Windows Server 2019 má oficiálně OpenSSH

Asi nerozumím tomu, jak se liší přímá a skriptovatelná správa Win od použití SSH na Linuxu, případně deploy pomocí Ansible a podobných.

Je to pojaté úplně jinak. Na windows se nepřipojujete ke vzdálenému shellu. Přímo ovládáte jednotlivé služby, jejich nastavení. Takže z jednoho scriptu, <b>který běží u Vás</b> ovládáte zdálené stroje.

SSH oproti tomu spouští příkazy vzdáleně, i script běží vzdáleně.

V praxi je rozdíl v tom, že na windows dostáváte daleko jednodušeji a přímo do svého místního scriptu zpětnou vazbu. Jste jedním příkazem schopný poslat konfigurační pokyn pro pět serverů naráz a vyhodnotit, že byla provedena.

Deploy proti tomu má tu nevýhodu, že se vzdáleně pošle script, který se provede, ten tam něco udělá, a pak pošle zpět výsledek.

Nemyslím to jízlivě, ale podle mě by kritikové Windows měli tyto věci znát, jak fungují, protože jinak nemohou hodnotit ani vzdáleně objektivně.

Vzdálené volání procedur (RPC) považujete za stejnou technologii jako terminálový přístup?
Podle mě terminál (SSH) je něco naprosto jiného, než RPC / WMI. Obojí se dá použít k témuž (správa vzdáleného stroje) ale obojí umí navíc každý něco jiného.

SSH je ve světě Windows poměrně nepotřebné. Někdy se hodit může, ale je to spíš okrajová záležitost.

Na prvním místě Unixy mají trochu problém v tom, že neexistuje standardní API pro správu systému. Zkuste si například zjistit jaké máte na stroji služby (daemony), a u konkrétní služby zjistit jestli běží, nebo ji spustit, založit apod. Na konkrétním Unixu (v případě Linuxu na konkrétním distru) může initd, systemd, upstart, runit, OpenRC, Service Management Facility (Solaris), launchd (MacOS), System Resource Controller (AIX), nebo ještě něco úplně jiného. Z těch jmenovaných nejspíš jenom systemd, SMF, launchd a SRC mají vůbec nějaké API, ovšem každý jiné. Podobné je to když chcete třeba změnit IP adresu, založit uživatele nebo ho přidat do skupiny, vytvořit FS apod.

Ve Windows je primárním prostředím GUI, tzn. naprostá většina věcí musí jít z GUI nastavit. Vyjma toho se vyžaduje i možnost nastavení z command line. To znamená že Windows mají API pro správu systému, které jsou pak používány GUI nástroji (včetně modulární MMC), command line nástroji, a případně i aplikacemi třetích stran. To API bývá dostupné i vzdáleně, takže uživatel může na stanici otevřít GUI nástroj, a z něj se připojit k serveru, který chce spravovat. Správa systému ve Windows prostě není omezená jen na příkazový řádek.

Pokud vám nejde o správu nastavení systému pomocí API, samozřejmě se i ve Windows můžete připojit ke vzdálenému systému pomocí terminálu. Máte na výběr RDP (graficky - nic tak dobrého na Unixech dodnes není), telnet (s dodatečnou autentizací podle RFC2941; kupodivu dodnes podporováno jako optional feature), WinRM (to podporuje mimo jiné PowerShell), a nově i SSH.

BTW nesnažte se prosím utility vydávat za API.

ansible mám rád a docela rád ho i používám, ale bohužel se nemůžu zbavit dojmu, že řeší jen důsledek než aby se vyřešila příčina, o které mluví Lael

Ve Windows je API velmi stabilní. Na Windows 10 můžete spustit aplikace psané pro Windows 95; na 32-bitových Win10 i aplikace psané pro Win3.1. Na Linuxu se vydávají balíčky pro každé distro zvlášť, a ještě pro každou verzi distra zvlášť.

Pokud jde o Unix jako platformu, tak ta se snaží hrát si na kompatibilitu. Od toho existuje POSIX, který popisuje požadovaná API a utility. Bohužel se celá platforma fragmentovala do té míry, že POSIX je prakticky jediné, co jednotlivé deriváty spojuje. Bohužel POSIX popisuje jenom naprosté základy (například ne X11, ne Wayland, ne API ke správě systému atd.), a Linux nedodržuje ani ty. Ano, nedodržování standardů - ta věc, kterou linuxová komunita tak ráda vyčítá třeba Microsoftu :)
A bohužel v rámci Linuxu ta fragmentace není o nic lepší. Pěkná byla snaha o sjednocení dister ve formě Linux Standard Base, dokonce z LSB stal ISO standard (ISO/IEC 23360). Bohužel počet LSB-certified dister postupně klesl na nulu, a LSB verze 5.0 "rafinovaně" bourá zpětnou kompatibilitu. Takže Unixy si sice na kompatibilitu hrají, ale ve skutečnosti je velmi omezená. To že se zkušený uživatel v jiném Unixu za použití dotazů na Googlu ;) nakonec nějak zorientuje je sice pěkné, ale celkem nedostatečné.

Na Linuxu nepotřebujete vzdálený přístup v grafice? To myslíte vážně? :) X11 je, jak jsem už psal, naprostá technická i bezpečnostní katastrofa, která má navíc jako jednu z "features" je to že když odpojíte session, tak se k ní nelze znovu připojit. Na vzdálenou správu zcela nevhodné. VNC je pustý screen grabber, který prostě posílá bitmapy na druhou stranu. Ve srovnání s RDP, které přenáší informace o tom, jak obraz sestavit na druhém konci drátu (obdélník s výplní, v něm text), je to nesmírně primitivní a neefektivní technologie. No a pak je tu Wayland, který vzdálený přístup neřeší pro jistotu vůbec. Ale prý je to v principu možné řešit, a výsledek bude nepříjemně podobný tomu VNC :/
Mimochodem u RDP vás nikdo nenutí pouštět si celé prostředí, klidně si můžete pustit jen vybranou aplikaci.

Vážně jste napsal "API pro příkazovou řádku"? :) API je určené pro vývoj aplikací, jak plyne i z názvu (application programming interface). Příkazová řádka je primárně textový uživatelský interface, a utility jsou prostředky, kterými uživatel tu interakci vede. Sekundární použití utilit je ve skriptech, což je v podstatě soupis příkazů, které by uživatel provedl interaktivně na příkazovém řádku. Zkusme tedy nezaměňovat dvě dost odlišné věci.

Linux je zdarma, a pochopitelně se hodně používá v prostředí, kde na ceně velmi záleží. To je například internetová infrastruktura, nebo tisíce hloupých nodů, které musí umět akorát stáhnout si job, spustit proces, a pak uploadovat výsledek jobu. V korporátním světě je ale situace poněkud odlišná.

"V korporátním světě je ale situace poněkud odlišná."

Povídejte, přehánějte :) Já jsem nedávno viděl čísla Gartneru z trhu placených serverových OS a Linux byl celkově na nějakých 50 %, Windows Server na 45 % a zbytek byly Unixy. A trend byl docela jasný: Linux dál roste, teď už ne na úkor Unixů, ale Windows.
Přijde mi, že dnes se Windows Server drží hlavně v segmentu malých a středních podniků kvůli zavedeným podnikovým aplikacím a protože tam prostě mají historicky Windows adminy. Už jsem ale dlouho od někoho neslyšel: "Rozjíždíme novou firmu nebo začínáme projekt na zelené louce a stavíme to na Windows Server".

Tady zopakuji co jsem už psal. Predikce budoucnosti jsou ošidné.
https://www.linux.com/news/global-it-firm-predicts-linux-will-have-20-desktop-market-share-2008
https://www.root.cz/zpravicky/analyza-gartner-windows-se-pomalu-hrouti/

Kdo dneska rozjíždí novou firmu, většinou použije cloudovou infrastrukturu, a k tomu desktopy na Windows. Úplně se nabízí cloudový OneDrive, Office Web Apps, Exchange, SharePoint atd., doplněný desktopy s Windows a MS Office. Osobně bych do takového řešení nešel z důvodu důvěrnosti dat. Ale malé firmě to umožňuje pořídit infrastrukturu na pár kliknutí, a k tomu si na dalších pár kliknutí přikoupit CRM, HR management, ERP, nebo v podstatě cokoliv dalšího. Bez nutnosti investice do vlastních serverů, a bez nutnosti najímat hromady geeků s dredy, aby všechna ta tamagochi opečovávali.

Navíc mi - snad vyjma ceny a případně unixové kultury v nějaké firmě - uniká jediný důvod, proč by někdo stavěl prostředí na Linuxu. Vždyť je to technologicky krok o pár desítek let zpátky, a vývoj i deployment aplikací pro Linux je z mnoha hledisek noční můrou.

Ale já se tady nebavím o desktopu, ale u serverovém segmentu. Samozřejmě souhlas, že pro menší firmu nemá dneska moc smysl si provozovat vlastní infrastrukturu a je lepší využít cloud, ale na čem ty cloudové služby dneska běží? Počítám, že Microsoft má své cloudové služby i nadále na Windows, ale co ten zbytek? Google, Amazon, Dropbox, SalesForce atd. atd. jedou prakticky výhradně na Linuxu. Stejně tak opravdu nenarážím na case studies internetových startupů, které s nějakou takovou službou začínají a staví ji na Windows Server. Nakonec i na tom Azure je dnes víc linuxových instancí než těch s Windows a ty nůžky se rozevírají, protože podíl Windows tam drží tradiční zákazníci Microsoftu, kteří tam přesouvají věci z vlastní infrastruktury a to má logicky omezený potenciál růstu.

Ano, řeč je o serverech. Desktopy jsem zmiňoval v tom kontextu, že pomáhají prodávat cloud. To bude zřejmě jeden z důvodů, proč Azure roste nejrychleji.

Cloudové služby běží na všem možném. Na Windows běží své hosty nejen Microsoft, ale také řada jeho partnerů. Předpokládám že znáte třeba německý TelekomCLOUD, který jede na technologiích MS Azure. Takových je veliká spousta. AWS, Google a někteří další předpokládám jedou hosty na Linuxu. Další věc je na čem jedou guesti. V Azure je cca půlka strojů na Windows, půlka na Linuxu. U AWS nevím, ale loni podle IDC běželo 57% z instancí Windows ve veřejných cloudech na AWS, takže tam jistě mají velké zastoupení Windows.

Jenže to pořád mluvíme v podstatě o internetu. Velká část IT je za firewallem ve firemních serverovnách. A tam najdete Linuxu výrazně méně.

Mimochodem to nejsou predikce budoucnosti, ale trend posledních let. Je to pár let nazpátek, kdy měly Windows Server na trhu přes 60 % a Linux pod 30 %. Jen abyste s nimi časem nedopadl jako fanoušci komerčních Unixů, já si taky pamatuji, jak se před 10-15 lety na fórech chlubili, jak má třeba takový Solaris pokročilé technologie oproti Linuxu. A do určité míry to byla pravda. Ale trh rozhodl jinak a kde je dnes Solaris...

Mohl bych požádat o zdroj těch čísel? Rád se kouknu na trendy.

Souhlas že Solaris je - nebo alespoň před pár lety byl - technicky daleko vyspělejší než Linux.

Ale když jsme u toho. Co je podle vás motivem pro použití Linuxu? Vyjma ceny (pak z toho ovšem vy jako Red Hat nic nemáte) a unixové tradice mě nic nenapadá. To že je systém koncepčně někdy ze začátku sedmdesátých let, jeho vývoj prakticky ustal koncem osmdesátých let (například X11 je z roku 1983), a vývoj aplikací musí být noční můrou i pro masochisty, je podle mě spíš motivace se Linuxu vyhnout.

Jsou to data z neveřejných zpráv Gartneru, které máme ve firmě k dispozici a jak se dívám, tak Gartner je dává k dispozici jen za částky v tisícovkách dolarů. Odkaz vám tedy poskytnout nemůžu, takže mi můžete, ale nemusíte věřit.

Jinak proč je Linux atraktivní pro zákazníky, je zase na delší vyprávění a na to teď bohužel nemám čas. Díky za docela konstruktivní diskusi.

No to jsem se toho moc nedozvěděl :). Ale chápu, oba máme málo času.

Ony se na Linux dají reálně provozovat 20 let staré aplikace? A nějakým zázrakem se překlopily z 32-bitových na 64-bitové? O tom se rád dozvím více. Pokud mi tedy nechcete říct, že se ty aplikace průběžně udržují, rekompilují a balí pro každou verzi každého distra, nebo že jsou staticky kompilované.

Chápu že jste ze staré školy, a vystačíte převážně s textovým prostředím. Osobně používám primárně GUI, ale celkem často i command line (cmd.exe a PowerShell). Bez GUI se jistě dá pracovat, ale je to v řadě případů daleko méně efektivní, plus je to daleko náročnější na učení. Vezměte kolik úsilí jste musel na začátku strávit tím že jste se učil vi/vim, oproti tomu kolik úsilí stojí naučit se s textovým editorem v GUI.

Jistě, chápu jakou paralelu se snažíte naznačit. Jenže shell je prostředí, interface - nikoliv programovací jazyk. Jednou z funkcí textového shellu může (a nemusí) být vyjma zpracování interaktivně zapsaný příkazů také zpracování příkazů zapsaných ve skriptu. Hodinky a holínky mají společné to že se oboje natahuje, ale přesto se jedná o dvě výrazně odlišné věci :)

já teda WinRM používám každý den k plné spokojenosti. Za mě je to v pohodě spolehlivé, ale nedělám s tím žádný velký psí kusy, tak možná proto s tím nemám problém.

Ano, když chcete spravovat další servery, tak se k nim Cockpit připojuje přes ssh, ale Cockpit samotný je dostupný přes https.
Jinak Kerberos netuším. Já jsem jenom prostý uživatel Cockpitu. Nijak se v tom projektu neangažuju a nesleduju jeho vývoj.

No, nevím, jestli to je něco jako jiná varianta MobaXtermu. Nepotřebuje ke svému běhu ani X ani ssh (to je tam jenom od toho, aby si do správy daného serveru mohl přidat další). Je to prostě webové UI postavené na již existujícími API systémových služeb, ke kterému se člověk vzdáleně připojuje přes https.

Jaké "existující API systémových služeb" máte na mysli? Shell out? To snad ne :/

Pokud jsem si správně všimnul, tak Cockpit je webová aplikace, která nabízí nějaké GUI pro správu systému, a na pozadí spouští shell a provádí v něm příkazy. Navíc to není nic univerzálně unixového. Je to specifický kus SW pro Linux, a ještě s hacky pro každé podporované distro (a jednotlivé verze těch dister). Je to v názorná ukázka, jak je API pro správu systému na Unixech neřešené, a musí se obcházet pro každý konkrétní Unix, v případě Linuxu pro každé distro a jeho verzi, pomocí spouštění shellu a utilit.

Pro ilustraci: když ve Windows potřebujete přidat uživatelský účet, zavoláte API NetUserAdd. Pokud chcete uživateli změnit heslo, zavoláte API NetUserChange­Password. Když chcete spravovat síťová rozhraní, použijete IP Helper API. Atd., atd. Na Unixech zakládáte uživatele tak, že spustíte shell (bash nebo jiný) a necháte mu provést nějaký skript (useradd, adduser nebo něco jiného - POSIX totiž ani tohle nepředepisuje). Změna hesla je stejný příběh (passwd, chpasswd, pwdadm apod.). A správa síťových rozhraní se realizuje tak že spustíte nějakou utilitu a nakrmíte jí nějakým vstupem, podle toho na jakém Unixu zrovna jste; případně editací konfiguráků, které se opět na různých Unixech liší.

Připadá vám ta situace na Unixech konzistentní a dobrá?

Já jsem rozporoval tvrzení, že není k dispozici žádné GUI, vy to zase stáčíte na něco jiného. Jinak mi popravdě nepřijde příliš fér porovnávat konzitenci v rámci široké rodiny systémů (Unixy a Unix-like) a jednoho konkrétního systému Windows. I kdyby ta přítomnost a konzistence API byla u Windows nakrásně lepší, tak to zjevně nemá takový půvab, když Linux (o Unixech už to dneska moc není) čím dál víc dominuje většinu segmentů serverového trhu.

Ke spuštění jiného executable není nutně potřeba spouštět shell, pokud ten executable není shell script. A například init skripty jsou... skripty.

Volání příkazové řádky je v principu mnohem horší, než volání API funkce z DLL. Dochází vám, že volání funkce API znamená naplnění registrů a provedení jednoho callu, kdežto při volání příkazové řádky musíte serializovat parametry, vytvořit nový proces, nechat ho provést inicializaci, deserializovat parametry, zavolat tu funkci API, serializovat výsledek, ukončit proces a uvolnit zdroje, a pak volající pak musí deserializovat výsledek? Jestli vám to nepřijde o nic horší, tak to doveďte do důsledku. Jak by to asi vypadalo, kdybyste spouštěl příkaz pro vykreslení každého jednoho písmene na obrazovce? :)
To nemluvě o tom, že klasická unixová sekvence fork/exec je mimořádně drsná. Když máte DB server, který má alokováno 100GB RAM, a provede fork/exec aby zavolal utilitu, tak na to potřebuje dalších 100GB RAM. Tohle naštěstí po pár desítkách let začal řešit posix_spawn(), pokud ho tedy aplikace použije.

Linuxové systémy mají problémy, o kterých jsem psal. Akorát jste na ty problémy zvyklí. Navíc adminy nemusí zrovna dvakrát trápit jestli existuje nějaké API, protože s ním stejně nikdy nepřijdou do styku.

Otázkou zůstává, co je větší oslí můstek. Zda nejednotnost Unix/Linux API pro správu, nebo to, že Windows postupně hází ručník do ringu a zakrývám to argumentací jednoduché správy.

V uzavřeném světě je jednoduché být konzistentní, když se omezím na jedinou distribuci, taky si ji budu jednoduše spravovat. A to zmiňované WIndows API jako ukázka přehlednosti? Stovky volání, na tu samou věc pokaždé minimálně ve třech variantách, většinou pak ještě v extended verzi. U 90 % z toho nikdo pořádně neví, jak nyní funguje a jaké má vedlejší efekty, bugy se staly součástí dokumentace jako feature. Většina služeb velmi špatně škáluje, takže když přerostou nízké desítky, tak začínají problémy. Děkuji, nechci.

Není mi jasné, co myslíte tím "Windows postupně hází ručník do ringu a zakrývám to argumentací jednoduché správy". Mohl byste to trochu rozvést?

Co podle vás technicky brání tomu, aby se Unix jako platforma rozšířil o API pro správu systému, zobrazování, multimédia atd.? Technicky nic. Politicky tomu brání to, že se vývoj Unixů prakticky zastavil někdy koncem 80. let minulého století. Přišly nějaké novoty z různých stran, a celkem dost z strany Linuxu. Jenže Linux je bazaar, a kde jsou dva autoři open source kódu, tam jsou i minimálně tři podobné, ale dostatečně různé řešení každého problému :/. Qt vs GTK vs wxWidgets vs Tk, a spousta dalších. Open Sound System vs Advanced Linux Sound Architecture vs PulseAudio. Initd vs systemd vs upstart vs runit vs OpenRC. A pokusy se na něčem dohodnout alespoň na úrovni Linuxu? Linux Sandard Base vyšla i jako ISO standard, ale počet certifikovaných dister postupně klesl na nulu.

Windows API není dokonalé, ale je velmi široké. Ano, některé funkce mají více verzí, protože se postupně přidávají funkce. To pak můžete mít třeba GetDiskFreeSpace() a GetDiskFreeSpa­ceEx(), CopyFile() a CopyFile2() apod. Díky tomu mohou staré aplikace dál fungovat beze změny, takže ve Windows 10 fungují (správně napsané) aplikace psané pro Windows 95.
Pokud jsme u toho jak API funguje, tak Windows mají dokumentaci. A to dost možná nejlepší v dokumentaci v oboru. Pokud něco v dokumentaci není popsané, tak na to autor aplikace nemůže a nesmí spoléhat, protože spoléhat na nedokumentované chování je prasárna, která se dříve či později vymstí.

Co máte na mysli tím "většina služeb velmi špatně škáluje, takže když přerostou nízké desítky, tak začínají problémy"? Jakých služeb, desítky čeho?

Ta konzistence je jednoznačnou výhodou. Snaží se o ni jak POSIX, jenže toho většinu nepopisuje. Snaží se o ní Linux Standard Base, ze které se stal i ISO standard, ale bohužel počet certifikovaných dister časem klesl na nulu.
Technicky není problém mít definované daleko širší sdílené API než to co nabízí POSIX. Problém je to finančně a politicky.

Chápu že jako zaměstnanec Red Hatu máte nějaký názor na budoucnost Linuxu. Rád bych tedy připomněl jen dvě předpovědi. Z toho by snad mělo být jasné, že s budoucností to není tak jednoduché :)
https://www.linux.com/news/global-it-firm-predicts-linux-will-have-20-desktop-market-share-2008
https://www.root.cz/zpravicky/analyza-gartner-windows-se-pomalu-hrouti/