Xen-goeroe. Flexibel en veilig door virtualisatie. Peter Siering

Peter Siering

Xen-goeroe Flexibel en veilig door virtualisatie

O

p de dvd bij deze uitgave tref je de nieuwste versie aan van de c't-Debian-server, waarvan we zowel een 32- als een 64-bit-uitvoering meeleveren. Vergeleken met de vorige versie zijn behoorlijk wat zaken verbeterd. De basis vormt de bekende

Linux-distributie Debian, die onlangs haar vijftienjarig bestaan vierde. Verder zit er een voorgeconfigureerde firewall in om veilig het internet mee op te kunnen (Endian) en een ingebouwde small business server (SBS), die mail- en filediensten voor je ver-

C

Bij onze special over netwerken uit 2006 kon je voor het eerst kennismaken met de zogenaamde c't-Debian-server, een eigen Linux-distributie van c't. Die kon intussen wel een update gebruiken. Op de dvd bij deze c't vind je versie 3, die een firewall en fileserver aan boord heeft in de vorm van virtuele machines. Heb je nog een pc of notebook over, dan kun je daar met deze software snel een thuisserver van maken die wat nuttiger is dan zomaar een router. Natuurlijk kun je er ook gewoon eens wat mee experimenteren.

richt (ClarkConnect). Ook heeft de volledig aan je eigen wensen c't-Debian-server een moderne aanpassen. Je kunt Debian ook Xen-kernel aan boord, zodat je uitstekend gebruiken als digitale er bijna elk besturingssysteem videorecorder om tv-uitzendingen als virtueel gastsysteem op kunt mee op te nemen of om media te draaien. Het is kortom een prima streamen. Als je processor Intels basis voor een kleine kantoor- of of AMD's virtualisatietechnieken ondersteunt, kun je op je c'tthuisserver. Debian-server zelfs WinLet wel: een basis. Dedows Home Server of een bian is een minimalistisch OP DE gewone Windows-desktop systeem, waarvan je niet laten draaien, waarmee je de fonkelende gebruiks- O V E R - D VD van alles kunt uitproberen. vriendelijkheid moet verIn dit artikel vertellen wachten die bijvoorbeeld Ubuntu aanbiedt. Na de instal- we je hoe je de c't-Debian-server latie zal de server je alleen maar aan de praat krijgt en configueen inlogvenster in tekstmode reert. Daarnaast gaan we in op laten zien. Meer is ook niet nodig, de huidige staat van Xen, zodat je want de server moet uiteindelijk ook wat aan dit artikel hebt als je 'headless' (zonder monitor) gaan een alternatief gebruikt (bijvoordraaien. Het configureren van de beeld Ubuntu met Xen-onderserver kun je comfortabel op af- steuning). stand doen via diverse webinterfaces, waarover zometeen meer. Hardware-eisen Als je van knutselen houdt, zit je met de c't-Debian-server absoluut Om de c’t-Debian-server (of Xen goed. Net als alle andere Linux- in het algemeen) te installeren, versies kun je de server namelijk heb je echt geen spiksplinter-

nieuw snelheidsmonster nodig. Een eis is wel dat je processor PAE (Physical Address Extension) ondersteunt. Maar dat doen inmiddels alle gangbare Intel-CPU's vanaf de Pentium II, op enkele mobiele processors na. Ook alle AMD-processoren vanaf de Athlon ondersteunen PAE, evenals de recente Via C7-varianten. PAE is vanuit technisch oogpunt niet eens nodig, maar meer een algemeen geaccepteerde voorwaarde voor voltooide binary Xen-pakketten. Als je geen 64-bit-cpu hebt, zal de 64-bit-versie van de c't-Debianserver uiteraard niet werken. Dan zie je een melding à la 'Your CPU does not support long mode'. Naast bovengenoemde processortechnologie heb je nog minimaal 256 MB RAM nodig om alle meegeleverde onderdelen van de c't-Debian-server zelf te kunnen starten. Maar als je bijvoorbeeld langere tijd met ClarkConnects SBS wilt werken, heb je ook daarvoor 256 MB (extra) nodig. Iets vergelijkbaars geldt natuurlijk ook voor elke andere virtuele machine die je draait. Met 8 GB schijfruimte heb je ruim voldoende voor een eerste installatie en om een en ander uit te proberen. Voor langdurig gebruik heb je wel wat meer nodig. Uiteraard kun je ook een multibootsysteem creëren door de server naast een ander besturingssysteem te installeren, maar we willen uitdrukkelijk benadrukken dat we daar geen ondersteuning of wat voor garantie dan ook voor geven! Overigens heeft het niet altijd zin om c't-Debian-server te installeren als gastsysteem binnen VMware of een andere virtuele machine, aangezien je geen hypervisors binnen HVM-hypervisors kunt draaien.

Kennismaken met Xen

Nieuw in c’t-Debian-server 3 De c't-Debian-server is al enkele jaren een groot, ongoing project. Veel lezers van onze Netwerk-special uit 2006 zijn de eerste versie blijven draaien die nog was gebaseerd op Debian 3.1. Deze versie was tevens nog compleet gericht op User Mode Linux om diensten 'virtueel' te kunnen draaien. Sindsdien is regelmatig gevraagd wanneer we een update gingen doen met een nieuwere kernel en met Xen. Versie 2.0 uit 2007 was een forse update, waarbij als basis werd gekozen voor Debian 4.0 en Xen 3.1 werd toegevoegd. We hebben deze versie overgeslagen, omdat er nog erg veel handwerk verricht moest worden om virtuele machines ook daadwerkelijk aan de gang te krijgen met Xen in plaats van UML. In deze versie 3 is dat met diverse nieuwe de Endian-firewall laten draaien als domU-gastsysteem. In je dom0 zelf draaien verder maar een paar services: ssh voor de systeemconfiguratie en het systeemonderhoud, een DHCP-server die IP-adressen aan andere machines uitdeelt en een nameserver voor je lokale netwerk (bind9). Andere services heb je op de dom0 in principe niet nodig. Bedenk dat elke dienst die je toevoegt vroeg of laat een extra veiligheidsrisico

hulpscripts aanzienlijk beter geregeld. Ook nieuw is Xen 3.2 en de ondersteuning hiervoor in de standaard kernel. Voor het eerst leveren we het project bovendien in zowel een 32-bit als een 64-bit versie, om ook met virtuele machines in 32of 64-bit-uitvoering te kunnen werken. Zoals ook eerder leveren we wel een firewall en een small business server als kanten-klare virtuele machines mee: de vrije Community-edities van de Endian-firewall 2.2 RC3 en ClarkConnect 4.3. We hadden gehoopt om in deze versie in één keer Debian 5.0 ('Lenny') te kunnen integreren, maar die versie bleek veel te laat te verschijnen om de stabiliteit ervan goed te kunnen inschatten. Versie 4.0 is daarom vooralsnog een betere en bewezen keuze. vormt. Bovendien moet je je goed realiseren dat je met dom0 het hele systeem beheert, dus uiteindelijk is het ook vanuit het oogpunt van bedrijfszekerheid zaak om zo weinig mogelijk services toe te voegen. We hebben een speciaal installatie- en configuratiefrontend geschreven dat de naam ctsrvcfg draagt. Hiermee kun je andere domU-gastsystemen toevoegen. Behalve SBS ClarkConnect heb

PC Dom0

eth0

intern DomU

Clark Connect eth0 extern

DomU

Endian eth0

WLAN

VDR

eth1

eth2 DomU

eth0

DMZ

Telefoon eth0 eth2

eth1

WLAN-AP

DSL

eth0 intern netwerk

DomU

ISDN

Net als bij een switch verbinden software-bridges de echte netwerkkaarten met de virtuele in de Xen-domU's. Dankzij het gemoderniseerde Xen kan een domU nu ook meer dan drie netwerkkaarten beheren – handig als je ook het WLAN over de firewall-domU wilt laten lopen.

DomU

Webserver Server

DVB0 DVB1

Doordat Xen een eigen techniek heeft, wijkt het jargon vergeleken met andere virtuele machines een beetje af. Zo heten virtuele machines 'domains'. Een dergelijk domain speelt voor de hypervisor in je normale hoofdbesturings-

systeem een belangrijke rol, aangezien die het verbindingsstuk vormt met de hardware. In Xenterminologie is dit de dom, ofwel het 'privileged domain'. De tweede soort domains zijn vervolgens 'unprivileged domains' ofwel domU's, die normaal gesproken alleen met speciale drivers de door de hypervisor aangeboden hardware kunnen benaderen. Je hebt dus ook driver-domU's nodig om software toegang te geven tot een bepaald PCI-apparaat. HVM-domains zijn het derde soort domeinen. Hiermee krijg je te maken als je een processor met virtualisatie-ondersteuning hebt. Pas dan is Xen in staat om echt elk x86-besturingssysteem virtueel te laten draaien, zoals een willekeurige versie van Windows. Heb je een processor zonder virtualisatie-ondersteuning, dan moeten besturingssystemen in dom0 of domU eerst aangepast worden voor ze onder Xen kunnen draaien. Het verschil zit hem in een trucje. Een normaal besturingssysteem benadert de hardware direct, maar in aangepaste 'geparavirtualiseerde' gastsystemen wordt de hardware via zogenaamde hypercalls aangesproken. Op dat moment komt de hypervisor van Xen in actie. Als je onze c’t-Debian-server installeert, haal je om precies te zijn een Debian GNU/Linux 4.0r4a (Etch)-systeem in huis. Dit systeem kan bovendien hypervisor (dom0) spelen. Zo kun je in een virtuele machine op dit systeem

Welke netwerkkaart de virtuele machines waarvoor gebruiken, kom je te weten met ctsrvcfg in het tweede configuratiedeel, na het kopiëren.

je met het pakket ctdomubuilder een tool om zo'n beetje elke Debian-domU op poten te zetten. Bijzonder aan de c't-Debianserver is dat domU's in de vorm van Debian-pakketten worden aangemaakt. Alle bestanden (of logische volumes, waarover dadelijk meer) behoren tot één pakket, zodat je ze ook makkelijk in één keer kunt verwijderen als je ze niet meer nodig hebt. Ook delen ze configuratiescripts waarmee je de betreffende server kunt installeren. Om de harde schijf tussen de virtuele machines op te delen, wordt Logical Volume Management (LVM2) gebruikt bij de standaard installatieprocedure van de c't-Debian-server. Dit beheerprogramma is ook in Linux ingebouwd. De installatie verloopt verder grotendeels automatisch. Een domU krijgt dus geen partitie of bestand als virtuele disk, maar één of meer 'logische volumes'. De volume group hebben we standaard 'server' genoemd. Tijdens de installatie wordt ook een dummyvolume aangemaakt met de naam 'srv'. Vervolgens wordt dat volume weer opgeruimd door ctsrvcfg als je de eerste domU maakt. Waarom wordt er eigenlijk LVM gebruikt en geen partities? Simpel: 'volumes' hebben het voordeel dat je ze kunt vergroten of verkleinen wanneer en hoe je maar wilt, mits er natuurlijk nog ruimte op je harde schijf over is en niemand op dat moment met het volume bezig is. Ook zijn volumes over meerdere schijven te verdelen, die niet eens geheel beschikbaar hoeven te zijn. Bij partities is dat wel zo. Bovendien kan LVM op afroep snapshots van volumes maken, zodat je een toestand op elk moment kunt vastleggen en ook altijd weer kunt herstellen. Rest ons nog een belangrijk detail over de installatie van dom0: ctsrvcfg configureert softwarebridges, waarover het netwerkver-

keer naar buiten op het internet gaat, maar ook voor de communicatie met je interne netwerk. Deze bridges ('extern' en 'intern' genoemd) werken als switches. Afhankelijk van de bridge waarmee domU moet communiceren, kun je de netwerkinterface met de bijbehorende bridge verbinden. Bij de Endian-domU is dat bijvoorbeeld 'extern' voor de toegang tot een router of modem en 'intern' om zijn diensten beschikbaar te maken in het lokale netwerk. Als je de basisinstallatie opnieuw hebt gestart, kun je in ctsrvcfg zien welke netwerkkaart aan welke bridge is toegewezen. Kijk deze instellingen even na, zodat niet toevallig het interne en externe netwerk zijn omgewisseld. Als je nog meer netwerkinterfaces wilt gaan gebruiken, bijvoorbeeld voor een WLAN of een DMZ, kun je het bestand /etc/network/interfaces op analoge wijze uitbreiden. De bridge die Xen zelf kan aanmaken en door andere distributies wordt gebruikt, laten wij overigens links liggen. Deze werkt namelijk alleen goed voor een enkele instantie.

Booten van de dvd De installer van de c't-Debianserver gebruikt de tekstmodus en oogt dus niet bepaald spectaculair. Dat zal in een volgende versie wellicht anders zijn, want de volgende release, Debian 5.0 oftewel 'Lenny', heeft voor het eerst een

grafische installer die vergelijkbaar is met die van Ubuntu. Voor nu hebben we gekozen voor Debian stable ('Etch'), omdat we stabiliteit belangrijker vinden en er op het moment van schrijven meer software voor beschikbaar was. Als je je pc hebt geboot vanaf onze dvd, kun je kiezen uit een volledig automatische ('auto') of een handmatige installatie ('manual'). Let op voordat je de automatische installatie kiest, want deze gaat ervan uit dat hij bestaande partities (na toestemming) mag wissen. Als je bestaande partities wilt hergebruiken of als je de hostname, IP-adressen en DNS-domeinnaam zelf wilt instellen, kies dan voor de handmatige installatie. De gekozen netwerkinstellingen worden daarna ingesteld bij de diensten (DHCP en nameservers), maar ook bij je virtuele machine en de firewall. Bovendien kun je in het bootscherm kiezen uit een 32-bit en een 64-bit variant. Heb je alleen een cd-romdrive in plaats van een dvd-station, dan kun je de ISO-bestanden op een cd-r branden ('i386' voor de 32-bitversie, 'amd64' voor de 64-bitversie). Het maakt niet uit of je een processor van Intel of AMD hebt. Welk systeem wordt geïnstalleerd, hangt af van wat je bij de bootprompt invoert. Om de 64-bit-versie van de handmatige of automatische installer te starten, gebruik je 'manual64' dan wel 'auto64'.

Als je andere besturingssystemen op je harde schijf hebt en die wilt houden of als je de partities anders wilt inrichten, kun je dus beter handmatig installeren. Ook dan is Logical Volume Management (LVM) de beste keuze, maar je kunt ook alternatieven kiezen. Met ctsrvcfg kun je ook virtuele machines in imagebestanden aanmaken, maar dan moet je wel veel ruimte vrij hebben in /var/ lib/xen. Omdat de gebruikte kernel 2.6.18 al redelijk oud is, kan het gebeuren dat de installer je netwerkkaart of harde schijf niet kan vinden. In dat soort gevallen kunnen we helaas weinig doen; de kleine verschillen tussen de installatiekernel en die van de geïnstalleerde Xen-variant kunnen nou eenmaal schoonheidsfoutjes veroorzaken. Maar met een beetje improvisatie zijn die meestal op te lossen. Na het kopieerwerk naar de harde schijf en een reboot begint het tweede deel van de installatie. Het kan zo nu en dan wel eens voorkomen dat dan je cd/dvddrive niet meer wordt gevonden. Als je daar een melding van krijgt, is waarschijnlijk het toegewezen apparaatbestand 'opgeschoven'. Linux herkent je drive nog wel, maar dan onder een andere apparaatnaam. Om dan toch door te starten, moet je je op de tweede tekstconsole (Alt-F2) aanmelden en de startmeldingen van de kernel doorzoeken op het type van je dvd-station, bijvoorbeeld met dmesg | grep DVD. Let hierbij op aanduidingen als /dev/hda. Die naam moet je in het bestand /etc/fstab zetten op de plaats waar de naam van het apparaat voor /media/cdrom0 staat. Als je vervolgens teruggaat naar de eerste console (Alt-F1), kun je doorgaan met de installatie. Als je SATA-schijven hebt die in het eerste of tweede installatiedeel niet herkend worden, kan het handig zijn om de BIOS-instellingen te variëren. Afhankelijk van de BIOS-setup heten de bijbehorende opties 'AHCI', 'Compatible Mode' of 'Legacy Mode'. Als je op deze manier met succes een basisinstallatie hebt uitgevoerd die desondanks niet zelfstandig kan

Je kunt de firewall via de webinterface configureren.

starten, moet je in veel gevallen het bestand /etc/fstab en /boot/ grub/menu.lst wijzigen en overal waar /dev/hda staat vervangen door /dev/sda of vice versa. In de basisinstallatie kun je na een herstart de pakketten vanaf de dvd/cd naar de harde schijf kopiëren. Uiteindelijk belandt de Debian-repository op de lokale schijf en wordt deze voorzien van de standaard geïnstalleerde minimale webserver (dhttpd). Dat voorstel kun je het beste accepteren, want dat scheelt een hoop werk en tijd bij de rest van de configuratie en het inrichten van meer virtuele machines. De repository van de dvd met i386en amd64-pakketten neemt ongeveer 1 GB in beslag. Als de installatie eenmaal is afgerond, kun je je server vanaf een clientsysteem op hetzelfde netwerk bereiken via de URL server.athome.xx:81. Als de client nog niet met de nameserver op de server communiceert, moet je het IP-adres gebruiken. De minimale website stuurt je door naar het configuratie-webfrontend voor bijvoorbeeld de firewall of de SBS, voor zover je die laatste natuurlijk hebt geïnstalleerd.

Endian configureren Om je server en je lokale netwerk via de gevirtualiseerde firewall Endian met internet te verbinden, moet je eerst Endian configureren. Dat gaat via een webinterface die standaard te vinden is op IP-adres 192.168.1.1. Die stuurt je vervolgens door naar https:192.168.1.1/ cgi-bin/main.cgi. Heb je bij de gateway een specifiek adres opgegeven, gebruik dat adres dan om bij de webinterface te komen. Je krijgt wat meldingen te zien over certificaten die geen officiële handtekeningen hebben, die je kunt negeren. Dan vraagt een configuratiewizard je naar de taal en de tijdzone, moet je akkoord gaan met de GPLv2 en krijg je de gelegenheid om een back-up terug te zetten. Dat kan erg handig zijn bij een nieuwe installatie of als je aan het updaten bent naar een nieuwe versie van de firewall. Schrik niet als de eerste twee schermen Duitstalig zijn: in het eerste scherm kies je in de drop-downlijst gewoon voor Nederlands (Dutch) en in de tweede vink je aan dat je met de licentie akkoord gaat. Daarna is de taal ook echt in het Nederlands ingesteld.

Vervolgens kun je de wachtwoorden instellen waarmee je toegang krijgt tot de firewall: het 'admin'-account dient om bij het webfrontend in te loggen en 'root' om via de achterdeur met ssh op de firewall zelf in te kunnen loggen (vergeet niet om ssh dan ook te activeren!). Als je wilt inloggen via de console, moet je eerst in het bestand /etc/securetty de Xenspecifieke console xvc0 hebben toegevoegd. Daarna kun je de dom0 bereiken via xm console endian. Na het instellen van het wachtwoord wil de firewall alles weten over je netwerkconfiguratie. Omdat de firewall gevirtualiseerd draait, kun je ADSL via USB/PCIapparaten, ISDN en analoge of UMTS-modems waarschijnlijk niet gebruiken (wij hebben het in elk geval niet getest). Als je de techniek hebt gekozen, moet je de rollen voor de netwerkkaarten toebedelen. Hiervoor gebruikt Endian verschillende kleuren: het groene netwerk is het interne deel van de firewall en het rode verbindt de firewall met de buitenwereld. In de basisconfiguratie van de c'tDebian-server zijn die twee met de bijbehorende bridges verbonden, zodat de firewall de betref-

fende netwerken bereikt via de netwerkkaarten van de server. Let erop dat je de DNSinstellingen niet over het hoofd ziet als je de netwerkinterface voor externe verbindingen kiest. Meestal kun je die automatisch ontvangen, maar dat is niet de standaardinstelling. Onthoud ook de MAC-adressen. Het is slim om die in het configuratiebestand van Xen voor de virtuele machine op te nemen, zodat die niet bij iedere start telkens opnieuw hoeven worden aangemaakt. Dat geldt zeker voor de testfase, want met name dan moet je de firewall of de server nog wel eens opnieuw starten en willen wisselende MACadressen regelmatig voor koppige clients zorgen. De clients onthouden de MAC-adressen voor een IPadres namelijk vaak wel). Stel nu dat je voor het groene netwerk bijvoorbeeld het MACadres 11:11:11:11:11:11 en voor het rode 22:22:22:22:22:22 te zien krijgt. Vervang dan op de server in het bestand /etc/xen/endian de regel

Xen-functies naar 'paravirt_ops' om te bouwen. Ze verwachten dat het in kernel 2.6.28 voor het eerst zal lukken om ook het stuk dat voor het uitvoeren van de hypervisor nodig is (de dom0) paravirt_ops te laten gebruiken. De Xen-ontwikkelaars verwachten dat Linus Torvalds Xen tegen die tijd, zo rond de release van Xen 3.4, eindelijk zal opnemen in de kernel, zij het dus in omgebouwde vorm.

en 'amd64'. De laatste draait ook op 64-bit Intels), maar dat wil niet zeggen dat je deze kunt mixen in virtuele machines. Daarvoor blijken de Xen-patches in de kernel namelijk te oud. Het wreekt zich hier dat de Debian-kernel-ontwikkelaars de Xen-patches in de stable-branch niet (kunnen) bijwerken.

vif = [ 'bridge=intern','bridge=extern' ] door deze beide:

De staat van Xen De Xen-hypervisor gebruikt Linux om de hardware aan te sturen, maar merkwaardig genoeg is het Xen nog steeds niet gelukt om officieel volledig onderdeel van de Linux-kernel te worden. Linus Torvalds heeft zijn zegen gegeven aan enkele losse delen, maar de ondersteuning voor dom0's (de eigenlijke hypervisor) zit nog altijd niet in de nieuwste Linux 2.6.27. Dat maakt het lastig om Xen op willekeurige hardware aan de gang te krijgen. In plaats daarvan kun je bij de Xen-ontwikkelaars patches voor Linuxkernel 2.6.18 downloaden. Maar ja, dat is alweer een eeuwigheid geleden. De nieuwste hardware kan problemen opleveren, zoals je op enkele plaatsen in dit artikel ziet. Een tijdje hebben de Linux-distributeurs geprobeerd om het tempo bij te benen en de officiële Xen-patches zelf geschikt te maken voor nieuwere kernelversies. Vooral de Fedora/RedHatontwikkelaars deden dit enige tijd trouw, waardoor hun patches zelfs in distributies als Debian

belandden. Sinds enige tijd hebben deze ontwikkelaars hun activiteiten echter opgeschort en volgen ze een andere aanpak. Ubuntu en Suse storten zich wel nog in de strijd, maar het is niet ondenkbaar dat zij op termijn overgaan op virtualisatie-alternatieven zoals KVM. Deze virtualisatietechniek gebruikt Linux niet zozeer als een hardware-hulpje voor een aparte hypervisor, maar is Linux zelf de hypervisor. Om KVM te gebruiken heb je wel een processor met virtualisatiefuncties nodig. De nieuwe strategie die Fedora en RedHat volgen, kun je kort omschrijven als "paravirt_ops": een interface in de kernel die moet abstraheren van de feitelijk gebruikte virtualisatietechniek. Sterker nog: zelfs operaties op echte hardware worden ingekapseld. Een kernel die met paravirt_ops is gecompileerd, werkt dus onder 'elke' hypervisor als gastsysteem, maar net zo goed zelfstandig op echte hardware. Momenteel zijn de ontwikkelaars bezig om hoe langer hoe meer

Momenteel is er echter geen praktische manier om een Xenen Debian-hostsysteem met een modernere kernel te gebruiken. We hebben de Xen-kernel 2.6.24 van Ubuntu getest, maar die bleek te onstabiel om als basis voor onze server te dienen – bij intensief gebruik van block-I/O bleek die met zijn niet aflatende reeks waarschuwingen niet eens geschikt als screensaver. Daar komt nog bij dat ook officiële Debian-kernels hun nukken hebben: ze worden weliswaar voor 32- als 64-bit geleverd (respectievelijk onder de naam 'i386'

De aankomende release van Debian 5.0 ('Lenny') heet nu nog debian-testing en heeft alleen een kernel met Xen-ondersteuning. Als gast kun je alleen 32-bit-besturingssystemen laten draaien. Waarschijnlijk zal dat tot de release ook niet meer veranderen. Een van de meest actieve Debian-kernel- en Xen-maintainers, Bastian Blank, maakt echter in een 'privé'-repository Debiankernels op basis van 2.6.18 beschikbaar. Deze zijn voorzien van modernere Xen-patches (momenteel uit Xen 3.1). De kernels hebben geen problemen meer om ook 32-bit-systemen in een 64-bit-omgeving te draaien. Deze kernel zit dan ook bij deze c't-Debian-server 3.

Firewall-update Om de Endian Firewall van versie 2.2rc2 naar rc3 via een smartrepository te upgraden moet je eerst de toegang tot de firewall vanuit het groene netwerk via Secure Shell (SSH) inschakelen. Dat doe je in de web-GUI onder "System"/"SSH access". De eerste keer kan het behoorlijk lang duren, omdat de firewall dan nog een aantal sleutels moet aanmaken. Hierna kun je vanuit een systeem met een SSH-client de volgende stappen starten. Meld je als root aan op de firewall en actualiseer via smart update vif = [ 'mac=11:11:11:11:11:11,bridge=intern', 'mac=22:22:22:22:22:22,bridge=extern' ] In het vervolg gebruikt Xen deze MAC-adressen voor de virtuele netwerkkaarten. Na een reboot bij de tests hoef je dan niet steeds de client met een arp-commando te vertellen dat de (oude) MACadressen niet meer ter zake doen. Als Endian met de ingevulde opties weer aanspreekbaar is, zie je een inlogvenster waarbij je je als 'admin' kunt aanmelden met het eerder opgegeven wachtwoord. Daarna maakt de firewall automatisch verbinding met internet. Op de startpagina vind je een waarschuwing dat Endian niet beschikt over de laatste kernelversie. Dat komt omdat diens kernel niet in de RPM-database is ingevoerd. In dit geval is de waarschuwing correct, maar onbelangrijk: we draaien de firewall immers paravirtueel, dus inderdaad niet met de originele kernel. De Endiankernel is speciaal aangepast door Endian-liefhebber Jens Friedrich.

de lijst van beschikbare pakketten. Hierna kun je de firewall met smart upgrade de pakketten daadwerkelijk laten updaten. Vervolgens wordt nog eens om bevestiging gevraagd. e4n meldt later dat het programma bestaande configuratiebestanden niet overschrijft. Een melding als warning: /var/efw/auth/users created as / var/efw/auth/users.rpmnew is dus geen reden voor paniek. Na deze update zou de firewall eigenlijk helemaal up-to-date moeten zijn. Hij is onder de nickname 'neobiker' actief op het (Duitstalige) ctserver.org-forum. Nu we het toch over kernelversies hebben: we gebruiken nog versie 2.6.21, maar wel met de patches die de Endian-ontwikkelaars voor 2.6.22 hebben gemaakt. De Endian-versie op de dvd is overigens een release candidate en volgens de ontwikkelaars dus nog niet helemaal af. Behoorlijk vergevorderd is de versie wel. Vandaar dat we hem hebben verkozen boven versie 2.1, die inmiddels alweer zo'n twee jaar oud is. We hebben met de Endianontwikkelaars afgesproken dat we kritieke updates via smart-repository aanbieden via de website van Heise, de uitgeverij van onze Duitse collega's. Waarschijnlijk zal op het moment dat dit nummer uitkomt al een nieuwere release candidate beschikbaar zijn. Hoe je deze update precies kunt installeren, wordt uitgelegd op de projectsite zodra er updates beschikbaar zijn [1] (de bijbehorende regels in de smart-pakketmanager van de installatie zijn al

aangemaakt). Hier zou je ook een repository voor pakketten uit de community kunnen opbouwen. Als de definitieve versie 2.2 van Endian uitkomt, zullen we wellicht ook het hele pakket als update aanbieden. Het is even wennen hoe je bij de nieuwe Endian-versie portforwarding moet instellen. Eerst leg je in een regel vast via welke interface en welke poort iets binnenkomt en waar dat vervolgens heen moet. Daarna voeg je concrete adressen toe (via het plusteken in de knoppen van de gedefinieerde regel) die de firewall ook daadwerkelijk doorlaat. Het lijkt op het eerste gezicht wat verwarrend, maar in oudere versies heeft het al op vergelijkbare wijze voor meerdere poorten gewerkt.

Configureren van de Small Business Server Het concept van een small business server (SBS) is even simpel als geniaal: pak een besturingssysteem, rust het uit met een aantal basisdiensten als filesharing, mail, web- en printservers en maak deze configureerbaar via een gebruiksvriendelijke webinterface. Iedere Jan-metde-pet kan er dan zonder veel gedoe mee uit de voeten. Een prettige SBS is ClarkConnect [3]. Daarom hebben we ervoor gezorgd dat je ClarkConnect 4.3 eenvoudig als virtuele machine aan je c't-Debian-server kunt toevoegen. Wel moet je de configuratie even nalopen. ctsrvcfg stelt namelijk alleen het IP-adres en het wachtwoord van de webinterface in. Vooral als je handmatig installeert, moet je de IP-configuratie controleren. Deze vind je door je als 'root'

Zonder registratie krijg je bij ClarkConnect geen updates of aanvullende software. Wel krijg je er gratis tien mailboxen voor terug en een webinterface, waarmee je bij de mail kunt.

aan te melden bij het frontend op het IP-adres van de SBS via HTTPS op poort 81 (standaard https://192.168.1.3:81, en als nameserver via https://sbs. athome.xx:81). Ook hier staan de instellingen in eerste instantie in het Duits, omdat onze collega's uit het oosten het project onderhouden. Om dezelfde reden zullen de updates gedownload worden van heise.de. Onder 'System / Sprache' in het menu van de server kun je de taal wijzigen naar Nederlands. Vervolgens moet je kijken onder 'Netwerk / IP instellingen'. Als daar de waardes van de nameserver rood zijn, moet je die weghalen en vervangen door de niet-roodgekleurde eronder. Klik op 'Update' en de rode velden moeten verdwijnen. Als je handmatig aan het installeren bent, controleer dan ook even of de gateway in de instellingen voor de netwerkkaart past – ctsrvcfg vult die data niet in. Op die manier zorg je er ook voor dat je je systeem bij Point Clark Networks kunt registreren. Dat is ook verplicht: pas na registratie kun je de volledige functieset van de SBS gebruiken, extra modules installeren en updates ophalen. Om de SBS te registreren moet je eerst een gratis account aanmaken op de site van Point Clark Networks (www.clarkconnect. com). De toegangsgegevens vul je vervolgens in bij de functie 'Registreer systeem', die je onder 'Diensten' vindt. Kies daar voor de optie om een nieuw systeem aan je account toe te voegen. Vervolgens vraagt de webinterface om een naam voor je pc. De naam wordt niet alleen geregistreerd bij Point Clark Networks, maar is ook de naam waaronder je externe IP-adres te bereiken is bij de DNS-service aldaar. In de webdienst van Point Clark Networks kun je de naam wijzigen en de functie ook geheel uitzetten. Tot slot moet je nog akkoord gaan met de voorwaarden voor commercieel gebruik van SBS. De communityversie bij c't-Debian-server kan met maximaal tien mailboxen overweg. Na registratie kun je in je SBS-server doen en laten wat je maar wilt. In de standaardinstelling worden kritische updates automatisch geïnstalleerd. Die kunnen onder meer van Heise afkomen, waar speciaal voor de

c't-Debian-server een apt-repository wordt bijgehouden en wijzigingen worden gedocumenteerd. In het verleden bestonden voor ClarkConnect updates van de C-bibliotheek, waarmee het gebruik onder Xen onnodig moeilijk werd. Als het moet kunnen we hier ingrijpen zonder dat je verder iets aan de installatie hoeft te doen. Over dit soort updates zullen we uiteraard op de website informeren. Voordat je gebruikersaccounts kunt inrichten om toegang te hebben tot de diensten van ClarkConnect, moet je in de 'Account manager' onder 'Organisatie' de basisgegevens voor de LDAP-server invullen. Bij ClarkConnect onthoudt de LDAP-server namelijk alle accountgegevens, waardoor die ook vanuit andere virtuele machines kunnen worden opgevraagd. Uit de ingevoerde gegevens leidt ClarkConnect de data voor elke nieuwe gebruiker af. Bovendien maakt ClarkConnect opnieuw de certificaten aan die je nodig hebt om via HTTPS toegang te krijgen tot het beheer en tot andere diensten. Als je een nieuw account aanmaakt, kun je instellen welke diensten diegene mag gebruiken. De lijst wordt natuurlijk langer als je er meer componenten bij installeert ('software modules' onder 'Diensten'). In c't-Debian-server 3 hebben we alle modules al geïnstalleerd die je nodig hebt om een mailserver te gebruiken. Ook vind je er het webfrontend voor e-mail (Horde), dat via poort 83 te bereiken is, en de Maildropmodule om mails op POP3- en IMAP-servers automatisch te verzamelen. Hoe je een dergelijke configuratie instelt valt buiten

Het configuratie-frontend ctsrvcfg en ctdomubuilder werken samen om meer virtuele Debian-machines op te zetten.

de scope van dit artikel, maar een handleiding daarvoor vind je in oudere c't-artikelen [3] en op de projectsite [1].

Meer virtuele machines Je kunt de firewall en de SBS als bestaande virtuele machines 'zien' draaien op je server met de commandline-instructies 'xm list' en 'xentop'. Maar de c't-Debianserver bevat ook een programma waarmee je je eigen virtuele machines (domU's) kunt maken: ctdomubuilder. Als je in ctsrvcfg in het 'domus'-menu een vinkje zet bij ctdomubuilder, start ctdomubuilder direct op om een nieuwe domU aan te maken. In het configuratiefrontend moet je de basisgegevens voor de nieuwe virtuele machine invullen. Let op: gebruik alleen kleine letters voor de domu-namen. De eerste keer kan het daarnaast even duren voordat ctdomubuilder resultaat boekt, omdat hij een template voor het betreffende systeem aanmaakt. Die template wordt bij volgende keren echter hergebruikt. Momenteel kan ctdomubuilder alleen Debian in de domU's plaatsen. Als je in het bestand /etc/default/ctdomubuilder advanced="false"

Bij de installatie kun je ervoor kiezen om de Logical Volume Manager je partities en virtuele machines te laten beheren.

zou wijzigen in advanced="true", kun je ook de testing-branch (op het moment van schrijven nog Lenny) en de 'unstable'-branch (Sid) van Debian in een domU installeren. Op een 64-bit-systeem mag je van ctdomubuilder kiezen tussen 32- of 64-bit-omgevingen in de domU. Een Xen-systeem van 32-bit kan alleen 32-bit-gastsystemen uitvoeren. De optie hiervoor ontbreekt echter. ctdomubuilder heeft voor een Debian-pakket een rare eigenschap. Het kan immers andere pakketten genereren, maar wordt zelf door ctsrvcfg geïnstalleerd en korte tijd later weer gedeïnstalleerd. Daarbij blijft het pakket als 'removed' maar niet als 'purged' bekend, waardoor de gecreëerde bestanden (alle domU-templates in de /var/lib/xen en het configuratiebestand in /etc/default) op je harddisk achterblijven. Mocht het niet lukken om een nieuwe domU te maken, dan moet je eens proberen de dan nog onvolledige template te verwijderen. Dit gaat in één keer met dpkg –purge ctdomubuilder, maar dan zijn ook meteen alle bestanden weg. Minder radicaal kan het ook. Zie hiervoor de (Duitstalige) wiki op [1]. De virtuele machines die met ctdomubuilder tot stand zijn gekomen, krijgen in het pakketbeheer van Debian nog de prefix 'domu-'. De volledige naam luidt dan iets als 'domu-vmname'. Met het commando dpkg -l | grep 'domu-' krijg je een overzicht van alle domU's die op die manier tot leven zijn gewekt. Met dpkg --purge ctdomu-video zou je een domU met de naam 'video' uit je systeem verwijderen. Bij de deïnstallatie worden alle bijbehorende bestanden, waaronder ook logische volumes, meteen opgeruimd. De door ctdomubuilder gemaakte pakketten zijn dus niet bedoeld om naar andere systemen te kopiëren, omdat er dan dependencydeclaraties bij hadden moeten

zitten. Daarnaast bevatten alleen domU's zonder LVM gegevens over het bestandssysteem. Op de Xen-domU's die met behulp van een configuratiebestand zijn beschreven, valt nog wel een minpuntje te ontdekken dat gelukkig is te verhelpen. Normaal gesproken maakt Xen namelijk bij elke boot van een domU een nieuw MAC-adres aan. Bij Debian Etch en Lenny, die beide udev gebruiken, heeft dat tot gevolg dat de netwerkkaart gaat 'wandelen'; bij de eerste boot heet deze eth0, bij de tweede eth1 enz. Gebruik je dus een vast IP-adres, dan heeft de domU geen netwerk als je de tweede keer boot. Je kunt dat oplossen door het MAC-adres in het configuratiebestand op te nemen. Dat gaat op dezelfde manier als bij de firewall, waarover we al eerder uitleg gaven. Het was eleganter geweest als dat allemaal automatisch verliep. Omdat de configuratiebestanden Python-scripts zijn, ligt het voor de hand om ze op die manier ook uit te breiden. De configuratiebestanden die ctdomubuilder aanmaakt lezen al een bestand in waaruit ze een gemeenschappelijke variabele voor het pad naar de Xen-binary's 'xenpath' halen (/etc/xen/ctsrvcommon). Dat bestand kun je uitbreiden met wat Python-code die nieuwe MACadressen toewijst aan onbekende Xen-domeinen. Het prototype zou er zo uitzien: import random import shelve import sys import os.path xenpath=os.path.dirname(sys.argv[0])+'/../' if not name: print 'Missing domu name, abort' sys.exit(1) macs=shelve.open('/etc/xen/macaddrs') if not macs.has_key(name): mac=[0x00, 0x16, 0x3e, random.randint(0x00, 0x7f), random.randint(0x00, 0xff),

vif = [ 'bridge=intern' ] usbdevice='tablet'

Als je harde schijf voldoende ruimte heeft, kun je de bestanden beter daarnaar toe kopiëren. Het is dan later veel makkelijker om extra servers of services toe te voegen. random.randint(0x00, 0xff) ] macs[name]=':'.join(map(lambda x: — "%02x" % x, mac)) mymac=macs[name] macs.close() print 'Using mac: %s' % mymac Een bijbehorend configuratiebestand dat het bovenstaande script aanroept, zou er als volgt uitzien: name='etch64' execfile('/etc/xen/ctsrvcommon') bootloader=xenpath+'/bin/pygrub' memory='128' root='/dev/xvda1 ro' disk = [ 'phy:/dev/server/etch64_lv_root,xvda1,w', 'phy:/dev/server/etch64_lv_swap,xvda2,w' ] vif = [ 'mac='+mymac+',bridge=intern' ] Het /etc/xen/ctsrvcommonscript werkt net als een shellscript dat je uitvoert met het commando 'source'. Het erft namelijk de variabelen van het hoofdscript (het script om het bestand heen is het in Python geschreven Xen-xm-commando) en retourneert zijn gewijzigde variabelenwaarden weer aan het hoofdscript. Om ervoor te zorgen dat ctsrvcommon voor elke domU een eigen MAC-adres kan genereren, moet de variabele 'name' al voor de aanroep een waarde hebben. In mymac worden dan de individuele en bij de eerste aanroep gegenereerde adressen teruggegeven. We hebben een langere variant van het script op de projectsite online gezet. Bovendien gebruikt dat script een makkelijk apart bestandje voor de toewijzingen. Op een later moment zal het onderdeel van ctdomubuilder worden. Het script is overigens niet opgewassen tegen Xen-domeinen met meer dan één netwerkinterface, die dan vaste MAC-adressen zouden moeten krijgen.

Meer voorbeelden Als je andere besturingssystemen onder de hoede van de c'tDebian-server wil laten lopen, moet je handmatig een configuratiebestand in elkaar flansen. Dat is niet al te gecompliceerd, waardoor het overkill zou zijn als we speciaal daarvoor een grafische tool zouden maken. Tevens zou dat ten koste gaan van de dom0, die we bewust zo eenvoudig mogelijk hebben gehouden. Nog een argument is dat veel van dat soort GUI-programma's slechts met veel moeite in Etch draaien. Als GUI-omgeving gebruiken ze vaak moderne bibliotheken die je onder Etch niet meer eenvoudig aan de praat krijgt. Een apart geval zijn de HVMdomeinen die je kunt gebruiken om ongewijzigde besturingssystemen (bijvoorbeeld Windows) als gast te laten draaien. Daarvoor maak je eerst een logisch volume als virtuele disk aan: lvcreate -L8G -nwinxp server Het commando creëert een logisch volume van 8 GB met de naam 'winxp' in de volume group 'server'. Als we ervan uitgaan dat de ISO van de installatie-cd van XP (genaamd winxp.iso) op de server in de /root-directory staat, ziet het minimale configuratiebestand er als volgt uit: path='/usr/lib/xen-3.2-1' kernel=path+'/boot/hvmloader' device_model=path+'/bin/qemu-dm' builder='hvm' memory='512' name='winxp' boot='d' disk=['phy:/dev/server/winxp,ioemu:hda,w', 'file:/root/winxp.iso,hdc:cdrom,r'] vnc=1 vncpasswd='peter'

Bovenstaande regels zorgen er achtereenvolgens voor dat Xen de juiste programma's vindt. Daarnaast wordt de volgende informatie verstrekt: domU is een ongewijzigd gastsysteem. Hiervoor wordt HVMLoader gebruikt; er moet 512 MB RAM beschikbaar zijn. De harddisk heet hda en bestaat uit één logisch volume; het cd-station heet hdb en is beschikbaar als iso-bestand. De console van het virtuele systeem is via VNC toegankelijk en beveiligd met het wachtwoord 'peter'; de netwerkinterface van de domU is op de interne bridge aangesloten en de VNC- en Windows-muiscursors moeten zich binnen de VNC-sessie synchroniseren. Om ervoor te zorgen dat je via VNC kunt inloggen op de console van het HVM-domein, moet je de Xen-daemon toestaan om de VNC-sessies via het lokale netwerk aan te bieden. De bijbehorende optie staat in het bestand /etc/xen/xendconfig.sxp en heet vnclisten. In plaats van het adres '0.0.0.0' moet je voor de zekerheid ook het adres van de interne netwerkkaart van de server/de dom0 invullen. Voordat je de HVM-domU start, moet je eerst de Xen-daemon opnieuw starten met /etc/init.d/xend restart. Dan worden de wijzigingen namelijk ook pas van kracht. VNC-clients die je nodig hebt om verbinding te maken met de virtuele console bestaan eigenlijk voor elk besturingssysteem. Om in te loggen moet je hierbij het IP-adres, het wachtwoord en het displaynummer opgeven. Dat laatste wordt telkens 1 hoger als er een actief HVM-domein bijkomt. Welke domeinen actief zijn, kun je achterhalen met netstat -nat | grep ":59". Vanaf

poort 5900 en hoger luisteren de VNC-servers naar verbindingen. Om verbinding te krijgen met de Xen-VNC-servers kan het overigens bij enkele clients nodig zijn om sommige optimalisatieopties uit te schakelen. Meer voorbeelden van XendomU-configuratiebestanden vind je op de projectsite [1]. We hebben er ook een paar handleidingen staan hoe je met een virtuele MS-DOS de pc-steentijd kunt induiken en hoe je een digitale videorecorder kunt maken die de PCI-DVB-kaart binnen een domU gebruikt. Bij dat laatste kun je zelfs een seriële poort activeren, zodat je een LIRC-infrarood-ontvanger kunt gebruiken om het geheel op afstand te bedienen.

En nog meer! Over LIRC gesproken: we hadden de c't-Debian-server standaard al met allerlei extra modules kunnen uitrusten, zoals LIRC, EM8300 en cdfs. De headerpakketten van de gebruikte kernel werkten echter niet mee, zodat we de modules niet konden compileren met de module-assistant. Een oplossing is gelukkig niet ver weg. In de Heise online-repository staan pakketten klaar voor de DebianXen-kernel, waarmee je dit soort apparatuur toch kunt aanspreken binnen een domU met de officiële kernel. Meer hierover vind je weer op de projectsite [1]. (psp) Literatuur [1] Website, wiki en bugtracker voor de c’t-Debian-server (deels Duitstalig): www.heise.de/ct/projekte/ srv/ [3] Peter Siering, De oppas thuis, Aan de slag met ClarkConnect Community, c’t 4/2007, p. 128

Softlink 0812104

Bij handmatige installatie kun je het IP-adres van Endian aanpassen aan je eigen netwerk.

c