NoCode, Security by Design

NoPicture

Bei Netways sind wir immer am Puls der Zeit und probieren für euch den neuesten heißen Sch**ß aus. Heute möchte ich euch deswegen NoCode vorstellen. Wenn man NoCode noch nicht kennt; es kann als logische Fortsetzung aller aktuellen Cloud Technologien und Everything as Code Initiativen gesehen werden. So konnte sich NoCode innerhalb kurzer Zeit einen zentralen Platz auf der CloudNative Landscape sichern
Am Anfang steht die Lochkarte. Auf dieser sind Programme binär abgespeichert und werden von damaligen Großrechnern ausgeführt. Leider enthält der Code dieser Anwendungen einige wenige Bugs, was allgemein Verunsericherung führte. Lochkarten werden nach kurzer Zeit wieder abgeschafft.

Weiter geht es mit solide programmierten Unix und Windows Serveranwendungen, die innerhalb von vielen Unternehmen hervorragende Dienste leisteten. Da mit zunehmender Vernetzung die Probleme dieser Lösungen offensichtlicher wurden und man nicht schnell genug hinterher kam einen Fehler immer wieder durch zwei neue zu ersetzen, schaffte man vielerorts diese Insellösungen wieder ab und setzte auf Standards. Das Glück für die schon beinahe von Arbeitslosigkeit bedrohten Admins, es gibt derlei sehr viele.
Mittlerweile haben wir Virtualisierung und können mit P(roblem)aaS, I(nsecure)aaS und S(anduhr)aaS fast alle Kundenwünsche im keim … erfüllen. Ab diesem Zeitpunkt, wo man dank DevOps und dezentralen verbindungslosen Orchestrierungstools seine Bugfixes auf tausende Container gleichzeitig deployen kann, wird es Zeit sich von diesen noch beinah beherrschbaren Problem Factories zu verabschieden.
Jetzt können papierlos, hardwareless, connectionless und configurationless einpacken. Wir machen serverless und führen Funktionen ‘direkt in der Cloud’ aus.
Da wir alles vom Strom, über das Netzwerk bis zum Server abschaffen, fehlt nur noch der Code.
Genau hier springt NoCode ein. Mit wenigen Zeilen NoCode kann man sich fast alle Anwendungsfälle moderner Applikationen vorstellen. Das beste an NoCode, es enthält niemals Bugs und kann für die verschiedensten Einsatzzwecke genutzt werden. Als erste Enterprise Monitoring Lösung hat auch icinga2 die NoCode notation eingeführt. Jedes in NoCode geschriebene config file wird klaglos von der Syntax Prüfung akzeptiert. Ein Kollege arbeitet gerade daran ein neues Backend Feature in NoCode zu implementieren. Ich habe noch keine Details gesehen, aber es rennt wie Sau.

Schaut euch unbedingt das NoCode github Repo von Kelsey Hightower, dem verantwortlichen google Hacker, an. Hier könnt ihr das Projekt auschecken und mit docker testen.

Wer jetzt heiß ist und mal eine Anwendung im live Betrieb sehen möchte. Die vom führenden Crypto Anbieter ROT26 angeboteny Crpyto API ist gerüchteweise in NoCode implementiert. Probiert es direkt aus

Christoph Niemann
Christoph Niemann
Senior Consultant

Christoph hat bei uns im Bereich Managed Service begonnen und sich dort intensiv mit dem internen Monitoring auseinandergesetzt. Seit 2011 ist er nun im Consulting aktiv und unterstützt unsere Kunden vor Ort bei größeren Monitoring-Projekten und PERL-Developer-Hells.

NETWAYS Webinare: Geballte Power

Am 20. Februar 2019 gibt es eine Doppelfolge unserer beliebten NETWAYS Webinar-Reihe: Vormittags behandeln wir OpenStack und nachmittags Graylog. Was erwartet unsere Teilnehmer inhaltlich?

OpenStack ist seit vielen Jahren in der IT-Branche ein Begriff und wird auf nahezu allen Konferenzen, die sich mit Automatisierung, Hosting, Rechenzentren usw. beschäftigen, beworben und vorgestellt. Unsere eigene IaaS-Plattform baut ebenso auf OpenStack auf – aber was ist OpenStack eigentlich? Wo kommt es her, welche Vorteile bietet die Lösung und was kann ich damit am Ende tun? Diese Fragen wollen wir in unserem Webinar beantworten und einige Möglichkeiten anhand unserer OpenStack-Plattform demonstrieren.

Graylog ist eine vielseitige und umfangreiche Lösung, wenn es um die zentrale Speicherung, Analyse und Auswertung von Logdaten – egal ob Syslog, Windows Event Log, Log-Dateien oder viele andere – geht. Neben einer übersichtlichen Oberfläche bietet Graylog vor allem die Möglichkeit, nativ Berechtigungen auf Inhalten und Dashboards festzulegen und individuelle Streams, Inputs und Filter zu definieren. In der neuen Version 3.0 stehen viele neue Features wie Views, Reports und die neue Sidecar zur Verfügung. In diesem Webinar wollen wir grundlegend auf die Möglichkeiten von Graylog, vor allem jedoch auf die Neuheiten, eingehen und diese vorstellen.

Für alle Freunde unserer Icinga 2 Webinare haben wir leider schlechte Nachrichten, da wir im März das Thema vorerst abschließen wollen:

Aber niemand muss traurig sein – seht Euch unseren Webinar-Kalender einfach an. Wir sind sicher, dass Euch auch die neue Webinar-Reihe zum Thema OpenStack begeistern wird.

Wir freuen uns, Euch in unseren Webinaren begrüßen zu dürfen!

Nicole Lang
Nicole Lang
Sales Engineer

Ihr Interesse für die IT kam bei Nicole in ihrer Zeit als Übersetzerin mit dem Fachgebiet Technik. Seit 2010 sammelt sie bereits Erfahrungen im Support und der Administration von Storagesystemen beim ZDF in Mainz. Ab September 2016 startete Sie Ihre Ausbildung zur Fachinformatikerin für Systemintegration bei NETWAYS, wo sie vor allem das Arbeiten mit Linux und freier Software reizt. In ihrer Freizeit überschüttet Sie Ihren Hund mit Liebe, kocht viel Gesundes, werkelt im Garten, liest...

MyEngineer – IT-Systemadministration nach Maß

Mit unserem neuen Produkt OpenStack in NETWAYS-Web-Services, starten wir auch einen neuen Service – MyEngineer.
Doch was ist NETWAYS Web Services, OpenStack und MyEngineer? Genau das wird in diesem Artikel erklärt.

NETWAYS Web Services (NWS)

Bei NETWAYS Web Services, zunächst kürzer “NWS” handelt es sich um eine Software as a Service-Plattform (SaaS) auf der einige Produkte zur sofortigen Nutzung als fertig betriebene Software bereitstehen. Interessenten und Kunden müssen sich lediglich in einem einfachen Verfahren ein Konto anlegen und die Wunschsoftware bzw. Apps starten. Inzwischen stehen hier einige Produkte zur Auswahl – und das sogar die ersten 30 Tage kostenfrei! Die Produktpalette reicht von Gitlab (CE/EE) über Nextcloud, WordPress, SuiteCRM, Icinga 2 (Master/Satellite) bis hin zum Request-Tracker (und es kommen immer neue Produkte dazu). Für jedes Produkt gibt es verschiedene Pakete, die jedem Anwendungsfall entsprechen. Die Vorteile einer SaaS-Lösung liegen klar auf der Hand, die Kunden brauchen sich keine Gedanken über Sicherheit, Backups oder Aktualisierungen mehr machen, denn genau da drum kümmern wir uns dezent im Hintergrund. Als Nutzer eines NWS-Produktes konzentrieren Sie sich auf Ihre Arbeit und verlieren keine Zeit in der Administration Ihrer Anwendung. Schauen Sie doch mal rein!

OpenStack

Seit einigen Wochen bieten wir OpenStack als als Produkt im NWS an. Allerdings handelt es sich weniger um eine App, also nicht wirklich um SaaS (vielleicht doch – ein Bisschen), sondern viel mehr um Infrastructure as a Service (IaaS) – und das ist so ziemlich der letzte Schrei aktuell in der IT. Mit einem Zugang in unser OpenStack haben Anwender die Gelegenheit, ihre eigene IT-Infrastruktur aufzubauen – und da geht so einiges, also nicht nur VMs wie bei manch anderem Marktbegleiter. Unsere OpenStack-User können bei uns alles nach Wunsch anlegen: virtuelle Maschinen (Sizings mit nahezu beliebigen Spezifikationen, natürlich mit root-Zugriff), Netzwerke, Firewall-Regeln, interne Netzwerke, Snapshots, Loadbalancer, Router, VPNs, S3-Buckets – alles genau, wie es gebraucht und gewünscht ist. Mit OpenStack erhalten Administratoren Zugriff auf ein mächtiges Tool (Webinarvideo), welches dennoch leicht verständlich und wartbar ist. Das Beste kommt wie immer zum Schluss – die eigene OpenStack-App ist bei uns 100% kostenlos. Es werden nur Ressourcen gezahlt, die auch verbraucht wurden – und das zu günstigen Preisen und auf die Stunde genau. Also auch mal schnell eine Test-VM starten und was probieren, VM wieder löschen – kein Problem, die VM steht inkl. der Registrierung im NWS in unter 5 Minuten zur Verfügung (Videobeweis)! Mit unserem OpenStack Kosten-Rechner (erst zu sehen beim laufenden Produkt, aber hier sieht man, wie es aussieht) haben Sie immer die bisher aufgelaufenen, sowie die für diesen Monat zu erwartenden Kosten im Blick! Eine Preisübersicht über die einzelnen Ressourcen pro Stunde finde man auf der Produktseite. Gezahlt wird übrigens bequem via Kreditkarte oder auf Rechnung – und jetzt ganz neu: PayPal. Datenschutzkonform, gehostet in Deutschland über mehrere Standorte.

MyEngineer

Der NETWAYS-MyEngineer erfüllt den Wunsch nach einer wartungsfreien Software (wie bei NWS) und den Einsatz von OpenStack. Unerfahrene Anwender, oder solche, die sich ihrem Geschäft zuwenden wollen, greift MyEngineer unter die Arme, stellt gewünschte Applikationen bereit, kümmert sich um Updates, Backups, Firewalleinstellungen und stellt den Betrieb sicher. Die Anwendungsmöglichkeiten sind hier unbegrenzt. Was und wie viel gemacht wird, entscheiden Sie. Wir stellen beim Onboarding hierzu gezielt Fragen, damit wichtige Punkte nicht vergessen werden. Nach der initialen Einrichtung sind unsere MyEngineers für Sie da. Ein Anruf oder ein Ticket genügt und wir kümmern uns. Optional zur Entstörung kritischer Anwendungen bietet der MyEngineer 24×7 Support auch rund um die Uhr, am Wochenende und an Feiertagen.

Um einen Einblick zu bekommen, was so alles geht, nachfolgend eine kurzer Auszug von dem, was unsere MyEngineers kürzlich gemacht haben:

  • Ein Studierendenwerk bestellte einen zentralen im OpenStack gehosteten Unifi-SDN-Controller für 600 Unifi-Access Points, verteilt über mehrere Studentenwohnheime. Unsere MyEngineers stellten diesen innerhalb eines Tages nach Bestellung mit root-Zugriff für den Kunden inkl. aller erforderlichen Firewall-Regeln und Backup bereit. Die eigentliche Einrichtung der Access-Points und Netzwerke in der Controller-Software, wollte der Kunde übernehmen. Nach sauberer Dokumentation und kurzer Einweisung wollte der Kunde die letzte Firewall-Regel dann doch selbst einmal einrichten und von der einfachen Bedienung im OpenStack überzeugen. Der MyEngineer wird sich monatlich um die Updates des Controllers kümmern, alles andere auf Abruf.
  • Ein Systemlieferant für Maschinen- und Anlagenbau orderte eine virtuelle Maschine mit Docker und Docker-Compose, sowie ein einfaches Firewall-Regelwerk für den Webzugriff. Auch dies stellen unsere MyEngineers innerhalb kurzer Zeit zur Verfügung und standen auch bei der Inbetriebnahme der Container zur Verfügung.
  • Ein Softwarehersteller aus München orderte ein Gitlab EE und hatte den Wunsch nach einer zentralen Gitlab-Instanz mit besonders viel Power und AD-Anbindung. Für die AD-Anbindung war ein VPN erforderlich, welches unsere MyEngineers ihm gern direkt im OpenStack einrichteten und ihm bei der Anbindung an sein Gateway behilflich waren. Übrigens: die Lizenz für Gitlab EE hat der Kunde selbst mitgebracht.
  • Ein Softwarehersteller, der Kita-Anmeldungen zentral mit einer Webapplikation verwaltet, bereitet seinen Go live vor und bringt seine Anwendung (mit mächtig vielen Paketabhängigkeiten) frisch aus der Entwicklung mit. Kein Problem für die MyEngineers – diese bauen ein verteiltes Setup, mit getrennten Workern, Datenbanken und Webservern auf. Zudem ist die ganze Anwendung aus der Produktion noch einmal als Staging-Umgebung gespiegelt.
  • Ein IT-Dienstleister aus Nürnberg: Wünschte den Neuaufbau seines Webauftritts. Unsere MyEngineers kümmerten sich um die Bereitstellung der Maschinen mit einem klassischem LAMP-Stack. Besonders hier dran: dieser Kunde wünschte einen eigenen Puppetmaster um jederzeit neue Maschinen dazu nehmen zu können und ein zentrales Config-Management zu realisieren. Die Webanwendung läuft loadbalanced mit dem OpenStack Loadbalancer.

Kurzum, sollte der Wunsch an die Applikation doch etwas komplexer sein und wird nicht mit Standardprodukten abgebildet, helfen wir gerne. Abgerechnet wird fair nach aufgebrachter Zeit – kein Laufzeitvertrag mit monatlichen Kosten! Eine kurze Anfrage genügt!

 

Georg Mimietz
Georg Mimietz
Lead Senior Systems Engineer

Georg kam im April 2009 zu NETWAYS, um seine Ausbildung als Fachinformatiker für Systemintegration zu machen. Nach einigen Jahren im Bereich Managed Services ist er in den Vertrieb gewechselt und kümmerte sich dort überwiegend um die Bereiche Shop und Managed Services. Seit 2015 ist er als Teamlead für den Support verantwortlich und kümmert sich um Kundenanfragen und die Ressourcenplanung. Darüber hinaus erledigt er in Nacht-und-Nebel-Aktionen Dinge, für die andere zwei Wochen brauchen.

NWS OpenStack – automatisierte Snapshots

Unser Ziel war und ist es, eine Plattform zu schaffen, die sehr hohe Flexibilität, Sicherheit und Komfort bietet. Unsere Kunden sollen in eigenen, isolierten Projekten ihrer Kreativität freien Lauf lassen und nahezu uneingeschränkt sein, ohne sich um essenzielle Dinge Gedanken machen zu müssen.

In genau diesem Zuge, haben wir diese Woche ein neues Feature für unsere OpenStack Cloud veröffentlicht – automatisierte Snapshots für virtuelle Maschinen und Volumes! Mit diesem neuen Feature können sich unsere “IaaS” (Infrastructure as a Service) Kunden zurücklehnen, entspannen und die Verantwortung der zuverlässigen Sicherung an uns abgeben. Wir stellen sicher, dass ausgewählte Instanzen ordnungsgemäß gesichert werden und dieser Prozess überwacht wird.

Doch wie genau funktioniert das nun? Wir haben in unserer Plattform einen Menüpunkt eingebaut, der als Schaltzentrale fungiert. Eingesehen werden kann dieser von jedem Nutzer in der Übersicht seiner OpenStack Instanz. Es werden hier alle VMs sowie Volumes aufgelistet und gegebenenfalls mit Notizen versehen. Beispielsweise in welcher VM ein Volume unter welchem Pfad eingehängt ist.

In dieser Liste kann nach belieben, durch setzen eines Hakens, der Sicherungsprozess aktiviert oder deaktiviert werden.
Neben dem Erstellen von Backups werden nach einer gewissen Retention, Snapshots natürlich auch vollkommen automatisch wieder gelöscht. Per Default alle Sicherungen, welche älter als 7 Tage sind.

Eine Übersicht über die aktuellen Sicherungen gibt es im OpenStack selbst:
Compute -> Images / Volumes -> Snapshots 

Erweiterungen zu dieser Sicht sind geplant. Ebenso weitere neue spannende Features, welche aktuell noch in der Entwicklung sind.
Wir haben zum Snapshot/Backup Release auf unserem Twitter Account ein kurzes Video mit einer Live Demo dazu für euch vorbereitet. Lasst uns auf Twitter gerne wissen, was ihr davon haltet!

Noch kein NWS IaaS Kunde? – Hier geht’s zu unserer Platform

Marius Gebert
Marius Gebert
Systems Engineer

Marius ist seit 2013 bei NETWAYS. Er hat 2016 seine Ausbildung zum Fachinformatiker für Systemintegration absolviert und ist nun im Web Services Team tätig. Hier kümmert er sich mit seinen Kollegen um die NWS Plattform und alles was hiermit zusammen hängt. 2017 hat Marius die Prüfung zum Ausbilder abgelegt und kümmert sich in seiner Abteilung um die Ausbildung unserer jungen Kollegen. Seine Freizeit verbringt Marius gerne an der frischen Luft und ist für jeden Spaß zu...

Windows blocking Icinga 2 with ephemeral port range

Recently a customer opened a support ticket reporting “frozen” Icinga 2 agents on Windows. The agent was still running and writing logs but didn’t respond to connection attempts from an Icinga 2 master or satellite nor did it connect the other way.

The Icinga 2 log showed messages which stemmed directly from Windows and could not be found in the Icinga 2 code.

critical/TcpSocket: Invalid socket: 10055, "An operation on a socket could not be performed because the system lacked sufficient buffer space or because a queue was full."

What we found after some research is strange enough to make me write this article about. It seems that, depending on version, patch level and installed applications Windows is changing its range of ephemeral ports. So your windows might or might not be blocking ports which Icinga 2 uses for its communication.

What solved the problem was an entry into the Windows hosts registry.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 

Value Name: MaxUserPort Value 
Type: DWORD 
Value data: 65534

You can find more information at Microsoft or in this blog.

Photo by Paweł Czerwiński on Unsplash

Thomas Widhalm
Thomas Widhalm
Lead Support Engineer

Thomas war Systemadministrator an einer österreichischen Universität und da besonders für Linux und Unix zuständig. Seit 2013 möchte er aber lieber die große weite Welt sehen und hat sich deshalb dem Netways Consulting Team angeschlossen. Er möchte ausserdem möglichst weit verbreiten, wie und wie einfach man persönliche Kommunikation sicher verschlüsseln kann, damit nicht dauernd über fehlenden Datenschutz gejammert, sondern endlich was dagegen unternommen wird. Mittlerweile wird er zum logstash - Guy bei Netways und hält...

Landscape – On-Premise

Bei Netways muss jeder Azubi jede Abteilung durchlaufen. Grund hierfür ist die Arbeit der anderen Mitarbeiter besser zu verstehen und zu respektieren. Derzeit bin ich bei Managed Services, genauer noch im Customer Hosting. Im Zuge dessen sollte ich mich mit alternativen Verwaltungstools auseinandersetzen im speziellen mit Landscape.

Was ist Landscape?

Landscape ist ein Management-Tool von Canonical. Des Weiteren bietet Landscape einige kleinere Kapazitäten hinsichtlich Monitoring, darunter Netzwerk- und Speicherauslastung, aber auch verbleibende Speicherkapazität, Netzwerkbelastung oder derzeitiger SWAP-Verbrauch.

Der Kern der Anwendung ist jedoch die einfache Ausführung von Updates/Upgrades, sowie Scripts auf Systemen, sowie die Möglichkeit diese zu limitieren und individuell anzuwenden. Eine Reihe an weiteren Features werden von Canonical für Landscape beworben, die ihr hier finden könnt.

Was kostet Landscape?

Landscape’s Kosten variieren stark anhand der Umgebung, die man damit verwalten möchte. Jedoch gibt es die Möglichkeit Landscape in einer kleineren Umgebung – bis zu 10 Vms und 50 Container – umsonst zuverwenden, dies nennt sich Landscape On-premises.

Wie installiere ich Landscape On-premises?

Die entsprechende Software Repository hinzufügen:

sudo add-apt-repository ppa:landscape/18.03

sudo apt-get update

Und daraufhin installieren:

sudo aptitude install landscape-server

sudo aptitude install landscape-server-quickstart

Die Quickstart-Variante installiert App-Server, Datenbank etc. alles auf das gleiche System.

Sollte das nicht gewünscht sein, gibt es ebenfalls eine ausführliche Dokumentation zur manuellen Installation hier.

Falls es zu Fehlern aufgrund von Package-Dependencys kommen sollte, dann kann dieses einfach mit aptitude anstelle von apt-get gelöst werden.

Jetzt können bereits Clients hinzugefügt werden. Eine ausführliche Anleitung dafür ist zwar auch im Webinterface unter <IP_of_APP-Server>/account/standalone/how-to-register zu finden. Dort wird auch automatisch ein Befehl generiert, der die entsprechenden Parameter setzt die zum hinzufügen relevant sind.

 

Alexander Stoll
Alexander Stoll
Junior Consultant

Alexander ist ein Organisationstalent und außerdem seit Kurzem Azubi im Professional Services. Wenn er nicht bei NETWAYS ist, sieht sein Tagesablauf so aus: Montag, Dienstag, Mittwoch Sport - Donnerstag Pen and Paper und ein Wochenende ohne Pläne. Den Sportteil lässt er gern auch mal ausfallen.