Server "austauschbar" machen?!?

[Godi]

Hallo Zusammen,

ich hoffe ich bin in der richtigen Abteilung.

Die Situation:
Bei verschiedenen Kunden laufen Debian Server. Da wir bisher für alle Server lediglich drei unterschiedliche Hardwarekonfigurationen einsetzen (welche dann mehrfach ausgeliefert wurden), haben wir jede ausgelieferter Hardwarevariante einen Rechner in gleicher Konfiguration in der Firma, um bei Hardwareausfall einen schnellen Servertausch zu realisieren.

Ich bin allerdings der einzige, der die Server administrieren kann. Bisher würde ich in einem solchen Fall die Festplatten des def. Servers umbauen. Und dann lediglich noch in "/etc/udev/rules.d/70-persistent-net.rules" die Netzwerkkarten konfigurieren und der Server wäre wieder einsatzbereit.

Das wäre allerdings für meine Kollegen schon ein "wenig" kniffelig. Wenn man stets unter Windows arbeitet, ist ja allein die vi Bedienung ein fast unüberwindbares Hinderniss. Noch problematischer wird es natürlich bei einem Softwarefehler.

Das Ziel:
Damit ein Kollege ohne Konfiguration einen defekten Server durch einen baugleichen ersetzten kann, habe ich mir nun folgendes überlegt:

In Zukunft sind die Softwareinstallationen der Server sind alle identisch. Ob ein Kunden den Mailserver nutzt oder nicht, fetchmail, exim und cyrus sind mit drauf und fertig.
Ich möchte die für den jeweiligen Kunden einmaligen Daten auf einer "Daten"-Platte speichern. Also nicht nur die Dokumente des Kunden, sondern auch die Serverkonfigurationsdateien.

Tauscht ein Kollege nun einen Server. Enthält der Tauschserver bereits eine Platte mit allen Programmen und den hardwareabhängigen Konfigurationsdateien.
Die Datenplatten (RAID1) können dann einfach per Wechselrahmen vom defekten in den Tauschserver gesteckt werden und die komplette Kundenkonfiguration ist wieder hergestellt.

Meine Frage:
Wie bewerkstellige ich das am besten?

Nehmen wir nur die Netzwerkkonfiguration, die Datei:
"/etc/udev/rules.d/70-persistent-net.rules" müßte auf die Programm Platte
"/etc/network/interfaces" und "/etc/resolv.conf" müßten auf die Daten Platte

D.h. ich kann das Verzeichnis /etc weder komplett auf die "Daten-" noch auf die "Programm-Platte" legen
Meine erste Idee war das mit symbolischen Links zu lösen.

Vielleicht gibt es aber auch einen besseren Weg. Ich möchte dieses grundlegende Problem gerne von Anfang an sauber lösen.

Hoffe Ihr habe eine Idee für mich.

Vielen Dank schonmal...

GoDi

[Alternativende]

Hallo,
warum sicherst du nicht einfach regelmäßig alle benötigten Daten, sowie die Paketlisten etc..?
Wenn dann ein Server ausfällt kannst du ein nackste Debian einrichten, inkl. RAID usw., die Paketliste einspielen, Configs zurück, fertig.

[Godi]

Diese Lösung ist für mich zwar zu gebrauchen, jedoch suche ich nach einer Lösung, bei der ein Kollege durch simpelen Austausch von Komponenten OHNE Linux anfassen zu müssen, die häufigsten Ausfälle an Servern beheben kann.

[Alternativende]

Das dürfte bei einem RAID recht schwierig sein. Du kannst ja faktisch keine 1:1 Kopie machen da sich ständig etwas ändert.

[Cae]

D.h. ich kann das Verzeichnis /etc weder komplett auf die "Daten-" noch auf die "Programm-Platte" legen
Meine erste Idee war das mit symbolischen Links zu lösen.

Was zumindest unter ext* in die Hose gehen wird. btrfs soll zwischen verschiedenen Partitionen und physikalischen Platten symlinken können, tut hier aber nix zur Sache.

Wäre es vielleicht eine Idee, ein Live-System wie grml um ein benutzerdefinierten Bootscript zu erweitern, das die automatisch per Cronjob gebackuppten Konfigurationsdateien direkt nach dem Booten wieder zurückschreibt? Das Ding ist allerdings eine Bombe, falls es am falschen System steckt…

Die Idee, alle irgendwo benötigten Dienste auf jedem Server laufen zu lassen, finde ich nicht so toll: je mehr Dienste, desto potenziell angreifbarer ist ein System.

Gruß Cae

[shakky4711]

Wenn Ihr ein Raid für die Daten habt, warum nicht grundsätzlich auch einen Spiegel für das System? Dann kann nach einem Plattenausfall jeder Kollege eine neue Platte einbauen und nach einer kleinen Kurzanleitung den Sync Vorgang anschubsen. Ansonsten würde mir noch einfallen mit G4U oder G4L ein Image der Systemplatte mit auf die Datenplatte und noch eine DVD zu kopieren, mit einem RSYNC Lauf nächtlich Verzeichnisse wie /etc auf die Datenplatten synchronisieren um Änderungen zum Zeitpunkt der Image Erstellung abdecken zu können.

Gruß
Shakky

[Godi]

Vielen Dank schonmal für die vielen Antworten!

Vielleicht habe ich mich zu umständlich ausgedrückt. Es geht nicht um die Sicherheit der Daten. Die sind ja auf dem RAID bzw. liegen auch aus Backup vor. Es geht darum, einen Server der vor allem wegen eines Hardwaredefektes oder evtl. auch durch ein Software problem still steht, temporär auf die Schnelle durch einen Tauschserver zu ersetzten.

@Alternativende
>>Das dürfte bei einem RAID recht schwierig sein. Du kannst ja faktisch keine 1:1 Kopie machen da sich ständig etwas ändert.
Das System hat vier Platten (2 sparate RAID1). Ein Raid für die Programme und ein RAID für die Daten. Beide Platten des Daten-RAID würden im Fehlerfall in das Tauschsystem eingesteckt.

@Cae
>>Was zumindest unter ext* in die Hose gehen wird.
Stimmt verschiedene Partitionen, daran hatte ich noch garnicht gedacht.
>>Die Idee, alle irgendwo benötigten Dienste auf jedem Server laufen zu lassen, finde ich nicht so toll:
Das Risiko ist natürlich größer, aber da keiner der Server direkt am Internet hängt wohl überschaubar.

>>Wäre es vielleicht eine Idee, ein Live-System wie grml um ein benutzerdefinierten Bootscript zu erweitern..Das Ding ist allerdings eine Bombe,
... aber auch mal ´ne Idee

@shakky4711
Es geht mir nicht um den Ausfall eines RAID. Das wäre kein Thema. Es geht um den Ausfall des gesamten Systems durch Hard- oder in eingeschränktem Rahmen auch Softwarefehler.

[slu]

... wenn es dir nicht um die Daten geht mach doch einfach bei der Auslieferung mit Clonezilla ein Image.
Das kann dann wieder mit Anleitung eingespielt werden und das System ist wie am ersten Tag.

Aber was machst Du mit den Daten oder liegen die auf einer extra Festplatte?

[CrashMan]

>>Die Idee, alle irgendwo benötigten Dienste auf jedem Server laufen zu lassen, finde ich nicht so toll:
Das Risiko ist natürlich größer, aber da keiner der Server direkt am Internet hängt wohl überschaubar.

Wenn man das System je nach Einsatzzweck konfiguriert, was spricht dagegen, die Dienste nur bei entsprechender Konfiguration auch zu starten?
Ein nicht gestarteter Serverdienst sollte weniger Angriffspotential bieten, als ein Gestarteter.

Zum eigentlichen Problem könnte man vielleicht ein Script beim booten aufrufen, was die Dateien entsprechend rumkopiert.
Müsste in der Startreihenfolge halt entsprechend weit vorne stehen.

[rendegast]

Dem RAID mit den Kundendaten einfach ein Label geben, zBsp. "KUNDENDATA",
in die fstab dann eine Anweisung
LABEL=KUNDENDATA /home auto defaults 0 2

Das System wird dann darauf abgerichtet, daß alle Daten in /home liegen.
ZBsp. bind-mounts
/home/WWW -> /var/www
/home/MYSQL -> /var/lib/mysql
usw.

Und für die win-Kollegen wird noch schnell der mc installiert, Mächtiges Kung-Fu.



Eine Anlaufstelle für Komplikationen sind /etc/group / /etc/passwd und deren User-/Group-Id
(falls nicht eine Authentifizierung wie ldap benutzt wird)
Bsp.

Code: Alles auswählen

$ grep mail /etc/passwd
mail:x:8:8:mail:/var/mail:/bin/sh
dovecot:x:105:116:Dovecot mail server,,,:/usr/lib/dovecot:/bin/false
fetchmail:x:107:65534::/var/lib/fetchmail:/bin/false
vmail:x:10000:10000::/home/vmail:/bin/false

vmail ist extra für ein Mail-System angelegt,
und die User-Id 10000 sollte bei normalem Betrieb vor Veränderungen sicher sein.
Jedoch die Benutzer-Id 1xx und 1xxx werden vom System bei Anlegen der jeweiligen Benutzer vergeben,
könnten je nach Einrichtung des Systems also vertauscht sein.

[TRex]

Oder webmin...was zum Klicken.

[fbartels]

Warum nicht "einfach" das Backup um ein Bare-Metall Restore erweitern? Nach Möglichkeit nach natürlich mit einer Klicki-Bunti Oberfläche die auch von Windows aus bedienbar ist (z.B. SEP sesam).

[Godi]

@rendegast
>> Eine Anlaufstelle für Komplikationen sind /etc/group / /etc/passwd und deren User-/Group-Id

Ups, daran hatte ich noch garnicht gedacht. Aber ich glaube das trifft für einen "normalen" Benutzer nur die Homeverzeichnisse. Für einen vom Programm angelegten Benutzer für z.B. Cyrus müssen die ID´s dann natürlich auf allen Systemen gleich sein. Nach der Grundinstallation aller Programme die absehbar benötigt werden, könnte ich die Programm-Platten für die jeweiligen System ja spiegeln. Damit wäre das Prob. gelöst.