Mittwoch Jan 26, 2011

Logical Domains - aber sicher

LDoms Oracle VM Server for SPARC werden schon lange eingesetzt.  Und ich bekam immer mal wieder die Frage zu hoeren, wie sicher sie denn eigentlich seien.  Ein Kunde wollte es ganz genau wissen, und so beauftragten wir einen unabhaengigen Gutachter.  Das Ergebnis war erfreulich, aber leider nicht als Bettlektuere geeignet.  Deswegen, und um die eigentliche Untersuchung um Empfehlungen zum Betrieb zu erweitern, schrieb ich auf dieser Grundlage ein Whitepaper.  Dank der Uebernahme durch Oracle verzoegerte sich die Veroeffentlichung etwas.  Das hat aber den Vorteil, dass es jetzt auch auf dem aktuellesten Stand ist.  Ich bin deshalb froh, endlich vorstellen zu koennen:


Secure Deployment of Oracle VM for SPARC


Meinen Dank an Steffen Gundel von der Cirosec, der mit seiner Untersuchung die Grundlage fuer dieses Papier schuf!


Ich hoffe, das Papier hilft dem einen oder anderen weiter!


Viel Spass beim Lesen!

Donnerstag Aug 12, 2010

LDoms und LDCs

Oracle VM for SPARC, wie sie jetzt heissen, verwenden bekanntlich eine ganze Anzahl von Logical Domain Channels (LDC) fuer den Datenfluss der virtuellen Geraete. Ich werde immer mal wieder gefragt, wie man denn feststellen kann wieviele LDCs verwendet werden, und wofuer.  Hier ein paar Hinweise dazu:



  1. Wie viele LDCs gibt es ueberhaupt, und wie werden sie verbraucht?
    In den Release Notes zu LDoms 3.0 findet man die Antwort.  Zum Beispiel:


    • UltraSPARC T2 hat 512 LDCs pro Domain

    • UltraSPARC T2+ hat 786 LDCs pro Domain

    Sie verbrauchen sich nach folgender Formel:
    Summe LDCs = 15 + 1 + g + g \* ( n + d + c ), wobei


    • g die Anzahl der Gast Domains,

    • d die Anzahl der in jedem Gast konfigurierten virtuellen Disks,

    • n die Anzahl der in jedem Gast konfigurierten virtuellen Netzwerk Ports und

    • c die Anzahl der virtuellen Consoleports fuer jeden Gast (=1) ist.

    Falls g und n nicht in jedem Gast gleich ist, wird die Berechnung etwas weniger elegant. Aber das Prinzip bleibt das gleiche.


  2. Wie kann man sehen, wofuer die LDCs verwendet werden?


    1. In der Control Domain gibt das Kommando ldm list-bindings -e eine Auflistung aller konfigurierten Ressourcen, unter anderem auch der LDCs.  Das sieht dann fuer die virtuellen Konsolen bspw. so aus:

      VCC
      NAME PORT-RANGE
      vconsole 5000-5050
      CLIENT PORT LDC
      debian@vconsole 5001 0x18
      rivermuse@vconsole 5002 0x1c
      gentoo@vconsole 5000 0x11
      demo@vconsole 5008 0x3d
      install@vconsole 5012 0x50
      rac1@vconsole 5005 0x35
      rac2@vconsole 5006 0x66
      Eine mit Scripten verwertbare Ausgabe gibt der Switch "-p", das Kommando ldm list-bindings -e -p|grep ldc=0|awk -F\\| '{print $NF}' gibt einem damit eine knappe Liste aller verwendeter LDCs, die man bspw. mit wc auch zaehlen kann.


    2. Wichtig zu beachten ist, dass LDCs pro Domain, nicht pro System gezaehlt werden!

    3. Kstat hilft auch noch weiter:
      Sowohl in der Control Domain als auch in den einzelnen Gaesten gibt es fuer die jeweiligen Netzwerk-Komponenten kstat-Zaehler.  Diese findet man mit kstat|grep ldc und kann dann ggf. weitere Werte abfragen.




Das alles ist insofern interessant, als es einem die Planung einer Plattform erleichtert.  Die Anzahl der LDCs sollte in den meisten Faellen keine wirkliche Beschraenkung darstellen.  Mit obiger Formel kann man leicht ausrechnen, dass man selbst auf T2 bereits 124 Gaeste betreiben kann.  Auf T2+ waeren es 193, hier wird also die supportete Anzahl von 128 bereits ueberschritten.  Allerdings werden in der Realitaet mehr als nur die 3 notwendigen Geraete pro Gast konfiguriert werden, so dass die moegliche Anzahl der Gaeste ggf. geringer sein wird.  Wenn daher jetzt die Frage gestellt wird, wie viele zusaetzliche Gaeste moeglich sind, kann man mit diesen Mitteln leicht nachsehen, wieviele LDCs noch verfuegbar sind, und wie viele man fuer den neuen Gast brauchen wird.


(Dieser Eintrag wurde am 19.2.2013 und erneut am 27.1.2014 aktualisiert)

Donnerstag Dez 03, 2009

LDom Gaeste als SunCluster Data Service - Flying LDoms!

Flying Containers gibt es ja schon lange. Und seit es LDoms gibt, hatten wir intern von Flying LDoms geredet.  Jetzt endlich sind sie da!  In SunCluster 3.2 11-09 gibt es den Sun Cluster Data Service for LDom Guest Domains.


Das Transportieren einer LDom von einem Server auf einen zweiten war ja von Anfang an nicht wirklich schwierig.  Zur Not per USB-Stick Weitwurf konnte das Boot-Image transferiert werden, die Konfiguration kurz nachgezogen werden, und fertig war die wandernde LDom.  Fuer den Betrieb als BlackBox im Cluster, so wie das schon seit langem fuer die Solaris Container geht, waren jedoch einige technische Details auszutuefteln.  Besonders aergerlich - aus Sicht des Clusters - war es, dass eine Gast-LDom weiterlaufen kann, wenn die Control-Domain in die Brueche geht.  Damit war es praktisch unmoeglich sicherzustellen, wann denn nun ein Failover der LDom zu geschehen habe, und wann nicht, bzw. auszuschliessen, dass die LDom nicht versehentlich auf beiden Knoten gestartet wird, der Albtraum aller Cluster... 


Mit der in LDoms 1.2 eingefuehrten Moeglichkeit, Abhaengigkeiten zwischen verschiedenen LDoms zu konfigurieren (master/slave Beziehungen) und einer konfigurierbaren Aktion im Fehlerfall (failure-policy) ist diese Schwierigkeit nun umschiffbar.


Ich freue mich schon auf viele "Flying LDom" Projekte!

Donnerstag Okt 15, 2009

Patch fuer LDom Manager mit Solaris 10 update 8

Leider haben sich ein paar Fehler in den LDom Manager 1.2 eingeschlichen, die in Zusammenhang mit Solaris 10 update 8 zutage treten.  Einige davon sind bereits behoben, hierfuer gibt es Patch 142840-01.  Noch offen sind einige Fehler in Zusammenhang mit dem Power-Management.  Wer dies aktiviert hat, sollte die Controll Domain derzeit nicht auf Solaris 10 update 8 upgraden - ein Fix ist jedoch bereits in Arbeit.

Freitag Jul 03, 2009

LDoms 1.2 ist verfuegbar

Auch wenn das offizielle Announcement noch fehlt: LDom Manager 1.2 ist seit heute zum Download verfuegbar.  Die wichtigsten neuen Features:

  • CPU Powermanagement
  • Jumbo Frames in virtual Switches
  • P2V Tool
  • Autorecovery von Konfigurationen
Und noch einiges mehr.

Dienstag Jul 15, 2008

LDom Gast als SunCluster Knoten

Endlich ist es geschafft! Seit heute werden LDoms als Knoten im SunCluster unterstuetzt. Ja, richtig, Gast-Domains. Die Details gibt es


  • in einem Blog von Ashutosh Tripathi

  • in den Release Notes der aktuellen Version von SunCluster.  Dort gibt es auch anschauliche Bildchen, die die verschiedenen Szenarien darstellen.


Hohe Verfuegbarkeit!

About

Neuigkeiten, Tipps und Wissenswertes rund um SPARC, CMT, Performance und ihre Analyse sowie Erfahrungen mit Solaris auf dem Server und dem Laptop.

This is a bilingual blog (most of the time). Please select your prefered language:
.
The views expressed on this blog are my own and do not necessarily reflect the views of Oracle.

Search

Categories
Archives
« April 2014
MoDiMiDoFrSaSo
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
    
       
Heute