Hintergrund

• ITIL:
  • Configuration Management
    • Konfigurationseinheiten (CIs) und -datenbank (CMDB).
  • Change Management
    • (Management-) Prozesse zur Freigabe und Durchführung von Änderungen.
  • Idealerweise gemeinsam implementiert.

Hintergrund

• http://www.iu.hio.no/~mark/ Mark Burgess - One man show
  • Professor für Netzwerke und Systemadministration an der Universität Oslo
  • Systemadministration an der Osloer Physikfakultät
  • PhD in theoretischer Physik

Konzepte

• Die Entropie der Systemkonfiguration nimmt durch Benutzer-Interaktion beständig zu
  • cfengine als "Immunsystem" des Rechners

• Sprache für Konfigurationsrichtlinien
  • (größtenteils) deklarativ, nicht prozedural, idempotent
    • beschreibt den Sollzustand eines Systems
  • Fokus auf guter Lesbarkeit

• Agent setzt die Richtlinien um
  • bearbeitet ausschließlich den Knoten auf dem er läuft
  • keine unmittelbare Steuerung durch zentralen Server
• Das System konvergiert zum beschriebenen Sollzustand (Fixpunkt)

Kernfunktionalität

• Interpreter cfagent
• /etc/cfengine/cfagent.conf
• Gestartet durch cfexecd oder cron
• Zufällige gestreute Wartezeit beim Start
• Stets zwei Durchläufe (Two pass)

• GSI: zweimal stündlich gestartet durch cfexecd

In medias res

copy:

   ${configspace}/sshd_config
      dest=/etc/ssh/sshd_config

Klassen

copy:
      ${configspace}/sshd_config
         dest=/etc/ssh/sshd_config
         define=ReloadSSH

shellcommands:

   ReloadSSH::
      "/usr/sbin/invoke-rc.d ssh reload > /dev/null"

Klassen

• Vorgegebene Basisklassen (hard classes):
  • Hostname, IP-Adresse: lxg0815, 140_181_70_60
  • OS: linux, debian, debian_4_0
  • Datumswerte: Friday, Yr2007, Hr09, Min15_20
  • ...

Klassen: groups

groups:
   dns = ( lxdns1 lxdns2 )

   batchfarm = ( !HostRange(lxb,000-999) )

      standalone = ( '/usr/bin/test -w /' ) 

control:
      AddClasses = ( ExecResult(/gsiroot/sbin/cfe-mainboard) )

Zentralisierung

copy:
   any::
      ${configspace}/sshd_config
         dest=/etc/ssh/sshd_config
         define=ReloadSSH
         server=cfmaster.gsi.de

Zentralisierung: bootstrapping

• cfengine installieren und starten
• /etc/cfengine/update.conf holen oder erzeugen.
  • Enthält Richtlinien zum Kopieren der cfengine-Konfiguration von Master
    • Vor der Anwendung von cfagent.conf.

• "demokratisch" - pull basiertes Update

• GSI:
  • FAI installiert cfengine und update.conf
  • Server holt Konfiguration automatisch aus dem SVN-Repository
  • Gleiche Richtlinien auf allen Maschinen
    • Klassen steuern, welche Richtlinien wo aktiv werden.
  • Monitoring mit cfshow --last-seen (-> Nagios)

Aktion: editfiles

editfiles:
   { /etc/ssh/sshd_config
      ReplaceFirst ".*X11Forwarding no" 
         With "X11Forwarding yes" 
      ReplaceFirst "PasswordAuthentication no" 
         With "PasswordAuthentication yes"
      DefineClasses "RestartSSH"
   }

Aktion: editfiles

{ /etc/sudoers

   BeginGroupIfNoLineMatching "User_Alias ADMINS=.*"

      WarnIfNoLineMatching "# User alias specification"
      LocateLineMatching "# User alias specification"
      InsertLine "User_Alias ADMINS=christo,karin,schoen,shaller,troth"

   EndGroup
}

Aktion: packages

packages:
   desktop::
      gsi-desktop
         version=1
         cmp=ge
         action=install

Aktion: processes

processes:
   !reboot::
      "cfexecd" restart 
         "/usr/sbin/invoke-rc.d cfengine2 start > /dev/null"
         inform=true

      "syslog-ng" restart 
         "/usr/sbin/invoke-rc.d syslog-ng start > /dev/null"
         inform=true

      ...

   !reboot.debian_3_1::
      "ntpd" restart 
         "/usr/sbin/invoke-rc.d ntp-server start > /dev/null"
         inform=true

Weitere Aktionen

• files : Datei-Besitzer und -Berechtigungen ändern/reparieren,
  Prüfsummencheck (tripwire "für Arme")
• control : Variablendefinition, Konfiguration von cfengine
• disable : verschiebt Dateien
• disks : überwacht Plattenplatz
• links : wartet Symlinks
• tidy : räumt auf

• acl, binservers, broadcast, mountables, ...

• http://www.debian-administration.org/articles/481 Module
• http://www.iu.hio.no/cfengine/confdir/methods.html Methoden

Aktion: filter

filters:
   { no_svn_dirs
      NameRegex: ".*/\.svn(/.*)?$"
      Result: "!NameRegex"
   }

copy:
   /src
      dest=/dest
      r=inf
      filter=no_svn_dirs

Anomalie-Erkennung

• Zusätzlicher Dämon cfenvd
  • Überwacht bestimmte Netzwerkports, Anzahl der User, Load, usw.
  • Berechnung von Durchschnitt und Standardabweichung
    • cfenvd lernt die Normalwerte von selbst
  • Wöchentliche Periode einbezogen

• In cfengine werden entsprechende Klassen definiert:
  • www_in_high_dev2
  • LoadAvg_low_anomaly

• Außerdem wird die Verteilung der Verbindungen auf Kommunikationspartner untersucht ("Entropy"):
  • entropy_smtp_in_low

• Alarme können bspw. über shellcommands ausgelöst werden:

   LoadAvg_high_anomaly::
      "/bin/echo Load anomaly on $(host) value $(value_loadavg) \\ 

          average $(average_loadavg) +- $(stddev_loadavg)"

cfetool

• Anlehnung an rrdtool
• Überwachung beliebiger Messwerte möglich
• Beachtung täglicher, wöchentlicher und jährlicher Perioden möglich
• analoge Klassendefinition in cfengine

Konkurrenz

• Handarbeit (ad-hoc Administration) - skaliert nicht
• Shell-Skripte
• http://reductivelabs.com/trac/puppet/ Puppet
  • "next generation cfengine"
  • Operating System Abstraction Layer (OSAL)
• http://trac.mcs.anl.gov/projects/bcfg2/ bcfg2
  • "Kongruenz" statt Konvergenz
  • Intelligenz größtenteils im zentralen Server, Clients möglichst unselbständig.
• Quattor (CERN)
  • Bestandteil von Elfms (Extremely large fabric management system)
    • zusammen mit Lemon und Leaf
  • Beschreibungssprache PAN
  • Konfigurationsdatenbank CDB

• u.v.m.

Meckerkasten/Wunschliste

• Einstiegshürde
• Syntax gewöhnungsbedürftig
• Bessere Übersichtlicht bei Definition/Management von Klassen
  • Dokumentationserzeugung
• Bessere Integrationsfähigkeit mit anderen Tools (API)