Donnerstag Apr 14, 2016

ASM Scoped Security - Ein Realistisches Beispiel

Wenn man, z.B. auf SuperCluster, mehrere Instanzen der Grid Infrastruktur (gerne als RAC Cluster bezeichnet) betreibt, die die selben Exadata Storage Server (oder kurz Zellen) verwenden, ist es ratsam, ASM Scoped Security zu verwenden.  Selbst wenn es, wie z.B. bei mehreren Mandanten, keine Sicherheitsgruende dafuer gibt, kann man auf diese Weise immer verhindern, dass der Admin des einen Clusters versehentlich die Diskgruppe des anderen Clusters verwendet.  Als einfach umzusetzende Sicherheitsmassnahme ist das daher immer eine gute Idee.

Natuerlich gibt es fuer dieses Feature der Storage Zellen gute Dokumentation.  Allerdings steckt auch hier der Teufel im Detail, daher hier ein vollstaendiges Beispiel, wie man das macht:

  1. Den entsprechenden Cluster anhalten.  Kommando: "crsctl stop crs" auf allen Cluster Knoten.
  2. Einen Schluessel fuer den Cluster erzeugen
    Das macht, auf irgend einer Storage Zelle, das Kommando "cellcli -e create key".  Heraus kommt ein ASCII String, der als Schluessel zu verwenden ist.  Diesen Schluessel notiert man sich irgendow.  In diesem Beispiel verwende ich den Schluessel '9e9a606a461a1abc6af43626e85af3b7'.
  3. Nun denkt man sich einen eindeutigen Namen fuer den Cluster aus.  In diesem Beispiel verwende ich dafuer "marsc1" - der erste Cluster, der auf mars laeuft.
  4. Nun verknuepft man diesen Namen mit dem Schluessel.  Das muss auf jeder beteiligten Storage Zelle mit cellcli gemacht werden:
    CELLCLI> assign key for 'marsc1'='9e9a606a461a1abc6af43626e85af3b7'
  5. Hier kommt der komplizierteste Teil.  Der eindeutige Name muss nun jeder einzelnen Griddisk, die unser Cluster verwendet, zugewiesen werden.  Leider ist die Kommandozeile von CELLCLI hier nicht wirklich hilfreich.  Ich habe das so geloest:
    1. Auf jeder Zelle eine Liste aller Griddisks anlegen, die zu marsc1 gehoeren.  Mit CELLCLI:
      spool /tmp/disks
      list griddisk where asmdiskgroupname='DATAC1' attributes name
      list griddisk where asmdiskgroupname='RECOC1' attributes name
    2. Jetzt enthaelt /tmp/disks auf jeder Zelle eine Anzahl Zeilen aehnlich wie diese:
               DATAC1_CD_00_marsceladm04    
               DATAC1_CD_01_marsceladm04    
               DATAC1_CD_02_marsceladm04    
               DATAC1_CD_03_marsceladm04    
    3. Jetzt aendert man diese Datei in eine Kommando-Datei fuer CELLCLI.  Ich habe dafuer vi und awk verwendet, aber es geht sicher auch anders.  Das Ergebnis sah bei mir dann so aus:
      alter griddisk DATAC1_CD_00_marsceladm04 availableTo='marsc1'
      alter griddisk DATAC1_CD_01_marsceladm04 availableTo='marsc1'
      alter griddisk DATAC1_CD_02_marsceladm04 availableTo='marsc1'
      alter griddisk DATAC1_CD_03_marsceladm04 availableTo='marsc1'
    4. Jetzt laesst man dieses Script auf jeder Zelle laufen.  Natuerlich gibt es fuer jede Zelle ein eigenes Script!
      # cellcli < script
    5. Und jetzt noch nachsehen, ob es geklappt hat, wieder mit CELLCLI:
      list griddisk attributes name,availableTo
  6. Damit nun die Cluster-Knoten auf diese Griddisks zugreifen koennen, brauchen sie natuerlich das Name/Schluessel-Paerchen.  Das legt man unter Solaris auf jedem Knoten in der Datei /etc/oracle/cell/network-config/cellkey.ora ab.
    Meine sieht so aus:
    key=9e9a606a461a1abc6af43626e85af3b7
    asm=marsc1
  7. Nun noch die Cluster-Knoten neu starten:
    crsctl start crs

Das sollte alles sein.  Um zu pruefen, ob es geklappt hat, kann man in einem anderen Cluster mit dem Kommando "asmcmd lsdg --discovery" nachsehen, welche Griddisks verfuegbar sind.  Die eben geschuetzten sollten nicht mehr darunter sein.

Nun muss man das Ganze natuerlich fuer alle anderen Cluster wiederholen.  Am Ende hat man Cluster mit exklusivem Zugriff auf die eigenen Platten.  Ganz ohne die Gefahr von unabsichtlichem oder gar boesswilligem Zugriff unberechtigter.

Ein Tool, das ich zur Arbeit an den vielen Zellen sehr hilfreich finde, ist uebrigens "cssh", eine 1-N Kommandozeile die in neueren Versionen von Solaris enthalten ist.

Freitag Aug 28, 2015

MOS Dokumente mit DocID aufrufen

Ich habe mich immer wieder gefragt, ob es nicht eine einfachere Methode gibt, ein MOS Dokument zu oeffnen, als sich im Portal zur Suchmaske durch zu klicken um die DocID, die ich ja schon kenne, einzugeben.  Die Idee, das mit einem Search Plugin fuer Firefox zu machen, hatte ich schon lange.  Jetzt hatte ich auch ein wenig Zeit, und hier ist das Plugin.  Einfach als "DocID.xml" in "searchplugins" des Firefox-Profils ablegen, Firefox neu starten und schon kann man im Suchfenster eine DocID eingeben und das Dokument so direkt aufrufen.

<SearchPlugin xmlns="http://www.mozilla.org/2006/browser/search/" xmlns:os="http://a9.com/-/spec/opensearch/1.1/">
<os:ShortName>MOS DocID</os:ShortName>
<os:Description>MOS DocID Search</os:Description>
<os:InputEncoding>UTF-8</os:InputEncoding>
<os:Image width="16" height="16">data:image/x-icon;base64,
iVBORw0KGgoAAAANSUhEUgAAABAAAAAQCAIAAACQkWg2AAAAA3NCSVQICAjb4U/gAAAAU0lEQVQokWP8z0AaYCJRPekaWFB4/3E4kJERwfyPXymGNsb
/yKqRTMJuMyMjkh9wqUaVYsIUwq+H7GAl6GmYAiZMITyqGcgNVoKWYIk4ogHtEx8A02caF75DNeYAAAAASUVORK5CYII=</os:Image>
<SearchForm>http://support.oracle.com/epmos/faces/</SearchForm>
<os:Url type="text/html" method="GET" template="http://support.oracle.com/epmos/faces/DocumentDisplay?id={searchTer
ms}">
</os:Url>
</SearchPlugin>

(Der Text wird evtl. nicht vollstaendig angezeigt, mit Copy & Paste kann man ihn aber leicht vollstaendig in eine Datei bringen.)

Mittwoch Nov 07, 2012

20 Jahre Solaris - 25 Jahre SPARC!

Normalerweise wiederhole ich ja nicht einfach das, was woanders schon steht.  Hier mache ich eine Ausnahme...

20 Jahre Solaris - Und wer hat die ganzen Innovationspreise bekommen?
25 Jahre SPARC - und kein bisschen muede :-)

Wie die Geschichte weiter geht, steht ganz unten auf diesen Seite - also schnell nachsehen...

Und wer's lieber als Video mag: 20 Jahre Solaris - 25 Jahre SPARC

(Kaum zu glauben, ich habe nur die ersten 4 Jahre von Solaris "verpasst".  Die Zeit vergeht wohl doch...)

Mittwoch Dez 21, 2011

Welche IO-Karten passen in welchen Server?

Wer schon immer mal wissen wollte, welche IO-Karten es fuer welchen Server gibt, wird jetzt auf wikis.oracle.com  fuendig.  Hier wird eine vollstaendige Liste aller IO-Optionen gepflegt, einschliesslich der Angabe, wie viele dieser Karten jeweils supported werden.  Aufgefuehrt sind alle lieferbaren Server.  Fuer alle, auch die aelteren Modelle, findet man diese Informationen im System Handbook.

(Fuer die alten Hasen:  Dies ist der Nachfolger fuer das alte "Cross Platform IO Wiki", das es nun nicht mehr gibt.)

Montag Nov 07, 2011

Oracle TDE und Hardwarebeschleunigte Verschluesselung

Endlich gibt es sie, die kurze, knappe Beschreibung, mit welcher Kombination aus Hardware und Software man mit Oracle TDE in den Genuss von Hardwarebeschleunigung fuer die Verschluesselung  kommt.  Hier die Zusammenfassung der Zusammenfassung ;-)

  • SPARC T4 oder Intel CPU mit AES-NI
  • Solaris 11 oder Linux (ein Patch fuer Solaris 10 ist in Arbeit)
  • Oracle 11.2.0.3
    • Unter Linux geht es auch mit 11.2.0.2 und Patch 10296641

Die Langfassung der Zusammenfassung gibt es in MOS-Note 1365021.1

Frohes Verschluesseln!

Freitag Jan 28, 2011

Abwrackpraemie 2.0

Die Anzeige ist zu schoen, um sie hier nicht zu wiederholen.  Viel Spass!
Natuerlich ist das durchaus ernst gemeint: Eine M8000 oder M9000 fuer eine HP Superdome - da kann man eigentlich nur gewinnen...

Donnerstag Jul 15, 2010

Bye Bye Sun - Hallo Oracle

Aus dem Urlaub zurueck, bin ich jetzt auch soweit, dass meine Email-Adresse umgestellt ist.  Aus


Stefan.Hinker-AT-Sun-DOT-COM


wird damit


Stefan.Hinker-AT-oracle-DOT-com


Beim Blog aendert sich erst einmal nichts :-)

Dienstag Jun 01, 2010

SCA 6000 fuer Oracle TDE

Im Februar  hatte ich beschrieben, wie man den Softtoken Store des Solaris Cryptographic Framework als "Software-HSM" fuer Oracle TDE konfiguriert.  In der Zwischenzeit wurde nicht nur die SCA 6000 als HSM fuer Oracle TDE zertifiziert und die Konfiguration dokumentiert, sondern ich konnte das auch selbst einmal testen.  Dass es funktioniert, versteht sich von selbst.  Was die Verwendung der Karte attraktiv macht, sind die zusaetzlichen Moeglichkeiten, die die Karte bietet.  So kann man den Keystore sperren, was ein erneutes "open wallet" sowie die einzelnen Funktionen der Spaltenverschluesselung verhindert.  Auch ein 4-Augen Prinzip laesst sich hier realisieren.  Damit kann in einer Umgebung mit entsprechenden Sicherheits-Anforderungen der Zugriff auf den Master-Key von der "normalen" Datenbank-Administration getrennt werden.  Und das ist, gerade in solchen Umgebungen, ein Vorteil.

Mittwoch Mrz 31, 2010

Verbessertes Memory-Interface fuer M8000 und M9000

Der Memory-Durchsatz eines Servers, insb. eines grossen Servers, traegt ganz wesentlich zur Skalierbarkeit und Gesamtleistung des Systems bei.  Gerade Anwendungen mit grossem Hauptspeicherbedarf koennen hier erheblich profitieren.  Die drei "ganz grossen" der Oracle Sun SPARC Enterprise Serie haben gemeinsam mit dem juengsten CPU-Upgrade auch einen Upgrade des Memory Access Controllers (MAC) erfahren.  Dies hat den gemessenen Memory-Durchsatz (der Triad-Wert des Stream Benchmarks) bspw. bei einer M9000-32 um 22.5% verbessert.  Fuer alle drei Server gab es folgende Verbesserungen:


Server 	Stream Triad mit SPARC64 VI 	Stream Triad mit SPARC64 VII 	Verbesserung
M8000 69.6 GB/sec 81.75 GB/sec 17.5%
M9000-32 134.4 GB/sec 164.6 GB/sec 22.3%
M9000-64 227.1 GB/sec Kein Wert verfuegbar

Die Werte stammen von der offiziellen Webseite des Stream Benchmarks und wurden am 31. Maerz 2010 dort abgelesen.


Wichtig zu wissen ist hierbei noch, dass die Leistungen in diesem Benchmark kaum vom CPU-Takt abhaengen, sondern fast ausschliesslich vom Memory-Interface.

Freitag Jan 22, 2010

Wenn das kein Beweis fuer die Richtigkeit der Strategie ist...

Die Spatzen pfeifen es in unserer Internet-Welt ja seit gestern von allen Webseiten: Die EU Kommission hat den Zusammenschluss mit Oracle genehmigt.  Die Begruendung lesend, komme ich nicht umhin festzustellen, dass hier die Staerke von OpenSource deutlich sichtbar wird.  Die EU Kommission stellt letztlich fest, dass es wegen der OpenSource Lizenzen fuer MySQL und Java keine Moeglichkeit gibt, Wettbewerb durch Aquisition auszuschalten.  OpenSource wird so, gewollt oder nicht, zu einem starken Wettbewerbshueter.  Und letztlich hat sich so auch fuer Sun die lange und von vielen unverstandene und kritisierte OpenSource Strategie ausgezahlt - die Firma waere andernfalls nicht, oder zumindest nur mit hohen Abschlaegen, zu verkaufen gewesen.  Ein Gewinn fuer die Aktionaere, aber nicht zuletzt auch fuer die Mitarbeiter und Kunden.


Der Form halber muss ich darauf hinweisen, dass dies meine eigenen, persoenlichen Ansichten sind, und nicht etwa die von Sun oder Oracle.

Mittwoch Nov 11, 2009

SunRay Software 5

Das neue Release 5 der SunRay Server Software ist verfuegbar.  Das hat zwar wenig mit meinem "eigentlichen" Thema CMT oder Performance zu tun.  Da ich aber meist an einer SunRay arbeite, der Server dazu auf meinem Laptop laeuft und ich die beiden PreView-Versionen der Software zumindest installiert hatte, ist mir das dennoch einen Blogeintrag wert.  Ich bin seit 1997, als ich die erste Beta-Unit einer SunRay zu sehen bekam, ein grosser Fan dieser Technik und wundere mich immer wieder, warum es immer noch so viele PCs in den Bueros dieser Welt gibt...  Aber in letzter Zeit ist Desktop-Virtualisierung ja etwas mehr in Mode gekommen - vielleicht erlebe ich es noch, dass SunRay ein allgemein bekanntes Produkt wird ;-)

Donnerstag Okt 15, 2009

$10 Millionen zu gewinnen

Oracle glaubt an die Performance von Sun Systemen.  Und wettet $10 Millionen, dass es keine amerikanische Firma gibt, deren Datenbankanwendung auf einem Sun System nicht doppelt so schnell sein kann wie auf dem bisher verwendeten System von IBM.  Gewinnen kann jede Fortune 1000 Company der USA.  Die Regeln gibt es unter http://www.oracle.com/features/exadatachallenge.html

Mittwoch Aug 19, 2009

Powercalculatoren satt


Endlich gibt es sie - die Uebersicht ueber alle Powercalulatoren fuer Sun Systeme.  Von der kleinen T5120 bis zur grossen M9000-64 sind sie alle dabei - ebenso Speichersysteme und Tapelibraries.  Sehr zu empfehlen!


(An dieser Stelle meinen Dank an den Kollegen Joachim Krebs fuer den Hinweis :-) )

Montag Jun 29, 2009

Hardware Cryptosupport fuer Websphere

Am Anfang war es nur der Apache, inzwischen unterstuetzen immer mehr Web- und Applicationserver die PKCS#11-Schnittstelle und damit auch die Hardwareunterstuetzung der SSL-Operationen auf UltraSPARC T2 CPUs.  Wie dies mit Websphere richtig konfiguriert wird, ist nun in einem neuen Blueprint kurz, knapp aber anschaulich beschrieben - einschl. einer kleinen Messung der Geschwindigkeitsgewinne.

Freitag Jun 19, 2009

SunSSH unterstuetzt HW-Crypto auf UltraSPARC T2

Die Leistungsfaehigkeit der 8 Crypto-Beschleuniger im UltraSPARC T2 Prozessor ist enorm, leider ist es teilweise immer noch recht aufwendig, sie zu nutzen. Mit dem Update 7 Release fuer Solaris 10 (Solaris 10 5/09) gibt es hier Fortschritte: Aus dem "What's New" (Seite 11) geht hervor, dass die SunSSH, die Sun-Implementierung der SSH mitsamt dem Abkoemmling scp jetzt die Hardware-Beschleunigung unterstuetzt.  Und sie erreicht damit recht gute Werte.  Ein weiterer Grund, einen Upgrade zu machen - und Systeme der T-Serie entsprechend zu konfigurieren.  Jan Pechanec hat die entsprechenden Aenderungen recht ausfuehrlich beschrieben.

About

Neuigkeiten, Tipps und Wissenswertes rund um SPARC, CMT, Performance und ihre Analyse sowie Erfahrungen mit Solaris auf dem Server und dem Laptop.

This is a bilingual blog (most of the time). Please select your prefered language:
.
The views expressed on this blog are my own and do not necessarily reflect the views of Oracle.

Search

Categories
Archives
« Mai 2016
MoDiMiDoFrSaSo
      
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
     
Heute