Aus Linux-Magazin 09/2024

Notizen von der Netways Stackconf 2024 in Berlin

© Netways

Wie in jedem Jahr trafen sich Mitte Juni wieder Admins, Infrastrukturexperten, Mitarbeiter mit DevOps-Ausrichtung und RZ-Beschäftigte in Berlin zur von Netways veranstalteten Stackconf, um sich über alle Themen rund um DevOps und Open-Source-Infrastruktur auszutauschen.

Die zwei Konferenztage der Stackconf 2024 waren vollgepackt mit interessanten Vorträgen in zwei parallelen Tracks, bei denen internationale Experten ihrem Publikum Neues wie Bekanntes näherbrachten. Eher dem Bekannten zuzurechnen war beispielsweise ein Vortrag von Schlomo Schapiro, einem der Maintainer des De-facto-Standardwerkzeugs für Disaster Recovery unter Linux, Relax-and-Recover (ReaR [1]).

Der Titel seines Referats lautete allerdings leicht irreführend “Why is there no new release? Nobody pays for the basics.” Das deutete eher auf einen Vortrag über Probleme der Open-Source-Finanzierung hin, ein Aspekt, der tatsächlich aber kaum vorkam. Dagegen beschrieb Schapiro, wie sich mithilfe eines aktuellen Backups und ReaR ein ausgefallener Server auf neuer Hardware vollautomatisch wiederherstellen lässt – inklusive Partitionierung der Platten, Einrichten der Filesysteme, des Netzwerks und so weiter.

Das seit fast zwei Jahrzehnten stetig weiterentwickelte Tool schafft das mit so gut wie jeder Linux-Spielart, inklusive SLES und RHEL. Es integriert die meisten bekannten Backup-Suiten, darunter SEP Sesam und Bacula beziehungsweise Bareos, genauso aber auch kommerzielle Vertreter wie IBM Tivoli oder Veeam. Noch Luft nach oben bleibt nach selbstkritischer Einschätzung bei der Dokumentation, dem Testen (dabei ist man auf Benutzer angewiesen) und bei der Kontinuität des Release-Zyklus.

Eher den Neuigkeiten zuzurechnen war kurz darauf ein Vortrag unter dem Titel “Generative AI Security – A Practical Guide to Securing Your AI Application”, gehalten von Manuel Heinkel (Abbildung 1) und Puria Izady. Beide arbeiten als Solutions Architect bei AWS. Allzu praktisch wurde es dann tatsächlich aber nicht. Stattdessen stellten die Sprecher eher strategische Überlegungen an, die sich auf die Risikoanalysen des OWASP (Open Web Application Security Project, eher für Entwickler) beziehungsweise des MITRE ATLAS (Adversarial Threat Landscape for Artificial Intelligence Systems [2], eher für Security-Profis) stützten.

Abbildung 1: Manuel Heinkel, Solutions Architekt bei AWS, bei seinem Vortrag. Quelle: Netways

Abbildung 1: Manuel Heinkel, Solutions Architekt bei AWS, bei seinem Vortrag. Quelle: Netways

So finden sich in der Liste des OWASP, die die zehn kritischsten Verwundbarkeiten für LLMs sammelt [3] (um die ging es auch im Vortrag hauptsächlich) Risiken wie Prompt Injection, Vergiftung von Trainingsdaten, Modelldiebstahl oder die Offenlegung sensitiver Informationen. Begegnen lässt sich diesen Gefahren unter anderem durch eine Untersuchung sowohl des Inputs als auch des Outputs eines Sprachmodells. Dabei kann beispielsweise eine Bibliothek wie die Foundation Model Evaluations Library (Fmeval [4]) zum Einsatz kommen, die AWS unter der Apache-Lizenz entwickelt.

Sprechende Logs

Wie kann man mehr Erkenntnisse aus Logs, Metriken und Traces gewinnen? Indem man sie mit Metadaten anreichert – so lautet jedenfalls die Antwort von Dotan Horovits (Logz.io [5]).

Metadaten, also Daten über Daten, ergänzen dabei den Kontext, in dem ein Protokolleintrag, Messwert oder Trace zustande gekommen ist. Dabei werden Namen, Zeitstempel, Adressen, Port-Nummern, die geografische Region, die Art der Umgebung (Test, Entwicklung, Produktion) und dergleichen ergänzt. So verwandeln sich die derart angereicherten nackten Zahlen in sinntragende Messpunkte. Die Metadaten sollten sich dabei nicht im Text verstecken, etwa in einer Log-Meldung, sondern in expliziten Feldern gespeichert werden. Außerdem ist es wichtig, die Metadaten zu standardisieren, beispielsweise auf Basis des Open-Telemetrie-Frameworks, damit dieselben Kontextinformationen an allen Stellen gleich benannt sind und sich Ereignisse korrelieren lassen.

Gleich zwei Vorträge stellten kompakte Linux-Distributionen für den Einsatz in Container-Umgebungen vor. Zum einen sprach Krish Jain (Abbildung 2) über Flatcar Container Linux [6], ein minimales Betriebssystem, das nur die Werkzeuge enthält, die man für das Ausführen von Containern benötigt. Es gibt keinen Paketmanager, kundenspezifische Software lässt sich dennoch integrieren. Das unveränderliche Dateisystem beseitigt per se bereits eine ganze Kategorie von Sicherheitslücken. Zum anderen stellte Pip Oomen aus den Niederlanden Talos Linux [7] vor, das mit ähnlichen Eigenschaften aufwartet und dabei weder über eine Shell oder Konsole noch über SSH verfügt. Den Linux-Kernel komplettiert ein zu Gänze in Go neu geschriebenes Userland. Auch hier erlaubt der größte Teil des Filesystems keine Schreiboperationen, die gesamte Kommunikation erfolgt verschlüsselt, die Images sind signiert. Das macht das sehr kleine (80 MByte) Linux ebenfalls besonders sicher.

Abbildung 2: Krish Jain bei seinem Vortrag über Flatcar Container Linux. Quelle: Netways

Abbildung 2: Krish Jain bei seinem Vortrag über Flatcar Container Linux. Quelle: Netways

DBaaS mit Kubernetes

Ein weiteres Thema, das mehrere Referenten aufgriffen, waren Datenbanken unter Kubernetes. Ihr Betrieb ist dort nicht ganz einfach, weil K8s ursprünglich nur für zustandslose Applikationen geschaffen wurde, Datenbanken aber zustandsbehaftet arbeiten. CouchDB, so berichtete Gregor Bauer, Manager Solutions Engineer beim Datenbankhersteller, erleichtert seinen Kunden die Handhabung, indem es einen eigenen Kubernetes-Operator entwickelt hat. In einer Demo führte er vor, wie sich mit dessen Hilfe ein kleiner Datenbank-Cluster schnell aufsetzen und sich ein Ausfall eines Nodes ohne Downtime automatisch kompensieren lässt.

Auch Peter Zaitsev, einer der Gründer von Percona, das heute unter anderem Docker-Images für MySQL, PostgreSQL und MongoDB anbietet, verwies auf die Schwierigkeiten des Datenbankbetriebs unter Kubernetes. Dabei kam er auf ein Projekt zu sprechen, das sich speziell diesem Thema widmet und Databases on Kubernetes (DoK) heißt [8]. In diesem Zusammenhang unterstrich er, wie wichtig es sei, den kommerziellen Angeboten wie MongoDB Atlas, Amazon Aurora oder Google Cloud SQL auch Open-Source-Lösungen entgegenzustellen. Solche Database-as-a-Service-Angebote (DBaaS) auf Open-Source-Basis seien noch Work-in-Progress, aber auf einem guten Weg.

Alles in allem überzeugte die Konferenz nicht nur mit einem interessanten Vortragsprogramm, sondern auch durch ihre perfekte Organisation, die einen netten Abend zum Erfahrungsaustausch in einer originellen Berliner Lokalität einschloss.

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 2 HeftseitenPreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben