Linux beheer > 150 servers

ik zou eens kijken naar CFengine of puppet

We hebben ook zo'n 150 Linux servers in beheer en we gebruiken al jaren dit:

Svn samen met caspar

http://packages.debian.org/nl/lenny/caspar

Alle config files van de servers staan in Svn en met behulp van caspar make files pushen we de config files naar de diverse servers toe. Svn ziet er ongeveer zo uit:

In group staan dus dingen die je naar alle servers wil pushen of naar >1 servers

group/postfix/etc/postfix/mail.cf
group/apt/etc/apt/sources.list

In server staan dus uitzonderingen die niet in group vallen

server/server1/etc/firewall/fw.conf
server/server2/etc/boot/grub/menu.lst

Verder houden we per server admin logfiles bij wat de admin gedaan heeft op die server.

Updates doen 1 x per geheim voor alle servers maar we willen er wel van afwijken als er een acuut gevaar is.

Met Tivoli kan het ook, maar er staat dan wel een IBM sticker op dus $$$.

Wat is er mis met Spacewalk / Satalite?

Ik bedoel, als je 150 RHEL servers gaat beheren, is het dan niet die paar 100 euro extra waard om er een management tool bij te hebben die er "gewoon" voor geschreven is?

chef!

http://wiki.opscode.com/display/chef/Home

Je zou ook eens naar Quattor kunnen kijken. Dat wordt bij het CERN gebruikt om alle servers te beheren - en dan gaat het om zeker vijftig keer zo veel servers als in jouw geval. Een nadeel is wel dat het nogal veelomvattend is, waardoor het niet eenvoudig is om het 'even te testen'. Samen met tools als [url=http://leaf.web.cern.ch/leaf/index.htm[/]Leaf[/] kan het in ieder geval iets zijn om naar te kijken .

Het simpelst blijft gewoon svn en dat wordt voor dit soort dingen ook veel gebruikt

http://www.hoppie.nl/pub/node/79

Gebruik bij mijn werkgever voor 70 servers gewoon een shellscript met daarin:

ssh server1 $1
ssh server2 $2
..

Vervolgens roep je dat script aan met een commando tussen dubbele quotes en wordt dat commando op alle servers uitgevoerd. Voor het plaatsen van bestanden hebben we een soortgelijk script met scp.

Voor software updates zetten we gewoon pakketjes in een locale repository neer en kunnen we met bovenstaand script op alle servers de pakketjes updaten. Het is een beetje simpele oplossing, maar het werkt iig goed.

Voor Ubuntu hebben ze LandScape gemaakt.
Geen idee of dat wat is.

blokje1 schreef op donderdag 09 juli 2009 @ 16:07:
[...]


Niets mis met Satellite, Spacewalk is af en toe beetje buggy maar ook nog steeds interessant. Aanleiding van dit topic is puur inventarisatie en kijken naar andere mogelijkheden. Nadeel van RHN (wat beide dus eigenlijk is) is dat het bestaat uit 3 talen en een proprietary database nodig heeft (Oracle).

ze zijn er mee bezig om oracle eruit te slopen. Weet niet zeker of dit ook in satellite terecht komt

_JGC_ schreef op donderdag 09 juli 2009 @ 14:46:
Gebruik bij mijn werkgever voor 70 servers gewoon een shellscript met daarin:

ssh server1 $1
ssh server2 $2
..

Vervolgens roep je dat script aan met een commando tussen dubbele quotes en wordt dat commando op alle servers uitgevoerd. Voor het plaatsen van bestanden hebben we een soortgelijk script met scp.

Voor software updates zetten we gewoon pakketjes in een locale repository neer en kunnen we met bovenstaand script op alle servers de pakketjes updaten. Het is een beetje simpele oplossing, maar het werkt iig goed.

mussh doet dat ook gewoon

Webmin

Hoewel ik zelf nooit met de cluster opties heb gespeeld voldoet het wel aan jouw eisen geloof ik. Voordeel is dat het niet specefiek voor 1 distro is geschreven en dus waarschijnlijk goed werkt in mixed clusters. Nadeel is mischien dat je een aparte deamon hebt draaien maar dat hebben de meesten van dit soort pakket denk ik.

Kun je bij webmin je wijzigingen dan ook tegelijk op 150 bakken uit laten voeren?

En weet je ook zeker dat webmin de door jou gewenste configuraties aan kan? Programma's die door mij getweakte configuratiefiles overschrijven zijn bij mij iig not-done.

Zoals ik zei heb ik zelf nooit met de cluster opties gespeeld maar kijk gerust eens op hun website.

Webmin verandert soms inderdaad wel de opmaak van config files maar dat verschilt ook een beetje per module. Ik heb wel eens meegemaakt inderdaad dat sommige opties die niet via de Webmin GUI te veranderen waren verdwenen maar als je die opties nodig hebt moet je Webmin niet gebruiken om die config files te editten. En backups maken van je config files doe je toch al op een regelmatige basis neem ik aan.

Ik kan je dus eigenlijk niet veel vertellen over de cluster mogelijk heden in Webmin aangezien ik ze zelf nooit hebt gebruikt. Ik weet alleen dat het erin zit en anders is het framework zo flexibel dat er een goede kans is dat er ergens wel een thrid-party module bestaat en anders kun je er vast zelf wel een maken voor webmin.

Ik heb met webmin ook wel eens gehad dat ik config items kwijt was, domewg omdat de parser (of de exporter) van webmin die niet goed aankon.

Nooit meer webmin voor mij daardoor.

ja, Webmin leest volgensmij gewoon de config file, parsed deze in een interne structuur en bij het saven vertaalt hij deze interne structuur weer in een config file. Elke optie die niet in de structuur parsed verdwijnt dan net zoals de originele opmaak. Webmin is zeker niet perfect maar is volgensmij wel de enige die tal van distro's/OS en zelfs windows in zekere mate ondersteunt. Daarnaast is het zeker easy-to-use, maar inderdaad nogal invasive.

Zelf gebruik ik webmin niet meer omdat het voor mijn setup wat overkill is om een aparte deamon te draaien op poort 10000 alleen maar omdat ik met mijn muis wat wil aanpassen. Vi over SSH doet het net zo goed.

Nou ja het is handig voor thuis gebruik....

Maar werkt het ook als je x servers hebt? Als in: voert webmin die wijzigingen door op x hosts?

blokje1 schreef op zaterdag 11 juli 2009 @ 23:57:
Wat X nu weer met Configuratie files van Webmin te maken heeft snap ik dan weer niet

X als in x aantal hosts, niet X11.

Zelf beheer ik serverparken met scripts op basis van ssh $host $input. Dit telkens gegroepeerd per serverpark.

farm1/serverupdate.conf: welke hosts en welke commando's toegelaten worden per server
farm1/serverupdate.sh: functies + uitvoer

De functies in deze scripts omvatten onder andere updates, IDS controle/update en log checks.
Dagelijkse routine zaken dus.

[ Voor 46% gewijzigd door Arioch op 12-07-2009 14:45 ]

Arioch schreef op zondag 12 juli 2009 @ 14:33:
[...]

X als in x aantal hosts, niet X11.

Zelf beheer ik serverparken met scripts op basis van ssh $host $input. Dit telkens gegroepeerd per serverpark.

farm1/serverupdate.conf: welke hosts en welke commando's toegelaten worden per server
farm1/serverupdate.sh: functies + uitvoer

De functies in deze scripts omvatten onder andere updates, IDS controle/update en log checks.
Dagelijkse routine zaken dus.

Heb je dan een root login op die servers dmv public/private key? Of moet je voor iedere server het gebruikers-wachtwoord intikken bij sudo? Hoe doe je dat?

orillion schreef op zondag 12 juli 2009 @ 18:42:
[...]

Heb je dan een root login op die servers dmv public/private key? Of moet je voor iedere server het gebruikers-wachtwoord intikken bij sudo? Hoe doe je dat?

als je verse installs een default username password hebben. Kan je met met bijvoorbeeld php ssh inloggen met een username/password. inloggen keys over pompen. ww wijzigen en dat ergens veilig weg schrijven.
kan je script daarna met de keys aan de slag.

btw met sudo kan je ook zonder wachtwoord root acties uit voeren.
Als je root commando's gelimiteerd zijn kan is het veiliger om root buiten wegen te laten.

zoals ik al zei heb ik geen ervaring met de cluster opties van webmin maar inderdaad wat is het nut van zulke mogelijkheden als je opties niet op x (niet X11) aantal servers tegelijk kunt doorvoeren. Dan kun je net zo goed op elke bak los inloggen en het zelf doen.

Het impliceert in iedergeval dat het framework om dingen cluster-wide door te voeren er in iedergeval is maar wat er allemaal ondersteunt wordt is denk ik module afhankelijk.

Daarnaast werken volgensmij alle packetten volgens het read -> parse -> save systeem simpel weg omdat als je alle opmaak en niet ondersteunde opties wilt bewaren je een monster van een parser nodig hebt. En wie wil er zelf zijn config files editten EN waarde hechten aan de opmaak EN daarnaast alles mooi via een webbased form aanpassen. Hoewel ik het wel een uitdaging zou vinden om zo'n universele parser te schrijven.

Dus doe ik nog maar een duit in het zakje: rsync. Moet je alleen niet Debian en RedHat boxen gaan mixen.

svn zou ook kunnnen icm makefiles die je in je daarin stopt.

Boudewijn schreef op maandag 13 juli 2009 @ 12:26:
svn zou ook kunnnen icm makefiles die je in je daarin stopt.

Yep dat heb ik ook al twee keer gezegd Wil je het goed doen dan heb je voor je make files caspar nodig.

ik lees het woord makefiles anders maar 2x in dit topic,in mijn post en de jouwe.
Maar okay, als ik het zo lees bedoelde je idd hetzeflde.

Sorry