OVİRT(RHEV) 4.2 Kurulum ve Yapılandırması – Bölüm 1

RHEV(Red Hat Enterprise Virtualization) yada Ovirt Açık Kaynak Kodlu KVM temelinde hypervisor olarak kullanılan, ölçeklenebilen sanallaştırma platformudur. İki ürünün temeli aynı fakat Ovirt(https://ovirt.org/) RHEV’in forklanmış hali olup tamamen ücretsizdir.

Konuyu tamamen adım adım ele alan ve bölümlerden oluşan makale serisi ile baştan sona böyle bir sanal bulut ortamını elde edebilmek için Ovirt yapısını inceleyeceğiz. İşlemlere başlamadan önce istediğimiz yapının bir çizgisini yukarıda paylaşıyorum. Kafanızda durum şekillenmesi için çizgiyi paylaştım, siz daha basit yapıda da kurabilirsiniz. Örneğin tek nic yada internal disk gibi.

Node1: 192.168.22.10

Node2: 192.168.22.20

HostedEngine: 192.168.22.15

gibi, engine için ayrı management ip vermek gerekiyor. Çünkü yönetimi engine aracılığı ile yapacağız, bir nevi vcenter gibi düşünebilirsiniz.

İstediğimiz ortamın yukarıdaki gibi olmasını planlıyoruz.

Ovirt’i iki şekilde kurabiliriz.

1. Manuel olarak terminal üzerinden ilk önce CentOS kurup, ardından gerekli paketleri indirip daha sonra da barematel üzerine engine setup ederek yapabilirsiniz.

Manual kurulum linkleri : https://ovirt.org/download/

https://www.ovirt.org/documentation/install-guide/Installation_Guide/

https://www.ovirt.org/documentation/install-guide/chap-Installing_oVirt/

2. Ovirt için hazırlanmış özelleştirilmiş iso paketi ile kurulum gerçekleştirebilirsiniz ki CentOS sunucunun özelleştirilmiş halidir ve repoları ona göre otomatik yapılandırılmış gelir, ayrıca hosted engine vm olarak kurulup yönetim sağlanmaktadır. Biz bu yöntemi kullanarak kurulum gerçekleştireceğiz.

İso paket linki : https://resources.ovirt.org/pub/ovirt-4.2/iso/ovirt-node-ng-installer-ovirt/4.2-2018100407/

İso dosyasını host’lara mount ettikten sonra aşağıdaki karşılama ekranından “Install oVirt Node” diyerek işleme devam edelim.

Aşağıda görüldüğü üzere normal CentOS kurulum gibi Anaconda ekranı, o yüzden buranın üzerinde fazla durmayacağım. Bu bölümün kurulumunu yapıp sunucuyu reboot edin.

NoT1 : Kurulum bittikten sonra gerekli erişimler için hostların network yapılandırmasını yapmalısınız. Update’ni geçebilirsiniz. Bu arada “yum” ile paket kurmak istediğinizde hata alabilirsiniz. Çünkü repolar Ovirt için özelliştirilmiş olacaktır. Onun dışındaki repolar disable gelecektir. Bu yüzden paketlerde kurulum yapamazsanız “yum” komutunu aşağıdaki gibi kullanabilirsiniz. Tek seferlik paket kurulumu için enable modu.

Ayrıca “/etc/hosts” ve “/etc/resolv.conf” dosyalarını yapılandırıp, search domain.com ibaresinide ekleyin. DNS, SSH Keypair ve NTP(ntp olarak chrony servisi kullanılmaktadır, yapılandırma dosyasına ilgili ntp server’ı girdikten sonra servisi yeniden başlatmak yeterlidir) yapılandırmalarının yapılmış olması gerekmektedir.

> yum install –enablerepo=”base” CentOS-Base.repo “paketadı” -y

> yum install –enablerepo=”epel” epel.repo “paketadı” -y

NoT2 : Hosted Engine kurulumunu terminal ekranından da yapabilirsiniz. Fakat biz GUI kullanarak yapacağız. Bu arada HostedEngine storage üzerine kurmak zorundasınız.

Komut satırından kurulum linki : https://ovirt.org/documentation/how-to/hosted-engine/

Devam edelim. Sunucu reboot olduktan sonra aşağıdaki paketi terminal ekranından kurun. Daha sonra GUI ekranında fazlaca beklememiş olursunuz.

> yum install ovirt-engine-appliance -y

Hosted Engine kurulumuna geçmeden önce storage ayarlarını yapmamız gerekiyor. Host’ta saklayacağımız vm ler için iscsi protokolünü kullarak data01 ve data02 adında iki adet lun bağlayacağız, daha sonra HostedEngine bağlanacak. Ovirt’in istediği, nfs protokolü ile de iso ve export adında iki adet volume HostedEngine bağlayacağız. Nfs’leri host’a bağlamak zorunda değilsiniz. Hatta bağlamayın çünkü Nfs’ler HostedEngine bağlanacak. Dikkat etmeniz gereken Nfs’ler için yazma ve okuma haklarının unix için tam olması gerekiyor yoksa HostedEngine bağlanma sırasında “permission” hatası alırsınız.

Konu ile alakalı cause linki : https://support.hpe.com/hpsc/doc/public/display?docId=mmr_kc-0108935

ISCSI’leri terminal üzerinden bağlayacağız çünkü UI tarafında bu işlem yapılamıyor ama daha sonra node’lerin gui’sinde görüntülüyebileceksiniz. Aslında bu protokollerin dışında FC(fiber channel) yada Gluster storage protokolleri de kullanılabilir ama şuan için bizim konumuz dışında.

İscsi yapılandırması:

Storage tarafında ilgili SVMs, LUNs, Volumes ve network ayarlarını yapıp data01, data02, iso ve export bölümlerini açtıktan sonra iscsi’nin hostlara erişimi için “Initiators” ve “Initiator Group” erişimlerini vermelisiniz. Storage tarafına detaylıca girmiyorum konu genişleyip, dağılmaya başlar.

Not3 : Sunucunun “InitiatorName” elde etmek için aşağıdaki komutu kullanabilirsiniz.

> cat /etc/iscsi/initiatorname.iscsi

İscsi hedef tespiti için aşağıdaki komut ile discover işlemini yapalım. İlgili ip’lere bağlı erişimi olan tüm hedefleri listeleyecektir.

> iscsiadm -m discovery -t st -p 10.10.30.5

Çıktı: 10.10.30.5:3260,1030 iqn.1992-08.com.netapp:sn.2626a89cce1111e66c5200a098d9e8ba:vs.18

Şimdi var olan tüm iscsi hedeflerine login olmak için aşağıdaki komutu çalıştırın.

> iscsiadm -m node -l

Ayrıca http://www.fatlan.com/linux-sunucular-uzerinde-iscsi-yapilandirmasi/ adresinden iscsi yapılandırma komutlarına bakabilirsiniz.

Ardından “fdisk -l” ile bağlanan diskleri görüntüleyebilirsiniz.

Daha sonra da “multipath -l” ile de iscsi ile takılan disklerin multipath bağlantısını görüntüleyebilirsiniz.

Host’ta Datastorage’de işlemleri tamamladıktan sonra HostedEngine kuruluma geçelim, bunun için tabi ilk önce Ovirt host’a login olalım.

Kurulum ekranında network kısmında management için verdiğiniz ip’yi tarayıca da 9090 ile çağırıp işlemlere devam edelim. Örnek olarak 192.168.22.10:9090 yada domain name gibi…

Bu ekran hostun yönetimi için açılan web panelidir. Sunucuyu konsol yerine burdan UI üzerinden rahatça yönetebilirsiniz. Biz HostedEngine kurulumunu bu ekrandan yapacağız. Bu ekrana sunucuya verilen kullanıcı adı ve şifresi ile login olacaksınız.

Aslında bu GUI ekranında terminalde yaptığınız birçok işlemi gerek kalmadan görsel ekranda da yapabilirsiniz. Iscsi bağlantınızı host’larda gerçekleştirdikten sonra bu ekranda da görünecektir, etkileşimli olarak yapılan işlemler yansıyacaktır.

Ovirt node’ye login olduktan sonra Storage ile çalışacağımız için Virtualization – Hosted Engine sekmesine gidip start veriyoruz. Hyperconverged sekmesi ile şuan ilgilenmiyoruz çünkü bu kısım internal diskler ile glusterfs file sistemi yedekli node’ler ile kullanmaktadır. Gluster için; OS in disklerini Raid 1, Gluster‘ın kullanacağı disklerini Raid 5 olarak iki Raid grup yapabilirsiniz.

Bu kısmda hosted engine için yukarıda belirdediğimiz ip’ye karşılık gelen domaini dns sunucumuzda daha önceden tanımlamıştık. Örnek bulut.fatlan.com gibi.

Engine VM FQDN kısmına o domaini yazıyoruz.

Belirlenen ip’yi dhcp’den ya da static olarak verip, gateway ve dns bilgilerini de giriyoruz.

Manage olacak bridge interface’mizide seçtikten sonra host’un root pass bilgisini giriyoruz.

En son olarak virtual CPU ve Memory kısımların da default’ta bırakıp Next ile devam edelim.

Bu kısımda ki Engine Credentials kısmı önemli. Çünkü Bu kısımdan HostedEngine login olabileceğiniz şifreyi belirliyorsunuz.

Notification kısmı şuan için çok zaruri değil, defaultta bırakabilirsiniz daha sonra da değiştirebilirsiniz.

Ardından config’ler hazır halde Prepare VM demenizi beklemektedir. Tıklayıp devam edin.

NoT4 : HostedEngine atadığınız ip gateway’ine ping atabilmelidir ve network’sel erişimde kısıtlı olmamalıdır aksi halde aşağıdaki ss’lerden belirttiğim hataları alırsınız ve çok sizi çok uğraştırır.

Terminalde;

GUI’de;

Prepare VM dedikten sonra aşağıdaki gibi başarılı bir kurulum uyarısı alacaksınız, Next ile devam edin.

Şimdi Engine’nin barınacağı datastore için iscsi ayarlarını yapmamız gerekiyor. Diğer store’leri engine kurulduktan sonra yapacağız.

Storage type iscsi seçip,

Portal ip address kısmına iscsi hedefimizin ip adresini yazıyoruz, eğer hedefinizde user ve şifre varsa onu da girin bende olmadığı için girmiyorum.

Ardından Retrieve Target List butonuna tıklayın.

Retrieve Target List butonuna bastıktan sonra aşağıdaki gibi hedefleriniz gelecektir. Seçiminizi yapıp Next ile devam edin.

Ardından aşağıdaki gibi yeşil Finish ekranı sizi karşılıyorsa Hosted Engine kurulumu başarılı bir şekilde gerçekleştirildi demektir.

Tekrar Hosted Engine deploy ettiğimiz Ovirt Node ekranına dönecek olursak aşağıdaki gibi deploy işleminin başarılı ve sunucunun çalıştığını anlayabiliriz.

Şimdi kurduğumuz hosted engine login olalım. Default kullanıcı adı “admin”, password de deploy sırasında verdiğiniz şifre olacak.

Artık bundan sonra ki işlemlerimize hosted engine’de devam edeceğiz. Datacenter ekleme, Cluster ekleme, Host ekleme, Storage ekleme, Vm oluşturma gibi vesaire işlemleri bu ekranda yapacağız.

Bölüm 2 : http://www.fatlan.com/ovirtrhev-4-2-kurulum-ve-yapilandirmasi-host-ekleme-bolum-2/

Linux Sunucular Üzerinde ISCSI Yapılandırması

iscsi(Internet Small Computer Systems Interface), ağ(network) üzerinden veri depolama(storage) ünitelerine tcp/ip protokolünü kullanarak blok düzeyinde erişim sağlayan yöntemdir.

Storage tarafında ilgili SVMs, LUNs, Volumes ve network ayarlarını yapıptan sonra iscsi’nin sunuculara erişimi için “Initiators” ve “Initiator Group” erişimlerini vermelisiniz. Storage tarafına girmiyorum konu genişleyip, dağılmaya başlar.

Not : Sunucunun “InitiatorName” elde etmek için aşağıdaki komutu kullanabilirsiniz.

> cat /etc/iscsi/initiatorname.iscsi

İscsi’leri Keşfedelim;

Sunucu üzerinde İscsi hedef tespiti için aşağıdaki komut ile discover işlemini yapalım. İlgili ip’lere bağlı erişimi olan tüm hedefleri listeleyecektir.

> iscsiadm -m discovery -t st -p 10.10.30.5

Çıktı: 10.10.30.5:3260,1030 iqn.1992-08.com.netapp:sn.2626a89cce1111e66c5200a098d9e8ba:vs.18

İscsi’lere login olalım;

Şimdi var olan tüm iscsi hedeflerine login olmak için aşağıdaki komutu çalıştırın.

> iscsiadm -m node -l

Ya da tek tek login olmak için aşağıdaki komutu da kullanabilirsiniz.

> iscsiadm -m node -T -l iqn.1992-08.com.netapp:sn.2626a89cce1111e66c5200a098d9e8ba:vs.18 -p 10.10.30.5:3260

İscsi’lere logout olmak için;

İscsi den tümüyle birden logout olmak için,

> iscsiadm -m node -u

Ya da tek tek logout olmak için,

> iscsiadm -m node -T -u iqn.1992-08.com.netapp:sn.2626a89cce1111e66c5200a098d9e8ba:vs.18 -p 10.10.30.5:3260

İscsi diskleri genişletme;

İscsi ile çalışan stroge’de alan genişlettikten sonra aşağıdaki komut ile de sunucuya yansımasını sağlayabilirsiniz.

> iscsiadm -m session –rescan

İscsi genişletmesinden sonra eğer hedefleri multipath olarak kullanıyorsanız aşağıdaki komutu da çalıştırmanız gerekebilir.

> multipathd resize map “multipath alias ya da wwid_numarası”

Ardından “fdisk -l” ve “multipath -l” komutları ile işlemin doğruluğunu kontrol edebilirsiniz.

Güvenli Yerel Docker Registry Kurulumu

Docker registry docker images’larının depolandığı sistemdir. Docker images’larını pull ile çekip, push ile de gönderip paylaştığımız sistemdir. Hali hazırda docker resmi olarak https://hub.docker.com/ dan binlerce özel yada genel, kullanıma açtığı images’lar bulunmaktadır. Bizlerde bu sistemi kullanmaktayız.

Docker hub gibi sadece yerel ağınızda kullanıma açmak isteyebileceğiniz bu sistemi aşağıdaki yöntem ile kurup kullanabilirsiniz.

Registry için biz ubuntu kullanacağız ve docker kurulumun yapılmış olduğunu farz ederek registry kurulumuna geçiyoruz.

Örnek domain olarak “fatlan.com” kullanılmıştır.

Kuruluma geçmeden önce güvenli kurulum olduğu için ssl sertifikalarınız(domain.crt, domain.key) mevcut olmalıdır. Bu sertifika authority confirmed olabilir yada self sign olabilir. Burada önemli olan kısım domain.crt dosyasının içinde ilk olarak domain sertifika key’i akabinde kök sertifika key’i olmalıdır. Yoksa registry’e images push ettiğinizde “x509: certificate signed by unknown authority” hatası alırsınız.

Sertifikalarınızı “/certs” klasörünün altına taşıyın.

> sudo mkdir /certs

Ardından “mkdir” komutu ile “/mnt/registry-repo” klasörünü oluşturun. Biz registry için images store olarak bu directory kullanacağız. Sizler bu kısımda “/mnt/registry-repo” dizini farklı bir disk yada partition olarak seçip, mount edip daha geniş bir alana olarak kullanabilirsiniz.

> sudo mkdir /mnt/registry-repo

Ardından aşağıdaki komutla docker registry’i kuralım.

> sudo docker run -d –restart=always –name registry -v /certs:/certs -v /mnt/registry-repo:/var/lib/registry -e REGISTRY_HTTP_ADDR=0.0.0.0:443 -e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/domain.crt -e REGISTRY_HTTP_TLS_KEY=/certs/domain.key -p 443:443 registry:2

Registry container’ımızın çalıştığını “sudo docker ps -a” komutu ile kontrol edelim.

Şimdi kurulumu doğrulamak için pull ve push yöntemlerini de dahil ederek test edelim. Ayrıca https://docker.fatlan.com/v2/_catalog adresinden de kontrol edebilirsiniz, tabi siz kendi belirlediğiniz domain name‘i girmelisiniz.

İlk önce hello-world images’ını docker hub’tan pull edelim.

> sudo docker pull hello-world

Ardından bize özel olması için tag atayalım.

> sudo docker tag hello-world docker.fatlan.com/my-hello-world

Şimdi yerel registry’ımıza push ile gönderelim.

> sudo docker push docker.fatlan.com/my-hello-world

Son olarak bu images’ımızı yani kendi yerel registry’ımızdan pull edelim ve bitirelim.

> sudo docker pull docker.fatlan.com:443/my-hello-world

Linux Sistemlerde TAB Tuşu ile Otomatik Komut yada Dizin Tamamlama – Bash Completion

Bash (Bourne Again Shell) şüphesiz en popüler Linux Shell olma özelliği ile beraber şuan için varsayılan shell olarak Linux yönetiminde top level seviyesindedir.

Her Linux sistem yöneticinin ihtiyaç duyabileceği Shell ile sistem yönetirken tab tuşu ile komut tamamlama Redhat/CentOS gibi Linux sistemlerin minimal kurulumlarında aktif bir şekilde gelmemektedir. Bu yüzden aşağıdaki komut ile auto-completion’u destekleyen bash için bash-completion paketini kurmalısınız.

> yum install bash-completion

Ardından konsol ekranında logout/login olarak paketi aktif edebilirsiniz.

Redhat/CentOS Linux Sunucularda Disable Repolar İçin YUM Kullanımı – YUM ENABLE

Genelde özelliştirilmiş CentOS sunucularda ilgili servis/hizmet dışında olan repolar(/etc/yum.repos.d) buna CentOS’un Base reposu dahil varsayılan olarak “enable=0” olarak ayarlandığında yani bu repo disabled moda çekildiğinde “yum” ile Base de var olan paketleri kurmak istediğiniz de hata alacaksınız ve kuramayacaksınız. Bu durumda repodan “enable=1” yapmalısınız ya da bu ayarın böyle kalması gerekiyorsa “yum” paket yöneticisini tek seferlik enable modda kullanarak bu sorunu aşıp, paketi kurabilirsiniz.

Örnekler aşağıdaki gibidir.

CentOS BASE reposu için;

> yum install –enablerepo=”base” CentOS-Base.repo “paket_adı” -y

Epel reposu için;

> yum install –enablerepo=”epel” epel.repo “paket_adı” -y

Linux Sunucular Üzerinde Dns Recursion Özelliğini Kapatmak

DNS Recursion özelliğinin açık olması, “DNS Amplification Attack” saldırılara maruz kalmanız demektir. Bu atak DNS kuvvetlendirmeli DDOS saldırısı olarakta bilinir. Bu nedenle DNS Recursion özelliğinin kapatılması gerekiyor ve biz bu işlemi nasıl yapacağımıza bakacağız. DDOS saldırısının sonuçlarına az/çok aşina olduğunuzu varsayarak, DNS Amplification Attack nedir.? çok fazla ayrıntıda boğmadan durumu anlatan güzel bir videoyu buraya bırakıyorum.

https://www.youtube.com/watch?v=xTKjHWkDwP0

Şimdi ilgili DNS sunucusunda Recursion özelliği açık/kapalı mı.? Herhengi bir kullanıcı makinasından sorgu göndererek test edelim. Ben linux bir client kullanıcam. Aslında DNS sunucusunun yapılandırma dosyasına bakıp bu durumu anlayabiliz ki zaten değişiklik DNS sunucusunun conf dosyasında yapılacak.

Testi “nmap” komutu ile yapacağım.

> sudo nmap -sU -p 53 -sV -P0 –script “dns-recursion” (DNS inizin IP si)

Yukarıdaki ss den de anlaşılacağı üzere DNS Recursion özelliği açık ve DNS Amplification Attack larına karşı savunmasız durumda. Şimdi Recursion özelliğini “/etc/named.conf” dosyasından disable edelim.

Recursion özelliğini disable etmek için “/etc/named.conf” dosyasının “options” bölümüne “recursion no;” satırı eklenmelidir. Aşağıda ss ile de gösterilmiştir.

Şimdi tekrar “nmap” komutumuzla test yapalım ve recursion özelliğinin son durumunu görelim.

> sudo nmap -sU -p 53 -sV -P0 –script “dns-recursion” (DNS inizin IP si)

Yukarıdan da anlaşılacağı üzere recursion özelliği pasif durumda.

Redhat/Centos 7 Üzerine DNS Server Kurulumu ve Yapılandırması – BİND(NAMED), NS(NAMESERVER) – Public DNS or Private DNS

Daha önceki yazılarımda DNS ile alakalı olarak bir çok bilgi paylaştım. DNS nedir.?, NS nedir.? gibi birçok soruyu ilgili makalelere havele edip bu yazımızda direk konuya geçiş yapmak istiyorum.

NoT : Makalede kullanılacak olan domain fatlan.com’dur, ip ler tamamen sallamasyondur.

Linux sistemlerde DNS sistemi kurup, aktif edebilmek için Bind paketini kurmalısınız. Servisin adı ise Named olarak bilinmektedir. Named ile servis yönetimini sağlayabilirsiniz.

İlk etapta bir Centos 7 sunucusu kurup ardından sabit bir ip ile network’ünü ayağa kaldırıyorum. Daha sonra yum update komutunu çalıştırıp sunucuyu stabil hale getirelim. Ardından “/etc/hostname” dosyasından sunucunun hostname’ini ns1.fatlan.com olarak değiştiriyorum. Bu değişikliği “/etc/hosts” dosyasında da yapıyorum. Bu arada update ve paketlerin kurulumundan sonra “/etc/resolv.conf” ve “/etc/sysconfig/network-scripts/ifcfg-ens0” dosyalarından dns sunucusu olarak kendi kendini göstermeyi unutmayın.

Daha sonra aşağıdaki komut ile DNS için gerekli paketlerin kurulumunu yapalım.

> yum install bind bind-utils

Şimdi asıl önemli olan yapılandırma kısmı ve ilk olarak “/etc/named.conf” dosyasını yapılandıracağız ama öncesinde “named.conf” dosyasının bir yedeğini alın.

Varsayılan olarak “named.conf”un içeriği aşağıda ss gibidir.

Şimdi bir editör yardımıyla dosyayı edit’lemeden önce neler değişecek ya da eklenecek onlardan bahsedelim.

Varsayılan satırlar;

listen-on port 53 { 127.0.0.1; };

listen-on-v6 port 53 { ::1; };

allow-query { localhost; };

Değişecek şekli;

listen-on port 53 { any; };

listen-on-v6 port 53 { none; };

allow-query { any; };

Eklenecek satırlar;

forward only; //optional

forwarders { 8.8.8.8; }; //optional

fatlan.com’a ait zone ve reverse zone bilgileri bu dosyada belirtilir.

Son ekran görüntüsü aşağıdaki gibidir.

Şimdi sıra zone dosyalarını yani dns kayıtlarının barındılacağı dosyaları oluşturmaya geldi. Bu zone ve revzone dosyalarını “/var/named/” dizininin içinde ve “/etc/named.conf” dosyasında belirttiğimiz zone isimlerinde oluşturmalıyız.

İlk öce dizine gidelim.

> cd /var/named

Ardından ilgili zone dosyalarını oluşturalım(ben named.conf’ta belirttiğim isimlere göre oluşturuyorum).

> touch fatlan.com.zone

> touch 100.34.203.revzone

Son olarak herhangi bir editör aracılığı ile “fatlan.com.zone” ve “100.34.203.revzone” zone dosyalarının içeriğini aşağıdaki ss görüldiği gibi dns kayıtlarını giriyorum.

NoT : A, CNAME ve PTR kayıtlarını örnek olsun diye ekledim. Diğer yapılandırma şekilleri önemli, zone ve revzone da farklı olmasının sebebi her iki türlü de olabildiğine örnek olması için ekledim.

fatlan.com.zone;

100.34.203.revzone;

Şimdi buraya kadar herşey tamam gibi ama bundan sonra yapmamız gereken yapılan tüm bu ayarlamalarının doğruluğunu test etmek.

İlk önce “/etc/named.conf” dosyasını doğru yapılandırmış mıyız?, kontrol edelim. Sonucunda birşey dönmüyorsa doğru demektir.

> named-checkconf

Şimdi de fatlan.com.zone dosyasını kontrol edelim.

> named-checkzone fatlan.com /var/named/fatlan.com.zone

Son olarakta 100.34.203.revzone dosyasını kontrol edelim.

> named-checkzone 100.34.203.in-addr.arpa /var/named/100.34.203.revzone

Herşey yolunda olduğuna göre named servisini başlatalım.

> systemctl start named.service

Son olarak 53 portunu dinlediğinden emin olalım. Firewall’dan 53 portuna erişim izinlerini sakın unutmayın.

> netstat -plntua | egrep -i named

Sunucu tarafında herşey bitti, şimdi bir kullanıcı makinasının dns’ini yeni sunucumuza yönlendirip kayıtları çözme durumunu kontrol edelim.

KVM – qcow2 Disk Dosyası Boyutunu Küçültme (Reduce – Shrink Qcow2 Disk Files)

Şimdiki yazımızda KVM hipervisor katmanında guest’ler(vm – sanal makineler) için başınıza gelebilecek bir durumdan bahsedeceğiz. Malumunuz KVM hostlarınızda disk dosyalarınız(qcow2) diskte belli bir alanı kaplamaktadır. Fakat zamanla guestteki disk alanı hosttaki barındığı disk alanını doldurup hatta üzerinede çıkabilmektedir. Aslında VM diski filesystem tabanında düzenli alanlarla kullanmadığı yada dağınık yazdığı için yani bu durum adreslemeyle alakalı; dolu göstermektedir. Aslında windows’ta defrag yöntemi gibi diyebiliriz. Bu durumda sanal makine otomatik olarak “Pause” duruma düşecek ve hizmet veremeyecek duruma gelecektir. Bu duruma düşmeden yada düştükten sonra aşağıdaki yöntemlerle qcow2 disk dosyalarını boyutunu hipervisor katmanında aslında kullanılmadığı halde kullanıyor gibi gösterdiği alanları yeniden düzenleyerek küçültecektir.

İlk yöntem olarak “virt-sparsify” komutunu kullanarak etkili ve verimli bir şekilde disk dosyanızın boyutunu küçültebilirsiniz.

NoT1 : “virt-sparsify” komutunu kullanabilmek için libguestfs-tools paketini öncesinde kurmalısınız.

NoT2 : İşlemleri vm kapalıyken yapın.

İşlem yapılmadan önce aşağıdaki komutla disk dosyasının boyutunu görelim.

> du -ha

Ardından “virt-sparsify” komutu ile istediğimiz küçültme işlemini gerçekleştirelim.

> virt-sparsify –in-place diskdosyanız.qcow2

Daha sonra tekrar “du -ha” komutunu çalıştıralım ve boyuttaki azalmayı görelim.

Ikinci yöntem olarak gene “virt-sparsify” komutunu convert yöntemi ile kullanalım.

> virt-sparsify diskdosyanız.qcow2 –convert qcow2 yeniisimdiskdosyanız.qcow2

Sonra “du -ha” komutu

Son olarak üçüncü yöntem ise,

Aşağıdaki yöntem ile Guest’in içinde “dd” komutu kullanarak kalan boş alana “zero” basıyoruz.

> dd if=/dev/zero of=/MyDump

Daha sonra MyDump dosyasını siliyoruz.

> rm -f /MyDump

Son olarak “qemu-img” komutu ile işlemi gerçekleştiriyoruz ama öncesinde fırsatınız varsa disk dosyasının yedeğini almanızda fayda var.

> qemu-img convert -O qcow2 ilgilidosyaismi.qcow2 yeni_ilgilidosyaismi.qcow2

Kaynaklar

http://libguestfs.org/virt-sparsify.1.html

https://pve.proxmox.com/wiki/Shrink_Qcow2_Disk_Files

Redhat/Centos TimeZone Değiştirme

İlk önce “date” komutunu çalıştırıp, şuan ki saat bilgilerimizi görelim.

İlk önce “cp” komutu ile “localtime” dosyasının yedeğini alalım.

> cp /etc/localtime /etc/localtime.bak

Ardından dosyayı silelim

> rm /etc/localtime

Ya da yukarıda olduğu gibi iki komut yerine aşağıdaki gibi “mv” komutuyla tek seferde işi çözebilirsiniz.

> mv /etc/localtime /etc/localtime.bak

Şimdi “ln -s” komutu ile Türkiye’ye uygun olan timezone dosya kaynağını localtime dosyasına linkleyelim.

> ln -s /usr/share/zoneinfo/Europa/Istanbul /etc/localtime

Son olarak “date” komutunu tekrar çalıştırıp, Türkiye timezone’nin geldiğini görelim.

How to install KVM on Ubuntu 16 – Ubuntu üzerine KVM kurulumu, Yapılandırması ve Sanal Makine oluşturulması

KVM Çekirdek tabanlı sanal makine Linux çekirdeği için geliştirilen ve onu bir üstsisteme dönüştüren bir sanallaştırma altyapısıdır.

Kurulumdan önce sunucumuza login olup, cpu muzun destekleyip desteklemediğini anlamak için aşağıdaki komutlar yardımıyla cpu bilgilerini kontrol edelim.

Bu komutun çıktısı olarak “CPU(s):” değeri 0 ise dekteklemiyor, 1 veya 1 den fazla bir değer ise destekliyor manasına gelir.

> egrep -c ‘(svm|vmx)’ /proc/cpuinfo

yada

> lscpu

Aşağıdaki komutla da çekidek modüllerinin yüklü olup, olmadığını kontrol edebilirsiniz.

> lsmod | grep kvm

Şimdi kuruluma geçebiliriz. Aşağıdaki komut ile gerekli tüm paketleri kurup, KVM ortamımızı hazır hale getirelim.

> sudo apt-get install qemu-kvm libvirt-bin bridge-utils virt-manager

Yukarıdaki kurulum komutundan sonra sorunsuz bir kurulum gerçekleştiğini, aşağıdaki komutla doğrulayın.

> kvm-ok

Ardından sunucuyu reboot edin.

> brctl show komutuyla da sonradan gelen sanal interface(NIC) i görüntüleyebilirsiniz.

Default’ta Virtual Machine(qcow2) lerin saklandığı dizindir.

/var/lib/libvirt/images/

Not1 : Eğer qcow2 formatında ki diskin yerini bilmiyorsanız aşağıdaki komut(komut ilgili vm in disklerini bulunduğu dizin ile beraber listeler) size nerde olduğunu söyleyecektir.

> virsh domblklist Ubuntu18

Default’ta Virtual Machine images lar için, kurulum iso larının saklandığı dizindir.

/var/lib/libvirt/boot/

Default’ta Virtual Machine özelliklerinin(ram,cpu,disk vs.) xml formatında tutulduğu yerdir.

/etc/libvirt/qemu

Not2 : Aşağıdaki komut ise ilgili makinanın xml formatında tutulduğu özellikleri(ram,cpu,disk vs.) ekrana bastırır.

> virsh dumpxml Ubuntu18

Aşağıdaki iki komutla da mevcuttaki sanal makinaları görüntüleyebilirsiniz.

> virsh -c qemu:///system list

yada

> virsh list –all

Virtual Machine lerinizi GUI olarak yönetmek, oluşturma ve silme gibi işlemler için virt arayüzünü kullanabilirsiniz. Komut aşağıdaki gibidir.

NoT3 : Bunu yapabilmek için öncesinde sunucuya ssh bağlantısı yaparken, -X parametresini kullanarak bağlanmalısınız(ssh -X root@192.168.1.100). Ayrıca Windows (Putty de x11 enable edilmelidir) için Xming uygulaması, Mac için ise Xquartz uygulaması kurulu ve çalışır olması gerekiyor.

NoT4 : Bu arada bir bilgi daha vermem gerekir. Eğer Linux kullanıcısı iseniz yani client makinanız Linux ise sunucuya virt-manager paketini kurmadan, client makinanızda virt-manager var ise ordan File-Add Connection diyerek sunuya bağlanıp yönetebilirsiniz.

> sudo virt-manager

Yada sunucuya ait konsolu direk olarak aşağıdaki komutla alabilirsiniz.

NoT5 : Bunu yapabilmek için öncesinde kullanıcı makinasına virt-viewer paketini kurmalısınız(ubuntu/debian için ’apt install virt-viewer’, Redhat/CentOS için ‘yum install virt-viewer’).

> sudo virt-viewer -c qemu:///system Ubuntu18

Komutlar aracılığı ile sunucuyu yönetimi için aşağıda bir kaç komut paylaşacağım.

Sunucuyu başlatır.

> virsh start Ubuntu18

Sunucuyu kapatır.

> virsh shutdown Ubuntu18

Sunucuyu yeniden başlatır.

> virsh reboot Ubuntu18

Sunucunun özelliklerini değiştirmek için kullanılır(xml dosyasını değiştirir).

> virsh edit Ubuntu18

Sununun barındığı host açıldığında, bu vm de otomatik olarak başlatma seçeneğidir.

> virsh autostart Ubuntu18

Sununun barındığı host açıldığında, bu vm de otomatik olarak başlatma seçeneğini devre dışı bırakır.

> virsh autostart –disable Ubuntu18

Şimdi “virt-install” komtuna bakalım, bu komut aracılığı ile komut satırı üzerinden makine oluşturabilirsiniz. Alltaki komutta örnek komut ile bu işlemi sağlayabilirsiniz. Ben bir çok parametreyi kullandım ama siz tüm parametleri kullanmak zorunda değilsiniz. Zaten kullanmadığınız parametreler yerine default değerler atanacaktır. Tabi sonrasında siz bu değerleri değiştirebilirsiniz. Komutu yürüttükten sonra gui açılıp size kuruluma yönlendirecektir.

> sudo virt-install –virt-type=kvm –name ubuntu-cli –ram 2048 –vcpus=2 –os-variant=Ubuntu16.04 –cdrom=/var/lib/libvirt/boot/ubuntu-18.04-live-server-amd64.iso –network=bridge=eth0,model=virtio –graphics spice –disk path=/var/lib/libvirt/images/ubuntu-cli.qcow2,size=40,bus=virtio,format=qcow2

Şimdi de “virt-clone” komutundan bahsedelim. Adında da anlaşılacağı üzere clone almak için kullanılan komuttur. Kullanımı aşağıdaki gibidir. Fakat vm kapalı durumda iken clone alabilirsiniz, yoksa uyarı verecektir. “Clone ‘Ubuntu18.clone’ created successfully.” uyarısını almalısınız.

> virt-clone –original=Ubuntu18 –name=Ubuntu18.clone –file=/var/lib/libvirt/images/Ubuntu18.clone

Aşağıdaki komut ise vmdk formatındaki bir vm i qcow2 formatına çevirip KVM host unuzda çalıştırmanızı sağlar.

> qemu-img convert -O qcow2 ubuntu.vmdk ubuntu.qcow2

Bir sonraki makalemizde KVM ortamında nasıl yedek alıp sonra aldığımız o yedeği nasıl geri yükleyip, çalışır hale getireceğiz ona bakacağız.

RedHat/CentOS Bonding Yapılandırması (LACP ve LACP Olmadan)

Bonding nedir.? : Birden fazla ethernet arayüzünü birleştirme işlemidir. Network teaming de denebilir. Şöyle ki birden fazla network kartının tek network kartı gibi davranması kartlardan birinin bağlantısının kopması durumunda diğer kart üzerinden kesintisiz bir şekilde bağlantının devam etmesi işlemidir.

LACP nedir.? : Ether Channel iki protokol ile yapılır. Bunlardan birincisi cisco protokolü olan PAgP(Port Aggregation Protokol) ikincisi ise LACP(Link Aggregation Control Protokol) IEEE 802.3ad olan standart protokolüdür. Ether Channel iki switch arasında 2 yada daha fazla kablo ile bağlantı sağlandığında switch in iki yada daha fazla kabloyu tek kablo gibi algılamasını sağlayan protokoldür. Ether Channel sayesinde hem yedeklilik(redundancy), hem loadbalans, hemde yüksek bandwidth sağlanmış olur.

Bonding MOD’ları

mode=0 >> Round-robin(balance-rr), arayüzlere sırası ile paketleri gönderir.

mode=1 >> Aktif-yedek çalışır(active-backup). Sadece bir arayüz aktiftir.

mode=2 >> [(Kaynak MAC adresi XOR hedef MAC adresi) % arayüz sayısı] (balance-xor) algoritmasına göre paketleri gönderir.

mode=3 >> Broadcast çeşididir(broadcast). Tüm paketleri tüm arayüzlerden gönderir.

mode=4 >> IEEE 802.3ad Dynamic link aggregation(802.3ad), LACP. Aktif-aktif çalışır.

mode=5 >> Toplam yük her arayüzün kendi yüküne göre paylaşılır(balance-tlb).

mode=6 >> Uyarlamalı yük dengeleme modudur(balance-alb).

Senaryomuz aşağıda şekildeki gibi,

1- LACP ile Bonding yapılandırması,

cd komutu ile “/etc/sysconfig/network-scripts/” directory sine gidin.

Ardından vi yada başka bir editör aracılığı ile uplink gelen “ifcfg-eth0 ve ifcfg-eth1” konfig dosyalarının içini aşağıdaki gibi yapılandırın.

[root@localhost network-scripts]# vi ifcfg-eth0

DEVICE=eth0

TYPE=Ethernet

BOOTPROTO=none

ONBOOT=yes

NM_CONTROLLED=no

IPV6INIT=no

MASTER=bond0

SLAVE=yes

[root@localhost network-scripts]# vi ifcfg-eth1

DEVICE=eth1

TYPE=Ethernet

BOOTPROTO=none

ONBOOT=yes

NM_CONTROLLED=no

IPV6INIT=no

MASTER=bond0

SLAVE=yes

Daha sonra aynı dizin içinde “ifcfg-bond0” dosyasını oluşturup aşağıdaki gibi yapılandırın.

[root@localhost network-scripts]# vi ifcfg-bond0

DEVICE=bond0

TYPE=bond

NAME=bond0

BONDING_MASTER=yes

BOOTPROTO=none

ONBOOT=yes

IPADDR=192.168.1.10

PREFIX=24

GATEWAY=192.168.1.1

BONDING_OPTS=”mode=4 miimon=100 lacp_rate=1″

Son olarak aşağıdaki komutla network servisini yeniden başlatalım ve işlemleri tamamlayalım. Servisi yeniden başlatırken uyarı/uyarılar alabilirsiniz. Üst üste iki kere de servisi yeniden başlatabilirsiniz yada sunucuyu reboot edebilirsiniz.

Redhat/CentOS 6.x için,

> /etc/init.d/network restart yada service network restart

Redhat/CentOS 7.x için,

> systemctl restart network.service

Ardından “ip a” komutu ile yapılan işlemleri kontrol edebilirsiniz.

Ayrıca Bonding yapılandırmalarına ait detayları aşağıdaki komutla elde edebilirsiniz.

> more /proc/net/bonding/bond0

NOT1 : Bonding yapılandırmasında bond0 birinci slave olarak görünen nic’in fiziksel adresini devralır ve onu kullanır. Yani MAC Address durumu aşağıdaki örnekteki gibi olacaktır(screenshot’tan da teyit edebilirsiniz). Bu durum mod5 ve mod6 hariç geçerlidir. Ayrıca mod1 de de active-backup çalışma prensibinden dolayı benzersiz MAC Addres kullanır.

bond0     Link encap:Ethernet HWaddr 04:09:73:ca:a6:70

eth0        Link encap:Ethernet HWaddr 04:09:73:ca:a6:70

eth1        Link encap:Ethernet HWaddr 04:09:73:ca:a6:70

NOT2 : OS tarafında Bonding’leri LACP olarak yapılandırdığınız taktirde, Switch tarafında da karşılık gelen portlara LACP yapılandırmasını yapmalısınız. Örnek olarak Switch tarafında yapılması gereken ayarı aşağıda paylaşıyorum.

interface Ethernet X

channel-group 1 mode active

no shutdown

interface Po1

switchport mode trunk

mlag 1

2- LACP olmadan Bonding yapılandırması,

ifcfg-eth0” ve “ifcfg-eth1” aynen yukarıdaki gibi yapılandırdıktan sonra, sadece “ifcfg-bond0” aşağıdaki gibi yapılandırın(‘mode’ değişikliği yapıldı).

[root@localhost network-scripts]# vi ifcfg-bond0

DEVICE=bond0

TYPE=bond

NAME=bond0

BONDING_MASTER=yes

BOOTPROTO=none

ONBOOT=yes

IPADDR=192.168.1.10

PREFIX=24

GATEWAY=192.168.1.1

BONDING_OPTS=”mode=2 miimon=100″

Ubuntu16/CentOS7/RedHat7 Customize The docker0 Bridge ile Kurulum

Şimdiki makalemizde özelleştirilmiş network ile Docker kurulumunu ele alacağız. Öncesinde neden böyle birşeye ihtiyaç duyabileceğimizden bahsedeyim, hemde başımdan geçen durumu da anlatmış olurum.

Bildiğiniz gibi Docker kurulumda docker0 bridge‘inin default ip range‘i olarak 172.17.0.1/16‘yı vererek kurulum gerçekleştirmektedir. Bu durumda sizin bağlantı sağladığınız lokal ağ tercihini hali hazırda 172 li subnet ise kurulum aşamasında Docker Run olduğunda bağlantınız koparacak ve bir daha uzaktan bağlantı sağlayamayacaksınız. Benim başımada böyle bir durum geldi, lokal ağım 172 li /24 subnet’indeydi ve /16 lı subnet benim subnet’i yuttuğundan, çakışma gerçekleşti ve bağlantımı kopardı. Bu durumda konsol aracılığı ile sizin kendi belirlediğiniz subnet ile kurulum yapmanız gerekli yada subnet’i editlemelisiniz. Ben aşağıdaki göstereceğim yöntemle “systemd” kullanarak istediğim ortamı ayağa kaldırdım. Şimdi sırasıyla Ubuntu16’da ve Centos7/RedHat7 de bunu nasıl yapabiliriz, buna değinelim.

*Ubuntu16 da customize subnet ile Docker kurulumu

İlk önce “etc/systemd/system/” altına “docker.service.d” dizinini, “mkdir” komutunu kullanarak oluşturalım.

> sudo mkdir /etc/systemd/system/docker.service.d

İkinci olarak “/etc/systemd/system/docker.service.d/” altına “docker.conf” dizinini “touch” komutunu kullanarak oluşturalım.

> sudo touch /etc/systemd/system/docker.service.d/docker.conf

Ardından “docker.conf” dosyasının içine bir editör aracılığı(vim) ile aşağıdaki gibi doldurup, kaydedin.

docker.conf
[Service]

ExecStart=

ExecStart=/usr/bin/dockerd -H fd:// --bip=10.10.100.1/24

 

Gerekli systemd ayarlamalarını yaptık ve şimdi normal akışında kurulumu yaparak işlemleri tamamlayacağız.

Önce, resmi Docker repository için GPG anahtarını sisteme ekleyelim.

> curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add –

Ardında Docker repo’sunu ekleyelim.

> sudo add-apt-repository “deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable”

Şimdi repolarımızı güncelleyelim.

> sudo apt-get update

Ve şimdi aşağıdaki komutla Docker’ı kuralım.

> sudo apt-get install -y docker-ce

Ardından gerekli kontrolleri sırasıyla yapıp, işlemlerimizi teyit edelim.

*CentOS7/RedHat7 da customize subnet ile Docker kurulumu

Gene “systemd” yi kullanarak işlemleri gerçekleştireceğiz.

İlk önce “etc/systemd/system/” altına “docker.service.d” dizinini, “mkdir” komutunu kullanarak oluşturalım.

> mkdir /etc/systemd/system/docker.service.d

İkinci olarak “/etc/systemd/system/docker.service.d/” altına “docker.conf” dizinini “touch” komutunu kullanarak oluşturalım.

> touch /etc/systemd/system/docker.service.d/docker.conf

Ardından “docker.conf” dosyasının içine bir editör aracılığı(vim) ile aşağıdaki gibi doldurup, kaydedin.

docker.conf
[Service]

ExecStart=

ExecStart=/usr/bin/dockerd --bip=10.10.100.1/24

Gerekli systemd ayarlamalarını yaptık ve şimdi normal akışında kurulumu yaparak işlemleri tamamlayacağız.

Docker’ı kurmadan önce aşağıdaki komutla gerekli paketleri indirip, kuralım.

> yum install yum-utils device-mapper-persistent-data lvm2 -y

Ardında Docker repo’sunu ekleyelim.

> yum-config-manager –add-repo https://download.docker.com/linux/centos/docker-ce.repo

Şimdi aşağıdaki komutla Docker’ı kuralım.

> yum install docker-ce –y

Docker kurulduktan sonra sevisi çalıştırmak ve enable etmek lazım. Aşağıdaki komut ile yapabilirsiniz.

> systemctl enable docker.service

> systemctl start docker.service

Status’ ile son durumu kontrol edelim.

> systemctl status docker.service

Ardından gerekli kontrolleri sırasıyla yapıp, işlemlerimizi teyit edelim.

Bu arada servisi daha önceden kurduysanız “systemd” yapılandırmasını yaptıktan sonra aşağıdaki komutları çalıştırdığınızda sizin belirlediğiniz subnet overwrite olacak.

> systemctl daemon-reload

> systemctl restart docker.service

warning: remote host identification has changed

Ssh protokolü ile uzaktaki bir makinanıza bağlanmaya çalıştığınızda “warning: remote host identification has changed” uyarısını alıyorsanız muhtemelen ayını ip ile başka bir kurulum gerçekleştirmiş olabilirsiniz. Bu durumda ssh in çalışma prensibi doğrultusunda daha önceden ilgili ip için atanan public key numarası doğal olarak değiştiğinden ve sizin(yani ilgili kullanıcının) /.ssh/known_hosts dosyasında bulunan eski identification eşleşmediğinden bu hatayı almanız gayet doğal. Uyarıda genelde çalıştırmanız gereken komutu söyler, yukarıdaki resimde olduğu gibi fakat aşağıdaki screenshottan anlaşılacağı üzere ilgili komutu bildirmeye bilir de. Bu durumda da belirteceğimiz komutu yürütmeniz çözüm olacaktır.

> ssh-keygen -f “/home/fatihaslan/.ssh/known_hosts” -R 192.168.1.100

systemd-analyze blame Komutunu Keşfedelim – Redhat7, CentOS7, Ubuntu16

Bu makalemde çok hoş bir şekilde deneyimsellediğim bir durum ve komuttan bahsedeceğim. Bir komut nedir.? Diyebilirsiniz. Fakat sistem yöneticileri için özellikle de Linux Admin’leri için bir komut bile yeri geldi mi can kurtarıcı bir duruma dönüşebilir. Uzun süredir bakmadığınız yada başkası tarafından kurulup çalışan, sonradan yönetimi devraldığınız bir sunucuda yaşayabileceğiniz bir durum olabilir. Bende böyle bir durum oluştu ve RedHat Enterprise Linux 7 de açılışta bir problem yaşadım. Neydi bu problem.?

Sunucu RHEL 7 ama GUI de kurulu ve sunucu açılışta çok yavaş açılıyordu. User’lar, login ekranı dakikalar sonra geldi. Bir sorun olduğu belliydi ama onun dışında herhangi bir sorun yok sunucu canavar gibi çalışıyordu. Neyse tam bu noktada nedir problem.? Nasıl çözerim.? derken, bir komut keşfettim. Bu komut “system-analyze blame”. Bu komut kısaca analyze system boot-up performance, sistemin boot olmasında açılan servis ve uygulamaların başlangıç performansı olarak time bazında size yansıtacaktır ve sizde oradan alacağınız ip ucuyla sorunu giderebilirsiniz ki ben bu şekilde, belki de uzun süre uğraştıracak bir sorunu saniyeler içinde hallettim.

Bu komutun üzerinde durmamım bir diğer sebebi ise RedHat 7 de çalışmasıdır. Yani altı sürümlerde bu komut mevcut değil. Bu da tabi RHEL 7’nin kullanış seviyesini yansıtmaktadır. Tabi aynı şekilde CentOS 7 ve Ubuntu 16 ve üzerinde de bu komut mevcut.

Şimdi aşağıdaki screenshot’larla durumu daha detaylı inceleyelim.

Sistemi bir kere açmayı başarınca system-analyze blame komutunu çalıştırdım ve en geç açılan nfs.mount servisinin olduğunu gördüm.

> system-analyze blame

Ardından “/etc/fstab” dosyasını incelemeye aldım. Zaten açılışta bu problemin olması ve sistem boot olduğundan fstab dosyasını okuması şüpheyi kendi üzerine çekmeye yetiyordu. Ve en son satırda bir makinadan mount işleminin olduğunu gördüm. Tabi ki sistem boot olduğunda fstab dosyasını okuyup mount ediyor ve o hedefteki ip’li makinayı bulamadığı için açılış problemi olduğunu netti.

İnsert modda bu satırın başına # işareti koyup, kaydedip çıktım. Böylelikle o satırı yorum satırı olarak algılamasını sağladık. Ve sistemi reboot ettiğimde problemin çözüldüğünü gözlemledim. İyi çalışmalar.

NFS(Network File System) nedir.? NFS Server ve Kullanıcı Yapılandırması

Sun Microsystems tarafından geliştirilen Unix/Linux dosya paylaşım servisi olup, Linux sistemler arasında dosya paylaşamını sağlayan ve stabil çalışan bir teknolojidir. Tabi ki açık kaynak kodludur deyip bu kadar teorik bilgide noktalasak yeter herhalde.

Hemen yapılandırma ve kullanımına girmeliyiz. Ortamda Sunucu ve İstemci modeli ile çalışacağız. Yani Hem Server tarafında yapmamız gerekenler var hemde bunu Client ların kullanabilmesi için yapmamamız gerekenler var. Bunun için sanal ortamımı oluşturdum aşağıdaki gibi.

NFS Server’ımın ip bilgisi aşağıdaki gibidir.

NFS Client için de ip bilgisi aşağıdaki gibidir.

Herşeyden evvel genelde sunucular minimal kurulum yapıldığından NFS paketlerini kurmak gerek.

NOT : Bu paketleri hem sunucuda hem istemcide kurmalısınız. Aşağıdaki komut ile bu işlemi yapabilirsiniz.

> yum install nfs-utils nfs-utils-lib

Daha sonra servisin durumuna aşağıdaki komut ile bakın ve servisin hem çalışmadığını hemde disabled olduğunu görün.

> systemctl status nfs-server.service

Şimdi servisi alttaki komutla çalıştırın.

> systemctl start nfs-server.service

Daha sonra enabled durumuna çekin.

> systemctl enable nfs-server.service

Şimdi son duruma bakalım ve bu kısımın sağlıklı bir şekilde tamamlandığını görelim.

 

* Server – Sunucu tarafı

Şimdi sunucuda yapılandırmaya başlayalım. Tabi burada sizin ortamınıza göre planlama yapmanız gerekiyor. Yani NFS için ayıracağınız alanı belirleyip bunun için hususi ayrı bir disk, storage de kullanabilirsiniz ki bu yöntem her zaman daha sağlıklıdır. Ben sunucu tarafında belirlediğim disk alanına MePaylasNFS diye bir dizin oluşturuyorum.

Mkdir komut ile MePaylasNFS klasörünü oluşturuyorum. Ardından cd komutu ile içine girip test için dosya ve klasörler oluşturuyorum.

> mkdir MePaylasNFS

Paylaşım yapılandırmayı “/etc/exports” config dosyası yardımıyla gerçekleştireceğiz. Herhangi bir editör yardımıyla buraya girip oluşturduğumuz MePaylasNFS klasörünü herkes için(“*” işareti herkes bağlanıp kullanabilir manasına gelir, eğer belirli makinalar için yapacaksanız “*” yerine makinanın ip’ni girmelisiniz). Ardından nfs servisini yeniden başlatın.

> systemctl restart nfs-server.service

exportfs” komutu yardımıyla sunucudaki tüm paylaşımlarımızı listeleyebiliriz.

> exportfs

Birde “showmount -e localhost” komutunu çalıştırıp, burdan da paylaşımları gözlemleyelim.

 

* Client – Kullanıcı tarafı

Şimdi client tarafında yapılandırmaya girişelim. Paylaşımı kullanacak tarafta paylaşılan alanı mount edeceğiz. Mount için bir hedef yani klasör oluşturalım. Ben NFSKullan adında bir klasör oluşturuyorum.

> mkdir NFSKullan

Şimdi aşağıdaki gibi sunucunun ip(192.168.2.250) bigisiyle mount edelim.

> mount 192.168.2.250:/ MePaylasNFS /NFSKullan

Direk mount komutu ile durumu gözlemleyebilirsiniz. Ayrıca NFS servisinin de versiyon 4 olduğunu görün.

> mount

df -h komutu ile gözlemleyelim.

> df -h

Paylaşım noktasını ls -l ile listeleyelim, verileri kullanabildiğimizi gözlemleyelim. Bu bilgiler aslında sunucuda.

> ls -l /NFSKullan

Son kontrol amacı ile “showmount -e 192.168.2.250(Server ip bilgisi)” komutunu çalıştırıp değişimi gözlemleyelim.

> showmount –e 192.168.2.250

Herşey bittimi.? Tabi ki HAYIR.! Çünkü bu kullanıcı makinası reboot olduğunda mount bilgisi kaybolacak ve NFS paylaşımını kullanamayacak. Bunu sabit kılmak ve sürekli kullanıcı makinası reboot olsa da kullanabilir yapmak için/etc/fstab” dosyasına mount noktasını yazacağız. Herhangi bir editör yardımıyla bu yapılandırma dosyasına girelim ve aşağıdaki şekilde yapılandıralım(boşluklar tab tuşuyla oluşturuldu), kaydedip çıkalım.

# 192.168.2.250:/MePaylasNFS       /NFSKullan       nfs4       rw,sync       0 0

Hayırlı olsun.

Merkezi Log Server Oluşturma – Rsyslog

Sistem adminleri, Network yöneticileri, Güvenlik uzmanları, Yazılımcılar ve hatta Hacker için bile olmazsa olmaz bişey varsa oda sistemde var olan log lar yada oluşacak log lardır. Log ların hayatımızdaki yeri ve önemi tartışılmazdır. Çünkü log lar aracılığı ile bir çok sorunun ve problemin üstesinden geliriz. Analiz gerçekleştirir, sistemlere olan saldırıları hatta öncesinde yapılmış saldırıları keşfederiz. Aslında daha fazla yazılacak teorik çok şey var fakat ben çok fazla uzatmak istemiyorum. Log, loglama deyince akan sular durur ve herkesin az çok bilgisi vardır. Ben hemen yapmak istediğim ortamı hayata geçireyim.

Ne yapmak istiyorum.? Ortamda merkezi bir log server oluşturmak istiyorum. Yani tüm sunucularımın, firewall yada benzeri cihazlarımın yada göndermek istediğim ne varsa log olarak, tek bir merkezi log sunucu oluşturup ona göndermek istiyorum. Bunun faydalarına gelince zaten aklınızda bir sürü ışık yanmıştır. Örneğin bence bu log server ı daha sonra 5651 yasasına göre değerlendirebilirsiniz yada sistemleriniz herhangi biri saldırıya uğradığında hacker bulunduğu o server daki log ları temizleyebilir fakat log server a erişimi olmadığından ordaki log lara dokunamayacak ve siz bu log ları rahatlıkla değerlendirebileceksiniz.

Ben senaryoyu iki sanal Linux sunucuda Syslog(rsyslog) servisini kullanarak gerçekleştireceğim. Sunuculardan biri client olacak, log basacak diğeri de log server olacak ve log ları üstüne çekip barındıracak. Bunu kullanıcı tarafında ve Log server tarafında bir kaç ayarlama ve yapılandırmayla sağlayacağız.

Ama öncesinde Log yapılarından, seviyelerin bahsedelim. Log lar facility ve severity – level olarak iki sütunda inceleyecek olursak eğer facility.level olarak belirlesek yanlış olmaz. Yani facility olarak (none, kernel, mail, cron, authpriv, user) desek, level olarak (emerg, critical, alert, err, info, debug) olarak ele aldığımızda; örneğin sistemdeki tüm herşeyin sadece hata log larını almak için (*.err kullanabiliriz.) yada bilgi mesajları ve yukarı doğru içerdiği log ları almak için (*.info kullanabilirsiniz.). Yukarı doğru derken hemen onu da açıklayalım. Mesela level-seviye olarak info seçilmiş ise içinde(emerg, critical, alert, err uda barındırmaktadır.), Seviyelerden en konuşkanı debug tır. Tüm her hareketi log lar.

 user.emerg yada user.err yada user.info gibi gibi kullanabilirsiniz.

 

 

Her Linux sistemde (“/etc/rsyslog.conf”) mevcut olan bir kaç satırdan bahsedeyim ve bahsedersek mevzu daha iyi anlaşılacaktır.

*.info;mail.none;authpriv.none;cron.none /var/log/messages      Burada sistemdeki her facility i (*) info seviyesinde al (*.info;) fakat mail,authpriv ve cron u alma, neden çünkü onları /var/log/ içerisinde başka bir dosyaya aldıracak, yapılandırmayı yapacak. Aşağıdaki screenshot ta durum daha net anlaşılacak.

Ayrıca Linux ta log lar için özelleştirilmiş local soketler bulunmaktadır. Daha fazla ayrıntı için syslog linkini ziyaret edin.

Bu kadar teorik bilgiden sonra hemen yapılandırmaya girişelim. Çünkü loglardan gene ve /var dizini /var/log dizininden ayrıntılı olarak yeri geldi mi bir başka makalede bahsedeğiz. Bir kullanıcı makinasından(192.168.2.71) log göndereceğimiz için orada yapılandırma yapacağız, ikinci olarak da log sunucuda(192.168.2.150) logları alabilmek için yapılandırma yapıp, işlemleri de teyit ettikten sonra makaleyi noktalayacağız.

 

*Server tarafında yapılandırma

Yapılandırmayı “/etc/rsyslog.conf” dosyasından gerçekleştireceğiz. Vi, vim yada nano editörü ile dosyanın içine giriyoruz. Ben vim i tercih ediyorum çünkü satırları renklendiriyor.

> vim /etc/rsyslog.conf

Bu dosyanın içerisinde; son iki satırda bulunan Modload ve Input satırlarındaki “#” işaretini siliyoruz.

Durum aşağıdaki gibi olacak, dosyayı kaydedip çıkın.

Ardından aşağıdaki komutla servisi restart edin.

> systemctl restart rsyslog.service

 

*Kullanıcı tarafından yapılandırma(Logları yönlendirelim);

Tüm log ları info seviyesinde göndereceğim.

Gene bir editör aracılığı ile “/etc/rsyslog.conf” yapılandırma dosyasına girelim. Ve aşağıda resimdeki gibi yapılandırıp, kaydedip çıkalım. Bu arada @(udp), @@(tcp) dir.

> vim /etc/rsyslog.conf

NOT: bu log ları lokalde tutmak istemiyorsanız, dosyanın içindeki yapılandırma satırları silebilir yada satırların başına “#” işareti koyarsanız, satılar yorum satırı olarak algılanacak ve log lar sadece log ları yönlendirdiğiniz sunucuda barınacaktır.

Şimdi burada da servisi restart edelim.

> systemctl restart rsyslog.service

NOT2: Ayrıca input girdilerini(log yönlendirme) aşağıdaki gibi daha spesifik olarak /etc/rsyslog.d/ (/etc/rsyslog.d/YntmLog.conf gibi) içine dosya olarak oluşturup, yönlendirebilirsiniz.

—–   >> “/etc/rsyslog.conf içine yazılacak.”

$ModLoad imfile

—–   >> “/etc/rsyslog.d/YntmLog.conf içine yazılacak, aslında /etc/rsyslog.conf içine de yazılabilir.”

##remote syslog settings

$InputFileName /var/log/httpd/access_log

$InputFileTag celery

$InputFileStateFile celery-file1

$InputFileSeverity info

$InputFileFacility local5

$InputRunFileMonitor

$InputFilePersistStateInterval 1000

local5.* @192.168.2.150

 

Şimdi sıra yaptığımız işlemi teyit etmekte. Bunu da “logger” komutu ile yapacağız. Yani o komut ile dışarıdan custom bir log üreteceğiz.

> logger -p user.info “Bu mesajı info seviyesinde oluşturduk ve log sunucuda görmeliyiz.”

Şimdi Log sunucusunda görebildiğimizi teyit edelim.

Bu arada sunucular arasında network erişimi ve 514 port’undan erişime açık olmalıdır.

Linux Trap Command Usage (Signals Catch) – Linux tuzak komutu kullanımı (Sinyalleri Yakalama)

Linux tarafında kullanışlı bir komuttan bahsetmek istiyorum. Bu komut daha çok sistem yöneticilerinin işine yarayacak türden olabilir. Kullanıcı tarafında bir işlem çalıştırıp, bitene kadar sürmesini isteyebilirsiniz (bu bash script leriniz olabilir) ve bunun kullanıcı tarafından sonlandırılmasını da engellemeniz gerekiyor gibi bir örnek vererek açıklamak doğru olacaktır. Tam da burada devreye trap komutu giriyor. Kafanızda nedir bu trap dediğinizi duyar gibiyim sanki. Trap komutu Linux sistemlerinde var olan sinyalleri yakalamaya yarayan bir komuttur. Ctrl + C (SIGINT) gibi, kill -15 (SIGTERM) gibi, kill -9 (SIGKILL) gibi gibi. Aslında Kill komutundan daha öncesinde bahsetmem gerekiyordu. Bir başka makalede ona değineceğiz, aklıma gelmişken trap komutunu aradan çıkarayım. Hem pekişmiş olur.

Aşağıdaki komut ile trap in yakalayabileceği sinyalleri listeleyelim.

> trap -l

Şimdi Ctrl + C sinyalini engelleyelim, yani kullanıcı istediği kadar ctrl+c ye bassın çalışan herhangi bir işlemi bu yöntemle sonlandıramayacaktır. Bunu aşağıdaki komut ile hayata geçire biliriz.

> trap — ” SIGINT yada trap ” 2 yada çift tırnak fark etmez ama tırnak koymalısınız.

Şimdi sleep 10 komutu(10 saniye bekle) ile işlemimizi test edelim. Ve aşağıda göreceğiniz gibi kaç kere olursa olsun ctrl+c tuşuna basıp kesme sinyali gönderirsem göndereyim, sinyal işe yaramıyor.

> sleep 10

Oluşturduğunuz trap lerin listesine aşağıdaki komutla ulaşabilirsiniz.

> trap -p

Trap leri kaldırmak için yani eskisi gibi sinyallerin çalışması için yaptığını sinyallere karşın komutu aşağıdaki gibi çalıştırın.

> trap SIGINT yada trap 2

FreeIPA(LDAP, DNS) – iDM(identity management) Kurulum ve Yapılandırması

FreeIPA Linux/Unix network ortamları için iDM(identity management) kimlik, kimlik doğrulama, DNS gibi servisleri barındıran bir merkez yönetim uygulamasıdır. Barındırdığı tüm servisleri management olarak web gui üzerinden basitçe yönetimini sağlar. Redhat iDM Ipa Server ın açık halidir diyebilirim. Barındırdığı servisler aşağıdaki gibidir.

389 Directory Server

MIT Kerberos

NTP

DNS

Dogtag (Certificate System)

Kuruluma geçmeden önce aşağıdaki komutu çalıştırın.

> yum update

Daha sonra “/etc/hosts” dosyasının içine gerekli bilgileri bir editör aracılığı ile yada aşağıdaki gibi benim girdiğim şekilde girin.

Daha sonra “/etc/hostname” kaynak dosyası içinden hostname inizi değiştirin. “hostname -f” komutu ile doğruluğunu kontol edebilirsiniz. Tekrar logout/login olduğunuzda TCentOS’u dc01 olarak göreceksiniz.

Şimdi ipa server paketlerini aşağıdaki komut ile yükleyelim. Komut bittikten sonra neler yaptığını rapor olarak ekrana basacaktır(Installed, Dependency Installed, Updated, Dependency Updated vs).

> yum install ipa-server bind-dyndb-ldap ipa-server-dns -y

Ardından DNS server olarak locali yapılandıralım. Bunu “/etc/resolv.conf ve /etc/sysconfig/network-scripts/ifcfg-(nic neyse artık)”

Selinux’u da yapılandırıp permissive moda çekelim yani pasif modda çalışsın yani log alsın fakat sisteme müdahelede bulunmasın. Fakat makina reboot olunca bilgiler kaybolur. Kaybolmaması için “cat /etc/selinux/config” dosyası içine SELINUX=permissive yazıp kaydedip çıkın.

Daha sonra aşağıdaki komutla İpa Server’ı yükleyelim ve aynı anda gerekli yapılandırmayı yapıp çalıştıralım.

> ipa-server-install –setup-dns

Aşağıda gördüğünüz üzere aynı anda yapılandırmaya başlıyoruz ve ilk olarak host name bilgisini istemektedir. Biz zaten başta sunucu hostname’ini yapılandırmıştık ve burda ENTER deyip geçiyoruz.

Daha sonra domain name bilgisi istemektedir. Biz senaryomuzda fatlan.local’u seçtiğimiz için zaten kendisi buldu ve burda da ENTER deyip devam ediyoruz.

Ardından realm name bilgisini istemektedir. Tekrar ENTER deyip devam ediyoruz.

Bu kısım önemli administrative user olan yani Directory Manager için şifre bilgileri girilmesi gerekmektedir. Bu kısımda password bilgisini girin.

Bu kısım da önemli çünkü bu seferde administrator’un GUI den yönetim için şifre bilgisini istemektedir. Burada login user “admin” dir. Buraya da belirlediğiniz şifreyi girin.

Daha DNS forwarders bilgisini istemektedir. Yani kendinde barındırmadığı kayıtlar için hangi DNS’e sorup çözdürmesi gerektiğini belirleyen kısımdır. Ben “no” diyorum, çünkü içerde GUI den de yapabilirim bu ayarları ama siz “yes” derseniz belirlediğiniz DNS server’ların ip bilgisini ardından girmeniz gerekmektedir.(örneğin, turktelekom dns yada google dns vs.)

Daha sonra reverse zone olup olmaması için sizden talimat beklemektedir. Ortam da mail server‘ınız varsa mutlaka yes ve ENTER demelisiniz. Reverse zone nun daha ayrıntılı araştırmalısınız. Konu uzamaması için burda “yes” deyip geçiyorum.

Daha sonra tüm girilen isteklerle yapılandırılsın mı diye soruyor, “yes” deyip kuruluma devam ediyoruz.

Ve kurulumumuz başarılı bir şekilde gerçekleşti ve burada çok önemli bir detay daha aşağıda görüldüğü üzere belirtilen portları açmanız şart diye bir uyarı veriyor. Bu işlemi de akabinde gerçekleştireceğiz.

Şimdi Firewalld’yi yapılandırıp aşağıdaki komutla, aşağıdaki portları açalım.

 

 

 

İlk önce şimdiki halini aşağıdaki komutla yapılandırılmamış halini görelim.

> firewall-cmd –list-all

Şimdi portları aşağıdaki şekilde açalım.

> firewall-cmd –add-service={http,https,ssh,ntp,dns,freeipa-ldap,freeipa-ldaps,kerberos,kpasswd,ldap,ldaps,freeipa-replication} –permanent

Daha sonra işlemlerin geçerli olması için aşağıdaki komutu çalıştırın.

> firewall-cmd –reload

Daha sonra tekrar listelediğimizde, servisler açıldığını otomatikman kullandığı tüm portların açıldığını anlıyoruz.

Daha sonra reboot edin.

Şimdi GUI bağlanalım, ama öncesinde kullandığınız makinanın DNS bilgisini kurduğunuz sunucu yapın yada “/etc/hosts” dosyanıza “ip domain_name” bilgisini yazın. Ve sonuç başarılı.

Hemen aşağıdaki komutla versiyon bilgisine bakalım, hem repo’daki güncel versiyonu çözmüş oluruz. Versiyon bilgisi önemli çünkü makalenin devamı gelecek ve versiyonuna göre işleyiş gerçekleştireceğiz. 4.5 olduğunu gördük.

> İpa –version

Aşağıdaki komutlada çalışan tüm servislerin durumuna bakalım.

> ipactl status

Aşağıdaki komut servisleri durdurur.

> ipactl stop

Aşağıdaki komuttaservisleri başlatır. Bu şekilde de yönetim gerçekleştirebilirsiniz.

> ipactl start

Daha fazla ayrıntı : https://access.redhat.com/