Megtanulsz szolgáltatást üzemeltetni RedHat- és CentOS cluster környezetben egy LAMP webszerver-példa segítségével.

Az Ansible tanfolyam soron következő részében tovább bővíted a role-készítés ismereteidet. Ezúttal három (+1) új role-t készítünk el.
 
A language support role segítségével a Debian és Ubuntu szervereid nyelvi támogatását tudod beállítani. Itt jelentős különbség van a két disztribúció között, így ez egy kiváló példa ezen különbségek kezelésére.
 
A második részben egy "dupla" role készül el. Első körben az ssmtp, ami egy egyszerű "nullmailer". A célja nem több, mint a rendszeren keletkező emailek továbbítása egy valódi levelező-szerver felé. Az ssmtp-vel apró probléma (ami a tananyag készítése közben jött elő), hogy a legújabb Debian már nem tartalmazza, így ez a role csak Ubuntu-n működik. Ezért a következő lépésben átalakítjuk és átnevezzük nullmailer-re. Az átalakítás során belekerül egy alternatív nullmailer megoldás (msmtp) és annak teljes beállítása. Az eredmény pedig egy kombinált role, ahol te döntöd el, hogy ssmtp-t vagy msmtp-t használsz. A role kialakítása és átalakítása során sok hasznos ismeretet szerzel.
 
Végül a Debian és Ubuntu szerverek automatizált frissítését szolgáló unattended-upgrades szolgáltatást beállító role elkészítése került ebbe a részbe. Ha nem ismernéd ezt a csomagot, akkor a célja, hogy előre meghatározott szabályok szerint automatizáld a biztonsági- és opcionálisan az egyéb frissítések telepítését a szervereden. A csomag számos fontos beállítást tartalmaz. A role ezek elvégzését automatizálja.
A képzésen megtanulod hogyan készíts modern HA-cluster környezetet RedHat Enterprise Linux / CentOS alapon. A gyakorlat során egy LAMP-szerver összeállításán keresztül ismered meg a lépéseket:
  • Storage beállítása (iSCSI - targetd - multipathd)
  • Cluster létrehozása
  • Webszerver létrehozása
  • MariaDB szerver beállítása és használatba vétele PHP példán keresztül
  • Mi történik a DB-vel ha "kivesszük" alóla az egyik diszket?
  • Aktív-passzív nginx webszerver
  • Aktív-aktív nginx webszerver
Egyszer volt, hol nem volt, a kilencvenes években, amikor még modemmel tolta otthon a többség a 150 forintos Matáv kedvezménnyel, amikor a kisebb cégeknél 64k - 128k bérelt vonalak voltak, a nagyobb cégeknél pedig E1-E3, esetleg ATM (nem, nem a pénzkiadó automata) a rendszergazdák felfedezték maguknak a proxykat. A proxy egy kedves jószág volt, a rajta áthajtott (leginkább) webforgalmat tárolta és amennyiben bizonyos időn belül másvalakinek ugyanaz a tartalom kellett, akkor helyben kiszolgálta, ahelyett, hogy a lassú és drága WAN kapcsolaton lekérte volna újra ugyanazt. A végfelhasználóknak ez jó is volt, mert a felhasználói élmény javult, de rossz is volt, mert olyan dolgokkal kellett ezután szembesülniük, mint tartalomszűrés, proxy beállítási nehézségek, roamingolás közben esetleg bosszankodás. Természetesen az informatikának volt erre válasza, mint például a PAC (Proxy Auto Configuration), de ez igazából nem tökéletes, mert függ sok tényezőtől. A másik megoldás a rendszergazdáktól jött, akik leggyakrabban egy linuxos internet kijáratot üzemeltettek és egyszerűen beállítottak egy transzparens proxy-t, amire a forgalmat átirányították.
 
Előretekerünk 2020-ba, amikoris a WAN sávszélességek igazából nem szűk keresztmetszetek, kapacitás van bőven, ellenben a biztonság sokkal nagyobb probléma, mint húsz éve. Rosszindulatú javascript kódok, phishing oldalak, bitcoin-bányász programok játéknak álcázva, ransomware programok, makrós mellékletek levelekben - napestig lehetne sorolni miféle veszélyek leselkednek az egyszeri felhasználóra, aki csak békésen szeretne böngészni. A tartalomszűrésnek ma sokkal inkább van létjogosultsága mint eddig bármikor és ma már a tartalom lokális tárolása a gyorsabb kiszolgálás érdekében háttérbe szorult. De a proxy-k továbbra is megbízhatóan teszik a dolgukat.
 
Mit tegyen azonban a rendszergazda, ha egy közönséges iptables REDIRECT szabály nem elérhető számára? Mit tegyen, ha nincsenek általa üzemeltetett linux rendszerek, mert szegénynek hálózati eszközei vannak csak? Hogyan tudja a forgalmat elterelni a transzparens proxy irányába, hogy az, aki azt üzemelteti, kezelni és kontrollálni tudja a forgalmat?
 
A képzésen egy laborban fogunk dolgozni ahol egy tipikus céges hálózatot fogunk konfigurálni. Nincs benne linux tűzfal, nincs benne iptables, nincs benne semmi, amit egy átlagos rendszergazda használni tudna. Csak hálózati eszközök vannak és ezekkel fogjuk megoldani ugyanezt a feladatot. Nagyon izgalmas képzés lesz olyan szempontból, hogy visszaköszönnek benne olyan technológiák illetve protokollok, amelyeket már egyszer megismertünk és most újra segítségül fogjuk hívni őket. Tipikus példája annak, amikor az elméletet egyszer valamikor megtanultuk, most pedig a gyakorlatban alkalmazzuk. Az oktatáson nem azt fogod megtanulni, hogyan kell proxy-t installálni - ezt majd megcsinálja egy rendszergazda. Azt fogod megtanulni, hogy a hálózat üzemeltetőjeként (legyen a szerep akár önként vállalt, akár rádszuszakolt) miképpen tudod hálózati eszközökkel a transzparens proxy-hoz eljuttatni a forgalmat. Természetesen mindent az oktató képernyőjén követhetsz végig, a konfigurálást, ellenőrzést és hibakeresést is. Nyakig túrunk ismét a wireshark-ba, hogy minden részletét megértsük a dolgoknak és szükség esetén másnap a saját hálózatodban magabiztosan tudd bevezetni a tanultakat.
A naplózás az első és legfontosabb forrás, amikor hibát keresel. A megbízható működése létkérdés. Ha több mint egy szerverért felelsz, nagyban megkönnyíti a munkádat ha azok naplózása központi helyen érhetőek el. Ennek megvalósítását a Graylog képzés korábbi alkalmain megtanultad. De mindannyian tudjuk, hogy egy szerver nem szerver. Bármikor leállhat és akkor nincs naplózás.
 
A folytatásban megismerkedsz a redundáns naplózással: a korábban létrehozott Graylog szervert átalakítjuk egy három-gépes, aktív-aktív cluster-ré, hogy bármely gép leállása esetén is folyamatos legyen a naplózás.
 
A második alkalommal megszünteted a régi, feleslegessé szervert, majd teszteled a cluster működését. Végül pár biztonságot növelő beállítással ismerkedsz meg, hogy ne csak megbízható, de biztonságos is legyen a naplózási rendszered.
 
A képzés nem csak akkor hasznos, ha összetett naplózó-rendszert készítesz. A bemutatott elvek és módszerek jól jönnek más környezetben is, ahol redundáns működés a cél.
 
A képzésen azonnal használható, gyakorlati tusást szerzel. Az oktató képernyőjén követed a lépéseket, melyhez részletes magyarázatot kapsz, hogy megértsd amit csinálsz és elkerüld a felesleges hibákat. A végére te magad is össze tudod állítani a saját környezetedhez illeszkedő Graylog cluster-t.
Powered by Changelogfy