólne dla obu maszyn, miejsce trzymania dysków VHD.

- "export żywego systemu w tle z macierzy na inny dysk" - tu trzeba doprecyzować - chodzi o przełączenie obsługi wirtualnej maszyny z jednego serwera na drugi czy o przeniesienie obrazu dysku na inny fizyczny system dyskowy w ramach tej samej maszyny? W pierwszym przypadku jest to możliwe dzięki funkcjom Quick Migration / Live Migration. Do sprawdzenia jest jednak czy wystarczą narzędzia dostarczane z systemem, czy należy zakupić Microsoft SCVMM 2008. W drugim przypadku nie wiem czy można dokonać online'owej zmiany położenia plików VHD. Oczywiście ponieważ mamy klaster typu Failover, to w przypadku awarii jednego z serwerów, maszyny odpalą się na drugim serwerze automatycznie. Należy jednak pamiętać, że jeśli maszyna ma awarię typu "zabieramy jej zasilanie" to wirtualne systemy nie przełączą się w locie, nie dysponujemy bowiem rozwiązaniem typu non-stop cluster. Po prostu wirtualne systemy zostaną uruchomione automatycznie na drugiej maszynie i tracimy stan w jakim się znajdowały podczas pracy kilka minut temu.

- na marginesie dodam - migracja typu Quick Migration to brak dostępności wirtualnego systemu przez około 15-20 sekund. Live Migration to teoretycznie 1-2 sekundy stanu offline. Teoretycznie bo funkcja miała się pojawić w grudniu i nie widziałem jej jeszcze w działaniu.

- wady i zalety - jeśli chodzi o te drugie to w zależności od posiadanej infrastruktury i potrzeb. Wada właściwie jedna: dodatkowe koszty - na oprogramowanie podstawowe, ewentualne dodatkowe oraz wydajny system dyskowy. Zakładam że dwa serwery ("zwykły" i zapasowy) już mamy, myśląć o wysokiej dostępności.Michał Rymaszewski edytował(a) ten post dnia 05.01.09 o godzinie 22:49

Temat: Nowa technologia i sposoby zabezpieczeń

Na chwile obecną zajmuję się tym
http://www.ar-net.info/wirtualizacja.html

Oczywiście jak powiedziane wcześniej system jest ciągle dopracowywany jednak ze względu na w większości ograniczone środki stosowanie macierzy dyskowych iSCSCI okazało się bardzo kosztowne i w większości odrzucane bądź nie do przyjęcia przez klientów.
W związku z tym kombinuje różne rozwiązania w oparciu o inne systemy
ciekawie prezentują się rozwiązania NAS i dedykowane ku temu urządzenia.

Wszelkie spostrzeżenia mile widziane.
Pozdrawiam
Arkadiusz Tomaszczyk

Temat: Nowa technologia i sposoby zabezpieczeń

Może to się przyda: http://iscsitarget.sourceforge.net/

Temat: Nowa technologia i sposoby zabezpieczeń

myślałem o http://www.freenas.org/
ale generalnie będę dążył do sprzętowego iSCSI chociaż to nie lada wydatek

Temat: Nowa technologia i sposoby zabezpieczeń

Witam dzisiaj to już 2 dzień zabawy serwerem win 2008 standard (jak narazie)

1. Po ściągnięciu wszystkich aktualizacji i dodaniu kontrolera domeny oraz zainstalowaniu SCVMM to nie koniec aktualizacji mimo iż tak może nam się wydawać

2. Po przekopaniu google ok 5 minut okazuje się że należy zaktualizować BITS (bez tego się potrafi wywalić) u mnie hypervizor był RTM więc aktualizacje wcześniej pobrane wystarczyły

3. Konwersja P2V windows 2003 r2 bez w/w aktualizacji na swiczu 10/100 MB (100MB) 130 GB danych czas około 20 godzin.

4. Punkt 3 doprowadził mnie do szału więc :
Konwersja P2V Windows 2003 z aktualizacjami na swiczu 10/100/1000MB (1000MB) 130 GB danych czas 1-2 godzin (przy czym instalowałem równolegle jeszcze jeden system)

5. O ile konwersja systemu Windows 2003 przebiegła bezproblemowo (jak na piątek 13-tego) przechodzę do bardziej złożonego punktu mianowicie konwersja Ubuntu Server 8.10

6. Pierwsze spostrzeżenie SCVMM nie oferuje :) pomocy w konwersji
Drugie spostrzeżenie nie znalazłem nic co ładnie to potrafi zrobić po za Norton Ghost i tu się pojawia problem.

Zakładając że podepniemy drugi fizyczny dysk do serwera Linux odpalimy ghosta (np. z płyty hirens) i zapakujemy obraz dysku do pliku to co z nim dalej ??

Jak zmusić wirtualkę aby zbotowana z hirensa wskazać jej lokalizacje dysku ??

Rozwiązania 2
1. O ile mamy szczęście obraz dysku może nie przekracza 25 GB i zmieści się na blueray który mam w serwerze.

2. Trzeba użyć innego kompa z systemem wirtualnym dołączyć do niego wirtualny dysk (np xp) udostępnić ten dołączony dysk, format kopiowanie pliku obrazu na udostępniony dysk.
Co to nam daje? Po odpaleniu Nowej maszyny wirtualnej na którą chcemy przewalić obraz dysku należy podłączyć jako drugi ten właśnie dysk na który uprzednio skopiowaliśmy obraz z ghosta.
Zamontować płytę startową ghosta i wskazać mu dysk z którego ma przewalić system tak brzydko i potocznie to nazywając :D

Jak przebrnę przez punkt 6 dan znać.
Jedyną wadą całości jest to iż można w/w konwersję dokonać po godzinach pracy z wiadomych przyczyn :D

Pozdrawiam Arkadiusz Tomaszczyk

No i zaczęło się przeniesienie systemu linuxowego okazało się nie tak proste jak myslałem.
Program Norton Ghost niestety nie chciał się odpalić na hyper-v (non stop jakieś błędy) i z pomocą przyszedł Arconis Truimage Serwer czy jakoś tak.
Niewiele czekając odpalam robię obraz dysku zapisuje na dysku zewnętrznym.
Ok mam po 2 godzinkach obraz gotowy.
Teraz na zainstalowany na wirtualce winxp udostępniam dysk i kopiuje pliczki z obrazem na udostępniony dysk wirtualny.
Restart botoowanie i przywracanie systemu, za 9 godzin będę wiedział co dalej.Arek T. edytował(a) ten post dnia 19.03.09 o godzinie 01:37

Temat: Nowa technologia i sposoby zabezpieczeń

PKT 6 odpuściłem.
Czysta instalka ubuntu + kopiowanie konfigów i baz okazało się szybszym i wydajniejszym rozwiązaniem.

W tej chwili na wirtualkach mam windows 2003 + ubuntu i jak narazie jest ok

Temat: Nowa technologia i sposoby zabezpieczeń

Witam,

notoryczny brak czasu / mocy przerobowych, zatem krótko. Choć może już nieaktualne, ale odnośnie punktu 6-go to odpaliłbym maszynę z Ubuntu z jakiegoś LiveCD Linux'a, podmontowałbym co trzeba, tar albo star prawie wszystkiego, na Hyper-V zainstalowałbym bazę Ubuntu i tam wszystko rozpakował (też na LiveCD)

Z Fedorą prawie działa przy użyciu tar'a - wbudowany SELinux się nie przeniósł w pełni ze względu na metadane, ale obstawiam że dzięki star'owi by poszło.

A odnośnie Ghosta to tak zrobiłem "p2v" stacji na WinXP i działa ;)

Temat: Nowa technologia i sposoby zabezpieczeń

Witam ponownie.
Poszukuje skryptu bądź informacji czy można kopiować pliki vhd (dyski) działającego systemu w tle na inna partycje.
Jeśli nie ma takiej możliwości to czy można wykombinować prosty skrypt który zatrzymywał by usługę hyper-v (net stop) kopiowanie plików i uruchamiał usługę razem z wirtualkami (net start)

Ew w jaki inny sposób sobie z tym poradzić w sensowny sposób.
Rozważałem również streamer bo bluerayowa nagrywarka z nośnikami 50 gb to i tak mało :/