Azi m-am mai jucat putin cu SAN-ul nou si am descoperit ca daca merg pe recomandarile hitachi, scot cam ~ 200MB/sec scriere/citire pe raid groups. Daca in schimb pun VMware-ul sa foloseasca un singur path catre discuri, atunci rata de citire ajunge la ~ 360MB/sec.
Acu sunt la partea cu WTF, sa ma prind ca morti si raniti are de se comporta asa.
Tot weekend-ul m-am jucat cu VMware ESXi 4.1 Update 1 legat la maretul SAN.
Si am facut aproape toate tampeniile posibile pe el: cluster; activat Fault Tolerance pentru 2 masini virtuale, un Linux si-un Windows si facut failover si alte cele; lasat DRS-ul sa-si faca de cap si sa reaseze masinile virtuale unde crede el de cuviinta in cluster sa fie clusterul balansat cum trebuie; am dat drumul la compilat un kernel si am initiat un VMotion de pe un host pe altul: a mers compilarea chiar daca masina se muta dintr-o parte in alta.
Acu sunt curios ce-o sa iasa, am dat la toti linucsii sa faca “find / -print” de cateva zeci/sute de mii de ori sa stresez si CPU-ul si conectica pe FC la SAN, iar pe o masina sa compileze tot anul la 2.6.38 vanilla.
Daca nu mi-ar fi asa lene, as aloca niste adrese IP si la Windowsii aia si as rula pe ei un CpuBusy.vbs doar asa… sa fie burn-in -ul cat mai realist, eventual si-un IOMeter. Cre’ca am sa fac asta maine.
Pe legaturi de 100Mbps, dureaza la nesfarsit un VMotion – iar cateodata chiar nu se realizeaza, zice VMware ca “se schimba memoria mult prea des versus latimea de banda disponibila pentru acest proces, drept urmare se face abort”. Asa ca le-am conectat la un switch gigabit si acum e mult mai bine.
Windowsul a decis ca desi e proaspat instalat sa vrea sa se activeze asa de capul lui si sa nu astepte cele 30 de zile regulamentare inainte de a face asta si uite asa m-a suparat.
Overall ma declar fericit cu noua jucarie, astept s-o vad cum se comporta in productie.
Dupa ce m-am mai jucat ceva cu noua jucarie, am reinstalat si serverele cu VMware si m-am pus pe facut masini virtuale: CentOS 5.5 si Windows Server 2008 R2 Enterprise: vreo 12 linucsi si 20 de Windowsi. Toti ruland pe acelasi server.
Inapoi la SAN: m-am apucat sa formatez (bine, io doar am dat comanda) volumele de 2TB de pe SAN (ca ESXi 4.1U1 nu stie de discuri mai mari de 2TB, cica s-ar fixa in ESXi 5 care apare in H2 2011). Si de ieri de la 12 tot formateaza la ele si exista ceva sanse sa termine pana maine dimineata sau pana la pranz. O parte cred ca are de face si cu faptul ca’s multe si prea mult I/O in paralel pe acelasi RAID Group nu face bine. Da macar beculeste frumos acolo.
Dupa formatare ma apuc sa fac teste sa vad cat I/O scot si de pe o gramada de discuri S-ATA mari.
Acu ca am SAN si tot vreau sa ma laud cu el, azi am avut o mica intalnire de “knowledge transfer” cu un nenea de e bun prieten cu SAN-urile HDS si switch-urile FC de la Brocade.
Azi am facut zone, adaugat WWN-uri la zone, RAID Groups, LUNs si alte cele.
Dimineata cabland io de zor la fibre intre servere, storage si SAN switch mi-am dat seama ca de fapt nu am doua cai de a ajunge de la switch la storage, ci patru. pentru ca fiecare controller are 2 porturi FC. Si pentru ca am SAN super jmecher, ambele controllere sunt active, iar LUN-urile sunt active pe fiecare controller.
Dar, cea mai tare chestie: boot de pe SAN al unui server. Ii fac acolo o partitie sistem de cativa giga si ii zic la HBA de unde sa booteze. Si gata, pot sa pun servere diskless care o sa booteze foarte frumos. Cu ocazia asta am descoperit ca HBA-urile Qlogic 2562 cand scaneaza dupa LUN-uri pe Fiber Channel si descopera acelasi LUN pe mai multe cai nu-l listeaza de 2-4 ori, ci doar o singura data. Ceea ce e foarte misto ca n-ai dileme dupa de pe care LUN sa bootezi.
VMware stie de HDS si operatiunile de copiere/mutare de date sunt accelerate in sensul ca doar ii spune la storage ce sa copieze/mute de unde/unde si ala face treaba fara sa mai tragi datele pana la server si sa le trimiti inapoi la storage. Ceea ce e foarte cool ca scapi de unele penalitati.
Vroiam sa pun o poza cu ce pisici am facut io azi, da a iesit cam handicapata si acu chef de Visio n-am sa fac poze frumoase. Da intentionez sa pun una cand termin tot setup-ul.
Un alt motiv pentru care’s asa bucuros e ca legaturile FC sunt la 8Gbps.
Nu stiu daca are prea multa logica ce-am balmajit p’aci da’ sunt super excitat si bucuros de noua jucarie. Sper ca pana marti cand se termina mini vacanta de pasti sa am un cluster de servere vmware complet functional sa fac si io probe de stuff.
Si ca tot vorbesc de VMware, azi am dat-o un pic de gard cu managementul SAN-ului si i-am dat un reboot de control sa-si faca clear la niste useri logati. Eh, in tot acest timp aveam in VMware o masina virtuala pornita care n-a patit nimic intr-un interval de ~ 10minute pana s-a rebutat SAN-ul complet. Daca n-ar dura asa mult reboot-ul, i-as mai da unul de control in timp ce fac I/O in masina virtuala sa vad ce face VMware in situatia asta.
Acu ca am cam priceput cam cum sta treaba, ma duc sa desenez stuff sa fac cum trebuie interconectarile intre servere si LUN-urile de boot pentru fiecare.
Azi am primit jucarii noi: Un sistem SAN de la Hitachi, doua switch-uri Fiber Channel de la Brocade si HBA-uri PCIe x8. Maine o sa le fac poze si cre’ca o sa le fac poze cand o sa le desfac pe bucatele din nou cand le-oi scoate din rack. Ca un sistem din ala incarcat cu discuri, surse si controllere e suficient de greu incat doi oameni sa-l miscam cu greu.
Acu mi-am laut de citit documentatie la sistem sa vad ce si cum. Ma gandeam ca n-ar fi stricat si-un contor Geiger ca tot scrie pe device-uri “Made in Japan”. Am intrat si io acu in grupul baietilor mari care au SAN :)
/me happy.
Mai acu cateva saptamani m-am dus la un training de wireless pentru produsele de la Ruckus ca era obligatoriu.
Joi cred mi-au venit kitul de demo: un ZoneDirector 1106 + 3 AP-uri ZoneFlex 7962. Cum joi am avut treaba si vineri mai toata ziua iar m-am plimbat pe ici pe colo, abia dupa-masa am apucat sa deschid cutia.
La corporatia unde activ, vineri dupa-masa sunt rezervate cam 2 ore in care cate un nefericit care trage paiul cel mai scurt trebuie sa faca cate o prezentare despre ceva sa se umple timpul. Fiind io asa bine-dispus, am “hijacked” un pic prezentarea unui coleg si am facut pe smecherul un pic sa le arat la colegi cat de misto e Ruckus: in aproximativ jumatate de ora am avut o retea wireless gata functionala si cativa colegi s-au dat pe net prin ea. Demonstratia de “forta” a inseamnat: scos controller-ul din cutie, conectat la retea, bagat in priza si pornit. Dupa ce a butat am trecut printr-un quick setup wizard de i-am pus IP si chestii si dat OK, scos din cutie un AP, bagat in retea, asteptat sa buteze -> inregistrare la controller -> firmware update -> reboot -> Wireless Network operationala. Al doilea AP a avut parte de acelasi tratament, iar dupa ce si-a facut update de firmware and stuff i-am scos cablul de retea si uite asa am facut un wireless mesh. Pe ceas maxim 30min cu toate cele.
Din nefericire, ca orice ferma care se respecta avem si un troll de serviciu care s-a gandit ca ar fi cool sa compare echipamente de cateva mii de parai cu un router din hypermarket de 100-150RON si sa intrebe care e mai bun :(
Acu trebuie sa citesc cum pisici dau factory defaults la jucarele ca marti cre’ca trebuie sa repet figura si sa fac iar o mica prezentare de jumatate de ora.
O masina mutata dintr-un datacenter in altul cu ups-ul infipt intr-o sursa si cu grija sa nu se strice uptime-ul:
# uptime
11:36:05 up 1746 days, 15:34, 1 user, load average: 0.12, 0.06, 0.01
Ce nu face lumea pentru uptime :)
Azi m-am dus pentru prima oara sa vad cum e la Cisco Expo. Si e misto, cre’ca o sa ma abonez la evenimentul asta, sa nu mai zica unii ca “asta era ultimul loc in care ma asteptam sa te vad” din motive ca firma unde activez vinde Juniper :)
Keynote-urile au fost foarte interesante: ambasadorul SUA in Romania a mai palmuit putin guvernul ca nu construieste infrastructura sa ne putem dezvolta si sa iesim si noi o data din mocirla; de la Raed Arafat am aflat prin telepresence ca au intre cateva spitale un sistem de transmisii date pentru diagnoze remote, ca au inceput un proiect in parteneriat cu Vodafone sa puna sisteme de transmisii date pe ambulante date astfel incat paramedicii sa obtina informatii de la doctori specialisti si sa poata trata mai eficient pacientii in drum spre spital – ocazie cu care am aflat ca OMV Petrom a dat o mare sponsorizare pentru niste spitale pentru sisteme din astea; VP of Marketing a avut de spus niste chestii misto pe care le-am uitat – prea multa informatie dintr-o data.
Breakout session-urile la care am fost eu au fost despre implementarea de Cisco NAC in Unicredit, Vodafone stuff si Innova. La ultimul am plecat ca era extrem de plictisitor nenea ala.
La Cisco NAC a fost misto prezentarea pana la partea de Q&A unde au fost si vreo doi neni care nu mi-au lasat impresia ca au priceput ceva si au pus niste intrebari complet pe lanaga de l-au lasat in ceata pe tipul de presales de la Datanet.
Vodafone au avut o prezentare misto ce retea au, cum a evolut asa frumos pe milestone-uri pe partea de date. Partea funny e ca in spatele meu erau unii de la un alt operator: Orange, Cosmote sau Romtelecom – n’as sti sa zic care pentru ca nu se vedeau ecusoanele care ziceau ca ce misto, ca si ei tot pe locul 1 sunt. Imi venea sa le zic sa aiba grija sa nu cada de pe podium de la atata inghesuiala :))
Innova a avut un titlu misto de prezentare, da nenea ala ar trebui sa se lase de prezentari. M-a plictisit ingrozitor si am plecat.
Pentru power session am ales partea de VDC, unde am stat jumate ca m-a luat un somn rau si nu puteam sa ma mai concentrez. Familia de switch-uri Nexus e misto – am vazut si’un Nexus 7000 real life si este “an one big motherfucking switch”. Iar viziunea lui Cisco despre DataCenter e misto si din demo-urile live pe care le-am vazut, e foarte usor de pus in practica. Bani sa ai, ca nu cre’ca’s ieftine jucariile alea.
Nu mi-au placut doua lucruri la Cisco Expo: era al dracu de frig in salile de prezentari, iar masa a fost servita fix in dreptul usilor de acces in sali… multi oameni => inghesuiala aiurea si abia gaseai un loc sa mananci. Au compensat un pic prin mancarea buna. Asta e unul din motivele pentru care-mi place la Marriot la evenimente.
Ce mi-a placut: introducerile prezentatorilor din prima parte a zilei, muzica, modul de sustinere al prezentarilor si filmuletele. Oamenii astia stiu sa faca spectacol.
Sa zicem ca dintr-un motiv oarecare, fw fetch smartcenter_ip nu mai merge pe un modul de firewall iar singura solutie e sa faci o instalare de politica de securitate. Ca sa faci asta, in mod normal iti trebuie SmartDashboard. Da sa zicem ca n-ai. Ca d’aia Murphy vegheaza asupra noastra. Ce-i de facut ?
Pai, pe SmartCenter se fac urmatoarele operatiuni:
1. sa schimba directorul curent in $FWDIR/conf
Aici trebuie sa stii cum se cheama numele politicii de securitate. Daca n-ai redenumit-o pe aia implicita, se va chema Standard. Daca ai redenumit-o si nu mai stii, un ls -lh *W in $FWDIR/conf iti va spune cate politici ai si ar fi bine sa-ti aduci dupa aia aminte cum se cheama aia de trebuie instalata pe modulul de firewall.
2. se ruleaza comanda fwm gen Standard > Standard.W de unde o sa reiasa un output de genul:
# fwm gen Standard > Standard.W
Warning: Anti-Spoofing is not configured for some interfaces and gateways. This will allow address spoofing through these gateways.
Anti-Spoofing should be configured on the following objects: Gateway: fw01, Interface: External.110 Gateway: fw01, Interface: External.120
Daca da doar mesaje de avertizare e OK si se trece la urmatorul pas
3. pentru a instala politica de securitate pe modulul de firewall de ruleaza comanda fwm load Standard fw01 (fw01 fiind numele modulului de firewall). In principiu o sa scoata un output de genul:
# fwm load Standard.W fw01
Installing policy on R70/R71 targets: Warning: Anti-Spoofing is not configured for some interfaces and gateways. This will allow address spoofing through these gateways. Anti-Spoofing should be configured on the following objects: Gateway: fw01, Interface: External.110 Gateway: fw01, Interface: External.120
Standard.W: Security Policy Script generated into Standard.pf
Standard: Compiled OK.
Installing Security Gateway policy on: fw01 …
Security Gateway policy installed successfully on fw01…
Security Gateway policy installation complete
Security Gateway policy installation succeeded for: fw01
Cam asta e. Ca tot e sambata, putem s-o trecem la categoria chestii pe care le face sin sambata seara :))
Pentru un proiect am luat de la HP niste servere DL380 cu iLO3 Advanced.
Pe la diferiti oameni m-am mai dat cu iLO sa sa fac un recovery la sistem remote, sa pot intra pe consola, etc.
Azi a fost prima oara cand m-am dat cu iLO Advanced. Care e super jmecher: are client de conectare si in .NET si am reusit sa scap de Java pe computer, imaginea se vede super bine pe consola remote, are un lag foarte mic si cred ca mi se trage si de la wireless ca mai sughita din cand in cand. Pot sa montez fisiere ca foldere remote, pot sa inregistrez ceea ce fac si sa dau play dupa la inregistrari.
Si ce mi s-a parut foarte tare ca bling: face grafice la consumul de curent si ti le arata asa frumos. Trebe sa sap prin SNMP sa vad daca pot sa trag cumva valorile alea sa le pun laolalta cu alte grafice.
Mai sap maine prin server, ca am vazut ca are ascuns foarte bine un slot de SD Card, sa vad ce pot rula de pe el.