यदि उनमें से बहुत सारे हैं तो वर्चुअल मशीनों का प्रबंधन कैसे करें

जब हमने कुछ और प्रोजेक्ट जारी किए, और थीम पर ट्रैकर में टिकटों की संख्या "एक उपयोगकर्ता बनाएं, एक वर्चुअल मशीन को तैनात करें, एक्सेस दें" सभी अनुमान योग्य सीमाओं को पार कर गए, कुछ बदलने की आवश्यकता थी।
उद्देश्य: कई विकास टीमों और परीक्षकों के लिए एक कार्यशील वातावरण को व्यवस्थित करना। वर्चुअल मशीनों की कुल संख्या तीन से चार दर्जन है।




मैं अभी यह कहना चाहूंगा कि यह लेख एक विस्तृत चरण-दर-चरण मार्गदर्शिका नहीं है "जैसा कि यह है और जैसा कि यह होना चाहिए", लेकिन केवल व्यावहारिक अनुभव और हमारे द्वारा उपयोग किए जाने वाले टूल का संक्षिप्त विवरण। यह समझा जाता है कि पाठक स्वयं समस्याओं को हल करने में सक्षम होंगे, उदाहरण के लिए, आवश्यक निर्भरताएं, पैकेज स्थापित करना, नेटवर्क स्थापित करना आदि। हम जानबूझकर स्क्रीनशॉट और विस्तृत कॉन्फ़िगरेशन फ़ाइलों को संलग्न नहीं करते हैं और पाठक को सूचीबद्ध उपकरणों का स्वतंत्र रूप से पता लगाने का अवसर छोड़ देते हैं।

यह आवश्यक है:

• विशिष्ट पैटर्न के अनुसार आभासी मशीनों की तैनाती को स्वचालित करें, तैनाती के समय को कम करें,
• उपयोगकर्ता प्रमाणीकरण को सरल बनाएं
• प्रत्येक वर्चुअल मशीन पर त्वरित सेवा कॉन्फ़िगरेशन प्रदान करें
• संपूर्ण अर्थव्यवस्था के लिए एक नियंत्रण केंद्र के साथ प्रशासक प्रदान करें और उसे एक ही प्रकार की कॉन्फ़िगरेशन फ़ाइलों में से कई के नियमित संपादन से बचाएं,
• एक पूरे के रूप में, और प्रत्येक आभासी मशीन के लिए सिस्टम की स्थिति की वास्तविक समय की निगरानी प्रदान करते हैं।

टूल्स के लिए आवश्यकताएं: ओपन-सोर्स, सेटअप में आसानी और उपयोग, वेब इंटरफेस या कॉन्फ़िगरेशन के लिए उपयोगिताओं का एक शक्तिशाली पैकेज।

उपयोग किए गए समाधान: ubuntu 10.04 और अन्य संस्करण, प्रॉक्समॉक्स ओपनवेज़, शेफ, ओपनडैप, जीआईटी, ज़ेडबिक्स

1. प्रमाणीकरण।

ओपनडैप तैनात करें। हाल ही में, Openldap पैकेज एक गतिशील कॉन्फ़िगरेशन योजना में बदल गया है, इसलिए सभी कॉन्फ़िगरेशन विशेष ldif फ़ाइलों का उपयोग करके किया जाता है। मुझे नहीं पता कि यह अच्छा है या बुरा, यह असामान्य है और हमेशा कम से कम तुच्छ नहीं है। उदाहरण के लिए, आप इस लेख का उपयोग कर सकते हैं। उसी लेख का उपयोग करके, यदि आवश्यक हो तो आप LDAP प्रतिकृति को कॉन्फ़िगर कर सकते हैं।
हमने LDAP फ्रंटेंड को कॉन्फ़िगर नहीं किया, फिर LAM वेब कंट्रोल पैनल (v3.4.0) ने हमारे लिए यह किया। हमें LDAP के लिए अधिक सुविधाजनक डैशबोर्ड कभी नहीं मिला। GOSA में थोड़ी अधिक कार्यक्षमता है, लेकिन कॉन्फ़िगर करने के लिए बहुत अधिक जटिल है, बाकी उत्पाद स्पष्ट रूप से उपस्थिति और कार्यक्षमता में पर्याप्त नहीं हैं।

चूंकि हम डेवलपर्स और परीक्षकों के लिए प्रमाणीकरण प्रक्रिया को यथासंभव सरल बनाना चाहते थे, इसलिए पासवर्ड के अलावा उनसे सार्वजनिक कुंजी एकत्र करने और उन्हें LDAP में रखने का निर्णय लिया गया।
यह योजना हमें SSH कुंजियों का उपयोग करके पासवर्ड के बिना प्रमाणित करने की अनुमति देगी। चाबियाँ और सामान्य एसएसएच कॉन्फ़िगरेशन के बारे में लेख यहां है , केवल अधिकृत_की फाइल के बजाय हम एलडीएपी से जानकारी का उपयोग करेंगे।

ऐसा करने के लिए, आपको एलपीके पैच (इसके बारे में नीचे) के साथ ओपनश को इकट्ठा करने की जरूरत है और एलडीएपी में ओपनश-एलपीके_ओपेनलैड.सचेमा योजना से कनेक्ट करें
root:/#cat lpk.ldif
dn: cn=openssh-lpk,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: openssh-lpk
olcAttributeTypes: {0}( 1.3.6.1.4.1.24552.500.1.1.1.13 NAME 'sshPublicKey' DES
C 'MANDATORY: OpenSSH Public key' EQUALITY octetStringMatch SYNTAX 1.3.6.1.4.
1.1466.115.121.1.40 )
olcObjectClasses: {0}( 1.3.6.1.4.1.24552.500.1.1.2.0 NAME 'ldapPublicKey' DESC
'MANDATORY: OpenSSH LPK objectclass' SUP top AUXILIARY MAY ( sshPublicKey $
uid ) )
root:/#ldapadd -Y EXTERNAL -H ldapi:/// -f lpk.ldif

LAM वेब इंटरफ़ेस को कॉन्फ़िगर करना तुच्छ है और इस पर अधिक ध्यान देने की आवश्यकता नहीं है। स्थापना के बाद, पैनल LDAP फ्रंटेंड को स्वयं कॉन्फ़िगर करने में सक्षम है। सेटिंग पैनल में, आपको SSH पब्लिक की मॉड्यूल (ldapPublicKey) को भी कनेक्ट करना होगा।

2. एसएसएच

रिपॉजिटरी से, वह नहीं जानता कि एलडीएपी से सार्वजनिक कुंजी कैसे लेनी है, हम उसे सिखाएंगे।
एलपीके प्रौद्योगिकी के बारे में पढ़ें और यहां पैच प्राप्त करें।
root:/#apt-get source ssh
root:/#cd openssh-5.3p1
root:/#patch -p1 < contrib-openssh-lpk-5.4p1-0.3.13.patch
सब कुछ जो पुनर्निर्देशित किया गया था, और हमें दो फाइलें और दो लाइनें मिलीं, मैन्युअल रूप से पैच।
डेबियन / नियमों में, आपको दो स्थानों पर जोड़ने की आवश्यकता है ../configure
--with-libs="-lldap" --with-ldflags="-L/usr/lib" --with-cppflags="-I/usr/include -DWITH_LDAP_PUBKEY"

इस पैकेज को कार्य प्रणाली में सफलतापूर्वक प्राप्त करने के लिए और रिपॉजिटरी से काम करने वाले संस्करण के साथ संघर्ष नहीं करने के लिए, कई तरीके हैं, उदाहरण के लिए:

• उन्नयन पैकेज संस्करण
• डेबियन / नियंत्रण और डेबियन / नियम को ठीक करें, किसी अन्य नाम से पैकेज का नाम दें और इसे सभी को इकट्ठा करने का प्रयास करें।

सबसे आसान तरीका है अपग्रेड करना। पैकेज समस्याओं के बिना खड़ा होगा, लेकिन भविष्य में अद्यतन करने में समस्याएं होंगी। चूंकि हमारे बुनियादी ढांचे को बाहरी रूप से बंद कर दिया गया है, आभासी मशीनों का जीवनकाल अपेक्षाकृत कम है, इस वातावरण में सुरक्षा समस्याएं हमारे लिए विशेष रूप से महत्वपूर्ण नहीं हैं, फिर हमने यह रास्ता चुना। उत्पादन वातावरण के लिए, यह विधि, निश्चित रूप से, उपयुक्त नहीं है।

हम चैंज में बदलाव करते हैं और पैकेज इकट्ठा करते हैं
root:/#dch -i
root:/#dpkg-buildpackage -b

आउटपुट में, हमें एक निश्चित 'ओपनशेडबब' मिलता है, जो कुछ शर्तों के साथ LDAP 'sshPublicKey' को क्वेरी करने में सक्षम है।
LDAP में उपयोगकर्ता प्रविष्टि

• ऑब्जेक्टक्लास के साथ 'ldapPublicKey'
• c ऑब्जेक्टक्लास 'पॉज़िक्सअकाउंट'
• विशेषता के साथ 'sshPublicKey' भरा

LDAP में समूह प्रविष्टि

• c ऑब्जेक्टक्लास 'पॉज़िक्सग्रुप'
• विशेषता के साथ 'cn' और इसमें समूह का नाम
• विशेषता 'सदस्य' के साथ, जो इस समूह के यूआईडी सदस्यों को सूचीबद्ध करेगा।

/ Etc / ssh / sshd_config में आवश्यक सेटिंग्स
UseLPK yes
LpkServers ldap://10.10.10.10/ # LDAP
LpkUserDN ou=People,dc=office #
LpkGroupDN ou=group,dc=office #
LpkBindDN cn=admin,dc=office # ,
LpkBindPw secret #
LpkServerGroup developers #
LpkForceTLS no # TLS, .
LpkSearchTimelimit 3 #
LpkBindTimelimit 3 #
LpkPubKeyAttr sshPublicKey # LDAP
अपनी LDAP सेटिंग्स के आधार पर, आप बस अनावश्यक मापदंडों पर टिप्पणी कर सकते हैं।

3. विन्यास को नियोजित करें।

चूंकि वर्चुअल मशीनों का पूरा बेड़ा व्यावहारिक रूप से हमारे लिए समान है, इसलिए हमने ऑप्सोड रिपॉजिटरी से शेफ कॉन्फ़िगरेशन के लिए परिनियोजन प्रणाली का उपयोग किया।
सिस्टम बहुत शक्तिशाली और लचीला है, यह आपको लगभग हर चीज की स्थापना को स्वचालित करने की अनुमति देता है जो आप सोच सकते हैं।

Postgres + Postgis को कॉन्फ़िगर करने के लिए एक सरल नुस्खा का एक उदाहरण
# Cookbook Name:: postgres
# Recipe:: default
package "postgresql" do
action:install
options "--force-yes"
end

package "postgresql-contrib" do
action:install
options "--force-yes"
end

package "postgis" do
action:install
options "--force-yes"
end

package "postgresql-9.0-postgis" do
action:install
options "--force-yes"
end

script "install_postgis" do
interpreter "bash"
user "postgres"
cwd "/tmp"
code <<-EOH
createdb template_postgis
createlang plpgsql template_postgis
psql -d template_postgis -f /usr/share/postgresql/9.0/contrib/_int.sql
psql -d template_postgis -f /usr/share/postgresql/9.0/contrib/postgis-1.5/postgis.sql
psql -d template_postgis -f /usr/share/postgresql/9.0/contrib/postgis-1.5/spatial_ref_sys.sql
createuser -s pgsql
EOH
end

क्लाइंट पर LDAP कॉन्फ़िगर करें। यहां हम केवल क्लाइंट मशीन पर सेटिंग्स के साथ पूर्व-कॉन्फ़िगर फाइलें बिछाते हैं ताकि क्लाइंट हमारे LDAP में लॉग इन कर सके।
# Cookbook Name:: openldap
# Recipe:: auth

package "nscd" do
action :upgrade
end

package "libnss-ldap" do
action :upgrade
end

package "libpam-ldap" do
action :upgrade
end

service "nscd" do
supports :status => true, :restart => true, :reload => true
action [ :restart ]
end

service "ssh" do
supports :status => true, :restart => true, :reload => true
action [ :restart ]
end

script "prepare dirs" do
interpreter "bash"
user "root"
cwd "/tmp"
code <<-EOH
mkdir -p /etc/ldap
EOH
end

cookbook_file "/etc/libnss-ldap.conf" do
source "libnss-ldap.conf"
mode 0644
owner "root"
group "root"
end

cookbook_file "/etc/pam_ldap.conf" do
source "pam_ldap.conf"
mode 0644
owner "root"
group "root"
end

cookbook_file "/etc/nsswitch.conf" do
source "nsswitch.conf"
mode 0644
owner "root"
group "root"
notifies :restart, resources(:service => "nscd"), :immediately
end

%w{ account auth password session }.each do |pam|
cookbook_file "/etc/pam.d/common-#{pam}" do
source "common-#{pam}"
mode 0644
owner "root"
group "root"
notifies :restart, resources(:service => "ssh"), :delayed
end
end

शेफ का उपयोग करते हुए, हम प्रत्येक वर्चुअल मशीन पर पहले से ही कॉन्फ़िगर किए गए ज़ैबिक्स-एजेंट और इसके लिए जेडटीसी स्क्रिप्ट का एक सेट स्थापित करते हैं। ऑटोडिस्कवरी द्वारा ज़ैबिक्स वर्चुअल मशीन शुरू करने के बाद, यह इसे पूल में जोड़ता है और तुरंत आवश्यक टेम्पलेट संलग्न करता है। Zabbix कंट्रोल पैनल भी LDAP से जुड़ा हुआ है। यहां केवल एक चीज जो एलडीएपी और ज़ैबिक्स उपयोगकर्ताओं के स्वचालित तुल्यकालन के लिए एक स्क्रिप्ट थी, मॉनिटरिंग स्वयं उपयोगकर्ताओं को बनाने में सक्षम नहीं है।

चूँकि हमारी सार्वजनिक ssh कुंजियाँ अब एक केंद्रीकृत भंडार में संग्रहित हैं, इसलिए इस योजना ने GIT को GIT प्रक्रिया में दर्द रहित और उपयोगकर्ताओं के लिए पारदर्शी रूप से एकीकृत करना संभव बना दिया है।

Proxmox नियंत्रण कक्ष, ओपनवेज़, LVM स्टोरेज के लिए पूर्व-कॉन्फ़िगर किए गए टेम्पलेट, हमें नई वर्चुअल मशीनों की तैनाती को सरल और गति प्रदान करने की अनुमति देते हैं। हम सभी आवंटित संसाधनों को नियंत्रित करते हैं, लोड के तहत सब कुछ पूर्वानुमान और stably व्यवहार करता है। ऐसी वर्चुअल मशीन को लागू करने और बनाए रखने की लागत अन्य वर्चुअलाइजेशन सिस्टम की तुलना में बहुत कम है।

आपको याद दिला दूं कि यह एक परीक्षण और विकास का माहौल है, जो पूरी तरह से बाहरी दुनिया के लिए बंद है, महत्वपूर्ण डेटा के बिना और बैकअप की आवश्यकता के बिना। इसलिए, इस योजना में, सुरक्षा और दोष सहिष्णुता के संदर्भ में कई महत्वपूर्ण बिंदु छूट गए। इस योजना में उत्पादन के लिए, आपको प्रमाणपत्र, टीएलएस, एसएसएल, पासवर्ड नीति, विभिन्न पीएएम सुरक्षा तंत्रों के बारे में, सूडो के बारे में और साथ ही फ़ायरवॉल नियमों और समूह नीतियों के बारे में सोचना होगा।

कुछ और लिंक:
इंटरनेट प्रोजेक्ट के लिए LDAP
शेफ या एक हजार सर्वर का प्रबंधन कैसे करें
OpenVZ का उपयोग करके लिनक्स वर्चुअलाइजेशन
Zabbix यूनिवर्सल मॉनिटरिंग सिस्टम - परिचय