Es hat sich in den vergangenen Monaten sehr viel im S/390-Teil des Kernels getan. Die Bugfixes für die Version 2.4.7 sind insgesamt stabil, in den neuen Kernelversionen bis 2.4.16 sind zusätzlich aber viele interessante Dinge passiert, die wir in den nächsten Wochen nutzen werden, sobald die Netzwerk-Binärmodule verfügbar sind.
Wir werden dann im Laufe der Zeit endlich auch solche Eigenschaften von Linux testen und nutzen, die wir bislang nicht benötigt haben, aber dennoch gerne einmal ausprobiert hätten, zum Beispiel den Datendurchsatz von mehreren GByte/s, hundert Netzwerkschnittstellen und mehr, Traffic Shaping (Bandbreitenbegrenzung), Virenscan mit 50 GByte pro Tag, Routing mit Iproute 2, VPN direkt mit dem Großrechner und virtuelle DMZ.
Mit der Anforderung an Hochverfügbarkeit wird die Firewall dynamisch rekonfigurierbar werden müssen, inklusive Routing und Regeln. Wir sind sicher, dass Linux das alles bewältigen kann, und möchten seine Leistung jenseits des PCs kennen lernen. (fjl/uwo)
S/390 und zSeries |
|
Linux for S/390 and zSeries[1] – so die offizielle Bezeichnung – umfasst eine 31-Bit-Portierung für die S/390-Architektur und eine 64-Bit-Version für den Nachfolger z-Architektur. Die 31-Bit-Fassung ist aufwärtskompatibel auch auf den neuen zSeries-Modellen lauffähig. Offiziell unterstützt IBM nur Rechner ab Prozessor-Generation fünf, da sie einen Gleitkommaprozessor haben. Eine Spezialität der Großrechner ist die hardwareseitige Virtualisierung. Dabei wird die Maschine in bis zu 15 logische Partitionen (LPAR, logische Hardwareblöcke) aufgeteilt. Jede dieser LPARs erhält ihren Anteil an den verfügbaren Ressourcen (CPUs, Hauptspeicher, Platten, Netzwerkkarten und Ähnlichem). LPARs verhalten sich also wie einzelne Rechner, obwohl sie in derselben Maschine stecken. Sie können beispielsweise Produktions- und Testsysteme parallel ausführen. Das IBM-Betriebssystem zVM (früher VM/ESA) kann eine LPAR wiederum in virtuelle Maschinen aufteilen, die so genannten VM-Guests. Damit ist die Anzahl der möglichen Linux-Installationen auf einem realen Rechner nahezu unbegrenzt. Virtualisieren lassen sich auch Massenspeicher jeglicher Größenordnung, Netzwerkadapter und Spezialhardware wie Kryptographie-Prozessorkarten oder Steuereinheiten für die klassischen Terminalkonsolen (3270-Bildschirme). Je nach Art der Ressource lässt sich dann eine Aufteilung sehr flexibel konfigurieren, ob etwa der Anteil für eine bestimmte LPAR fest zugeordnet ist oder je nach Auslastung schwankt. Konfiguriert wird das Ganze über mehr oder weniger kryptische Textdateien, ein Linuxer wird sich also heimisch fühlen. Netz im Großrechner Die Netzwerkadapter OSA-2 bis OSA Express Gigabit Ethernet können etwas mehr als ihre PC-Kollegen. Sie bieten von sich aus schon eine Virtualisierung und unterstützen manchmal sogar mehrere Netzwerktypen (etwa Ethernet, Token-Ring und FDDI) in einem Adapter. Ein spezieller Netzwerkzugang ist die ESCON-Verbindung, die direkt auf eine externe Box führt, erst diese übernimmt dann das eigentliche Routing. Grundlage für die Firewall-Aktivitäten sind die Kommunikationsmöglichkeiten der virtuellen Maschinen untereinander. Eine zVM kann virtuelle Verbindungen zwischen beliebigen VM-Guests herstellen, LPARs können über ESCON-Kabel miteinander kommunizieren, auf den neuesten zSeries-Modellen auch intern mit Speicherbusgeschwindigkeit über so genannte Hipersockets. Reise in die EDV-Steinzeit In der zVM kann man auch Hardware verteilen, die gar nicht physisch vorhanden ist. Wie eine Reise in die EDV-Vergangenheit sieht es dann aus, wenn virtuelle Lochkarten-Stanzer und -Leser zu neuem Leben erweckt werden, aus der Systemprogrammierung sind sie aber wegen ihrer Universalität nicht wegzudenken. Ganz ähnlich sieht es ja in der Unix-Welt mit dem Gerät TTY aus, das ursprünglich als Tele Type Writer ein Fernschreiber mit fünf Zeichen pro Sekunde war. Besonders angenehm für den Admin sind Minidisks: Die internen Festplatten (DASD, Direct Access Storage Device), die je nach Modell eine unterschiedliche fixe Größe haben und auch nur bedingt partitionierbar sind, lassen sich mit Minidisks flexibler aufteilen. Dieses Konzept findet sich auch unter Linux und in der Unix-Welt als LVM. |
Virtuelle Maschinen |
|
Der Aufbau von VMs ist ein wenig ungewöhnlich: Jeder VM-Guest ist tatsächlich eine vollwertige virtuelle Maschine, in der jedes andere S/390-Betriebssystem ablaufen kann, auch zVM selbst. VM nutzt dies auch für eine Art Multi-User-Funktionalität: Einzelne Funktionseinheiten von VM oder Applikationen (beispielsweise TCP/IP oder DB2) erhalten dabei jeweils eine eigene virtuelle Maschine. Eine zentrale Datei konfiguriert alle VM-Guests. Dort werden User-Name, Passwort und Sicherheitsklasse vergeben und die Ressourcen verteilt. Meldet man sich über eine Telnet-3270-Verbindung zum ersten Mal am User an, ist dies mit einem Power-on vergleichbar. Der User lässt sich nun über CP-Befehle (eine Art Low-Level-Kommandosyntax) genauer konfigurieren. Das CP entspricht ungefähr einem sehr komplexen BIOS. Meist wird allerdings automatisch das CMS (Conversational Monitor System) geladen, das ist eine Art rudimentäres Betriebssystem. Den Bootvorgang bei Mainframes nennt man übrigens IPL (Initial Program Load). |
Virenscan |
|
Linux ist von Virenbefall generell weniger bedroht als andere Systeme, schon weil es kaum Viren für Linux gibt. Bei Linux für Großrechner sieht es (außer bei Shell-Skripten) noch besser aus. Da aber diese Rechner als Mail- oder Newsserver für andere Systeme dienen, sollen sie die Viren für diese Plattformen wegfiltern. Es gibt zurzeit kaum Virenscanner, die unter Linux für S/390 laufen. Solange dieser Zustand besteht, muss man zum Virenscan eine externe Maschine bemühen. Diese erhält über das Netzwerk das zu prüfende Dokument. Zurück kommt im Wesentlichen eine Ja-Nein-Entscheidung sowie bei einem Virenfund ein Protokoll. Durch die Netzwerk-API kann später die externe Maschine durch einen internen Virenscan ersetzt werden, man muss nur die Netzwerkadresse anpassen. Für erhöhte Sicherheit ist auch eine Kombination von verschiedenen Virenscannern möglich. |
Infos |
|
[1] Linux for S/390 and zSeries: [http://www10.software.ibm.com/developerworks/opensource/linux390/index.shtml] [2] Ulrich Wolf, “Pinguin im Mainframe-Land”, Linux-Magazin 6/00, S. 48ff [3] Hercules, der S/390-Emulator: [http://www.conmicro.cx/hercules/] |
Die Autoren |
|
Frank Bernard hat sich mit seiner Firma Fbit auf Internet-Sicherheitstechnik spezialisiert. Simon Fischer studiert Wirtschaftsinformatik in Münster und arbeitet mit sehr viel Freude als Systemberater im “Linux on zSeries”-Team bei der Becom Informationssysteme GmbH. |





