Debian, Openswan y Fortigate – 1

Me preguntaron: ¿Es posible con un servidor Linux establecer una VPN IPsec contra un dispositivo Fortigate usando como enlace de Internet un servicio ADSL de TELMEX?

Según este enlace es posible: Using an Openswan client with FortiGate VPN, pero no me pareció tan sencillo como se menciona.

Los equipos Fortigate de la marca Fortinet tienen una interfaz gráfica cómoda que nos permite realizar dependiendo nuestras necesidades diversas VPN como PPTP, SSL e IPsec.

En este pequeño documento describiré la conexión de Openswan con un par de modelos Fortigate que son el 500 y el 600C. Lo realizare de una manera conforme me fui topando con diversos problemas de conexión.

Los parámetros serán los siguientes:

Cliente Debian Linux 7.2.0
Openswan versión 2.6.37
Fortigate 500 y 600C.
Enlace dedicado con IP publica del lado del firewall Fortinet.
Enlace de Internet ADSL Telmex Infinitum con IP dinámica.

El diagrama de red lo presento a continuación.

Diagrama de red.

Diagrama de red.

Tenemos una LAN con red 192.168.1.0/24 que es la red de una pequeña oficina que se necesita conectar a servicios que están en una oficina matriz con red 172.16.30.0/28.

Nombraremos a la red matriz como Iturbide y a la oficina remota como Guerrero.

Oficina Guerrero:

Equipos de la oficina (PC, Laptop, Impresoras): 192.168.10-30/24
Servidor Debian Linux con Openswan: 192.168.1.100.
Router ADSL: 192.168.1.254

Oficina Iturbide:

Equipos de la oficina (PC, Servidores, BD): 172.16.30.2-12/28
Equipo Fortigate 500: 172.16.30.1
IP publica: 200.xxx.xxx.xxx

Creación de la VPN en el equipo Fortigate 500.

Vamos a configurar la VPN en el equipo Fortigate mediante su interfaz web.

IPsec-FG-500-1

Creamos la fase 1.

Name Openswan_p1_Guerrero
Remote Gateway Dialup User
Local Interface external (WAN1)
Mode Main (ID protection)
Authentication Method Preshared Key
Pre-shared Key ConexionPruebas

IPsec-FG-500-2-2

Creamos la fase 2.

Name Openswan_p2_Guerrero
Phase 1 Openswan_p1_Guerrero

IPsec-FG-500-3

Con esto ya tenemos nuestra VPN configurada posteriormente agregaremos un par de detalles.

IPsec-FG-500-4

Creamos la red origen.

Name Red-Oficina-Iturbide
Type Subnet/IP Range
Subnet/IP Range 172.16.30.0/255.255.255.240
Interface port1 (internal)

IPsec-FG-500-6

Creamos la red destino.

Name Red-Oficina-Guerrero
Type Subnet/IP Range
Subnet/IP Range 192.168.1.0/255.255.255.0
Interface external (WAN1)

IPsec-FG-500-5

Vamos a crear la política.

Source Interface/Zone port1 (internal)
Source Address Red-Oficina-Iturbide
Destination Interface/Zone external (WAN1)
Destination Address Red-Oficina-Guerrero
Schedule always
Service ANY
Action IPSEC
VPN Tunnel Openswan_p1_Guerrero

IPsec-FG-500-7

Por el momento eso es todo lo que haremos en el dispositivo fortigate posteriormente realizaremos mas cambios.

Partimos de una instalación básica solamente con el servicio de SSH instalado, por lo cual instalaremos openswan junto con sus dependencias.

Verificamos el núcleo y la versión de nuestro sistema Debian.

root@debian-tester:~# uname -a
Linux debian-tester 3.2.0-4-amd64 #1 SMP Debian 3.2.51-1 x86_64 GNU/Linux
root@debian-tester:~# cat /etc/issue.net
Debian GNU/Linux 7

Vamos a buscar los paquetes.

root@debian-tester:~# aptitude search openswan
p   openswan                                                                                - Internet Key Exchange daemon                                                                      
p   openswan-dbg                                                                            - Internet Key Exchange daemon - debugging symbols                                                  
p   openswan-doc                                                                            - Internet Key Exchange daemon - documentation                                                      
p   openswan-modules-dkms                                                                   - Internet Key Exchange daemon - DKMS source                                                        
p   openswan-modules-source                                                                 - Internet Key Exchange daemon - kernel module source

Instalamos la aplicación.

root@debian-tester:~# aptitude install openswan
The following NEW packages will be installed:
  bind9-host{a} ca-certificates{a} geoip-database{a} host{a} libbind9-80{a} libcap2{a} libclass-isa-perl{a} libcurl3{a} libdns88{a} libgeoip1{a} libisc84{a} libisccc80{a} libisccfg82{a} 
  libldap-2.4-2{a} liblwres80{a} librtmp0{a} libsasl2-2{a} libsasl2-modules{a} libssh2-1{a} libswitch-perl{a} libxml2{a} openssl{a} openswan perl{a} perl-modules{a} sgml-base{a} 
  xml-core{a} 
0 packages upgraded, 27 newly installed, 0 to remove and 0 not upgraded.
Need to get 14.8 MB of archives. After unpacking 48.2 MB will be used.
Do you want to continue? [Y/n/?] Y
Get: 1 http://security.debian.org/ wheezy/updates/main libcurl3 amd64 7.26.0-1+wheezy6 [331 kB]
Get: 2 http://ftp.de.debian.org/debian/ wheezy/main libcap2 amd64 1:2.22-1.2 [13.6 kB]
Get: 3 http://ftp.de.debian.org/debian/ wheezy/main libsasl2-2 amd64 2.1.25.dfsg1-6+deb7u1 [120 kB]
.
.
.
Setting up openswan (1:2.6.37-3) ...
ipsec_setup: Starting Openswan IPsec 2.6.37-g955aaafb-dirty...
ipsec_setup: No KLIPS support found while requested, desperately falling back to netkey
ipsec_setup: NETKEY support found. Use protostack=netkey in /etc/ipsec.conf to avoid attempts to use KLIPS. Attempting to continue with NETKEY
Setting up libclass-isa-perl (0.36-3) ...
.
.
.
Updating certificates in /etc/ssl/certs... 158 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....done.
Processing triggers for sgml-base ...

Verificamos el estado del servicio y por el momento no hay ningún túnel arriba.

root@debian-tester:~# /etc/init.d/ipsec status
IPsec running  - pluto pid: 4606
pluto pid 4606
No tunnels up

Tomando como referencia la documentación de la base de conocimientos de fortinet tenemos la siguiente configuración inicial:

conn office 
 #left side is home
 left=%defaultroute
 #right side is work
 #set right to vpn remote gateway
 right=xxx.xxx.xxx.xxx
 #set rightsubnet to remote network
 rightsubnet=172.20.120.0/24
 keyexchange=ike
 #auth=esp
 #auto=start
 authby=secret
 #specify encryption FortiGate VPN uses
 esp=3des
 #perfect forward secrecy (default yes)
 #pfs=no
 #optionally enable compression
 compress=yes

Crearemos un archivo llamado iturbide.conf dentro del directorio /etc/ipsec.d/ el cual tendrá el siguiente contenido cambiando las opciones adecuándolas a nuestro esquema de red.

root@debian-tester:~# cat /etc/ipsec.d/iturbide.conf
conn iturbide
 #left side is home
 left=%defaultroute
 #right side is work
 #set right to vpn remote gateway
 right=200.xxx.xxx.xxx
 #set rightsubnet to remote network
 rightsubnet=172.16.30.0/28
 keyexchange=ike
 #auth=esp
 #auto=start
 authby=secret
 #specify encryption FortiGate VPN uses
 esp=3des
 #perfect forward secrecy (default yes)
 #pfs=no
 #optionally enable compression
 compress=yes

Al final del archivo /etc/ipsec.secrets colocamos nuestra contraseña de la siguiente manera:

root@debian-tester:~# cat /etc/ipsec.secrets 
# This file holds shared secrets or RSA private keys for inter-Pluto
# authentication.  See ipsec_pluto(8) manpage, and HTML documentation.
 
# RSA private key for this host, authenticating it to any other host
# which knows the public part.  Suitable public keys, for ipsec.conf, DNS,
# or configuration of other implementations, can be extracted conveniently
# with "ipsec showhostkey".
 
# this file is managed with debconf and will contain the automatically created RSA keys
include /var/lib/openswan/ipsec.secrets.inc
 
: PSK "ConexionPruebas"

Reiniciamos el servicio de IPsec.

root@debian-tester:~# /etc/init.d/ipsec restart
ipsec_setup: Stopping Openswan IPsec...
ipsec_setup: Starting Openswan IPsec 2.6.37-g955aaafb-dirty...
ipsec_setup: No KLIPS support found while requested, desperately falling back to netkey
ipsec_setup: NETKEY support found. Use protostack=netkey in /etc/ipsec.conf to avoid attempts to use KLIPS. Attempting to continue with NETKEY

Si tenemos un error como el siguiente se debe a que existe un espacio o tabulador en la linea donde esta la opción de include /etc/ipsec.d/*.conf.

root@debian-tester:~# /etc/init.d/ipsec restart
failed to start openswan IKE daemon - the following error occured:
can not load config '/etc/ipsec.conf': /etc/ipsec.conf:41: syntax error, unexpected INCLUDE [include]
root@debian-tester:~# cat /etc/ipsec.conf | grep include
        include /etc/ipsec.d/*.conf
root@debian-tester:~# cat /etc/ipsec.conf | grep include
include /etc/ipsec.d/*.conf

Ahora iniciamos la VPN.

root@debian-tester:~# ipsec auto --add iturbide
root@debian-tester:~# ipsec auto --up iturbide
022 "iturbide": We cannot identify ourselves with either end of this connection.

Tenemos un error que es asociado a que no puede identificar nuestra correcta puerta de enlace, así que empezaremos a modificar un poco la configuración en la que nos basamos, cambiamos el parametro left y agregar leftsubnet que sera la red origen y lefnexthop que es nuestro puerta de enlace.

root@debian-tester:~# vim /etc/ipsec.d/iturbide.conf
left=192.168.1.100
leftsubnet=192.168.1.0/24
leftnexthop=192.168.1.254

Reiniciamos de nuevo.

root@debian-tester:~# /etc/init.d/ipsec restart

Volvemos a iniciar la conexión.

root@debian-tester:~# ipsec auto --add iturbide
root@debian-tester:~# ipsec auto --up iturbide
104 "iturbide" #1: STATE_MAIN_I1: initiate
003 "iturbide" #1: received Vendor ID payload [RFC 3947] method set to=109 
003 "iturbide" #1: received Vendor ID payload [Dead Peer Detection]
106 "iturbide" #1: STATE_MAIN_I2: sent MI2, expecting MR2
003 "iturbide" #1: NAT-Traversal: Result using RFC 3947 (NAT-Traversal): i am NATed
108 "iturbide" #1: STATE_MAIN_I3: sent MI3, expecting MR3
004 "iturbide" #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192 prf=oakley_sha group=modp1536}
117 "iturbide" #2: STATE_QUICK_I1: initiate
003 "iturbide" #2: ignoring informational payload, type IPSEC_RESPONDER_LIFETIME msgid=0cd368e8
004 "iturbide" #2: STATE_QUICK_I2: sent QI2, IPsec SA established tunnel mode {ESP=>0x10c29931 <0xfb540947 xfrm=3DES_0-HMAC_MD5 NATOA=none NATD=none DPD=none}

Logramos iniciar la conexión satisfactoriamente vamos a verificar el estado de la VPN.

root@debian-tester:~# ipsec auto --status
000 using kernel interface: netkey
000 interface lo/lo ::1
000 interface lo/lo 127.0.0.1
000 interface lo/lo 127.0.0.1
000 interface eth0/eth0 192.168.1.100
000 interface eth0/eth0 192.168.1.100
000 %myid = (none)
000 debug none
.
.
.
000  
000 "iturbide": 192.168.1.0/24===192.168.1.100<192.168.1.100>[+S=C]---192.168.1.254...200.xxx.xxx.xxx<200.xxx.xxx.xxx>[+S=C]===172.16.30.0/28; erouted; eroute owner: #2
000 "iturbide":     myip=unset; hisip=unset;
000 "iturbide":   ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "iturbide":   policy: PSK+ENCRYPT+COMPRESS+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKOD; prio: 24,28; interface: eth0; 
000 "iturbide":   newest ISAKMP SA: #1; newest IPsec SA: #2; 
000 "iturbide":   IKE algorithm newest: 3DES_CBC_192-SHA1-MODP1536
000 "iturbide":   ESP algorithms wanted: 3DES(3)_000-MD5(1)_000, 3DES(3)_000-SHA1(2)_000; flags=-strict
000 "iturbide":   ESP algorithms loaded: 3DES(3)_192-MD5(1)_128, 3DES(3)_192-SHA1(2)_160
000 "iturbide":   ESP algorithm newest: 3DES_000-HMAC_MD5; pfsgroup=<Phase1>
000  
000 #2: "iturbide":4500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 27276s; newest IPSEC; eroute owner; isakmp#1; idle; import:admin initiate
000 #2: "iturbide" esp.10c29931@200.xxx.xxx.xxx esp.fb540947@192.168.1.100 tun.0@200.xxx.xxx.xxx tun.0@192.168.1.100 ref=0 refhim=4294901761
000 #1: "iturbide":4500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 2471s; newest ISAKMP; lastdpd=1s(seq in:0 out:0); idle; import:admin initiate
000

El servicio ya nos indica que tenemos un túnel conectado.

root@debian-tester:~# /etc/init.d/ipsec status
IPsec running  - pluto pid: 9186
pluto pid 9186
1 tunnels up
some eroutes exist

Y tenemos trafico desde nuestro servidor al equipo fortigate.

root@debian-tester:~# ping 172.16.30.1
PING 172.16.30.1 (172.16.30.1) 56(84) bytes of data.
64 bytes from 172.16.30.1: icmp_req=1 ttl=255 time=26.6 ms
64 bytes from 172.16.30.1: icmp_req=2 ttl=255 time=25.8 ms
64 bytes from 172.16.30.1: icmp_req=3 ttl=255 time=27.7 ms
64 bytes from 172.16.30.1: icmp_req=4 ttl=255 time=28.6 ms
64 bytes from 172.16.30.1: icmp_req=5 ttl=255 time=31.9 ms
^C
--- 172.16.30.1 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4008ms
rtt min/avg/max/mdev = 25.895/28.167/31.957/2.112 ms

De igual manera el equipo fortigate puede alcanzar a nuestro servidor Openswan.

FGT5002803033352 # execute ping 192.168.1.100
PING 192.168.1.100 (192.168.1.100): 56 data bytes
64 bytes from 192.168.1.100: icmp_seq=0 ttl=64 time=28.7 ms
64 bytes from 192.168.1.100: icmp_seq=1 ttl=64 time=28.5 ms
64 bytes from 192.168.1.100: icmp_seq=2 ttl=64 time=26.9 ms
64 bytes from 192.168.1.100: icmp_seq=3 ttl=64 time=27.8 ms
64 bytes from 192.168.1.100: icmp_seq=4 ttl=64 time=25.8 ms
 
--- 192.168.1.100 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 25.8/27.5/28.7 ms

Ahora eso es del lado de nuestro servidor si queremos algo de debug en el fortigate podemos acceder mediante consola o SSH a estos equipos y ejecutar el modo de diagnostico para este tipo de conexión de la siguiente manera.

FGT5002803033352 # diagnose debug console 
FGT5002803033352 # diagnose debug enable
FGT5002803033352 # diagnose debug application ike -1

Justamente cuando iniciamos la conexión en nuestro servidor aquí empezó a registrar todo el proceso de conexión.

FGT5002803033352 # 0: comes 201.124.89.127:49198->200.xxx.xxx.xxx:500,ifindex=3....                                                                                                               
0: exchange=Identity Protection id=0334eedbdbcc0a40/0000000000000000 len=592                                                                                                                    
0:Openswan_p1_Guerrero: new connection.                                                                                                                                                         
0:Openswan_p1_Guerrero:44: responder: main mode get 1st message...
0:Openswan_p1_Guerrero:44: unknown VID (12): OEfdpoplS^}i
0:Openswan_p1_Guerrero:44: VID DPD
0:Openswan_p1_Guerrero:44: DPD negotiated
0:Openswan_p1_Guerrero:44: VID RFC 3947
0:Openswan_p1_Guerrero:44: VID draft-ietf-ipsec-nat-t-ike-03
0:Openswan_p1_Guerrero:44: VID draft-ietf-ipsec-nat-t-ike-02
 
0:Openswan_p1_Guerrero:44: VID draft-ietf-ipsec-nat-t-ike-02
0:Openswan_p1_Guerrero:44: VID draft-ietf-ipsec-nat-t-ike-00
0:Openswan_p1_Guerrero:44: negotiation result
0:Openswan_p1_Guerrero:44: proposal id = 1:
0:Openswan_p1_Guerrero:44:   protocol id = ISAKMP:
0:Openswan_p1_Guerrero:44:      trans_id = KEY_IKE.
0:Openswan_p1_Guerrero:44:      encapsulation = IKE/none
0:Openswan_p1_Guerrero:44:         type=OAKLEY_ENCRYPT_ALG, val=3DES_CBC.
0:Openswan_p1_Guerrero:44:         type=OAKLEY_HASH_ALG, val=SHA.
0:Openswan_p1_Guerrero:44:         type=AUTH_METHOD, val=PRESHARED_KEY.
0:Openswan_p1_Guerrero:44:         type=OAKLEY_GROUP, val=1536.
0:Openswan_p1_Guerrero:44: ISKAMP SA lifetime=28800
0:Openswan_p1_Guerrero:44: selected NAT-T version: RFC 3947
0:Openswan_p1_Guerrero:44: cookie 0334eedbdbcc0a40/2980a6536ba23616
0:Openswan_p1_Guerrero:44: sent IKE msg (ident_r1send): 200.xxx.xxx.xxx:500->201.124.89.127:49198, len=120
Openswan_p1_Guerrero: Responder: sent 201.124.89.127 main mode message #1 (OK)
0: comes 201.124.89.127:49198->200.xxx.xxx.xxx:500,ifindex=3....
0: exchange=Identity Protection id=0334eedbdbcc0a40/2980a6536ba23616 len=292
0: found Openswan_p1_Guerrero 200.xxx.xxx.xxx 3 -> 201.124.89.127:49198
0:Openswan_p1_Guerrero:44: responder:main mode get 2nd message...
0:Openswan_p1_Guerrero:44: NAT detected: PEER
0:Openswan_p1_Guerrero:44: sent IKE msg (ident_r2send): 200.xxx.xxx.xxx:500->201.124.89.127:49198, len=292
0:Openswan_p1_Guerrero:44: put connection to natt list...ip=201.124.89.127.
Openswan_p1_Guerrero: Responder: sent 201.124.89.127 main mode message #2 (OK)
0: comes 201.124.89.127:49199->200.xxx.xxx.xxx:4500,ifindex=3....
0: exchange=Identity Protection id=0334eedbdbcc0a40/2980a6536ba23616 len=68
0:Openswan_p1_Guerrero:44: responder: main mode get 3rd message...
0:Openswan_p1_Guerrero:44: PSK authentication succeeded
0:Openswan_p1_Guerrero:44: authentication OK
0:Openswan_p1_Guerrero: adding new dialup tunnel for 201.124.89.127:49199
0:Openswan_p1_Guerrero_0: added new dialup tunnel for 201.124.89.127:49199
Openswan_p1_Guerrero_0: Responder: parsed 201.124.89.127 main mode message #3 (DONE)
0:Openswan_p1_Guerrero_0:44: confirmed nat-t RFC 3947
0:Openswan_p1_Guerrero_0:44: sent IKE msg (ident_r3send): 200.xxx.xxx.xxx:4500->201.124.89.127:49199, len=68
Openswan_p1_Guerrero_0: Responder: sent 201.124.89.127 main mode message #3 (DONE)
0:Openswan_p1_Guerrero_0:44: ISAKMP SA established
0:Openswan_p1_Guerrero_0:44: no pending Quick-Mode negotiations
0: comes 201.124.89.127:49199->200.xxx.xxx.xxx:4500,ifindex=3....
0: exchange=Quick id=0334eedbdbcc0a40/2980a6536ba23616:e868d30c len=412
0: found Openswan_p1_Guerrero_0 200.xxx.xxx.xxx 3 -> 201.124.89.127:49199
0:Openswan_p1_Guerrero_0:44::852: responder received first quick-mode message
0:Openswan_p1_Guerrero_0:44:852: peer proposal is: peer:192.168.1.0-192.168.1.255, me:172.16.30.0-172.16.30.15, ports=0/0, protocol=0/0
0:Openswan_p1_Guerrero_0:44:852: trying Openswan_p2_Guerrero
0:Openswan_p1_Guerrero_0:44:Openswan_p2_Guerrero:852: matched phase2
0:Openswan_p1_Guerrero_0:44:Openswan_p2_Guerrero:852: dialup
0:Openswan_p1_Guerrero_0:44: cmpsaprop: natt flags 0x5, pr1 encmode 3, pr2 encmode 1
0:Openswan_p1_Guerrero_0:44:Openswan_p2_Guerrero:852: negotiation result
0:Openswan_p1_Guerrero_0:44:Openswan_p2_Guerrero:852: proposal id = 0:
0:Openswan_p1_Guerrero_0:44:Openswan_p2_Guerrero:852:   protocol id = IPSEC_ESP:
0:Openswan_p1_Guerrero_0:44:Openswan_p2_Guerrero:852:      trans_id = ESP_3DES
0:Openswan_p1_Guerrero_0:44:Openswan_p2_Guerrero:852:      encapsulation = ENCAPSULATION_MODE_TUNNEL
0:Openswan_p1_Guerrero_0:44:Openswan_p2_Guerrero:852:         type = AUTH_ALG, val=MD5
0:Openswan_p1_Guerrero_0:44:Openswan_p2_Guerrero:852: set pfs=1536
0:Openswan_p1_Guerrero_0:44:Openswan_p2_Guerrero:852: encapsulation = 1
0:Openswan_p1_Guerrero_0:44:Openswan_p2_Guerrero:852: using udp tunnel mode.
0:Openswan_p1_Guerrero_0:44:Openswan_p2_Guerrero:852: add RESPONDER-LIFETIME 1800 seconds
0:Openswan_p1_Guerrero_0:44: confirmed nat-t RFC 3947
0:Openswan_p1_Guerrero_0:44: sent IKE msg (quick_r1send): 200.xxx.xxx.xxx:4500->201.124.89.127:49199, len=388
Openswan_p1_Guerrero_0: Responder: sent 201.124.89.127 quick mode message #1 (OK)
0: comes 201.124.89.127:49199->200.xxx.xxx.xxx:4500,ifindex=3....
0: exchange=Quick id=0334eedbdbcc0a40/2980a6536ba23616:e868d30c len=52
0: found Openswan_p1_Guerrero_0 200.xxx.xxx.xxx 3 -> 201.124.89.127:49199
0:Openswan_p1_Guerrero_0:44:Openswan_p2_Guerrero:852: set sa life soft seconds=1790.
0:Openswan_p1_Guerrero_0:44:Openswan_p2_Guerrero:852: set sa life hard seconds=1800.
0:Openswan_p1_Guerrero_0:44:Openswan_p2_Guerrero:852: add SA #src=1 #dst=1
0:Openswan_p1_Guerrero_0:44:Openswan_p2_Guerrero:852: src 0 7 0.0.0.0-255.255.255.255
0:Openswan_p1_Guerrero_0:44:Openswan_p2_Guerrero:852: dst 0 7 192.168.1.0-192.168.1.255
0:Openswan_p1_Guerrero_0:44:Openswan_p2_Guerrero:852: installed SA: SPIs=10c29931/fb540947
0:Openswan_p1_Guerrero_0:44:Openswan_p2_Guerrero:852: sending SNMP tunnel UP trap
Openswan_p1_Guerrero_0: Responder: parsed 201.124.89.127 quick mode message #2 (DONE)
0:Openswan_p1_Guerrero_0: link is idle 3 200.xxx.xxx.xxx->201.124.89.127:49199 dpd=2 seqno=1
shrank heap by 122880 bytes
0:Openswan_p1_Guerrero_0: link is idle 3 200.xxx.xxx.xxx->201.124.89.127:49199 dpd=2 seqno=2
0:Openswan_p1_Guerrero_0: send DPD probe, seqno 2
0:Openswan_p1_Guerrero_0:44: confirmed nat-t RFC 3947

0:Openswan_p1_Guerrero_0:44: sent IKE msg (R-U-THERE): 200.xxx.xxx.xxx:4500->201.124.89.127:49199, len=92
0: comes 201.124.89.127:49199->200.xxx.xxx.xxx:4500,ifindex=3….
0: exchange=Informational id=0334eedbdbcc0a40/2980a6536ba23616:23aa5bf4 len=84
0: found Openswan_p1_Guerrero_0 200.xxx.xxx.xxx 3 -> 201.124.89.127:49199
0:Openswan_p1_Guerrero_0:44: notify msg received: R-U-THERE-ACK
0:Openswan_p1_Guerrero_0: link is idle 3 200.xxx.xxx.xxx->201.124.89.127:49199 dpd=2 seqno=3
0:Openswan_p1_Guerrero_0: send DPD probe, seqno 3
0:Openswan_p1_Guerrero_0:44: confirmed nat-t RFC 3947

0:Openswan_p1_Guerrero_0:44: sent IKE msg (R-U-THERE): 200.xxx.xxx.xxx:4500->201.124.89.127:49199, len=92
0: comes 201.124.89.127:49199->200.xxx.xxx.xxx:4500,ifindex=3....
0: exchange=Informational id=0334eedbdbcc0a40/2980a6536ba23616:d2b2b49e len=84
0: found Openswan_p1_Guerrero_0 200.xxx.xxx.xxx 3 -> 201.124.89.127:49199
0:Openswan_p1_Guerrero_0:44: notify msg received: R-U-THERE-ACK
0:Openswan_p1_Guerrero_0: link is idle 3 200.xxx.xxx.xxx->201.124.89.127:49199 dpd=2 seqno=4
0:Openswan_p1_Guerrero_0: send DPD probe, seqno 4
0:Openswan_p1_Guerrero_0:44: confirmed nat-t RFC 3947

En la interfaz web podemos visualizar el estado de la VPN.

IPsec-FG-500-8

Si queremos detener la VPN bastara lo siguiente.

root@debian-tester:~# ipsec auto --down iturbide
root@debian-tester:~# ipsec auto --delete iturbide

Para iniciar la VPN automáticamente cada vez que el servicio de IPsec se ejecute necesitamos habilitar en nuestro archivo de configuración el siguiente parámetro.

#auto=start

El archivo final de nuestra configuración queda de la siguiente manera:

root@debian-tester:~# cat /etc/ipsec.d/iturbide.conf
conn iturbide
 #left side is home
 left=192.168.1.100
 leftsubnet=192.168.1.0/24
 leftnexthop=192.168.1.254
 #right side is work
 #set right to vpn remote gateway
 right=200.xxx.xxx.xxx
 #set rightsubnet to remote network
 rightsubnet=172.16.30.0/28
 keyexchange=ike
 #auth=esp
 auto=start
 authby=secret
 #specify encryption FortiGate VPN uses
 esp=3des
 #perfect forward secrecy (default yes)
 #pfs=no
 #optionally enable compression
 compress=yes

Referencias para saber más:

Using an Openswan client with FortiGate VPN

http://www.iphouse.com/blog/2012/01/20/debugging-ipsec-vpns-in-fortigate/

http://wildengineer.ilcavolfiore.it/?p=454

http://listarc.com/showthread.php?1179640-Openswan+to+Fortigate+60B+-+VPN

http://www.slashroot.in/linux-ipsec-site-site-vpnvirtual-private-network-configuration-using-openswan

http://www.linuxparatodos.net/portal/staticpages/index.php?page=openswan-diseno-vpn

VNC, twm y XTerm para configuraciones remotas.

En servidores Linux donde en muchos de los casos no tendremos un sistema gráfico instalado como puede ser Gnome o KDE, podemos encontrarnos con la circunstancia de que necesitemos instalar un programa que necesite ejecutar al menos una ventana en un entorno gráfico aunque sea mínimo.

En este caso necesitamos entrar a ciertos servidores algunas veces y poder desplegar un navegador web para manipular modems ADSL y alguna impresora mediante su interfaz web y no tener que hacerlo desde el equipo de un usuario.

Utilizaremos servidores Linux Debian con la mas mínima instalación por que su función solamente es realizar una VPN y unas pocas labores como router.

Así que instalaremos el servicio de VNC y un navegador web mediante pocas instrucciones utilizando el sistema de paquetes de debian. Al decir una instalación básica nos referimos a que solo agregamos el servicio de SSH utilizando el CD de instalación por red (netinst) para debian 7.

Debianita-VNC-1

No instalamos el ambiente de escritorio, sistema de impresión, tampoco las utilidades para laptop ni las herramientas por defecto del sistema.

Debianita-VNC-38

Solo el servicio de SSH.

Debianita-VNC-39

Nos conectamos mediante SSH al servidor para empezar la instalación que consistirá básicamente de cuatro paquetes junto con todas sus dependencias, los cuales son: iceweasel, twm, xterm y vnc4server.
Ejecutamos la actualización de aptitude y tener listo nuestro repositorio.

gabriel@daneel:~$ ssh root@192.168.1.61
root@debian-tester:~# aptitude update

Primero vamos con el navegador web que en Debian de manera predeterminada es iceweasel (Firefox) el cual para instalarse necesitara 61 paquetes.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
root@debian-tester:~# aptitude install iceweasel
The following NEW packages will be installed:
  dbus{a} fontconfig{a} fontconfig-config{a} hicolor-icon-theme{a} hunspell-en-us{a} iceweasel libasound2{a} 
  libatk1.0-0{a} libatk1.0-data{a} libavahi-client3{a} libavahi-common-data{a} libavahi-common3{a} libcairo2{a} 
  libcap2{a} libclass-isa-perl{a} libcups2{a} libdatrie1{a} libdbus-1-3{a} libdbus-glib-1-2{a} libevent-2.0-5{a} 
  libfontconfig1{a} libgdk-pixbuf2.0-0{a} libgdk-pixbuf2.0-common{a} libglib2.0-0{a} libglib2.0-data{a} libgtk2.0-0{a} 
  libgtk2.0-bin{a} libgtk2.0-common{a} libhunspell-1.3-0{a} libjasper1{a} libjbig0 libjpeg8{a} libmozjs17d{a} libnspr4{a} 
  libnss3{a} libpango1.0-0{a} libpcre3{a} libpng12-0{a} libstartup-notification0{a} libswitch-perl{a} 
  libsystemd-login0{a} libthai-data{a} libthai0{a} libtiff4{a} libvpx1{a} libx11-xcb1{a} libxcb-render0{a} libxcb-shm0{a} 
  libxcb-util0{a} libxcursor1{a} libxft2{a} libxi6{a} libxinerama1{a} libxml2{a} perl{a} perl-modules{a} sgml-base{a} 
  shared-mime-info{a} ttf-dejavu-core{a} xml-core{a} xulrunner-17.0{a} 
0 packages upgraded, 61 newly installed, 0 to remove and 0 not upgraded.
Need to get 43.2 MB of archives. After unpacking 150 MB will be used.
Do you want to continue? [Y/n/?] Y

Luego vamos por el pequeño gestor de ventanas twm e iniciamos su instalación.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
root@debian-tester:~# aptitude install twm
The following NEW packages will be installed:
  twm 
0 packages upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 123 kB of archives. After unpacking 389 kB will be used.
Get: 1 http://ftp.us.debian.org/debian/ wheezy/main twm amd64 1:1.0.6-1 [123 kB]
Fetched 123 kB in 0s (162 kB/s)
Selecting previously unselected package twm.
(Reading database ... 35773 files and directories currently installed.)
Unpacking twm (from .../twm_1%3a1.0.6-1_amd64.deb) ...
Processing triggers for menu ...
Processing triggers for man-db ...
Setting up twm (1:1.0.6-1) ...
update-alternatives: using /usr/bin/twm to provide /usr/bin/x-window-manager (x-window-manager) in auto mode
Processing triggers for menu ...

Instalamos Xterm que es un emulador de terminal y necesitara 12 paquetes para instalarse.

1
2
3
4
5
6
7
root@debian-tester:~# aptitude install xterm
The following NEW packages will be installed:
  libgl1-mesa-glx{a} libglapi-mesa{a} libutempter0{a} libxcb-glx0{a} libxcb-shape0{a} libxtst6{a} libxv1{a} 
  libxxf86dga1{a} libxxf86vm1{a} x11-utils{a} xbitmaps{a} xterm 
0 packages upgraded, 12 newly installed, 0 to remove and 0 not upgraded.
Need to get 1,202 kB of archives. After unpacking 3,829 kB will be used.
Do you want to continue? [Y/n/?] Y

Y por ultimo pero no menos importante el servidor VNC con 8 paquetes.

1
2
3
4
5
6
root@debian-tester:~# aptitude install vnc4server
The following NEW packages will be installed:
  libfs6{a} vnc4server x11-apps{a} x11-session-utils{a} x11-xfs-utils{a} x11-xserver-utils{a} xbase-clients{a} xinit{a} 
0 packages upgraded, 8 newly installed, 0 to remove and 0 not upgraded.
Need to get 3,311 kB of archives. After unpacking 8,580 kB will be used.
Do you want to continue? [Y/n/?] Y

Terminada la instalación vamos a conectarnos como un usuario normal ya que no es recomendable entrar mediante VNC con el superusuario root.

1
2
gabriel@daneel:~$ ssh gabriel@192.168.1.61
gabriel@192.168.1.61's password:

Iniciamos la configuración del servidor donde nos solicitara una contraseña, por mas larga que escribamos nuestra contraseña solo tomara los primeros ocho dígitos de ella y creara nuestro escritorio.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
gabriel@debian-tester:~$ vnc4server 
 
You will require a password to access your desktops.
 
Password:
Verify:
Password too long - only the first 8 characters will be used
xauth:  file /home/gabriel/.Xauthority does not exist
 
New 'debian-tester:1 (gabriel)' desktop is debian-tester:1
 
Creating default startup script /home/gabriel/.vnc/xstartup
Starting applications specified in /home/gabriel/.vnc/xstartup
Log file is /home/gabriel/.vnc/debian-tester:1.log
 
gabriel@debian-tester:~$

Nos conectaremos mediante la aplicación RealVNC desde un cliente Windows donde especificamos la dirección IP y el numero del escritorio asignado.
VNC-0-Windows

El cliente de VNC nos menciona que estaremos en una conexión sin cifrar y que si bien nuestras credenciales son transmitidas de manera segura la demás información es susceptible a ser interceptada, omitimos esta advertencia y continuamos.

VNC-1-Windows

Ingresamos nuestra contraseña que establecimos anteriormente.

VNC-2-Windows

Tenemos nuestro escritorio listo con un sistema de ventanas mínimo y una consola para iniciar nuestra aplicación.

VNC-3-Windows

Ejecutamos nuestro navegador web y tenemos que especificar mediante el cursor donde lo colocaremos en el sistema de ventanas.

VNC-4-Windows

Ya tenemos nuestro navegador web listo y la comadreja nos da la bienvenida.

VNC-5-Windows

Si el equipo remoto cuenta con salida a Internet podremos navegar en la web como por ejemplo con google.com.mx.

VNC-6-Windows

Spotify en Debian Linux

No tiene mucho tiempo que esta disponible Spotify en México, me parece un buen servicio de música y si podemos soportar los anuncios comerciales una cuenta gratis es mas que suficiente. Y una buena noticia es que hay una beta para Linux y me evito estar ejecutándolo en una maquina virtual.

En esta dirección podemos encontrar las instrucciones para la instalación en Linux: https://www.spotify.com/mx/download/previews/ como se ve en la siguiente imagen:

MusicSP2

Primero necesitamos agregar la siguiente linea en la configuración de los repositorios de debian.

deb http://repository.spotify.com stable non-free
root@giskard:/home/gabriel# vim /etc/apt/sources.list

Agregamos la llave publica para este repositorio y sus paquetes.

root@giskard:/home/gabriel# apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 94558F59                                                                                       
Executing: gpg --ignore-time-conflict --no-options --no-default-keyring --secret-keyring /etc/apt/secring.gpg --trustdb-name /etc/apt/trustdb.gpg --keyring /etc/apt/trusted.gpg --primary-keyring /etc/apt/trusted.gpg --keyserver keyserver.ubuntu.com --recv-keys 94558F59                                                                                           
gpg: requesting key 94558F59 from hkp server keyserver.ubuntu.com                                                                                                                   
gpg: key 94558F59: public key "Spotify Public Repository Signing Key <operations@spotify.com>" imported                                                                             
gpg: Total number processed: 1                                                                                                                                                      
gpg:               imported: 1  (RSA: 1)

Actualizamos.

root@giskard:/home/gabriel# aptitude update

Vamos a ver que paquetes encontramos.

root@giskard:/home/gabriel# aptitude search spotify
p   spotify-client                                                                    - Spotify desktop client                                                                      
p   spotify-client-gnome-support                                                      - Transitional package for spotify-client                                                     
p   spotify-client-qt                                                                 - Transitional package for spotify-client

Iniciamos la instalación del cliente que tiene un tamaño cercano a los 38 MB.

root@giskard:/home/gabriel# aptitude install spotify-client
The following NEW packages will be installed:
  spotify-client 
0 packages upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 37.6 MB of archives. After unpacking 91.2 MB will be used.
Get:1 http://repository.spotify.com/ stable/non-free spotify-client amd64 1:0.9.0.133.gd18ed58.259-1 [37.6 MB]
Fetched 37.6 MB in 1min 26s (433 kB/s)                                                                                                                                              
Selecting previously deselected package spotify-client.
(Reading database ... 161662 files and directories currently installed.)
Unpacking spotify-client (from .../spotify-client_1%3a0.9.0.133.gd18ed58.259-1_amd64.deb) ...
Setting up spotify-client (1:0.9.0.133.gd18ed58.259-1) ...
Processing triggers for menu ...
 
root@giskard:/home/gabriel#

Ejecutamos e iniciamos sesión con nuestro usuario.

MusicSP1

Spotify reproduciendo una estación de radio.

MusicSP3

Bastante sencillo, =)

Existió algo llamado OpenSolaris

DSCF4851

Y los enviaban gratis. =)

DSCF4852

EqualLogic listo para entrar en producción.

Estamos entrando a producción con nuestro nuevo sistema de VMware usando un almacenamiento iSCSI.

SAN EqualLogic PS6100

DSCF4148

24 discos de 600 GB, con un servidor Dell R910 utilizando VMware 5.1

DSCF4149

EqualLogic, cuando un disco falla.

Un correo electrónico que incluye el siguiente mensaje de advertencia: Warning health conditions currently exist. Correct these conditions before they affect array operation. Non-fatal RAIDset failure. While the RAID set is degraded, performance and availability might be decreased. There are 1 outstanding health conditions. Correct these conditions before they affect array operation.

No puede ser buena señal, al menos menciona que la condición no es fatal y podemos regresar a dormir tranquilos.

Por la mañana podemos verificar los registros del sistema y comprobamos que el error es un disco dañado, el sistema lo intento reparar y no le fue posible, por lo tanto entro uno de los discos de respaldo para reconstruir el arreglo.

Severity  Date      Time         Member  Message                                                                                                                                                                                                                                                                                                                                                                                                                            
--------  --------  -----------  ------  ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------  
INFO     9/01/13   09:41:44 PM  EQL3    Reconstruction of RAID LUN 0 completed in 3815 seconds.                                                                                                                                                                                                                                                                                                                                                                            
WARNING  9/01/13   09:41:44 PM  EQL3    Warning health conditions currently exist.   Correct these conditions before they affect array operation.   More spare drives are expected.   There are 1 outstanding health conditions. Correct these conditions before they affect array operation.                                                                                                                                                                              
INFO     9/01/13   09:41:44 PM  EQL3    RAID set has recovered from a failure.                                                                                                                                                                                                                                                                                                                                                                                             
INFO     9/01/13   08:42:26 PM  EQL3    Attempt to remove drive 12 from RAID set was not successful.                                                                                                                                                                                                                                                                                                                                                                       
INFO     9/01/13   08:38:08 PM  EQL3    Reconstruction of RAID LUN 0 initiated.                                                                                                                                                                                                                                                                                                                                                                                            
WARNING  9/01/13   08:38:08 PM  EQL3    Warning health conditions currently exist.   Correct these conditions before they affect array operation.   Non-fatal RAIDset failure. While the RAID set is degraded, performance and availability might be decreased.   More spare drives are expected.   There are 2 outstanding health conditions. Correct these conditions before they affect array operation.                                                                
WARNING  9/01/13   08:38:08 PM  EQL3    Failure: HDD Drive: 12, Model: XXXXXXXXXXX     , Serial Number: XXXXXXXX                                                                                                                                                                                                                                                                                                                                                           
WARNING  9/01/13   08:37:46 PM  EQL3    Preemptive removal of Enclosure/Drive 0/12 has now been approved; proceeding with removal.                                                                                                                                                                                                                                                                                                                                         
ERROR    9/01/13   08:37:46 PM  EQL3    Unable to repair bad disk sector 49660619 on disk drive 12 in RAID LUN 0.                                                                                                                                                                                                                                                                                                                                                          
ERROR    9/01/13   08:37:46 PM  EQL3    Unable to repair bad disk sector 49660616 on disk drive 12 in RAID LUN 0.                                                                                                                                                                                                                                                                                                                                                          
ERROR    9/01/13   08:37:46 PM  EQL3    Unable to repair bad disk sector 49660614 on disk drive 12 in RAID LUN 0.                                                                                                                                                                                                                                                                                                                                                          
ERROR    9/01/13   08:37:46 PM  EQL3    Unable to repair bad disk sector 49660608 on disk drive 12 in RAID LUN 0.                                                                                                                                                                                                                                                                                                                                                          
ERROR    9/01/13   08:37:46 PM  EQL3    Unable to repair bad disk sector 49660603 on disk drive 12 in RAID LUN 0.                                                                                                                                                                                                                                                                                                                                                          
ERROR    9/01/13   08:37:46 PM  EQL3    Unable to repair bad disk sector 49660601 on disk drive 12 in RAID LUN 0.                                                                                                                                                                                                                                                                                                                                                          
ERROR    9/01/13   08:37:46 PM  EQL3    Unable to repair bad disk sector 49660599 on disk drive 12 in RAID LUN 0.                                                                                                                                                                                                                                                                                                                                                          
ERROR    9/01/13   08:37:46 PM  EQL3    Unable to repair bad disk sector 49660597 on disk drive 12 in RAID LUN 0.                                                                                                                                                                                                                                                                                                                                                          
ERROR    9/01/13   08:37:46 PM  EQL3    Unable to repair bad disk sector 49660595 on disk drive 12 in RAID LUN 0.                                                                                                                                                                                                                                                                                                                                                          
ERROR    9/01/13   08:37:46 PM  EQL3    Unable to repair bad disk sector 49660593 on disk drive 12 in RAID LUN 0.                                                                                                                                                                                                                                                                                                                                                          
ERROR    9/01/13   08:37:46 PM  EQL3    Unable to repair bad disk sector 49660591 on disk drive 12 in RAID LUN 0.                                                                                                                                                                                                                                                                                                                                                          
ERROR    9/01/13   08:37:26 PM  EQL3    Unable to repair bad disk sector 49658995 on disk drive 12 in RAID LUN 0.                                                                                                                                                                                                                                                                                                                                                          
ERROR    9/01/13   08:37:26 PM  EQL3    Unable to repair bad disk sector 49658988 on disk drive 12 in RAID LUN 0.                                                                                                                                                                                                                                                                                                                                                          
ERROR    9/01/13   08:37:26 PM  EQL3    Unable to repair bad disk sector 49658986 on disk drive 12 in RAID LUN 0.                                                                                                                                                                                                                                                                                                                                                          
ERROR    9/01/13   08:37:26 PM  EQL3    Unable to repair bad disk sector 49658982 on disk drive 12 in RAID LUN 0.                                                                                                                                                                                                                                                                                                                                                          
INFO     9/01/13   08:37:26 PM  EQL3    Attempt to remove drive 12 from RAID set was not successful.                                                                                                                                                                                                                                                                                                                                                                       
WARNING  9/01/13   08:37:17 PM  EQL3    Warning health conditions currently exist.   Correct these conditions before they affect array operation.   Non-fatal RAIDset failure. While the RAID set is degraded, performance and availability might be decreased.   There are 1 outstanding health conditions. Correct these conditions before they affect array operation.                                                                                                  
ERROR    9/01/13   08:37:17 PM  EQL3    Disk drive 12 failed in RAID LUN 0.

Si tienes estos equipos en garantía lo mas fácil y recomendable es hablar con el soporte técnico de DELL para que te reemplacen el disco averiado. Es requisito obligatorio ejecutar el comando diag para enviar el reporte a los ingenieros de soporte y puedan revisar los eventos ocurridos.

<Grupo3> diag
 
The diag command will gather configuration data from this array
for support and troubleshooting purposes.  No user information will be
included in this data.
 
Results will be sent to "gabrielxx@xxxxxxxxxxxx.com.mx" through e-mail.
If this is unsuccessful, other options for retrieving the results
will be presented at the end of the procedure.
 
Finally, please remember to include your Dell Technical Support case or incident number
in the subject line of any e-mail that you send to Dell Support.  This will help
ensure that the message is routed correctly.
 
Do you wish to proceed (y/n) [y]: y
 
Starting data collection on Thu Jan 10 14:59:06 CST 2013.
 
Section 1 of 15: .
Finished in 0 seconds
Section 2 of 15: .........0.........0.......
Finished in 12 seconds
Section 3 of 15: ....
Finished in 28 seconds
Section 4 of 15: .........0......
Finished in 12 seconds
Section 5 of 15: .........0.......
Finished in 5 seconds
Section 6 of 15: .........0.........0.
Finished in 7 seconds
Section 7 of 15: .
Finished in 2 seconds
Section 8 of 15: ....
Finished in 1 seconds
Section 9 of 15: .........0.........0.........0.........0.........0.........0
Finished in 4 seconds
Section 10 of 15: ...
Finished in 1 seconds
Section 11 of 15: .........0.........0.........0..
Finished in 34 seconds
Section 12 of 15: ..
Finished in 2 seconds
Section 13 of 15: .
Finished in 4 seconds
Section 14 of 15: .........0.........0.........0.........0.........0.........0.........0.........0.........0.........0.........0.........0.........0.........0.........0.........0.........0.........0.........0....
Finished in 57 seconds
Section 15 of 15: .
Finished in 1 seconds
 
Sending e-mail 1 of 6.
Sending e-mail 2 of 6.
Sending e-mail 3 of 6.
Sending e-mail 4 of 6.
Sending e-mail 5 of 6.
Sending e-mail 6 of 6.
 
You have the option of retrieving the diagnostic data using FTP or SCP.
To use FTP, use the 'mget' command to retrieve all files matching
the specification "Seg_*.dgo".  You must use the "grpadmin" account
and password, and connect to one of the IP addresses from the list below.
 
To use SCP, enter the command: 'scp -r grpadmin@x.x.x.x:. destdir'
where "x.x.x.x" is one of the IP addresses from the list below.
Then, in the destination location, look for files with the name "Seg_*.dgo".
You can delete any other files retrieved by scp.
 
Here are the IP addresses you can use to retrieve files from this member:
   172.XXX.XXX.XXX
   172.XXX.XXX.XXX
   172.XXX.XXX.XXX
   172.XXX.XXX.XXX
   172.XXX.XXX.XXX
 
You also have the option to capture the output by using the "text capture"
feature of your Telnet or terminal emulator program.
 
Do you wish to do this (y/n) [n]: 
Grupo3> logout
Grupo3> Connection closed by foreign host.

En menos de 24 horas tenemos a la gente de soporte técnico en el sitio listos para reemplazar el disco dañado, vemos en los registros del sistema que lo retiran e insertan uno nuevo que sera un disco de respaldo en sustitución del anterior que entro como miembro activo del arreglo.

Severity  Date      Time         Member  Message                                                                                                                                                                                                                                                                                                                                                                                                                            
--------  --------  -----------  ------  ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------  
INFO     11/01/13  10:07:35 AM  EQL3    Expected number of spare drives now present.                                                                                                                                                                                                                                                                                                                                                                                       
INFO     11/01/13  10:07:35 AM  EQL3    Creating a RAID label for uninitialized drive 12.                                                                                                                                                                                                                                                                                                                                                                                  
INFO     11/01/13  10:07:35 AM  EQL3    Disk 12 is online.                                                                                                                                                                                                                                                                                                                                                                                                                 
INFO     11/01/13  10:07:35 AM  EQL3    Found and verified new drive: enclosure 0, disk 12, Model ST3600057SS     , SN 6SL4NJ2J.                                                                                                                                                                                                                                                                                                                                           
INFO     11/01/13  10:07:13 AM  EQL3    Disk 12 has been inserted.                                                                                                                                                                                                                                                                                                                                                                                                         
WARNING  11/01/13  10:03:33 AM  EQL3    Disk 12 has been removed.

Mientras no se pongan de acuerdo todos los discos el sistema de almacenamiento estará bien.

Debian, EqualLogic y bond de tarjetas.

Recientemente tengo libre un servidor y puedo realizar ciertos experimentos con Debian al conectarlo a una SAN iSCSI Dell EqualLogic haciendo pruebas, por lo cual nos animamos a realizar este pequeño escrito al respecto. El servidor tendrá como sistema operativo Debian Squeeze 6.0.6 usando la versión de 64 bits.

Partimos de una instalación muy simple mediante la imagen llamada business card, una pequeña ISO de poco mas de 50 MB que solo contendrá el sistema básico.

El equipo tiene seis tarjetas de red, usaremos la interfaz eth0 como nuestra interfaz principal de administración y las interfaces eth2 y eth3 se conectaran a la red iSCSI.

root@elmulo:~# lspci | grep net
01:00.0 Ethernet controller: Broadcom Corporation NetXtreme II BCM5709 Gigabit Ethernet (rev 20)
01:00.1 Ethernet controller: Broadcom Corporation NetXtreme II BCM5709 Gigabit Ethernet (rev 20)
02:00.0 Ethernet controller: Broadcom Corporation NetXtreme II BCM5709 Gigabit Ethernet (rev 20)
02:00.1 Ethernet controller: Broadcom Corporation NetXtreme II BCM5709 Gigabit Ethernet (rev 20)
04:00.0 Ethernet controller: Broadcom Corporation NetXtreme II BCM5709 Gigabit Ethernet (rev 20)
04:00.1 Ethernet controller: Broadcom Corporation NetXtreme II BCM5709 Gigabit Ethernet (rev 20)

Nos basaremos en la siguiente wiki para realizar el procedimiento: Bonding.

root@elmulo:~# aptitude install ifenslave-2.6
The following NEW packages will be installed:
  ifenslave-2.6 
0 packages upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 18.4 kB of archives. After unpacking 143 kB will be used.
Get:1 http://mirrors.kernel.org/debian/ squeeze/main ifenslave-2.6 amd64 1.1.0-17 [18.4 kB]
Fetched 18.4 kB in 0s (36.7 kB/s)     
Selecting previously deselected package ifenslave-2.6.
(Reading database ... 14392 files and directories currently installed.)
Unpacking ifenslave-2.6 (from .../ifenslave-2.6_1.1.0-17_amd64.deb) ...
Processing triggers for man-db ...
Setting up ifenslave-2.6 (1.1.0-17) ...
update-alternatives: using /sbin/ifenslave-2.6 to provide /sbin/ifenslave (ifenslave) in auto mode.

Después de la instalación del paquete nos toca configurar nuestro archivo de red para especificar los parámetros del bond a crear que básicamente serán que interfaces de red se usaran así como el tipo de bonding que utilizaremos. Los parámetros de nuestra primera interfaz fueron establecidos desde la instalación del sistema operativo, lo demás lo adicionaremos de una manera similar especificando dirección de red, mascara, interfaces, tipo de bond y parámetros adicionales.

root@elmulo:~# cat /etc/network/interfaces 
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
 
# The loopback network interface
auto lo
iface lo inet loopback
 
# The primary network interface
allow-hotplug eth0
iface eth0 inet static
        address 192.168.100.51
        netmask 255.255.255.0
        network 192.168.100.0
        broadcast 192.168.100.255
        gateway 192.168.100.254
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 8.8.8.8 8.8.4.4
 
auto bond0
 
iface bond0 inet static
    address 172.16.0.151
    netmask 255.255.0.0
    network 172.16.0.0
    slaves eth2 eth3
    bond-mode balance-rr
    bond-miimon 100
    bond-downdelay 200
    bond-updelay 200

Necesitamos configurar el modulo del kernel y creamos un archivo dentro de modprobe.d como se muestra a continuación.

root@elmulo:~# cd /etc/modprobe.d/
root@elmulo:/etc/modprobe.d# cat > aliases-bond.conf
alias bond0 bonding
        options bonding mode=0 miimon=100
<CTRL-D>

Levantamos la interfaz recién creada.

root@elmulo:/etc/modprobe.d# cd
root@elmulo:~# ifup bond0

Verificamos los parámetros de red y confirmamos que la interfaz bond esta activa y las interfaces asociadas a este también se encuentran en el mismo estado y se agregan en la información que se despliega junto a la interfaz primaria.

root@elmulo:~# ifconfig
bond0     Link encap:Ethernet  HWaddr 00:21:9b:9f:18:72  
          inet addr:172.16.0.151  Bcast:172.16.255.255  Mask:255.255.0.0
          UP BROADCAST RUNNING MASTER MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
 
eth0      Link encap:Ethernet  HWaddr 00:21:9b:9f:18:6e  
          inet addr:192.168.100.51  Bcast:192.168.100.255  Mask:255.255.255.0
          inet6 addr: fe80::221:9bff:fe9f:186e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:22819 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3978 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:9070886 (8.6 MiB)  TX bytes:338475 (330.5 KiB)
          Interrupt:36 Memory:d2000000-d2012800 
 
eth2      Link encap:Ethernet  HWaddr 00:21:9b:9f:18:72  
          UP BROADCAST SLAVE MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          Interrupt:32 Memory:d6000000-d6012800 
 
eth3      Link encap:Ethernet  HWaddr 00:21:9b:9f:18:72  
          UP BROADCAST SLAVE MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          Interrupt:42 Memory:d8000000-d8012800 
 
lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:4 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:392 (392.0 B)  TX bytes:392 (392.0 B)

Verificando los registros del sistema vemos que el bond se activo pero no esta operativo debido a que no se han conectado cables de red a los componentes de la LAN.

root@elmulo:~# tail -n 20 -f /var/log/messages
Nov 23 06:25:01 elmulo rsyslogd: [origin software="rsyslogd" swVersion="4.6.4" x-pid="1095" x-info="http://www.rsyslog.com"] rsyslogd was HUPed, type 'lightweight'.
Nov 23 09:57:19 elmulo kernel: [105971.052864] bnx2: eth0 NIC Copper Link is Up, 1000 Mbps full duplex
Nov 23 09:57:19 elmulo kernel: [105971.053236] ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready
Nov 23 10:21:58 elmulo kernel: [107449.542754] Ethernet Channel Bonding Driver: v3.5.0 (November 4, 2008)
Nov 23 10:21:58 elmulo kernel: [107449.542758] bonding: MII link monitoring set to 100 ms
Nov 23 10:21:58 elmulo kernel: [107449.544150] bonding: bond0: setting mode to balance-rr (0).
Nov 23 10:21:58 elmulo kernel: [107449.544173] bonding: bond0: Setting MII monitoring interval to 100.
Nov 23 10:21:58 elmulo kernel: [107449.544195] bonding: bond0: Setting up delay to 200.
Nov 23 10:21:58 elmulo kernel: [107449.544210] bonding: bond0: Setting down delay to 200.
Nov 23 10:21:59 elmulo kernel: [107449.561893] bonding: bond0: doing slave updates when interface is down.
Nov 23 10:21:59 elmulo kernel: [107449.561895] bonding: bond0: Adding slave eth2.
Nov 23 10:21:59 elmulo kernel: [107449.561897] bonding bond0: master_dev is not up in bond_enslave
Nov 23 10:21:59 elmulo kernel: [107449.654579] bnx2: eth2: using MSIX
Nov 23 10:21:59 elmulo kernel: [107449.654912] bonding: bond0: enslaving eth2 as an active interface with a down link.
Nov 23 10:21:59 elmulo kernel: [107449.690706] bonding: bond0: doing slave updates when interface is down.
Nov 23 10:21:59 elmulo kernel: [107449.690711] bonding: bond0: Adding slave eth3.
Nov 23 10:21:59 elmulo kernel: [107449.690713] bonding bond0: master_dev is not up in bond_enslave
Nov 23 10:21:59 elmulo kernel: [107449.774441] bnx2: eth3: using MSIX
Nov 23 10:21:59 elmulo kernel: [107449.774768] bonding: bond0: enslaving eth3 as an active interface with a down link.
Nov 23 10:21:59 elmulo kernel: [107449.778043] ADDRCONF(NETDEV_UP): bond0: link is not ready

Conectamos una de las interfaces.

Nov 23 10:33:27 elmulo kernel: [108137.887591] bnx2: eth2 NIC Copper Link is Up, 1000 Mbps full duplex, receive & transmit flow control ON
Nov 23 10:33:27 elmulo kernel: [108137.947373] bonding: bond0: link status up for interface eth2, enabling it in 200 ms.
Nov 23 10:33:28 elmulo kernel: [108138.147249] bonding: bond0: link status definitely up for interface eth2.
Nov 23 10:33:28 elmulo kernel: [108138.147615] ADDRCONF(NETDEV_CHANGE): bond0: link becomes ready

Conectamos la segunda interfaz.

Nov 23 10:48:00 elmulo kernel: [109009.830462] bnx2: eth3 NIC Copper Link is Up, 1000 Mbps full duplex, receive & transmit flow control ON
Nov 23 10:48:00 elmulo kernel: [109009.902823] bonding: bond0: link status up for interface eth3, enabling it in 200 ms.
Nov 23 10:48:00 elmulo kernel: [109010.102699] bonding: bond0: link status definitely up for interface eth3.

Ahora nuestro bond esta completamente activo en modo round-robin, lo podemos verificar con la siguiente instrucción.

root@elmulo:~# cat /sys/class/net/bond0/bonding/mode
balance-rr 0

Cambiaremos el MTU del bond y de las interfaces que lo componen para conectarnos usando Jumbo Frames a nuestro equipo de almacenamiento.

root@elmulo:~# ifconfig eth2 mtu 9000
root@elmulo:~# ifconfig eth3 mtu 9000
root@elmulo:~# ifconfig bond0 mtu 9000

Lista la parte de conexión pasamos a la parte de aplicación instalando el iniciador de iSCSI.

root@elmulo:~# aptitude install open-iscsi
The following NEW packages will be installed:
  open-iscsi 
0 packages upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 332 kB of archives. After unpacking 868 kB will be used.
Get:1 http://mirrors.kernel.org/debian/ squeeze/main open-iscsi amd64 2.0.871.3-2squeeze1 [332 kB]
Fetched 332 kB in 1s (297 kB/s)     
Selecting previously deselected package open-iscsi.
(Reading database ... 15954 files and directories currently installed.)
Unpacking open-iscsi (from .../open-iscsi_2.0.871.3-2squeeze1_amd64.deb) ...
Processing triggers for man-db ...
Setting up open-iscsi (2.0.871.3-2squeeze1) ...

Ponemos el servicio en automático.

root@elmulo:~# vim /etc/iscsi/iscsid.conf
.
node.startup = automatic
.

Reiniciamos el servicio.

root@elmulo:~# /etc/init.d/open-iscsi restart
Unmounting iscsi-backed filesystems: Unmounting all devices marked _netdev.
Disconnecting iSCSI targets:.
Stopping iSCSI initiator service:.
Starting iSCSI initiator service: iscsid.
Setting up iSCSI targets:
iscsiadm: No records found!
.
Mounting network filesystems:.
root@elmulo:~# cat /etc/iscsi/initiatorname.iscsi
## DO NOT EDIT OR REMOVE THIS FILE!
## If you remove this file, the iSCSI daemon will not start.
## If you change the InitiatorName, existing access control lists
## may reject this initiator.  The InitiatorName must be unique
## for each iSCSI initiator.  Do NOT duplicate iSCSI InitiatorNames.
InitiatorName=iqn.1993-08.org.debian:01:cdfe4ea8ecd0

Utilizaremos el acceso por IQN que lo obtuvimos del archivo initiatorname.iscsi, mas adelante veremos que esta es una de las formas de autenticación de EqualLogic para acceder a un volumen.

InitiatorName=iqn.1993-08.org.debian:01:cdfe4ea8ecd0

Ahora el siguiente paso es crear un volumen en nuestra SAN para poder continuar, lo crearemos con un tamaño de 150 GB, a continuación se muestran los pasos mediante el CLI de EqualLogic que ejemplifican este proceso.

Entramos mediante telnet a la linea de comandos del sistema EqualLogic.

gabriel@giskard:~$ telnet 172.16.0.XXX
Trying 172.16.0.XXX...
Connected to 172.16.0.XXX.
Escape character is '^]'.
 
PS Series Storage Arrays
Unauthorized Access Prohibited
 
login: gabriel
Password:
 
 
           Welcome to Group Manager
 
        Copyright 2001-2011 Dell, Inc.
 
 
 
Grupo2> 
32722:315:EQL2:netmgtd:22-Nov-2012 19:41:16.596159:rcc_util.c:738:INFO:25.2.9:CLI: Login to account gabriel succeeded.

Mediante la instrucción volume create Fotos-Sin 150GB, creamos un volumen llamado Fotos-Sin con un tamaño de 150 GB, que tomara los parámetros predeterminados del sistema.

Grupo2> volume create Fotos-Sin 150GB
Volume creation succeeded.
iSCSI target name is iqn.2001-05.com.equallogic:0-8a0906-48624a509-b290018545850
aed-fotos-sin.
Grupo2> 
32728:10471:EQL2:MgmtExec:22-Nov-2012 19:42:30.709363:VolInfo.cc:79:INFO:8.2.2:Volume 'Fotos-Sin' successfully created.

Para ver la descripción del volumen creado utilizamos la instrucción volume show Fotos-Sin.

Grupo2> volume show Fotos-Sin 
_____________________________ Volume Information ______________________________
Name: Fotos-Sin                        Size: 150GB                            
VolReserve: 150GB                      VolReserveInUse: 0MB                   
ReplReserveInUse: 0MB                  iSCSI Alias: Fotos-Sin                 
iSCSI Name:                            ActualMembers: 1                       
  iqn.2001-05.com.equallogic:0-8a0906- Snap-Warn: 10%                         
  48624a509-b290018545850aed-fotos-sin Snap-Depletion: delete-oldest          
Description:                           Snap-Reserve: 100%                     
Snap-Reserve-Avail: 100% (150GB)       Permission: read-write                 
DesiredStatus: online                  Status: online                         
Connections: 0                         Snapshots: 0                           
Bind:                                  Type: not-replicated                   
ReplicationReserveSpace: 0MB           Replicas: 0                            
ReplicationPartner:                    Pool: default                          
Transmitted-Data: 0MB                  Received-Data: 0MB                     
Pref-Raid-Policy: none                 Pref-Raid-Policy-Status: none          
Thin-Provision: disabled               Thin-Min-Reserve: 0% (0MB)             
Thin-Growth-Warn: 0% (0MB)             Thin-Growth-Max: 0% (0MB)              
ReplicationTxData: 0MB                 MultiHostAccess: disabled              
iSNS-Discovery: disabled               Replica-Volume-Reserve: 0MB            
Thin-Clone: N                          Template: N                            
Administrator:                                                                 
_______________________________________________________________________________
 
 
_______________________________ Access Records ________________________________
 
 
ID  Initiator                     Ipaddress       AuthMethod UserName   Apply-To
 
--- ----------------------------- --------------- ---------- ---------- --------
 
 
 
____________________________ Operations InProgress ____________________________
 
 
ID StartTime            Progress Operation Details                              
 
-- -------------------- -------- ---------------------------------------------- 
 
Grupo2>

Y aquí es donde daremos acceso a nuestro servidor mediante su IQN al volumen de Fotos-Sin, con la siguiente instrucción: volume select Fotos-Sin access create initiator iqn.1993-08.org.debian:01:cdfe4ea8ecd0

Initiator:iqn.1993-08.org.debian:01:cdfe4ea8ecd0
Target: iqn.2001-05.com.equallogic:0-8a0906-48624a509-b290018545850aed-fotos-sin
Grupo2> volume select Fotos-Sin access create initiator iqn.1993-08.org.debian:0
1:cdfe4ea8ecd0
Access control record created with ID 1.
Grupo2> volume select Fotos-Sin access show                                     
ID  Initiator                     Ipaddress       AuthMethod UserName   Apply-To
 
--- ----------------------------- --------------- ---------- ---------- --------
 
1   iqn.1993-08.org.debian:01:cdf *.*.*.*         none                  both    
 
      e4ea8ecd0                                                                 
 
Grupo2>

Volvemos a la parte de nuestro servidor para continuar el proceso y lo haremos lanzando un descubrimiento a la dirección IP de nuestro sistema de almacenamiento para ver los volúmenes a los que tenemos acceso.

root@elmulo:~# iscsiadm -m discovery -t st -p 172.16.0.XXX
172.16.0.XXX:3260,1 iqn.2001-05.com.equallogic:0-8a0906-48624a509-b290018545850aed-fotos-sin
root@elmulo:~# iscsiadm -m node
172.16.0.XXX:3260,1 iqn.2001-05.com.equallogic:0-8a0906-48624a509-b290018545850aed-fotos-sin

Después de descubrir nuestro target iniciamos sesión en el para conectarnos y empezar a trabajar con el como si fuera un disco duro mas en nuestro sistema.

root@elmulo:~# iscsiadm -m node --targetname "iqn.2001-05.com.equallogic:0-8a0906-48624a509-b290018545850aed-fotos-sin" --portal "172.16.0.XXX:3260" --login
Logging in to [iface: default, target: iqn.2001-05.com.equallogic:0-8a0906-48624a509-b290018545850aed-fotos-sin, portal: 172.16.0.XXX,3260]
Login to [iface: default, target: iqn.2001-05.com.equallogic:0-8a0906-48624a509-b290018545850aed-fotos-sin, portal: 172.16.0.XXX,3260]: successful

Después de conectarnos vamos a nuestro storage a ver un poco de sus logs y notamos que efectivamente se conecto usando Jumbo Frames (MTU 9000), using Jumbo Frame length.

32901:10603:EQL2:MgmtExec:25-Nov-2012 00:01:47.137815:targetAttr.cc:759:INFO:7.2.14:iSCSI login to target '172.16.0.XXX:3260, iqn.2001-05.com.equallogic:0-8a0906-48624a509-b290018545850aed-fotos-sin' from initiator '172.16.0.151:50683, iqn.1993-08.org.debian:01:cdfe4ea8ecd0' successful, using Jumbo Frame length.

Con fdisk vemos que tenemos nuestro dispositivo listo para crear una partición en el, nos dice que son 161.1 GB pero nosotros creamos un espacio de 150, lo que pasa que nos lo esta mostrando con tomando como base 1000 y no 1024, 150*1024*1024*1024 = 161061273600 bytes.

root@elmulo:~# fdisk -l
.
.
Disk /dev/sdc: 161.1 GB, 161061273600 bytes
255 heads, 63 sectors/track, 19581 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x00000000
 
Disk /dev/sdc doesn't contain a valid partition table

Creamos una partición primaria de tipo Linux usando todo el espacio disponible.

root@elmulo:~# fdisk /dev/sdc
Device contains neither a valid DOS partition table, nor Sun, SGI or OSF disklabel
Building a new DOS disklabel with disk identifier 0x228dfc1d.
Changes will remain in memory only, until you decide to write them.
After that, of course, the previous content won't be recoverable.
 
Warning: invalid flag 0x0000 of partition table 4 will be corrected by w(rite)
 
WARNING: DOS-compatible mode is deprecated. It's strongly recommended to
         switch off the mode (command 'c') and change display units to
         sectors (command 'u').
 
Command (m for help): n
Command action
   e   extended
   p   primary partition (1-4)
p
Partition number (1-4): 1
First cylinder (1-19581, default 1): 
Using default value 1
Last cylinder, +cylinders or +size{K,M,G} (1-19581, default 19581): 
Using default value 19581
 
Command (m for help): t
Selected partition 1
Hex code (type L to list codes): 83
 
Command (m for help): w
The partition table has been altered!
 
Calling ioctl() to re-read partition table.
Syncing disks.

Volvemos a verificar con fdisk y ya nos indica la partición lista, solo queda darle formato con algún sistema de archivos propios de Linux.

root@elmulo:~# fdisk -l
.
.
Disk /dev/sdc: 161.1 GB, 161061273600 bytes
255 heads, 63 sectors/track, 19581 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x228dfc1d
 
   Device Boot      Start         End      Blocks   Id  System
/dev/sdc1               1       19581   157284351   83  Linux

Vamos a dar formato a la partición con el sistema de archivos ext4.

root@elmulo:~# mkfs.ext4 /dev/sdc1
mke2fs 1.41.12 (17-May-2010)
Filesystem label=
OS type: Linux
Block size=4096 (log=2)
Fragment size=4096 (log=2)
Stride=0 blocks, Stripe width=0 blocks
9830400 inodes, 39321087 blocks
1966054 blocks (5.00%) reserved for the super user
First data block=0
Maximum filesystem blocks=4294967296
1200 block groups
32768 blocks per group, 32768 fragments per group
8192 inodes per group
Superblock backups stored on blocks: 
        32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208, 
        4096000, 7962624, 11239424, 20480000, 23887872
 
Writing inode tables: done                            
Creating journal (32768 blocks): done
Writing superblocks and filesystem accounting information: done
 
This filesystem will be automatically checked every 31 mounts or
180 days, whichever comes first.  Use tune2fs -c or -i to override.

Creamos un directorio donde poder montar nuestra nueva partición.

root@elmulo:~# mkdir /U1
root@elmulo:~# mount /dev/sdc1 /U1/
root@elmulo:~# mount
/dev/mapper/elmulo-root on / type ext3 (rw,errors=remount-ro)
tmpfs on /lib/init/rw type tmpfs (rw,nosuid,mode=0755)
proc on /proc type proc (rw,noexec,nosuid,nodev)
sysfs on /sys type sysfs (rw,noexec,nosuid,nodev)
udev on /dev type tmpfs (rw,mode=0755)
tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev)
devpts on /dev/pts type devpts (rw,noexec,nosuid,gid=5,mode=620)
/dev/sda1 on /boot type ext2 (rw)
/dev/sdc1 on /U1 type ext4 (rw)

Vemos que esta montada correctamente por lo tanto ya podemos empezar a guardar unos cuantos archivos.

root@elmulo:~# df
Filesystem           1K-blocks      Used Available Use% Mounted on
/dev/mapper/elmulo-root
                     134526224  53112252  74580412  42% /
tmpfs                  2024052         0   2024052   0% /lib/init/rw
udev                   2018716       164   2018552   1% /dev
tmpfs                  2024052         0   2024052   0% /dev/shm
/dev/sda1               233191     15946    204804   8% /boot
/dev/sdc1            154816488    191936 146760336   1% /U1

Antes de empezar a copiar y hacer otras pruebas, veremos que tanto afecto en tamaño al volumen los pasos de crear una partición y dar formato, para eso necesitamos conectarnos a nuestro EqualLogic y sacar unos datos. En el desplegado de información del volumen en la sección de Access Records se encuentra nuestro servidor mediante su IQN y de que actualmente tiene ocupado 3.79 GB debido a la creación de la partición y el formato del sistema de archivos y que debido a esos procedimientos el volumen recibió 2.47 GB de información.

Grupo2> volume show Fotos-Sin 
_____________________________ Volume Information ______________________________
Name: Fotos-Sin                        Size: 150GB                            
VolReserve: 150GB                      VolReserveInUse: 3.79GB                
ReplReserveInUse: 0MB                  iSCSI Alias: Fotos-Sin                 
iSCSI Name:                            ActualMembers: 1                       
  iqn.2001-05.com.equallogic:0-8a0906- Snap-Warn: 10%                         
  48624a509-b290018545850aed-fotos-sin Snap-Depletion: delete-oldest          
Description:                           Snap-Reserve: 100%                     
Snap-Reserve-Avail: 100% (150GB)       Permission: read-write                 
DesiredStatus: online                  Status: online                         
Connections: 1                         Snapshots: 0                           
Bind:                                  Type: not-replicated                   
ReplicationReserveSpace: 0MB           Replicas: 0                            
ReplicationPartner:                    Pool: default                          
Transmitted-Data: 1MB                  Received-Data: 2.47GB                  
Pref-Raid-Policy: none                 Pref-Raid-Policy-Status: none          
Thin-Provision: disabled               Thin-Min-Reserve: 0% (0MB)             
Thin-Growth-Warn: 0% (0MB)             Thin-Growth-Max: 0% (0MB)              
ReplicationTxData: 0MB                 MultiHostAccess: disabled              
iSNS-Discovery: disabled               Replica-Volume-Reserve: 0MB            
Thin-Clone: N                          Template: N                            
Administrator:                                                                 
_______________________________________________________________________________
 
 
_______________________________ Access Records ________________________________
 
 
ID  Initiator                     Ipaddress       AuthMethod UserName   Apply-To
 
--- ----------------------------- --------------- ---------- ---------- --------
 
1   iqn.1993-08.org.debian:01:cdf *.*.*.*         none                  both    
 
      e4ea8ecd0                                                                 
 
 
 
____________________________ Operations InProgress ____________________________

Si tomamos el parámetro de que 150 GB son 161061273600 bytes, y que mediante el comando df el sistema nos muestra que tenemos un disco con un tamaño de 154816488 kB que son 158532083712 bytes, tenemos una diferencia de 2529189888 bytes que son 2.36 GB aproximadamente los cuales se ven disminuidos como resultado de los procesos de partición y formato. Ahora vamos a realizar una prueba de copiado para lo cual generaremos un archivo de 50 GB y lo copiaremos en nuestro nuevo almacenamiento.

root@elmulo:~# dd if=/dev/zero of=/tmp/archivo50G bs=1G count=50
50+0 records in
50+0 records out
53687091200 bytes (54 GB) copied, 548.544 s, 97.9 MB/s
root@elmulo:~# ls -l /tmp/
total 52480056
-rw-r--r-- 1 root root 53687091200 Oct  7 19:58 archivo50G
root@elmulo:~# cp /tmp/archivo50G /U1/

Le llevo 7 minutos copiar 50 GB mediante el comando cp, vamos a ver cuanto le lleva copiar los mismos 50 GB directamente con el comando dd.

root@elmulo:~# dd if=/dev/zero of=/U1/archivo50G-DD bs=1G count=50
50+0 records in
50+0 records out
53687091200 bytes (54 GB) copied, 433.233 s, 124 MB/s

Nos arroja 433 segundos que son poco mas que 7 minutos que es el mismo tiempo de la primer copia, vemos el estado del volumen que muestra ya su espacio ocupado.

Grupo2> show volume Fotos-Sin
_____________________________ Volume Information ______________________________
Name: Fotos-Sin                        Size: 150GB                            
VolReserve: 150GB                      VolReserveInUse: 103.74GB              
ReplReserveInUse: 0MB                  iSCSI Alias: Fotos-Sin                 
iSCSI Name:                            ActualMembers: 1                       
  iqn.2001-05.com.equallogic:0-8a0906- Snap-Warn: 10%                         
  48624a509-b290018545850aed-fotos-sin Snap-Depletion: delete-oldest          
Description:                           Snap-Reserve: 100%                     
Snap-Reserve-Avail: 100% (150GB)       Permission: read-write                 
DesiredStatus: online                  Status: online                         
Connections: 1                         Snapshots: 0                           
Bind:                                  Type: not-replicated                   
ReplicationReserveSpace: 0MB           Replicas: 0                            
ReplicationPartner:                    Pool: default                          
Transmitted-Data: 1MB                  Received-Data: 102.49GB                
Pref-Raid-Policy: none                 Pref-Raid-Policy-Status: none          
Thin-Provision: disabled               Thin-Min-Reserve: 0% (0MB)             
Thin-Growth-Warn: 0% (0MB)             Thin-Growth-Max: 0% (0MB)              
ReplicationTxData: 0MB                 MultiHostAccess: disabled              
iSNS-Discovery: disabled               Replica-Volume-Reserve: 0MB            
Thin-Clone: N                          Template: N                            
Administrator:                                                                 
_______________________________________________________________________________

Borramos los archivos anteriores y volvemos a crear un archivo de 100 GB.

root@elmulo:~# dd if=/dev/zero of=/U1/archivo100G-DD bs=1G count=100
100+0 records in
100+0 records out
107374182400 bytes (107 GB) copied, 869.745 s, 123 MB/s

Le tomo 14 minutos y medio la copia de 100 GB, el tiempo concuerda con que seria el doble.

Ya con esto realizado, podemos instalar un servicio como SAMBA, FTP, como disco duro para maquinas virtuales o simplemente para respaldos de archivos. Más adelante pretendo documentar un poco mas cuestiones como recuperar archivos a partir de un snapshot o incrementar el tamaño del volumen.

Referencias para saber más:

http://phenobarbital.wordpress.com/2011/06/22/linux-guia-rapida-de-network-bonding-en-debian/
http://wiki.debian.org/Bonding
http://www.howtoforge.com/using-iscsi-on-debian-lenny-initiator-and-target

Manual Transfer Utility

Volvemos nuevamente con este asunto del equipo de almacenamiento EqualLogic y la replicación de volúmenes.

Vamos a comentar el siguiente escenario; anteriormente en otro escrito de este blog se realizo la replica de volúmenes entre dos SAN EqualLogic una en la ciudad de México y otra en la ciudad de Querétaro. Debido a que el enlace WAN es pequeño para enviar una replicación de un volumen de al menos 200 GB optamos por realizar una replica manual mediante la utilidad MTU.

La primera copia del equipo de la ciudad de México sera apoyándonos con la utilidad gráfica sin embargo la computadora del lado de Querétaro es un poco limitada y el navegador al usar esta interfaz gráfica se bloquea debido a que la aplicación de EqualLogic requiere la totalidad del procesador en este equipo por lo que vamos a describir un poco mas el uso de la consola y a meter instrucciones directamente a la SAN.

Bueno el respaldo lo tenemos en un disco duro externo mediante USB.

Aquí vemos el proceso de copiado mediante el modo gráfico desde una computadora con Windows XP.

Copiado finalizado es hora de transportarnos a Querétaro, en un autobus de estación a estación el tiempo de viaje es de al menos dos horas y media (sin trafico) entre las dos ciudades en cuestión.

Utilizaremos otro equipo con Windows XP para los trabajos y lo primero que necesitamos es instalar la aplicación de MTU en el equipo y mas importante que si esta no detecta el iniciador iSCSI en nuestro equipo lo instalara y obtendremos un IQN para nuestro equipo y asi podremos comunicar nuestra computadora con la SAN EqualLogic.

Antes que nada necesitamos verificar el estado de la replicación y dar permisos de acceso al equipo que se encargara de subir el respaldo. Iniciamos el acceso por telnet a una de las direcciones IP asignadas (no la IP de grupo) con un usuario con privilegios de administrador.

gabriel@tyrael:~$ telnet 172.17.0.102
Trying 172.17.0.102...
Connected to 172.17.0.102.
Escape character is '^]'.
 
PS Series Storage Arrays
Unauthorized Access Prohibited
 
login: gabriel
Password:
 
 
           Welcome to Group Manager
 
        Copyright 2001-2011 Dell, Inc.
 
 
 
Grupo3> 
831:22:EQL3:netmgtd:12-Apr-2012 11:15:55.620023:rcc_util.c:738:INFO:25.2.9:CLI: Login to account gabriel succeeded.

Verificamos que el proceso de replicación esta en progreso ya que desde el grupo primario se especifico que seria una replicación manual.

Grupo3> partner select Grupo2 inbound-replicaset show 
Name            ReservedSpace FreeSpace     Replicas Status                    
--------------- ------------- ------------- -------- ------------------------- 
EQL2VMESXi01.1  814.45GB      407.22GB      1        in-progress               
Correo.1        438.19GB      219.09GB      1        in-progress

Lo que haremos a continuación es darle permisos de acceso al volumen que se esta replicando al equipo que usaremos para iniciar la transferencia el acceso se lo daremos mediante el IQN de este mismo.

Grupo3> partner select Grupo2 inbound-replicaset select EQL2VMESXi01.1 access create initiator iqn.1991-05.com.microsoft:icverify-net.anaseguros.com.mx
Access control record created with ID 2.
Grupo3> 
837:209:EQL3:MgmtExec:12-Apr-2012 11:26:42.340210:targetAttr.cc:759:INFO:7.2.13:iSCSI login to target '172.17.0.104:3260, iqn.2001-05.com.equallogic:0-8a0906-b9924a509-3830018537a4f845-eql2vmesxi01.1-2012-04-10-11:25:22.52' from initiator '172.17.0.164:1257, iqn.1991-05.com.microsoft:icverify-net.anaseguros.com.mx' successful, using standard frame length.

Realizados los pasos anteriores podemos iniciar la aplicación donde nos preguntara la operación a realizar, la replica asociada y la ubicación del archivo que deseamos subir al equipo que se encuentra en un disco externo USB, la imagen muestra la conclusión de este proceso que se llevo aproximadamente ocho horas.

Terminado todo el proceso anterior volvemos a la consola de la SAN para finalizar la replicación como primer paso verificamos los accesos hacia al volumen con el que estamos trabajando.

Grupo3> partner select Grupo2 inbound-replicaset select EQL2VMESXi01.1 access show 
ID  Initiator                     Ipaddress       AuthMethod UserName   Apply-To
 
--- ----------------------------- --------------- ---------- ---------- --------
 
1                                 *.*.*.*         chap-local Grupo2     both    
 
2   iqn.1991-05.com.microsoft:icv *.*.*.*         none                  snapshot
 
      erify-net.anaseguros.com.mx

Borramos el acceso del equipo hacia el volumen utilizando el ID del iniciador como medida de seguridad y volvemos a verificar los accesos para verificar la adecuada eliminación del ID.

Grupo3> partner select Grupo2 inbound-replicaset select EQL2VMESXi01.1 access delete 2
Access control record deletion succeeded.
Grupo3> partner select Grupo2 inbound-replicaset select EQL2VMESXi01.1 access show    
ID  Initiator                     Ipaddress       AuthMethod UserName   Apply-To
 
--- ----------------------------- --------------- ---------- ---------- --------
 
1                                 *.*.*.*         chap-local Grupo2     both

Después de borrar el acceso tenemos estos mensajes diciéndonos que la conexión fue cerrada y que el equipo que utilizamos no encuentra su objetivo ya que le quitamos el acceso.

Grupo3> 
864:210:EQL3:MgmtExec:12-Apr-2012 19:31:25.930211:targetAttr.cc:1055:INFO:7.2.15:iSCSI session to target '172.17.0.104:3260, iqn.2001-05.com.equallogic:0-8a0906-b9924a509-3830018537a4f845-eql2vmesxi01.1-2012-04-10-11:25:22.52' from initiator '172.17.0.164:1257, iqn.1991-05.com.microsoft:icverify-net.anaseguros.com.mx' was closed.
        Volume or snapshot went offline.
 
866:212:EQL3:MgmtExec:12-Apr-2012 19:31:25.950213:targetAttr.cc:517:ERROR:7.4.3:iSCSI login to target '172.17.0.100:3260, iqn.2001-05.com.equallogic:0-8a0906-b9924a509-3830018537a4f845-eql2vmesxi01.1-2012-04-10-11:25:22.52' from initiator '172.17.0.164:1405, iqn.1991-05.com.microsoft:icverify-net.anaseguros.com.mx' failed for the following reason:
        Requested target not found.

Una vez borrado el acceso nos disponemos decirle al equipo que la transferencia manual ha sido completada para que los dos grupos se sincronicen y den por buena la replica.

Grupo3> partner select Grupo2 inbound-replicaset select EQL2VMESXi01.1 manual-xfer done

Verificamos el estado de las replicas y satisfactoriamente tenemos lista la primera de las dos que realizaremos.

Grupo3> partner select Grupo2 inbound-replicaset show
Name            ReservedSpace FreeSpace     Replicas Status                    
--------------- ------------- ------------- -------- ------------------------- 
EQL2VMESXi01.1  814.45GB      407.22GB      1        ready                     
Correo.1        438.19GB      219.09GB      1        in-progress               
 
Grupo3>

Después de esto una segunda replica solo reflejara los cambios de manera incremental y estos se podrían manejar de acuerdo a los tiempos que te permita tu enlace, de lo contrario puedes hacer este tipo de replicas las veces que necesites siempre y cuando la información a guardar no la necesites tan actualizada.

Más información.

110-0122-EN-R3_MTU_UserGuide

Probando Red Hat Enterprise Virtualization 3

Instalando RHEV Manager.

Toda la información referente esta aquí: Red Hat Enterprise Virtualization 3.0 Installation Guide

Partimos de una instalación básica de Red Hat 6 y nos referimos a que no instalaremos entorno gráfico ni cosas inútiles para el sistema.

Una vez instalado lo registramos (rhn_register) y actualizamos mediante YUM siguiendo las pautas del manual de instalación, antes de ejecutar el comando principal de instalación asegurate de adicionar los siguientes canales de Red Hat Network al sistema.

[root@rhevm3b ~]# rhn-channel --add --channel=rhel-x86_64-server-6-rhevm-3-beta                                                                                                                                                                                                      
[root@rhevm3b ~]# rhn-channel --add --channel=rhel-x86_64-server-supplementary-6
[root@rhevm3b ~]# rhn-channel --add --channel=rhel-x86_64-server-6-rhevm-3-jboss-5-beta
[root@rhevm3b ~]# rhn-channel --list
rhel-x86_64-server-6
rhel-x86_64-server-6-rhevm-3-beta
rhel-x86_64-server-6-rhevm-3-jboss-5-beta
rhel-x86_64-server-supplementary-6
[root@rhevm3b ~]# yum remove classpathx-jaf
[root@rhevm3b ~]# yum upgrade

A instalar la aplicación.

[root@rhevm3b ~]# yum install rhevm
Dependencies Resolved
 
====================================================================================================================================================================================
 Package                                         Arch                Version                                           Repository                                              Size
====================================================================================================================================================================================
Installing:
 rhevm                                           x86_64              3.0.0_0001-51.el6                                 rhel-x86_64-server-6-rhevm-3-beta                       66 k
Installing for dependencies:
 alsa-lib                                        x86_64              1.0.22-3.el6                                      rhel-x86_64-server-6                                   370 k
 antlr                                           noarch              2.7.7-7.ep5.el6                                   rhel-x86_64-server-6-rhevm-3-jboss-5-beta              516 k
 apache-cxf                                      noarch              2.2.12-4.patch_02.1.ep5.el6                       rhel-x86_64-server-6-rhevm-3-jboss-5-beta              8.0 M
 atk                                             x86_64              1.28.0-2.el6                                      rhel-x86_64-server-6                                   191 k

Y paciencia por que descargaremos varios paquetes.

 xml-security                                    noarch              1.4.3-6.ep5.el6                                   rhel-x86_64-server-6-rhevm-3-jboss-5-beta              427 k
 xz                                              x86_64              4.999.9-0.3.beta.20091007git.el6                  rhel-x86_64-server-6                                   137 k
 yum-plugin-versionlock                          noarch              1.1.30-10.el6                                     rhel-x86_64-server-6                                    26 k
 zip                                             x86_64              3.0-1.el6                                         rhel-x86_64-server-6                                   260 k
 
Transaction Summary
====================================================================================================================================================================================
Install     338 Package(s)
 
Total download size: 664 M
Installed size: 0  
Is this ok [y/N]:

Hay que asegurarnos de tener instalado nslookup y el cliente de ssh, ya que si hacemos la instalación básica a pesar de instalar rhevm y la gran cantidad de dependencias que tiene, estos paquetes no se instalan y la ausencia de nslookup provoca errores en la configuración de RHEVM y posteriores operaciones donde interviene la consulta a un servidor DNS, el cliente de SSH es importante al agregar los hosts a la interfaz gráfica en concreto marca un error en la instalación y no puede finalizar la operación. En lo personal me gusta hacer instalaciones muy básicas e ir agregando los paquetes que resulten necesarios así uno se puede dar cuenta con mas detalle de los puntos que a veces una instalación omite por asumir que tienes una instalación completa.

yum install bind-utils
yum install openssh-clients

Empezamos con la configuración.

[root@rhevm3b ~]# rhevm-setup 
Welcome to RHEV Manager setup utility
HTTP Port  [8080] : 
HTTPS Port  [8443] : 
Host fully qualified domain name, note that this name should be fully resolvable  [rhevm3b.ananet.com.mx] : 
rhevm3b.ananet.com.mx did not resolve into an IP address
User input failed validation, do you still wish to use it? (yes|no): no
Host fully qualified domain name, note that this name should be fully resolvable  [rhevm3b.ananet.com.mx] : 
Password for Administrator (admin@internal) :
Confirm password :
Database password (required for secure authentication with the locally created database) :
Warning: Weak Password.
Confirm password :
Organization Name for the Certificate: Demerzel Inc 
The default storage type you will be using  ['NFS'| 'FC'| 'ISCSI']  [NFS] : 
Should the installer configure NFS share on this server to be used as an ISO Domain? ['yes'| 'no']  [yes] : no
Firewall ports need to be opened.
You can let the installer configure iptables automatically overriding the current configuration. The old configuration will be backed up.
Alternately you can configure the firewall later using an example iptables file found under /usr/share/rhevm/conf/iptables.example
Configure iptables ? ['yes'| 'no']: yes
 
RHEV Manager will be installed using the following configuration:
=================================================================
http-port:                     8080
https-port:                    8443
host-fqdn:                     rhevm3b.ananet.com.mx
auth-pass:                     ********
db-pass:                       ********
org-name:                      Demerzel Inc
default-dc-type:               NFS
override-iptables:             yes
Proceed with the configuration listed above? (yes|no): yes
 
Installing:
Creating JBoss Profile...                                [ DONE ]
Creating CA...                                           [ DONE ]
Setting Database Security...                             [ DONE ]
Creating Database...                                     [ DONE ]
Updating the Default Data Center Storage Type...         [ DONE ]
Editing JBoss Configuration...                           [ DONE ]
Editing RHEV Manager Configuration...                    [ DONE ]
Configuring Firewall (iptables)...                       [ DONE ]
Starting JBoss Service...                                [ DONE ]
 
 **** Installation completed successfully ******
 
     (Please allow RHEV Manager a few moments to start up.....)
 
 
Additional information:
 * There is less than 4 GB available free memory on the Host.
It is  recommended to have at least 4 GB available memory to run the RHEV Manager.
 * SSL Certificate fingerprint: 46:BD:6D:90:C9:A6:62:6B:15:38:87:41:E6:64:27:85:FD:3B:91:B3
 * SSH Public key fingerprint: 7b:81:63:f0:88:83:db:f7:c2:51:cd:fd:0d:2c:75:d4
 * The firewall has been updated, the old iptables configuration file was saved to /usr/share/rhevm/conf/iptables.backup.113527-12212011_1497
 * The installation log file is available at: /var/log/rhevm/rhevm-setup_2011_12_21_05_04_50.log
 * Please use the user "admin" and password specified in order to login into RHEV Manager
 * To configure additional users, first configure authentication domains using the 'rhevm-manage-domains' utility
 * To access RHEV Manager please go to the following URL: http://rhevm3b.ananet.com.mx:8080

En la configuración si no contamos con nslookup nos saldra este mensaje de advertencia que se aprecia en las lineas anteriores.

Host fully qualified domain name, note that this name should be fully resolvable  [rhevm3b.ananet.com.mx] : 
rhevm3b.ananet.com.mx did not resolve into an IP address
User input failed validation, do you still wish to use it? (yes|no): no

Si verificamos un poco el log de instalación veremos como no puede hacer una correcta verificación de la IP mediante el nombre del host que le proporcionamos.

2011-12-21 05:05:00::DEBUG::common_utils::165::root:: cmd = /usr/bin/nslookup rhevm3b.ananet.com.mx
2011-12-21 05:05:00::DEBUG::common_utils::170::root:: output =
2011-12-21 05:05:00::DEBUG::common_utils::171::root:: stderr = /bin/sh: /usr/bin/nslookup: No such file or directory
 
2011-12-21 05:05:00::DEBUG::common_utils::172::root:: retcode = 127
2011-12-21 05:05:00::ERROR::rhevm_validators::136::root:: Failed to resolve rhevm3b.ananet.com.mx
2011-12-21 05:05:00::DEBUG::rhevm-setup::519::root:: asking user: User input failed validation, do you still wish to use it? (yes|no):
2011-12-21 11:32:43::DEBUG::rhevm-setup::523::root:: user answered: no

Instalamos el paquete bind-utils para obtener nslookup y volvemos a configurar la aplicación que ahora se ejecuta sin error.

[root@rhevm3b ~]# yum install bind-utils
2011-12-21 11:32:44::INFO::rhevm_validators::122::root:: Validating rhevm3b.ananet.com.mx as a FQDN
2011-12-21 11:32:44::INFO::rhevm_validators::96::root:: validating rhevm3b.ananet.com.mx as a valid domain string

Después de esta aclaración realizamos lo que comenta la ultima linea de configuración: * To access RHEV Manager please go to the following URL: http://rhevm3b.ananet.com.mx:8080

Probando la nueva interfaz de RHEV Manager.

Tenemos que usar el navegador Internet Explorer en su versión 8 la versión 9 en lo personal no me ha funcionado siempre marcar errores al cargar la aplicación.

La cuestión de los certificados.

La interfaz de administración.

Instalando los hosts.

La pantalla de bienvenida.

Hay un cambio importante en el instalador de los host, el instalador tiene un poco de color (solo un poco) y eso da la sensación de que sera una instalación fácil y amigable.

En la primera parte de la instalación solo necesitamos proveer el almacenamiento donde se instalara la imagen y una contraseña de administración que nos pedirá posteriormente para activar la configuración del host.

Como primer paso debemos configurar nuestra red especificando los parámetros a nuestra tarjeta de red principal (eth0), las demás interfaces las manejaremos desde el manager.

Imagen del estado de la red del host, vemos la primera interfaz conectada, el hostname especificado y el DNS.

Con el manager instalado, le pasamos los parametros al host para agregarse a este.

En nuestro manager veremos que nos aparece el host esperando que se apruebe su instalación y se pueda agregar a nuestro cluster.

Nos pide verificar los datos del host como el nombre y su dirección IP así como el datacenter y el cluster al que va a pertenecer.

Al agregar el primer host se presenta este error y nunca se termina de instalar, el mensaje es descriptivo nos falta en el servidor de RHEVM el cliente de ssh.

Host demerzel.ananet.com.mx installation failed. SshClient not started. Please call start() method before connecting to a server.
[root@rhevm3b ~]# yum install openssh-clients

Después de esto hay que borrar el host que se quedo a medio camino y volver a agregarlo de forma manual, posteriores host se agregaran de forma automática.

Pasamos a la parte de configuración de la red y almacenamiento.

Esta parte donde se encuentran los parámetros de red esta mas trabajada y con mas opciones con respecto a la creación de un bond de tarjetas para la red iSCSI, contamos con dos hosts a cada uno de ellos le vamos a crear un bond con las interfaces cuatro y cinco.

Como el datacenter lo creamos para iSCSI vamos a usar un servidor e instalar un target en el para simular la presencia de una SAN, como se ha descrito en esta pagina tenemos acceso a SAN EqualLogic pero por el momento no estan disponibles, asi que utilizaremos un servidor HP Proliant que utilizaremos como target basandonos en esta guia: using-iscsi-on-debian-lenny-initiator-and-target.

Con un volumen de 30 GB basta, para la parte de autenticación utilizamos CHAP.

Una vez acreditados estamos listos para aceptar el lun y activarlo en nuestro datacenter, alguno de los host asumirá el rol de SPM.

Agregando el storage ISO.

Desde el datacenter lo activamos para iniciar la carga de las imágenes ISO que necesitemos.

Antes de cualquier instalación con Windows no se nos debe olvidar descargar el driver virtio-win-1_4_0-1.vfd y almacenarlo igual en el storage ISO, vamos a instalar un Windows 7 Professional de 64 bits como primera maquina virtual.

root@tyrael:/home/gabriel/Downloads# cp virtio-win-1_4_0-1.vfd /home/gabriel/RHEV/3dbdd243-acd9-4e37-9691-7f98cfd98929/images/11111111-1111-1111-1111-111111111111/
root@tyrael:/home/gabriel/Downloads# chown 36:36 /home/gabriel/RHEV/3dbdd243-acd9-4e37-9691-7f98cfd98929/images/11111111-1111-1111-1111-111111111111/virtio-win-1_4_0-1.vfd
root@tyrael:/home/gabriel# mv es_windows_7_professional_x64_dvd_x15-65843.iso RHEV/3dbdd243-acd9-4e37-9691-7f98cfd98929/images/11111111-1111-1111-1111-111111111111/
root@tyrael:/home/gabriel# chown 36:36 RHEV/3dbdd243-acd9-4e37-9691-7f98cfd98929/images/11111111-1111-1111-1111-111111111111/es_windows_7_professional_x64_dvd_x15-65843.iso
root@tyrael:/home/gabriel# ls -l RHEV/3dbdd243-acd9-4e37-9691-7f98cfd98929/images/11111111-1111-1111-1111-111111111111/
total 3106344
-rwxr--r-- 1 36 36 3176308736 Aug 17  2009 es_windows_7_professional_x64_dvd_x15-65843.iso
-rw-r--r-- 1 36 36    1474560 Feb  3 13:30 virtio-win-1_4_0-1.vfd
root@tyrael:/home/gabriel#

Iniciamos la creación de nuestra maquina virtual asignando nombre, tipo de sistema operativo, memoria RAM, núcleos de procesador, disco duro, tarjeta de red, cluster y datacenter.

En los equipos con Windows es importante seleccionar la opción Run Once con el fin de especificar la unidad A que contiene los drivers virtio para poder reconocer el disco duro asignado.

Podemos tomar el controlador para la red desde la unidad A como mencionamos anteriormente, y nuestra maquina virtual ya tiene acceso a Internet.

Aqui otro punto donde el DNS es importante para nuestra aplicación, ya que tenemos dos hosts vamos a verificar la migración de la maquina virtual de un host a otro.

Al iniciar la migración de la maquina virtual esta no se logra y obtenemos los siguientes mensajes acerca del proceso:

Starting migration of VM Win7 from Host giskard.ananet.com.mx to Host demerzel.ananet.com.mx (User: admin@internal.).
Migration failed due to Error: Migration destination has an invalid hostname (VM: Win7, Source Host: giskard.ananet.com.mx). Trying to migrate to another Host.
Migration failed due to Error: Migration destination has an invalid hostname (VM: Win7, Source Host: giskard.ananet.com.mx).

Verificando en los registros del administrador podemos observar lo siguiente:

2012-02-03 18:04:10,709 ERROR [org.ovirt.engine.core.vdsbroker.VdsUpdateRunTimeInfo] (QuartzScheduler_Worker-54) Rerun vm 83cdad51-2ff3-49bc-bab2-51720159298a. Called from vds giskard.ananet.com.mx
2012-02-03 18:04:10,714 INFO  [org.ovirt.engine.core.vdsbroker.vdsbroker.MigrateStatusVDSCommand] (pool-15-thread-1877) START, MigrateStatusVDSCommand(vdsId = 9cfbe6de-4b9b-11e1-a5da-ff6f684fbc39, vmId=83cdad51-2ff3-49bc-bab2-51720159298a), log id: 88c9ab6
2012-02-03 18:04:10,719 INFO  [org.ovirt.engine.core.vdsbroker.vdsbroker.BrokerCommandBase] (pool-15-thread-1877) Command org.ovirt.engine.core.vdsbroker.vdsbroker.MigrateStatusVDSCommand return value 
 Class Name: org.ovirt.engine.core.vdsbroker.vdsbroker.StatusOnlyReturnForXmlRpc
mStatus                       Class Name: org.ovirt.engine.core.vdsbroker.vdsbroker.StatusForXmlRpc
mCode                         39
mMessage                      Migration destination has an invalid hostname
 
 
2012-02-03 18:04:10,719 INFO  [org.ovirt.engine.core.vdsbroker.vdsbroker.BrokerCommandBase] (pool-15-thread-1877) Vds: giskard.ananet.com.mx
2012-02-03 18:04:10,719 ERROR [org.ovirt.engine.core.vdsbroker.VDSCommandBase] (pool-15-thread-1877) Command MigrateStatusVDS execution failed. Exception: VDSErrorException: VDSGenericException: VDSErrorException: Failed in vdscommand to MigrateStatusVDS, error = Migration destination has an invalid hostname
2012-02-03 18:04:10,719 INFO  [org.ovirt.engine.core.vdsbroker.vdsbroker.MigrateStatusVDSCommand] (pool-15-thread-1877) FINISH, MigrateStatusVDSCommand, log id: 88c9ab6
2012-02-03 18:04:10,729 WARN  [org.ovirt.engine.core.bll.MigrateVmCommand] (pool-15-thread-1877) CanDoAction of action MigrateVm failed. Reasons:ACTION_TYPE_FAILED_VDS_VM_CLUSTER,VAR__ACTION__MIGRATE,VAR__TYPE__VM

Tenemos que asegurarnos que en el servidor DNS que utilicemos tengamos creados correctamente los registros de los equipos que utilizaremos tanto los hosts como del manager, de esta manera lograremos que en una migración si existen errores sean atribuidos a otras cosas y no a algo tan simple como un registro DNS.

Starting migration of VM Win7 from Host giskard.ananet.com.mx to Host demerzel.ananet.com.mx (User: admin@internal.).
Migration complete (VM: Win7, Source Host: giskard.ananet.com.mx).

El entorno de instalación de los servidores, el administrador se ejecuta como maquina virtual mediante VMware Player, el servidor NFS se ejecuta en mi laptop y el servidor que se ve abajo funciona como almacén iSCSI. Los dos conmutadores representan la separación entre la red de área local iSCSI y la de datos.

Necesitas al menos tres componentes (Manager, Host, Storage) para levantar este sistema de virtualización ya que a diferencia de VMware o Citrix el administrador de RedHat se debe instalar aparte.

En cada host no he podido terminar lo referente a el “Power Management”, algo en la configuración estoy omitiendo cuando lo averigüe lo pondremos por aquí.

EqualLogic, replicación a grandes distancias.

Este documento no pretende ser una guia paso a paso, es solamente una experiencia acerca de como se esta realizando lo siguiente y el aprendizaje que se esta llevando a cabo.

Continuando en la linea del post anterior de: Tiempos de replicación en una misma vlan con Equallogic, seguimos con otras pruebas.

Ahora viene la situación de replicar mediante una WAN, vamos a poner el entorno y el porque al menos para la primera replica no es el mejor escenario.

Equipo disponible en locación primaria.

Dell EqualLogic PS6000 en RAID 50.
Dos switch PowerConnect 6224
Router Cisco 2801

Equipo disponible en locación secundaria.

Dell EqualLogic PS6000 en RAID 50.
Dos switch PowerConnect 5424
Router Cisco 1841

Enlace disponible.

MPLS de 512 Kbps proporcionado por UNINET de TELMEX.

Diagrama de conexión.

Anteriormente habiamos puesto unos tiempos de replicación en un entorno LAN sobre determinados volúmenes, ahora mas que intentar replicar estos mismos mediante un enlace tan pequeño la finalidad es que exista una comunicación ininterrumpida entre los storage y replicar cambios de un tamaño apropiado para el enlace y que este entre los tiempos normales de operación.

El proveedor de la conexión en este caso es TELMEX a través de su red UNINET. Mediante el centro de atención se solicitan los cambios necesarios para la comunicación entre los routers que incluye la activación de la segunda interfaz que tiene cada equipo asignándoles un segmento de red independiente de nuestra LAN principal de computadoras y servidores, haciendo la conexión lo mas transparente posible y de punto a punto.

Una vez configurados los grupos adecuadamente y verificado que existe una conexión entre los equipos se comprueba que no se interrumpa la conexión. Para la configuración de los grupos y el procedimiento de configuración de un replication partner podemos consultar aquí: PS Series Storage Arrays, Group Administration V5.0, en el capitulo 12 Volume replication.

El volumen con el que realizaremos las pruebas se denomina EQL2VMESXi01 con un tamaño de 293.12 GB, como pueden apreciar en el nombre es un volumen que guarda un par de maquinas virtuales que corren bajo VMware.

Y aquí necesitamos realizar un calculo sencillo, ¿cuanto tiempo necesitamos para transportar 293.12 GB utilizando un enlace de 512 Kbps?

512 Kbit/s = 0.000064 GB/s
293.12 GB / 0.000064 GB/s = 4,580,000 s = 53.0092592593 días.

En un escenario ideal tardaríamos 53 días en pasar la primera replica lo cual evidentemente no es practico desde ningún punto de vista.

El enlace de momento esta únicamente destinado a estas pruebas, por lo cual podemos hacer uso de el en su totalidad una vez que la comunicación entre los dispositivos no se interrumpe.

A continuación vemos una gráfica proporcionada por una herramienta de monitoreo usada por el proveedor del enlace, podemos verificar entre otras cosas la velocidad teórica del enlace, la descripción acerca de fechas y una pequeña gráfica donde vemos que la utilización es mínima.

Incremento al empezar la replicación, de 0 a 99 % en menos de un clic.

Gráfica del enlace pasando información durante dos días casi al cien por ciento.

Ya que nos damos cuenta de que va a tardar varios días en pasar la replica en el escenario actual no es problema dejar copiando los datos aunque sabemos que no funcionara en nuestro tiempo establecido pero nos da tiempo de pensar la forma de pasar esa primera replica, aunque esto no es razón suficiente para suspender la transferencia, si de por si cobran la renta del enlace lo uses o no lo dejamos transfiriendo información para que no este ocioso el medio y de paso verificamos su disponibilidad.

En esta imagen apreciamos lo que menciono anteriormente, en 14 días solo se han transferido 62.02 GB.

MTU, Manual Transfer Utility.

Para estos casos esta MTU, básicamente es copiar los datos del grupo primario y transferirlos a un medio extraible transportarse al grupo secundario y hacer el proceso inverso.

Existe el siguiente documento: Manual Transfer Utility, Installation and User Guide, Version 1.1.2. Todo lo que necesitamos de manera preliminar lo obtenemos de este documento, la siguiente imagen que se encuentra en la guía de instalación sintetiza el concepto de MTU.

MTU

Necesitamos un equipo conectado a la red iSCSI (yo utilize mi laptop) con la aplicación reptool instalada para iniciarla mediante la interfaz gráfica accediendo al portal de administración del storage. En el volumen sobre el que vamos a trabajar elegimos replicar ahora y escogemos que utilizaremos la replicación manual y empezara la aplicación que validara que tengamos el software instalado.

En la imagen anterior vemos que la transferencia ha terminado y observamos el archivo que se creo en nuestro disco duro externo listo para ser transportado a donde se encuentra el otro grupo.

Ahora nos enfocamos en el copiado de la información en el grupo secundario mediante la opción de linea de comandos, aquí sirve introducir una aclaración en base a la experiencia que se tuvo reptool ocupa gran capacidad del proceso de un equipo por lo cual si tienes un equipo con un Pentium 4 corriendo WindowsXP lo mas seguro es que la utilización de tu CPU llegue al cien por ciento, por eso decidimos hacerlo mediante linea de comandos para evitar bloqueos en la interfaz web.

En la imagen que se muestra a continuación vemos el menú de opciones del modo de linea de comandos de reptool:

Opción 0: Salir de reptool.
Opción 1: Copiar datos del volumen a replicar a un archivo transferencia.
Opción 2: Cargar un archivo de transferencia para efectuar la replica.
Opción 3: Recolectar información de diagnostico.

Escogemos la opción numero dos donde se nos presentara la replica sobre la que estamos trabajando, previamente habremos de dar permisos a la dirección IP asociada al equipo desde donde descargaremos la información para que nos permita acceder al grupo (en modo gráfico esto lo hace la aplicación automáticamente), por ultimo nos pide poner la ruta completa donde esta el archivo de transferencia la cual en este caso se encuentra en un disco duro externo, vemos un resumen de la transferencia así como la instrucción para salir del programa.

En esta imagen el avance de la información copiada así como la velocidad de transmisión, el cual es el paso intermedio de la imagen anterior.

Una vez realizado todo lo anterior se tiene que aceptar la transferencia del archivo para que los grupos sincronicen la replica y la acepten como tal.

Depende de la actividad que tenga el volumen mientras la replica se este realizando o el tiempo que tardemos en crear la primera replica de forma manual podemos tener un tamaño variable cuando esta termine y el volumen, en mi caso en un par de días que tardo el traslado de un lugar a otro al crear una segunda replica que en este caso ya es incremental hubo una diferencia aproximada de 800 MB debido a que realizaron tareas de escritura, sin embargo esta información ya es fácil de enviar por el enlace en una noche.

512 Kbit/s = 0.064 GB/s
800 MB / 0.064 MB/s = 12,500 s = 3.4722 horas.

El calculo anterior es teórico, la realidad es que se tardo cinco horas y unos pocos minutos mas, en la imagen siguiente se puede apreciar el estado de las dos replicas completadas, la realizada manualmente y la otra usando el enlace.

Por el momento es todo aquel día terminamos y nos fuimos de turistas, seguiremos informando.

Mas información:

110-0122-EN-R3_MTU_UserGuide
110-6027-EN-R1_Group_Admin_V5.0
110-6025-SP-R1_RNotes_V5.0
TR1052-Replication
So you bought an EqualLogic SAN, now what… part one