Obstacles when setting up Mesos/Marathon

Sebastian has already mentioned Mesos some time ago, now it’s time to have a more practical look into this framework.
We’re currently running our NWS Platform under Mesos/Marathon and are quite happy with it. Sebastians talk at last years OSDC can give you a deeper insight into our setup. We started migrating our internal coreos/etcd/fleetctl setup to Mesos with Docker and also could provide some of our customers with a new setup.
Before I will give you a short description about snares I ran into during the migration, let’s have a quick overview on how Mesos works. We will have a look at Zookeeper, Mesos, Marathon and Docker.
Zookeeper acts as centralized key-value store for the Mesos cluster and as such has to be installed on both the Mesos-Master and -Slaves
Mesos is a distributed system kernel and runs on the Mesos-Masters and Slaves. The Masters distribute jobs and workload to the slaves and therefore need to know about their available ressources, e.g. RAM and CPU
Marathon is used for orchestration of docker containers and can access on information provided by Mesos.
Docker is one way to run containerized applications and used in our setup.
As we can see, there are several programs running simultaneously which creates needs for seamless integration.
What are obstacles you might run into when setting up your own cluster?
1. Connectivity:
When you set up e.g. different VMs to run your cluster, please make sure they are connected to each other. Which might look simple, can become frustrating when the Zookeeper nodes can’t find each other due to “wrong” etc/hosts settings, such as
127.0.1.1  localhost
This should be altered to
127.0.1.1 $hostname, e.g. mesos-slave1
2. Configuration
Whenever you make changes to your configuration, it has to be communicated through your complete cluster. Sometimes it doesn’t even a need a service restart. Sometimes you may need to reboot. In desperate times you might want to purge packages and reinstall them. In the end it will work and you will happily run into

by TRISTAR MEDIA


3. Bugs
While Marathon provides you with an easy to use Web-UI to interact with your containers, it has one great flaw in the current version. As the behaviour is so random, you could tend to search for issues in your setup.  You might or might not be able to make live changes to your configured containers. Worry not, the “solution” may be simply using an older version of Marathon.
Version 1.4.8 may help.

by TRISTAR MEDIA


Have fun setting up your own cluster and avoiding annoying obstacles!
Edit 20180131 TA: fixed minor typo

Tim Albert
Tim Albert
System Engineer

Tim kommt aus einem kleinen Ort zwischen Nürnberg und Ansbach, an der malerischen B14 gelegen. Er hat in Erlangen Lehramt und in Koblenz Informationsmanagement studiert, wobei seine Tätigkeit als Werkstudent bei IDS Scheer seinen Schwenk von Lehramt zur IT erheblich beeinflusst hat. Neben dem Studium hat Tim sich außerdem noch bei einer Werkskundendienstfirma im User-Support verdingt. Blerim und Sebastian haben ihn Anfang 2016 zu uns ins Managed Services Team geholt, wo er sich nun insbesondere...

Mein Praktikum bei Netways – Thorben

//Im Namen von Thorben
Erstmal vorweg, ich bin Thorben, 16 Jahre alt und besuche zur zeit das Europa Gymnasium in Gommern (Sachsen-Anhalt, nähe Magdeburg) in der 10. Klasse. Wir hatten die Ankündigung zum Praktikum bekommen und ich wollte irgendwas in Richtung IT machen. Da war es natürlich super, dass ich Ronny Biering kenne, der hier bei Netways arbeitet, über welchem ich dann auch den Kontakt und das Praktikum mit und bei Netways bekam. Nun sollte meine Praktikumsstelle 2 Wochen lang bei Netways sein, was mich echt freute.
Es fing klassisch mit dem Vorstellen jedes Mitarbeiters dieser Firma an und auch mit der Einweisung bei der Kaffeemaschine (wichtigster Mitarbeiter) :). Ich lernte Tim kennen, welcher fortlaufend, neben Sebastian, mein Betreuer des Praktikums sein sollte. Er erklärte mir grob Dinge über die 2 Wochen hier bei Netways und zeigte mir auch diverse Bereiche, wie auch das Rechenzentrum. Meine erste Aufgabe war testweise einen Raspberry PI zum laufen zu bringen und ihm im Anschluss mit dem Netways Dashboard zu versehen. Das ganze wiederholte ich 3 mal, bis ich dann auch schneller als es Tim lieb war, fertig wurde.
Markus Frosch hatte noch einen Vortrag über Passwörter im allgemeinen und über die Benutzung mit Enpass gehalten. Es war recht informativ, sodass ich dieses Programm auch zuhause verwenden werde. Danke dafür.
Danach sollte ich WordPress mit einer Mysql-Datenbank einrichten, womit ich jetzt auch erfolgreich einen eigenen Blog habe. Als auch dies fertig war, „durfte“ ich dann auch die Netzwerk Anschlüsse protokollieren und dann im Anschluss auch die Notebooks der neu ankommenden Praktikanten mit CentOS aufsetzen. Zwischendrin war ich auch im Lager und habe den Bereich mit den Lan Kabeln aufgeräumt und fein säuberlich nach Farbe sortiert. Zur zeit beschäftige ich mich neben dem Blog hier mit dem erledigen einiger Aufgaben, wie einen eigenen Passwort Generator oder auch die Buchstabenhäufigkeit per Bash zu ermitteln. Zum Abschluss bekam ich die Aufgabe, eine html-Seite mit eingebundenen Bildern zu erstellen.
Damit sind meine 2 Wochen Praktikum hier bei Netways auch fast um und ich kann getrost sagen, es war kein Fehler dieses hier zu absolvieren. Ich bekam einen für mich recht großen Einblick in die Shell Oberfläche, da ich nur 2 Jahre mit Delphi zu tun hatte. Im Gegensatz zu Delphi versteh ich jetzt wenigstens mal ein paar Dinge im Bereich der Befehle, womit es im Endeffekt auch Spaß macht die Shell zu benutzen. Auch die Firma an sich ist für mich eine positive Erfahrung in Hinsicht der Hilfe und auch dem Zusammenhalt unter den Mitarbeitern. Und auch Tim, welcher immer ein Ohr für meine Fragen offen hat.

Tim Albert
Tim Albert
System Engineer

Tim kommt aus einem kleinen Ort zwischen Nürnberg und Ansbach, an der malerischen B14 gelegen. Er hat in Erlangen Lehramt und in Koblenz Informationsmanagement studiert, wobei seine Tätigkeit als Werkstudent bei IDS Scheer seinen Schwenk von Lehramt zur IT erheblich beeinflusst hat. Neben dem Studium hat Tim sich außerdem noch bei einer Werkskundendienstfirma im User-Support verdingt. Blerim und Sebastian haben ihn Anfang 2016 zu uns ins Managed Services Team geholt, wo er sich nun insbesondere...

Chrome, certificates and missing_subjectAltNames Part 2 of 1

Actually I wanted to cover this topic in the previous post, but somehow have missed it.
Using the mentioned one liner can lead to typos and/or some strange behaviour on the CA side, especially when using a Windows-CA.
To circumvent this issues, I mentioned “a specially designed *.conf file” which I’d like to elaborate today.
Following steps are necessary:
Create a file “req.conf” in etc/ssl/ (Ubuntu 14.04, pathes may vary) with the following content:

[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
C = $YourTLD
ST = $YourState
L = $YourCity
O = $YourCompany
OU = $YourDepatment
CN = $YourCName (e.g. internal.company.tld)
[v3_req]
keyUsage = keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = *.internal.company.tld
DNS.2 = internal.company.tld
DNS.3 = www.*.internal.company.tld

Essentially, these are the information provided by the “-subj section” in last weeks one liner.
Now you can generate a key:

openssl genrsa -out internal.company.tld.key 4096

and use your new key and the req.conf file to generate a CSR, which, as usually can be fed into your local CA.

openssl req -new -out internal.company.tld.csr -key internal.company.de.key -config req.conf -sha256

This *.conf file can be used as a template for other C/altNames as well and is, in my eyes, more lucid than a one liner.

Tim Albert
Tim Albert
System Engineer

Tim kommt aus einem kleinen Ort zwischen Nürnberg und Ansbach, an der malerischen B14 gelegen. Er hat in Erlangen Lehramt und in Koblenz Informationsmanagement studiert, wobei seine Tätigkeit als Werkstudent bei IDS Scheer seinen Schwenk von Lehramt zur IT erheblich beeinflusst hat. Neben dem Studium hat Tim sich außerdem noch bei einer Werkskundendienstfirma im User-Support verdingt. Blerim und Sebastian haben ihn Anfang 2016 zu uns ins Managed Services Team geholt, wo er sich nun insbesondere...

Chrome, certificates and missing_subjectAltNames

Google has been actively trying to ensure certificate security especially in the last months.
Sometimes this created quite some buzz in the IT World, e.g. when Symantecs policies came into the focus.
Current version 58 of Google Chrome has again adjusted the certificate policy.
Certificates provide two ways to store hostnames: CommonName and SubjectAltName (SAN). RFC 2818 specified in 2000 that CommonName should be deprecated, which Chrome now complies to.
Other browsers are currently still accepting the CommonName, which is mostly used by selfsigned certificates, as in our case :/
Users who wanted to access our internal sites encountered error messages and were forced to use quick and dirty workarounds, such as using a Windows registry “hack”:
Open a cmd-Shell as Administrator and enter:
reg add \HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome /v EnableCommonNameFallbackForLocalAnchors /t REG_DWORD /d 1 /f
which reactivates the fallback to CommonName
As this is just a temporary “solution”, you should issue an RFC 2818 conform certificate. This can be realized by using a complete and compliant certificate signing request (CSR).
You can either use a specially designed *.conf File for this or simply adapt the following shell command:

openssl req -new-key endpoint.com.key -sha256 -nodes  -subj '/C=US/ST=New York/L=New York/O=End Point/OU=Hosting Team/CN=www.endpoint.com/
         emailAddress=administrative-not-existent-address@our-awesome-domain.com/
         subjectAltName=DNS.1=endpoint.com,
         DNS.2=usually-not-convered-domain.endpoint.com,
         DNS.3=multiple-domains-crt.endpoint.com' > www.endpoint.com.csr
The created csr can be fed e.g. into your local CA to issue new certificates which can be rolled out in your environment.
Live long and prosper and be RFC compliant 🙂
Tim Albert
Tim Albert
System Engineer

Tim kommt aus einem kleinen Ort zwischen Nürnberg und Ansbach, an der malerischen B14 gelegen. Er hat in Erlangen Lehramt und in Koblenz Informationsmanagement studiert, wobei seine Tätigkeit als Werkstudent bei IDS Scheer seinen Schwenk von Lehramt zur IT erheblich beeinflusst hat. Neben dem Studium hat Tim sich außerdem noch bei einer Werkskundendienstfirma im User-Support verdingt. Blerim und Sebastian haben ihn Anfang 2016 zu uns ins Managed Services Team geholt, wo er sich nun insbesondere...

Simple Video Chat with jitsi-meet

Oftentimes you have colleagues working on different sites, even different countries and time zones have gotten more and more common in todays world of work.
You can easily keep connected by multiple means like Chat, Email, landline, mobile phones, messaging apps, social networks, VoIP… You get my point.
Most of these means have several disadvantages to consider:

  • no video functionality
  • no sovereignty about the transmitted data
  • no availability of thorough debugging
  • need of dedicated client application

These topics can be tackled by an OpenSource VideoChat Application: jitsi-meet
There is a quick installation guide available, (yes, there are docker images)and you can also try it via a demo system.
The package installs several components: jitsi-videobridge (WebRTC), jitisi-meet (JavaScript), nginx (http access), prosody (XMPP), OpenJDK7 (JRE)
While setting up the system, you’re prompted to configure  the domain name respectively the $IP of the host. In a second step, you’re asked to set a certificate for SSL-encryption.

You’re allowed to use your own certificate or jitsi-meet creates a self-signed certificate for you (this might be handy for having just a quick glance at jitsi-meet)
jitsi-meet then provides an easily accessible chat room for many concurrent user who can (voice)chat, share screens and video chat.
To set up a chat room, simply point your browser (Chrome worked best in our environment) to https://$IP:443 and enter a name for the room into the dialogue box.

You’ll be then redirected to the room and can start setting a password for the room and share the link to your room with others.

This is just a short overview about the possibilities of jitsi-meet, give it a try and have fun!

 
 
 

Tim Albert
Tim Albert
System Engineer

Tim kommt aus einem kleinen Ort zwischen Nürnberg und Ansbach, an der malerischen B14 gelegen. Er hat in Erlangen Lehramt und in Koblenz Informationsmanagement studiert, wobei seine Tätigkeit als Werkstudent bei IDS Scheer seinen Schwenk von Lehramt zur IT erheblich beeinflusst hat. Neben dem Studium hat Tim sich außerdem noch bei einer Werkskundendienstfirma im User-Support verdingt. Blerim und Sebastian haben ihn Anfang 2016 zu uns ins Managed Services Team geholt, wo er sich nun insbesondere...

Starface und Telefon Firmware Update

Bei Netways setzen wir sehr häufig Anwendungen selbst ein ein, bevor wir uns dazu entscheiden, diese Kunden anzubieten. Dies betrifft nicht nur Software, wie bspw. ceph, sondern auch Hardware, wie die in diesem Post angesprochene Starface Telefonieanlage.
Starface basiert auf der Edition Asterisk for Business und ermöglicht ähnliche Funktionalitäten wie eine “reguläre” Linux-Distribution.
So beherrscht Starface nicht nur eine ausgefeilte Benutzer- und Gruppenverwaltung, sondern ist auch in der Lage, die angeschlossenen Telefone zu administrieren. Es lassen sich auch in einer größeren Umgebung Einstellungen wie Kurzwahltasten, Klingeltöne und auch Firmwareupdates leicht und vor allem zentral verteilen. Wer schon einmal alle Telefone einzeln durchgegangen musste, um eine Einstellung zu setzen, wird das zu schätzen wissen.
Wie ist aber nun das konkrete Vorgehen um ein Update der Firmware auszurollen?
Zuerst benötigt man natürlich die passende Firmware selbst, in unserem Fall für das Snom320.
Dieses .bin-File hinterlegt man auf der Starface im passenden Verzeichnis unter /var/firmware:

In den jeweiligen Verzeichnissen liegen die Firmwaredateien, die mit Symlinks den Modellnamen zugeordnet sind. Um ein Update durchzuführen, muss der Symlink folglich auf die neu bezogene Firmware zeigen:

Zuverlässig wird die neue Firmware nach einem Restart der Starface auf alle betroffenen Geräte verteilt. Die Telefone rebooten, beziehen und installieren das Update ohne dass man jedes einzelne Gerät betreuen muss.
Welche weiteren Aufgaben man noch mit einer Starface bewältigen kann, kann man hier einsehen oder wer direkt eine beschaffen möchte, ist bei den Kollegen richtig.

Tim Albert
Tim Albert
System Engineer

Tim kommt aus einem kleinen Ort zwischen Nürnberg und Ansbach, an der malerischen B14 gelegen. Er hat in Erlangen Lehramt und in Koblenz Informationsmanagement studiert, wobei seine Tätigkeit als Werkstudent bei IDS Scheer seinen Schwenk von Lehramt zur IT erheblich beeinflusst hat. Neben dem Studium hat Tim sich außerdem noch bei einer Werkskundendienstfirma im User-Support verdingt. Blerim und Sebastian haben ihn Anfang 2016 zu uns ins Managed Services Team geholt, wo er sich nun insbesondere...

OMSA Issues, Solutions and xkcd

All of our Dell Servers are managed via OMSA, so we can easily tackle most of the occurring hardware issues.
The aim of this blogpost is to prepare a comprehensive list addressing the most common obstacles we did run into so far. This list is sorted by my personal preferences and, of course, by no means complete. Please excuse my paint skills as well.
Please note: We‘re mostly running some kind of Linux on our Servers, some solutions might work for Windows, too. Also root access and the current OMSA version are implied.
Most of the following issues can be resolved by merely scheduling a 4 hour downtime, upgrading kernel, BIOS, firmware and several reboots and prolonged downtimes later, you may be greeted by the OMSA webinterface. Yay. Of course this is not a suitable way to go for simply generating an HDD report for warranty purposes.
Let‘s dive into the list:
ERR_CONNECTION_REFUSED
Please ensure that all OMSA related processes are running correctly. Simply ssh to your machine and run “srvadmin-services.sh status” (in this case located at /opt/dell/srvadmin/sbin)

The srvadmin-services script is a convenient tool to check the processes. It can also be used to restart the processes in the correct order.

Cryptic Symbols

You were not using SSL. Please use “https” to connect to your server.
Error code: SSL_ERROR_WEAK_SERVER_EPHEMERAL_DH_KEY

You were now using SSL and, presumably, Firefox. This is an issue everybody will be facing in the future. Just a quick workaround and not really a solution: Chrome works for me (as of Dec 27).
There will be a follow up/recap to this issue, very likely in a separate and more detailed post.
Browser type is not supported:

Simply wait or hit „Try Again“
Can‘t login:
When you‘re using IPMI as well, you may have configured different user for different tasks. OMSA works differently, so by default you have to login as „root“, using the root password of the OS running on this server.
500 internal Server Error, java.lang.NoClassDefFound :
Ah, this one was tricky. In our case, this issue boiled down to the sysadmin obsession: uptime.

by xkcd.com


We tried everything, from simply restarting the services by hand in multiple order, reinstalling the binaries to even looking for help at the support forums, with the expected outcomes:

by xkcd.com


During the long uptime of the machine, some old processes of the OMSA services kept running and could not be killed by srvadmin-services. With a simple “ps aux | grep dsm_” and fearless killing the found processes (some /etc/init.d/ related) via “pkill -9 -f dsm_” and restarting via srvadmin-services, we could finally access the Webinterface again.
Other admins may have different issues and different solutions respectively.
 
 

Tim Albert
Tim Albert
System Engineer

Tim kommt aus einem kleinen Ort zwischen Nürnberg und Ansbach, an der malerischen B14 gelegen. Er hat in Erlangen Lehramt und in Koblenz Informationsmanagement studiert, wobei seine Tätigkeit als Werkstudent bei IDS Scheer seinen Schwenk von Lehramt zur IT erheblich beeinflusst hat. Neben dem Studium hat Tim sich außerdem noch bei einer Werkskundendienstfirma im User-Support verdingt. Blerim und Sebastian haben ihn Anfang 2016 zu uns ins Managed Services Team geholt, wo er sich nun insbesondere...

Rückblick Ceph Schulung 15.-16. November 2016

 

Schulung_Logo_PM

Wir bei Netways setzen bekanntermaßen sehr gerne und mit großen Eifer OpenSource-Lösungen auch in unserer Infrastruktur ein. Hierbei greifen Puppet, Foreman und OpenNebula auf ein gemeinsames Rückgrat zu, unseren Storage, der aktuell auf zwei Standorte und insgesamt 18 Server verteilt ist.
Dieser wird mittlerweile seit mehreren Jahren über Ceph zur Verfügung gestellt.training_sidebar_ceph_de_200x155
Ceph wurde 2007 von Sage Weil im Rahmen einer Doktorarbeit entwickelt und stellt ein Konzept für einen Object Store dar, der verteilt, hochverfügbar und auch eine konfigurierbare Anzahl an Replica skalierend vorhalten kann.
Seit dem ersten Stable Release 2012 hat sich das Ceph Projekt steil nach oben entwickelt , was 2014 zur Übernahme durch Red Hat führte. Trotz des hausinternen Konkurrenz durch GlusterFS steht die Entwicklung bei Ceph nicht still, sondern hat sich im Gegenteil beschleunigt.
Seit Version 0.6 Mitte 2012 ist Ceph innerhalb von 4 Jahren bei der vierten LTS Version „Hammer“ angekommen und wird in unterschiedlichen Clustergrößen bei den unterschiedlichsten Organisationen eingesetzt. Während unser Produktivcluster ca. 300 TB verwaltet, setzte das CERN bereits 2013 einen Testcluster von 3 Petabyte (sic!) ein.
Über die Jahre der Administration und des Einsatzes eines Clusters eignet man sich selbstverständlich ein gewisses Maß an Wissen an. Neben Veranstaltungsbesuchen und Vorträgen von externen Referenten, versuchen wir seit diesem Jahr, Ceph auch mit Schulungen von unserer Seite aus bekannter zu machen.
In der zweiten Iteration fand diese letzte Woche im 2tägigen Rahmen statt.
Neben der Wissensvermittlung stand auch die Netways-berühmtberüchtigte Nahrungsmittelüberversorgung mit Frühstück, Kaffeepause I, Mittagessen, Kaffeepause II und Abendessen für die Teilnehmer auf dem Programm.

Als Einstieg wählte Trainer Achim Ledermüller einen Überblick auf verschiedene Storage Arten um in der Folge Ceph genauer vorzustellen. Praktische Anwendung kam natürlich nicht zu kurz.
Die Teilnehmer installierten ihren eigenen Ceph-Cluster auf den bereitgestellten Schulungsnotebooks und konnten nach kurzer Zeit gegenseitig die ersten Dateien in rados-pools ablegen und aufrufen.
Als nächster Punkt wurde der Algorithmus hinter Ceph, „CRUSH“ und die zur Clusterverwaltung eingesetzte crushmap erklärt und an praktischen Beispielen veranschaulicht. Wie verändert sich der Cluster, wenn ein OSD ausfällt oder nach langer Zeit wieder in den Cluster zurück kehrt?
Nach einer kurzen Feedbackrunde ging es zu dem oben erwähnten Abendessen in das gewohnt gute Gasthaus Pegnitztal wo auch nicht-Ceph-Themen diskutiert wurden.
An Tag 2 hatten die Teilnehmer die Möglichkeit, eigene VMs mit QEMU/KVM auf dem Storage zu deployen, und die Auswirkungen auf den Cluster live zu beobachten.
Der restliche Tag stand im Zeichen der praktischen Anwendung.
Wie sieht es mit der Kompatibilität zur S3 API aus (gut!), welche Hardware ist Best Practice (commodity), wo kann ich an Performanceschrauben drehen (Netzwerk, storage und caching)? Wie kann ich den Cluster überwachen (ceph-plugins) und was ist im Fehlerfall zu tun?
Die nächsten Schulungstermine finden sich hier, wir würden uns freuen, unser Wissen weiterhin mit anderen zu teilen.

Tim Albert
Tim Albert
System Engineer

Tim kommt aus einem kleinen Ort zwischen Nürnberg und Ansbach, an der malerischen B14 gelegen. Er hat in Erlangen Lehramt und in Koblenz Informationsmanagement studiert, wobei seine Tätigkeit als Werkstudent bei IDS Scheer seinen Schwenk von Lehramt zur IT erheblich beeinflusst hat. Neben dem Studium hat Tim sich außerdem noch bei einer Werkskundendienstfirma im User-Support verdingt. Blerim und Sebastian haben ihn Anfang 2016 zu uns ins Managed Services Team geholt, wo er sich nun insbesondere...

Teamevent Managed Services 2016

Nach der erfolgreichen Premiere des NMS Teamevents letztes Jahr, stand am 15.-16.7.2016 die zweite Folge der Veranstaltung an. Leider kollidierten wir hier mit der der sehr erfolgreichen Icinga2 Buch Release Party am selben Tag.
Unter der Prämisse “La Mannschaft” nahmen wir uns vor, mit ebenso viel Zusammenhalt, jedoch erfolgreicher abzuschneiden, als die Kollegen vom DFB.
IMG_2775
Bewährt organisiert von Kay, trafen wir uns Freitag um 7:15 Uhr bei NETWAYS, um koordiniert Richtung Lenggries aufzubrechen. Nach einer etwa 3 stündigen Fahrt kamen die 3 Autos am Arabella Brauneck Hotel an und hatten, je nach Stauumfahrung, die Möglichkeit, unberührte oberbayrische Natur zu genießen. Nach einem zügigen Checkin ging es auch schon los mit der von Sebastian geplanten Agenda.
Die Aktion “Rettet Tweety” brachte bei einigen Kollegen ungeahnte originelle Ideen und höchst kreative Konzepte ans Tageslicht. Ziel war es, im 3 Mann Team ein Ei aus dem ersten, zweiten, usw. Stock fallen zu lassen, ohne dass es kaputt ging. Als Hilfsmittel hatten die Teams Strohhalme, Luftballons, Papier und Klebeband zur Verfügung. Um nicht zu viel zu verraten, das Design von Ufuk, Johannes und Stefan hat beim abschließenden Falltest am besten abgeschnitten, wogegen ein von vielen vorab als Sieger auserkorenes Modell “Seemine” direkt beim ersten Versuch nur zur neuen kulinarischen Variante “Spiegelei in Luftballon an Papierbett mit Klebebandbeilage” taugte.
IMG_2763

(Symbolbild)

Kulinarisch eindeutig besser unterstützt wurden wir bei unseren kreativen Aktionen vom sehr guten Mittagsbuffet unseres Tagungshotels, nach dem wir gestärkt in die zweite Halbzeit gingen.
Sebastian stellte uns hier einige Zahlen aus dem bisherigen Jahr vor und ließ insgesamt die Entwicklung seit dem letzten Teamevent Revue passieren.
Danach ging es darum, unsere Kommunikation untereinander einzuschätzen und, in Einzelgesprächen, gegebenenfalls zu verbessern. Dabei kamen wir häufig zu neuen Erkenntnissen und auch die übliche Diskrepanz zwischen Selbst- und Fremdwahrnehmung kam zum Vorschein.
Der offizielle Teil wurde mit dem Abendbuffet abgerundet und mit gemeinsamem Testen von lokalen Spezialitäten an der Hotelbar abgeschlossen.
Der nächste Tag startete zeitig mit einem reichhaltigen Frühstückbuffet und den Vorbereitungen auf die anstehende Floßfahrt auf der Isar. Der tagelange Regen führte allerdings zu einem erhöhten Pegel des Flusses. Die erfahrenen Guides rieten uns Landratten also erneut zur Raftingtour, wie es sich für ein erfolgreiches Sequel gehört. Die höhere Fließgeschwindigkeit machte das Ganze aber auch wieder spannender, sodass die erfahrenen Hasen aus Teil 1 auch noch Spaß hatten. Siehe folgende Bilder:
IMG_1477
IMG_1484
IMG_1491
IMG_1426
IMG_1492
IMG_1494
Nach diversen Verlusten an Material kamen wir früher als geplant an unserem Endpunkt an und konnten uns auf das bereitgestellte Barbecue stürzen. Danach wurde der Heimweg angetreten und, wieder je nach Stauumfahrung, das bayrische Hinterland genossen.
In Summe war es eine sehr erfolgreiche Veranstaltung, aus der jeder Einzelne sehr viel mit nehmen konnte. Und sei es, dass eine Skala von 1-10 bei dem ein oder andern nur bis 9 geht.
Edit: fixed typo, 20.7.16

Tim Albert
Tim Albert
System Engineer

Tim kommt aus einem kleinen Ort zwischen Nürnberg und Ansbach, an der malerischen B14 gelegen. Er hat in Erlangen Lehramt und in Koblenz Informationsmanagement studiert, wobei seine Tätigkeit als Werkstudent bei IDS Scheer seinen Schwenk von Lehramt zur IT erheblich beeinflusst hat. Neben dem Studium hat Tim sich außerdem noch bei einer Werkskundendienstfirma im User-Support verdingt. Blerim und Sebastian haben ihn Anfang 2016 zu uns ins Managed Services Team geholt, wo er sich nun insbesondere...

OpenNebula ACLs und Foreman Teil 2 von 2

Dies ist die Fortsetzung von OpenNebula ACLs und Foreman Teil 1 von 2
Vorab eine kurze Zusammenfassung:
Wir haben in OpenNebula einen User angelegt, der durch ACL-Einträge auf bestimmte Ressourcen beschränkt wurde und bereits in der Lage ist, VMs in OpenNebula anzulegen. Über die bestehende Integration von Foreman und OpenNebula soll dieser User nun durch Foreman virtuelle Maschinen anlegen. Dazu müssen jedoch in Foreman noch einige Voraussetzungen erfüllt werden, wie im folgenden Artikel dargestellt werden soll.
(Wir verwenden hier Foreman in der Version 1.11.2 in einer gepatchten Version.)
Als ersten Schritt legen wir auch in Foreman einen Benutzer an:
Bildschirmfoto 2016-06-08 um 14.20.39
Damit dieser User auf OpenNebula zugreifen kann, muss ein neuer Eintrag in den “Compute resources” mit den Credentials des vorher angelegten OpenNebula-Benutzers angelegt werden:
Screen Shot 2016-06-22 at 10.05.49
(Um zu verdeutlichen, dass es sich hierbei nicht um den Foreman-User handelt, habe ich den User-Namen leicht verdreht)
Für den Zugriff auf die Ressourcen, braucht der User eine Rolle. Diese wird eingerichtet und beschränkt:
Bildschirmfoto 2016-06-08 um 14.33.04
Die Einschränkungen erreicht man über das Setzen von ACL, in Foreman “Filtern”. In unserem Fall kommen hier viele Einträge zusammen, da wir den User auf einige wenige Ressourcen beschränken wollen.
Bildschirmfoto 2016-06-08 um 14.33.15
Bildschirmfoto 2016-06-08 um 14.33.26
Dieser Blogpost dient nur als schnelle Übersicht. Wer tiefer in diese Materie einsteigen möchte, klickt hier.
Nachdem die Filter gesetzt wurden, muss dem User natürlich auch diese Rolle zugewiesen werden:Bildschirmfoto 2016-06-08 um 14.34.32
Hier unbedingt den Haken bei “Administrator” entfernen! Ein Nutzer mit dieser Eigenschaft wird in Foreman durch keinen Filter eingeschränkt.
Fazit:
Wir haben nun zwei User, einen in OpenNebula, einen in Foreman. Beide sind durch ACL/”Filter” in ihren Aktionen beschränkt und können somit nur in einem fest zugewiesenen Bereich agieren.Durch die feine Granulierung der Einschränkungen können Benutzer für unterschiedlichste Szenarien angelegt werden, ohne dass andere Benutzer betroffen sind.
Wer sich durch diesen Anriss motiviert fühlt, mehr über dieses Thema zu erfahren: Tiefer ins Detail gehen die Kollegen Christian Stein und Dirk Götz in einem Webinar am 26.07.
 
 

Tim Albert
Tim Albert
System Engineer

Tim kommt aus einem kleinen Ort zwischen Nürnberg und Ansbach, an der malerischen B14 gelegen. Er hat in Erlangen Lehramt und in Koblenz Informationsmanagement studiert, wobei seine Tätigkeit als Werkstudent bei IDS Scheer seinen Schwenk von Lehramt zur IT erheblich beeinflusst hat. Neben dem Studium hat Tim sich außerdem noch bei einer Werkskundendienstfirma im User-Support verdingt. Blerim und Sebastian haben ihn Anfang 2016 zu uns ins Managed Services Team geholt, wo er sich nun insbesondere...