VJBOD – E’ la possibilità di aumentare lo spazio del NAS connettendolo ad un’altro NAS – Sembra l’uovo di colombo, ma a volte si è in presenza di un NAS near-full e magari hai un’altro NAS in un’altra sede near-empty.. puoi connetterli assieme per scaricare il primo NAS. (fonte: https://www.youtube.com/watch?v=iEUJv-ke4dE https://www.youtube.com/watch?v=yNCqr5YlI8g )
MARS – E’ un’utility di backup che copia i dati da google foto (gia’ hai capito bene.. prima non si poteva fare) e li stora sul tuo nas.. e pensare che QNAP non la pubblicizza.. ovviamente gratuita con il NAS. (fonte: https://www.qnap.com/it-it/news/2022/la-miglior-soluzione-per-effettuare-il-backup-delle-foto-qnap-rilascia-la-soluzione-di-backup-di-google-foto-senza-limiti-di-capacit%C3%A0 )
Snapshot Vault/Replica – E’ la possibilità di copiare una snapshot effettuata dal un NAS Qnap verso un secondo NAS Qnap posto in un’altra locazione fisica. Mette il c..o a paratia (gergo militare) da errori umani e guasti e anche da virus. (fonte: https://www.qnap.com/en/how-to/tutorial/article/save-snapshots-to-other-qnap-nas-with-snapshot-replica)
Migrazione per guasto serio su un’altro NAS QNAP – In una vita puo’ capitare che un NAS smetta di funzionare per problemi non derivati da dischi o alimentatori, come ad esempio guasto sulla scheda madre e potrebbe essere conveniente acquistare un nuovo NAS.. con i QNAP è sufficiente migrare i dischi sul nuovo NAS QNAP e ripartire… puo’ sembrare una cosa da poco.. ma è una garanzia in ambiente industriale da non sottovalutare.. ( applicativo per migrazione https://www.qnap.com/it-it/nas-migration/ )
Boxafe – Backup di email e altro di Office 365 oppure Gmail Suite. Purtroppo a pagamento se su supera un cert numero di account. (fonte: https://www.youtube.com/watch?v=_TQQYVNFQUs )
Malware e Virus come evitare sorprese – Leggete questo articolo: https://www.qnap.com/solution/secure-storage/it-it/
Qualche tempo fa, mi è stato chiesto di implementare un sistema proxy in alta affidabilità da un mio cliente. Ho notato che in rete non c’e’ un howto per costruire un sistema del genere, allora ho pensato di scrivere qualche nota.
Elenco dei requisiti:
Il sistema proxy non deve avere delle licenze da pagare ne one-shot ne annualmente; insomma, deve essere gratis.
Deve servire circa 150 utenti possibilmente senza rallentamenti anche in caso di failover del primo nodo.
Non deve essere soggetto a sospensione del servizio dovuti a manutenzione (pianificati) o guasti (non pianificati).
Il sistema proxera’ le richieste solo se aderenti ai dati presenti su tre white-list a cura dal personale IT contenenti indirizzi IP, URL e domini.
Deve essere emessa una notifica in caso di down del nodo primario in modo che il personale IT sia a conoscenza che il sistema proxy sta funzionando in maniera degradata.
Il sistema si deve automaticamente ritornare sul nodo MASTER quando il problema su di esse è cessato.
In modalita’ normale sarebbe preferibile che il sistema processi le richieste in parallelo, bilanciando il carico tra le due macchine (active-active e non active-passive)
Briefing
Dunque, la prima cosa da decidere, il sistema operativo, gratis significa Linux o BSD.. io lavoro da circa vent’anni con Redhat (ora a pagamento) e quindi oggi lavoro con CentOS il quale è basato sugli stessi sorgenti. Non ho trovato in rete un vero HOW-TO sul come fare questo progetto, quindi ho deciso di scriverne uno, in italiano. Per il sistema proxy, non c’e’ tanto da pensare, il cliente ha gia’ le liste in formato testo adatte a squid, qundi direi che il sistema proxy è squid. Inoltre è un software che c’e’ da sempre (non so se sia nato prima Linux o prima squid) quindi è affidabile e soprattutto open-source. Per quanto riguarda le White-list basta montarle su una share di un file server per avere tre liste sempre aggiornate su entrambi i proxy. Poi mi sono pensato un trucchetto in caso il file server contenente le White-list non fosse disponibile in modo che gli squid continuino a funzionare, su White-list non aggiornate ma continuino ad andare (e si potrebbero anche aggiornare ogni tanto via script). Ora manca un modulo che mi permetta di avere una sorta di alta affidabilità: un modulo che in caso rilevi un problema possa migrare un indirizzo IP sulla macchina secondaria. Keepalived è la mia scelta. Il motivo è che ci ho gia’ lavorato e che mi piace per la sua semplicità. I nodi comunicano tra loro in Multicast e sembra che questo demone sia molto leggero per il sistema. Per fornire il servizio dei proxy active-active ho pensato che HAPROXY potrebbe fornirmi il necessario. L’idea è stata di mettere in ascolto HAPROXY su qualsiasi IP della macchina linux su porta 3128 porta classica di Squid, e inoltrare in modalità tcp le richieste ai due Squid presenti sulle due macchine, controllando che siano attivi via istruzione check effettuato da HAPROXY. Ovviamente ho dovuto modificare la porta di ascolto degli Squid. Quindi in modalità normale, ovvero quando tutto è correttamente funzionante, la macchina MASTER invia tramite HAPROXY le richieste dei client ad entrambi gli Squid in modaità round-robin che per le sessioni http sembra sia la migliore strategia.
Il sistema operativo
Lavoro da un mare di tempo con CentOS e non mi viene proprio voglia di cambiare, quindi i due nodi saranno due linux box con CentOS V7.5. Finita l’installazione io ho effettuato le seguenti personalizzazioni:
Disabilitato Selinux
Installato net-tools – Per avere ifconfig
Installato procps – Per avere killall che serve a keepalive
Disabilitato e rimosso dall’autostart Firewalld
Impostato in /etc/sysctl.conf la linea “net.ipv4.ip_nonlocal_bind = 1” che serve per ascoltare anche su ip che non esistono sulla macchina.
Keepalived
Ci sono diversi sistemi per avere una coppia di Linux box ad alta affidabilita’, ma io sono di quelli che “cavallo che vince non si cambia”: ho gia’ lavorato con keepalived e quindi implemento cio’ che conosco. Secondo me semplice come configurazione e si installa facilmente perché è di ‘serie’ su CentOS, ti basta fare:
vrrp_script chk_squid { script “/usr/bin/killall -0 squid” # verify the pid existance interval 2 # check every 2 seconds weight 2 # add 2 points of prio if OK }
vrrp_script chk_haproxy { script “/usr/bin/killall -0 haproxy” # verify the pid existance interval 2 # check every 2 seconds weight 2 # add 2 points of prio if OK }
vrrp_instance VI_1 { interface eth0 # interface to monitor state MASTER virtual_router_id 54 # Assign one ID for this route priority 101 # 101 on master, 100 on backup advert_int 1 smtp_alert virtual_ipaddress { 10.12.14.140 # the virtual IP } track_script { chk_squid chk_haproxy } }
In sostanza si vedono bene i due ‘vrrp_script’ che controllano che i due processi siano UP e il ‘vrrp_instance’ che è il cuore di keepalived. Questo è lo script del MASTER, quindi quando si sveglia si mette come MASTER e si autoassegna un priorita’. Si assegna un ‘router_id’ che serve al demone per comunicare con l’altro nodo via unicast. Inoltre quando deve operare perché qualcosa è andato storto (non vede l’altro nodo) ci avvisa via smtp. Il resto non credo che ci sia bisogno di spiegazioni. Allego anche lo script del secondo nodo per completezza:
vrrp_script chk_squid { script “/usr/bin/killall -0 squid” # verify the pid existance interval 2 # check every 2 seconds weight 2 # add 2 points of prio if OK }
vrrp_script chk_haproxy { script “/usr/bin/killall -0 haproxy” # verify the pid existance interval 2 # check every 2 seconds weight 2 # add 2 points of prio if OK }
vrrp_instance VI_1 { interface eth0 # interface to monitor state BACKUP virtual_router_id 54 # Assign one ID for this route priority 100 # 101 on master, 100 on backup advert_int 1 smtp_alert virtual_ipaddress { 10.12.14.140 # the virtual IP } track_script { chk_squid chk_haproxy } }
HAProxy
Il demone HAProxy è il responsabile per il bilanciamento di carico dei proxy Squid. Esso riceve le richieste dei client su porta 3128 (ho scelto questa porta in quanto tutti sono abituati al fatto che se c’e’ un proxy Squid questo ascolta su questa porta) e inoltra le sessioni sui proxy Squid attivi in quel momento. Il demone conosce il proxy attivo il quanto effettua un check su entrambi i proxy Squid in modo da esere a conoscenza su quale Squid inoltrare le richieste. Il demone HAProxy è in grado di inoltrare migliaia di sessioni senza avere problemi di performance, leggete la documentazione e i test che sono stati effettuati su questo software se siete curiosi. Allego i file di configurazione dei due HAProxy montati sulle due macchine linux: i due file sono uguale su entrambe le macchine linux. Precisiamo che in questo particolare caso ci limitamo ad avere ‘solo’ due proxy Squid, ma si potrebbe aggiungere altre macchine linux, queste con i solo demone Squid configurato, per avere un cluster con un parallelismo maggiore di due. Si potrebbe avere altre due macchine linux con Squid montato e utilizzare quattro Squid per servire i nostri utenti.
global daemon maxconn 256 defaults mode tcp timeout connect 5000ms timeout client 50000ms timeout server 50000ms
frontend squid_frontend bind *:3128
default_backend squid_backend backend squid_backend server node1 10.12.14.141:8001 check server node2 10.12.14.142:8001 check # Add more IPs here as required balance roundrobin
listen stats # Define a listen section called “stats” bind :9000 # Listen on localhost:9000 mode http stats enable # Enable stats page stats hide-version # Hide HAProxy version stats realm Haproxy\ Statistics # Title text for popup window stats uri /haproxy_stats # Stats URI stats auth amin:paperina # Authentication credentials
Squid
Proxy Squid. Squid è un proxy che conosciamo tutti: chi ha messo in pista una macchina proxy con linux lo ha fatto con Squid. E’ robusto, e’ mantenuto aggiornato, e’ gratis e funziona, non c’e’ bisogno di provare qualcosa d’altro. Nel nostro sistema proxy, viene usato molto semplicemente con delle white-list, c’e’ un minimo di configurazione da fare ma la cosa piu’ importate è il cambio di porta di ascolto, nel nostro caso da 3128 viene modificata in 8001. Poi c’e’ il discorso delle white-list ma non mi pare che sia un argomento da trattare.. non ci interessa l’autenticazione, ma anche qui si trova tutto in rete. Invece voglio dirvi come ho fatto a fare in modo che, se per caso la share che condivide le white-list non fosse disponibile ,il sistema comunque continui a funzionare. Ho semplicemente copiate le white-list interessate nella directory /mnt/wl – certo che nel momento del problema non saranno aggiornate, ma sempre meglio che rimanere senza che su un sistema che lavora in white list significa non navigare piu’ da nessuna parte… e poi si potrebbe fare in modo via script che ogni giorno venga smontata la share, copiate le whitelist e rimontata la share..
Conclusioni
Il sistema sta funzionando correttamente, per ora non sono stati riscontrati disservizi, purtroppo non è sottoposto ad un carico pesantissimo, i due nodi sfiorano carico ‘1’ negli ultimi 5 minuti solo all’inizio delle ore mattutine e pomeridiane
Se devi installare un Oracle Linux 8 ti troverai che DEVI impostare una base url per fargli downlodare i pacchetti: se non ce lo metti non vai avanti. Il link e’:
Potresti aver bisogno di aumentare lo spazio di una partizione normale ovvero non LVM. Elenco i passi da seguire per effettuare questa modifica:
Individua il disco che devi aumentare la capacità, nel mio caso è un disco montato su /opt con file system EXT4 che era 70GB e dovrei espanderlo a 100GB
Spegni la VM in maniera corretta con shutdown/poweroff
Sulla parte Vmware (Settings della VM) espandi il disco da 70GB a 100GB
Fai uno snapshot della VM ora, da spenta e con il disco gia’ esteso dal punto precedente
Ora fai ripartire la VM, in realta’ non succede nulla, solo se fai un “fdisk -l” vedi che il tuo disco ha 30GB di spazio libero.
Smonta il disco, tieni presente che il mio era un disco aggiuntivo e non quello di ‘root’ ovvero “/” – Nel mio casoil comando era ‘umount /opt’ – Sfortunatamente la risposta del sistema era ‘target busy’ in quanto parecchi servizi attivi utilizzavano quel disco. Occorre armarsi di pazienza e attraverso ‘lsof /opt’ annotasi i processi che utilizzano /opt e fermarli in un modo corretto oppure con un ‘killall process_name’
Ora evi solamente spostare i puntatori di ‘fine partizione’ di 30GB più avanti. Per questo ti viene in aiuto ‘parted’ che fa questo lavoro. Nel mio caso il disco era sdc quindi il comando nel mio caso era ‘parted /dev/sdc’ . Ora dei dentro all’applicazione fai ‘print free’ e vedi lo spazio libero e occupato del disco sdc. Ora puoi fare “resizepart 1 107GB” che effettuerà il resize della partizione 1 del disco /dev/sdc con un size di 107GB totali. Attenzione a non dare un numero di GB inferiore a quello che è la partizione originale.
Ora fai ripartire la VM perche’ il kernel deve aggiornare i suoi registri al nuovo spazio del disco.
Ora devi effettuare il resize della partizione ext4 con il comando “resize2fs /dev/sdc1” che aumenta lo spazio del file system ext4. Se ora fai “df -h’ vedrai che il tuo disco è aumentato dei GB che gli hai dato.
Hai una coppia di Sonicwall ad alta affidabilità e un giorno trovi che l’unità secondaria è attiva mentre la primaria è deceduta. Qui elenco gli step da seguire per sostituire l’unità primaria. E’ da capire bene che le unità sono primaria e secondaria e mai si scambieranno questi ‘ruoli’.Quello che invece cambia è l’unità attiva e l’unità in standby. Questo occorre che te lo metti bene in testa. La secondaria nasce secondaria e muore secondaria anche se resta attiva per 6 anni, uguale la primaria, nasce e muore primaria.
Il problema principale è che non si può ‘promuovere’ a primaria una unitò secondaria. Il secondo problema è che l’unità secondaria non ha la possibilità di cambiare il serial number della primaria; se ti logghi sulla tua unità secondaria che ora è attiva noterai che non puoi cambiare il serial number della primaria. Se segui questi passi avrai un minimo disservizio ma pianificato da te e quindi di poco impatto sulla tua struttura.
Ora hai la nuova unità che diventerà la tua unità primaria, nuova appena arrivata dal supporto Sonicwall. Segnati tutti i cavi esattamente su che interfaccia devono essere connessi, delle bandierine fatte con il nastro di carta con sopra scritte le interfaccie aiutano molto.
Fai partire la tua nuova unità e registrala su mysonicwall.
Aggiorna il firmware della nuova unità, dovresti aver l’ultimo firmware sulla tua unità secondaria attiva, fai in modo che il firmware della nuova unità sia di versione uguale o più aggiornata della tua unità secondaria.
Esporta i settings della secondaria attiva e importali sulla primaria senza collegarla alla tua rete di produzione, questo lo puoi fare attraverso l’interfaccia di management con ip 192.168.1.254 oppure attraverso la X0 che se l’unità è in default settings ha ip 192.168.168.168
Dovresti controllare che le interfacce ora hanno gli ip come hai sull’unità secondaria attiva e magari le VPN, se tutto ok come dovrebbe, significa che l’import dei settings è andato a buon fine.
Ora vai nella gestione dell’alta affidabilita settings e metti ‘none’ anzichè ‘active/passive’ questo significa che la tua unità opera in modalità stand-alone e non è più un primario.
E’ arrivato il momento che dovrai dare del disservizio alla tua rete, ma come vedi, è pianificato da te quindi lo potrai fare quando più ti aggrada, non aver fretta, la tua unità primaria è andata avanti per anni, lo stesso molto probabilmente potrebbe fare la secondaria: non c’e’ fretta. Ora connetti tutti i cavi che erano connessi alla tua vecchia unità primaria alla tua nuova unità primaria mantenendola spenta. I cavi erano stati segnati con delle bandierine con scritto X0 X1 X2 non puoi sbagliarti. Prenditi il tuo tempo.
Ora spegni la tua unità secondaria attiva, la tua rete subirà un disservizio ora.
Accendi la tua nuova unità primaria, che dovrà effettuare il bootstrap questo tempo è importante, in quanto tutti i tuoi switch devono ‘dimenticare’ il mac address della tua unità secondaria. Lascia che la tua rete stia down per il tempo necessario al bootstrap della tua nuova unità primaria, è importante questo tempo.
Dopo circa 5 minuti la tua nuova unità deve essere raggiungibile e puoi fare il login al portale di management SoniOS della tua nuova unità primaria. Ora la tua nuova unità sta operando come unità stand-alone.
Controlla che tutto stia funzionando correttamente con la nuova unità e quando sei sicuro vai al prossimo step. Ovviamente se qualcosa non dovesse andare puoi spegnere la macchina nuova e riaccendere la vecchia e in altri 5 minuti tutto è nuovamente attivi sulla macchina secondaria.
Da qui in poi non c’e’ più la possibilità di tornare indietro, devi essere sicuro che la tua nuova unità funzioni perfettamente.
Ora è il momento di ripristinare il cluster ad alta affidabilità. Per far questo sconnetti la il firewall secondario dalla rete di produzione. Collegalo al tuo pc accendilo esegui il login e fallo ripartire in factory default. Deve essere pulito della configurazione esattamente come se fosse nuovo e quindi occorre inserirgli il ‘registration code che trovi in mysonicwall.
Ora collega solo interfaccia che hai destinato alla alta affidabilità e accendi il firewall che tra poco diventerà nuovamente secondario del tuo nuovo firewall primario. Prendi nota del seriale del firewall secondario che dovrai inserirlo nel settings di alta affidabilità del primario.
Fai login sul primario e imposta nel settings dell’alta affidabilità, l’interfaccia dedicata e il seriale. Sul firewall secondario deve esserci solo l’interfaccia HA connessa all’altro firewall. Dovresti vedere che lo stato del HA ora ha un primario in active e un secondario che subito dovrebbe essere in ‘none’ ma dopo qualche decina di minuti, dovrebbe andare in ‘standby’. Noterai che l’unità secondaria effettua alcuni reboot, non preoccuparti è normale.
Quando lo stato del HA mostra primario ‘active’ e secondario ‘standby’ puoi collegare tutti i cavi a secondario. Abbiamo terminato la configurazione del nuovo primario.
Ora dovresti testare il cluster, prova a fare un “Forse Active/Standby failover” da settings HA – Devi resettare il flag “Enable Preempt Mode” se fosse attivo.
Non dimenticare aggiornare la registrazione su mysonicwall del nuovo primario che dovrà avere un secondario con il seriale del tuo vecchio secondario.
To stop the advertising of routes and networks follow the step below:
Login to the CLI of the SonicWall either via SSH or serial console (How to login to the appliance using the Command Line Interface (CLI)) and enter the following commands:
Stop the advertising of routes and networks in OSPF (example would be to not advertise the WAN subnet)
ARS OSPF>configure terminal ARS OSPF(config)>router ospf ARS OSPF(config-router)>summary-address X.X.X.X/24 not-advertise ARS OSPF(config-router)>exit ARS OSPF(config)>exit ARS OSPF>write file Configuration saved to OSPF ARS OSPF>
OS è un insieme di moduli che compongono un sistema software per la gestione della virtualizzazione di sistemi operativi. Non è un virtualizzatore come ad esempio vsphere di Vmware ma invece usa alcuni dei virtualizzatori più comuni per eseguire macchine virtuali. Il virtualizzatore più comune è qemu se in demo/test o piccole installazioni oppure kvm; può usare anche altri virtualizzatori. I moduli principali sono sei, ma si contano oltre sessanta moduli ausiliari per altre operazioni. Comunque un sistema OS completo ma non adatto alla produzione, ha i soli sei moduli di base che sono: NOVA per la parte della creazione e operazioni sulle istanze (in OS le VM si chiamano istanze); HORIZON è la GUI per la gestione di tutto OS, anche se è gestibile anche da CLI; CINDER è il modulo che gestisce lo storage a blocco ovvero semplicemente i dischi connessi alle vm; SWIFT è il gestore dei dischi a livello oggetto, come AWS S3 per intenderci; KEYSTONE si occupa degli accessi al sistema con autorizzazioni per l’accesso alle varie parti del sistema; NEUTRON gestisce la parte di rete virtuale attraverso gli openswitch, è il modulo che virtualizza la rete dentro al sistema OS. Dentro al sistema OS le VM sono organizzate in progetti (forse sarebbe meglio chiamarli tenant ma la nomenclatura di OS è progetti) dove in pratica dentro ad un progetto si hanno delle reti virtuali che possono essere isolate da altri progetti oppure essere condivise con altri progetti. Tieni presente che un progetto solitamente contiene N macchine virtuali, potrebbe essere equiparato ad un sistema virtuale completo. Ti faccio un esempio: se tu hai 100 macchine virtuali nel tuo datacenter ospitato da tre host Vmware, potresti migrarle tutte e 100 dentro ad un’unico progetto. Questo dovrebbe darti un’idea di che dimensioni ha tipicamente un’installazione OS. Un progetto OS è gestito dall’amministratore OS che assegna al tuo progetto le risorse che tu hai bisogno, per esempio: 40 vCpu, 10 network, 2TB di ram da distribuire sulle tue macchine virtuali. Abbiamo capito a questo punto che un progetto è un data center a tutti gli effetti. In certe installazioni OS esso viene installato in modalità multi dominio; questo serve ad avere un amministratore di dominio che gestisce progetti al suo interno distribuendo ai progetti le risorse. Quello che sto cercando di comunicarti è che OS è un sistema che deve essere installato in centinaia (si hai capito bene) di server fisici solitamente non è adatto ad aziende per eseguire centinaia di macchine virtuali, ha un costo hardware proibitivo ed a bisogno di personale altamente specializzato che, come avrai inteso, non è proprio facile trovare al di là del prezzo che una società può permettersi: non ci sono al mondo migliaia di installazione ‘serie’ (passami il termine) di OS, quindi i sistemisti su queste piattaforme sono quasi introvabili, ripeto, al di là dell’onorario. Spero di averti dato una minima informazione su questa piattaforma, se vuoi approfondire qui trovi tutto:
