ISSN 1614-2888 Österreich € 14,50 Speicher für hetero- Domänencontroller Bedrock als Luxemburg € 14,50 12 I 18 gene Umgebungen in Azure AD verteilte Datenbank € 12,60 Schweiz CHF 20,50
Datenspeicherung für KMUs: Schlaue Storage- Konzepte Speicherplatz lokal und in der Cloud schaffen
Die freie Wahl Open-Source-SAN im Vergleich
Neue Datenautobahnen SAN-Umgebungen mit iSCSI aufbauen
Ablage Cloud Azure Files im Unternehmen einsetzen
Fähiger Datenjongleur NAS-System QNAP TS-453Be im Test www.it-administrator.de STELLENANZEIGE INTERLABOR Interlabor ist ein international erfolgreiches und unabhängiges Schweizer Dienstleistungslabor. Mit rund 80 Mitarbeitenden BELP AG bieten wir vielfältige chemische, biologische und gentechnische Analysen in den Bereichen Pharma, Medizinalprodukte und Le- bensmitteln an. Neben Routineprüfungen liegt die Stärke von Interlabor in der individuellen Entwicklung und Validierung von Analysenverfahren.
Wir suchen für eine langfristige Nachfolgeregelung unseres CIO per sofort oder nach Vereinbarung eine(n) IT Administrator/in (100%)
Wir bieten Ihnen eine sehr abwechslungsreiche Tätigkeit mit spannenden Projekten in eigener Verantwortung und eine umfassende Einarbeitung durch den CIO.
Ihr Aufgabenbereich: - Ausbau und Pflege der bestehenden IT Infrastruktur: Hardware ebenso wie Software - Neue IT Projekte in Zusammenarbeit mit der Geschäftsleitung und den Mitarbeitern - Unterstützung der Mitarbeiter bei einfachen und komplexen Fragestellungen
Ihr Profil: - Abgeschlossene Ausbildung als Informatiker, Naturwissenschaftler oder Ingenieur mit IT Flair - Praktische Erfahrung als Administrator
Wir sparen uns an dieser Stelle die üblichen Aufzählungen von aktuellen Techniken und Produkten wie Windows und Linux, Mail- und Datenbankserver, Virtualisierung, Script- und Office Programmierung, Storage & Backup oder das riesige Feld der Security als notwendige Voraussetzung. Nobody is perfect. Die Technik ändert sich rasch; täglich gibt es etwas neues zu lernen.
Viel wichtiger sind für uns eine Faszination für die EDV, eine lebenslange Bereitschaft zum Lernen und ein dienstleis- tungsorientiertes Denken: "Failure is not an Option!".
Der Arbeitsstandort ist in der Schweiz im Kanton Bern: Die Schweiz bietet eine hohe Lebensqualität und ein exzellen- tes Gesundheitswesen. Unser Standort ist weniger als eine halbe Stunde von den schönsten Skigebieten oder Seen entfernt. Und vom Flugplatz Belp erreichen sie europäische Städte in einer Stunde.
Haben wir Ihr Interesse geweckt? Dann senden Sie uns doch bitte Ihre vollständige Bewerbung mit Lebenslauf, Motivationsschreiben und Zeugnissen an unsere Adresse oder per Mail als PDF Attachment. Wir freuen uns auf Sie! Bewerbungen über Personalvermittler werden allerdings nicht akzeptiert.
Unser Firmenstandort im Herzen der Schweiz:
Interlabor Belp AG Aemmenmattstrasse 16 3123 Belp, Schweiz
Herr Dr. Mandelatz Tel. +41 31 818 77 77
[email protected] www.interlabor.ch Bausteinhölle
In unserem Haushalt gibt es ein Storage-Problem. Das Problem hat einen Na- men: Lego. Die Lage verschlimmert sich von Jahr zu Jahr. Zum einen werden die Kinder immer älter, wünschen sich immer mehr der bunten Bausteinsets, der Lego-Berg wächst und wächst. Zum anderen haben sich die Kunststoff- teilchen in den letzten Jahrzehnten stark verändert: In meiner Kindheit war die Lage noch übersichtlich: Es gab Vierer- und Sechserblöcke, Platten, flache Leisten. Als Highlight galten schon Dachschrä- gen. Inzwischen hat sich das Universum erhältlicher Klein- teile ins Unendliche ausgedehnt. Für Ninjago gibt es durch- sichtige Falltüren, Äxte in allen erdenklichen Größen sowie rote Todesschlangen. Für Creator finden sich dehnbare Schläuche und Techniker-Schraubenschlüssel, für die Power- puff Girls Skateboards und Molekül-kleine Muffins.
Meine Partnerin verdreht mittlerweile die Augen, wenn sich eines der Kinder etwas Neues von Lego wünscht. Denn obwohl uns der Platz ausgeht, müssen wir ständig neuen Stauraum schaffen. Noch fataler aber ist, dass die ver- schiedenen Sets, einmal auseinandergebaut, in diversen Kisten vor sich hindüm- peln. Unstrukturiertes Material at its best, das im schlimmsten Fall Platz verbraucht, obwohl es nur selten oder gar nicht benutzt wird. Und wenn die Kinderhand dann einmal einen Baustein ganz dringend sucht, ist das Plastikteil natürlich genau in diesem Moment wie vom Erdboden (oder vom Staubsauger) verschluckt.
Die Problematik kommt Ihnen auch als Admin im Unternehmen irgendwie bekannt vor? Kein Wunder. Nahezu unbegrenztes Datenwachstum, eine Fülle unstrukturierter Daten und die Herausforderung, alten Schrott von wichtigen Informationen zu trennen und Letztere schnell bereitzustellen, und das alles mit den begrenzten Mitteln, die KMUs in der Regel zur Verfügung stehen – das ist der Stoff, aus dem des Speicherverantwortlichen Albträume sind. Um hier für Durchblick zu sorgen, haben wir uns für diese Ausgabe angeschaut, was ein kleines NAS leisten kann, wie Sie mit wenig Geld ein SAN bereitstellen, was eigentlich der Unterschied zwischen hyperkonvergenten und konvergenten Systemen ist und wie Sie Google Cloud Storage für Backups nutzen.
Das Storage-Problem daheim konnten wir bisher leider trotzdem nicht lösen. Denn wie wir die Lego-Massen in die Cloud bringen, daran tüfteln wir noch. Doch es gibt Hoffnung: Unser Großer wünscht sich zu Weihnachten ein Spiel für die Nintendo-Switch-Konsole. Und das findet auf einer winzigen Speicher- karte Platz.
Ein frohes Fest wünscht
Lars Nitsch
Redakteur und Textchef EDITORIAL
www.it-administrator.de Dezember 2018 3 Inhalt 12/2018 Datenspeicherung für KMUs
Veeam-Backup für Linux Veeam sichert nicht 22 nur virtualisierte Sys- teme, sondern zunehmend auch physische Rechner oder Maschi- nen in der Cloud. Mit der Neu- auflage des Veeam Agent for Li- nux verbindet der Anbieter traditionelle Sicherungsansätze mit modernen Anforderungen. Das gelang ganz gut, wie wir im Test feststellen konnten.
AKTUELL Speicher für heterogene 06 News 12 Interview: »Dateisystem auch für Object Storage« Umgebungen 14 IT-Administrator Trainings und Intensiv-Seminare
Bei den wenigsten Unternehmen kommt der Storage en bloc von der TESTS 82 Stange. Gewachsene, heterogene Infrastrukturen stellen vielmehr die 16 QNAP TS-453Be Regel dar. Zudem hat die Nutzung von Speicher in der Cloud neue Regeln und Dass ein Netzwerkspeicher mehr kann als nur Daten speichern, haben wir in unserem Herausforderungen mit sich gebracht, etwa die Bevorzugung des Objektspeichers. Test des QNAP TS-453Be herausgefunden. Gut, dass es immer wieder innovative Newcomer gibt, die sich etwas Neues 22 Veeam-Backup für Linux zum Lösen gängiger Storage-Probleme ausdenken. Mit der Neuauflage des Veeam Agent for Linux verbindet der Anbieter auf gelungene Art traditionelle Sicherungsansätze mit modernen Anforderungen. 26 Virtual Instruments Virtual Wisdom und Workload Wisdom Zeigen sich in einer Virtualisierungsumgebung auf mehreren Systemen Performance- Azure Files im Unter- probleme, gestaltet sich die Ursachenforschung oft schwierig. Virtual Instruments überzeugt mit zwei gemeinsam agierenden Messwerkzeugen. nehmen einsetzen 31 Nakivo Backup & Replication 8.0 Nakivo unterstützt VMware und Hyper-V, arbeitet agentenlos und bietet Instant Reco- In Azure sind seit einigen Monaten die Speicher- very. Wir wollten genauer wissen, was diese Backupsoftware, die auf dem US-Markt 93 optionen um eine Funktion reicher: Azure Files. schon einige Jahre präsent ist, leistet. Dieser Dienst unterstützt Einsatzszenarien, in denen klassische SMB-Dateifreigaben zugänglich gemacht PRAXIS werden sollen. In der Cloud gelagert sind diese 36 Domänencontroller in Azure betreiben (1) Daten dann per verbundenem Lauf- Im ersten Teil dieser zweiteiligen Workshopserie zeigen wir, was zu beachten ist, werk nutzbar und Dateiope- wenn ein DC aus dem heimischen Active Directory nach Azure wandern soll, und richten die notwendigen Netzwerkkomponenten ein. rationen lassen sich wie ge- wohnt vom Dateiexplorer 40 Citrix Workspace-App oder Finder ausführen. Wir Citrix Receiver erhält einen neuen Namen beziehungsweise wird durch ein neues Pro- dukt ersetzt: die Citrix Workspace-App. Diese hat einige Erweiterungen im Gepäck. zeigen mögliche Einsatzge- biete von Azure Files und 44 Registry für Docker-Images Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es deren Einrichtung. als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository.
4 Dezember 2018 www.it-administrator.de 48 Secrets in Docker Swarm Bei Containern bietet Docker im Swarm-Mode mit den Secrets einen Mechanismus für die Verwaltung von Credentials. Mein neues Cisco IP Phone beherrsche ich 50 Bedrock als verteilte Datenbank Mit einem kurzen Kommandozeilenbefehl startet dank Bedrock eine verteilte, hoch- perfekt – dank ExperTeach UC-trainer! verfügbare Datenbank, die mit schwankenden Internetverbindungen zurechtkommt und zu MySQL kompatibel ist. 54 Data-Center-Wartung planen und organisieren Die passenden Wartungsverträge für Rechenzentren zu finden, gestaltet sich kom- plex – alleine schon aufgrund der unterschiedlichen Hersteller und ihrer verschie- denen Service Level Agreements. 58 Open-Source-Tipp Der Open-Source-Tipp in diesem Monat zeigt, wie die systemd-eigenen Tools dabei helfen können, das Leben eines Administrators stressfreier zu gestalten. 60 Security-Tipp Unser Security-Tipp zeigt, wie Sie fehlende Funktionalität in Wireshark über Plug-ins nachrüsten können, um noch mehr Informationen über Ihr Netzwerk zu sammeln. 62 Tipps, Tricks & Tools ITK Training & Consulting SCHWERPUNKT 66 Freie SAN-Software im Vergleich Wir haben sechs freie SAN-Lösungen unter die Lupe genommen, die unterschiedli- cher nicht sein könnten – und sich doch in einigen Punkten verblüffend ähneln. 74 Samba-Troubleshooting (1) Samba bringt bei Installation und Betrieb einige Tücken mit, deren Umschiffung wir in unserem zweiteiligen Workshop beschreiben. 78 Storage-Management mit Stratis Red Hat will das Storage Management mit einem Projekt namens Stratis revolutio- nieren, das auf bewährte Technologie setzt, sich nach außen hin aber modern gibt. 82 Neue Speichertechnologien für heterogene Umgebungen Bei den wenigsten Unternehmen kommt der Storage en bloc von der Stange. Gut, dass es immer wieder innovative Newcomer gibt, die sich etwas Neues zum Lösen gängiger Storage-Probleme ausdenken. 86 Konvergierte versus hyperkonvergente Infrastrukturen Aufgrund der Vielzahl an Begrifflichkeiten ist es für den IT-Verantwortlichen wich- tig, die Unterschiede zwischen konvergenten Systemarchitekturen und hyperkon- vergenten Infrastrukturen zu beachten. • Multimediale Lernsoftware 90 Google Cloud Storage für Backups nutzen • Für alle Cisco IP Phones und Videokonferenz-Systeme Mittlerweile bieten andere Anbieter S3-Alternativen mit interessanten Features. • Jabber, WebEx und weitere Applikationen Wir haben Google Cloud Storage im Hinblick auf seine Eignung für internetbasierte Backups ausprobiert. • In elf Sprachen verfügbar 93 Azure Files im Unternehmen einsetzen • CI/CD-Anpassung nach Wunsch In Azure sind seit einigen Monaten die Speicheroptionen um eine Funktion reicher: • In Ihr Intranet integrierbar Azure Files. Wir zeigen mögliche Einsatzgebiete und die Konfiguration. 98 SAN-Umgebungen mit iSCSI aufbauen Hier finden Sie eine Demo: www.experteach.eu/uctrainer iSCSI ist ein verhältnismäßig junges Protokoll, das im Laufe eines Jahrzehnts eine große Verbreitung erfahren hat. Mit den aktuellen Windows-Versionen können Sie eine komplette SAN-Infrastruktur auf Basis von iSCSI aufbauen. Sprechen Sie uns bitte an, RUBRIKEN gerne erstellen wir Ihnen 02 Stellenmarkt ein Angebot für Ihr 03 Editorial UC-Projekt! 04 Inhalt 102 Buchbesprechung +49 6074 4868-0 103 Fachartikel online www.experteach.de 105 Forschungslabor +43 1 2350 383-0 106 Vorschau, Impressum, Inserentenverzeichnis www.experteach.at +41 55 420 2591 www.it-administrator.de www.experteach.ch Aktuell News
Neuer Kaspersky-Schutz für kleine Firmen Kaspersky Lab stellt eine neue Version von Kaspersky Small ware entwickelt und unterstützt Unternehmen beim Schutz Office Security vor. Die Lösung schützt kleine Unterneh- ihrer Firmendaten – beispielsweise indem bösartige Versu- men mit bis zu 25 Netzwerkknoten (Nodes) vor aktuellen che gegen das System blockiert und Backups kritischer Da- Cyberbedrohungen wie Malware, Ransomware, Kryptomi- ten sowie, bei Bedarf, System-Roll-Backs erstellt werden. ner sowie vor Finanzbetrug und Phishing. Darüber hinaus Die Komponente "System Watcher" ist für Windows File bietet Kaspersky Small Office Security erweiterten Schutz Server und PCs verfügbar. Für 5 Desktops und ein Jahr kos- für Server und Unterstützung für nötige Anwendungs-Up- tet die Security-Suite 168 Euro. (dr) dates, damit Angreifer nicht über Software-Schwachstellen Kaspersky Lab: https://www.kaspersky.de/small-business-security/ Zugang ins Unternehmensnetzwerk erhalten. small-office-security Die neue Version kann innerhalb weniger Minuten in- stalliert werden und bietet Unternehmen mittels einer Web- Konsole alle nötigen Informationen für den praxistaugli- chen Einsatz – dazu gehören: Informationen zur Lizenz, den Nutzern und deren Geräte sowie zur aktuellen Produktver- sion. Notwendige Benachrichtigungen erscheinen zudem nur noch bei kritischen Vorfällen, so dass sich die Nutzer auf ihre täglichen Aufgaben konzentrieren können und sich nicht tiefergehend mit der Cybersicherheit beschäftigen müssen. Über den integrierten Kaspersky Password Mana- ger werden starke Passwörter erstellt, gespeichert und syn- chronisiert – für einen einfachen Zugriff über PC, Mac, An- droid- und iOS-Geräte. Der Zugang erfolgt über nur ein zu merkendes Master-Passwort. Die innerhalb der neuen Version von Kaspersky Small Office Security integrierte Komponente "System Watcher" Kaspersky Small Office Security schützt bis zu 25 Rechner wurde speziell für den Schutz vor Gefahren wie Ransom- und soll besonders einfach zu verwalten sein. Folgenschwere Angriffe IT-Angriffe auf kleine und mittelständische Unternehmen Ein weiterer Unterschied bestehe im Umgang mit Ransom- (KMU) würden nicht nur häufiger, sondern richteten auch ware, die von Konzernen nicht als eine der drei größten Ge- immer größere Schäden an. Laut dem Cisco "Cybersecurity fahren eingeschätzt würde. Laut Sicherheitsexperten von Cis- Special Report Small and Midmarket Businesses", für den co neigten KMU stärker als Konzerne dazu, das geforderte 1800 Unternehmen aus 26 Ländern befragt wurden, habe bei Lösegeld an die Kriminellen zu zahlen, damit sie schnell wie- gut jedem zweiten Sicherheitsvorfall (54 Prozent) der finan- der zum Normalbetrieb zurückkehren. Denn sie könnten sich zielle Schaden mehr als 500.000 US-Dollar betragen. Neben den Systemausfall und den fehlenden Zugang auf kritische den direkten Kosten könne die Downtime der unterneh- Daten einfach nicht leisten. menskritischen Systeme – in 40 Prozent der Fälle dauerte die- Tatsächlich würden Entscheider aus dem Mittelstand gerne se mehr als acht Stunden – sogar die Existenz bedrohen. mehr in ihre Sicherheit investieren. Ganz oben stünden die Besorgniserregend sei, dass gerade einmal 55,6 Prozent Aktualisierung der Endgeräte-Sicherheit für einen intelligente- der KMU Sicherheitswarnungen untersuchten. Die größten ren Schutz vor fortgeschrittener Malware (19 Prozent), eine Sorgen bereiteten den IT-Verantwortlichen gezielte Angrif- bessere Absicherung von Webanwendungen (18 Prozent) und fe auf Mitarbeiter wie Phishing (79 Prozent) und fortge- die Einführung von Intrusion Prevention zur Abwehr von schrittene zielgerichtete Bedrohungen (77 Prozent) – soge- Netzwerkangriffen und Exploit-Versuchen (17 Prozent). Aber nannte Advanced Persistent Threats. Es folgten auch der Schutz der Arbeitsplatzumgebung bilde ein wichtiges Erpressungssoft-ware (77 Prozent), DDoS-Attacken, die Thema. Dies gelte vor allem im Zuge der steigenden Nutzung Webseiten oder Anwendungen lahmlegen (75 Prozent), von Mobilgeräten und Cloud-Services. und Angriffe auf private Mobilgeräte (74 Prozent). Eine ak- KMU müssten letztendlich akzeptieren, dass es keine Stan- tuelle Studie der Bitkom bestätige, dass KMU stärker ange- dardlösung gebe, um sämtliche Herausforderungen bei der griffen würden als Konzerne. So erlebten 68 Prozent der Cybersecurity zu lösen. Es entstünden immer mehr Angriffs- Firmen mit 10 bis 99 Mitarbeitern, 73 Prozent der Firmen möglichkeiten und die Methoden veränderten sich ständig. mit 100 bis 499 Mitarbeitern, aber "nur" 60 Prozent der Fir- Daher müssten sich auch die Sicherheitstechnologien und - men mit 500 oder mehr Mitarbeitern in den vergangenen strategien ständig daran anpassen. (dr) beiden Jahren eine Attacke. Cisco: www.cisco.com
6 Dezember 2018 www.it-administrator.de News Aktuell
Datentauscher 1&1 bietet mit "1&1 IONOS HiDrive" eine neue Online- mit der Cloud synchronisiert. Außerdem erstellt die Lö- Speicherlösung für sicheren Datenaustausch und Zusam- sung automatisch regelmäßige Backups der gespeicherten menarbeit. Benutzer können damit von jedem Gerät und Daten. Die Speicher-Intervalle können in der Administra- von jedem Ort aus auf ihre Daten zugreifen, gleichzeitig tionsoberfläche einfach angepasst werden. Jedem Benut- werden diese Daten in der Cloud mit allen Devices syn- zer steht zusätzlich ein privater Ordner zur Verfügung, in chronisiert. Dazu speichert das Werkzeug alle Daten an dem sich eigene Dateien und Zwischenergebnisse direkt einem zentralen Ort. So können alle Teammitglieder abspeichern lassen. Wer welche Zugriffsrechte erhält, ob gleichzeitig und von jedem Smartphone, Tablet, PC oder Verschlüsselung bei wichtigen Dokumenten verwendet Mac darauf zugreifen. Die Sicherheit der Daten soll durch werden soll und welche Verbindungsprotokolle für jeden die ausschließliche Speicherung in ISO 27001 zertifizier- Benutzer individuell erlaubt sind, lässt sich individuell in ten Rechenzentren in Deutschland unter Einhaltung der der Benutzerverwaltung festlegen. strengen deutschen Datenschutzbestimmungen gewähr- 1&1 IONOS HiDrive ist ab 1 Euro pro Monat bei 12 Mo- leistet sein. naten Vertragslaufzeit erhältlich. Dieses Paket umfasst 100 Ergänzt wird HiDrive durch Funktionen, die den Ar- GByte Speicherplatz und den Zugriff für einen Benutzer. Da- beitsalltag kleiner Unternehmen erleichtern sollen: So las- rüber hinaus steht der Dienst in den Editionen "Essential", sen sich Dokumente beispielsweise direkt vom iOS- oder "Business" und "Pro" zur Verfügung. Diese Pakete bieten 250, Android-Gerät scannen und automatisch als PDF in der 1000 beziehungsweise 2000 GByte Speicherplatz für drei, fünf Cloud speichern, Texterkennung inklusive. Auch das Ar- oder zehn Benutzer und bewegen sich bei den Kosten in ei- beiten unterwegs ist im Offline-Modus möglich: Sobald nem Rahmen von drei bis 20 Euro im Monat. (jp) die Datei wieder mit dem Internet verbunden ist, wird sie 1&1 IONOS: https://www.ionos.de/office-loesungen/hidrive-cloud-speicher E-Mail aus Berlin Die Berliner Heinlein Support GmbH hat ihr E-Mail- und E-Mailadresse informieren lassen. Dabei erhält der Nutzer Kommunikationswerkzeug "mailbox.org" einem umfassen- diese Hinweise direkt von mailbox.org. den Relaunch unterzogen. Neben neuer Website und neu- Mit den schon bestehenden Diensten zur Zusammenar- em Logo stehen dabei vor allem die sichere Kommunikati- beit und zum Datenaustausch will mailbox.org nunmehr on für jedermann und Angebote für Unternehmen im verstärkt Firmenkunden gewinnen. Mit zwei Rechenzen- Mittelpunkt der Aktivitäten. tren in Deutschland, den hohen Sicherheitsstandards für al- Zentral ist dabei der Wechsel von "mailbox.org Office" le Kommunikationskomponenten und konsequenter Um- auf die neue Version OX 7.10. Diese basiert auf dem offenen setzung der Anforderungen der EU-DSVGO – etwa durch Open-Xchange mit der gleichen Versionsnummer. Zu den eine automatisch durch den Kunden abrufbare Erklärung wichtigsten Neuerungen zählt dabei der vollständig überar- zur Auftragsdatenverarbeitung – wirbt mailbox.org um si- beitete Kalender, der nun den Einsatz mehrerer Kalender, cherheitsbewusste Unternehmenskunden. Je nach gewähl- eine Geburtstagsansicht und das Abonnement externer Da- tem Paket müssen IT-Verantwortliche dabei mit etwa einem tenquellen erlaubt. Die Fenster des Browser-basierten Of- Euro pro Monat und Postfach kalkulieren. (jp) fice lassen sich nun ähnlich wie am normalen Computer or- Heinlein Support GmbH: https://mailbox.org ganisieren. Die sogenannten "Flying Windows" lassen sich innerhalb des Office aufmachen, vergrößern und in der Task-Bar zusammengeklappt parken. Dabei lassen sich mehrere Fenster aufmachen – zum Beispiel, um an mehre- ren E-Mails parallel zu arbeiten. Vollständig überarbeitet zeigt sich auch der Webchat (XMPP). Hier sorgen nun SSL/TLS und die Chat-Verschlüsselung OMEMO für ein hohes Maß an Vertraulichkeit. Der E-Mail-Dienst verschlüsselt nunmehr auch den Sent- Folder. Bislang war aus technischen Gründen die nachträg- liche PGP-Verschlüsselung, wie sie bei mailbox.org für ein- gehende E-Mails erfolgt, nicht für die Nachrichten verfügbar, die Nutzer selbst versenden und per IMAP in ih- ren Sent-Folder hochladen. Gegen unerwünschte Nachrich- ten hilft zudem nunmehr ein trainierbarer Spam-Filter. Und eine Kooperation mit "haveibeenpawnd.com" soll E-Mail- Die neue geteilte Kalenderansicht von mailbox.org erlaubt Nutzer zukünftig über ein unerwünschtes Auftauchen ihrer beispielsweise die Planung gemeinsamer Termine.
Link-Codes eingeben auf www.it-administrator.de Dezember 2018 7 Aktuell News
Lernfähiger Schutz Sophos integriert Endpoint Detection and Response (EDR) weitere Schritte. Um eine vollständige Transparenz der in sein Intercept X Endpoint Protection Portfolio. Zum Ein- Bedrohungslandschaft zu gewährleisten, verfolge und satz komme Deep-Learning-Technologie, die eine schnelle- analysiere SophosLabs 400.000 neuartige Malware-An- re, umfassendere Erkennung von Malware verspricht. Bis- griffe pro Tag und lasse permanent nach neuen Attacken her sei eine Untersuchung und Reaktion auf Vorfälle nur in und cyberkriminellen Innovationen suchen. Organisationen mit einem etablierten SOC (Security Ope- Durch Zugriff auf die Daten der SophosLabs hätten IT- rations Center) oder einem spezialisierten IT-Sicherheits- Verantwortliche aller Kompetenzniveaus eine Ersthilfe- team möglich, das für die Verfolgung und Analyse von Cy- Forensik zur Hand und könnten eigenständig bestim- berangriffen geschult sei. Sophos Intercept X Advanced mit men, ob ein Angriff stattfinde, und wenn ja, welche Art EDR erlaube es Unternehmen aller Größen und auch Orga- von Angriff es ist. Das Early-Access-Programm für Inter- nisationen mit eingeschränkten Ressourcen, ein Threat Tra- cept X Advanced mit EDR steht ab sofort zur Verfügung. cking mit SOC-artigem Vorgehen in ihre Security-Umge- Mehr als 300 Unternehmen haben sich laut Sophos be- bung zu integrieren. reits angemeldet, um dem Programm und der Communi- Mit nur einem Klick hätten IT-Manager On-Demand- ty beizutreten. (dr) Zugriff auf Informationen der SophosLabs, gesteuerte Sophos: https://community.sophos.com/products/intercept/ Untersuchungen verdächtiger Vorfälle und empfohlene early-access-preview/
Bessere Verwaltung von Endgeräten FileWave, Anbieter von Endpoint-Management-Software die marktführende, intuitive Benutzeroberfläche von File- für Apps, Mac, Windows und mobile Endgeräte, stellt File- Wave bereitgestellt werden, und automatisierte Prozesse. Wave v13 vor. Mit dem Release könnten auch Geräte ver- Eine neue, erweiterte Benutzeroberfläche ermögliche waltet werden, auf denen die neusten Apple Betriebssyste- es Anwendern zudem, sich von jedem Gerät aus anzu- me iOS 12, tvOS12 and macOS Mojave laufen. Mit melden und unkompliziert Zugriff auf die zuverlässigen FileWave v13 könnten Administratoren die aktuellen Ver- Inventardaten von FileWave zu erhalten. Eine zertifizierte besserungen von Apple im DEP (Device Enrollment Pro- App in ServiceNow erlaube ferner, FileWave Inventarda- gram) und bei den Konfigurationsprofilen nutzen. DEP ten direkt in Helpdesk-Tickets zu integrieren und diese enthält neue Optionen für die Bereitstellung und Erstkonfi- anzuzeigen, um Vorgänge schneller zu lösen. FileWave sei guration von Geräten mit iOS und macOS. Die Aktualisie- nicht zuletzt ab sofort auch in die ITSM-(IT-Service-Ma- rungen hinsichtlich Konfigurationsprofilen umfassen laut nagement)-Lösung von InvGate für mittelständische Un- Anbieter zahlreiche neue Optionen für die laufende An- ternehmen integriert. (dr) wendung von Privilegien und Einschränkungen, die über FileWave: www.filewave.com
Netzwächter Als Bestandteil des "Netwrix Auditor 9.7" soll der neue Best-Practice-Frameworks gerecht wird. Auch sollen IT-Ver- "Netwrix Auditor for Network Devices" IT-Administratoren antwortliche durch die Software in der Lage sein, Netzwerk- dabei helfen, Bedrohungen für die Netzwerksicherheit zu ausfälle zu minimieren. Dazu reduziert Netwrix Auditor for erkennen und zu untersuchen. Die Software ermöglicht das Network Devices nach Herstellerangaben die erforderliche Risiko, dass Angreifer die Kontrolle über kritische Netz- Zeit zur Erkennung und Reaktion auf Hardwareprobleme werkinfrastrukturen übernehmen oder Insider irrtümlich und unberechtigte Änderungen. (jp) oder vorsätzlich die Sicherheit gefährden, zu reduzieren. Netwrix: www.netwrix.com/auditor9.7.html Zu diesem Zweck lassen sich mit dem Tool Bedrohungen und Angriffe erkennen und untersuchen sowie Ausreißer in der typischen Nutzeraktivität im Umfeld von Netzwerkgerä- ten identifizieren. Dazu gehören berechtigte Versuche, sich direkt oder über VPN einzuloggen, sowie verdächtige Mani- pulationen, die darauf ausgerichtet sind, Traffic zum und vom Netzwerk zu manipulieren oder einen unrechtmäßigen Zugriff auf kritische Systeme zu verschleiern. Gleichzeitig sollen sich starke und wirksame Kontrollen für die Netz- werksicherheit durchsetzen lassen, indem die Überwachung des Zugriffs auf Netzwerkgeräte und Änderungen ihrer Netwrix Auditor for Network Devices zeigt dem Admin, dass User Konfigurationen den Anforderungen von Regelungen und "A. Johnson" verdächtige Aktivitäten im Active Directory aufweist.
8 Dezember 2018 www.it-administrator.de News Aktuell
Vereinfachtes Datenmanagement Commvault gibt mit Commvault Activate den Startschuss für ein neues Werkzeug zur Analyse großer Datenmengen. Die Neuvor- stellung führt mit dem Commvault 4D Index einen neuen dyna- mischen Index ein, um mittels künstlicher Intelligenz das Ver- ständnis für Daten über Datenquellen und Datentypen hinweg zu optimieren. Unternehmen sollen dadurch mehr Informatio- nen über ihre Daten erhalten, unabhängig davon, ob sie mit TeamViewer bringt Version 14 der gleichnamigen Fernwar- Drittanbieterwerkzeugen, Commvault-Tools oder bislang über- tungssoftware auf den Markt. Nach Abschluss der Preview- haupt nicht verwaltet werden. Wird Activate gemeinsam mit Phase ist die Finalversion nun für den Einsatz in Produkti- Commvault Complete Backup & Recovery verwendet, kann der onsumgebungen freigegeben. Sie verspricht Augmented Nutzer das gewonnene Datenwissen in die indizierte Sammlung Reality (AR) sowie Verbesserungen in den Bereichen Leis- von Backup- und Archivdaten-Instanzen einbinden. Der Her- tung, Produktivität und Sicherheit. Die AR-Lösung Team- steller verspricht so eine vollständig virtualisierte Datenland- Viewer Pilot ermögliche es Experten laut Hersteller, Benutzer schaft. Schnittstellen ermöglichen die Inventarisierung und Indi- über Live-Kamera-Sharing und On-Screen-Anmerkungen zierung von Daten aus Quellen wie Online-Datenspeichern, aus der Ferne durch komplexe Vorgänge zu führen. (dr) aktiven Endgeräten oder neuen SaaS-Cloud-Datenspeichern. Link-Code: iba11 Möglich sein soll so zum Beispiel die Identifizierung von Dupli- kationsmustern sowie die Identifizierung von Datenbesitz, um Von Intra2net gibt es mit Intra2net Business Server 6.5 eine etwa die Entscheidungsfindung im Bereich Data Governance zu neue Version der Exchange-Alternative. Die Software unter- stützt jetzt Microsoft Outlook 2019 und sämtliche 64-Bit- verbessern. Die Anwendung "Sensitive Data Governance" soll Versionen von Microsoft Office. Weiterhin sollen sich mobile insbesondere die Bewertung und Bewältigung von Compliance- Endgeräte nun noch leichter mit Let’s Encrypt anbinden las- Risiken bei der Verwaltung von sensiblen Daten vereinfachen. sen. Dies soll die Anbindung von Endgeräten durch die Ver- Sie hilft beispielsweise bei der proaktiven Bereinigung unnötiger wendung von offiziellen Zertifikaten für die Datensynchroni- personenbezogener Daten, direkt aus der Datenquelle und aus sation erleichtern. Die SSL-Zertifikate lassen sich mit Let’s eventuellen Sicherungskopien. Encrypt erstellen und werden dann alle 60 Tage automa- Außerdem neu vom Anbieter ist Commvault Complete tisch erneuert. (ln) Backup and Recovery as-a-Service. Damit bietet das Unter- Link-Code: iba12 nehmen einen Dienst für die Datenverwaltung und das Backup von virtuellen Maschinen und Anwendungen auf ownCloud kündigt SUSE Enterprise Storage Ceph/S3 API als Amazon Web Services oder Microsoft Azure sowie native zertifiziertes Storage-Backend für die ownCloud Enterprise Cloud-Anwendungen wie Microsoft Office 365 und Salesforce Edition an. Demnach wurden sämtliche Tests erfolgreich be- an. Dank einer globalen Cloud-Rechenzentrumsarchitektur standen und die Storage-Lösung in der Folge in die QA- will Commvault Nutzern eine On-demand-Backend-Infra- Testprozesse von ownCloud aufgenommen. Das bedeutet, struktur für Backup und Datenmanagement zur Verfügung dass SUSE Enterprise Storage fortlaufend getestet und re- stellen, die sich automatisch konfigurieren und erweitern lässt. gelmäßig auch mit künftigen ownCloud-Releases zertifiziert Im Angebot für native Cloud-Anwendungen sind laut Comm- werden soll. Das Ceph/S3 Object Gateway ist im Kern ein vault erweiterte Funktionen wie Langzeitarchivierung, Com- auf librgw aufgebautes Object-Storage-Interface, das pliance und Archivierung enthalten. Commvault Complete Anwendungen ein RESTful Gateway zu Ceph-Storage- Clustern bietet. (ln) Backup and Recovery as-a-Service soll bis Dezember 2018 auf Link-Code: iba13 dem Microsoft Azure Marketplace, dem AWS Marketplace und dem Commvault Marketplace verfügbar sein. Außerdem Thin-Client-Anbieter IGEL gibt die Verfügbarkeit der neues- aus der Taufe gehoben hat der Anbieter das "Commvault ten Version von IGEL OS bekannt. Mit dem neuen Release Command Center", das traditionelle, webbasierte Schnittstel- 10.05.100 baut der Hersteller seine Unterstützung für Hard- len für das Datenmanagement auf die nächste Stufe heben soll. ware- und Softwarelösungen von Drittanbietern aus und er- Die HTML-5-Benutzeroberfläche bietet Funktionalitäten wie gänzt sein Betriebssystem außerdem um neue Analysefunk- Datenanalyse und Datenvisualisierung, rollenbasierte Sicher- tionen und grafikintensive Multimedia-Fähigkeiten. Mit heits- und Zugriffsrechte, interaktive und proaktive Dash- SysTrack etwa steht ein Tool bereit, das IT-Teams mit End- boards und Orchestrierung. Nicht zuletzt sollen sich Ereignis- point-Metriken wie CPU-Leistung, Systemspeicher, Festplat- se und Logs so besser analysieren und Anomalien einfacher tennutzung, Peripheriegeräte, Netzwerkverbindung und La- erkennen lassen. (ln) tenz beliefert. (ln) Commvault: www.commvault.com/de-de Link-Code: iba14
Link-Codes eingeben auf www.it-administrator.de Dezember 2018 9 Aktuell News
Mehr KI, mehr Multicloud Mit Sholark lüftet Fujitsu den Vorhang für ein neues KI- leicht mit bereits existenter Software oder älteren Data- und Datenanalyse-Framework. Ziel ist es, mit dem Werk- Warehouse-Systemen verbinden lassen. zeug die Automatisierung von Geschäftsprozessen zu be- Ein neues Angebot für die Cloud hat Fujitsu außerdem schleunigen und neue Erkenntnisse aus unstrukturierten mit PRIMEFLEX für Microsoft Azure Stack im Portfolio. Daten zu liefern. Als unterstützendes Tool soll die Neu- Die Neuvorstellung positioniert sich als Lösung für Unter- vorstellung die Datenanalyse für Anwendern leichter ma- nehmen, die die Vorteile der Public Cloud voll ausschöpfen chen. Nutzer können das System mithilfe einer webbasier- wollen, aber aufgrund von Sicherheits-, Datenhoheits-, ten Bedienoberfläche steuern. Sie profitieren laut Fujitsu Compliance- oder Konnektivitätsanforderungen einige ge- unmittelbar von KI-Effekten und erhalten konkrete Ent- schäftskritische Daten unter ihrem eigenen Dach halten scheidungshilfen für Problemstellungen, ohne technisches müssen. Die Bereitstellung von Azure-konsistenten Diensten Wissen zu benötigen. Nicht zuletzt soll die Lösung die und Funktionen sowohl in der Cloud als auch On-Premises Automatisierung des repetitiven, zeitintensiven Informa- soll die Entwicklung von hybriden Infrastrukturen weiter vo- tionsmanagements, wie etwa Teile der Dateneingabe, ver- rantreiben. Das neue Angebot wird auf einer PRIMERGY- einfachen. Das neue Framework verarbeitet in Echtzeit Serverplattform für Microsoft-Hyper-V-Clusterumgebungen große Mengen an strukturierten, teilstrukturierten und getestet und ausgeliefert. Fujitsus Software Infrastructure unstrukturierten Daten aus unterschiedlichen Quellen Manager (ISM) soll die Verwaltung der Infrastruktur verein- wie sozialen Netzwerken, Datenbanken, Spracheingaben, fachen und einen ausfallsicheren, flexiblen und automatisier- Videos oder Bildern. Mit dem Angebot können Nutzer ten Betrieb ermöglichen. Zu den Funktionen gehören unter laut Hersteller zudem Machine Learning für die intelli- anderem monatliche, nutzungsabhängige Abrechnungsop- gente Prozessautomatisierung einsetzen. Das tionen, mit denen sich Azure-Dienste in bestehende Lizenz- Framework verfügt gemäß Fujitsu über intelligente se- verträge integrieren lassen sollen. Optional ist ein Backup für mantische Analysefähigkeiten, um neue Verbindungen Daten On-Premises über eine integrierte ETERNUS-CS-Ap- herzustellen und wichtige Erkenntnisse zur Entschei- pliance erhältlich. Außerdem lässt sich PRIMEFLEX laut Fu- dungsfindung zu generieren. Fujitsu Sholark basiert auf jitsu über den eigenen Enterprise Service Catalog Manager Open-Source-Technologien. Es ist modular aufgebaut und mit anderen Cloud-Lösungen in eine konsistente, Multi- erlaubt es Anwendern, weitere spezifische Open-Source- cloud-fähige Umgebung integrieren. (ln) Kapazitäten hinzuzuziehen. Die Lösung soll sich zudem Fujitsu: www.fujitsu.com/de/
Doppelte Hilfe Die nunmehr in Version 3 verfügbare Parallels Toolbox 3 für Windows und Mac bie- tet je drei neue One-Touch-Tools, mit denen Anwender tägliche Aufgaben am Com- puter mit nur einem oder zwei Mausklicks erledigen können. Zudem ist in der Soft- ware eine Suchfunktion integriert, die das Finden des passenden Werkzeugs erleichtern soll. Darüber hinaus können die Benutzer jetzt selbst entscheiden, welche Tools und Ordner in ihrer Parallels Toolbox enthalten sind. In der Toolbox 3.0 für Windows lassen sich nun Duplikate in Laufwerken oder Ordnern suchen, um schnell identische Dateien zu finden – selbst wenn der Datei- name nicht übereinstimmt – und Speicherplatz freizugeben. Neu ist ebenfalls die Batch-Konvertierung von Bildern in die gewünschte Dateigröße und das gewünschte Format. Zudem hilft der "Ruhezustand-Zeitgeber" Nutzern dabei, einen Zeitraum festzulegen, in dem der PC in den Ruhezustand wechseln oder herunterfahren soll. Die Toolbox für Mac erlaubt jetzt das Deinstallieren von Anwendungen und deren Dateien mit einem einzigen Klick, bietet eine Weltzeit und zeigt Daten an, die nor- malerweise in macOS ausgeblendet sind. Darüber hinaus hat der Anbieter zahlreiche bestehende Werkzeuge dieser Edition verbessert. Diese betreffen den Umgang mit Screenshots, Bildern, Videos und dem Browser. Manche dieser Verbesserungen – et- was der "Dark Mode" – sind jedoch macOS Mojave vorbehalten. IT-Administratoren können mit der "Parallels Toolbox Business Edition" diese Tools zentral zur Verfügung stellen. So lassen sich die Lizenzen für die Software bes- ser verwalten und auch ein zentrales Deployment der Werkzeuge für Windows- und macOS-Clients realisieren. In der Einzelplatzversion steht Parallels Toolbox 3.0 für Windows und Mac für jeweils 19,99 Euro pro Jahr zur Verfügung. (jp) Die Parallels Toolbox hilft Parallels: www.parallels.com/toolbox Anwendern bei täglichen Aufgaben.
10 Dezember 2018 www.it-administrator.de News Aktuell
Runderneuerung Umfassend automatisiert für Cloudplattform Mit dem neuen Werkzeug "Agile Data Center" stellt Ex- treme Networks für die Automatisierung der IT Manage- Acronis hat ein umfassendes Update der Acronis Data Cloud ment- und Analysetools bereit, die auch in heterogenen Plattform veröffentlicht. Das Update 7.8 führt vollständigen Multi-Vendor-Umgebungen die Steuerung des gesamten Cloud-to-Cloud-Schutz für Microsoft Office 365, Disaster- Netzwerks ermöglichen. Das neue Angebot beinhaltet Recovery-Orchestrierung, erweiterten Ransom-ware-Schutz, Software- und Hardware-Komponenten, die Unterneh- Blockchain-basierte digitale Datenbeglaubigung sowie Funk- men für Automatisierungsinitiativen benötigen. tionen zum digitalen Signieren für Service Provider ein. Die So soll über die Domain-übergreifende IT-Automati- Backups zum Schutz für Microsoft Office 365 erfolgen direkt sierung mit dem "Extreme Workflow Composer", der auf zwischen Microsoft und einem der Cloud-Datenzentren von die StackStorm-Plattform zurückgreift, eine individuell Acronis. Service Provider haben die Wahl, in welchem Land angepasste IT-Automatisierung sowie die vollständige In- und an welchem Standort die Daten gespeichert werden. Die tegration von Rechen-, Speicher-, Sicherheits- und Netz- neue Version soll außerdem komplexe Disaster-Recovery- werkressourcen möglich sein. Zudem erlaubt die "Extre- Pläne mithilfe von Runbooks vereinfachen und automatisie- me Embedded Fabric Automation" den Aufbau einer ren. Die neue Runbooks-Funktion beschleunigt laut Acronis sofort einsatzbereiten (Plug-and-Play) Fabric-Infrastruk- das Failover mehrerer Maschinen zu einer Cloud-Recovery- tur für Rechenzentren. Kunden können mit Tools wie Site. Die Funktion soll sicherstellen, dass Systeme in der rich- Ansible, individuell angepasste Workflows einrichten tigen Reihenfolge wiederhergestellt werden, um Abhängig- oder mithilfe des Extreme Workflow Composers auf eine keiten zwischen Anwendungen auf verschiedenen Maschinen vollständige IT-Automatisierung setzen. Im "Manage- zu berücksichtigen. Die verbesserte Ransomware-Erkennung ment Center" finden sich Management- und Überwa- basiert auf Machine Learning-Technologie, um bekannte und chungsfunktionen für Systeme verschiedener Anbieter unbekannte Bedrohungen besser zu erkennen sowie False Po- und das gesamte Netzwerk – vom kabelgebundenen oder sitives zu reduzieren. Die neue Version schützt zudem Netz- kabellosen Netzwerkzugang bis zum Rechenzentrum. werkfreigaben und Wechsellaufwerke. Neues gibt es auch bei Darüber hinaus sollen IT-Verantwortliche per "Extreme- der physischen Datenzustellung: Benutzer können das Initial Analytics" Einblicke in die Applikationsnutzung erhalten. Seeding gemäß Acronis nun schneller durchführen, wenn Die SLX-Produktfamilie von Extreme-Switches und sie das Erstbackup auf einer lokalen Festplatte beim Kunden -Routern ermöglicht es zudem, Gast-VMs einzurichten, vor Ort speichern und physisch an ein Acronis Datenzen- und liefert dezentrale Analysefunktionen für Individual- trum senden. (ln) überwachung und Fehlersuche. (jp) Acronis: www.acronis.com/de-de/ Extreme Networks: www.extremenetworks.com/solution/agile-data-center/
Open-Source-Schule Mit frei verfügbaren Lehrplänen für IT-Trainings geht "Projekte in der Praxis managen" und "IT Service Manage- "itedas.org" neue Wege: Das Unternehmen stellt die ment in der Praxis" folgen. Schulungsinhalte unter der Creative Commons "Free- Um zu gewährleisten, dass die offenen Lehrpläne den Anfor- Culture-Lizenz" zum Download bereit. IT-Verantwortli- derungen für eine offizielle Zertifizierung genügen, hat che und Trainer erhalten so kostenlos Zugang zu den itedas.org "Domain Steering Committees" etabliert. In diesen Lehrplänen, den sogenannten Syllabi. Diese lassen sich Gremien stellen bis zu neun Fachexperten sicher, dass die Trai- nach Bedarf als Präsenztraining, E-Learning oder Blen- ningsinhalte praxisnah und auf dem aktuellen Stand sind. (jp) ded Learning umsetzen. Am Ende der Ausbildung steht iteads.org: www.itedas.org für die Kursteilnehmer eine deutschsprachige Abschluss- prüfung mit Zertifikat. Die Zertifizierung für das jeweili- ge Training übernimmt das unabhängige Zertifizierungs- institut Certible. Den Start dieses Angebots machen Unterlagen für den "Certified Scrum Practitioner", auf dessen Basis laut Anbie- ter seit Mitte 2018 über 150 Personen entsprechend ausge- bildet und zertifiziert wurden. Zu diesem Themenblock steht der Syllabus mit Hintergrundinfos für den Trainer, Testexamen sowie eine Muster-PowerPoint-Präsentation zur Seminardurchführung zum Download ohne Registrierung bereit. Diesem Angebot sollen demnächst beispielsweise Als ersten Kurs stellt itedas.org Unterlagen für "Certified Scrum Kurse zu "ISO 27001: Grundlagen der Datensicherheit", Practitioner" kostenlos bereit.
Link-Codes eingeben auf www.it-administrator.de Dezember 2018 11 Aktuell Interview
»Auch für Object Storage bedarf es eines Dateisystems« Immer mehr Unternehmen setzen bei der Speicherung von Daten auf die Cloud. Die arbeitet in der Regel mit Object Storage. Was Administratoren bei der Transformation beachten müssen, haben wir Markus Warg, Cloud Storage Evangelist und Senior Sales Engineer beim Cloud-Storage-Anbieter Nasuni, gefragt.
IT-Administrator: Das Jahr geht zu Ende, 2019 waren hierfür ausschlaggebend. Zu- steht vor der Tür. Wie werden Ihrer Meinung nach nächst waren virtualisierte Infrastruk- die Storage-Trends in den kommenden zwölf turen noch nicht so verbreitet wie heute. Monaten aussehen, gerade im KMU-Bereich? Und selbst wenn ein Kunde sein Re- Markus Warg: Der Trend hin zu priva- chenzentrum bereits virtualisiert hatte, tem und öffentlichem Objektspeicher in nutzte er unsere Lösung häufig, um Da- der Cloud wird sich aus unserer Sicht in teien an nicht sonderlich virtualisierten den kommenden zwölf Monaten fortset- Remote-Standorten und Zweigstellen zen. Gegenüber klassischen Blockspei- zu speichern. Heute hingegen setzen chern lässt sich Object Storage nahezu mehr und mehr Kunden auf virtuelle unbegrenzt skalieren und zeichnet sich Appliances, da die Virtualisierung in- durch eine höhere Verfügbarkeit sowie zwischen auch in ihren Außenstellen niedrigere Kosten aus. Dies macht ihn Einzug gehalten hat. Kommen hyper- aus Sicht von IT-Abteilungen zur besseren konvergente Infrastrukturlösungen bei- Wahl, sobald es um die Umsetzung von spielsweise von Nutanix zum Einsatz, digitalen Transformationsprojekten oder lassen sich VMs innerhalb weniger Mi- Cloud-First-Initiativen geht. nuten bereitstellen. Werden diese in der Wenn mittelständische Unternehmen zum Spei- Cloud betrieben, können Kunden von chern von Daten auf Public-Cloud-Angebote etwa den Anbietern bereitgestellte Dienste, Markus Warg von Amazon, Microsoft oder Google zurückgrei- darunter Analytics oder KI-Anwendun- fen – was ist dabei besonders zu beachten? gen, nutzen. KMUs stehen bei der Inanspruchnahme ject Storage. Dieses wartet mit der ver- Die Cloud rühmt sich, beim Zugriff auf dateibasierte von Public-Cloud-Diensten vor zwei He- trauten hierarchischen Ordnerstruktur Daten ganz neue Arten der Kollaboration zu er- rausforderungen. Erstens: Wie können auf und schafft die Basis dafür, dass sich möglichen. Aber entstehen hierdurch nicht auch sie sicherstellen, dass Nutzer an den ein- von jedem beliebigen Standort aus schnell neue Probleme, etwa durch Versionskonflikte? zelnen Standorten weiterhin schnell auf auf Dateien zugreifen lässt. Die Unter- Ohne Frage eröffnet die Cloud im Hin- in der Cloud gespeicherte Daten zugreifen stützung von Standardprotokollen wie blick auf die standortübergreifende Syn- können, ohne inakzeptable Latenzzeiten NFS oder SMB/CIFS sorgt dafür, dass chronisierung von Dateien und Zusam- in Kauf nehmen zu müssen oder dass Anwendungen für das Zusammenspiel menarbeit völlig neue Möglichkeiten. durch den Abruf hohe Gebühren entste- mit dem Objektspeicher nicht umge- Genau aus diesem Grund beruht die hen? Zweitens: Wie können sie sich die schrieben werden müssen. Zu den wei- Cloud-File-Services-Plattform von Na- Option offenhalten, an verschiedenen teren Leistungsmerkmalen rund um den suni auf einer "Cloud first"-Architektur. Standorten AWS-, Azure- oder Google- Schutz und die Sicherheit von Daten zählt Alle Dateien inklusive Metadaten werden Cloud-Storage zu nutzen? die Erstellung von Snapshots, die klassi- im Object Storage gespeichert und nur Die Cloudanbieter setzen bei ihren Diensten ja sche Backups hinfällig macht, die durch- die häufig verwendeten Daten in Edge- eben nicht auf Block- und File-, sondern auf Ob- gängige Verschlüsselung von Daten und Systemen zwischengespeichert. Damit ject Storage. Ergeben Sich hier nicht Schwierig- vieles weitere mehr. das Modell funktioniert, sind zwei Tech- keiten für Unternehmen, deren Daten hauptsäch- Ihr Unternehmen setzt ja auf Edge-Appliances, nologien erforderlich: zum einen ein glo- lich dateibasiert sind? die sich den Anwendern wie Dateiserver oder baler Volume-Manager, der die an ein- Das ist in der Tat so, da Object Storage NAS-Geräte präsentieren und den Kontakt zur zelnen Standorten vorgenommenen originär nicht auf die Speicherung von Cloud herstellen. Wann ist eine virtuelle, wann Änderungen in eine Reihenfolge bringt, Dateien ausgelegt ist. Klassischer block- eine physische Appliance die bessere Wahl? sodass Nutzer stets an den aktuellsten basierter Speicher im Übrigen aber ge- In den ersten Jahren nach unserem Versionen arbeiten. Zum anderen eine nauso wenig. In beiden Fällen bedarf es Marktstart entschied sich ein Großteil globale Dateisperre, die verhindert, dass eines Dateisystems. NetApp und Isilon der Kunden dafür, unsere Hardware- Anwender gleichzeitig auf die gleiche Da- entwickelten skalierbare File-Systeme für Appliances für die Zwischenspeicherung tei zugreifen können und damit Versi- blockorientiert arbeitende Speichersys- der aktiven Daten in den einzelnen onskonflikte minimiert. teme, Nasuni mit UniFS das erste für Ob- Standorten einzusetzen. Zwei Gründe Herr Warg, wir danken für das Gespräch!
12 Dezember 2018 www.it-administrator.de BOC IT-Security = WatchGuard Firewall / VPN Diese Gleichung geht auf. Und Sie müssen auch nicht mit Unbekannten rechnen.
Promotion
Neue Firebox mit 3 Jahren Total Security Suite
Sie zahlen nur für die Security Services, die Firebox-Appliance ist praktisch kostenlos.
WatchGuard bei BOC bedeutet: • Alle gängigen Produkte direkt ab Lager lieferbar • Professionelle Support-Dienstleistungen • Technischer Blog und HOWTO-Artikel • Zertifizierte Schulungen
Fordern Sie unseren neuen WatchGuard Gesamtkatalog 2018/2019 an! Formlose E-Mail an [email protected] genügt.
„Wir stehen für WatchGuard“
BOC IT-Security GmbH Tel. +49 661 9440440 | [email protected] www.boc.de Trainings, Intensiv-
Unsere Veranstaltungen 2019 Wissen aktualisieren Wollen Sie sich nicht mit dem neue Updatemodell für Windows 10 herumschlagen, führt der Weg vielleicht in die Cloud zu Amazon. Egal, welchen Pfad Sie einschlagen, unsere Trainings versorgen Sie mit dem notwenigen Know-how. So liefert "Amazon Web Services für KMUs" kompakt alles Notwendige, um IaaS kostengünstig und zielgerichtet einzusetzen. Gleichzeit kümmert sich "Windows 10 richtig aktualisieren" mit Mark Heitbrink um die aufwendige Aktualisierung des Clients. Die Link-Codes führen Sie jeweils zu Agenda und Anmeldung.
Intensiv-Seminar "Aufbau einer PKI unter Windows" 8. bis 10. Mai 2019: Hamburg Anmeldung unter Link-Code tiwi3 Quelle: rawpixel – 123RF rawpixel Quelle:
Training Amazon Web Services für KMUs Link-Code: tiw12
- Aufbau und Verständnis der globalen Infrastruktur Teilnahmegebühren - Konto und Support Abonnenten 238 Euro* - Aufbau und Nutzung der AWS-Managementkonsole Nicht-Abonnenten 299 Euro* - AWS-Standardfunktionen für die Infrastruktur: Amazon Virtual Private Dozent / Fachliche Leitung Cloud (VPC), Amazon Elastic Compute Cloud (EC2), Elastic Load Thomas Drilling ist seit 1995 als IT-Con- Balancing und Auto Scaling sultant, IT-Fach-Journalist, Buchautor - AWS-Datenbankservices und IT-Trainer tätig. Er ist zertifizierter - AWS-Sicherheit & -Compliance, Shared-Security-Model Trainer für VMware und Amazon Web - Kosten, Überwachung und Analysewerkzeuge Services. Nach seinem Studium der - Anbindung an die eigene Infrastruktur Elektrotechnik-Informationsverarbeitung erwarb er sukzessive Hersteller-Zertifizie- Termin & Ort rungen wie RHCSA, RHCE, VCP, VCAP, 8. April 2019: München AWS Certified Solutions Archtitect und 30. April 2019: Hamburg AWS Certified Sysops
14 Dezember 2018 www.it-administrator.de Seminare und Workshops
Training GPOs für Windows 10 Link-Code: tiw03
- Vorgehensweisen bei der Erweiterung der Windows-10-GPOs Termin & Ort - Verwendung vorhandener Richtlinienobjekte für den neuen Client 14. Januar 2019: Hamburg - Erweiterung der administrativen Vorlagen 25. Februar 2019: Düsseldorf - Veränderungen in der Technik der Gruppenrichtlinien, speziell 18. März 2019: München Laufwerks-Mapping Das Training findet von - Telemetrie und Datenschutz konfigurieren 10 bis etwa 17 Uhr statt. - Windows 10 mit GPOs absichern: Hardening-Hinweise, Anleitung und Empfehlung für mehr Systemsicherheit Teilnahmegebühren Abonnenten 238 Euro* - Entfernen und Kontrolle ungewünschter Apps über Gruppenrichtlinien Nicht-Abonnenten 299 Euro* - Serverbasierte Profile: Ist der Einsatz noch zeitgemäß oder stehen bessere Alternativen zur Verfügung? Dozent / Fachliche Leitung - Zentrale Verwaltung von Anwendereinstellungen mit UE-V Mark Heitbrink ist seit 2001 MVP und - Lücken im System: Nicht per Gruppenrichtlinien verwaltbare der erste IT-Profi in Deutschland, der für den Funktionen und entsprechende Maßnahmen Bereich Group Policy ausgezeichnet wurde.
Training Windows 10 richtig aktualisieren Link-Code: tiw11
- Ausprägung der Windows-Updates und -Upgrades in der Praxis Termin & Ort 15. Januar 2019: Hamburg - Strategie und Technik für monatliche Patches 26. Februar 2019: Düsseldorf - Integration der halbjährlichen Feature-Upgrades 19. März 2019: München - Dos and Dont's aus drei Jahren Windows-10-Praxis Das Training findet - Notwendige Anpassungen von Clients und Anwenderverhalten von 10 bis etwa 17 Uhr statt. für störungsfreien Betrieb Teilnahmegebühren - Konfiguration der Windows-Update-Settings Abonnenten 238 Euro* Nicht-Abonnenten 299 Euro* - Möglichkeiten und Grenzen des WSUS bei Semi-Anual Channel Feature Upgrades Dozent / Fachliche Leitung Mark Heitbrink ist seit 2001 MVP und - Alternatives Deployment mit Bordmitteln und Skripten der erste IT-Profi in Deutschland, der für den - Vorteile eines selbsterstellten Windows-Image zur Aktualisierung Bereich Group Policy ausgezeichnet wurde.
Intensiv-Seminar PowerShell für Admins Link-Code: tiwi2
- Einführung und Basiswissen Termin & Ort - Architektur der PowerShell und Versionsunterschiede 6. bis 8. Februar 2019: Hamburg - Cmdlets, Cmdlet-Parameter und Hilfefunktionen Beginn am ersten Tag um 10 Uhr, Ende am dritten Tag gegen 16 Uhr. - Objekt-Pipeline und Ausgabefunktionen - Navigationsmodell (PowerShell-Provider) Teilnahmegebühren * - Scripting Abonnenten 1190 Euro * - PowerShell Language (PSL): Variablen und Kontrollstrukturen Nicht-Abonnenten 1370 Euro - Objektorientiertes Programmieren mit Klassen (ab PowerShell 5.0) Dozent / Fachliche Leitung - Sicherheitsfunktionen (Execution Policy) Franz-Georg Clodt arbeitet seit 20 Jahren - Vordefinierte Variablen, Fehlerbehandlung und Fehlersuche im Bereich Schulung, Beratung und Imple- - Scripting mit PowerShell Integrated Scripting Environment (ISE) mentierung von Microsoft-Lösungen. Seit - Aufbauwissen thematischer Schwerpunkt ist der Entwurf - Fernaufruf/Fernadministration mit WS-Management (Remoting) und die Wartung von Exchange-Umgebun-
*alle Preise inkl. 19% MwSt *alle Preise inkl. - Serververwaltung Active Directory und Automatisierung von Azure gen und die PowerShell.
Mehr Informationen zu allen Trainings unter www.it-administrator.de/trainings Dezember 2018 15 Tests QNAP TS-453Be
QNAP TS-453Be Fähiger Datenjongleur von Sandro Lucifora
NAS-Geräte bieten heute meist mehr, als nur Daten zu spei- chern. QNAP will beim Modell TS- 453Be außer mit dem funktionsrei- chen Betriebssystem auch mit einer PCIe-Schnittstelle punkten, die sich unter anderem für SSD-Caching nutzen lässt. Wir haben den Netzwerkspeicher genauer unter die Lupe genommen.
D ie Gründe, ein NAS einzusetzen, keit von bis zu 225 MByte/s. Zusätzlich namen an und trugen unser Administra- können sehr unterschiedlich sein. verfügt das Gerät über einen PCIe-Steck- tor-Kennwort ein. Danach hinterlegten Von der Bereitstellung von Speicherplatz platz für Erweiterungen. Diesen haben wir die Zeitzone, bestimmten den NTP- in einer großen Infrastruktur mit zentraler wir in unserem Testgerät mit dem Modell Server und gaben die festen IP-Adressen Benutzerverwaltung bis hin zum Daten- QM2-2S-220A bestückt. Dabei handelt für beide Netzwerkkarten an. Diese kön- speicher für ein, zwei oder einige mehr es sich um eine Erweiterungskarte mit nen aus getrennten Netzwerkbereichen Anwender ist alles möglich. Für einen Her- zwei M.2-SSD-Steckplätzen, die sich zur stammen. In Netzwerken mit einem steller ist es daher wichtig, möglichst viele Leistungsverbesserung mittels SSD-Ca- DHCP-Server konnten wir uns die IP- Szenarien bedienen zu können. QNAP hat ching als Caching-Pool oder Auto-Tie- Adresse auch zuteilen lassen. mit dem Betriebssystem QTS schon vor ring-Volumen einrichten lassen. vielen Jahren eine Basis geschaffen, um die Wie das NAS Daten bereitstellt, regelt der verschiedensten Hardwarekomponenten Darüber hinaus bietet QNAP eine kom- plattformübergreifende Dateitransferser- einheitlich zu steuern. Gerade in den letz- patible WLAN-Karte an, um das NAS als vice. Dafür stehen verschiedene Dienste ten Monaten hat der Hersteller an der Soft- WLAN-Access-Point zu verwenden, und zur Auswahl. Windows (SMB/CIFS, File ware eine Menge getan. verschiedene Ausführungen für 10-GBit- Station) war bereits vorausgewählt, ließ Anschlüsse. Denn für die Anbindung an sich aber abwählen, sobald wir einen an- Umfangreiche Ausstattung Außenwelt stellt QNAP dem NAS von deren Dienst aktivierten. Dazu bot uns Doch auch auf Hardwareseite hat QNAP Haus aus zwei GBit-Ethernet-Schnittstel- das System Mac (AFP, SMB/CIFS, File ein großes Repertoire. Von einem NAS len zur Verfügung. Zusätzlich gibt es noch Station) und Linux/UNIX (NFS, SMB/ mit nur einer Festplatte bis hin zu Rack- zwei HDMI-Anschlüsse, womit sich das CIFS, File Station) an. Die Auswahl dient Geräten für bis zu 30 Datenträger ist alles NAS auch als Multimediazentrale betrei- der Unterstützung der jeweiligen OS-spe- vorhanden. Wir haben uns ein NAS aus ben lässt, um zum Beispiel Video- und zifischen Funktionen in Bezug auf die der Mittelklasse angesehen. Das QNAP Bildpräsentationen zu ermöglichen. An Dateiverwaltung, -freigabe und -übertra- TS-453Be ist ein Tischgerät mit vier Hot- die vorhandenen fünf USB-3.0-Steckplät- gung. Eine Mehrfachauswahl ist möglich. Swap-Einschüben für 3,5- oder 2,5-Zoll- ze finden neben externen Festplatten auch Laufwerke, Intel-Celeron-J3455-Quad- eine USV oder Drucker Anschluss, die NAS spricht mit dem Nutzer Core-1,5-GHz-Prozessor und 4 GByte dann über das Netzwerk nutzbar sind. Nach der Einrichtung loggten wir uns ein RAM, der bis auf 8 GByte erweiterbar ist. und erhielten eine Meldung, dass sowohl Unterstützt Windows, Mac, Linux im AppCenter als auch für QTS selbst Weiterhin hat der Hersteller die Unter- Nach dem Anschluss an unser Netzwerk Updates verfügbar waren. Wir starteten stützung von 6-GBit/s-SATA-Festplatten öffneten wir die moderne Weboberfläche, beide Prozesse und waren erstaunt, als integriert und erreicht damit laut eigenen über die wir den Installationsprozess star- eine Stimme über das Firmware-Update Angaben eine Lese-/Schreibgeschwindig- teten. Zunächst gaben wir einen Geräte- informierte. Auch vor dem Ausschalten
16 Dezember 2018 www.it-administrator.de QNAP TS-453Be Tests
Im nächsten Dialog wählten wir die vor- handenen Datenträger aus und legten den gewünschten RAID-Typ fest. Je nach An- zahl der ausgewählten Datenspeicher zeigte uns das Dropdown-Menü die pas- senden RAID-Varianten an. Wir wählten drei Festplatten für ein RAID 5 aus und legten die vierte Festplatte als HotSpare- Platte fest. Nach der Einrichtung des Da- tenträgers forderte uns das System auf, ein neues Volumen zu erstellen. Dieser Vorgang entspricht quasi dem Partitio- nieren einer Festplatte. Gut gefallen hat uns, dass wir an dieser Stelle das Volumen auch verschlüsseln konnten.
Uns interessierte nun noch die Anwen- dung des von QNAP propagierten neuen Bild 1: Für den Test legten wir einen Speicherpool mit drei Festplatten Speicherpool-Designs. Damit ist es mög- als RAID 5 mit einer HotSpare-Platte an. lich, verschiedene RAID-Gruppen in ei- nem Speicherpool zu kombinieren. Test- des Gerätes teilte uns die Stimme die Fer- Funktion recht wenig Sinn. Insgesamt fiel weise richteten wir mit jeweils zwei tigstellung mit. Im Laufe des Tests fanden uns während der Testphase noch positiv Festplatten zwei Datenträger als RAID 1 wir die Voice-Informationen recht nütz- auf, wie flüssig das Arbeiten auf der Web- ein und richteten auf jedem ein Volume lich, da wir durch sie von den Aktionen oberfläche war. ein. Diese Volumes standen dann zur Er- des NAS auch dann Wind bekamen, füllung verschiedener Anforderungen be- wenn wir die GUI gerade nicht geöffnet Nachdem das NAS einen Neustart durch- reit. So haben wir die Volumes beispiels- hatten. Steht das NAS hingegen in einem geführt und wir uns wieder eingeloggt weise so konfiguriert, dass eines für Schrank oder Nebenraum, ergibt die hatten, richteten wir die Festplatten ein. Snapshots, das andere zur Dateispeiche- Hierzu wechselten wir unter "System- rung diente. QNAP TS-453Be steuerung" auf "Speicher & Snapshots", woraufhin sich ein Assistent öffnete. Im Seit der Version 4.3.5 von QTS ist es mög- Produkt ersten Schritt mussten wir einen Speicher- lich, in RAID 1, 5, 6 oder 10 eingebun- Netzwerkspeicher mit QTS 4.3.5 pool und ein Systemvolumen erstellen. dene Festplatten nachträglich zu lösen und Erweiterungskarte QM2-2S-220A. Speicherpools kombinieren RAID-Grup- und zu entfernen. Das macht es leicht, Hersteller pen, die Datenträger zur Bereitstellung Datenträger auszutauschen oder vor dem QNAP einer flexiblen Speicherkapazität zusam- drohenden Ausfall zu ersetzen. www.qnap.com/de-de/ menfassen. Wir konnten Volumes oder Preis LUNs von einem Speicherpool für das Ständige Datensicherung Das Modell TS-453Be-2G mit 2 GByte System zuweisen. mit Snapshots DDR3L-RAM kostet 419 Euro, die Variante TS- Im Rahmen der Datenträgerkonfigura- 453Be-4G mit 4 GByte DDR3L-RAM ist für Intelligentes Kombinieren tion trafen wir auch auf die Einrichtung 459 Euro zu haben. Die Erweiterungskarte von Datenträgern für Snapshots. Diese zeichnen den Status QM2-2S-220A schlägt mit 89 Euro zu Buche. Nun konnten wir Qtier aktivieren. Mit die- der Daten zu einem angegebenen Zeit- Systemvoraussetzungen ser Funktion erstellten wir einen Speicher- punkt auf. Mit der Snapshot-Wiederher- GBit-Ethernet-Netzwerk, für die Virtualisie- pool aus verschiedenen Arten von Lauf- stellung haben wir später dedizierte Da- rung wird für einen schnelleren Datenaus- werken (SSD, SAS, SATA). Das Ziel war teien oder Ordner in einen vorherigen tausch 10-GBit-Ethernet empfohlen. Für den es, häufig abgerufene Daten automatisch Zustand zurückversetzt beziehungsweise Zugriff auf Dateien muss der Clientrechner auf schnellere und weniger aktive Daten wiederhergestellt. Administratoren ver- SMB/CIFS, AFP oder NFS unterstützen und auf langsamere Laufwerke mit höherer Ka- walten Snapshots in der File Station, dem über einen Browser mit HTML5-Unterstüt- pazität abzulegen, um so die Zugriffszeiten Dateiexplorer des NAS. zung verfügen. zu optimieren. Der Hersteller empfiehlt Technische Daten das Verwenden von Qtier auf einem NAS Eine weitere Funktion ist Snapshot Re- www.it-administrator.de/downloads/ mit mindestens 4 GByte Arbeitsspeicher, plica. Damit sichert QNAP Snapshots ge- datenblaetter da sich das Auto-Tiering sonst negativ auf trennt von den Daten in einem anderen die Systemleistung auswirkt. lokalen Speicherpool oder auf einem an-
www.it-administrator.de Dezember 2018 17 Tests QNAP TS-453Be
platten-Image, einen 45 GByte großen Ordner mit 19.343 gemischten Dateity- pen, einen 11,5-GByte-Ordner mit 702 Bildern der Formate JPG und PNG sowie eine 4,8 GByte große PSD-Datei auf das NAS kopiert und wieder gelesen. Ange- bunden war das Gerät an den Windows- 10-Rechner über einen GBit-Switch.
Wir konnten feststellen, dass sich mit Hil- fe des SSD-Caches der Lesezugriff in der Spitze um bis zu 50 Prozent und das Schreiben um bis zu 30 Prozent steigern ließ. Jedoch schwankten die Werte teils extrem, da der Performance-Schub stark von der Dateigröße abhängig war. Mit vielen kleinen Dateien erreichten wir Stei- gerungen zwischen zehn und 18 Prozent, Bild 2: Über die Snapshot-Einstellungen richteten wir einen doch je größer die Datei war, umso höher stündlichen Schnappschuss ein und sorgten so für Datensicherheit. zeigte sich auch der Tempo-Zuwachs, vor allem beim Lesen. deren NAS. Bei der Übertragung auf ein lich aufwändigere Übertragung von Daten anderes NAS begrenzt das System den über das Netzwerk. Weitere Optionen wa- Anbindung ans Active Directory Datentransfer und somit die Belastung ren, das Laufwerk zur Sicherung zu nutzen Im nächsten Schritt galt es, den Zugriff der Bandbreite mit Hilfe von blockba- oder in einen Speicherpool zu integrieren, auf die Daten des NAS zu steuern. Dazu sierten Snapshots, die es kontinuierlich und so die Kapazität des NAS temporär ist in QTS eine Rechteverwaltung inte- synchronisiert. oder kontinuierlich zu erweitern. griert. Für kleinere Unternehmen kann es praktisch sein, die Benutzer direkt auf Snapshots haben wir sowohl manuell Wer weitere QNAP-NAS im Unterneh- dem NAS anzulegen und den LDAP-Ser- durchgeführt als auch zyklisch eingerich- men betreibt, kann mit VJBOD (Virtual ver zu aktivieren. Darüber greifen auch tet. Dazu öffneten wir im "Schnapp- JBOD) die Speicherkapazität erweitern. andere Verzeichnisdienste auf die Benut- schussmanager" den Dialog "Schnapp- Dazu lassen sich bis zu acht weitere Netz- zerangaben zu. In Windows-Netzwerken schuss planen". Hier stellten wir die werkspeicher des Herstellers als lokale lässt sich das NAS auch als Domänencon- Wiederholungen, von stündlich bis mo- Festplatten auf dem TS-453Be mounten troller nutzen. In Unternehmen mit ei- natlich, ein. Ebenso legten wir die Auf- und so ungenutzter Speicher verwenden. nem bereits vorhandenen LDAP- bezie- bewahrungszeit fest. Ja nach Einstellung hungsweise Active-Directory-Server will muss der Administrator den benötigten Mehr Lesetempo der Administrator meist den umgekehr- Speicherplatz berücksichtigen. Um diesen durch SSD-Cache ten Weg gehen und das NAS an das vor- zu minimieren, aktivierten wir noch Wie eingangs erwähnt, war in unserem handene AD koppeln. Damit lassen sich "Smart Snapshot". Die Funktion erstellt Testgerät eine Erweiterungskarte für zwei alle Benutzerkonten automatisch auf das einen Snapshot nur, wenn sich seit dem M.2-SSDs verbaut. Diese haben wir mit NAS übertragen. AD-Benutzer melden letzten Snapshot Änderungen ergeben einer Kingston-SA1000M8-M.2-SSD mit sich danach mit den bereits vorhandenen haben. So kann es zum Beispiel an einem 240 GByte ausgestattet und das SSD-Ca- Benutzernamen und Passwörtern am Wochenende der Fall sein, dass Anwender ching eingerichtet. Ziel war es, die Lese- NAS an. Damit muss der Administrator keine Daten modifizieren. und Schreibaktionen auf den langsamen nicht jedes einzelne Konto einrichten und HDDS zu beschleunigen und damit einen doppelt pflegen. Anbinden externer schnelleren Datenzugriff zu erhalten. Speicher gut umgesetzt Für die Einrichtung mussten wir zunächst Im weiteren Verlauf schlossen wir eine ex- Über die Speicherverwaltung riefen wir sicherstellen, dass das Datum und die terne USB-3.0-Festplatte an. Nachdem das den Punkt "SSD-Cache" auf und wählten Uhrzeit des NAS mit der Zeit des AD- System diese erkannt hatte, fragte es uns die vorhandene SSD der Erweiterungs- Servers übereinstimmen. Die zeitliche nach dem Einsatzzweck. Gut gefallen hat karte als Cache-Laufwerk aus. Danach Abweichung darf höchstens fünf Minuten uns, dass wir mit der File Station auf die richteten wir ein Volumen ein und akti- betragen. Um hier keine Fehler zu ma- Dateien zugreifen und sie direkt auf das vierten den Cache. Um eine praxisnahe chen, haben wir auf dem AD-Server einen NAS übertragen konnten. Das spart gerade Testreihe zu starten, haben wir jeweils NTP-Server aktiviert und diesen beim bei der ersten Einrichtung die meist zeit- mit und ohne Cache ein 154 GByte Fest- NAS als Zeitserver eingestellt. Damit er-
18 Dezember 2018 www.it-administrator.de QNAP TS-453Be Tests
PPTP, L2TP/IPSec und OpenVPN bereit- stellt. Der Hersteller hat zudem noch einen eigenen QVPN-Client für Arbeitsplätze angekündigt, der sich dann mit dem NAS über das proprietäre Qbelt-Protokoll ver- binden soll.
NICs trennen für mehr Sicherheit Im weiteren Verlauf der Einrichtung ak- tivierten wir die Bereitstellung einzelner Dienste, um diese über das Internet er- reichbar zu machen. Über die Zugriffs- kontrolle stellten wir ein, dass das NAS Bild 3: Über das Control Panel legten wir Freigaben an und wiesen die Berechtigungen zu. nicht öffentlich sein sollte, also nicht er- reichbar von allen, die die URL kennen, hielten wir einen sicheren Abgleich der wir aus den Domäneneinstellungen die sondern nur Anwender mit Einladung Zeit. Dann richteten wir die IP-Adresse entsprechenden Einträge aus. Die Zugriffs- darauf zugreifen dürfen. Der Nachteil von des Active-Directory-Servers als ersten rechte nahmen wir im Regelfall auf Basis myQNAPcloud ist, dass es keine indivi- DNS-Server am NAS ein. Über den AD- von Domänengruppen und Domänen- duelle Domain unterstützt. Somit muss Assistenten banden wir dann das NAS in computer vor. Allen anderen Gruppen und sich das Unternehmen mit der von QNAP die Domäne ein. Benutzern erteilte das System von vorn- bereitgestellten Domain zufriedengeben herein eine Zugriffsverweigerung. oder DDNS einrichten. Seit QTS 4.3.5 ist In der Rechteverwaltung erhielten wir da- es möglich, neben myQNAPcloud weitere nach eine Liste aller im AD vorhandenen Von überall erreichbar DDNS gleichzeitig zu nutzen. Benutzer. Auch die Domänengruppen Wo es früher ausreichte, nur aus dem LAN standen uns zur Verfügung. Diese Ein- auf die Netzwerkspeicher zuzugreifen, ist Über QNAP erhielten wir die Domain träge, Domänenbenutzer und -gruppen, heute der Zugriff aus dem Internet obli- "itadmin.myqnapclouod.com" und rich- konnten wir jetzt für die Rechtevergabe gatorisch. Daher wollten wir über QTS teten ein passendes SSL-Zertifikat ein. der Verzeichnisse nutzen. Zusätzlich ha- auch externe Dateifreigaben einrichten. Der Hersteller bietet ein kostenpflichtiges ben wir noch lokale Nutzer auf dem NAS Neben dem Teilen von Daten mit Dritten, myQNAPcloud-SSL-Zertifikat an oder angelegt, um so zum Beispiel externen etwa mit Dropbox, Google Drive oder Hi- erlaubt es, die kostenlose Variante von Anwendern gezielt Zugriff auf einige Da- Drive, wollten wir eine Anbindung exter- Let's Encrypt zu installieren. ten zu geben, ohne diese im AD einrich- ner Computer herstellen. Da die wenigsten ten zu müssen. Unternehmen über eine feste IP-Adresse Doch die Verbindung zum Internet ist verfügen, unterstützt QTS verschiedene nicht ohne Sicherheitsrisiko. Um das zu Zugriffsrechte basieren dynamische DNS-Dienste. An oberster minimieren, nahmen wir mit den beiden auf Berechtigungstypen Stelle steht das Hersteller-eigene Angebot Netzwerkkarten des NAS eine physische Um überhaupt Daten bereitstellen zu myQNAPcloud zur Verfügung. Weitere Trennung zwischen LAN und WAN vor. können, legten wir Freigabeordner an. DDNS-Anbieter sind DynDNS, FreeDNS, So haben wir eine Netzwerkkarte mit un- Im entsprechenden Dialog haben wir Google Domains, Strato und einige mehr. serem lokalen Netzwerk und das Netz- auch einen ISO-Freigabeordner erstellt. werkkabel der anderen Karte mit der Dabei wählten wir als Quelle eine auf Wir registrierten unser NAS in der QNAP - DMZ verbunden. Um dann auch das Ri- dem NAS liegende ISO-Datei aus, die das cloud und richteten den Zugang als DDNS siko des Zugriffs auf unerlaubte Dienste System dann als normalen Freigabeord- ein. Dabei aktivierten wir CloudLink, ein gering zu halten, haben wir die verschie- ner bereitstellte. Dienst, um mit mobilen Apps wie Qphoto, denen Dienste an die jeweilige Netzwerk- Qmusik und Qfile auf die NAS-Dateien karte gebunden. So war sichergestellt, dass Nach dem Erstellen einiger Ordner öffne- zuzugreifen. Der Dienst ist ferner notwen- Anwender nur die Funktionen nutzen ten wir die Funktion zur Bearbeitung der dig, um automatische Dateisynchronisie- konnten, die wir erlaubt haben. Berechtigung. Als Berechtigungstyp hatten rung zwischen verschiedenen Geräten, wir die Wahl zwischen dem Hostzugriff, auch mehreren NAS, durchzuführen oder Einbinden in bei dem wir die Erlaubnis über die IP- mittels der Windows-Software myQNAP- virtuelle Umgebungen Adresse steuerten, und dem NFS-Zugriff, cloud Connect per VPN mit den Daten Um virtuelle Umgebungen mit Speicher- über den wir das NFS-Zugriffsrecht be- des NAS zu arbeiten. Alternativ gibt es platz zu versorgen, ist in QTS eine Un- stimmten. Über die Benutzer-, Gruppen- noch QVPN, einen VPN-Dienst, der ver- terstützung zur Virtualisierung mit VM- und Computerrechte schließlich wählten schiedene unabhängige VPN-Server wie ware vSphere, Microsoft Hyper-V und
www.it-administrator.de Dezember 2018 19 Tests QNAP TS-453Be
denklichen RAIDs kombinieren lassen. Dank des PCIe-Steckplatzes lässt sich eine 10-GBit-Ethernet- oder eine Dual-M.2- SSD-Erweiterungskarte einsetzen. Schade, dass nur ein Steckplatz bereitsteht. Denn gerade bei der Virtualisierung, für die 10- GBit-Ethernet sinnvoll ist, sollte noch ein SSD-Cache die Datenübertragung be- schleunigen. So muss sich das Unterneh- men für eines von beidem entscheiden. Unser Test hat gezeigt, dass der SSD- Cache gerade bei großen Dateien eine deutlich erhöhte Leserate bewirkt. Die Bild 4: Das App Center stellt weitere Funktionen bereit, mit denen sich die Fähigkeiten des NAS Anbindung an das Active Directory hat gezielt erweitern lassen. darüber hinaus ebenso problemlos ge- klappt wie die Verwaltung der Freigaben. Citrix XenServer integriert. Das System Drittanbietern. Neben der Container Sta- ersetzt aber keinen Virtualisierungshost. tion installierten wir Resilio Sync, eine Alles in allem hat uns das TS-453Be in In einer vSphere-Umgebung sind Zugriffe Software zum Synchronisieren von Da- Verbindung mit der QM2-2S-220A-Er- über VAAI mit NFS und iSCSI over teien in einem eigenen Peer-to-Peer-Netz- weiterungskarte überzeugt. Die Hard- RDMA (iSER) möglich. Das vSphere- werk. Wir starteten den Download und ware-Ausstattung ist ordentlich. Wem die Plug-in von QNAP stellt dazu die Spei- die anschließende Installation, wonach vier Festplatten auf Dauer zu wenig sind, cherschnittstelle zur Verfügung. Für Hy- die Funktion schnell bereitstand. Fehlen kann das NAS über Erweiterungsgehäuse per-V-Umgebungen bietet das System Anwendungen im Angebot, so kann der mit weiteren fünf oder acht Datenträgern ODX und Microsoft SCVMM. Und in ei- Administrator diese mit selbst erstellten bestücken. Durch das QTS-OS mit der ner XenServer-Installation können Zu- qpkg-Paketen nachinstallieren. modernen, schnellen und intuitiv bedien- griffe über NFS und iSCSI erfolgen. Da baren Weboberfläche und die Möglich- es bei der Virtualisierung stark auf die Auch Webanwendungen wie Joomla, Pres- keit, Funktionen mit Apps nachzurüsten, Geschwindigkeit ankommt, lässt sich das taShop und WordPress haben wir über sollte das NAS für nahezu jeden Einsatz- TS-453Be um eine 10-GBit-PCIe-Netz- das App Center installiert. Doch ein Wer- zweck gewappnet sein. (ln) werkkarte erweitern. mutstropfen ist, dass QNAP mit dem letz- ten Update von QTS immer noch PHP So urteilt IT-Administrator Für noch mehr Virtualisierung installier- 5.6 ausliefert. Gerade Joomla und Word- ten wir aus dem App Center die Contai- Press setzen auf PHP 7. Hier wäre es wün- Konfiguration der Datenträger 7 ner Station. Mit dieser Erweiterung konn- schenswert, wenn der Hersteller die Mög- ten wir LCX- und Docker-Container lichkeit schafft, bei der Einrichtung der Anbindung an das Active Directory 6 ausführen und so zum Beispiel eine vir- vhosts die PHP-Versionen und andere tuelle Linux-Maschine mit Ubuntu auf Webservereinstellungen zuzuweisen. Bis Einrichten von Dateifreigaben 6 dem NAS laufen lassen. dahin müssen sich die Anwender mit der zuvor erwähnten Container Station ent- Verwalten von Berechtigungen 7 Funktionsplus durch App Center sprechende Docker-Container einrichten. Das App Center eignet sich hervorragend, Funktionen des Webservers 5 um das NAS um Funktionen zu erweitern, Fazit Die Details unserer Testmethodik finden Sie die nicht direkt verfügbar sind. Die Apps Das QNAP TS-453Be ist mehr als eine unter www.it-administrator.de/testmethodik sind in verschiedene Gruppen wie Siche- Speicherlösung im Netzwerk. Durch das rung, Kommunikation, Entwicklerwerk- eigene NAS-Betriebssystem QTS bohrt Dieses Produkt eignet sich zeuge, Überwachung et cetera unterteilt. der Hersteller den Funktionsumfang des optimal für den Einsatz als Netzwerkspei- Der Großteil der Angebote ist kostenlos, Geräts kräftig auf. Die Unterstützung von cher in kleinen und mittleren Unternehmen. einige andere, wie ein McAfee-Virenscanner vier 3,5- oder 2,5-Zoll-Laufwerken erlaubt und die Unterstützung von exFAT-Lauf- die Ausstattung mit bis zu 40 TByte. Für bedingt als Webserver, da sich die bereitge- werken, sind kostenpflichtig zu lizenzieren. die neuen 14-TByte-Ironwolf-Festplatten stellten Funktionen schlecht konfigurieren Ein ClamAV-Virenscanner ist jedoch bereits von Seagate gibt es zwar laut Hersteller lassen und der Hersteller PHP noch mit Versi- vorinstalliert und kostenlos. noch keine ausführlichen Tests, aber auch on 5.6 ausliefert. diese sollten theoretisch problemlos lau- nicht als vollständiger Ersatz für Virtualisie- Unter den Angeboten fanden wir nicht fen. Dann sind es bis zu 56 TByte, die im rungsumgebungen. nur Apps von QNAP, sondern auch von NAS bereitstehen und sich in allen er-
20 Dezember 2018 www.it-administrator.de Unsere Helden im Einsatz – gemeinsam erreichen wir Ihre Ziele!
Timo Egeler Unser Key-Account-Held
Wenn es darum geht, neue IT-Umgebungen unserer Kunden zu konzeptionieren und in die Tat umzusetzen, dann bilden unsere Key Account Manager die zentrale Anlaufstelle für jegliche Anfragen. Sie scheuen keine Mühen, holen Experten verschiedener Fachbereiche mit ins Boot und arbeiten eng mit Ihnen und den Kollegen aus Consulting und Technik zusammen. Gerne auch bei Ihnen vor Ort, um so ein massgeschneidertes Bündel für Ihre Anforderungen zu schnüren. Fragen Sie einfach unsere heimlichen Helden – Timo und seine Kollegen kümmern sich um den Rest.
+49 (0) 8551.9150-300 thomas-krenn.com/timo Veeam-Backup für Linux Auf Knopfdruck Quelle: olivier26 – 123RF sichern von Frank-Michael Schlede und Thomas Bär
Veeam sichert nicht nur virtualisierte Systeme, sondern zunehmend auch physische Rechner oder Maschinen in der Cloud. Mit der Neuauflage des Veeam Agent for Linux verbindet der Anbieter traditionelle Sicherungsansätze mit modernen Anforderungen. Das gelingt ganz gut, wie wir im Test feststellen konnten.
B ackup und Recovery gehören eher Cloud-Speicher zum Einsatz kommen, Software stets darauf basierte, dass der zu den Pflichtaufgaben des IT-Ad- sinken die Kosten für eine brauchbare Si- Backupvorgang aus dem Hypervisor he- ministrators und neue Produkte sorgen cherung eigentlich immer weiter. raus gestartet wurde und das virtualisierte kaum für Begeisterungsstürme bei der Gastbetriebssystem keine Änderung Zielgruppe. Eigentlich schade – denn die Beim Veeam Agent for Linux handelt es durch das Vorhandensein der Sicherungs- smarten und leistungsfähigen Programme sich um eine klassische Backup- und Re- software erfuhr. Beim Veeam Agent for sind in der Lage, im Notfall den Ge- covery-Lösung für Linux-Systeme. Ob Linux wird direkt aus dem Gastbetriebs- schäftsbetrieb zu retten. Ist eine Sicherung das Betriebssystem und die darauf betrie- system heraus gearbeitet – eben wieder vorhanden und wurde die Wiederherstel- benen Applikationen und Services auf ei- ganz klassisch. Der Vorteil dieser doch lung in der Vergangenheit schon einmal ner physischen Maschine oder als virtua- eher ursprünglichen Herangehensweise praktisch erprobt, gehen IT-Profis mit lisierter Gast auf einem Hypervisor-Host ist die Unabhängigkeit vom Hypervisor. deutlich mehr Ruhe und Gelassenheit bei laufen, ist für die Sicherungssoftware von Somit kann der Administrator auch Datenverlusten oder dem Befall von Mal- Veeam unerheblich. Praktischerweise ist cloudbasierte Systeme, beispielsweise in ware vor als ohne diese Freikarte. die Software somit eine einheitliche Si- einer Microsoft Azure Cloud oder auf ei- cherungslösung für Laptops, Desktop- ner Hosting-Plattform, problemlos mit Wer nicht sichert, ist wohl selbst schuld PCs und Server gleichermaßen, ohne dass der Backupsoftware ausstatten. – denn teuer sind die Backup-Programme der Administrator für die jeweilige Ge- an sich nicht. Erst im Zusammenspiel mit räteausprägung einen anderen Agent zum Als Speicherziel bieten sich externe oder Bandrobotern oder Streamern steigen die Einsatz bringen müsste. lokale Platten oder Wechseldatenträger, Anschaffungskosten. Da zunehmend Netzlaufwerke in SMB- oder CFS-Gestalt mehr auf Platte gesichert wird und, bei Wer die Produkte aus dem Hause Veeam oder ein Veeam Backup Repository im ausreichend schneller Anbindung, sogar kennt, weiß, dass die erste Generation der Zusammenspiel mit Veeam Backup & Re-
22 Dezember 2018 www.it-administrator.de Veeam für Linux Tests
eine dreimonatige Testversion mit vollem Leistungsumfang. Hierzu ist lediglich die Eingabe einiger persönlicher Informatio- nen erforderlich.
Beim ersten Blick in das in Englisch ver- fasste PDF-Dokument als Handbuch er- schrecken die 265 Seiten, auf denen das Produkt erklärt wird. Glücklicherweise stellt sich recht rasch heraus, dass die unterschiedlichen Beschreibungen zur Installation der Software unter den ver- schiedenen Distributionen viel Platz beanspruchen. Dank der guten Qualität der Dokumentation dürften auch Win- dows-Administratoren, die nur wenige Bild 1: Ohne die komplette Sicherungs-Suite kann der Administrator Jobs über die Kommandobefehle Linux-Server zu betreuen haben, sehr gut oder den textbasierten Assistenten anlegen und anpassen. mit dem Programm und der dazugehö- rigen Anleitung klarkommen. covery an. Der Agent ist in der Lage, ein- tenbank-Engine zur Speicherung von zelne Verzeichnisse, Dateien, Volumes Konfigurationsdaten. Für unseren Test wählten wir eine als Ser- oder den ganzen Computer zu sichern. ver ausgeprägte CentOS-7.5-Installation Mit etwas mehr Komfort als gewohnt Funktionen des neuen Veeam mit grafischer Oberfläche, virtualisiert startet das "Recovery"-Medium von Vee- Mit der Vorstellung der zweiten Version unter VMware und ausgestattet mit einem am, das neben den Wiederherstellungs- hat Veeam das Produkt deutlich aufge- Apache2-Webserver und einer kleinen optionen auch einige typische Linux-Be- wertet. Clients, die der Administrator MariaDB-Installation als Datenbanksys- fehle auf der Kommandozeile erlaubt. über die Veeam Availability Suite verwal- tet, erhalten von dort aus ihre Konfigu- Veeam Agent for Linux 2.0.1 Ein Blick auf die Technik ration und liefern Informationen zu den Technisch bietet die Software keine gro- Sicherungs- und Wiederherstellungspro- Produkt ßen Besonderheiten. Bei der Installation zessen an die Managementsoftware. Backup-Software für Linux. wird der so genannte veeamservice, das Durch regelmäßiges "Active Full Backup" Hersteller eigentliche Service-Modul, auf dem Sys- verkürzt sich die Abhängigkeit von auf- Veeam Software tem eingerichtet. Dieser Dienst ist ver- einanderfolgenden Backup-Dateien. www.veeam.com antwortlich für alle Aufgaben der Software Preis und verwaltet die nötigen Ressourcen. Er- Die externe Sicherung über Veeam Cloud Der Einführungspreis für die Workstation- wartungsgemäß handelt es sich hierbei Connect ist sicherlich die größte Erwei- Edition liegt bei 27 Euro pro Jahr, der regulä- um einen automatisch startenden Dae- terung der Software. Veeam-Servicepro- re Preis bei zirka 44 Euro pro Jahr. Die Server- mon, der im Hintergrund seine Arbeit vider können ihren Kunden einen über Edition kostet 132 Euro pro Jahr. Abonne- verrichtet. Der Veeam Agent for Linux das Internet erreichbaren zentralen Spei- mentoptionen und Mengenrabatte nennt der Job Manager, der veeamjobman, wird für cherbereich zur Ablage von Backups bie- Hersteller auf Anfrage. jeden Backupjob vom Service gestartet. ten. In diesem Zusammenhang ist die Systemvoraussetzungen: Der "Veeam Agent" selbst kommuniziert neue quellseitige Verschlüsselung der x86-Prozessor (i386 oder höher), mindestens mit den bereits benannten Prozessen und Backupdaten auf dem Ursprungssystem 1 GByte RAM, 100 MByte freier Festplatten- ist zuständig für das Kopieren von Daten erforderlich. Noch vor der Übertragung speicher für die Installation der Software, während des Backups, die Datenübermitt- auf das Backupzielsystem wird die Siche- Linux-Kernel 2.6.32 oder höher. lung beim Restore und für die automati- rung verschlüsselt. Beim Update auf 2.0.1 Unterstützte Distributionen: Ubuntu 18.04, sche Daten(de)komprimierung. haben die Entwickler den Support für CentOS/Oracle Linux 7.5, RHEL 7.5, Fedora SLES for SAP und Red Hat 7.5 eingear- 27 und 28, openSUSE Leap 15 und SLES Zwei weitere Programmelemente vervoll- beitet und die Möglichkeit für ein aktives 12SP2 for SAP. Die Unterstützung umfasst sämtliche von den Distributionen gebotenen ständigen das System: Einmal wäre dort Full-Backup über das CLI umgesetzt. Dateisysteme, mit Ausnahme von BTRFS, ZFS der Treiber "Veeam Agent for Linux und NSS. Driver", der veeamsnap, ein Linux Ker- Unkompliziert eingerichtet Technische Daten nelmodul, verantwortlich für die Durch- Das Testen der Software macht der Her- www.it-administrator.de/downloads/ führung eines Volume-Snapshots unter steller dem Interessenten glücklicherweise datenblaetter Linux, und zum anderen die SQLlite-Da- sehr einfach. Über die Webseite gibt es
www.it-administrator.de Dezember 2018 23 Tests Veeam für Linux
Standardeinstellung von Veeam würde ein Backupjob erst gar nicht gestartet, so- fern ein Pre-Freeze-Job nicht über das Rückmelden von "0" seinen ordnungsge- mäßen Durchlauf anzeigt. Bei Bedarf kann der Administrator aber auch dieses Verhalten anpassen, indem in der INI- Konfigurationsdatei ein auskommentier- ter Parameter auf "true" gesetzt wird.
Sichere Wiederherstellung Geht es nach dem Hersteller, ermöglicht der Veeam Agent for Linux eine schnelle Wiederherstellung der Linux-Instanzen und sorgt damit für eine höhere Verfüg- barkeit. Veeam Agent for Linux selbst bie- tet verschiedene Wiederherstellungsop- tionen. Für den Komplettausfall des Bild 2: Der Veeam Agent for Linux arbeitet besonders komfortabel ursprünglichen Systems ist das "Bare-Me- mit Veeam Backup and Replication zusammen. tal-Recovery" die wichtigste Funktion. Schon beim Herunterladen der Software tem. Als zweites Testobjekt kam eine phy- "Server"-Edition vorbehalten. Die "Free"- erinnerte diese daran, dass der Adminis- sische Ubuntu-18.04-Installation auf ei- Variante benötigt, um ein Veeam-Backup- trator das ISO-Image für das Recovery, nem Laptop zum Einsatz, konfiguriert als Repository als Zielspeicherort zu verwen- passend zur Distribution, herunterladen einfache Workstation. Als dritter Test- den, eine gültige Lizenz für "Veeam möge. Spätestens nach der ersten Einrich- kandidat fungierte eine weitere CentOS- Backup & Replication". Ansonsten ent- tung eines Backupjobs und dem zweiten 7.5-Instanz, betrieben als virtuelle Ma- spricht die kostenfreie Version der Work- Aufruf des Menüs folgte in unserer Test- schine in der Kamp-Cloud. station-Variante, jedoch ohne Anspruch stellung eine weitere Erinnerung. auf Support-Leistungen durch Veeam. Die Installation unterscheidet sich in Ab- Bei diesem zweiten Dialog kam es zu ei- hängigkeit zur Distribution recht deutlich. Nach der Eingabe konnten wir über das ner wichtigen Ergänzung – das Standard Unter CentOS, RHEL und SLES gibt es textbasierte Menü unsere Backupjobs pro- Recovery-Image könnte möglicherweise keine Notwendigkeit, die Abhängigkeit blemlos anlegen, bearbeiten, zeitlich steu- nicht alle erforderlichen Systemtreiber von lvm2 und dkms zu erfüllen, die alle ern oder auch wieder entfernen (Bild 1). enthalten, um das derzeit gesicherte Be- anderen Linux-Varianten benötigen. So- Insgesamt zeigt sich die Software auch an triebssystem garantiert wiederherstellen fern der zu installierende Computer über dieser Stelle recht einfach in der Bedie- zu können. Für diesen Fall bietet das Pro- keinen Internetzugang verfügt, findet der nung. Wer eine volle Automatisierung gramm eine Erweiterung des ISOs über aufmerksame Leser in der Dokumenta- gegenüber einer herkömmlichen Befehls- Kommandozeilenbefehle an. Folgerichtig tion einen entsprechenden Abschnitt zur zeilenschnittstelle bevorzugt, kann dies empfiehlt es sich für den Administrator, Einrichtung im "Offline Mode". auch weiterhin haben. Alle Befehle, von für jede gesicherte Maschinenserie ein der einfachen Backup-Erstellung über passendes Recovery-Image vorzuhalten. Nach der Installation starten der Admi- Änderungen im "Backup Repository" bis Das ist mit einigem organisatorischen nistrator oder der berechtigte Anwender zur Prüfung von Zielen, findet der inte- Aufwand verbunden, es sei denn, es wer- die lokale Veeam-Einrichtung über einen ressierte Leser in der Dokumentation. den nur sehr wenige oder sehr ähnliche Aufruf im Terminal. Ehe jedoch ein Si- Rechner gesichert. Im Test funktionierte cherungsauftrag angelegt werden kann, Äußerst praktisch ist die Möglichkeit zur die Bare-Metal-Wiederherstellung auch gilt es die Lizenzfrage zu klären. In der Benennung von Pre-Job und Post-Job ohne die Ergänzung der Treiber und der Variante "Workstation" können Benutzer Scripts, mit deren Hilfe der Administrator Vorgang erklärte sich von allein. eine Vielzahl der hier beschriebenen beliebige Vorbereitungen oder Nachar- Funktionen, auch die integrierte Snap - beiten steuern kann. In der Server-Edition Die zweite Wiederherstellungsmethode shot-Funktion mit Change-Block-Tra- geht die Anpassbarkeit noch einen Schritt bezieht sich auf ein Volume. Veeam ist in cking-Treiber (CBT) für eigene Backups weiter. Die so genannten Pre-Freeze- der Lage, ein vollständiges Volume einer oder auch die quellseitige Verschlüsse- /Post-Thaw-Snapshot-Skripte sorgen für Linux-Instanz aus dem Backup wieder in lung, nutzen. Lediglich die Unterstützung anwendungskonsistente Verarbeitung bei- den gewünschten Zustand zurückzuset- für mehrere Jobs und die Pre-Freeze/Post- spielsweise für transaktionskonsistente zen. Bei der Wiederherstellung auf Da- Thaw-Snapshot-Skripts sind der teureren Backups im Datenbankbereich. In der teiebene kann der Administrator einzelne
24 Dezember 2018 www.it-administrator.de Veeam für Linux Tests
Je nach Einstellung wird auf der Appli- ance ein FTP-Server aktiviert, um Dateien im größeren Umfang automatisch abzie- hen zu können. Ansonsten sieht der Ad- ministrator die Dateien und Verzeichnisse direkt in der Konsole von Veeam Backup & Replication und kann sie von hier aus an einer beliebigen Stelle im Dateisystem zurückholen. Wenn eine Verknüpfung mit Microsoft Azure besteht, gibt es die Möglichkeit, eine mit dem Veeam Agent for Linux gesicherte Maschine auch dort wiederherzustellen, sofern die Sicherung als "Gesamtmaschine" oder auf "Volume level" erzeugt wurde. Bild 3: Bei Bedarf erzeugt Veeam Backup & Replication automatisch eine sogenannte FLR-Appliance zur Datenwiederherstellung. Fazit Mit der Vorstellung des neuen Veeam Verzeichnisse oder Dateien aus der Si- haften Verbindung zum Backup-Server Agent for Linux schließt der Hersteller cherung zurückholen. Praktischerweise zu verwenden. Die "Managed by agent"- zunehmend die Lücken im Bereich der hängt die Software hierzu das Backup als Variante eignet sich folgerichtig für das physischen Maschinen und unterstreicht eigenen Mountpoint in das Dateisystem Gegenstück: den Linux-Rechner mit noch einmal seine Marktstärke. Veeam ein, ohne den aktuellen Stand des zu si- schlechter Anbindung an den Backupser- ist in der Lage, mit neuen Produkten und chernden Bereichs zu beeinflussen. Über ver und mit recht geringer Last. einem hohen Innovationsgrad neue Käu- die Bordmittel des Betriebssystems oder fergruppen anzusprechen. Der Firma ist einen zusätzlichen File-Explorer kann der Jobs unter "Backup and Replication” kann es gelungen, einen Software-Agent vor- IT-Profi selektiv die gewünschten Ele- der Administrator mit einem Mausklick zustellen, der im Einzelbetrieb wie auch mente zurückholen. auf mehrere Computer in einer Gruppe mit der großen Backup-Software einen anwenden. Eine weitere, nicht unwichtige nützlichen Dienst leistet. (of) Im Zusammenspiel mit Funktion ist die Wandlung von Volume- Veeam Backup & Replication Backups direkt in virtuelle Festplatten im So urteilt IT-Administrator Veeam kommt aus dem Backup- und Re- VMDK-, VHD- oder VHDX-Format. covery-Umfeld für virtuelle Umgebungen Über diesen Weg ist es für den IT-Profi Inbetriebnahme 6 und hat sich seit Jahren unter VMwares ein Leichtes, virtuelle Platten zu erzeugen vSphere und Microsoft Hyper-V einen und ohne weitere Zwischenschritte bei- Backup 7 Namen gemacht. Sofern der Benutzer be- spielsweise auf einer ESX-Installation in reits ein aktuelles Veeam Backup & Re- eine andere, bereits bestehende virtuelle Recovery 8 plication 9.5 Update 1 betreibt, eignet sich Maschine einzubinden. dieses optimal für das Zusammenspiel Zusammenspiel Suite 7 mit dem aktuellen Linux-Client (Bild 2). Eine Indizierung von Gastdateisystemen, Zwar kann der Administrator auch ohne Katalogsuche und Wiederherstellung mit Eignung Cloud-Einsatz 7 das große Backuppaket den Agent for Veeam Backup Enterprise Manager mit Die Details unserer Testmethodik finden Sie Linux verwenden, größeren Komfort mit schneller Suche und Recovery von Datei- unter www.it-administrator.de/testmethodik grafischer Jobüberwachung und -aus- en per Mausklick ist ebenfalls problemlos wertung gibt es jedoch mit der großen möglich. Wer sich schon mit Backup & Dieses Produkt eignet sich Backuplösung von Veeam. Replication und VMware beschäftigt hat, optimal für Unternehmen, die ihre physikali- kennt das Konzept der "FLR helper ap- schen Linux-Server oder -Workstations im Schon allein der Assistent für das Anlegen pliance" (Bild 3), die es insbesondere für Gesamtkontext von Veeam sichern möchten. von Jobs ist optisch und inhaltlich der Linux und Unix gibt. Zur Wiederherstel- Textvariante von der Konsole überlegen. lung verwendet die Software ein Minia- bedingt für Firmen, die bereits eine kom- Hier beginnt die Fragestellung zunächst turbetriebssystem, das unter ESX zum plett ausgebaute Backup- und Recovery- damit, in welchem Modus der Job zu er- Einsatz kommt. Der Administrator wählt Infrastruktur mit anderen Produkten aufge- zeugen ist. Zur Auswahl steht "Managed das Hostsystem, ordnet das virtuelle Netz- baut haben. by backup server", mit der Empfehlung, werk zu, vergibt bei Bedarf eine VLAN- nicht für Firmen, die keine Linux-Server im dies für Systeme im Dauerbetrieb, mit ID und kann DHCP oder eine feste IP- Einsatz haben. hoher Systemlast oder mit einer dauer- Adresse verwenden.
www.it-administrator.de Dezember 2018 25 Virtual Instruments Virtual Wisdom und Workload Wisdom
Röntgenblick – 123RF Jaturawutthichai Puwadol Quelle: von Jürgen Heyer
Zeigen sich in einer Virtualisierungsumgebung auf mehreren Systemen Performanceprobleme, gestaltet sich die Ursachenforschung oft als sehr schwierig. Vor allem, wenn als Fehlerquelle auch die darunter liegende Infra- struktur in Frage kommt, lässt sich diese häufig mit den üblichen Messmethoden nicht exakt orten. Bei der Prüfung der einzelnen Komponenten und Schichten scheint jede tadellos zu funktionieren, aber das Gesamtresultat entspricht nicht den Erwartungen. Genau hier überzeugt Virtual Instru- ments mit zwei gemeinsam agierenden Messwerkzeugen.
E s ist eher ungewöhnlich, dass wir Unverfälschte Messungen auf Patch Panel, um den FC-(Fibre Channel)- bei einem Test nicht nur ein Pro- Hardwareebene Verkehr mitzuschneiden. Es handelt sich dukt betrachten, sondern zwei. Doch bei- Die Virtual-Wisdom-Plattform besteht um einen passiven optischen Splitter, der de arbeiten so eng zusammen, dass sich aus mehreren Hardwarekomponenten, einen Teil des Lichts für die Aufzeichnung das gesamte Potential erst eröffnet, wenn die bei der Infrastrukturanalyse zusam- des Datenverkehrs auskoppelt, wobei es wir beide im Zusammenhang betrachten. menarbeiten, indem sie die notwendigen zwei Modelle mit 20 und 30 Prozent Aus- Das erste Produkt des Herstellers Virtual Daten sammeln, speichern und auswer- kopplung gibt. Dieser geringe Anteil stört Instruments heißt "Virtual Wisdom" und ten. Herzstück ist die Virtual-Wisdom- die Kommunikation nicht, verändert das ist ein Werkzeug für Infrastruktur-Per- Platform-Appliance. Dies kann für sehr Signal auch nicht und erzeugt keine La- formance-Management (IPM): Sein Ziel kleine Installationen eine VM sein, an- tenz. Da eine Verbindung immer aus zwei ist es, die Last in der Infrastruktur sowie sonsten ein Rechner im 19-Zoll-Format Lichtwellenleitern für den Datenverkehr das Lastverhalten zu analysieren und bei mit einer Höhe von zwei Höheneinheiten in beide Richtungen besteht, werden ent- Bedarf Lastprofile aufzuzeichnen. (HE), der die diversen Echtzeitdaten von sprechend zwei Splitter zwischengeschal- VMs, Servern sowie aus dem SAN- und tet, um das Signal in vollem Umfang mit- Diese Lastprofile wiederum lassen sich NAS-Netzwerk speichert und miteinan- schneiden zu können. FC-Kanäle mit bis in das zweite Produkt namens "Workload der korreliert. Auf der Front befinden sich zu 16 GBit Durchsatz lassen sich analy- Wisdom" importieren. Workload Wis- einige LEDs, die den Zustand der Hard- sieren. Es gibt verschiedene Ausführungen dom ist ein Lastgenerator, der entweder warekomponenten wie Netzteile, Lüfter und in ein TAP Patch Panel mit einer HE anhand manueller Vorgaben oder eben und Festplatten signalisiert. Auf der Rück- im 19-Zoll-Rack passen bis zu 48 Patch anhand eines importierten Lastprofils ei- seite sind unter anderem zwei Netzwerk- Links. Um die Gesamtanzahl der benö- ne definierte Last erzeugt, um beispiels- ports für das Management und den ei- tigten TAPs in einem vernünftigen Rah- weise vor Migrationen innerhalb des Un- gentlichen Datenverkehr angeordnet. men zu halten, empfiehlt sich eine Instal- ternehmens oder in eine Cloud Engpässe lation nahe der Speichersysteme, da es in der Infrastruktur aufzudecken oder bei Die Inbetriebnahme erfolgt über den Ma- hier in der Regel weit weniger Ports gibt Neuanschaffungen von Speichersystemen nagementport sowie ein direkt angeschlos- als auf der Serverseite. Die TAP Patch Pa- zu bewerten, ob sie ihrem gedachten Ein- senes Notebook. Für den Datenverkehr nels können dabei herkömmliche Patch satzzweck gewachsen sind. Virtual und reicht ein Port, da die Appliance nur mit Panels ersetzen. Workload Wisdom arbeiten also bei der diversen Probes kommuniziert, die die ei- Lastanalyse und deren Simulation für Un- gentliche Datenerfassung übernehmen. Um den so ausgeleiteten Datenverkehr tersuchungen sehr eng zusammen. Hier gibt es das TAP (Traffic Access Point) aufzuzeichnen, werden weiterhin Hard-
26 Dezember 2018 www.it-administrator.de Virtual Wisdom & Workload Wisdom Tests
ware-basierte SAN Performance Probes sen. Das Gerät im 19-Zoll-2-HE-Format innerhalb der genannten Hypervisoren. Ei- benötigt, die mit den Panels verbunden verarbeitet die Protokolle NFSv3, SMBv2 ne weitere Software-basierte Probe namens werden. Diese gibt es ebenfalls mit bis zu sowie SMBv3. Hier geht es darum, das "FC Network Switch ProbeSW" erfasst die 48 Ports als 19-Zoll-Geräte mit ein oder Verhalten des IP-Verkehrs zu analysieren Speicher- und Netzwerkinformationen, die zwei HE Bauhöhe. Sie zeichnen den Da- und mit Informationen von anderen über SMI-S und SNMP laufen, um auch tenverkehr nicht nur auf, sondern über- Probes zu korrelieren. diese Statistiken mit für die Korrelation zu nehmen auch einen Teil der Verarbeitung, nutzen. Gerade Fehlermeldungen erfolgen indem sie Metriken kalkulieren und die Indem Virtual Wisdom wie beschrieben häufig via SNMP. Unterstützt werden FC- Daten korrelieren. Ziel ist es, das Verhal- in der Lage ist, direkt auf der Hardware- Switches von Brocade und Cisco. Auch vor ten des Datenverkehrs mit Durchsatz und Ebene den Datenverkehr zu analysieren, Software-defined Storage (SDS) macht Vir- Latenzen genau zu erfassen, die eigentli- lässt sich ausschließen, dass eine dazwi- tual Wisdom nicht Halt, sondern hat Pro- chen Dateninhalte aber zu verwerfen. Die schenliegende Softwareschicht wie ein Be- beSDS entwickelt, um SDS und Hyper-Con- Kommunikation mit der Virtual-Wis- triebssystem oder ein Hypervisor etwas verged-Infrastructure-(HCI)-Lösungen zu dom-Appliance enthält damit nur noch verfälscht oder gar bei einem Problem die überwachen. Dies umfasst aktuell die Inte- Informationen zum Datenverkehr, nicht Ursache ist. Auch ist Virtual Wisdom so in gration von VMware vSAN sowie Dell mehr zu den Inhalten. der Lage, wirklich jedes einzelne Datenpa- EMC ScaleIO. ket mitzuschneiden und die Analyse ent- Analog zur Auswertung des FC-Verkehrs sprechend genau herunterzubrechen. Das Zur Integration des IP-Netzwerkverkehrs gibt es eine NAS Performance Probe, die ist ein Alleinstellungsmerkmal gegenüber gibt es eine ProbeNetflow mit Unterstüt- über 16 10-GBit-Ethernet-Links den IP- vielen anderen Messtools wie beispielsweise zung von NetFlow, jFlow, IPFIX sowie basierten Datenverkehr in Echtzeit mit- dem Performance Monitor von Windows, SFlow. Wer auf die Cisco-MDS-9700-Serie schneiden kann. Neben den 10-GBit- der immer einen Mittelwert über ein In- setzt, kann das mit diesem Switch verfüg- Ethernet-Anschlüssen können die Probes tervall bildet, so dass hier einzelne Spitzen bare SAN Telemetry Streaming verknüp- über die beschriebenen TAPs auch den durchaus verschwinden können. fen. Dieser SAN-Switch sammelt selbst IP-Verkehr in LWL-Verbindungen erfas- über einen integrierten ASIC die Teleme- Für eine ganzheitliche Sicht bis hin zur triedaten im SAN und kann sie über ein Virtual Instruments Virtual Applikation ist es allerdings erforderlich, Interface an Virtual Wisdom weitergeben. Wisdom und Virtual Workload nicht nur auf der Hardware-Ebene, son- Wer auf diese Technik setzt, kann im Ge- dern auch in den verschiedenen Software- genzug auf die oben erwähnten TAPs ver- Produkt schichten zu messen und zu analysieren. zichten oder deren Einsatz zumindest Kombinierte Soft- und Hardwarelösung für Hierzu gibt es weitere, nachfolgend be- reduzieren. Für das Monitoring von Spei- Infrastruktur-Performance-Monitoring und schriebene Software-basierte Probes. chersystemen von NetApp gibt es eine ei- -Analyse. Die Appliance dient der Lastsimulation im Speichernetzwerk gene Schnittstelle namens ProbeNTAP und In Softwareschichten messen der Vollständigkeit halber wollen wir ab- Hersteller Virtual Instruments Um auf Hypervisor-Ebene die Perfor- schließend noch die Integration von App- www.virtualinstruments.com mancedaten mitzuschneiden, gibt es die Dynamics sowie SSH/WMI erwähnen. Software-basierte ProbeVM-Familie für Preis Eine Ad-hoc-Unterstützung bei vSphere, PowerVM und Hyper-V. Die ver- Obwohl wir die einzelnen Probes hier nur Infrastrukturproblemen ist ab 22.000 Euro schiedenen Probes analysieren den Daten- kurz angesprochen haben, wird aus der erhältlich. Eine permanente Nutzung von verkehr und die Last (CPU, RAM und I/O) dennoch langen Beschreibung schnell er- Virtual Wisdom ist bei einer rein Software basierten Lösung ab 25.000 Euro möglich, lizensiert wird nach der Anzahl der aktiven FC/NAS-Ports und der Anzahl der physischen Server. Systemvoraussetzungen Durch den Appliance-Annsatz lassen sich keine genauen Systemvoraussetzungen angeben. Sinnvoll ist ein Einsatz in erster Linie in komplexen Infrastrukturen, in denen große Speichersysteme mit Fibre-Channel- oder iSCSI-Anbindung oder neue Hyper- Converged-Lösungen zum Einsatz kommen. Technische Daten www.it-administrator.de/downloads/ Bild 1: Die einzelnen Fenster des Dashboards geben die Antwort datenblaetter auf unterschiedliche Fragen zur Infrastruktur.
www.it-administrator.de Dezember 2018 27 Tests Virtual Wisdom & Workload Wisdom
sichtlich, wie umfassend die Integrations- möglichkeiten von Virtual Wisdom sind, um an möglichst vielen Punkten messen und die Resultate korrelieren zu können. Das Produkt ist wie eine Krake, die sich über die gesamte Infrastruktur spannt. Dabei muss der IT-Verantwortliche jedoch beachten, dass dies in einem größeren Netzwerk einen nicht unerheblichen zu- sätzlichen Verschaltungsaufwand nach sich zieht. Ein großer Vorteil der zahlreichen unterschiedlichen Probes und Messmög- lichkeiten ist, dass Speicher- und Netzwerk- administratoren das Tool gleichermaßen Bild 2: Die Topologie-Ansicht zeigt die Zusammenhänge und die Kommunikation der Infrastruktur- nutzen und übergreifende Zusammenhän- komponenten auf. Objekte mit offenen Alarmen sind gelb markiert. ge besser erkennen können. Das allseits be- kannte Fingerpointing auf die andere Frak- namens "Set Report Time" für alle Grafiken Damit Virtual Wisdom die Zusammen- tion lässt sich so vermeiden. zu übernehmen, sodass sämtliche Ansich- hänge überhaupt erkennen kann, muss ten zusammenpassen. es eine Inventarisierung durchführen Aufgrund der Komplexität des Produkts und die Topologie kennen. Beim Inven- werden sich einige Leser sicher fragen, Weiterhin kann der Administrator unter tar unterscheidet das Tool zwischen Ap- wie wir für diesen Test vorgegangen sind. anderem Vorgaben zur SLA-Einhaltung plikationen, Datenverkehr (Konversa- Nachdem in den Vorgesprächen schnell machen, indem er hier beispielsweise eine tionen getrennt nach Fibre Channel, klar geworden ist, dass ein eigener Test- maximale zulässige Latenz gegebenenfalls NFS, SMB und Netzwerk), Compute- aufbau in unserem Labor wenig Sinn er- in Verbindung mit einem prozentualen Komponenten (Hosts mit HBAs, ESX- gibt, weil die entsprechende Infrastruktur Anteil (zum Beispiel "99,9 Prozent der Cluster, -Datastores, -Hosts und -VMs, zum Vermessen gar nicht vorhanden war, Leseoperationen müssen in weniger als Hyper-V, Power-VM-Hosts, -VIOS-Par- wählten wir dieses Mal einen anderen 100 Millisekunden erledigt sein") vorgibt titionen und anderen Partitionen, virtu- Weg. Wir bekamen vom Hersteller einen und Virtual Wisdom nun kontrolliert, ob ellen Ethernet-Ports sowie IP-Adressen), Zugang auf eine Demoumgebung sowohl diese SLA eingehalten wird oder nicht. Netzwerkkomponenten sowie Speicher- von Virtual als auch Workload Wisdom systemen, getrennt nach SAN, NAS und und konnten uns dort teils unter Anlei- Die gesammelte Darstellung erfolgt in SDS. Über eine leistungsfähige Drill- tung, teils selbständig bewegen, mit den der GUI auf der Dashboard-Seite, die aus down-Funktion kann der Administrator grafischen Oberflächen arbeiten und ein- einer Vielzahl an kleinen, bunten Fens- jeden Eintrag anklicken und dann wei- zelne Aufgaben starten. Mit den Hard- tern (Widgets) besteht. Es sind hierbei tere Details einsehen. warekomponenten kamen wir verständ- so viele Fenster, dass sie sich auf einem licherweise nicht in Berührung. Bildschirm gar nicht gleichzeitig darstel- Fehlersuche als Dienstleistung len lassen, sondern der Betrachter mehr- Auswertungen bis fach nach unten scrollen muss. Gut ge- Neben dem ständigen Einsatz der Tools in ei- ins letzte Detail fallen hat uns, dass die Überschrift jedes nem Unternehmen bietet Virtual Instruments Die Bedienung von Virtual Wisdom erfolgt Widgets als Frage aufgebaut ist und die auch ein Notfallprogramm als Dienstleistung an. Hat ein Unternehmen in der Infrastruktur über eine umfangreiche und trotzdem er- Darstellung im Widget genau die Frage ein Problem, das sich mit herkömmlichen freulich übersichtlich strukturierte Web- beantwortet. Das Durchlesen der Fragen Mitteln nicht finden und beseitigen lässt, GUI. Diese ist funktional in sieben Rubri- zeigt eindrucksvoll den breiten Analy- kann es sich um Unterstützung hierhin wen- ken (Dashboard, Topologie, Inventur, seumfang: Wann wurde meine SLA den. Im Rahmen eines "SOS Emergency Ser- Alarme, Berichte, Analyse und Einstellun- verletzt? Welche Compute- und Speicher- vice" rücken dann die Fachspezialisten von gen) unterteilt. Die Software arbeitet in- komponenten waren von einer SLA-Ver- Virtual Instruments mit den beschriebenen tensiv mit der Korrelation, indem sie die letzung betroffen? Haben alle meine Werkzeugen an, klinken sich in die Infra- verschiedenen Kurven von Speichersyste- Hosts vergleichbare Antwortzeiten? Wie struktur ein und führen eine Analyse durch. men, Netzwerk- und SAN-Komponenten war die Antwortzeit heute im Vergleich Der Vorteil ist, dass in diesem Falle nicht nur sowie Applikationen übereinanderlegt, um zu gestern? Hat sich meine Last gegen- die Werkzeuge zur Verfügung stehen, son- so Anomalien festzustellen. Um ein be- über gestern geändert? Diese Fragen und dern auch die Fachleute zur Einrichtung und stimmtes Ereignis genauer zu analysieren, viele mehr beantwortet das Tool, so dass Auswertung. Dass dies auch der Beginn einer Zusammenarbeit und der Einstieg in die per- ist es sehr einfach möglich, ein entspre- der Administrator ein Ereignis oder ei- manente Nutzung der Appliances sein kann, chend geeignetes Zeitfenster auszuwählen nen Zeitraum sehr einfach unter ver- versteht sich von selbst. und dann in der GUI mit einer Anweisung schiedenen Aspekten betrachten kann.
28 Dezember 2018 www.it-administrator.de Virtual Wisdom & Workload Wisdom Tests
Um die Zusammenhänge leichter zu er- verse Anbindungen (E-Mail, SNMP, Sys- untersucht werden soll. Über den Punkt kennen, stellt Virtual Wisdom die Topo- log) konfigurieren und die Benutzerrech- "Preconditioning" lassen sich vor dem ei- logie mit den Hosts, Speichersystemen, te verwalten. gentlichen Lasttest vorbereitende Läufe Switches und Verbindungen dar, wobei starten, um beispielsweise zu verhindern, sich die Sichten entsprechend herunter- Wie eingangs beschrieben ist die GUI dass ein zu vermessendes Speichersystem brechen lassen, beispielsweise auf Cluster- sehr mächtig, hat bei uns aber trotzdem am Anfang nur deswegen sehr gute Werte ebene. Über entsprechende Farben ist hier einen guten Eindruck durch eine intuitive, liefert, weil es leer ist. Der Post-Test gut erkennbar, welche Komponenten feh- einfache Bedienbarkeit hinterlassen. Beim "Cleanup" wiederum dient zum Aufräu- lerfrei arbeiten und wo es Alarme gibt. Um Betrachten der diversen Funktionen fällt men, um beispielsweise die Daten auf den Probleme zu erkennen, sind in Virtual auf, dass der Fokus sehr darauf liegt, Ano- genutzten LUNs wieder zu löschen. Wisdom Regeln hinterlegt, bei deren Ver- malien und abnormale Trends durch das letzung ein Alarm ausgelöst und ein Case Finden von Unterschieden über die Zeit Der zweite Rahmen beschäftigt sich mit eröffnet wird. Gut gefallen hat uns, dass hinweg zu ermitteln. Dies gelingt da- dem Import von vorbereiteten Lastpro- hier eine vom Hersteller gepflegte Know- durch, indem das Tool möglichst viele filen, die aus Virtual Wisdom stammen ledgebase verknüpft ist, die umfassend das Daten sammelt und auswertet. können. Bereits importierte Profile sind potentielle Problem beschreibt, sodass der hier auch einseh- und editierbar. So waren Administrator besser versteht, warum hier Lasten individuell und wir in der Lage, von einem Profil eine Ko- alarmiert wurde und daraus lernen kann. zielgerichtet erzeugen pie anzulegen und diese an vielen Stellen Durch eine mögliche Verknüpfung mit Workload Wisdom ist, wie schon er- zu modifizieren, etwa hinsichtlich Dedup dem Ticketsystem ServiceNow können of- wähnt, eine Appliance zur Erzeugung von Ratio, Compression Ratio, Vorgabe der fene Cases einfach dorthin übergeben und individuellen Lastszenarien. Die Lasttests Schreib- und Leseregion auf der LUN, darin bearbeitet beziehungsweise gelöst können durch Angabe diverser Parameter MPIO-Verhalten, Anzahl der Worker, die werden. Die Art der Ansichten in der Be- synthetisch definiert werden oder aus ei- einen I/O erzeugen, Testdauer und einiges richte-Rubrik entspricht der im Dash- ner Aufzeichnung stammen, die von Vir- mehr. Auch war es möglich, im Rahmen board, ist aber in den einzelnen Fenstern tual Wisdom stammt. Denkbar ist ebenso eines Rampup und Rampdown die An- editierbar. Hier lassen sich auch neue Aus- eine Kombination, indem ein aufgezeich- zahl der Worker für den I/O ansteigen wertungen definieren. netes Profil importiert und dann vor dem und abklingen zu lassen, statt schlagartig Lasttest verändert wird. zu beginnen und zu stoppen. Ein großer Eine wichtige Rolle zur vorausschauenden Vorteil von Workload Wisdom ist, dass Suche nach potenziellen Problemen spielt Die Browser-basierte Oberfläche von sich die einzelnen Tests individuell kon- die Analyse-Rubrik. Hinter den aufgelis- Workload Wisdom ist vergleichsweise figurieren und dann reproduzierbar aus- teten Fenstern verbergen sich Skripte, die einfach gehalten. Das Hauptmenü sym- führen lassen. So ist es beispielsweise gut detaillierten Auswertungen dienen. Die bolisiert über vier nebeneinanderliegen- möglich, bei der Beschaffung eines neuen Analysen sind inhaltlich gruppiert und be- den Rahmen mit entsprechenden Links Speichersystems mehrere Modelle objek- ginnen mit einem Troubleshooting, um den grundsätzlichen Ablauf bei der Last- tiv zu vergleichen. beispielsweise mögliche Ereignisse zu er- testerstellung und -ausführung. Der linke mitteln, die eine Aufmerksamkeit erfor- Rahmen "Setup" dient dazu, den Lastge- Neben einfachen Lasttests beherrscht dern. Unter dem Punkt "Kapazitätsma- nerator auszuwählen, der genutzt werden Workload Wisdom auch Iterationen, um nagement" sind Skripte hinterlegt, um bei- soll, sowie die iSCSI- oder FC-Datenstre- beispielsweise in einem Testszenario die spielsweise ein Ungleichgewicht bei der cke und die Test-LUN vorzugeben, die Last in mehreren Durchläufen stufenweise Pfadauslastung in Verbindung mit Multi- pathing zu finden, eine ungleiche Spei- cherportauslastung an einem Host zu kor- rigieren oder VMs für eine gleichmäßige Auslastung in einem Cluster zwischen den Hosts zu verschieben.
Hier ist auch die Exportmöglichkeit zu finden, um Daten an das nachfolgend be- schriebene Workload Wisdom zu über- geben. Zuletzt ist Virtual Wisdom in der Lage, saisonale Trends zu ermitteln, um Engpässe aufzudecken, die nur zu be- stimmten Zeiten auftreten. In der Rubrik "Einstellungen" lassen sich die Appliance Bild 3: Integrierte Skripte unterstützen den Administrator bei der gezielten Analyse zur Erkennung und konfigurieren, die Probes integrieren, di- Vermeidung von potentiellen Problemen.
www.it-administrator.de Dezember 2018 29 Tests Virtual Wisdom & Workload Wisdom
tur absolut Hardware-nah bis auf das Paket hinunter analysieren lässt, sodass nicht die Gefahr besteht, durch die sonst übliche Mittelwertbildung über das Abfrageinter- vall kurze Spitzen zu übersehen, die wo- möglich Auslöser eines gesuchten Pro- blems sind. Die Fähigkeit, auf mehreren Ebenen gleichzeitig zu messen und die Re- sultate zu korrelieren, erleichtert die Feh- lersuche in komplexen Umgebungen, wo sich sonst die einzelnen Schichten nicht so leicht trennen lassen. Insofern hat uns Virtual Wisdom tief beeindruckt. Bild 4: Zum besseren Verständnis bei Fehlermeldungen und Alarmen besitzt Virtual Wisdom eine Knowledgebase, aus der der Administrator den Hintergrund für das Problem entnehmen kann. Workload Wisdom wiederum hat uns sehr gut gefallen, weil es in der Lage ist, nicht zu erhöhen, um so zu sehen, wann das aufgezeichnetes Lastprofil einer bestimm- nur wie sonst üblich mit synthetischen Testobjekt an seine Grenzen kommt oder ten Applikation, das bei einer anderen Lasten zu messen, sondern weil es auch wie die Latenzen ansteigen. Zuletzt kann Kundenanforderung als Referenz genutzt aufgezeichnete reale Lasten aus Virtual der Administrator "Workload Suites" de- werden kann. Wisdom übernehmen und als Lastprofil finieren, also eine ganze Reihe an diversen verwenden kann. Damit ist es vergleichs- Tests vorgeben, die nacheinander laufen, Wer selbst Virtual Wisdom einsetzt, kann weise einfach möglich, reale Lastsituatio- um beispielsweise ein Speichersystem unter auch im eigenen Netz ein Lastprofil auf- nen zu erzeugen, wenn es darum geht, die verschiedensten Aspekten zu testen. Diese zeichnen und an die Speichersystemher- Grenzen einer bestehenden Infrastruktur Funktionen sind im dritten Rahmen der steller weitergeben, um zu schauen, wie auszuloten oder ein neues Speichersystem Workload-Wisdom-Startseite zu finden. die unterschiedlichen Systeme reagieren. zu beschaffen. (jp) Ein großer Vorteil ist, dass diese aufge- Der vierte Rahmen beschäftigt sich mit zeichneten Lastprofile zwar die genauen So urteilt IT-Administrator der Auswertung der Testergebnisse. In Metriken enthalten, aber keine Daten, so- mehreren Tabellen und Grafiken konnten dass eine Weitergabe unkritisch ist. Probe-Umfang 9 wir unter anderem die IOPS, den Durch- satz, die Latenz und eventuelle Fehler er- Für unseren Test haben wir uns die Ar- Bedienung 8 kennen: Direkt aus einem Testergebnis he- beitsweise von Workload Wisdom zusam- Auswertungsgenauigkeit 10 raus lässt sich ein neuer Test definieren, men mit dem Hersteller angesehen und indem wir eine Kopie des Tests erzeugten, anschließend selbst einige Lastprofile er- Lasterzeugung 9 deren Parameter wir dann ändern konn- stellt. Schnell zeigte sich, dass auch hier die ten. Sowohl Ergebnisse als auch die Kon- Bedienung erfreulich übersichtlich ist. Die Supportmodell 9 figuration eines Tests lassen sich exportie- Herausforderung besteht letztendlich darin, ren und die Grafiken als CSV abspeichern. die vielen Schalter und Parameter so zu Die Details unserer Testmethodik finden Sie setzen, dass tatsächlich ein realistisches unter www.it-administrator.de/testmethodik Vielseitige Lastprofile Lastprofil für eine bestimmte Anforderung Dieses Produkt eignet sich Laut Virtual Instruments nutzen alle re- entsteht. Es ist damit eine Sache der Erfah- nommierten Hersteller von Speichersys- rung, das Produkt richtig einzusetzen. optimal für große Umgebungen mit einer temen Workload Wisdom, um ihre Sys- komplexen Netzwerk- und FC-Infrastruktur teme selbst gegen die unterschiedlichen Fazit mit zentralen Speichersystemen oder dem Kundenanforderungen zu testen. Wenn Ursprünglich wollten wir in diesem Test Einsatz von Hyper-Converged-Lösungen. also Kunden in Pflichtenheften gewisse nur Workload Wisdom vorstellen, haben bedingt in überschaubaren Umgebungen Vorgaben machen, wie einen bestimmten aber bei der Beschäftigung mit dem Port- mit einer einfachen SAN-Speicher-Infrastruk- Durchsatz in IOPS bei einer maximalen folio des Herstellers gesehen, dass erst die tur, in einzelnen Fällen könnte das Produkt Latenz, zugleich das Schreib-/Lesever- kombinierte Betrachtung von Virtual- im Rahmen eines Notfalleinsatzes sporadisch hältnis und Blockgrößen kennen und viel- und Workload-System die Mächtigkeit zum Einsatz kommen. leicht noch Aussagen zur Komprimier- dieser beiden Tools aufzeigt. nicht in einfachen Umgebungen ohne SAN- barkeit der Daten machen können, lässt Speicher-Infrastruktur und ohne SDS-Nut- sich daraus ein Lastprofil erstellen, um Virtual Wisdom hat uns vor allem hin- zung, wo in erster Linie die Server nur auf die das Speichersystem dagegen zu testen. sichtlich der Möglichkeit überzeugt, dass lokalen Datenspeicher zugreifen. Eventuell gibt es auch ein an anderer Stelle sich die Kommunikation in der Infrastruk-
30 Dezember 2018 www.it-administrator.de Quelle: Tatiana Shepeleva – 123RF Shepeleva Tatiana Quelle:
Nakivo Backup & Replication 8.0 Angriff der Klonkrieger von Jürgen Heyer
Nicht nur bei der Produktbezeichnung erinnert der hierzulande eher unbekannte Hersteller Nakivo an den überall präsenten Mitbewerber Veeam. Auch funktional finden sich sofort einige Parallelen wie die Unterstützung von VMware und Hyper-V, die agentenlose Arbeitsweise und das Instant Recovery für eine schnelle Wiederherstellung. Wir wollten genauer wissen, was diese Backupsoftware, die auf dem US-Markt schon einige Jahre präsent ist, leistet.
N akivo wurde im Jahre 2012 ge- Enterprise (ohne Essentials) besitzen kei- Nakivo eine virtuelle Appliance für VM- gründet, existiert also bereits über ne Lizenzbeschränkung. Die Pro-Lizen- ware zum Download basierend auf Ubun- sechs Jahre. Laut Nakivo gibt es über 3000 zen sind nicht mehrmandantenfähig, die tu 16.04, was mit Abstand die schnellste Wiederverkäufer in 137 Ländern. Backup Enterprise-Versionen dagegen schon. Variante zur Inbetriebnahme ist. Da sich & Replication (B&R) ist die einzige Soft- Maßgeblich für die Lizenzierung ist die B&R direkt auf NAS-Systemen einiger be- ware von Nakivo und damit das zentrale Anzahl der physischen CPUs in den Vir- kannter Hersteller einrichten lässt, gibt es Produkt. Der Fokus liegt auf der Siche- tualisierungshosts. Für den Einsatz in auch hierzu passende Installer und zuletzt rung und Replizierung von virtuellen Ma- AWS EC2 gibt es nur eine Pro-Version, ein Image für den Einsatz unter Amazon schinen unter VMware, Hyper-V und in deren Lizenzierung sich nach der Anzahl AWS EC2. Sehr gut gefallen hat uns neben AWS-EC2-Umgebungen. der zu sichernden Instanzen richtet. der breiten Plattformunterstützung die Do- kumentation, die die Einrichtung auf jeder Nakivo bietet B&R für VMware und Hy- Eigene Installation der unterstützten Umgebungen und Geräte per-V in fünf Versionen mit verschiede- oder Appliance-Nutzung mit diversen Screenshots geradezu mus- nen Leistungsumfängen an. Die Basic- Je nach Einsatzzweck und Vorliebe des Ad- tergültig Schritt für Schritt beschreibt. Version ist dabei auf vier Lizenzen pro ministrators gibt es Nakivo B&R in ver- Unternehmen beschränkt und funktional schiedenen Varianten zur Installation. Eine Für unseren Test bedienten wir uns der sehr eingeschränkt. Die Versionen Pro ist ein Installer für Windows und Linux, vorbereiteten Appliance. Zu beachten ist, Essentials und Enterprise Essentials er- die unterstützten Versionen sind im Detail dass der Hersteller hier bereits ein inte- lauben zwei bis sechs Lizenzen pro Or- im Produktkasten unter "Systemvoraus- griertes Repository vorgesehen hat, sodass ganisation, die beiden Versionen Pro und setzungen" zu finden. Weiterhin offeriert die Appliance bei der Einrichtung und
www.it-administrator.de Dezember 2018 31 Tests Nakivo Backup & Replication 8.0
der Einstellung "Thick Provisioning" rund Beim ersten Start holt sich die Appliance Netzwerk-Mappings und Routen erfassen. 550 GByte belegt. Platz sparen lässt sich per DHCP eine IP-Adresse, die auf der durch die Einstellung "Thin Provisioning", Konsole angezeigt wird. Hier kann der Der nächste Punkt betrifft die sogenannte wobei dann nur so viel Platz beansprucht Administrator bei Bedarf umstellen und Transporter-Einrichtung, wobei es sich wird, wie die Backups tatsächlich benö- eine feste IP-Adresse vergeben sowie den hier letztendlich um den Dienst handelt, tigen. Das vorbereitete Repository ist Hostnamen ändern. Weiterhin lassen sich der die eigentliche Arbeit bei der Siche- nicht durch das Erweitern der vorhande- an dieser Stelle die Sicherheitseinstellun- rung, Replizierung und Wiederherstel- nen Disk vergrößerbar, sondern indem gen (SSH-Aktivierung, Root-Passwort) lung übernimmt. In jeder Installation ist weitere Disks ergänzt werden. Bei Bedarf anpassen, die Zeitzone vorgeben sowie ein sogenannter "Onboard Transporter" lässt sich das in die Appliance integrierte die Nakivo-Dienste stoppen und starten. enthalten, in großen Umgebungen oder Repository auch entfernen und komplett Auch ein eventuelles Software-Update er- bei einer Verteilung über mehrere Berei- auf ein anderes System verlagern. folgt über die Konsole. che sind weitere einzurichten, um die Ar- beit zwischen diesen aufzuteilen. Nakivo Backup & Replication 8.0 Anschließend kann sich der Nutzer über die ausschließlich in Englisch verfügbare Benutzeroberfläche Produkt Web-GUI an der Appliance anmelden. mit Luft nach oben Programm zur Datensicherung und Replizie- Dabei muss er den Hinweis zum Port auf Hinsichtlich des Aufbaus und der Optik rung virtueller Maschinen unter VMware, der Konsole beachten, denn die GUI ist der Web-GUI waren wir etwas enttäuscht Hyper-V und AWS EC2. über den Port 4443 erreichbar. Bei der ers- und hätten von einem Produkt, das sechs Hersteller ten Anmeldung muss der Administrator Jahre Entwicklung hinter sich hat, mehr Nakivo einen Benutzeraccount anlegen. Dann erwartet. Hier sehen wir noch einiges an www.nakivo.com startet ein Assistent, der die Anmeldein- Optimierungspotenzial. So besitzt der Be- Preis formationen zu den zu sichernden Vir- reich zur Bedienung eine feste Breite und Die Lizenzierung erfolgt auf Basis der Anzahl tualisierungsplattformen abfragt. Hier nutzt das übliche Bildschirmformat nicht der Host-CPUs. Die Basic-Version kostet 84 kann der Administrator auch weitere Cre- aus. Auch haben die Fenster in der Job- Euro, Pro Essentials 169 Euro, Enterprise Es- dentials sowie für den EC2-Zugriff private ansicht zur Auflistung der zu sichernden sentials 249 Euro und Pro 329 Euro, jeweils Schlüssel hinterlegen, um sich bei den zu VMs, der Geschwindigkeit, der übertra- inklusive einem Jahr Support. Für AWS EC2 sichernden VMs und Instanzen für eine genen Datenmenge sowie der Ereignisse kosten zehn Instanzen 49 Euro monatlich mit Staffelung für größere Mengen. applikationskonsistente Sicherung anmel- eine feste Größe und sind für unser Ge- den zu können. Für den Betrieb in kom- fühl viel zu klein geraten. Gerade die Er- Systemvoraussetzungen plexen Netzwerkumgebungen lassen sich eignisübersicht wird dadurch sehr un- Installationsziele VM oder Hardware: - Windows 7/8/10 (X64 Professional), Server 2008 R2, 2012 (R2), 2016 - Ubuntu Server ab Version 12.04 (x64), SLES ab Version 11 SP3 (64-bit), RHEL ab Version 6.3 (64-bit) Das Sichern von NAS-Systemen von Synology, QNAP, ASUSTOR, Netgear und Western Digi- tal ist möglich. Unterstützte Modelle siehe Hersteller-Webseite. VM oder Hardware für Director und Onboard Transporter: - 64-Bit-CPU, zwei Cores - 4 GByte RAM plus 250 MByte pro gleich- zeitigem Job - 1 GByte Plattenkapazität (ohne Repository als Sicherungsziel) Unterstützte Hypervisoren und Plattformen: - VMware vSphere v4.1 bis v6.7 - Microsoft Hyper-V 2016, 2012(R2), 2012 - AWS EC2 Technische Daten www.it-administrator.de/downloads/ Bild 1: Die einzelnen Fenster in der GUI sind eher klein geraten und haben eine fixe Größe, datenblaetter sodass die verfügbare Fläche nicht optimal ausgenutzt wird.
32 Dezember 2018 www.it-administrator.de Nakivo Backup & Replication 8.0 Tests
übersichtlich und der Administrator muss viel scrollen, wenn er deren Inhalt durch- forstet. Indem er in den Übersichten zur Geschwindigkeit oder zur übertragenen Datenmenge auf einen der Balken klickt, öffnet sich zumindest ein Popup-Fenster mit einer genaueren Verlaufsanzeige. Son- derlich intuitiv empfanden wir die Bedie- nung insgesamt aber nicht.
Die Statistiken zu den letzten ausgeführ- ten Jobs sind sehr rudimentär mit Start- zeit, Ende, Status und Inhalt sowie der Bild 2: Beim Anlegen eines Sicherungsjobs lassen sich neben einzelnen VMs auch Hosts oder Cluster Anzahl der gesicherten VMs. Dabei lässt auswählen, was die dynamische Aufnahme neu erstellter VMs ermöglicht. sich nicht nachvollziehen, welche VMs gesichert wurden. Als Ausweg gibt es al- mit Tages-, Wochen-, Monats- und Jahres- nicht immer inkrementell, sondern in de- lerdings die Möglichkeit, einen Report sicherungen. Über eine Kalenderansicht finierbaren Abständen auch voll, und erzeugen zu lassen, der dann detaillierte kann der Administrator recht einfach kon- führt selbst keine Deduplizierung durch. Informationen liefert. trollieren, wann welcher Job läuft. In Ver- Dieser Modus ist dann sinnvoll, wenn bindung mit der Zeitplanung und dem mehr Zuverlässigkeit gefordert ist oder Recht ordentlich sind die Optionen beim nächsten Punkt "Retension" lässt sich genau als Zielspeicher Deduplizierungs-Appli- Anlegen von Jobs über eine Schaltfläche festlegen, wie viele Tages-, Wochen-, Mo- ances zum Einsatz kommen. "Create" in der Kopfzeile, wobei B&R zwi- nats- und Jahressicherungen aufgehoben schen Backup, Replication, Backup Copy, werden. Vom Funktionsumfang her zeigt Um die möglichen Optionen sehen zu Site Recovery Orchestration, Report und sich B&R recht ordentlich, sodass sich die können, legten wir ein entsprechendes Group (zum Gruppieren von Jobs) unter- diversen Aufträge erfreulich individuell Repository zusätzlich an und konnten scheidet. Zuerst legten wir einen normalen definieren lassen. dann Einstellungen für eine Vollsicherung Backupjob an. Zur Auswahl der zu si- vornehmen. Die Abstände dafür können chernden Maschinen gibt es unterschied- Repository bestimmt unterschiedlich viele Wochen sein, aber liche Ansichten, wobei sich mehrere VMs Sicherungsverfahren auch eine vorgegebene Anzahl an Siche- in einem Auftrag zusammenfassen lassen. Bei der Konfiguration des ersten Siche- rungen oder Tagen. Außerdem beherrscht Statt einzelner VMs kann der Adminis- rungsjobs in der Appliance fiel uns auf, dass B&R das Verfahren "Active Full", wo zum trator einen oder mehrere Hosts oder gar wir zwar festlegen konnten, wie viele Wie- Zeitpunkt der Sicherung tatsächlich in einen Cluster auswählen, was den Vorteil derherstellungspunkte insgesamt, pro Tag, Abständen eine Vollsicherung durchge- hat, dass VMs, die darin angelegt oder Woche, Monat und Jahr gehalten werden führt wird. Weniger beansprucht wird der entfernt werden, dynamisch ergänzt sowie sollen, wir konnten aber nicht zwischen Produktionsspeicher beim Verfahren herausgenommen werden. So spart sich inkrementellen und Vollsicherungen wäh- "Synthetic Full", bei dem Nakivo aus den der Administrator beispielsweise die Ar- len. Hintergrund dafür ist, dass das Siche- inkrementellen Sicherungen in Abständen beit, beim Erstellen neuer VMs diese in rungsverfahren fest mit dem Repository eine Vollsicherung erzeugt. Im Vergleich einen Sicherungsjob aufnehmen zu müs- verknüpft ist und der Administrator dies zu Veeam eröffnen sich hier zwar einige sen. Beim Sicherungsziel kann er bei Be- beim Anlegen auswählen muss. Nachdem Möglichkeiten weniger, sie sollten aber darf für jede VM ein anderes Repository bei der Appliance-Einrichtung das Repo- für die meisten Anforderungen genügen. angeben und auch einzelne Laufwerke ei- sitory automatisch mit angelegt wird, ka- ner VM aus der Sicherung herausnehmen. men wir nicht zu dieser Auswahloption. Wichtiger als möglichst viele Sicherungs- verfahren sind einige andere Funktionen, Bei der Zeitplanung für einen Job stehen Abgesehen davon stehen zwei Modi zur die Nakivo erfreulicherweise beherrscht. die Optionen "täglich/wöchentlich", "mo- Verfügung: "Forever incremental" und So nutzt B&R beim VMware-Backup das natlich/jährlich", "periodisch" und "nach "Incremental with full backups". Im ersten Change Block Tracking (CBT), um die einem anderen Job" zur Verfügung. Ent- Fall erstellt B&R nach der initialen Voll- geänderten Blöcke schnell zu finden. Für sprechend der gewählten Option variieren sicherung immer inkrementelle Siche- einen Transport über langsame WAN- die weiteren Angaben, um einzelne Tage rungen und nutzt hierbei die integrierte Strecken steht eine Netzwerkbeschleuni- auszuwählen oder einen Wochen- oder Deduplizierung. Dieses Verfahren wird gung zur Verfügung, indem die Daten Monatsbezug wie "jeden letzten Freitag im bei der Datenablage auf DAS (Direct At- vorher komprimiert werden. Weiterhin Monat" zu definieren. Auch ist es möglich, tached Storage) sowie auf NAS-Systemen kann B&R die Exchange- und SQL-Ser- zu einem Job mehrere zeitliche Abläufe an- empfohlen, da es die platzsparendere Va- ver-Logs nach einer erfolgreichen Siche- zulegen, beispielsweise für ein GFS-Backup riante ist. Im zweiten Fall sichert B&R rung kürzen und der Administrator kann
www.it-administrator.de Dezember 2018 33 Tests Nakivo Backup & Replication 8.0
zusätzliche Pre- und Post-Job-Skripte er- Die Wiederherstellung einzelner Dateien Bei VMware geschieht dies durch Ansto- stellen und integrieren. Darüber hinaus und Objekte beschreibt die Dokumenta- ßen einer Migration mittels Storage vMo- lässt sich die Bandbreite drosseln, um bei tion sehr detailliert. B&R stellt dazu den tion und gleichzeitiger Umwandlung der einer langsamen Verbindung den übrigen Inhalt der Sicherung wie in einem angelegten RDM-Platten in VMDKs. Die- Verkehr nicht zu stark zu behindern. B&R Browser dar, sodass der Administrator se Migration dauert etwas, kann aber bei unterstützt auch applikationskonsistente die benötigten Dateien oder Objekte aus- laufender VM erfolgen, sodass keine Sicherungen durch kurzzeitiges Stilllegen wählen kann. Je nach Typ erfolgt die Wie- Downtime erforderlich ist. Bei Hyper-V (Quiescing) der VM. derherstellung auf unterschiedliche Weise, ist über den Hyper-V Manager in der VM wobei der Administrator teils sogar wäh- eine zusätzliche virtuelle Festplatte anzu- Wiederherstellung komplett len kann. So ist bei SQL-Objekten ein legen und anschließend der Inhalt dorthin oder pro Datei Restore in die originale Datenbank oder zu kopieren. Alternativ lässt sich auch Bei der Datenwiederherstellung kann in eine andere möglich. Bei Exchange- hier eine solche VM durch Verschieben B&R je nach Bedarf komplette VMs, ein- und AD-Objekten sowie Dateien wird ein auf einen anderen Host dauerhaft wie- zelne Dateien sowie einzelne Objekte von Verschicken per E-Mail oder ein Down - derherstellen. Exchange, Active Directory und SQL-Ser- load als ZIP-Datei unterstützt. Der Ad- ver zurücksichern. Alle Aktionen laufen ministrator kann dann die Dateien und Doppelte Sicherheit durch über Assistenten ab, die gezielt die not- Objekte wieder an die gewünschte Stelle Replizierung und Site Recovery wendigen Angaben abfragen. importieren oder kopieren. Wie bereits erwähnt eignet sich die Op- tion "Flash VM Boot" für die schnelle Bei der Rücksicherung einer kompletten Notfallwiederherstellung Wiederherstellung einzelner VMs. Wenn VM kann der Administrator diese an die im Handumdrehen es aber darum geht, für eine größere An- gleiche Stelle oder an ein anderes Ziel (an- B&R beherrscht neben der normalen Wie- zahl an Systemen eine hohe Verfügbarkeit derer Host und Datastore) zurückspielen. derherstellung auch ein spezielles Verfah- sicherzustellen, ist die Replizierung mit Normalerweise bekommt die zurückge- ren, um eine VM in wenigen Sekunden B&R besser geeignet. Allerdings verdop- sicherte VM an den ursprünglichen Na- wieder zur Verfügung zu stellen. Diese für pelt sich dabei der Ressourcenaufwand, men die Endung "-recovered" angehängt. VMware und Hyper-V verfügbare Option da zu einer VM quasi eine dauerhafte Ko- Der Administrator kann dabei wählen, nennt sich "Flash VM Boot", vergleichbar pie angelegt wird. Bei einer Replizierung ob je nach Situation UUID und MAC- mit dem Instant Recovery bei Veeam. Bei kopiert B&R die Daten einer VM in re- Adressen sowie die ursprünglichen Lauf- "Flash VM Boot" startet die VM direkt aus gelmäßigen Abständen von der ursprüng- werkstypen beibehalten oder geändert dem komprimierten und deduplizierten lichen zu einer Replica-VM. Über einen werden sollen. Damit ist es einfach mög- Backup, sodass kein vorheriger Daten- Zeitplaner kann der Administrator die lich, korrupte oder gelöschte VMs mög- transfer notwendig ist. Dazu erstellt B&R Häufigkeit des Abgleichs steuern, die ver- lichst identisch zu ersetzen oder bei Be- auf dem Zielhost eine neue, identische ständlicherweise unter anderem von der darf Klone zu erzeugen, die parallel VM und präsentiert in dieser über den Änderungshäufigkeit und Bandbreite für betrieben oder für andere Zwecke benö- Transporter die gesicherten Laufwerke die Replizierung abhängt. tigt werden. Im Test haben wir probewei- mit den Dateninhalten via iSCSI. se einige Maschinen wiederhergestellt, Der zeitliche Abstand zwischen den Re- was problemlos funktionierte. Tatsächlich konnten wir im Test eine der- plizierungen bestimmt den maximalen artig wiederhergestellte VM nach wenigen Datenverlust, der gegebenenfalls bei ei- Sekunden starten und damit arbeiten. nem Failover nachgearbeitet werden Änderungen werden bei VMware in ei- muss. Ein Auftrag kann mehrere Repli- nem Snapshot und bei Hyper-V in einem zierungen enthalten und der Adminis- Schreibcache auf dem Repository gespei- trator kann dann die Reihenfolge festle- chert. Verständlicherweise muss sich die gen. Innerhalb eines Jobs kann die Anzahl der auf diese Weise parallel be- Replizierung für alle VMs auf den glei- triebenen VMs in Grenzen halten, um chen Host, Datastore und ins gleiche den Transporter-Dienst nicht zu überfor- Netzwerksegment erfolgen, aber auch zu dern. Außerdem ist zu berücksichtigen, unterschiedlichen Zielen, was allerdings dass die Daten für die Bereitstellung ent- deutlich mehr Konfigurationsaufwand komprimiert und entdedupliziert werden erfordert. Innerhalb eines Jobs lässt sich müssen, was Rechenleistung kostet. Um ein Netzwerk-Mapping definieren, damit eine so gestartete VM bei Bedarf dauer- die Replica-VMs bei Bedarf in einem an- haft wiederherzustellen, sind einige zu- deren Netzwerksegment laufen können. Bild 3: Für die Wiederherstellung einzelner sätzliche Schritte erforderlich. Andernfalls Vorteilhaft ist, dass sich hier nicht nur Dateien und Objekte stehen mehrere Optionen ist sie mit Beendigung des "Flash VM einzelne IP-Adressen, sondern auch ganze zur Verfügung. Boot"-Jobs wieder verschwunden. Adressbereiche mit einem Befehl zuord-
34 Dezember 2018 www.it-administrator.de Nakivo Backup & Replication 8.0 Tests
ein eigenes Dashboard, weiterhin lässt sich je Mandant ein Gastzugang einrichten. Da- rüber kann ein Administrator des Man- danten das eigene Dashboard einsehen und begrenzte Aktionen starten. Das System- haus letztendlich kann in einer Applikation alle Sicherungsaufträge der Kunden be- treuen und auch überwachen.
Fazit Nakivo präsentiert sich als leistungsfähige und zugleich preisgünstige Datensiche- rungslösung für KMUs für das Backup und die Wiederherstellung in virtuellen Umgebungen unter VMware vSphere, Mi- Bild 4: Um eine per "Flash VM Boot" schnell aus dem Backup gestartete VM crosoft Hyper-V und Amazon AWS EC2. dauerhaft wiederherzustellen, ist unter VMware eine Migration notwendig. Nicht sichern lassen sich physische Systeme außerhalb dieser Umgebungen, sodass hier nen lassen, wie zum Beispiel 10.30.30.0 zu diesem Zweck auf einen Wechselda- gegebenenfalls eine andere Software zum zu 192.168.3.0. tenträger replizieren, diesen dann zum Einsatz kommen muss. Überzeugt haben Zielort transportieren und dort wieder- uns die vielseitigen Installationsmöglich- Für den Fall, dass für sehr große VMs ei- herstellen. Erst anschließend richtet er keiten als virtuelle Appliance für VMware ne Replizierung über eine langsame zwischen beiden Systemen einen Repli- sowie unter Linux und Win dows. Darüber WAN-Strecke eingerichtet werden soll, zierungsjob ein und startet so gleich mit hinaus ist eine Installation auch auf NAS- gibt es eine Option namens "Staging VM einer Differenzübertragung. Systemen möglich. Replication", um nicht initial alle Daten über die Strecke kopieren zu müssen. Das Sahnehäubchen stellt letztendlich der Neben dem reinen Backup vor Ort unter- Vielmehr kann der Administrator die VM Site Recovery Job dar. Dieser beschreibt stützt Nakivo auch Kopiervorgänge sowie die notwendigen Schritte bei einer Um- ein Backup in die Cloud, für ein Disaster schaltung mehrerer VMs auf einen Aus- Recovery eine Replikation unter VMware So urteilt IT-Administrator weichstandort. Hierzu gibt es diverse vor- sowie Hyper-V, für eine schnelle Verfüg- Einrichtung der Software 9 bereitete Aktionen wie Failover, Failback, barkeit nach einem Ausfall ein VM Failover Start/Stopp von VMs und der Aufruf zu- sowie ein Site Recovery. Neben dem nor- Backup Virtualisierungsplattformen 8 sätzlicher Skripte. Es versteht sich von malen Wiederherstellen beherrscht die selbst, dass eine derartige Umschaltung Software ein Instant Recovery, sodass der Replizierung und Disaster Recovery 8 geplant und sorgfältig eingerichtet werden Administrator für eine ausgefallene VM in muss. Für eine regelmäßige Funktions- wenigen Sekunden einen Ersatz aus dem Übersichtlichkeit der GUI 4 prüfung lässt sich in B&R ein entspre- Backupspeicher starten kann. Neben der chender Test per Zeitplaner einrichten. Wiederherstellung kompletter Systeme las- Unterstützte Backupverfahren 7 Dafür kann der Administrator den Site sen sich aus einer Sicherung auch einzelne Recovery Job im Testmodus ausführen, Dateien sowie Exchange-, AD- und MS- Die Details unserer Testmethodik finden Sie um den Produktionsbetrieb nicht zu stö- SQL-Objekte extrahieren. unter www.it-administrator.de/testmethodik ren, und dann beim tatsächlichen Feh- Dieses Produkt eignet sich lerfall im Produktionsmodus. Während uns der beeindruckend voll- ständige Funktionsumfang überzeugt hat, optimal für KMUs mit rein virtuellen Umge- Backup als Dienstleistung hinterließ die Benutzeroberfläche einen bungen unter VMware vSphere, Hyper-V und Um beispielsweise Systemhäusern die eher durchwachsenen Eindruck. Wer da- AWS EC2. Möglichkeit zu eröffnen, Nakivo B&R für mit zurechtkommt, kann mit Nakivo bedingt in Umgebungen, wo neben virtuel- die Sicherung der betreuten Kunden ein- Backup & Replication seine Sicherungs- len Umgebungen auch physische Server zu zusetzen, ist mit dem Multi-Tenant-Modus aufgaben sowie Wiederherstellungen sichern sind. Für Letztere ist eine andere eine Mehrmandantenfähigkeit implemen- zuverlässig erledigen. Insgesamt ist der Backupsoftware zu wählen. tiert. Das Systemhaus kann nun seine Kun- Funktionsumfang gegenüber dem großen den dort anlegen, inklusive eines indivi- Mitbewerber Veeam etwas eingeschränkt, nicht in Umgebungen, in denen überwie- duellen Logos für eine etwas personalisierte es wird aber in der Regel auch nicht alles gend oder ausschließlich physische Server gesichert werden sollen. Ansicht, und die zu sichernden Maschinen benötigt, sodass sich ein Vergleich durch- aufnehmen. Für jeden Mandanten gibt es aus lohnt. (ln)
www.it-administrator.de Dezember 2018 35 Quelle: ambrozinio – 123RF Quelle: Domänencontroller in Azure betreiben (1) Im Exil von Klaus Bierschenk
Bei einem hybriden Setup ist der Administrator neben dem lokalen Active Directory auch mit dem Azure AD und den Azure AD Domain Services konfrontiert. Was welchem Einsatzzweck dient, hängt von den Anforderungen ab. Wir schauen uns in dieser zweiteiligen Workshopserie zuerst an, was zu beachten ist, wenn ein Domänencontroller aus dem heimischen Active Directory nach Azure wandern soll, und richten die dafür notwendigen Netzwerkkomponenten ein.
U nternehmen, die Office 365 ein- innerhalb der Azure-Infrastruktur Rechte kommen die Azure Active Directory Do- setzen, müssen für alle Anwender, für administrative Tätigkeiten erhalten. main Services (AADDS) ins Spiel. die Applikationen aus dem Cloud-Port- Durch den turnusmäßigen Synchronisa- folio nutzen, Lizenzen zuweisen. Diese tionsprozess sind Änderungen kurze Zeit Domain Services in der Cloud hängen an Benutzerkonten im Azure später in der Cloud. Das Management der AADDS ist eine geniale Funktion in Azure Active Directory (AAD) für das entspre- Gruppen unterliegt somit weiterhin der für Administratoren, die Workloads auf chende Office-365-Abonnement und etablierten lokalen Provisionierung. Das Servern in Azure-IaaS betreiben möchten. werden gleichfalls für die Anmeldung in AAD ist eigentlich eine Komponente in AADDS ist sehr schnell konfiguriert und der Microsoft-Cloud benutzt. Dabei spielt Azure-IaaS, auch wenn sich die Sichtbar- benötigt im Grunde genommen wenig bis es keine Rolle, wie diese Benutzerkonten keit und Administration der Benutzerkon- keine Administration. Für die Aktivierung in das AAD gelangen. Sei es, dass der Ad- ten bis in Office 365 erstreckt. erstellen Sie im Azure-Portal ein neues ministrator die Konten manuell dort an- AADDS-Objekt und referenzieren dabei legt oder er für eine größere Anzahl an Was aber, wenn der Administrator in Azu- auf ein vorhandenes AAD. Der Bereitstel- Benutzerkonten Azure AD Connect ein- re-IaaS Mitgliedserver aus dem heimischen lungsassistent ist schnell gefüttert und setzt und sie mit dem heimischen Active Active Directory bereitstellen möchte? Am nach kurzer Zeit befindet sich in Azure Directory synchronisiert. einfachsten wäre es, ein VPN zwischen ein neues virtuelles Netzwerk, einschließ- dem lokalen Rechenzentrum und Azure lich Subnetz, mit zwei darin tickenden Das AAD hat dabei übrigens nichts mit einzurichten und somit den Servern aus Domänencontrollern, die Objekte bereit- den Active Directory Domain Services Azure zu ermöglichen, DCs für die Au- stellen, die der Administrator aus seinem (ADDS) gemein, die Sie aus Ihrem Re- thentifizierung über die WAN-Leitung zu gewohnten AD kennt. chenzentrum kennen – außer vielleicht verwenden. Dies ist aber nur auf dem ers- den ähnlich lautenden Namen. Sie finden ten Blick charmant. Spätestens bei einer Diese DCs werden jedoch von Microsoft hier keine Domänencontroller (DC) vor, größeren Anzahl von Memberservern betrieben und haben keine direkte Ver- keine Gruppenrichtlinien oder ähnliche stößt die verfügbare Netzwerkbandbreite bindung mit dem lokalen Active Directory. Dinge. Freilich gibt es mehr Möglichkeiten, an ihre Grenzen. Der IT-Verantwortliche Um bei der Terminologie der AD-Admi- wie den Benutzerkonten nur Lizenzen zu- ist auch immer von der Verfügbarkeit der nistratoren zu bleiben, werden keine Re- zuordnen, so lassen sich beispielsweise Si- Verbindung abhängig. Da ist es einfacher, plikationspartner in AADDS platziert und cherheitsgruppen aus dem On-Premises- die lokale AD-Infrastruktur in Richtung es entstehen auch keine Zusatzkosten für AD nach AAD synchronisieren, die dann Azure zu erweitern. An diesem Punkt die VMs. Es fällt in diesem Zusammen-
36 Dezember 2018 www.it-administrator.de DCs in Azure betreiben Praxis
Erweiterung des Netzwerks Im ersten Schritt müssen Sie sich Gedanken über die Netzwerkstruktur in Azure ma- chen. Hierbei sind zwei Aspekte wichtig: zum einen die Subnetze, in denen die VMs, wie der DC und andere Server, beheimatet sind. Und dann ist da noch die Verbindung des Azure-Netzwerks mit dem LAN.
Die Konfiguration der einzelnen Azure- Netzwerkkomponenten ist recht vielfältig und Sie müssen verschiedene, gleichlau- Bild 1: Die Reihenfolge des Aufbaus der benötigten Netzwerkkomponenten. tende Objekte in Azure erstellen und damit hantieren. Bild 1 zeigt im blauen Rahmen hang der Begriff "Managed Domain", also nur, wenn diese Server Mitgliedsserver die wichtigsten Elemente, die innerhalb von Microsoft verwaltet. Unabhängig da- des heimischen ADs sind. Meist ist dies von Azure angelegt werden. Die Numme- von, in welcher Konstellation Sie Benut- sogar zwingend notwendig, weil auf den rierung gibt die Reihenfolge der Installa- zer- und Gruppenobjekte im AAD pflegen, Servern Dienstkonten vonnöten sind, tion an. Diese ist aber keineswegs fix, so sei es synchronisiert mit dem On-Premi- Gruppenrichtlinien zum Erzwingen von lassen sich zum Beispiel jederzeit Subnetze ses-AD oder indem Sie diese manuell Firmenrichtlinien greifen müssen oder im virtuellen Netzwerk "AzureVNET" an- anlegen: Die Objekte werden von jetzt an die Mitgliedsserver einfach nur ein mo- passen. Aber der Reihe nach: zuerst erstel- zusätzlich in Richtung AADDS synchro- difiziertes AD-Schema benötigen. Dies len wir das virtuelle Netzwerk "Azure- nisiert, und zwar ohne, dass Sie darauf Ein- alles hat der Administrator in seinem On- VNET" (Punkt 1 im Bild). Bedenken Sie fluss nehmen müssen. Schließlich "ma- Premises-AD bereits eingerichtet, das mit hierbei wie auch beim Anlegen weiterer naged" Microsoft die Domain und küm- ziemlicher Sicherheit durch diverse An- Objekte, dass im Azure-Portal in der linken mert sich um alles, was notwendig ist. Sie passungen über Jahre gewachsen ist. Bedienleiste nur die Dienste und Funktio- können sich AADDS vorstellen wie einen nen sichtbar sind, die zu den Favoriten ge- Klon der Identitäten eines lokalen AD. Eine Wie erwähnt, geht AADDS in diese Rich- hören. Eventuell müssen Sie "Alle Dienste" Möglichkeit also für vorhandene Benutzer tung, aber nicht gesamtumfänglich. Daher selektieren und die gewünschten Elemente und Computerobjekte, NTLM und Ker- kann es Sinn ergeben, die Standorttopologie von dort auswählen oder sie am besten di- beros im gleichen AD-Kontext einzusetzen. des lokalen ADs über einen neuen Standort rekt über das "Sternsymbol" in den Favo- Allerdings müssen Sie einen Preis für die in Azure in Richtung Cloud zu erweitern. ritenbereich befördern. Einfachheit zahlen, in dem er auf einige Dort platzieren Sie Domänencontroller auf Funktionen verzichtet. Zum Beispiel ist er Azure-VMs, die über den Mechanismus Den IP-Adressbereich und die Anzahl nicht Mitglied bei den Domänen- und bei der Replikation das lokale AD dort bereit- der IP-Adressen sollten Sie vor dem Er- den Unternehmensadministratoren. stellen. Für die in Azure-IaaS laufenden stellen des virtuellen Netzwerks klären virtuellen Mitgliedsserver der Domäne sieht und bereitstellen, da Sie diese angeben Für viele Fälle mag AADDS ausreichen, dies aus, als würden sie an einem weiteren, müssen. Achten Sie darauf, dass sich der es gibt aber bestimmt auch genauso viele beliebigen Standort des AD eingesetzt. Adressraum nicht mit IP-Adressen über- Konstellationen, wo dies nicht der Fall ist [1]. Ein mögliches KO-Kriterium ist die fehlende Möglichkeit, das Schema zu mo- difizieren, oder auch geografische Anfor- derungen, die AADDS nicht unterstützt, lassen die Verwendung scheitern. AADDS ist eher als Mittel zum Zweck zu sehen und erlaubt die Authentifizierung vorhandener Identitäten aus dem lokalen AD im Azu- re-Kontext – und das ohne viel Aufwand.
Replikationspartner als Azure-VM Im Grunde genommen ist es einfach, in der Azure-Infrastruktur Server in Betrieb zu nehmen und Applikationen darauf zu betreiben. Aber richtig sinnvoll ist dies Bild 2: Vordefinierte Skripte vereinfachen die Konfiguration des VPN-Geräts.
www.it-administrator.de Dezember 2018 37 Praxis DCs in Azure betreiben
Nicht ohne Firewall Planen Sie, sensible Server wie Domänen- controller oder auch Verbundserver (ADFS) in der Azure-Infrastruktur zu im- plementieren, ist Netzwerksicherheit wich- tiger denn je. Dafür ist in Azure in Form von Netzwerksicherheitsgruppen (NSG) gesorgt. Stellen Sie sich eine NSG wie eine Firewall vor, die einen Netzwerkadapter oder ein Subnetz schützt. Die Konfigura- tion ist denkbar einfach, will aber genau getestet sein, ganz besonders im Zusam- menspiel mit der integrierten Windows Server Firewall, die auf dem entsprechen- Bild 3: Die Übersicht einer NSG zeigt, welcher Netzwerkverkehr rein und welcher raus darf. den Server immer eingeschaltet bleibt. schneidet, die eventuell im lokalen Re- selung und das gleiche Protokoll verwen- In unserem Szenario verwenden wir drei chenzentrum oder einem anderen Stand- den. In früheren Versionen des Azure- Subnetze: für Server im "Backend", für die ort existieren. Portals, als dieses noch dem klassischen "DMZ" und dann noch für alle weiteren Modus folgte, ließ sich bei den Verbindun- "Server". Für jedes dieser Subnetze haben Gateways einrichten gen eine Konfigurationsdatei herunterla- wir eine NSG. Hierüber lässt sich nun der Im nächsten Schritt (Punkt 2 im Bild 1) den, um das jeweilige VPN-Gerät zu kon- Netzwerkverkehr zwischen den Netzen, legen Sie die Subnetze an, wobei das "Ga- figurieren, darunter auch die Konfiguration aber auch Richtung Internet kontrollieren, tewaySubnetz" eine besondere Bedeutung für den Remotezugriff auf einem Win- basierend auf eingehenden und ausgehen- hat. Es muss exakt so heißen und wird re- dows-Server. Dies ist leider im jetzigen den Regeln. Bei einer neuen NSG haben ferenziert, wenn Sie im nächsten Schritt Portal für Windows Server nicht mehr die Standardregeln eine Priorität größer als (3) das Gateway erstellen. Oder wie es im möglich, aber Konfigurationen namhafter 65.000. Hier ist zuerst einmal alles geblockt, Azure Portal heißt "Gateway für virtuelle Netzwerkhersteller wie beispielsweise "Cis- wird dann aber für Azure relevante Kom- Netze". Hier hat es den Namen "Azure- co" finden Sie nach wie vor. munikation wieder aufgeweicht, um zum VNG" und es ist eines der beiden Kontakt- Beispiel Netzwerkverkehr zwischen virtu- punkte, wenn wir später bei Schritt 6 das Im Internet gibt es reichlich Dokumen- ellen Netzwerken zuzulassen. Dies garan- Standort-zu-Standort-IPSec-VPN anlegen. tationen für die Einrichtung eines VPN- tiert, dass beispielsweise Server in verschie- Die hierfür benötigte öffentliche Azure- Geräts als lokales Gateway. Im Lab zu un- denen Subnetzen ungehindert kommu- IP-Adresse lässt sich im Assistenten für serem Beitrag haben wir zum Beispiel nizieren können. Kleinere Zahlen bei den das "Gateway für virtuelle Netze" erzeugen eine Fritz-Box eingesetzt, was für Test- Prioritäten gewichten stärker, da Regeln und ist direkt zugeordnet. zwecke durchaus geht, sich aber hier und mit höherer Priorität zuerst abgearbeitet dort beim Setup trickreich gestaltet. Er- werden und geringere zuletzt, somit also Als Nächstes erzeugen wir in Schritt 4 das folgreich war letztlich nur ein richtlini- das letzte Wort haben. Auch ohne direkten "Lokale Netzwerkgateway". Dies ist nun enbasiertes VPN. Auch hierfür gibt es in Bedarf sollten Sie großzügig und zugunsten quasi die Gegenseite zum Azure Gateway diversen Blogs fertige Konfigurationsda- weiterer Subnetze planen, so sind Sie künf- von Schritt 3. In unserem Beispiel hat es teien und Anleitungen zur Inbetriebnah- tig für weiteren Bedarf gewappnet und un- den Namen "EndPointLNG". Öffentliche me mit der Fritz-Box. terliegen keinen Einschränkungen. IP-Adresse und auch das VPN-Gerät ha- ben mit Azure direkt nichts zu tun und Um beide Netzwerkbereiche miteinander In unserem Setup platzieren wir alle Server sind Teil des Rechenzentrums. Wichtig zu verbinden, richten wir im letzten Schritt im Subnetz "Server". Im Subnetz "Backend" ist, dass Sie das sogenannte VPN-Gerät (6) das VPN-Verbindungsobjekt ein. Dies befinden sich Server, die mit den Kompo- konfiguriert haben (5), bevor Sie den wird ausgehend vom "Gateway für virtuelle nenten des AD direkt nichts zu tun haben, VPN-Tunnel (6) erstellen. Netze" (in unserem Fall "AzureVNG") ini- wie beispielsweise ein Jumpserver. Port tiiert. Unterhalb der Option "Verbindun- 3389 erlaubt eingehende RDP-Verbindun- Das Gerät kann vielfältiger Art sein. Bei- gen" fügen Sie diese mit Angabe der beiden gen und dient somit als RDP-Schnittstelle spielsweise ein Windows-Server mit der Gateways hinzu. In unserem Beispiel trägt für Terminalserversitzungen mit den Pro- Serverrolle "Remotezugriff" oder ein Cis- das VPN-Verbindungsobjekt den Namen duktionsservern. Da der WAP-Server als co-Gerät. Egal für was Sie sich hier ent- "Azure2Local". Stimmen die Einstellungen Proxy für ADFS ebenfalls mit dem Internet scheiden, wichtig ist, das beide Punkte in auf beiden Seiten, einschließlich des "ge- verbunden ist, haben wir diesen in das der Verbindung die gleiche Sprache spre- meinsam verwendeten Schlüssels", erfolgt Subnetz "DMZ" befördert. So ist alles sau- chen, also die gleiche Art der Verschlüs- sogleich eine Verbindung. ber segmentiert. Sie sollten wenn möglich
38 Dezember 2018 www.it-administrator.de DCs in Azure betreiben Praxis
darauf verzichten, NSGs direkt einzelnen Administrator am sinnvollsten ist es, sich Regeln für DCs in Azure Netzwerkschnittstellen zuzuweisen. So hier der PowerShell zu bedienen, denn DCs in Azure zu betreiben ist sicher, so- bleibt alles übersichtlich und die Fehler- spätestens nach dem dritten installierten lange Sie einige Regeln befolgen: So ist suche wird nicht unnötig erschwert. Die Server mittels Azure-Portal wird der Ruf es übliche Praxis, in Azure VMs entwe- Server haben später allesamt keine öffent- nach einem Skript laut. Sehr viel Flexibi- der per PowerShell oder im Azure-Portal liche IP-Adresse, mit Ausnahme des Jump- lität bietet das New-AzureRmVm-Cmdlet, herunterzufahren. Das sollten Sie für und des WAP-Servers, die naturgemäß das denn es lässt sich mit einer Vielzahl an Domänencontroller vermeiden, denn Internet benötigen. Somit haben die Server, Parametern nutzen. Azure unterstützt die "VM-Generations- einschließlich der Domänencontroller, nur ID". Diese ist sehr sinnvoll im Zusam- über das VPN mit dem RZ Kontakt. Für unsere Aufgabe, Domänencontroller menhang mit virtuellen DCs, wenn Sie zu installieren, lautet die Gretchenfrage, diese aus einer Sicherung wiederherstel- DNS-Server vorbereiten welche Größe der Server mit seinem da- len oder "klonen" möchten. Wird nun Für den Aufbau des Netzwerks aus Bild 1 rauf bereitgestellten Dienst benötigt. Für in Azure die VM nicht direkt vom Ser- benötigen Sie keine DNS-Server. Diese Domänencontroller hat sich für das Setup ver, sondern aus dem Portal herunter- sind hier trotzdem im letzten Schritt (7) in unserem Szenario die Größe "Standard gefahren, wird diese de-allokiert, was vermerkt, da sie beim Installieren der Azu- B2s" als praktikabel gezeigt. Dieses Image die "VM-GenerationsID" zurücksetzt. re-Server unserer Domäne "KBCORP. DE" hat zwei virtuelle CPUs und 4 GByte Ar- Dadurch wird wiederum zum Beispiel für den neuen Standort in Azure benötigt beitsspeicher. Mehr geht natürlich immer, SYSVOL als nicht mehr authoritative an- werden. DNS-Server werden für ein vir- aber für einen Test ist das ausreichend. Um gesehen und unter anderem auch der tuelles Netzwerk definiert und alle darin Geld zu sparen, empfiehlt es sich, nicht RID-Pool des DCs verworfen. Sie sind installierten virtuellen Computer erhalten mit einem kleineren Image zu beginnen. auf der sicheren Seite, wenn der Shut- automatisch diese DNS-Server für ihre IP- Die Größe "Standard_B1ms" beispielsweise down immer aus dem Gastsystem heraus Konfiguration. Anders als bei Servern, die hat sich im Test als sehr langsam heraus- erfolgt. Eine weitere Empfehlung von der Administrator sonst außerhalb von gestellt, auch kam beim Öffnen diverser Microsoft ist, die FSMO-Rollen nicht auf Azure administriert und die in der Regel Verwaltungskonsolen die Meldung "Low einen DC in Azure zu verschieben. Das statische IP-Einstellungen haben, werden Memory". Dies ist natürlich für einen DC wäre dann wohl doch zu viel des Guten. für Azure-VMs die Netzwerkschnittstellen – selbst zu Testzwecken – inakzeptabel. Ei- Belassen sie somit die fünf FSMO-Rollen nicht direkt mit statischen Einträgen ver- ne Übersicht der Image-Größen für VMs auf DCs im RZ. In unserem Beispiel ha- sehen. Diese stehen auf "Automatisch be- und die entsprechenden Kosten bietet [2]. ben wir einen DC in Azure platziert, was ziehen" sowohl für die IP-Konfiguration wir für eine Produktion nicht empfehlen. als auch für die DNS-Server. Um sich viel Der DC-VM müssen Sie eine zusätzliche Jeder Standort – auch der in Azure – Ärger zu ersparen, sollten Sie die IP-Kon- Festplatte spendieren, bei den anderen sollte mindestens zwei DCs besitzen. figuration auf keinen Fall direkt in einem Servern in unserem Beispiel ist dies nicht virtuellen Computer vornehmen. Denn ganz so wichtig. Doch bei einem DC in Fazit diese definiert sich gänzlich durch die Azure dürfen Datenbank, Logdateien und Das Netzwerk ist der wohl umfangreichs- Netzwerkeinstellungen in Azure (wie hier SYSVOL nicht auf der Platte liegen, auf te Aspekt bei der Inbetriebnahme heimi- bei den DNS-Servern) und wird dann an der sich das OS befindet. Auf der Fest- scher Domänencontroller in Azure. Ist die Azure-VMs durchgereicht. platte ist die "Hostzwischenspeicherung" dies aber einmal umgesetzt und eine IP- aktiviert und das ist kritisch für das AD. Verbindung zwischen On-Premises und Zu Beginn verwenden wir bei den DNS- Cloud besteht, lassen sich sukzessive Ser- Servern lediglich den lokalen DC mit der Wie bereits erwähnt, sollten Domänen- ver dorthin verlagern. Dies kann je nach IP-Adresse "192.168.78.250". Somit ist si- controller keine öffentlichen IP-Adressen den Anforderungen der IT sehr sinnvoll chergestellt, dass später die Domäne für haben. Die alleinige Netzwerkschnittstelle sein. Im zweiten Teil promoten wir zuerst den Domain-Join gefunden wird. Nach erhält ihre IP-Konfiguration durch die Zu- unseren DC und schauen dann, wie sich Abschluss des Setups und wenn unser DC ordnung in das jeweilige Subnetz und mit die Serverdienste, in unserem Fall die Ver- in Azure letztendlich läuft, haben wir hier einer IP-Adresse aus dem dortigen Pool. bunddienste, dort verhalten und was es zwei DNS-Server. Der On-Premises-DC Der DCPROMO-Vorgang wird sich später dabei zu beachten gilt. (jp) wird dann der "Alternative DNS Server" zwar beschweren, dass die IP-Adresse an- und der Azure-DC1, mit der IP-Adresse scheinend über DHCP zugewiesen wurde, Link-Codes "10.1.2.4", ist der "bevorzugte DNS Server" was aber lediglich daran liegt, dass die für alle virtuellen Computer, die im vir- Adaptereinstellungen auf "Automatisch [1] So entscheiden Sie, ob die Azure AD tuellen Netzwerk "AzureVNET" laufen. beziehen" stehen. In den Einstellungen Domain Services für Ihren Anwendungsfall geeignet sind der Netzwerkkarte der AzureVM gibt es ibp51 Virtuelle DCs anlegen die Option für eine statische IP-Adresse. [2] Azure VM Comparison In Azure gibt es mehrere Wege, virtuelle Für einen Domänencontroller sollten Sie ibp52 Computer in Betrieb zu nehmen. Für den diese unbedingt aktivieren.
Link-Codes eingeben auf www.it-administrator.de Dezember 2018 39 Quelle: gaudilab – 123RF Quelle:
Citrix Workspace-App Neuer Arbeitsplatz von Jan Hendrik Meier
Während der Synergy 2018 hat Citrix angekündigt, in guter alter Tradition die Namen seiner Pro- dukte zu ändern. Für den langjährigen Citrix-Administrator ist dies nichts Neues, denn regelmäßig ändert der Hersteller die Bezeichnungen seiner Produkte. Aus XenApp wird Citrix Virtual Apps, aus XenDesktop wird Citrix Virtual Desktops, aus Citrix Provisioning Services wird Citrix Provisioning und so weiter. Auch Citrix Receiver erhält einen neuen Namen beziehungsweise wird durch ein neues Produkt ersetzt: die Citrix Workspace-App. Diese hat einige Erweiterungen im Gepäck.
B eim Blick auf das Citrix Produkt- Derzeit gibt es die Erweiterungen Desktop (jetzt: Virtual-Desktops). Damit Portfolio wird deutlich, dass -HDX dürfte auch klar sein, dass für den Zugriff es für die unterschiedlichsten Dienste die - Browser auf diese die HDX Engine (der neue Na- unterschiedlichsten Client-Anwendungen - Files me des ICA-Protokolls) verwendet wird. gibt. Es gibt Citrix Receiver für den -Mobile Es kommt hierbei die gleiche Engine zum Zugriff auf veröffentlichte Anwendungen, - Analytics Einsatz, die auch schon im Receiver ver- Desktops und Software-as-a-Service- wendet wurde. Der Benutzer kann somit Anwendungen, verschiedene ShareFile- Mit diesen ist der Zugriff auf die folgen- wie bisher auf veröffentlichte Anwendun- Clients zum Zugriff auf Daten und dane- den Komponenten möglich: gen und Desktops zugreifen. ben Secure Hub für das Endgeräte-Ma- - Virtual-Apps nagement. Letzteres unterstützt dabei - Virtual-Desktops Ob die hierfür benötigten Systeme im ei- sowohl das komplette Mobile-Device- - SaaS-Apps genen Rechenzentrum, einem anderen Management als auch das reine Mobile- - Web-Apps oder einer öffentlichen Cloud liegen, spielt Application-Management. - Mobile-Apps an dieser Stelle keine Rolle. Hier können -Content Sie weiterhin die von Ihnen bevorzugte Genau diese Dienste sollen zukünftig alle Bereitstellungsmethode verwenden. An- unter der Citrix Workspace-App zusam- Virtual-Apps sonsten stehen Ihnen die gleichen Funk- mengefasst werden. Hierfür stellt die Work- und Virtual-Desktops tionalitäten zur Verfügung, wie Sie diese space-App quasi einen Rahmen bereit, der Hinter den ersten beiden Komponenten vom Citrix Receiver gewohnt sind. Neue sich dann über Engines und Plug-ins mit verbergen sich die beiden Produkte Xen- Funktionalitäten in diesem Bereich werden entsprechenden Funktionen erweitern lässt. App (jetzt: Citrix Virtual-Apps) und Xen- allerdings nur noch über die Workspace-
40 Dezember 2018 www.it-administrator.de Citrix Workspace-App Praxis
transparentes Wasserzeichen (Benutzer- name und IP-Adresse) über der SaaS- Anwendung angezeigt wird. Macht der Quelle: Citrix Quelle: Benutzer also ein Foto oder einen Screen- shot von der Anwendung, ist im Nach- gang weiterhin problemlos erkennbar, mit welchem Benutzer der entsprechende Zugriff erfolgt ist.
Es besteht zudem die Möglichkeit einzu- schränken, welche Links der Benutzer aus den entsprechenden Anwendungen auf- Bild 1: Citrix Workspace bildet die Schnittstelle zwischen Usern und Diensten im Hintergrund. rufen darf. Sie können entweder ganze Webseiten-Kategorien einschränken oder App zur Verfügung gestellt und nicht mehr ten Einstellungen. Die Punkte Zwischen- aber auch nur einzelne Seiten. Entweder über neue Receiver-Versionen. ablage, Drucken und Downloads deakti- Sie erlauben den direkten Aufruf, also die vieren den Zugriff auf die entsprechenden entsprechende Webseite wird in der SaaS- und Web-Apps für alle Funktionen. Der Benutzer kann dann Workspace-App angezeigt, verweigern Neu hingegen dürfte für viele die Inte- sichtbare Inhalte weder über die Zwi- den Zugriff oder aber leiten den Zugriff gration von SaaS- und Web-Apps sein. schenablage kopieren noch diese drucken auf den "Secure Browser Service" um. Dies war zwar in der Vergangenheit auch oder herunterladen. Dieser ist eine weitere Funktionalität, die schon verfügbar, allerdings nur für Xen- in der Citrix-Cloud verfügbar ist. Hinter Mobile-Kunden. Sie fügen hier einfach Durch das Deaktivieren der Navigation diesem verbergen sich gehärtete Linux- Ihre SaaS- oder Web-Apps hinzu und der wird die Adressleiste ausgeblendet. Der VMs, in denen ein Browser gestartet und Benutzer sieht diese anschließend, sofern Benutzer sieht also nicht mehr, über wel- die entsprechende Webseite aufgerufen sie ihm zugewiesen wurden, in der Work- che URL auf die SaaS-Anwendung zuge- wird. Da es sich um eine veröffentlichte space-App. Die Besonderheit ist, dass Sie griffen wird, und hat somit auch keine Anwendung handelt, kann möglicher diese auch gleich mit einem entsprechen- Möglichkeit, einfach die Adresse in einem Schadcode von der Webseite nicht auf den Single Sign-On konfigurieren kön- anderen Browser einzugeben und somit dem Endgerät, sondern nur in der ent- nen. Der Benutzer ruft also die SaaS- auf die Anwendung zuzugreifen. In die- sprechenden VM ausgeführt werden. Dies /Web-Apps aus der Workspace-App auf sem Zusammenhang ist noch zu erwäh- stellt sicher, dass hierüber kein unberech- und wird direkt in diesen angemeldet. Er nen, dass selbst wenn der Benutzer die tigter Zugriff auf die eigenen Daten oder braucht sich für diese keine weiteren Be- URL herausfindet, er sich nur anmelden das Endgerät des Benutzers erfolgt. nutzernamen und Kennwörter merken. kann, wenn Sie keine automatische An- meldung konfiguriert haben. Ist diese Mobile-Apps nur aus der Cloud Veröffentlichen Sie eine SaaS-App, besteht nämlich eingerichtet, ist dem Benutzer Hinter dem Punkt "Mobile-Apps" verbirgt die Möglichkeit einen "Enhanced Security weder Benutzernamen noch Passwort für sich das Produkt XenMobile – jetzt "Citrix Mode" zu aktivieren. Dieser bietet Ihnen den Zugriff bekannt. Die Wasserzeichen- Endpoint Management". Wichtig ist, dass die folgenden Funktionen: Funktion bewirkt, dass mehrfach ein bestehende XenMobile-Installationen On- - Zugriff auf Zwischenablage deaktivieren - Drucken deaktivieren - Navigation deaktivieren
- Downloads deaktivieren Citrix Quelle: - Wasserzeichen anzeigen
Wenn Sie eine SaaS-Anwendung veröf- fentlichen und für diese den Enhanced Security Mode nicht aktivieren, wird diese im Standard-Browser des Benutzers ge- öffnet. Bei entsprechender Konfiguration erfolgt auch hier die automatische An- meldung. Ist hingegen der Enhanced Se- curity Mode aktiviert, wird die SaaS-An- wendung mit dem integrierten Browser in der Citrix Workspace-App aufgerufen. Dieser übernimmt dann die konfigurier- Bild 2: Für Anwender spielt es keine Rolle, wo die Dienste und Daten liegen.
www.it-administrator.de Dezember 2018 41 Praxis Citrix Workspace-App
genen Anlagen. Möchten Sie eine ent- sprechende Anlage weitersenden, können Sie direkt nach dieser suchen und diese Quelle: Citrix Quelle: verschicken. Der Umweg, zunächst die entsprechende E-Mail mit der Anlage zu suchen, entfällt. Gerade für kürzlich ge- sendete oder empfangene Anlagen ist das in der Zeit der heutigen E-Mail-Flut sehr hilfreich. Nicht zuletzt gibt es eine Slack- Integration. So lässt sich einfach eine Slack-Diskussion mit den Empfängern einer E-Mail starten, anstatt endlose E- Mails hin- und herzuschicken. Bild 3: Mit dem Enhanced Security Mode schränken Administratoren die Zugriffsrechte der Nutzer ein, um Datenlecks zu vermeiden. Zugriff auf Content Premises, also im eigenen Rechenzentrum, erscheint es wie ein normaler Mailclient Kommen wir zum letzten Punkt der Zu- weiterhin wie bisher genutzt werden. Die für mobile Endgeräte. Bei genauerer Be- griffsmöglichkeiten: Content, also Inhalt. Integration in die Workspace-App ist hier trachtung gibt es aber doch einige Fein- Hinter diesem Punkt verbirgt sich Citrix nicht geplant. Nutzen Sie hingegen die Xen- heiten, die insbesondere bei der geschäft- Files (früher ShareFile). Hiermit wird es Mobile-Services aus der Citrix-Cloud, kann lichen Nutzung sehr hilfreich sind. dem Benutzer ermöglicht, direkt auf seine der Benutzer zukünftig die hierüber be- Zunächst wird über die angesprochene Dateien zuzugreifen. Es ist dabei egal, ob reitgestellten mobilen Anwendungen eben- Container-Technologie sichergestellt, dass diese auf ShareFile, OneDrive, SharePoint falls aus der Workspace-App aufrufen. Als kein unberechtigter Zugriff auf die ent- oder anderen (Cloud)-Storage-Systemen Besonderheit sei hier allerdings erwähnt, sprechenden Daten erfolgen kann. Da- liegen. Für den Benutzer bietet dies den dass die Authentifizierung erst einmal wei- neben gibt es einige zusätzliche Funktio- Vorteil, dass er über einen zentralen Zu- terhin über den Secure-Hub erfolgt. Dieser nen, die oftmals in anderen Mailclients griffspunkt an seine Dateien kommt. Es muss also zunächst auf den Endgeräten fehlen. Hierzu gehört unter anderem die werden hierfür die entsprechenden eigenen verbleiben, auch wenn sicherlich davon Konfiguration der Abwesenheitsbenach- Speicherdienste eingebunden. Verwendet auszugehen ist, dass auch dieser zukünftig richtigungen. Bei vielen Standard-Mail- ein Unternehmen also zum Beispiel in die Workspace-App integriert wird. clients lässt sich nur eine Nachricht an- SharePoint und OneDrive, müssen die Be- passen, nicht aber die Benachrichtigung nutzer sich hierfür keine separaten Zu- Neben der Workspace-App stellt Citrix für etwa an externe Benutzer separat einstel- griffsmöglichkeiten einrichten, sondern Mobilgeräte noch weitere Anwendungen len. Dies ist mit Secure Mail möglich. können direkt aus der Workspace-App zu für iOS und Android zur Verfügung. Hier- den dort abgelegten Daten gelangen. zu gehören Citrix Files (dazu später mehr), Die geschäftlichen Kontakte sind aller- Secure Mail und Secure Web. Bei den bei- dings zunächst nur in der Secure-Mail- Daneben bietet Citrix Files die Möglichkeit, den Letzteren handelt sich um sogenannte Anwendung verfügbar. Ruft ein Kontakt Dateien mit anderen zu teilen. Sie können Container-Apps. Die Daten dieser Anwen- an, sehen Nutzer daher nicht dessen Na- unter anderem festlegen, dass Dateien nur dungen liegen hierbei in einem verschlüs- men. Hierzu lassen sich die entsprechen- für einen gewissen Zeitraum heruntergela- selten Container, auch wenn das Endgerät den Kontaktdaten auf das Endgerät syn- den werden dürfen, und sich eine Benach- ansonsten unverschlüsselt ist. Hiermit er- chronisieren. Dies wiederum lässt sich so richtigung schicken lassen, wenn jemand reichen Sie, dass bei Verlust des Endgerätes einschränken, dass nur die tatsächlich die Datei(en) heruntergeladen hat. Zusätz- kein unberechtigter Zugriff auf die Daten notwendigen Daten und nicht alle Kon- lich steht eine integrierte Workflow-Engine innerhalb dieser Anwendungen möglich taktdetails synchronisiert werden. Falls zur Verfügung. Eine Möglichkeit, um diese ist. Mit Secure Web kann der Benutzer Ihnen das auch zu unsicher ist, besteht zu nutzen, ist es, wenn eine entsprechende über eine Micro-VPN-Verbindung – also zumindest für iOS seit kurzem die Mög- Genehmigung bestimmter Dokumente er- eine VPN-Verbindung, die nur von dieser lichkeit, den Namen des Anrufers nur forderlich ist. Der entsprechende Workflow Anwendung genutzt werden kann – gesi- über die Secure-Mail-Anwendung anzu- wird dann initiiert und an die betroffenen chert auf interne Webseiten zugreifen. Der zeigen. Ruft in diesem Fall ein entspre- Personen geschickt. Diese können dann die Zugriff auf die Daten der entsprechenden chender Kontakt an, sehen Nutzer die Te- Dokumente überprüfen und genehmigen. Webseiten ist für andere Anwendungen lefonnummer des Anrufers und unterhalb Diese Genehmigung wird im Hintergrund auf dem Endgerät nicht möglich. von dieser den entsprechenden Namen dokumentiert und kann somit später pro- – angezeigt von Secure Mail. blemlos nachvollzogen werden. Secure Mail hingegen bietet einen gesi- cherten Zugriff auf die Firmen-Mails und Eine andere Funktionalität ist das Anzei- Interessant ist auch die Möglichkeit, dass Kalendereinträge. Auf den ersten Blick gen der zuletzt versendeten und empfan- wenn ein Benutzer eine Datei aufruft,
42 Dezember 2018 www.it-administrator.de Citrix Workspace-App Praxis
diese nicht mit einer lokalen Anwendung Geräten ungewöhnlich für den Benut- scheinungsbild. Die Oberfläche ist an geöffnet wird, sondern mit einer ent- zer. Es gibt hier noch etliche weitere dieser Stelle unverändert. Dies ist dem sprechenden Virtual-App. Dies ist ins- Beispiele, die auf einen unberechtigten Umstand zu verdanken, dass Citrix vor besondere dann hilfreich, wenn auf dem Zugriff hindeuten. einigen Jahren das Erscheinungsbild des entsprechenden Endgerät keine Anwen- Receivers für den Benutzer nicht mehr dung zur Verfügung steht, um die ent- XenApp und XenDesktop direkt im Receiver gespeichert hat, son- sprechende Datei zu öffnen. im Rechenzentrum dern dies immer aus den konfigurierten Nachdem wir uns jetzt die gesamten Stores ausgelesen wird. Notwendig war Gefahren erkennen Funktionalitäten der Workspace-App in dieser Schritt, damit es möglich ist, das mit Analytics Zusammenspiel mit Diensten der Ci- Design den eigenen Wünschen anzupas- Neben den bereits genannten Zugriffs- trix-Cloud angeschaut haben, wollen sen. Somit war es möglich, dass der Re- möglichkeiten gibt es noch den Bereich wir einmal auf den Einsatz in bestehen- ceiver nicht mehr in jeder Umgebung "Analytics". Hinter diesem verbirgt sich den Virtual-Apps-(XenApp)- und Vir- das gleiche Design hat, sondern zum die automatische Überwachung des An- tual-Desktops-(XenDesktop)-Umgebun- Beispiel im Corporate Design erscheint. wenderverhaltens. Es geht hierbei aber gen eingehen. Zukünftig gibt es keine Weitere Änderungen gibt es an dieser nicht darum, die Arbeit des Mitarbeiters neueren Versionen des Citrix-Receivers Stelle nicht. Die oben beschriebenen Er- selber zu überwachen. Stattdessen ist nach 4.12 mehr. Citrix entwickelt aus- weiterungen sind nur mit der Citrix- das Ziel der Analytics-Funktion, Gefah- schließlich die Citrix Workspace-App Cloud nutzbar. ren zu erkennen und diese automatisch weiter. Möchten Sie also neue XenApp- zu beseitigen. Nehmen wir als Beispiel und XenDesktop-Funktionalitäten auch Fazit einmal den Zugriff des Mitarbeiters auf in Umgebungen nutzen, die Sie im ei- Citrix bietet mit der Workspace-App ei- Dokumente. genen Rechenzentrum betreiben, ist es ne umfangreiche Möglichkeit, um Be- notwendig, vom Receiver auf die Work- nutzern einen zentralen Ort zur Verfü- Greift der Mitarbeiter normalerweise space-App zu aktualisieren. gung zu stellen, über den sie neben den nur auf einzelne Dateien über den Tag klassischen Windows-Anwendungen verteilt zu, plötzlich aber auf mehrere Damit es hierbei zu keinen Problemen und -Desktops auch auf Web- sowie tausend innerhalb einer Stunde, so ist kommt, ist es zunächst empfehlenswert, SaaS-Angebote und ihre Daten zugreifen davon auszugehen, dass es sich hierbei vorhandene Receiver-Versionen zu dein- können. Die Workspace-App ist also nur um ein unbeabsichtigtes Verhalten han- stallieren und erst anschließend die das Portal zum eigentlichen Workspace. delt. Vielleicht hat eine Malware das Workspace-App zu installieren. Die Kon- Welche Funktionen Sie hiervon aller- Endgerät des Benutzers befallen und figuration kann, wie vom Receiver ge- dings nutzen können, hängt von der ge- versucht jetzt, massenhaft Dateien zu wohnt, zum Beispiel über Gruppenricht- wählten Lizenz ab. verschlüsseln. Durch die automatische linien erfolgen. Greift der Benutzer nur Erkennung kann die Verbindung des über das Startmenü über automatisch Dabei dürfen Sie aber nicht vergessen, entsprechenden Endgerätes auf die Da- hinzugefügte Verknüpfungen auf veröf- dass es sich hierbei um eine reine Cloud- ten direkt unterbunden und somit wei- fentlichte Anwendungen zu, wird er kei- lösung handelt. Es besteht also nicht terer Schaden vermieden werden. nen großartigen Unterschied zum vor- die Möglichkeit, die entsprechenden herigen Receiver feststellen. Lediglich Management-Funktionalitäten im eige- Es wird dabei nicht überwacht, auf wel- das bekannte Receiver-Icon in der Task- nen Rechenzentrum bereitzustellen. Hier chen Inhalt der Benutzer zugreift. Aber leiste neben der Uhr ist jetzt nicht mehr können Sie nur die über die Citrix- auch andere Indikatoren können ge- grau, sondern blau. Vielleicht erinnert Cloud bereitgestellten Funktionalitäten nutzt werden, um einen unberechtigten sich an dieser Stelle der ein oder andere nutzen. Die eigentlichen Applikationen Zugriff auf Unternehmensdaten und Leser an die Einführung des Citrix-Re- und Ressourcen hingegen lassen sich -anwendungen zu erkennen und auto- ceivers (den Nachfolger des "Program weiterhin in einem Rechenzentrum matisch zu unterbinden. Ein weiteres Neighborhood") im Jahr 2009. Zu die- Ihrer Wahl bereitstellen. Beispiel: Verbindet sich ein Benutzer sem Zeitpunkt war das Logo des Recei- normalerweise nur aus Deutschland, vers ebenfalls blau gefärbt. Es ist hierbei egal, ob es sich um das ei- auf einmal hingegen innerhalb von kur- gene Rechenzentrum im Keller oder ei- zer Zeit von sehr unterschiedlichen Or- Startet der Benutzer hingegen die Work- nen der großen Cloudanbieter handelt. ten auf der Welt, so deutet dies darauf space-App, erhält er eine Benachrichti- Auch die parallele Nutzung etwa im Not- hin, dass das Kennwort des Benutzers gung, dass der Receiver zukünftig auf fall oder bei einer Migration ist hier eine kompromittiert wurde und somit Un- den Namen "Citrix Workspace-App" interessante Möglichkeit. Der Benutzer berechtigte auf die entsprechenden Da- hört. Sobald sich die Workspace-App greift auf die Workspace-App zu – die ten oder Anwendungen zugreifen. Viel- mit der internen StoreFront-Infrastruk- Applikation wird dann je nach Situation leicht ist aber auch die Nutzung von tur verbunden hat, erscheint für den Be- aus dem eigenen Rechenzentrum oder jailbroken beziehungsweise gerooteten nutzer das vom Receiver gewohnte Er- der Cloud gestartet. (dr)
www.it-administrator.de Dezember 2018 43 Registry für Docker-Images Ablage D von Oliver Frommel
Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images.
O hne jemanden nahezutreten, lässt $ docker run -p 5000:5000 --name kann das etwa bedeuten, dass ein Benutzer sich wohl behaupten, dass die Ver- registry -v /etc/docker-registry/ uneingeschränkte Lese- und Schreibrechte öffentlichung der Docker-Software ein :/auth -e "REGISTRY_AUTH=htpasswd" für seinen Namespace ("remote.reposito- Schnellschuss war. Erst später wurden viele -e REGISTRY_AUTH_HTPASSWD_PATH= ry.com/User") erhält, aber nur Leserechte Features eingeführt, die bitter nötig waren. /auth/htpasswd -e für andere Images. Ein Beispiel dafür ist die Registry , der "REGISTRY_AUTH_HTPASSWD_REALM= Speicherplatz für Docker-Images, die nicht Registry Realm" registry:2 Dieses lässt sich über die Identity-Manage- einmal einen Mechanismus zur Authen- ment-API der Docker Registry realisieren, tifizierung besaß. Später wurde das Image- Nun können Sie versuchen, die Registry die tokenbasiert funktioniert. Will ein An- Format geändert und die Registry 2.0 zum Speichern von Images zu verwenden. wender auf die Registry zugreifen, leitet (auch: "Docker Distribution") veröffent- Dazu laden Sie zunächst ein Image aus der Server den Client auf einen Authen- licht, die mit vielen Beschränkungen auf- dem offiziellen Docker Hub herunter, tifizierungsserver um, der Login/ Passwort geräumt hat. Sie besitzt immerhin einen zum Beispiel mit docker pull alpine:latest überprüft und ein Token ausstellt (Bild 1). Basismechanismus zur Authentifizierung, ein Image der platzsparenden Alpine-Dis- Darüber hinaus ist in dem Scope-Feld des der sich aber auf die von Apache bekann- tribution. Um das Image in die eigene Re- Tokens festgelegt, welche Berechtigungen ten "htpasswd"-Dateien beschränkt. gistry laden zu können, müssen Sie es mit der Benutzer im Einzelnen besitzt. dessen Hostnamen taggen: Zugangsbeschränkung und docker_auth als Auth-Server Rechtekontrolle $ docker tag alpine:latest Implementiert wird der beschriebene Ab- Der Mechanismus beschränkt sich aber remote.repository.com:5000/ lauf beispielsweise von der freien Software auf die Authentifizierung und bietet keine alpine-latest "docker_auth", die von der Firma Cesanta fein abgestufte Autorisierung der authen- entwickelt wurde und auf GitHub [1] wie tifizierten Benutzer für einzelne Ressour- Wenn Sie nun versuchen, das Image auch als Image im Docker Hub zu finden cen, also Lese/Schreibzugriff auf Images. hochzuladen, erhalten Sie eine Fehler- ist. docker_auth bietet zur Authentifizie- Für viele Anwender, die Docker nur mal meldung "unauthorized: authentication rung die folgenden Methoden: eine sta- ausprobieren wollen, und Teams, in denen required". Sie müssen sich erst mit den tische Benutzerliste, ein Login mittels jeder alles darf, ist das aber ja vollkommen oben vergebenen Credentials per docker Google oder GitHub, eine LDAP-Anbin- ausreichend. Fügen Sie also der Htpasswd- login ... anmelden; anschließend klappt dung, MongoDB oder ein externes Pro- Datei einen User hinzu und starten Sie den es auch mit dem Upload (Listing 1). In gramm. Zur Autorisierung können stati- Registry-Container, in dem Sie das Ver- dem Listing sehen Sie auch, dass die Log- sche ACLs, MongoDB oder ein externes zeichnis mit der Passwortdatei mounten. in-Daten in "$HOME/.docker/config. Programm verwendet werden. Die Authentifizierungseinstellungen über- json" gespeichert werden. Um sie von dort geben Sie als Umgebungsvariablen: wieder zu entfernen, verwenden Sie do- Zur Konfiguration dient eine YAML-Da- cker logout remote. repository. com:5000. tei, die Sie dem Container wie gewohnt $ sudo mkdir /etc/docker-registry Um sich einmal mit Docker vertraut zu per Bind-Mount als Volume unterschie- $ htpasswd -Bbn oliver T0Ps3crEt | machen, mag diese Lösung auch genügen. ben. Dies gilt auch für die TLS-Zertifikate, sudo tee /etc/docker- Meistens will man aber noch etwas darü- die docker_auth verwendet. Beispiele für registry/htpasswd ber hinausgehende Fähigkeiten wie etwa die Konfiguration finden Sie im GitHub- oliver:$2y$05$lAmkjHRcR0.TK52/rHR/Pe die oben angesprochene Autorisierung Repository im Verzeichnis "examples", 86AGZqpRleXenHVT/eabFe8He5UZiPu hinsichtlich einzelner Ressourcen. Konkret wo auch die Datei "reference.yml" liegt,
44 Dezember 2018 www.it-administrator.de Docker-Registry Praxis
ziehungsweise die Anwendung kenn- zeichnet. Für "REGISTRY_ AUTH_ HTPASSWD_PATH" würde also folgende Struktur in der YAML-Datei entsprechen:
auth: htpasswd: path: "/auth/htpasswd"
Der konkrete Wert kommt allerdings im Folgenden nicht zum Einsatz, da wir ja statt der Htpasswd-Authentifizierung den Auth-Server verwenden möchten. Die entsprechende Konfiguration ist in Listing 3 zu sehen. Neben dem Speicherort der Registry-Daten ("storage/filesystem/root- directory"), der sich natürlich nicht im Container, sondern auf dem Host befin- Bild 1: Damit die Docker-Registry Authentifizierung und Autorisierung unterstützt, benötigt sie einen det, ist vor allem das Authentifizierungs- separaten Auth-Server, der Token ausstellt. Realm interessant, hinter dem sich der Auth-Server befindet. Außdem verwen- die sämtliche verfügbaren Optionen mit lich. Die Dokumentation enthält eine gan- den wir Let's-Encrypt-Zertifikate, die Kommentaren enthält. Ein Beispiel für ze Reihe von Beispielen für ACLs, die sich ebenfalls auf dem Host installiert sind. die Konfiguration, die auf Backends wie auch per Copy-and-paste übernehmen las- MongoDB verzichtet und sowohl die sen. Den Auth-Server starten Sie nun so: Ist die Konfigurationsdatei unter dem Na- User-Accounts wie auch die ACLs bereits men "config.yml" im aktuellen Verzeich- enthält, ist in Listing 2 zu sehen. $ docker run --name docker_auth -p nis gespeichert, starten Sie die Registry 5001:5001 -v `pwd`:/config:ro \ mit dem folgenden Aufruf: Wieder werden die Hashes der Passwörter -v /var/log/docker_auth:/logs \ abgelegt, die sich mit Htpasswd erzeugen -v /etc/letsencrypt:/le \ docker run -p 5000:5000 --name lassen. Die ACLs bestehen aus drei Ele- cesanta/docker_auth:1 registry \ menten. "match" gibt an, für wen oder was /config/config.yml -v die Regel gilt, "actions" spezifiziert, was damit gemacht werden darf, dann folgt Auch die Docker-Registry, die wir oben Listing 2: noch ein Kommentar. Hier gibt es viele mit Umgebungsvariablen gestartet haben, Auth-Server-Konfiguration
Möglichkeiten, den Zugriff zu regeln, bei lässt sich mit einer YAML-Datei konfi- server: denen man zum Beispiel Regular Expres- gurieren. Jede Einstellung in der Datei addr: ":5001" certificate: sions verwenden kann. Richtige Gruppen entspricht einer Umgebungsvariablen, die "/le/live/remote.repository.com/cert.pem" gibt es nicht, aber sie lassen sich mit den den YAML-Pfad durch Unterstriche key: "/le/live/remote.repository.com/priv- sogenannten Labeln simulieren. Auch eine trennt. Der erste Wert "REGISTRY" fällt key.pem"
Einschränkung auf IP-Adressen ist mög- dabei weg, da er nur den Container be- token: issuer: "MyRepository auth server" # muss Listing 1: Login und Upload in die Registry mit Registry-Config übereinstimmen! expiration: 900 $ docker login remote.repository.com users: Authenticating with existing credentials... # Password is specified as a BCrypt hash. Login did not succeed, error: Error response from daemon: login attempt to https://remote.reposi- Use `htpasswd -nB USERNAME` to generate. tory.com:5000/v2/ failed with status: 401 Unauthorized "oliver": Username (ofrommel): oliver password: Password: "$2y$05$4dIrCZLpgSYDClrS6pN2BOxVm.rkPy/4Ig WARNING! Your password will be stored unencrypted in /home/oliver/.docker/config.json. nurlHbukOxOJldlhJM." Configure a credential helper to remove this warning. See https://docs.docker.com/engine/reference/commandline/login/#credentials-store acl: $ - match: {account: "admin"} Login Succeeded actions: ["*"] comment: "Admin has full access to every- docker push remote.repository.com:5000/alpine:latest thing." The push refers to repository [remote.repository.com:5000/alpine] - match: {account: "user"} 73046094a9b8: Pushed actions: ["pull"] latest: digest: sha256:0873c923e00e0fd2ba78041bfb64a105e1ecb7678916d1f7776311e45bf5634b size: 528 comment: "User \"user\" can pull stuff."
Alle Listings zum Download unter www.it-administrator.de Dezember 2018 45 Praxis Docker-Registry
Listing 3: Registry-Konfiguration
version: 0.1
log: fields: service: registry
storage: filesystem: rootdirectory: /var/lib/registry
http: addr: :5000 tls: certificate: "/le/live/remote.reposito ry.com/cert.pem" key: "/le/live/remote.repository.com/ privkey.pem"
auth: token: Bild 2: Die Docker-Registry protokolliert jeden einzelnen Request. realm: "https://remote.repository.com:5001/auth" service: "Docker registry" namischer als mit der Konfigurationsdatei tun, von denen Sie oder Ihre Kollegen issuer: "MyRepository auth server" wird das Setup mit MongoDB als Daten- Docker verwenden, also möglicherweise rootcertbundle: "/le/live/remote.reposi- tory.com/fullchain.pem" bank. Hier kann die Konfiguration geän- auch auf Rechnern mit Windows oder dert werden, ohne den Container immer macOS – da ist die Option mit den "--in- neu starten zu müssen. Komfortabler wird secure-registries" sicher die einfachere. `pwd`/config.yml:/etc/docker/ die Administration allerdings nicht unbe- registry/config.yml \ dingt, denn die ACLs werden in der glei- Registry-Betrieb als -v /var/docker-regis- chen Syntax wie in der Konfigurationsdatei Proxy-Cache try:/var/lib/registry \ in der Datenbank gespeichert (Bild 3). Zur Interessant dürfte für viele auch der Be- -v /etc/letsencrypt:/le Authentifizierung ist, wie erwähnt, für viele trieb einer eigenen Registry als Proxy sein, registry:2 Anwender sicher auch LDAP interessant, von der Docker-Dokumentation auch aber die ACLs müssen dabei trotzdem auf "pull through cache" genannt. Dies ist Nun können Sie die Registry wie oben ge- einem anderen Weg hinterlegt werden, sei kein großes Problem. Es genügt, in der zeigt verwenden. User-Accounts und ACLs es im File oder in MongoDB. Konfigurationsdatei die Anweisung legen Sie wie beschrieben in der Konfigu- "proxy" hinzuzufügen und darunter die rationsdatei von docker_auth ab und star- Probleme mit Zertifikaten URL der Upstream-Registry einzutragen: ten den Container neu. In der Log-Aus- umgehen gabe der Registry können Sie sich die Wenn Sie eine Fehlermeldung über ein proxy: einzelnen Requests ansehen, was auch bei unsicheres Zertifikat erhalten, besteht die remoteurl: https://registry-1. der Fehlersuche hilft (Bild 2). Etwas dy- einfachste Lösung darin, den Docker- docker.io Daemon mit der Option "--insecure-re- Listing 4: Zertifikate von Let's gistry" zu starten, gefolgt von einer Liste Eine weitere Option ist es, die Registry wie Encrypt installieren der Hostnamen ihrer Registries inklusive auch den Auth-Server hinter einem Proxy Port. Dies müssen Sie auf jedem Client wie Apache, Nginx oder HAProxy zu be- curl -O https://letsencrypt.org/certs/isrg- rootx1.pem tun, der die Registry verwenden möchte. treiben. Dann fällt die Portnummer aus curl -O https://letsencrypt.org/certs/lets- den Registry-URLs heraus und Sie haben encrypt-x3-cross-signed.pem openssl x509 -in isrgrootx1.pem -inform PEM Der Grund für die Fehlermeldung liegt auf dem Server zwei offene Ports weniger. -out isrgrootx1.crt darin, dass beispielsweise aktuelle Linux- openssl x509 -in lets-encrypt-x3-cross-sig- Distributionen das Root-Zertifikat von Listing 5: HAProxy-Konfiguration ned.pem -inform PEM -out lets-encrypt-x3- cross-signed.crt Let's Encrypt nicht in ihrer Keychain in- use_backend registry if { hdr_end(host) -i sudo cp *.crt /usr/local/share/ca-certifica- stalliert haben, auf die Standard-Tools remote.repository.com } { path_beg /v2 } tes/ wie der Docker-Daemon (über die Kryp- use_backend registry_auth if { hdr_end(host) sudo update-ca-certificates --verbose to-Libraries) zurückgreifen – während -i remote.repository.com } { path_beg I already trust 148, your new list has 150 /auth } Certificate added: C=US, O=Let's Encrypt, etwa die Webbrowser eigene Keychains ... CN=Let's Encrypt Authority X3 mitbringen. Listing 4 zeigt, wie Sie die backend registry 1 new root certificates were added to your server registry 127.0.0.1:5000 trust store. Root-Zertifikate auf einem Ubuntu-Sys- ... tem installieren und aktivieren. Dies müs- backend registry_auth sudo systemctl restart docker sen Sie nun allerdings auf allen Rechnern server registry_auth 127.0.0.1:5001
46 Dezember 2018 www.it-administrator.de MIGRATION, KONSOLIDIERUNG & DATENMANAGEMENT FÜR FILESYSTEME
Bild 3: Die ACLs können auch in einer MongoDB-Datenbank gespeichert werden.
Typischerweise erledigen Sie dann die weile auch Docker unterstützt, aber wie- TLS-Terminierung auch über den Proxy, derum nur rudimentär. dann kann die Verschlüsselung bei den Servern wegfallen. Sie müssen nur bei der Wer gleich die komplette Registry inklu- Nutzbarkeit der Proxy-Konfiguration anhand der aufge- sive Zugangskontrolle ersetzen möchte, Daten optimieren rufenen URLs zwischen den Backends dif- kann sich die beiden Open-Source-Pro- mit migRaven ferenzieren. Eine solche Konfiguration für jekte Portus [4] von Suse und Harbor [5] Data Retention HAProxy können Sie in Listing 5 sehen. von VMware anschauen. Beide sind aber in aktiver Entwicklung und nicht ganz Andere Docker-Registries einfach zu installieren und zu konfigu- Eine Alternative zum Einsatz von do- rieren. Leichter geht es mit kommerziellen cker_auth als Authentifizierungsbackend Produkten wie der Artifactory [6] von Daten ist beispielsweise der Keycloak-Server von JFrog oder Sonatype Nexus, die neben Datenbestände auf dem Filesystem intelligent Red Hat [2]. Er steht ebenfalls als freie Docker-Images auch zahlreiche weitere Software zur Verfügung, bietet zahlreiche "Artefakte" hosten können, etwa Pakete weitere Features für Single Sign-on und für Apache Maven, RubyGems, RPMs auch ein webbasiertes Frontend – aller- und so weiter. Hier empfiehlt sich insbe- dings von Haus aus keine Möglichkeit zur sondere ein Blick auf Sonatype Nexus [7], Regelung der Autorisierung. Ein weiteres dessen Open-Source-Variante beinahe Strukturen Projekt aus dem Hause Red Hat ist der den kompletten Funktionsumfang der $ % Pulp-Repository-Server [3], der mittler- Enterprise-Ausführung bietet – abgesehen &