Sergio Sainz

He encontrado este video de rPath explicando de forma sencilla la importancia del Cloud Computing de la mano de la virtualización.

Antes de nada, quiero aclarar que me refiero únicamente al motor web que sirve Plesk como panel de control, no a las aplicaciones y dominios que se crean a través del panel y se lanzan a través de IIS. Estas sí que van bien realizando algunos ajustes previos que si interesa puedo comentar en otro post.

Me he encontrado con varios problemas al trabajar con Plesk sobre IIS, pero el problema lo he notado más aún al probar IIS 7 con Plesk 9 y tras realizar algunas sencillas pruebas desde las que he podido reproducir varios errores a partir de una instalación básica he podido comprobar que muchos de ellos se solucionan al pasar Plesk a funcionar sobre Apache.

Para cambiar Plesk a funcionar sobre Apache basta con ejecutar desde shell:

%plesk_bin%\reconfigurator.exe –switch-plesk-web-server –new-provider=apache

Con ello, también he notado un mejor rendimiento y velocidad de carga del panel apreciable desde el primer momento.

Recomiendo al que pueda que lo pruebe. Espero que Parallels le de una vuelta al funcionamiento de su panel sobre IIS 7 y poder escribir lo contrario para futuras versiones…

Si necesitas volver a IIS

%plesk_bin%\reconfigurator.exe –switch-plesk-web-server –new-provider=iis

Por lo general los clientes de ftp intentan conectar por defecto en modo pasivo por lo que conviene habilitar nuestro servidor ftp y firewall para aceptar este tipo de conexiones.

Lo primero es acceder al administrador de IIS e indicar al servidor de ftp que rango de puertos puede utilizar para aceptar conexiones pasivas, puedes ampliar este rango según tus necesidades. En mi caso he decidido habilitar el rango 5000-5050.

Tras eso abrimos una shell y creamos la correspondiente regla para abrir el puerto 21:

C:\>netsh advfirewall firewall add rule name="FTP (non-SSL)" action=allow protocol=TCP dir=in localport=21

Y habilitamos el modo stateful FTP (*):

C:\>netsh advfirewall set global StatefulFtp enable

(*): El modo stateful FTP filtering permitirá abrir y cerrar ventanas de comunicación observando el tráfico en tiempo real y de una  manera dinámica. El modo de conexión "PASV" hace que el servidor de ftp abra un puerto libre dentro del rango que hemos indicado en la configuración de FTP7 y acepte conexiones del cliente en él.

Este sólo es un tip rápido, para más información recomiendo el siguiente enlace.

Útil sobre todo para un entorno Server Core:

Para habilitar ICMP (los pings):

netsh firewall set icmpsetting 8 enable

Siguiendo la misma regla, para desactivar:

netsh firewall set icmpsetting 8 disable

Si queremos ver el estado del firewall y un listado de los puertos abiertos en todas las interfaces:

netsh firewall show state

Al pasar a actualizar a la versión de Plesk 8.6 (la última que hay actualmente) desde Plesk 8.2 me he encontrado con problemas diversos por culpa de que la base de datos que utiliza Plesk (llamada psa) ha cambiado columnas en unas cuantas de sus tablas lo cual genera diversos problemas a la hora de trabajar con Plesk, hacer backups, etc…

Tomando como referencia la psa de un Plesk 8.6 y otro 8.2 se puede comparar las columnas de las diferentes tablas y crear un script que realice los ALTER TABLE correspondientes, pero sino te quieres complicar mucho la vida este programita puede arreglarte la bd y solucionarte la papeleta.

Por circunstancias de la vida me veo obligado a trabajar con Plesk a diario. Cuando se trata de dar hosting a miles de usuarios está claro que hace falta automatizar estas cosas. Muchas empresas grandes cuentan con su propio panel de control, pero no es el caso de todas y las pequeñas normalmente no se pueden permitir el desarrollo de su propio panel .

Paralells Plesk Control Panel 8.6 lista 7 de sus “Advantages”, en este caso voy a centrarme en esta:

Most Secure

Not only does Plesk control panel contain new security measures but also, existing security features have been improved. The control panel’s redesigned subsystem improves overall system security as well as support for 3rd party FTP servers that make secure uploads possible.

Fuente: http://www.parallels.com/products/plesk/advantages/

Al probar la  versión 9 que aún está en BETA supuse que sería aún más “segura” que la actual. Lamentablemente me he llevado una desilusión en este aspecto.

Todo esto viene a cuento de que este panel mantiene una base de datos que es el corazón del mismo. PSA es el nombre de la base de datos que conoceréis de sobra si alguna vez habéis administrado un servidor Plesk. Y aunque la idea puede ser buena las formas en las que se utiliza no lo son.

• La bbdd NO guarda ninguna integridad referencial, y como es necesario meterla mano cada vez que falla una operación como crear o borrar alojamientos, bbdd, usuarios, buzones… sino se tiene cuidado es fácil perder el control.
• Cuando se hacen actualizaciones del panel a veces cambian tablas, columnas, … y el panel empieza a dar problemas. Un ejemplo es al pasar de Plesk 8.2 a la versión que hay en estos momentos, Plesk 8.6.
• Y el ultimo punto pero no por ello menos importante. Los datos de los usuarios se guardan en la bbdd en TEXTO PLANO.

Así que si eres usuario de este panel de control ten cuidado porque esas contraseñas que das SON visibles.

Algunos ejemplos:

Mostrar las contraseñas de administrador de mySQL, MSSQL, Postgresql o cualquier bbdd a la que este suscrito el panel de control:

SELECT type,admin_password FROM DatabaseServers

De la misma forma se almacenan los usuarios y contraseñas de buzones de correo, ftp, logins a Plesk, usuarios de bbdd, etc…

Todo esto hace que la seguridad de Linux, Windows, MySQL, MSSQL, Postgresql, Qmail, etc se vaya al traste teniendo en cuenta la regla de oro de que Un sistema es tan seguro como su eslabón más débil.

La verdad es que me pregunto si será tan difícil guardar las contraseñas encriptadas….

Un cliente quiere enfrentarse a la administración de su servidor web por sí mismo y me pregunta sobre cuales son las tareas básicas de un administrador de sistemas para hacerse una idea. En frío esto ha sido lo que se me ha ocurrido comentarle:

- Informarse de las vulnerabilidades y exploits que se detectan para poder responder a tiempo.

- Mantener actualizado el sistema, esto incluye además del propio SO a todas las aplicaciones que en el servidor haya instaladas.

- Desactivar aquellos servicios que no se utilicen y desinstalar todas las aplicaciones que no sean necesarias para el funcionamiento del servicio.

- Monitorizar los servicios críticos y tener un plan de contingencia que aplicar en caso de parada de cualquiera de ellos.

- Tener un backup disponible de los datos del servidor, este puede ser diario, varios al día. Depende de la criticidad y periodicidad de los cambios que se realicen y las perdidas que podamos asumir.

- Configurar alertas de sistema y revisar logs, sucesos, errores, que se vayan produciendo para poder tomar medidas.

- Monitorizar los recursos para detectar cuellos de botella, errores de memoria, prever fallos de discos, controlar el Raid…

Son sólo algunas de las tareas a las que debe enfrentarse a diario un sysadmin. El consejo es que si no puedes hacerlas, por el motivo que sea, busques a alguien que lo haga por ti.

Después de comentarle lo anterior se me han ido ocurriendo muchas más cosas…

- Diseñar y planificar.

- Tener controlados a los usuarios, los permisos de los mismos y las políticas.

- Formar a los usuarios para que sepan lo que pueden hacer, como deben hacerlo y aclarar sus dudas técnicas.

- Escribir scripts que sirvan a automatizar tareas habituales y configurar tareas programadas (crons) para diferentes tareas de mantenimiento (defrag, backups, limpieza de logs…).

- Documentar lo que se va haciendo, no para que el que venga detrás de ti a robarte el puesto tenga todo más fácil sino para que no se te olvide lo que vas haciendo y como lo has hecho ya que te será útil y evitarás romperte la cabeza cuando te enfrentes nuevamente a ese problema que te tuvo una noche o un fin de semana movidito, te lo aseguro.

- Intentar la configuración óptima del sistema para tratar de sacarle el mayor rendimiento posible. Muchas veces se amplía hardware innecesariamente cuando el problema real es que se desaprovechan recursos innecesariamente.

- Documentación e implantación de un buen plan de recuperación ante desastres que pueda llevar alguien a cabo si estás de vacaciones.

- Tener un sistema (puede ser virtualizado) para probar las cosas antes de ejecutarlas en producción.

Seguro que hay muchas más cosas, ¿se te ocurren?.

Como la ponencia anterior ha durado menos de lo que esperábamos y hay tiempo hasta el vuelo de regreso nos hemos permitido una última ponencia. La verdad es que me ha gustado la presentación, he aprendido cosas nuevas para mí y he visto herramientas que estoy deseando poder probar.  Y pensar que hemos asistido por casualidad… A veces las cosas improvisadas salen bien .

Sistemas de Aseguramiento de la Calidad del software en la Consejería de Andalucía.

Objetivos

• Marcar un entorno único de trabajo.
• Homogeneizar el proceso de desarrollo.
• Homgeneizar la estructura de entregables
• Homogeneizar las técnicas y herramientas
• Definir un conjunto de métricas

Motivación y objetivos

• Normalizar: Con la intención de que si se hace una inversión en un software y se cambia de proveedor el nuevo pueda responder.
• Calidad de los servicios: Para permitir trabajo con un conjunto de estándares de calidad, permitiendo certificaciones de normas como ISO 9001.

Elementos de partida

• Métrica v3 && UML 2.0
• Model Driven Engineering
• Ingenieria Web: NDT & UWE

Funciones

• Oficina técnica de calidad
  • Certificación Modelo de Datos
  • Certificación de aplicaciones
  • Certificación metodológica

Estructura documental

• Catálogo > Fichas > Indicadores y métricas >Hojas Técnicas & Normas  & Plantillas > CCUL
• Métricas: Medidas que la Oficina Técnica de Calidad toma en cada fase del ciclo de vida.
• Indicadores: Métricas que se mueven dentro de unos umbrales aceptables en el proyecto,
• Matrices de indicadores: Matrices para cada proyecto que lleva un control de las métricas e indicadores.

El entorno de herramientas

• ndt Quality (orientada a la oficina de calidad, permite medir la calidad), ndt Report (Permite generar documentos de a cuerdo a las normas), ndt driver (Permite leer en la bbdd del proyecto coge los requisitos y genera el modelo resultante del analisis), Chequea:
  • La correcta aplicación de la metodología
  • Uso correcto de los artefactos.
  • Analisis de la trazabilidad que se desee realizar
• ndt profile (Requisitos > analisis > diseño. Lo  gestiona la oficina de Calidad y NO se muestra a los proveedores), CATI (construcción, chequea si la metodología coincide con el código).ndt Profile (pruebas)

  Todas las herramientas ndt se pueden instalar desde ndt Suite.

• Pmd (Open source, permite ver la calidad del código) : Se basa en un conjunto de reglas que se pueden configurar. Es capaz de detectar errores try…catch, código que no se usa, código duplicado, código poco óptimo (mejor uso de String/StringBuiler…), expresiones redundantes (loops, ifs…).

Las Acciones de mejora

• No es un sistema cerrado y se ofrece posibilidad de realizar o definir acciones de mejora. Se debe tener en cuenta que sólo se puede mejorar lo que está documentado y sólo se puede mejorar lo que se mide y por eso la oficina de calidad ofrece una serie de normas, directrices (tecnicas, modelos, herramientas….), dar ideas de soporte, certificación, indicadores.

www.iwt2.org

Esta es la última conferencia a la que he podido asistir en la OSWC debido a que esta misma tarde me vuelvo a Bilbao.

El nombre de la sesión tecnológica es “LINUX en el corazón del DATACENTER: cómo implantar infraestructuras basadas en estándares abiertos y optimizadas para aplicaciones de misión crítica”. Por Adriano Galano de Fujitsu-Siemens.

He anotado tan sólo los puntos que me han parecido interesante con intención de resumir lo que me interesaba y descartando todo el rollo comercial.

• Repaso sobre la evolución de los datacenters. Mainframes > Distributed Computing > Server Farms (Hoy) >  Vitualización > automatización > Utility computing (servicios en lugar de servidores).
• Servidores PRIMERGY: Desde 1 socket y 8 gb hasta 96 socket y 2.304 Gb de RAM.Preparados para Xen, VMWare, Hypervisor. Virtualización embebida, Tecnologia de virtualización de I/O y PAN Manager.
• Soporte técnico para Linux.
• kernel patch desarrollados para permitir reemplazar memoria y cpus en caliente.

Vamos a ver si nos da tiempo a dar una vuelta y ver algo más antes del viaje de vuelta a casa.

Acaba de finalizar el TUTORIAL: VIRTUALIZACIÓN al que hemos asistido durante la mañana de hoy. Este es un resumen de los puntos que hemos visto.

PARTE I : Entorno de virtualización open source xVM (Felipe Herrera)

xVM – VirtualBox

• Soporte Multiplataforma:
  • Hosts: Windows, Solaris, Linux, OSX.
  • Guests: Cualquier SO x86.
• Funcionalidades avanzadas:
  • Almacenamiento centralizado.
  • Servidor VirtualBox RDP (acceso remoto Guests)
  • Clonado, Snapshot, Metricas de VMs
  • Raw disk to VDI DISK (P2V-phisical disk to virtual disk)
• Hardware virtual:
  • Virtual SATA o IDE: Hasta 32 discos.
  • Virtual NICs: Gigabit Ethernet.

xVM SERVER

• Basado en Xen 3.X
• Compatible con Vmware
• Filesystem compartido NFS, CIFS, HTTP(s)
• Certificación Windows (Software certification validation program).
• Auto-Update (IPS)
• Open Source
• Funcionalidades heredadas: FMA, ZFS.
• APIS abiertas: WS-MAN
• Balanceo y optimización.
• xVM – Ops Center
• Gestión y monitorización de entornos físicos y virtuales.
• Gestión de VMs, firmware, SO y aplicaciones.
• Automatización del parcheado de sistemas.
• HA, Migración de VMs.
• Provisioning: CentOs, Scientific Linux…
• Grid Engine: Gestión de Entornos con Sun Grid Engine 6.1.
• Common Agent Container

www.openxvm.org

Parte II: Consolidación de CPDs mediante técnicas de virtalización en SL (Gerardo Puertas – www.iavante.es)

Algunas técnicas de virtualización

• Paravirtualización: Virtualizar sistemas software sin virtualizar el hardware.
• Virtualización mediante S.O. (Virtuozzo, …): Gestiona mejor los recursos pero depende del hosts huesped para funcionar por lo que carece de flexibilidad.
• Virtualización completa (vMware, virtualBox,…): Puede emular diferentes arquitecturas.

Consolidación:

• Aprovechamiento eficiente de todos los recursos del server para obtener una reducción del consumo de energía, espacio…

OpenVZ – Características:

• Reparticionamiento dinámico en tiempo real
• Live migration y checkpointing
• Posibilidad de compartir interfaz de red del anfitrión con los huéspedes
• Establecimiento de límites y garantías de los recursos (CPU, Memoria, Cuota de Disco, Red).
• Live migration: vzmigrate (manual o automática)

http://openvz.org

http://wiki.openvz.org

Parte III: Arquitectura de servicios modulares basados en máquinas virtuales- Caso práctico Grupo CPD – ModularIT (Miguel Angel Armas del Río, Grupo CPD).

• Objetivos y requerimientos. Definición:
  • Instalación de servicios simple
  • Monitorización
  • Integración de servicios para PYMES.
  • Simplificación.
• Requisitos:
  • Servicios virtualizados robustos.
  • Proceso de instalación automatizado y simplificado, basado en plantillas.
  • Funcionalidad bien definida. Seguridad
  • Backups sencillos y robustos. Garantizar la existencia de copias de seguridad de todo lo necesario.
  • Máquinas autónomas para detección y corrección de errores.
  • Entorno de monitorización distribuido. Escalabilidad.
  • Proyecto libre. Bajo coste de herramientas y alto rendimiento.
• Definición
  • Una arquitectura de servicios
    • Virtualización
    • Seguridad
    • Independencia e integración de servicios
  • Un grupo de servicios empaquetados en máquinas "precocinadas"
  • Un entorno de gestión y monitorización.
  • ModularIT es un proyecto Open Source.
• Consolidación de servidores
  • Número de máquinas independiente del número de servicios.
  • Tantas máquinas como servicios se necesiten.
  • Servicios adicionales (Alta disponibilidad…)
  • Asignación de recursos.
• Facilidad de despliegue de servicios
  • Se instala en 10 min.
  • Consiste en:
    • Instalar la máquina virtual
    • Definir las variables del servicio
    • Ejecutar el generador de plantillas (Puppet)
  • Es posible crear snapshots previos a un cambio relevante.
  • Rollback
• Facilidad de Monitorización y Gestión
  • Cada maquina es modelada por lo que es muy sencillo definir arámetros a monitorizar
  • Simplifica los backups.
• Almacenamiento y seguridad
  • LVM
  • SELinux, siemre activo con lo mínimo permitido
  • AIDE: Detector de intrusiones con comprobación de firmas diaria.
  • Configuraciones mínimas
• Monitorización y gestión
  • UPS
  • OpenPMI
  • Nagios:
    • Alertas activas (comprobaciones de nagios)
    • Alertas asíncronas (generadas por alertas "PIFIA")
    • Toda la configuración del entrono de gestión se hace por Puppet.
  • Puppet: Similar a cfengine pero mucho más potente
  • Monitorización distribuida: máquinas detrás de FW (iptables), acceso de los clientes al estado de sus máquinas y alertas básicas.
• Rendimiento
  • Munin
  • Establecimiento de lineas base para cada servicio y generación de alertas en caso de que la calidad del servicio se degrade.
• Servicios
  • Base de Virtualización
  • Backup
  • LDAP: Donde se centraliza toda la información de cuentas de usuario. Todos los servicios usan validación contra ese servicio LDAP.
  • Correo
  • Samba
  • AppDeploy
  • eGW (EgroupWare).
  • FAX
  • Firewall (Iptables)
  • Asterisk
  • Jabber
• Descripción
  • CentOS 5 + XEN
  • Instalación rápida (10 min) y desatendida (también opción instalación remota asistida).
  • Script de soporte remoto (conexión saliente)
  • Gestión de hardware y alimentación (UPS)
  • Alta disponibilidad si es necesario.
  • Sincronización horaria.
  • Soporte VLAN.
• Parámetros controlados
  • Estado UPS
  • Sincronización horaria NTP
  • Volúmenes incluidos en backups
  • Estado del RAID por software
  • Procesos
  • Discos
• Descripción de backup automático
  • Proceso automático
  • Se realizan mediante snapshots. No requiere agentes en la máquina de servicio (virtualizada). Ataca directamente a la máquina de virtualización con lo que la máquina virtualizada no se ve penalizada en rendimiento.
  • Dirvish (copias pseudo-incrementales). Hace una copia incrementa y lo demás lo vincula mediante enlaces.
  • Gran capacidad de almacenamiento de históricos
  • Compartidos por Samba
  • Backups en discos externos en espejo con diferentes configuraciones RAID.
  • Las copias pueden estar cifradas (LOPD)
  • Recuperación inmediata de cualquier máquina virtual.

http://modularit.com

http://www.modularit.grupocpd.com