© David Morrison, 123RF.com

Mit dem freien Management-Framework Spacewalk administrieren, konfigurieren und installieren Admins eine ganze Herde von Red-Hat- oder anderen RPM-basierten Linux-Systemen. Spacewalk ist das Upstream-Projekt des Red Hat Network und belohnt eine komplizierte Installation mit vielen Funktionen.

Zentral und per Mausklick verwalten Admins mit Red Hats Enterprise-Stack ihre Server. Neben dem Betriebssystem Red Hat Enterprise Linux (RHEL) und dem Virtualisierungsmanagement mit RHEV kommen die umfangreichen und teuren Funktionen von Red Hat Network (RHN, [1]) mit seinen Satellite-Servern und Proxys. Die bringen ein zentrales GUI, in dem Admins ihre Server mit Betriebssystemen, Patches, neuer Software oder Updates der Konfiguration versehen. Doch das hat seinen Preis, die Kosten für die kommerzielle Lizenz der Red-Hat-Landschaft erreichen schnell vier- oder gar fünfstellige Beträge.

Spacewalk: Server-verwaltung im Eigenbau

Nicht nur deshalb erwächst Red Hat immer wieder Konkurrenz im eigenen Haus: Nach Centos, der freien RHEL-Alternative, hat jetzt auch das erst wenige Jahre alte Projekt Spacewalk [2] eine Umlaufbahn erreicht, die es für den Einsatz in Unternehmen interessant macht. Mit ihm verwaltet, konfiguriert, provisioniert und überwacht der Admin seine Linux-Server. Bare-Metal-Installationen, vollständige Rollbacks und das Management virtueller Systeme sind ebenfalls problemlos via Web-GUI möglich. Spacewalk ist nicht auf Centos oder RHEL beschränkt, es unterstützt auch Red-Hat-Derivate wie Fedora oder Scientific Linux [3].

Zwar haben sich die Spacewalk-Entwickler einem Open-Source-Pfad verschrieben, dieses Ziel aber noch nicht vollständig erreicht. Wie schon bei Red Hats Enterprise-Virtualisierung [4], für deren Administration proprietäre Software in Form eines Windows-Systems nötig ist, hat auch die freie Variante des RHN einen Makel: Sie erwartet zwingend eine Oracle-Datenbank.

Für die ist zwar keine Investition in eine Lizenz notwendig, denn Oracle bietet eine kostenlose Version an, die Spacewalk auch vollkommen genügt. Aber verständlicherweise sind die Entwickler damit nicht zufrieden und es ist gut möglich, dass die jüngsten Entwicklungen rund um den Konzern den Wunsch nach einer freien Alternative durchaus beschleunigen.

Untätig waren die Developer nicht: Noch in diesem Jahr ist wohl der vollständige PostgreSQL-Anschluss zu erwarten, der der Roadmap zufolge dann auch zügig Standardvorgabe werden soll. Das ist keineswegs purer Selbstzweck: Die Entwickler erhoffen sich einen deutlichen Schub, vor allem für die Akzeptanz bei ideologisch geprägten Anwendern. Die Oracle DB scheint diese Klientel abzuschrecken.

Nicht ohne Alternativen

Tabelle 1 zeigt die wichtigsten Funktionen, die Spacewalk übernimmt, und gibt für die einzelnen Komponenten bekannte Alternativen aus der Linux-Welt an. Das Geheimnis des Weltraumspaziergängers liegt jedoch in der gelungenen Integration der unterschiedlichen Komponenten. Die in Spalte drei der Tabelle 1 genannten Tools erfüllen ihren Zweck gut, die meisten sind De-facto-Standard in ihrem Bereich. Viele von ihnen folgen dem Unix-Dogma “One job, one tool”. Aber ein Admin, der die ganze Palette einsetzen will, muss sich meist langwierig einarbeiten und die Programme erst mal richtig konfigurieren.

Tabelle 1: Spacewalk-Funktionen und Alternativen” width=”300″ height=”117″ /> Tabelle 1: Spacewalk-Funktionen und Alternativen

Hier springt Spacewalk in die Bresche und stellt ein zentrales Interface zur Verfügung. Es erlaubt dem Admin aber auch vom vorgegebenen Pfad abzuweichen und beispielsweise eines der gelisteten Werkzeuge (weiterhin) zu verwenden. Das kommt beispielsweise beim Konfigurationsmanagement häufiger vor als bei manch anderen Komponenten, nicht zuletzt weil Puppet ausgereift und stabil ist und über eine mittelgroße Anhängerschar verfügt. Ähnlich typisch ist es, dass ein Admin in Sachen Monitoring Nagios, vielleicht auch Zabbix, nicht ablösen will, weil er bereits viel Arbeit in deren Integration investiert hat.

Apache, Java, Python, Perl

Spacewalk verfolgt das klassische Dreischichtenmodell (Three-Tier, [5]) mit einem Datenlayer, einer Präsentationsebene und einer logischen Schicht. Den Layer bedient (noch) die Oracle-Datenbank, in ihr landen alle Anwendungsdaten. Der Zugriff erfolgt über die logische Schicht. Die wiederum besteht aus den bewährten Middleware-Paketen Apache und Tomcat, inklusive deren Perl-, Python-, Java-, und PL/SQL-Fähigkeiten. Das erlaubt es Entwicklern, Admins und Devops [6], das API und den Präsentationslayer an die eigenen Bedürfnisse anzupassen.

Das Web-GUI (Abbildungen 1 und 2) bindet sich mit Hilfe von Java und Perl an den logischen Layer von Tomcat und Apache an. Die Perl-Komponenten stammen aus dem Beginn der Spacewalk-Entwicklung, doch mit der Zeit trat immer mehr Java an ihre Stelle und ist mittlerweile Standard des weiteren Web-Developments. Clients und zentraler Server kommunizieren über das Jabber-Protokoll XMPP, wer will, kann sich aber auch über das XML/RPC-API direkt mit dem Indianer-Kater-Gespann verbinden und verwendet dabei entweder Java oder Python.

Abbildung 1: Nach der Anmeldung als Administrator bietet sich ein aufgeräumtes und übersichtliches Bild. In einer Art Dashboard finden sich Systeme, Events und kritische Fehler.

Abbildung 2: Weiter unten im Dashboard zeigt sich der Überblick über durchgeführte Aktionen, von Spacewalk erkannte Security Events und die neuesten hinzugefügten Systeme.

Die XML-RPC-Schnittstelle ist in zwei Instanzen aufgeteilt, ein Frontend und ein Backend. Letzteres verbindet sich mit Tomcat und versucht alle Optionen des Web-GUI via Java zur Verfügung zu stellen. Das Backend-XML/RPC-API benutzt Python, um zum Beispiel Client-Utilities wie Yum, Up2date oder andere Kommandozeilen-Programme aufzurufen.

Task-O-Matic

Dazu kommen weitere, lose angebundene Features wie das in Java programmierte Task-O-Matic [7], das geplante Aufgaben (Tasks) asynchron und Ressourcen-schonend ablaufen lässt, ein Pluspunkt vor allem bei geplanten lange dauernden Jobs. Abbildung 3 gibt einen kleinen Überblick über die Spacewalk-Landschaft. Mit der ebenfalls eingebauten Suchmaschine finden Admins schneller Maschinen, Pakete oder Fehler.

Abbildung 3: Tomcat, Apache, Perl, Python und Tools wie Task-O-Matic ergeben die Three-Tier-Architektur von Spacewalk. Perl, Python und Java sind geeignet, um das API anzusprechen. Auch wenn Perl noch an vielen Stellen zu finden ist, arbeiten die Entwickler daran, Java als Spacewalk-Standard zu implementieren.

Passend zur Java-Natur verwendet Spacewalk die Lucene-Suchengine, um mehr und genauere Suchergebnisse zu erzeugen. Das Java-Design ähnelt dem bei Jboss üblichen Ansatz mit Apache Struts [8] als User Interface Framework, Session Beans [9] für die Business-Logik und dem relationalen Persistence Framework Hibernate [10]

Wer sich durch die Installation (siehe Kasten “Installation im Schnelldurchlauf”) gearbeitet hat, den belohnt der Browser mit dem Webinterface (siehe letzte Zeile in Listing 1), in dem er einen Admin-Account anlegt. Ausführlichere Hinweise zur Installation finden sich in der Onlinehilfe, der umfangreichen Dokumentation oder in einem Artikel des ADMIN-Magazins [12].

rpm -Uvh http://spacewalk.redhat.com/yum/1.2/RHEL/5/System-architektur/spacewalk-repo-1.2-0.el5.noarch.rpm

rpm -ivh http://spacewalk.redhat.com/yum/1.2/RHEL/5/System-architektur/spacewalk-client-repo-1.2-0.el5.noarch.rpm

yum -y install oracle-xe-selinux oracle-instantclient-selinux oracle-instantclient-sqlplus-selinux

yum -y localinstall --nogpgcheck oracle-xe-univ-10.2.0.1-1.0.Architektur.rpm
yum -y localinstall --nogpgcheck oracle-instantclient-basic*.rpm oracle-instantclient-sqlplus*.rpm
yum -y install oracle-lib-compat

SQL*Plus: Release 10.2.0.4.0 - Production on Fri Apr 10 12:59:01 2009
Copyright (c) 1982, 2007, Oracle. All Rights Reserved.
Enter password: $ Password
Connected to:
Oracle Database 10g Express Edition Release 10.2.0.1.0 - Production
SQL>

SQL> $ create user spacewalk identified by spacewalk default tablespace users;
SQL> $ grant dba to spacewalk;
SQL> $ quit

SQL> $ create user spacewalk identified by spacewalk default
SQL> $ alter system set processes = 400 scope=spfile;
SQL> $ alter system set "_optimizer_filter_pred_pullup"=false scope=spfile;
SQL> $ alter system set "_optimizer_cost_based_transformation"=off scope=spfile;
SQL> $ alter system set query_rewrite_enabled=TRUE;

01 * Setting up Oracle environment.
02 * Setting up database.
03 ** Database: Setting up database connection.
04 DB User? $ spacewalk
05 DB Password? $ Passwort
06 DB SID? $ XE
07 DB hostname? $ localhost
08 DB port [1521]? $ Port
09 DB protocol [TCP]? $TCP/UDP
10 ** Database: Testing database connection.
11 ** Database: Populating database.
12 *** Progress: ###############################
13 * Setting up users and groups.
14 ** GPG: Initializing GPG and importing key.
15 ** GPG: Creating /root/.gnupg directory
16 You must enter an email address.
17 Admin Email Address? $ E-Mail-Adresse
18 * Performing initial configuration.
19 * Activating Spacewalk.
20 ** Loading Spacewalk Certificate.
21 ** Verifying certificate locally.
22 ** Activating Spacewalk.
23 * Enabling Monitoring.
24 * Configuring apache SSL virtual host.
25 Should setup configure apache's default ssl server for you (saves original ssl.conf) y/n? $ y
26 ** /etc/httpd/conf.d/ssl.conf has been backed up to ssl.conf-swsave
27 * Creating SSL certificates.
28 CA certificate password?
29 $ Passwort
30 Re-enter CA certificate password?
31 $ CA-Passwort
32 Organization? $ Organisation
33 Organization Unit [<your.domain.tld]? $ Unit
34 Email Address [<you@yourdomain.tld>]? $ E-Mail
35 City? $ Stadt
36 State? $ Staat
37 Country code (Examples: "US", "JP", "IN", or type "?" to see a list)? $ Landescode
38 ** SSL: Generating CA certificate.
39 ** SSL: Deploying CA certificate.
40 ** SSL: Generating server certificate.
41 ** SSL: Storing SSL certificates.
42 * Deploying configuration files.
43 * Update configuration in database.
44 * Setting up Cobbler..
45 Cobbler requires tftp and xinetd services be turned on for PXE provisioning functionality. Enable these services
46 (y/n, default = 'y')? $ y
47 * Restarting services.
48 Installation complete.
49 Visit https://your.domain.tld to create the Spacewalk administrator account.

Um die ersten Clients anzubinden, muss der Administrator diese zunächst in der Zentrale registrieren. Auf einem RHEL 5 installiert er dazu den Spacewalk-Client samt den benötigten Utilities:

rpm -Uvh http://spacewalk.redhat.com/yum/1.2/RHEL/5/Systemarchitektur/spacewalk-client-repo-1.2-0.el5.noarch.rpm
yum install rhn-client-tools rhn-check rhn-setup rhnsd m2crypto yum-rhn-plugin

Das eigentliche Registrieren (Abbildung 4 zeigt die Schlüsselerzeugung im GUI) erledigt dann (gegebenenfalls mit der Option »–force« ):

Abbildung 4: Damit Spacewalk ein System verwalten kann, braucht es einen Aktivierungskey, den richtigen Channel und ein paar Softwarepakete.

rhnreg_ks --serverUrl=http://Spacewalk-Server/XMLRPC --activationkey=Schlüssel_mit_Channel_Name

Die hierfür benötigten Channel enthalten alle Softwarepakete, die Spacewalk auf Anforderung (Poll) des Clients an diesen schicken soll (Push), der Admin verwaltet sie im Web-GUI (Abbildung 5). Bereits jetzt lassen sich Spacewalk-Ressourcen an Keys binden. Bei Problemen lohnt es sich zu checken, ob die Clients über das CA-Zertifikat des Servers verfügen.

Abbildung 5: In Spacewalk steuern Channels die Softwareverteilung. Es empfiehlt sich, für jede Distribution, die auf Clients landen soll, einen eigenen Kanal mit einer geeigneten Baumstruktur anzulegen.

Channels

Wer beispielsweise ein Centos-Enterprise-Linux der Version 5 mit Repository im Einsatz hat, richtet sich einen Sub-Channel für RPM Forge und einen für das EL-Repo ein. Diese Kanäle konfiguriert er wahlweise über das Web-GUI oder das Kommando »create_channel.py« [13]:

create_channel.py --label=centos5-i386 --name "CentOS 5 32-bit" --summary "32-bit CentOS 5 channel"

Ist ein Repository erst mal mit einem oder mehreren Channels verknüpft, muss der Admin das externe Repository noch mit dem lokalen Speicher synchronisieren und die Kanäle updaten. Das erledigt das Skript Reposync [14] mit:

spacewalk-repo-sync --channel Channel-Name--type yum --url URL_des_Online-Repository 

Wer eigene Pakete einbinden will (beim Paketbau das Signieren nicht vergessen), nutzt das Rhnpush-Kommando:

rhnpush -v -u Admin-Username -p Admin-Password--channel=Channel-Name --server=Spacewalk-URL--dir=Verzeichnis_mit_Paketen

Standardmäßig verwendet Spacewalk Kickstart-Files und das Installationswerkzeug Cobbler ([15], [16]), um Server initial zu konfigurieren. Dazu muss ein Distributions-ISO-Image in »/var/distro-trees/Distro-Name–Distro-Version« gemountet sein, was »mount -o loop« erledigt:

mount -o loop /var/iso-images/Distro-Name-Distro-Version-Distro-Architektur-DVD.iso /var/distro-trees/Distro-Name-Distro-Version

Jetzt fügt der Admin im Menü »Channels | Manage Software Channels« die Distribution hinzu (Abbildung 6).

Abbildung 6: Kickstart und Cobbler machen die Installation von Clientservern einfach.

Das geht, wie die meisten Spacewalk-Funktionen, auch an der Kommandozeile, hier mit Rhnpush:

rhnpush --server localhost -u Admin-Username-p Adminpassword --channel Distro-Name-Distro-Version /var/distro-trees/Distro-Name-Distro-Version/Pfad_zu_Paketen

Der Download der Kickstart-Dateien ins Basisrepository kann beginnen, wenn die folgenden Softwarepakete vorliegen. (Die ersten drei finden sich im Standard-Repository von Fedora 11, sie landen in »/var/distro-trees/Distro-Name–Distro-Version/Pfad_zu_Tools/*rpm« ):

• Py Open SSL
• Rhnlib
• Libxml2-python
• Spacewalk-koan

Anschließend muss der Admin diesen Path noch einem Channel hinzufügen, entweder mit dem GUI oder per Rhnpush. Die eigentliche Kickstart-Distribution baut der Menü-Eintrag »Systems | Kickstart | Distributions« , wo der Anwender die Felder mit den Daten seines Basis-Repository ausfüllt und per Mausklick bestätigt.

Wer so eine Kickstart-Distribution erfolgreich erstellt hat, checkt in seiner Liste noch deren Namenseintrag, das Default-Namensschema schreibt die Form »Spacewalk-Distribution-Tag:Organizations-ID: Name_der_Organisation« vor.

Jetzt lässt sich in »Systems | Kickstart | Profiles« ein neues Profil anlegen (Abbildung 7). Spacewalk kann nun ein System übers Netz – via PXE-Boot, daher der nach der Installation in der Firewall zu öffnende TFTP-Port – mit einem Betriebssystem versorgen und starten. Bestehende Systeme installiert dann beispielsweise das Kommando »koan –replace-self« neu, »cobbler profile list« zeigt die wartenden Profile [12].

Abbildung 7: Dank Kickstart sind unter Spacewalk auch Profile möglich, die das Vereinheitlichen von Systemen vereinfachen.

Vollständig ist das Setup aber erst, wenn der Admin auch ans Sichern der jetzt zentral gespeicherten Systemdaten denkt. Im Fall von Spacewalk sollte er die Pfade aus Listing 2 in seine bestehende Backup-Lösung integrieren. Für die Oracle-Datenbank ist ein wenig mehr Arbeit nötig. Listing 3 zeigt die Befehle, die für Anmeldung, Anhalten, Restart und Dump der Datensätze notwendig sind. Ein Onlinebackup erledigt dieser Befehl:

01 $ su oracle
02 bash-3.2$ . /usr/lib/oracle/xe/app/oracle/product/10.2.0/server/bin/oracle_env.sh
03 bash-3.2$ sqlplus /nolog
04 $ connect / as sysdba
05 $ shutdown immediate
06 $ startup mount
07 $ alter database archivelog;
08 $ alter database open;
09 $ SELECT LOG_MODE FROM SYS.V$DATABASE;
10 ARCHIVELOG
11 $ quit

01 /var/satellite
02 /var/lib/cobbler
03 /etc
04 /root/ssl-build
05 /home/nocpulse
06 /var/lib/rhn/kickstarts

/usr/lib/oracle/xe/app/oracle/product/10.2.0/server/config/scripts/backup.sh

Alle Backups schreibt Oracle gewöhnlich nach »/usr/lib/oracle/xe/app/oracle/flash_recovery_area/XE/« .

Schwerelos: Spacewalk 1.3

Spacewalk hat Admins viel zu bieten, und wenn erst PostgreSQL als Backend werkelt, dürfte auch der Zuspruch GPL-geprägter Open-Source-Admins steigen. Die Abbildungen 8 und 9 zeigen einige der vielen Funktionen, die das Framework mitbringt, zum Beispiel die umfangreiche Paketsuche (Abbildung 8) oder das Gruppieren von Systemen, was etwa für Admins großer Webserver-Herden interessant ist. Sie können dann mit einem Mausklick alle Webserver im Verbund mit der neuesten Apache- oder CMS-Version versehen (Abbildung 9).

Abbildung 8: Das Spacewalk-GUI erleichtert die Paketsuche. Hier findet der Admin ein Paket in den von ihm konfigurierten Channels.

Abbildung 9: Vier Hostgruppen in Spacewalk: Per Mausklick updatet der Admin alle Webserver oder auch alle Fedora-Maschinen gleichzeitig auf die neueste Version. Über Push und Poll lässt sich das automatisieren.

Der System Set Manager hilft allerorts beim Verwalten großer Rechnerpools (Abbildung 10) mit Snapshots, Rollbacks und fast beliebigen Individualisierungen für einzelne, vielleicht problematische Systeme.

Abbildung 10: Einstellungen für viele Hosts gleichzeitig ändern, das ist die Domäne des System Set Managers, dessen Funktionen weit ins Provisioning hineinreichen.

Damit nicht genug, auch Debian-Systeme oder Solaris lassen sich über spezielle Plugins in Spacewalk einbinden. Weil die aber noch im Entwicklungsstadium sind, ist hier Vorsicht geboten, auch die Zukunft von Solaris steht angesichts Oracles Vorgehen auf einem unsicheren Fundament. Anders Debian: Die Roadmap zeugt vom Engagement der Entwicklercommunity hin zur weiteren Integration der Apt-get-Toolchain. Zum Redaktionsschluss steht die Version 1.3 von Spacewalk vor der Tür, aktuell als stable gekennzeichnet ist aber erst 1.2.

Zu den neuesten und in Entwicklung befindlichen Features gehören der Support für RHEL 6 [17], das erwähnte Apt-get-Plugin und endlich der grundlegende PostgreSQL-Support. Geplant ist, diesen nach und nach immer tiefer zu integrieren und Spacewalk verstärkt auf den Einsatz für mehrere Organisationen (Multi-Organisations-Support und Multi-User-Verwaltung) zu trimmen. Eines Tages soll Spacewalk mehrere Server automatisch synchronisieren. Die Entwickler prüfen auch, Puppet als Standardtool für die Konfiguration zu nutzen und eventuell Software wie die ebenfalls Java-basierte Open-Source-Reporting-Library Jasper Reports [18] und die platzsparenden Delta-RPMs [19] zu integrieren.

Manche Anwender befürchten (oder hoffen, je nach Vorliebe), dass eines Tages auch der komplette Perl-Stack aus der Umlaufbahn verschwindet. Nachvollziehbar und konsequent wäre es, denn die Default-Sprache ist Java und immer wieder müssen Entwickler Codeteile von Perl nach Java portieren. (mfe)