Hlavní navigace

OpenBSD 4.1: redundance a load-balancing

Jiří Bělka 4. 5. 2007

OpenBSD projekt vydává novou verzi svého operačního systému každých šest měsíců. Dne 1. května vyšla oficiálně nová verze OpenBSD. Jejím tématem je opět poskytování, respektive neposkytování dokumentace k hardware. Co nového nám OpenBSD 4.1 přináší? Kromě podpory nového hardware jsou tu i další zajímavé novinky.

Úvodem je potřeba opět připomenout, že fungování OpenBSD projektu je postaveno na prodeji oficiálních médií, OpenBSD suvenýrech a dotacích. Jestliže jste si tedy ještě neobjednali oficiální média OpenBSD 4.1, můžete tak učinit přes belgického distributora kd85.com.

CD OpenBSD

Když se totiž podíváme na stránku dotací, zjistíme, že tam nefiguruje žádná z těch velkých nadnárodních IT korporací, které přitom těží z vývoje OpenBSD, respektive OpenSSH, jež je vyvíjeno paralelně při OpenBSD, nejvíce. OpenSSH je součástí většiny instalací komerčních UNIXů, komerčních softwarových produktů nebo základem síťové infrastruktury. Jestli tedy OpenBSD/OpenSSH využíváte (v komerční sféře), buďte fér a objednejte si oficiální média nebo pošlete alespoň menší dotaci.

Téma OpenBSD 4.1: dokumentace k hardware

Tématem nové verze OpenBSD je opět poskytování respektive neposkytování dokumentace k hardware výrobci. Během uplynulého půl roku vývojáři OpenBSD v žádném případě neslevili ze svých pozic, a tak například kritizovali výrobcem dodané binární ovladače nebo podepisování NDA. NDA znamená, že vývojář podepíše smlouvu o utajení a výrobce mu dovolí nahlédnout do specifikace zařízení. Výsledkem je binární ovladač, s největší pravděpodobností určený pouze pro jednu platformu a jeden operační systém.

Puffy

Proč ne binární ovladače? Protože to není open-source; ovladač neprochází důkladným bezpečnostním auditem (na rozdíl od firmware, který je natažen do zařízení, běží ovladač v privilegovaném prostředí jádra; připomeňme bug NVIDIA ovladače), funkce dodaného ovladače nemusí splňovat naše kritéria (příklad RAID ovladačů – každý pes jiná ves = častá neexistence unifikovaného administračního nástroje, naštěstí existují přístupnější výrobci, díky nim vývojáři OpenBSD vytvořili pseudo-vrstvu bio(4) a tímto dali vzniknout jednotnému RAID management interface využívajícího bio(4) a majícího přístup přímo k firmware řadiče – bioctl(8), nebo zrušení oficiálního přístupu k ovladači po určitém čase…

Kritika padla tedy například na projekt OLPC (za podepsání NDA kvůli bezdrátové kartě Marvell 88W8388), Free Linux Driver Development – pokus o vytváření ovladačů při podepsání NDA nebo nedávno na FreeBSD. Projekt podepsal smlouvu s Intelem o distribuci firmware k bezdrátovým kartám. Licence firmware totiž znemožňuje distribuci se systémem, a tak bohužel nemůžete využít tyto zařízení ihned během instalace. FreeBSD byl již dříve kritizován za akceptování uzavřených binárních ovladačů. Adaptoval například NDIS, známý též jako Project Evil, který umožňuje využít ovladače z Windows nebo různé binární ovladače k RAID řadičům. Tato kritika byla mimo jiné jedním z důvodů, proč mě OpenBSD kdysi zaujalo.

Jsou zde i pozitivní výsledky OpenBSD aktivit na poli požadování dokumentace k hardware. V nedávné době se do -current větve dostal nový ovladač tht(4) k 10Gb ethernetových kartám od firmy Tehuti Networks Ltd. Firma nejdříve nabídla spolupráci s podmínkou podepsání NDA, ale po vysvětlení důvodu, proc musí OpenBSD projekt nabídku odmítnout, se firma rozhodla změnit postoj a otevřela dokumentaci, změnila licenční politiku k distribuci firmware a bezplatně poskytla projektu několik karet. Samotné karty dle příspěvku na Undeadly.org jsou v porovnání s jinými výrobci jednoduché a mají čistý design. Poučí se z této situace vývojáři jiných systémů?

Nově podporovaný hardware

I přes všechny strasti s vývojem ovladačů pro OpenBSD verze 4.1 přinese rozšiřující se řadu podporovaného hardware. Nově je podporována platforma OpenBSD/landisk – Hitachi/Renesas SH-4 CPU embedded zařízení, ktere vyrábí firma Plextor. Byla vylepšena podpora UltraSPARCIII, byly překonány škaredé hacky se zákazem L1 cache v CPU, a tak nyní tato platforma běží rychleji. Rovněž se blýská na testování OpenBSD na UltraSPARC-IV.

Byla rozšířena sada podporovaných síťových (ethernet, 802.11a/b/g i fibre) karet (například cas(4)  – Sun Cassini, které jsou právě přítomny na zmíněných UltraSPARCIII nebo vic(4)  – Vmware VMXnet – pro akcelerované virtuální síťové rozhraní nacházející se v instalacích virtuálních mašin.

Novinky v software

Samozřejmě to nejzajímavější u OpenBSD 4.1 je softwarová část, přesněji síťové služby. Minulá verze 4.0 inovovala a zjednodušila nastaveni IPSec. Tématem vylepšení u 4.1 by se dalo nazvat – redundance a load-balancing.

Nová verze oficiálně představila hoststated(8)  – host status daemon. hoststated vám s pomocí OpenBSD PF umožní vytvořit load-balancing relay či application layer proxy (vrstva 3 a vrstva 7 modelu OSI), vše s podporou SSL. Možnosti nasazení mohou být různé. S hoststated  tedy můžete například jednoduše vytvořit SSL akcelerátor pro web servery, podporující přidávání/změnu HTTP hlaviček, GET proměnných a uchování session ID.

Styl konfiguračních souborů pro hoststated(8) je opět velmi podobný jiným daemonům v OpenBSD. Můžete používat makra, tabulky atd. Následující část byla převzata z hoststated.con­f(5) a ukazuje nastavení pro SSL load-balancing s více webservery.

# macros
www1=front-www1.private.example.com
www2=front-www2.private.example.com
www3=front-www3.private.example.com
www4=front-www4.private.example.com

# global configuration for hoststated(8)
interval 5

# table
# definujeme i zakladni testovani dostupnosti
# urciteho webserveru
table phphosts {
    timeout 300
    real port 8080
    check http "/" digest 630aa3c2f...
    host $www1
    host $www2
    host $www3
    host $www4
}

# protocol settings
# vkladani HTTP hlavicek
protocol http_ssl {
    protocol http
    header append "$REMOTE_ADDR" to "X-Forwarded-For"
    header append "$SERVER_ADDR:$SERVER_PORT" to "X-Forwarded-By"
    header change "Keep-Alive" to "$TIMEOUT"
    url hash "sessid"
    cookie hash "sessid"
    path filter "*command=*" from "/cgi-bin/index.cgi"
    ssl { sslv2, ciphers "MEDIUM:HIGH" }
}

# relay/layer 7 proxy settings
# definujeme, ktere pozadavky hoststated obsluhuje
# a tabulku cilovych stroju
relay sslaccel {
    listen on www.example.com port 443 ssl
    protocol http_ssl
    table phphosts loadbalance
} 

Možnosti jsou opravdu zajímavé. Můžete přidat další stroj a celou sestavu obohatit o carp a pfsync a máte fail-over i tuto SSL relay. Další možností může být relaying IPv6 HTTP provozu na webový server Apache 1.3.x v základu OpenBSD. Ten totiž neobsahuje podporu IPv6, protože dostupné patche narušuji API modul.

Hoststated je sice nový daemon, jak ale psal Reyk Floeter (pracující pro Vantronix využívající OpenBSD ve svých produktech) na Undeadly.org, už je pro něj vymyšleno mnoho dalších vylepšení. Po vydání 4.1 se připravuje lepší podpora carp(4), white/blacklisting, preinspection – no hoststated není pouhý load-balancer, ale stává se z něj pořádně výkonný relay pro různé protokoly,a možná časem i nějaká služba monitorující síťové služby, protože již teď má zajímavé možnosti detekce jejich stavu.

Mezi další sítové novinky patří ripd(8)  – v rámci projektu OpenBSD napsaný nový RIP – smerovací daemon pod BSD licencí. Vlastní služba pro hraniční směrovací protokol BGP – OpenBGPD má nyní CGI rozhraní bgplg(8) a shell bgplgsh(8) (ukazka).

Verze 4.1 bude sice ještě obsahovat opatchovanou verzi X.Org 6.9.0, ale v rámci přechodu na modulární X.Org byly z X.Org odstraněny veškeré závislosti na autotools a GNU pkg-config. Tento proces byl nazván Xenocara. OpenBSD vytvořilo náhradu pkg-config se stejným názvem napsanou v Perlu a distribuovanou pod BSD licencí. Modulární X.Org bychom měli vidět ve verzi 4.2.

OpenBSD PF nyní obsahuje časově omezené tabulky, výhodné v kombinaci se spamd(8), a podporu více pflog zařízení.

Jestliže byste chtěli použít fail-over anti-spam cluster, spamd nyní podporuje synchronizaci greylist databází mezi nody.

Protože (zatím?) carp nepodporuje režim bridge(4), dá se využít pro potřeby fail-over na layer 2 (např. firewallová bridge fail-over sestava) kombinace s managovatelnými přepínači podporující 802.1D-2004 STP a nyní i rychlejší RSTP.

Schéma

Software z portů

A jak je na tom software instalovaný z portů? Přesněji z předpřipravených balíčků? OpenBSD totiž jako správný postup doporučuje instalaci z balíčků, neexistující balíčky k určitému portu jsou následkem restriktivní licence. Jestliže 4.0 uvedla po těžkém opravování port OpenOffice.org, tak ve verzi 4.1 je již k dispozici balíček na serverech.

Dále tam najdete gstreamer-0.10, KDE 3.5.6, na portaci novějšího GNOME se pracuje, Firefox 2.0.0.2, PostgreSQL 8.2.3, port pro Apache 2.x (stále se doporučuje opatchovaný/chro­otovaný Apache 1.3 – bohužel bez podpory IPv6), fedora_base – knihovny pro compat_linux(8) (emulaci Linux API) – nahrazující zastaralé postavené na RedHat, a mnoho dalších nových balíčků.

Závěrem

OpenBSD 4.1 možná nepřináší tak marketingově zajímavé novinky, ale i tak můžeme být velmi potěšeni. OpenBSD jde stále svou cestou a myslím, že je to cesta vynikající – striktní politika, licence, zaměření na bezpečnost a redundance… Jestliže již OpenBSD používáte, můžete si být jisti, že systém stále žije a vyvíjí se – nezapomeňte na dotaci, ta může podpořit práci třeba na podpoře CARP pro bridge režim, podpora IPv6 u OSPFD, vylepšení hoststated nebo více balíčků pro Apache 2.x. Ještě se stále rozmýšlíte, jaký systém nasadit na síti? “Cože? Vy jste ještě nenainstalovali OpenBSD?”

Našli jste v článku chybu?

1. 7. 2007 15:12

ad duvod kritiky - prave ta dohoda; Intel nezmenil licenci celkove, jen ma dohodu s FreeBSD - nechapes rozdil?

ad zbytek - lol

22. 6. 2007 8:24

mato (neregistrovaný)
V prvom rade nechapem preco sa autor pri predstavovani OpenBSD navaza do projektu FreeBSD.
Ani OpenBSD nepozaduje opensourceovat firmware. Aky je teda dovod kritiky dohody medzi FreeBSD a Intel ohladom distribucie firmware ??
A to ze bol vytvoreny framework NDISulator, ktory umozni pouzit ovladace z Windows je pre mnohych, ktori nemaju inu moznost, posledna zachrana. Nikto nikoho nenuti NDISulator pouzivat, ale aby niekto sa snazil druhym diktovat co maju, nemaju, mozu ci nemozu robit je nepri…

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Podnikatel.cz: 10 tipů, jak dostat lidi do restaurace

10 tipů, jak dostat lidi do restaurace

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Podnikatel.cz: Babiš: E-shopy z EET možná vyjmeme

Babiš: E-shopy z EET možná vyjmeme

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0