Red Hat Satellite 5.7 veröffentlicht
Diese Woche wurde Red Hat Satellite 5.7 veröffentlicht. Mit dem neunten Update des 5.x-Zweigs wurden erneut zahlreiche interessante Änderungen aus der Spacewalk-Entwicklung übernommen.
Neue Web-Oberfläche
Die auffälligste Veränderung ist die Web-Oberfläche. Während sich diese in den letzten 10 Jahren nur unwesentlich verändert hat, flossen nun die neusten Entwicklungen aus den Spacewalk-Versionen 2.1 bis einschließlich 2.3 ein. Schon im März letzten Jahres verfügte Spacewalk über einen ersten Ansatz einer neuen Web-Oberfläche, die moderne Technologien, wie HTML5, Bootstrap und jQuery, vereinte. Die aktuelle Web-Oberfläche der Spacewalk 2.3 Beta wirkt noch aufgeräumter und intuitiver und findet in angepasster Form in Red Hat Satellite 5.7 Verwendung.
Die Oberfläche ist "responsive" und kann auch auf Geräten mit kleineren Display-Auflösungen komfortabel verwendet werden. Insbesondere Smartphone- und Tablet-Anwendern kommt diese Entwicklung zugute. Das zeitgemäße Design weiß zu überzeugen. Ich habe mit dieser Entwicklung gespannt entgegen gesehen, seitdem SUSE daran arbeitete, die neue Web-Oberfläche in seinen SUSE Manager zu integrieren.
Action-Chaining
Action-Chaining dient zur logischen Gruppierung voneinander abhängiger Verwaltungsaufgaben. Mit dieser Funktion wird eine Entwicklung aus Spacewalk 2.2 übernommen. Der Mehrwert dieser Funktion lässt sich anhand eines einfachen Praxis-Beispiels erklären:
Angenommen, auf einem System mit einer als nur lesbar eingehängten /usr
-Partition sollen Updates installiert werden. Die Installation der Patches schlägt fehl, solange die Partition nicht beschreibbar ist. Diesen Schutz implementieren paranoid... äh sicherheitsbewusste System-Administratoren, um im Falle einer feindlichen System-Übernahme die Einnistung fremder Software zu erschweren.
Vor der Paket-Aktualisierung lässt sich über Spacewalk ein Remote-Kommando ausführen - beispielsweise um den Schreibschutz aufzuheben. Doch, was passiert nach der Paket-Installation? Nichts. Unter Verwendung der Web-Oberfläche hat der Administrator nun zwei Lösungsansätze:
- Er führt ein Remote-Kommando zum Aufheben des Schreibschutzes aus, aktualisiert die Pakete und führt ein weiteres Kommando aus, um den Schreibschutz wieder zu aktivieren. Das sind jedoch drei einzelne Schritte, was viel Zeit benötigt.
- Er führt ein kombiniertes Remote-Kommando, welches alle drei Schritte beinhaltet, aus (
mount -o remount,rw /usr ; yum update -y ; mount -o remount,rw /usr
). Dadurch geht aber der komfortable Vorteil der Paketauswahl über die Web-Oberfläche verloren.
Action-Chaining kommt solchen Anwendungsfällen zugute, voneinander abhängige Teilaufgaben lassen sich zusammenfassen und gebündelt ausführen. Bricht eine der Teilschritte ab, gilt die gesamte Aufgabe als gescheitert. Das oben genannte Beispiel lässt sich mit den folgenden Teilaufgaben abbilden:
- Führe Remote-Kommando aus:
mount -o remount,rw /usr
- Installiere/aktualisiere Pakete
- Führe Remote-Kommando aus:
mount -o remount,ro /usr
Sämtliche über die Oberfläche ausführbaren Aufgaben können einer Action-Chain zugewiesen werden. Unterhalb des Menüs "Plan" können die einzelnen Schritte komfortabel per Drap & Drop angeordnet werden. Was mir persönlich noch fehlt, ist die Möglichkeit wiederkehrende Action-Chains als Vorlage zu speichern. So müsste man sich wiederkehrende Aufgaben nicht bei jeder Wartung neu zusammenstellen.
Read-only Benutzer und neue API-Calls
Mit der Spacewalk-API besteht viel Potenzial zur Automatisierung sämtlicher Prozesse. Für die Kommunikation mit dem Spacewalk-Server wird hierfür ein adäquat berechtigter Benutzer benötigt. Neu ist nun die Möglichkeit Benutzer anzulegen, die die Web-Oberfläche nicht verwenden können und nur auf lesende API-Calls zugreifen können. Das empfiehlt sich beispielsweise für fremde Skripte, die keinen schreibenden Zugriff auf den Spacewalk-Server benötigen (z. B. Skripte zur Generierung von Statistiken).
Im Rahmen der weiteren hinzugekommenen Funktionen wurden auch entsprechende API-Calls hinzugefügt. Einige nun verfügbare Klassen und Calls:
channel.software.syncRep
(sofortige Repository-Synchronisation, erforderte bisher weitere manuelle Schritte)actionchain.*
kickstart.profile.software.*
system.provisioning.snapshot.*
user.external.*
user.setReadOnly
Die vollständige API-Dokumentation befindet sich im Red Hat-Portal: [klick mich!]
spacecmd
Mit Red Hat Satellite 5.7 gehört nun auch das Tool spacecmd
das erste Mal zur Software-Auswahl. Bisher musste das Programm über das Spacewalk- oder EPEL-Repository installiert werden - die Verwendung des Programms wurde nicht vom Red Hat-Support abgedeckt. Mithilfe dieses Programms können sämtliche Aufgaben über eine Kommandozeile gesteuert und ausgeführt werden. Erfahrene Administratoren ersparen sich so Klickarbeit und können Prozesse automatisieren - einige Beispiele:
Installieren eines Erratum auf allen betroffenen Systemen:
1$ spacecmd -y errata_apply CESA-2015:0016
2Scheduled 5 system(s)
Auflisten aller Repositories:
1$ spacecmd repo_list
2centos6-base-x86_64
3centos6-extras-x86_64
4centos6-updates-x86_64
Auflisten aller Systeme mit ausstehenden Patches (interaktive Sitzung):
1$ spacecmd
2Welcome to spacecmd, a command-line interface to Spacewalk.
3INFO: Spacewalk Username: admin
4Spacewalk Password:
5
6spacecmd {SSM:0}> report_outofdatesystems
7System Packages
8--------------------------- --------
9dc.localdomain.loc 8
10devel.localdomain.loc 12
Alle verfügbaren Funktionen können über die integrierte Hilfefunktion eingesehen werden:
1$ spacecmd help
Weitere Änderungen
Einige der weiteren Änderungen:
- Über IPMI können physische Hosts ein- oder ausgeschaltet werden. In Kombination mit Cobbler können so Provisionierungen erleichtert werden.
- Red Hat Satellite Proxy kann nun Inhalte vorab zwischenspeichern (Proxy Precaching)
- Anbindung an Identitätsmangement-System (z. B. FreeIPA) über
spacewalk-setup-ipa-authentication
- FIPS 140-2 Zertifizierung, es werden nun SHA-256- anstatt MD5-Hashses verwendet. Auf bestehenden Systemen können Zertifikate und Passwörter neu generiert werden, um dem Standard gerecht zu werden.
- Externe Datenbanken können nun per SSL angesprochen werden
- Für IBM Power Little Endian stehen nun entsprechende Client-Programme zur Verfügung
- Zahlreiche Bugs, wie der des fehlerhaften jabberd Init-Skripts, wurden behoben
Die vollständige Liste der Änderungen kann im Red Hat-Portal eingesehen werden.
Screenshots
Einige Screenshots der neuen Produktversion:
Fazit
Mit der Programmversion 5.7 setzt Red Hat vieles um, was ich als Spacewalk-Anwender schon vor längerer Zeit zu schätzen gelernt habe. Insbesondere die neue Web-Oberfläche und Action-Chaining stellen für mich einen deutlichen Mehrwert dar. Dass Red Hat direkt die Web-Oberfläche, die derzeit in Spacewalk 2.3 entwickelt wird, umsetzt, hätte ich nicht erwartet. Gegenüber der Spacewalk 2.1 erstmals erprobten modernen Web-Oberfläche weiß die übernommene Implementierung mit verbesserter Darstellung auf Smartphones und Tablets zu überzeugen.