:quality(80)/p7i.vogel.de/wcms/6b/19/6b197e071a9b12ff0f73784894bf7c22/0114174631.jpeg "BMC hat die Ergebnisse seiner jährlichen Mainframe-Umfrage veröffentlicht. (Bild: Screenshot / BMC)")
:quality(80)/p7i.vogel.de/wcms/db/e8/dbe8b48b568e4e51af1719f2f51ace70/0114172028.jpeg "Siemon packt in den LightVerse Copper/Fiber Combo Patch Panels Glasfaser- und Kabelverbindungen platzsparend zusammen. (Bild: Screenshot / Siemon)")
:quality(80)/p7i.vogel.de/wcms/d0/4b/d04bcae812dfe0f914aa0b9fe9884fc6/0113966577.jpeg "Die "FALCON-NEST"-Server von PRO DESIGN und der Thomas-Krenn.AG sind speziell für Broadcaster konzipiert. (Bild: Screenshot / Thomas-Krenn.AG)")
:quality(80)/p7i.vogel.de/wcms/e3/09/e3096d6dce558738c51c5ca878041061/0107846251.jpeg "Am 20. Oktober 2022 konnten die Gewinner der diesjährigen Leserwahl zu den DataCenter-Insider-Awards ihre Preise bei einer Abendgala in Empfang nehmen. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/d0/4e/d04ed61cedb2e95dd4239fe7dc09da1c/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1953100/1953154/original.jpg "Die Leserwahl zum DataCenter-Insider-Award hat begonnen. (Vogel IT-Medien GmbH)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883458/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre DataCenter-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d2/d4/d2d436b0a9194a0896bd8fee4da58d76/0114001387.jpeg "Pegasystems erklärt, wie sich KYC-Anwendungen um ESG-Funktionen erweitern lassen. (Bild: Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/2a/f0/2af0d1746c1dcb9e7db3b38251078adc/0113835918.jpeg "Heiko Henkes, Director und Principal Analyst bei ISG: „Jetzt kommt gezwungenermaßen Bewegung in den Markt.“ (Bild: frei lizenziert: )")
:quality(80)/p7i.vogel.de/wcms/c6/0c/c60cd7e71425860f6b5cf3c64ddfa5e4/0113981806.jpeg "Die R + V Versicherung AG will mit „Haftpflicht All Inclusive“ IT- und Telko-Dienstleistern einen Service anbieten, der sowohl Eigenschäden als auch Folgeschäden wie Reputationsverlust ausgleicht. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/a9/01/a90134ec6a31d20143ae7c0d3a92ffde/0113998529.jpeg "Zulassungsbrandversuch für Serverräume nach FM 5560 (Bild: IFAB)")
:quality(80)/p7i.vogel.de/wcms/2d/96/2d96e3fc02ca75eb0b63f0c9fe5519b1/0113966497.jpeg "Das T-Systems-Rechenzentrum in Biere wurde von der Europäischen Kommission für seine hohe Energieeffizienz ausgezeichnet. (Bild: T-Systems)")
:quality(80)/p7i.vogel.de/wcms/d9/cb/d9cb22d0acfa8391e6bc56176259322c/0113769820.jpeg "Der "Carbon and Power Estimator" von Nutanix hilft bei der Verbesserung der Umweltbilanz. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/9b/17/9b177c15b8b71b47e111e05bc330906d/0113894145.jpeg "Die PUE alleine erlaubt noch keine Aussage über die Gesamteffizienz eines Rechenzentrums. (Bild: frei lizenziert: kalhh)")
:quality(80)/p7i.vogel.de/wcms/ce/9b/ce9b8509d35e549ad80c33b1f9db39a2/0113383992.jpeg "Hybrides Arbeiten und die dafür nötigen technischen Voraussetzungen stellen CIOs und IT-Entscheider nicht selten vor Probleme. Nasuni weiß Rat. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/eb/0c/eb0cd9a5aea9713fd6e59812ffbdffde/0113981718.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/0c/15/0c15058cc66cb2baff065d9c09091bf4/0114070279.jpeg "(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/43/7f/437f9bec67622d9e716e5d7ccf9d9319/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/3c/34/3c340f716067b1109a071d4025257c9f/0114038456.jpeg "Welche IT-Trends werden weltweit als solche wahrgenommen und wie umgesetzt? Das Ergebnis ist nicht zwangsläufig konsistent. (Bild: frei lizenziert: Anemone123)")
:quality(80)/p7i.vogel.de/wcms/76/c4/76c4e8c303031ac439320c48e68a1661/0114062761.jpeg "Loady soll das Teilen von Ladeanforderungen und Logistikprozesse vereinfachen. (Bild: Marcin)")
:quality(80)/p7i.vogel.de/wcms/83/fe/83fe4f3efea3ea44d3a3352616f3f9b2/0111426638.jpeg "(Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/72/72/7272a3cb8f7e523ddea0d2825daa49f5/0114018595.jpeg "Effizientes Arbeiten am Edge erfordert gründliche Planung. (Bild: Lukas Bieri)")
:quality(80)/p7i.vogel.de/wcms/92/a9/92a95ebdba618f13f616c1b5959eca6f/0113590802.jpeg "Cloudbasierte Ansätze für ESM und ITSM helfen bei der automatisierten Softwareverteilung. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/5e/ca/5eca30effe330bc9791334e10f372633/0113847116.jpeg "Pang Xin, Vice President der Huawei Data Storage Production Line (l.), und Frank Hua, Vice President für Automotive- und Industriedienstleistungen bei Dekra China, bei der offiziellen Verkündung der Zertifizierungen. (Bild: Huawei)")
:quality(80)/p7i.vogel.de/wcms/19/c3/19c359f249da0701360715edec5a000d/0113792109.jpeg "Computergenerierte Daten in DNA speichern? Ja, das geht, ist aber teuer. (Bild: frei lizenziert: Placidplace)")
:quality(80)/p7i.vogel.de/wcms/19/f2/19f29ccf47d713dcb42526d3dafc4bad/0113770470.jpeg "Der „Storage SuperServer SSG-221E-NE324R“ von Supermicro: Das ist ein
Dual Socket E (LGA-4677)-Rechner, der mit der 4. Generation des Intel-Prozessors „Xeon Scalable“ ausgestattet ist. Er fasst 32 DIMM Slots.
(Bild: Supermicro)")
:quality(80)/p7i.vogel.de/wcms/f7/82/f782d48edfc51a01a144eafbb55e9e7f/0112981446.jpeg "Mit seiner Data Platform bietet Vast Data eine Lösung für den KI-Einsatz. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/72/7d/727d4b5762e7920628f649ca2e6ff836/0113977940.jpeg "Degausser wie der ASM240 von Pro Device machen magnetischen Datenträgern zuverlässig und endgültig den Garaus. (Bild: DAXTEN)")
:quality(80)/p7i.vogel.de/wcms/00/08/0008dfe47fc12aa35ac48c9081dd8e55/0114002226.jpeg "Quantencomputer als Beschleuniger für das High Performance Computing, als Akzelerator für Superrechner im Austausch gegen FPGAs, GPUs oder ASICs? Die bildliche Erfindung auf diesem Bild rückt das schneller in den Bereich des Möglichen als die Forschung. (Bild: frei lizenziert: TheDigitalArtist/ AI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c1/6a/c16a33260b0c1c37e0e41acfd21befd4/0113894190.jpeg "Obwohl Quantencomputer möglicherweise noch Jahre von einer Fertigstellung entfernt sind, gibt es zahlreiche Investoren, die Geld die Zukunftstechnik stecken. (Bild: frei lizenziert: MrBeliever/ KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ef/b8/efb8321c1b72986f374440654e3cf439/0113795323.jpeg "„IQM Spark“ ist für einen Preis von unter einer Million Euro zu haben. (Bild: IQM Quantum Computers)")
:quality(80)/p7i.vogel.de/wcms/d1/85/d185cbb2438733a8d3c9d6e70a31e129/0113005617.jpeg "Erst mithilfe von spezieller Hardware ("Puls-Prozessor") wie der von Quantum Machines kann man mit einem Quantenrechner überhaupt rechnen (Bild: von Quantum Machines )")
:quality(80)/p7i.vogel.de/wcms/f3/da/f3dacd38e5834ae3f3c9d0a4bc9664d3/0113348475.jpeg "Das vom Umweltbundesamt beauftragte Projekt „Public Energy Efficiency Register of Data Centres “ (PeerDC), ist nach Einschätzung der Beteiligten Marina Köhn (UBA), Peter Radgen (IER Uni Stuttgart) und Felix Behrens (Öko-Institut e.V.) ein Erfolg auf ganzer Linie. Das sah DataCenter-Chefredakteurin Ulrike Ostler nach dem DataCenter-Diaries Podcast #16 nicht ganz so rosa. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/f5/90f56ec6cb3ddbdabca2162fd5477836/0113078524.jpeg "(Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/0f/09/0f097990002b7600075e43c92af4a3fd/0110524571.jpeg "(Bild: frei lizenziert/Krystsina Radzewich)")
:quality(80)/p7i.vogel.de/wcms/66/ae/66ae9e32738784b57e2ad8c1a4b0986f/0109756744.jpeg "Eines der in Deutschland befindlichen NTT-Datacenter - in Hattersheim - und das PeerDC-Logo. (Bild: NTT Global Data Centers )")
:quality(80)/p7i.vogel.de/wcms/bb/80/bb80be0c5bd76440174fa8736c0fc68a/0109079523.jpeg "(Bild: Amazon)")
:quality(80)/p7i.vogel.de/wcms/90/40/904072c10c6cfb25aa589ccdc2b731a0/0105957803.jpeg "Diese bunten Rohrleitungen befinden sich nicht in London, sondern im Kühlraum des Google-Rechenzentrums in Singapur. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/28/91/2891191f43d783185e01b7838e3ae6cd/0105726161.jpeg "Aufnahme aus dem islandischen Rechenzentrum „ICE01 DC“ von Atnorth (Bild: Atnorth)")
:quality(80)/p7i.vogel.de/wcms/53/46/5346a50e5bca503a89be890d8ccafb2f/0105679922.jpeg "2020 hat Envia Tel bereits das dritte Rechenzentrum am Standort Taucha in Betrieb genommen; jetzt wurde noch einmal erweitert. (Bild: Envia Tel)")
Configuration Management Ansible, Puppet, Saltstack – Welches Tool ist das richtige?
Der Aufwand, Applikationen und Services für die eigene Firma und für Kunden bereitzustellen, wächst, stetig. Die Anzahl der Systemadministratoren aber bleibt. Stellen bleiben unbesetzt - aus Kostengründen oder weil passendes Know-how nicht gefunden wird. Also müssten Prozesse und Aufgaben automatisiert werden, zum Beispiel mit Tools für das Konfigurations-Management. Was sollte ein solches Tool leisten können?
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/125000/125044/65.jpg "Rosenberger.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133400/133405/65.png "DataCore Logo.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/fe/60fe927d06a96/logo-dc1.png "logo-dc1 (Datacenter One)"){kind=logo}
Configuration Management soll, wie der Name schon sagt, das Konfigurationen von Servern übernehmen. Dabei geht es darum, neue Server mit einer Basiskonfiguration auszustatten und Anwendungen auf diesen Servern zu installieren inklusive den benötigten Anpassungen von Konfigurationsdateien. Neben den neuen Servern ist es aber auch möglich Änderungen global, für einzelne Gruppen oder nur einzelne Hosts auszurollen und jeden Servern manuell umzukonfigurieren.
Wenn ein Administrator etwa die Aufgabe bekommt, 50 neue Linux-Server aufzusetzen und diese mit der unternehmensspezifischen Basiskonfiguration auszustatten, um sie dann an eine andere Abteilung zu übergeben, ist bei manuellem Abarbeiten dieser Aufgabe der Mitarbeiter zeitlich lange gebunden. Aber es besteht auch eine hohe Wahrscheinlichkeit, dass bei 50 neuen Maschinen am Ende bei vereinzelten Fällen Fehler in der Basiskonfiguration bestehen; denn bei dieser Menge wird gerne einmal ein Schritt vergessen. Oder es wird ein Script auf einer Maschine mehrfach ausgeführt und dabei eine Konfiguration durch doppeltes Bearbeiten in einem fehlerhaften Zustand versetzt. Eine automatisierte Umsetzung ist somit nicht nur eine Arbeitserleichterung sondern reduziert die Fehler und schafft Reproduzierbarkeit.
Arbeitserleichterung und Fehlervermeidung
Umgekehrt wird von solchen Tools eine Umsetzung mit Idempotenz als auch eine Form von „Infrastructure as Code“ gefördert und teilweise erzwungen. Idempotenz bedeutet in der IT, dass ein Skript oder Programmcode, mehrfach ausgeführt werden kann, aber immer das gleiche Ergebnis liefert.
Tools für Configuration Management führen dementsprechend nur Änderungen an Konfigurationen durch, die notwendig sind. Wenn die Konfiguration bereits im richtigen Zustand ist, wird der Schritt übersprungen. Damit können die entsprechenden Skripte auf jedem Host mehrfach ausgeführt werden, ohne dass dadurch Probleme entstehen.
Infrastructure as Code hat den Vorteil, dass die Server-Konfiguration in einer lesbaren Form beschrieben ist. Dieser Code wird zentral verwaltet. Die Versionskontrolle erfolgt üblicherweise mit „git“. Typischerweise wird beim Configuration Management der Code zur Umsetzung von der Parametrisierung für die eigene Umgebung getrennt. Dadurch kann der Code universeller gestaltet sein und wiederverwendet werden.
Hilfe durch die Community
In der Community teilen viele ihre Module und Rollen zur Umsetzung der Konfiguration für bestimmte Anwendungen, so dass man nur die entsprechenden Parameter einsetzen muss. Das erspart die Arbeit, die Module für gängige Use-Cases neu zu entwickeln, und durch eine aktive Community werden so bestehende Module weiterentwickelt und verbessert.
Der Code selbst ist typischerweise deskriptiv und verwendet eine für das Tool entwickelt Syntax. Dabei wird Wert auf ein gewisses Maß an Lesbarkeit und Einfachheit gelegt. Darunter werden je nach Tool, die Funktionen in einer Programmiersprache wie „Ruby“ oder „Python“ umgesetzt.
Im Endeffekt beschreiben die Module selbst aber nicht den Weg zur Umsetzung, sondern wie Ressourcen, zum Beispiel installierte Pakete, Dateien und Ordner, auszusehen haben. Dadurch wird ein Soll-Zustand für die Konfiguration erstellt und die Tools vergleichen den Soll- mit dem Ist-Zustand und führen die nötigen Änderungen durch um den Soll-Zustand zu erreichen.
Ansible, Puppet und Saltstack
Es gibt viele Tools, die man für ein Configuration Management einsetzen kann. Die drei gängigsten Open-Source-Produkte sind: „Ansible“, „Puppet“ und „Saltstack“.
Ansible ist der Newcomer unter den Dreien mit einem ersten Release im Jahr 2012. Drei Jahre später hat Red Hat das Tool aufgekauft und entwickelt es weiter. Zu Ansible gibt es eine Enterprise Version mit einer Web-Oberfläche mit der Bezeichnung „Ansible Tower“. Die Upstream-Variante für die Ansible-Tower mit der Oberfläche und einer REST API trägt die Bezeichnung „AWX“. Ansible verwendet als Programmiersprache Python und konfiguriert die Zielsysteme, indem eine SSH-Verbindung geöffnet und mit entsprechenden Python-Skripten die Tasks abgearbeitet wird.
Da Ansible inzwischen auch eine sehr große Community besitzt, gibt es mit „Ansible Galaxy“ einen Community-Hub der als Anlaufstelle für vorgefertige Rollen dient. Mit diesen Rollen stellen andere Nutzer ihre Ansible Umsetzungen für die Konfiguration einer Anwendung oder eines Dienstes, idealerweise mit einer Dokumentation, bereit, so dass man diese nicht komplett selbst schreiben muss. Im besten Fall bekommen andere also mit wenig Aufwand schon eine Lösung. Wenn man eigene Rollen entwickelt, lassen sich diese in Ansible Galaxy anderen Nutzern zur Verfügung stellen. Aktuell umfasst die Ansible Galaxy etwa 22.000 Rollen von anderen Nutzern.
Das Erste
Puppet ist bereits 2005 veröffentlicht worden und war lange Zeit der Platzhirsch unter den Tools. Puppet wird von der Firma Puppetlabs mit Support als Produkt Puppet Enterprise vertrieben.
Im Gegensatz zu Ansible basiert Puppet auf Ruby als Programmiersprache und verwendet eine Client-basierte Kommunikation. Auf den Zielsystemen wird ein so genannter Puppet Agent installiert, der im Normalfall alle 30 min beim entsprechenden `Puppetmaster´ anfrägt, wie die Konfiguration auszusehen hat. Anschließend vergleicht der Agent den Ist- mit dem Soll-Zustand und führt gegebenenfalls die nötigen Änderungen durch um den Soll-Zustand zu erreichen.
Wie bei Ansible gibt es auch bei Puppet eine aktive Community, die ihre Puppet-Module in der „Puppet Forge“ zur Verfügung stellen. Der Umfang ist mit etwa 6.300 Modulen geringer als der von Ansible Galaxy, allerdings sind die Module die hier zur Verfügung stehen in der Regel besser gepflegt und veraltete Module regelmäßig entfernt.
Das Dritte im Bunde
Saltstack von der gleichnamigen Firma wurde 2011 veröffentlicht. Auch hier existiert eine Enterprise Version mit Support vom Hersteller mitder Bezeichnung „Saltstack Enterprise“. Wie bei Ansible wird bei Saltstack Python als Programmiersprache verwendet.
Im Gegensatz zu den anderen beiden Tools aber gibt es bei Saltstack die Möglichkeit, sowohl eine Client-basierte als auch eine Form über SSH zu verwenden. Bei der Variante mit Clients gibt es einen ´Saltmaster`, der die ´Salt Minions` versorgt, ähnlich wie es bei Puppet mit dem Puppetmaster und den Puppet-Agents der Fall ist. Bei der Variante von salt-ssh kann Saltstack ähnlich wie Ansible verwendet werden; die Verbindung wird über SSH hergestellt und das Zielsystem muss keinen Agenten installiert haben, sondern nur einen passenden Zugriff über SSH. Zusätzlich gibt es bei Saltstack die Möglichkeit Aktionen über ´Event-Trigger` auszulösen.
Die Community bei Saltstack ist im Vergleich zu Puppet und Ansible deutlich kleiner. Es gibt fertige Module, so genannte Formulas, in einem Github-Repository der Saltstack-Entwickler. Dabei darf sich auch jeder beteiligen, aber durch die kleinere Community, stehen dort nur etwa 300 Formulas zur Verfügung. Zudem gibt es im Vergleich zu Puppet und Ansible hierbei pro Anwendung nur eine Formula. Bei Puppet und Ansible stehen somit zu bestimmten Anwendungen deutlich mehr Varianten von unterschiedlichen Entwicklern zur Verfügung.
Gemeinsamkeiten und Unterschiede
Bei allen Tools ist die Skriptsprache so gehalten, dass diese lesbar und verständlich sind. Insgesamt gibt es auch hier Gemeinsamkeiten aber die Syntax ist doch bei allen drei Tools unterschiedlich.
Beispiel: Installation des NTP-Pakets (unabhängig von Linux-Distribution) und Einfügen eigener NTP-Server in Ansible
1. Ausschnitt aus Vars-File oder Inventory:
[…]
vars:
ntp_servers:
- ntp1.server.org
- ntp2.server.org
[…]2. Ausschnitt aus Playbook/Role:
tasks:
-.name: install ntp
..package:
....name: ntp
....state: present
-.name: Generate ntp.conf
..template:
....src: ntp.conf.j2
....dest: /etc/ntp.conf
-.name: Ensure NTP is running
..service:
....name: ntpd
....state: started
....enabled: yesAusschnitt aus Template ntp.conf.j2:
[...]
{%.for.item.in.ntp_servers.%}
server.{{ item.}}
{% endfor.%}
[...]Dabei orientiert sich Puppet noch an der Ruby-Basis, während Ansible (s.o.) alles im YAML-Format einfach hält, solange die Einrückungen richtig sind. Sehr einfache Beispiele sind in den Code-Beispielen zu finden.
Beispiel: Installation des NTP-Pakets (unabhängig von Linux-Distribution) und Einfügen eigener NTP-Server in Puppet
1. Ausschnitt aus Hiera:
[…]
ntp::.servers:
- ntp1.server.org
- ntp2.server.org
[...]2. Ausschnitt aus ntp-Module:
package{.ntp:
..ensure =>.latest,
}
file.{ /etc/ntp.conf:
..ensure => present,
..content => epp('ntp/ntp.conf.epp '),
}
service{ 'ntpd ':
.. ensure => running,
.. enable => true,
}2. Ausschnitt aus Template ntp.conf.epp:
[...]
<% $ntp:: servers.each | $server| {-%>
server <%= $server %>
<% } -%>
[...]Beispiel: Installation des NTP-Pakets (unabhängig von Linux-Distribution) und Einfügen eigener NTP-Server in Saltstack
1. Ausschnitt aus Pillars:
[...]
ntp:
..servers: ['ntp1.example.com ','ntp2.example.com','ntp3.example.com ']
[...]2. Ausschnitt aus ntp-state:
ntp:
..pkg.installed:
....- name: ntp
ntp_conf:
..file.managed:
....- name: /etc/ntp.conf
....- template: jinja
....- source: salt :// ntp/ntp-client.conf
ntp_running:
..service.running:
....- name: ntpd
....- enable: True3. Ausschnitt aus Template ntp-client.conf:
[...]
{% set ntpservers = salt['pillar.get ']('ntp:servers ') %}
{% for ntpserver in ntpservers -%}
server {{ ntpserver }}
{% endfor %}
[...]Neben ähnlicher Verwendung des Codes sollte man aber beachten, dass sich die jewilige Terminologie der Tools teilweise unterscheidet. So sind Module bei Ansible und Salt ein anderer Baustein des Konstrukts als Puppet. Dies kann somit bei einem Vergleich verwirrend wirken, wenn man eines der Tools kennt, da unter dem gleichen Namen unter Umständen etwas anderes gemeint ist.
Grundsätzlich ist der Einsatzzweck von allen drei Tools sehr ähnlich – nämlich die Konfiguration und das Management von Servern. Aber auch die kleinen Unterschiede führen dazu, dass bestimmte Szenarien eine bestimmte Form von Tools bevorzugt. So gibt es zum Beispiel Szenarien, in denen ein Client-basiertes Tool besser geeignet ist – und andere in denen ein Tool über SSH mit einer vorgeschriebenen Reihenfolge die Aufgaben besser lösen kann.
Client-basierte Tools überprüfen in regelmäßigen Zeitabständen ob die Konfiguration in dem Zustand vorliegt, wie der jeweilige Master es vorgibt. Das bedeutet wenn am Master einzelne Änderungen für alle, eine Gruppe oder einzelne Hosts eingepflegt werden, dauert es, bei Puppet zum Beispiel maximal 30 Minuten, bis alle Server diese Änderungen umgesetzt haben.
Zusätzlich werden Änderungen, die lokal erzeugt werden, zum Beispiel weil ein User „kurz mal ´was ausprobiert“, bei jedem Durchlauf wieder rückgängig gemacht. Zum Ärgernis des jeweiligen User kann dies Sekunden nach seiner Änderung sein, oder auch nach dem entsprechenden maximalen Zeitintervall, zu dem der Client die Konfiguration erneut überprüft.
Vorteile von regelmäßigen Durchläufen
Dadurch ist eine gewisse Persistenz der Konfiguration gegeben, was für eine Grundkonfiguration eines Servers hilfreich ist, insbesondere auf Systemen, auf denen Benutzer solche Konfigurationen abändern könnten, aber eigentlich nicht sollen. Zudem lassen sich darüber gut die angelegten Benutzer, ihre Gruppen und deren SSH-Keys verwalten, so dass diese auf allen Systemen die gleichen IDs verwenden. Das ist zum Beispiel für Service-Accounts hilfreich, die lokal bestehen und nicht von einem Identity Management versorgt werden.
Tools wie Ansible, die gezielt ausgelöst werden, eignen sich somit deutlich besser für Aufgaben, bei denen die Reihenfolge eine Rolle spielt. Bei der Installation eines Kubernetes-Clusters muss zuerst ein Master installiert werden, an den sich dann weitere Server verbinden, um das Cluster-Netzwerk aufzubauen. Eine Aufgabe, für die mehrere Server Tasks abarbeiten und deren Voraussetzungen zunächst auf anderen Maschinen erfüllt sein müssen, ist die Umsetzung über Clients, die nur in bestimmten Intervallen Änderungen durchführen, schwierig umzusetzen.
Die SSH-basierten Tools werden daher häufig verwendet, um Anwendungen zu installieren und zu konfigurieren. Sie werden erst ein weiteres Mal ausgeführt, wenn Änderungen ausgerollt werden müssen. Im Gegensatz zur Persistenz von den Client-basierten Tools ist unter Umständen auch gewünscht, dass Änderungen an der Konfiguration vorgenommen werden dürfen und somit, dass das Configuration-Management-Tool nur einen Anfangszustand definiert.
Unverträglichkeiten und Kombinationen
Die Wahl des Tools darf nicht im Konflikt mit anderen Anwendungen stehen. Ein Kubernetes-Cluster verwaltet zum Beispiel dynamisch anhand der darauf laufenden Container, die Firewall-Regeln von „iptables“. Wenn Puppet diese Regeln ebenfalls verwaltet und die dynamisch erzeugten Regeln löscht oder überschreibt, sind die entsprechenden Dienste aus den Containern des Kubernetes-Clusters nicht mehr lauffähig oder erreichbar.
Zugleich aber ist ist eine Kombination von mehr als einem Tool nicht ausgeschlossen. Es kann durchaus Sinn machen, die Basiskonfiguration von Servern mit einem Tool wie Puppet umzusetzen, während die Anwendungen, die auf dem Server betrieben werden sollen, über eine Tool wie Ansible zu installieren und konfigurieren werden.
Da solche Konstellationen häufig mit unterschiedlichen Abteilungen eines Unternehmens verknüpft sind, müssen wie in dem Beispiel zu den Firewall-Regeln mit Kubernetes auch hier Vorkehrungen beziehungsweise Absprachen getroffen werden. Es sollte ausgeschlossen sein, dass zwei unterschiedliche Tools die gleiche Konfiguration bearbeiten. Ist so etwas der Fall „gewinnt“ langfristig gesehen das Tool mit periodischen Durchläufen über jenes, welches nur einmal ausgeführt wird.
Die Wahl
Die Wahl des richtigen Tools hängt somit von mehreren Faktoren ab.
- Zunächst spielt es eine Rolle, welche Ziele beziehungsweise Anwendungen mit dem Tool konfiguriert werden sollen. Dadurch kann sich bereits eine Präferenz ergeben: Ist es ein Client- oder ssh-basiertes Tool?
- Wenn noch kein Tool vorhanden ist, kann entscheidend sein, ob für die gewünschten Zwecke bereits viele Ressourcen in der Community vorhanden sind. Denn bei einer umfangreichen Infrastruktur und deren Konfiguration, ist der Zeitaufwand höher, wenn zunächst die passenden Module und Rollen zu schreiben sind, um alle Konfigurationen damit umzusetzen. Wenn auf eine aktive Community zurückgegriffen werden kann, in der vorgefertigte und dokumentierte Rollen verfügbar sind, kann dies umgekehrt den Zeitaufwand deutlich reduzieren.
- Außerdem spielen die Features eine Rolle. So kann zum Beispiel die Möglichkeit von Saltstack, Events zu überwachen und bei der Überschreitung von bestimmten Grenzwerten eine gewünschte Rollen oder Aktion auszulösen, ein deutlicher Mehrwert sein und die größere Auswahl von Community-Modulen übertrumpfen. Das dürfte insbesondere der Fall sein, wenn ohnehin sehr spezielle oder selbstentwickelte Software konfiguriert und einen Großteil der Module selbst geschrieben werden muss.
Grundsätzlich aber lassen sich die meisten Aufgaben mit jedem der drei Tools erreichen.
* Dr. Jonas Trüstedt arbeitet für die Atix Informationstechnologie und Consulting AG, München.
(ID:46292132)
:quality(80)/p7i.vogel.de/wcms/3b/08/3b08ba5a7893534c812aa13368f35a07/0108014944.jpeg "Nicht nur der große Überblick, sondern auch viele technische Handreichungen für den Arbeitsalltag der Administratoren prägten die OSAD 2022 (Bild: von ATIX AG)")
:quality(80)/p7i.vogel.de/wcms/aa/67/aa675202bbba96b26337a4c58dfd6f75/0111260221.jpeg "„Zabbix“ ist ein Open-Source-tool für das Monitoring von IT, egal ob diese sich im eigenen Rechenzentrum und in der Cloud. (Bild: frei lizenziert: Gerd Altmann)")