Собрание заметок об информационных технологиях
В прошлый раз мы пошагово рассмотрели пример миграции виртуальной машины с гостевой ОС Linux Debian 8 c платформы виртуализации oVirt на платформу Hyper-V. При этом мы провели MBR –> GPT конвертацию диска ВМ для возможности запуска в формате Hyper-V Gen2 с загрузчиком UEFI. В этой заметке мы в более сжатом виде рассмотрим пример аналогичной миграции, но уже для виртуальной машины с ПО Avaya IP Office Server на базе CentOS 6 с учётом нюансов, относящихся к данной ОС.
Когда-то мы уже рассматривали вариант организации дедуплицированного хранилища резервных копий виртуальных машин oVirt с помощью ПО QUADStor Storage Virtualization на CentOS Linux 7.2. Со временем описанная в той заметке конфигурация была переведена на ОС Debian GNU/Linux 9 и так работала до тех пор, пока нас не стало напрягать время остановки и запуска службы QUADStor тогда, когда требовалась перезагрузка хоста. Было решено попробовать возможности дедупликации Virtual Data Optimizer (VDO) в составе CentOS Linux 7 в качестве альтернативы дедупликации от QUADStor. В этой заметке мы и рассмотрим базовые теоретические моменты использования VDO с практическим примером применительно к нашей задаче резервного копирования виртуальных машин.
Когда мы рассматривали настройку SSSD на Debian 8 (Jessie), немного упоминали о возможности ограничения доступа к Linux-системе через группы безопасности в домене Active Directory. Однако рассматриваемый в том случае пример предполагает безусловное глобальное ограничение доступа на уровне всей Linux-системы. То есть, указанная в секции описания домена конфигурационного файла sssd.conf опция simple_allow_groups ограничивает доступ не только для входа в систему, но и для всех других служб внутри этой системы, которые будут использовать возможности SSSD. Таким образом, рассмотренный ранее пример настройки авторизации с помощью SSSD в Apache точно также, как и другие сервисы, использующие SSSD, будет ограничен глобальной опцией simple_allow_groups. Но как же быть, если доступ к Linux-системе и её отдельным сервисам требует гранулированной настройки? Например, требуется, чтобы право локального и/или удалённого входа в систему имели члены одной доменной группы безопасности, а право доступа к какому-то сайту веб-сервера Apache (или даже отдельному веб-каталогу) имели члены другой группы безопасности домена Active Directory. Попробуем решить эту задачу с помощью настройки механизма подключаемых модулей аутентификации - Pluggable Authentication Modules (PAM), а конкретнее с помощью использования возможностей библиотеки pam_listfile.so.
В этой части мы рассмотрим практический пример создания собственной Команды (Icinga Command) с набором аргументов в Icinga Director 1.3. В качестве подключаемого к Icinga плагина будем использовать плагин check_cpu.sh для мониторинга нагрузки на процессор с возможностью настройки допустимых границ нагрузки.
В этой части мы поговорим о теоретических аспектах управления конфигурацией Icinga и рассмотрим использование ранее развёрнутого модуля Icinga Director версии 1.2.0 для управления конфигурацией Icinga. Кроме того, на практических примерах будет рассмотрена базовая настройка таких объектов конфигурации Icinga Director, как Службы (Service), Шаблоны Хостов (Host Template) и Хосты (Host).
В этой части мы немного поговорим о возможных вариантах мониторинга удалённых хостов в системе мониторинга Icinga 2 и рассмотрим процедуру подключения хостов на базе CentOS и Debian Linux к ранее развёрнутому серверу мониторинга c помощью установки агента Icinga.
В одной из прошлых заметок я описывал пример установки набора утилит HP System Management Tools на физическом сервере HP ProLiant DL360 G5 с ОС CentOS Linux 7.2. Некоторое время спустя этот же сервер был использован в качестве хоста виртуализации и на нём были развёрнуты компоненты oVirt Hosted Engine. Недавно хост был выведен в обслуживание и на него из онлайн репозиториев были установлены обновлённые версии пакетов, а в число обновлённых пакетов вошли и пакеты с утилитами HP. После установки я решил проверить работоспособность обновлённых утилит и попытался открыть веб-узел HP System Management Homepage. Однако из этого ничего не вышло, так как хост попросту блокировал обращения на порт TCP 2381.
В очередной раз устанавливая обновления на сервер с ранее настроенной программной дедупликацией на базе QUADStor Storage Virtualization словил проблему со службой quadstor.service, которая отказалась стартовать после перезагрузки сервера. Подозрение сразу пало на только что установленную обновлённую версию ядра.
Заканчивая цикл заметок о развёртывании и базовой настройке свободно распространяемой системы виртуализации oVirt версии 4.0 хочу описать имеющуюся в составе oVirt возможность настройки оповещений об изменениях состояний компонент инфраструктуры виртуализации. Механизм оповещений oVirt может использоваться как базовое средство мониторинга среды виртуализации и может быть интегрирован в применяемые в организациях специализированные системы мониторинга. В моём случае такой системы мониторинга для сервисов на базе Linux-систем пока нет, и поэтому с помощью службы ovirt-engine-notifier я организую базовый мониторинг состояния компонент виртуализации oVirt. Эта служба позволяет настроить подписку на события, появляющиеся в логах oVirt Engine.
В прошлой заметке был рассмотрен пример простейшего ограничения доступа к веб-серверу Apache с применением незащищённой Basic-аутентификации и использованием учётных данных из файла. Разумеется такой режим аутентификации нельзя считать безопасным и поэтому в данной заметке мы рассмотрим пример настройки Kerberos-аутентификации и авторизации на веб-сервере Apache c помощью службы SSSD (System Security Services Daemon).
Ранее уже рассматривался пример подобной настройки веб-сервера Apache, однако в том случае для поддержки Kerberos-аутентификации в систему устанавливался пакет krb5-workstation, а для авторизации использовался функционал интеграции oVirt с Active Directory. В этой заметке мы пойдём по несколько иному пути, так как для аутентификации пользователей в домене AD будем использовать модуль Apache mod_auth_gssapi, а для авторизации модуль - mod_authnz_pam, который будет использоваться в связке с SSSD. То есть получать доступ к веб-серверу смогут все те доменные пользователи, что уже имеют доступ на подключение к самому серверу. Такая конфигурация может быть проста в настройке и полезна в тех случаях, когда некоторому кругу администраторов Linux-сервера нужно предоставить возможность прозрачного подключения (Single sign-on) к веб-сайту того или иного сервиса, работающего на этом сервере, как в ранее рассмотренном случае с веб-консолью QUADStor.
Спасибо, помогло!
Всё так и есть. На гитхабе пакеты для новых версий 3.0.18 и 3.0.19 выложены, но в репозиторий "https://repo.openbytes.ie/patchman/debian bookworm main"…
RSS - Записи
Последние комментарии