Die Tentakel des orcharhino – Deployen mit vielen Subnetzen

Manuelles und individuelles Einrichten bzw. Deployment von Servern ist eine mühselige Aufgabe. Doch Moment mal – es gibt ja orcharhino, der genau dies automatisiert. Mit unserem Tool zur Datacenter-Automatisierung lassen sich Hosts per Knopfdruck konfigurieren, provisionieren und deployen.

Doch nehmen wir mal folgendes an: Es sollen Server in verschiedenen Außenstellen oder in abgeschotteten Netzsegmenten (DMZ) betriebene Hosts mit stark limitiertem Zugriff nach außen zentral verwaltet werden. Hier schafft der orcharhino Proxy Abhilfe.

Dieser agiert als „Ansprechpartner“ für den orcharhino. Für das weitere Vorgehen entstehen nun zwei Möglichkeiten: Standardmäßig werden die Host-Repositorys auf allen Proxys direkt gespiegelt. Da sich jeder Host direkt an das Subnetz des zugehörigen Proxies wendet, wird hoher Traffic vom und zum orcharhino vermieden. Für Server innerhalb einer DMZ wird dadurch nur noch eine Ausnahme in der Firewall benötigt, damit die Kommunikation zwischen Subnetz und orcharhino gewährleistet ist.

Sind jedoch viele Subnetze im Einsatz, besteht die Gefahr, dass der Resource Speicherplatz knapp wird. Denn in einem solchen Fall muss der identische Inhalt vielfach an verschiedene Orte gespiegelt werden. Doch dies kann umgangen werden, indem der Proxy so konfiguriert wird, dass Anfragen der Hosts direkt an orcharhino durchgereicht werden. Dies funtkioniert wie folgt: 

1.) Installation:

Zunächst wird eine virtuelle CentOS Maschine im zugriffsbeschränkten Netz (z.B. über VMWare oder direkt über orcharhino) deployed. Auf dieser Maschine wird der Proxy eingerichtet. Für die Installation von diesem werden im nächsten Schritt die orcharhino Pakete benötigt. Um diese zu bekommen, muss auf dem orcharhino der entsprechende Punkt angelegt und die Repositorys synchronisiert werden:

Daraus wird nun der Content View erstellt:

und Activation Key erzeugt:

Im nächsten Schritt muss sichergestellt werden, dass der Proxy den Namen des kennt. Dafür gibt es zwei Möglichkeiten. Entweder man trägt den orcharhino mit Namen und IP-Adresse in die /etc/hosts ein oder man schreibt den DNS, in dem der orcharhino registriert ist, in die /etc/resolv.conf. Im Anschluss wird der Proxy Host am orcharhino mit dem Activation Key registriert. Mit dem Befehl

yum -y -t install orcharhino

werden die orcharhino Pakete installiert

Sobald die Pakete installiert sind, wird mit der Einrichtung der Proxys fortgefahren. Zur Vermeidung von Fehlermeldungen muss hier gewährleistet sein, dass orcharhino den Namen des neuen Proxys kennt. Hierfür muss der Proxy einfach im DNS eingetragen werden. Nun kann in der orcharhino-Konsole das Zertifikat für den Proxy generiert werden:

foreman-proxy-certs-generate --foreman-proxy-fqdn "" --certs-tar "~/-certs.tar"

Dieses wird im Anschluss auf den Proxy kopiert. Im nächsten Schritt wird auf der Konsole des Proxys mittels des foreman-installers der Installationsbefehl für den Proxy-Content ausgeführt. Praktischerweise werden die Befehle für das Kopieren und das Installieren auf dem orcharhino unmittelbar nach Generierung des Zertifikats angezeigt. Für die reibungslose Kommunikation zwischen orcharhino, Proxy und den Hosts muss beim Installer noch der Parameter –enable-foreman-proxy-plugin-pulp hinzugefügt werden. Obwohl der Proxy noch nicht ganz zu Ende konfiguriert ist, ist er nun aktiviert.

2.) Konfiguration:

Im nächsten Schritt muss das Subnetz im orcharhino angelegt werden.

Der Proxy wird nun der Organization und der Location zugewiesen, allerdings keinem Lifecycle. Zur Spiegelung des Contents auf dem Proxy muss dieser zunächst synchronisiert werden.

Sollte für die Synchronisation nicht ausreichend Speicherplatz zur Verfügung stehen, muss in den Einstellungen angegeben werden, dass die über den Proxy angebundenen Hosts ihre Pakete nicht direkt von diesem, sondern über den Proxy Server vom orcharhino beziehen. Das geht ganz einfach, indem man den Proxy Server Dienst squid konfiguriert (der bereits bei Installation des Proxy Contents mitinstalliert und gestartet wird).

In beiden dargestellten Fällen werden die Hosts im betreffenden Subnetz nicht am orcharhino, sondern am Proxy registriert. Wenn die Pakete aber nicht vom Proxy, sondern vom orcharhino bezogen werden, muss man zusätzlich als baseurl für die Paketversorgung den orcharhino selbst als Quelle angeben.

subscription-manager register –baseurl=/pulp/repos --org=ATIX --activationkey=centos7-lib

Abschließend muss dies dem Paketmanager noch mitgeteilt werden.

Somit sind verschiedene Netzwerke und Zonen für eine Verwaltung mit orcharhino kein Problem. Diese können mit einem orcharhino versorgt werden ohne umständlich für jeden Host neue Firewall-Regeln erstellen zu müssen. Außerdem muss ein Proxy nicht einfach nur ein Proxy sein, er kann in den entsprechenden Zonen auch Puppet Master, DNS- oder DHCP-Server sein oder weitere Aufgaben übernehmen.

Orcharhino Schulung

Dieser Kurs ist für Teilnehmer gedacht, die keine oder nur wenig Erfahrung mit orcharhino besitzen. Sie lernen in praktischen Übungen die Kernfunktionen Deployment, Patch- und Lifecycle-Management sowie Configuration-Management kennen. Zu weiteren Trainingsinhalten gehört die Wartung des orcharhino sowie die Verwendung von Plugins.

The following two tabs change content below.

Fabrice Brimioulle

IT-Consultant, ATIX AG