Set 102014
 

Postfix & Dovecot

(I have written this article in english since I wasn’t able to find any updated guide about this subject in any language).

DISCLAIMER. this is a very basic configuration. Not intended for production environment. Use at your own risk.

I have a small mailserver handling very few domains with mailboxes  for may friends and relatives an it have been working fine for the last 8 years.
But  it is based on the old CentOS 5 + sendmail and I think it is time to upgrade!

So, in order to test the new future configuration, I have performed a  CentOS 7 minimum install  on a virtual machine and tried to configure the  minimum amount of packages to have it working.

Now let’s start!

Continue reading »

Set 272013
 

livesnapshot

Nell’articolo precedente abbiamo visto il modo d organizzare i filesystem delle VM come volumi LVM.

Ora vedremo come questo renda possibile effettuare backup a caldo delle VM in esecuzione.

Per effettuare un backup sarà sufficiente:

  • effettuare uno snapshot del volume
  • convertire lo snapshot in un immagine compressa
  • rimuovere lo snapshot

Ecco un semplicissimo script nel quale a dire il vero non sono implementati controlli sui parametri passati, ma che ha l’indubbio vantaggio di funzionare perfettamente: Continue reading »

Set 252013
 

tag-vlan-help

La virtualizzazione presenta numerosi vantaggi legati alla condivisione delle risorse fisiche.

Memoria, potenza di calcolo, storage, networking possono essere condivisi da più macchine virtuali andando a sfruttare in maniera ottimale quanto messo a disposizione dal server su cui è in esecuzione l’hypervisor.

A livello di networking la configurazione base prevede che una singola scheda di rete sia condivisa da più server logici. Continue reading »

Set 242013
 

pfSense

Qualche giorno fa la versione 2.1 di pfSense è uscita dalla fase di “release-candidate” ed è stata finalmente rilasciata.

Al momento credo si tratti di una delle pochissime firewall-appliance  a supportare pienamente IPV6 e rilasciata con licenza open-source.

In un precedente articolo avevo esplorato alcune delle caratteristiche di questo prodotto. Continue reading »

Giu 122013
 

archivio

Nel nostro paese l’archiviazione elettronica dei documenti è poco praticata.

Quando si cerca di introdurre un sistema documentale spesso ci si scontra, a tutti i livelli,  con resistenze di vario genere.

Nella mia esperienza, una volta risolti i problemi a livello di direzione (essenzialmente legati ai costi ed ai benefici non immediati :-)) si arriva alla fase più critica: convincere gli operatori dell’utilità della soluzione proposta.

Tentare di imporre certe scelte è quasi sempre deleterio, meglio convincere. Ma sono necessari argomenti veramente validi!

La barriera principale è solitamente  legata al lavoro extra necessario per l’acquisizione ottica del documento e la corretta catalogazione nel documentale. In mancanza di benefici Continue reading »

Giu 102013
 

memory

Tutti gli amministratori di sistema sanno qual’è la funzione del paging (swapspace).

Nato come metodo di protezione negli anni in cui la RAM era una risorsa preziosissima sui sistemi server, ha cambiato via via connotazione, diventando uno strumento di ottimizzazione delle prestazioni.

Forsenontuttisannoche i sistemi LINUX usano una politica molto aggressiva nel tentativo di ottimizzare le risorse disponibili. Ogni risorsa non utilizzata è considerata uno spreco.

Se osservate l’occupazione di RAM in un sistema LINUX, vi accorgerete che la memoria libera è sempre poca. In effetti la memoria non utilizzata è considerata dal kernel come uno spreco e, come tale, va evitato. Per questo motivo viene impiegata come cache/buffer per aumentare le prestazioni di lettura/scrittura dello storage.

Nei kernel della serie 2.6 questo concetto si spinge oltre: non solo viene utilizzata la RAM libera, ma il sistema cerca di ottenerne altra con una politica molto aggressiva.

Tale politica consiste nel mandare in paging nella memoria virtuale alcune parti di memoria non utilizzate di recente come quella dei processi in “idle” cioè che pur essendo in esecuzione, non stanno impegnando la CPU di sistema. In questo modo si può riutilizzare la memoria precedentemente allocata per incrementare le prestazioni complessive della macchina.

L’aggressività è regolabile attraverso il parametro swappiness del kernel. La wikipedia (verificate il link precedente) riporta l’informazione errata che con un valore zero il sistema si comporta in maniera assolutamente rispettosa dei processi in idle, utilizzando il paging solo in caso di reale necessità per evitare l'”out of memory”.

Non è così. Purtroppo impostando a zero tale parametro, il sistema continua a swappare alcuni programmi im esecuzione.

Infatti il kernel calcola in questo modo la tendenza ad utilizzare lo swapping:

swap_tendency = mapped_ratio/2 + distress + vm_swappiness;

Come vedete il terzo parametro vm_swappiness azzerato non è sufficiente ad annullare la tendenza nella formula. Se la tendenza raggiunge un valore > 100 il kernel reclamerà memoria dai processi in esecuzione.  Il primo parametro mapped_ratio indica la percentuale di memoria mappata, il secondo distress misura la difficoltà del kernel nel liberare memoria. Quando il kernel decide di reclamare memoria la distress sarà zero, se ci saranno successivi tentativi il valore si eleverà progressivamente fino a 100.

Come dobbiamo fare se abbiamo la necessità di inibire l’uso dello swapping se non in caso di memoria di sistema effettivamente scarsa?

Purtroppo non c’è alcun modo. Googlando su internet troverete un sacco di persone che hanno posto la stessa domanda.

La risposta standard di alcuni individui piuttosto saccenti è del tipo “Pretendete di sapere come va utilizzata la memoria meglio di chi ha scritto il kernel del vostro sistema? Lasciate che il vostro sistema si gestisca da solo e lo farà per il meglio!”.

Tali risposte sono a mio avviso di una cecità clamorosa. Non metto in dubbio l’ottimo lavoro svolto dagli sviluppatori del nostro kernel preferito.

In linea di massima il sistema fa un ottimo lavoro per sfruttare al massimo le risorse, ma non si può generalizzare. 

Vi espongo un caso concreto per il quale la scelta del kernel di swappare i processi non è assolutamente una buona idea.

Siamo su un server che funge da hypervisor KVM con macchine virtuali poco attive e parametro swappiness=0.

Con riferimento al precedente articolo, ecco qual’era la situazione durante l’esportazione delle immagini delle macchine virtuali:

[root@kvm backup]# free
             total       used       free     shared    buffers     cached
Mem:       7801732    5711072    2090660          0      53984    1507288
-/+ buffers/cache:    4149800    3651932
Swap:      9214968    1540844    7674124

A fronte di una quantità esorbitante di memoria libera di cui una parte utilizzata per la cache, abbiamo uno swapfile che è cresciuto fino a oltre 1,5GB.

Alcuni processi in esecuzione sono stati “paginati” nella memoria virtuale.

Quali? Purtroppo la scelta del kernel è caduta su……. le macchine virtuali in esecuzione!

Ho potuto verificarlo lanciando il comando smem.

Ecco quali erano i processi che utilizzavano lo swap:

[root@kvm backup]# smem
  PID User     Command                         Swap      USS      PSS      RSS 
 	.........
	.........
14353 root     /sbin/dmeventd                     0    16616    16778    17904 
 1661 named    /usr/sbin/named -u named           0    17708    17807    18752 
 2480 qemu     /usr/libexec/qemu-kvm -name   115404   510852   511596   677636 
 2353 qemu     /usr/libexec/qemu-kvm -name   159656   868056   868880   907940 
12114 qemu     /usr/libexec/qemu-kvm -name   394384  1026608  1027327  1030820 
 2535 qemu     /usr/libexec/qemu-kvm -name   445992  1615800  1616581  2217232 

Effettivamente erano processi che non stavano lavorando molto.

Ma una di queste macchine virtuali contiene il server su cui gira questo blog. Una macchina virtuale con la memoria swapping ha prestazioni talmente scarse da essere assolutamente inutilizzabile! Infatti, tentando di collegarsi via web al sito in quel momento, il browser andava in timeout. 

Quindi, pur non pretendendo di di sapere come deve essere impiegata la RAM meglio di chi sviluppa il kernel, vorrei che, almeno in alcuni casi particolari, fosse possibile evitare il paging in virtuale di alcuni processi o, al limite, imporre al kernel di utilizzare lo swapspace solo in caso di critica mancanza di memoria.

Purtroppo non mi risulta che sia possibile configurare il sistema con le caratteristiche di cui sopra, quindi ho dovuto ricorrere ad una soluzione molto pericolosa: disattivare lo swap.

Con oltre 2 GB di memoria libera non mi aspetto problemi di sorta, l’hypervisor ed i pochi servizi in esecuzione non avranno mai necessità superiori.

Ma è comunque una soluzione pericolosa da non utilizzare assolutamente in server in produzione.

Il sistema gira senza paging da un paio di settimane e le prestazioni delle macchine virtuali sono tornate ad un buon livello, ma vorrei che ci fosse un modo meno rischioso per ottenere lo stesso risultato.

Fabrizio Vettore

Giu 032013
 

http://blog.vettore.org/kvm

Non sono mai stato un sostenitore di LVM.

Nelle installazioni server lo evito come la peste perché, a fronte di qualche indubbio vantaggio, vi è il rischio concreto di dover profondere un impegno aggiuntivo nel recupero dei dati nelle situazioni di disaster-recovery.

Per questo motivo solitamente opto per una normalissima partizione EXT4 con il mountpoint di root :-).

Ma addentrandomi nel mondo di KVM-qemu come già visto nel mio precedente articolo, mi sono reso conto della grande utilità di gestire le immagini delle macchine virtuali come volumi logici.

Continue reading »

Mag 242013
 

w8

Nelle scorse settimane ho effettuato alcuni test di compatibilità tra nuove macchine con installato il sistema Windows 8 professional e le configurazioni del nostro dominio.

Le ultime release dei sistemi Microsoft (Windows 7, Vista) in passato non avevano evidenziato particolari problematiche e mi aspettavo che anche questa volta sarebbe filato tutto liscio.

Purtroppo non è stato così….

Primo problema: le policy relative all’impostazione del proxy server non vengono applicate. Continue reading »

Apr 042013
 

pfSense

Vista la mia innata predilezione per l’open source, una tra le mie appliances preferite negli ultimi anni è stata ENDIAN.

Si tratta di un buon progetto italiano che riunisce in un’ambiente LINUX i “soliti noti” nel campo della sicurezza e del networking  (SNORT, iptables, SQUID, Dansguardian, ClamAV…) dando la possibilità di controllare tutto per mezzo di un’accattivante interfaccia web. E’ molto facile da configurare, anche se alcune funzionalità vengono sacrificate proprio per aumentarne la facilità di configurazione.

E disponibile una versione “community” con pochissime limitazioni e scaricabile gratuitamente.

Purtroppo il team ENDIAN ha deciso di effettuare quello che secondo la mia modestissima opinione è un vero suicidio tecnologico/commerciale mancando di supportare IPV6.

Infatti al momento non viene rilasciata alcuna notizia ufficiale circa una futura implementazione del nuovo protocollo. Qualche “voce”  indica come possibile l’adozione di IPV6 con il rilascio della versione 3.0. (tra diversi anni, con l’attuale ciclo di release….). Ogni richiesta in merito sui vari forum viene sistematicamente ignorata.

Immagino siano pochi gli amministratori di sistema che dovendo scegliere oggi un nuovo firewall optino per una soluzione priva di IPV6.

Io ho iniziato a cercarne uno che almeno nella roadmap abbia un’implementazione totale di tutti i servizi con il nuovo protocollo.

Mi sono imbattuto in pfSense una soluzione open source basata su FreeBSD.

Siamo alla versione 2.01, ma è già disponibile uno snapshot beta 2.1 con un pieno supporto IPV6.

Tra le caratteristiche a mio avviso più interessanti: Continue reading »