Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CARRERA
Ing. En Sistemas y Computación
MATERIA
INTRODUCCION A LA GESTION DE CENTROS DE DATOS
TEMA
Bloque 4: Administración avanzada de sistemas II: Entornos de “servicios globales”
Bloque 5: Administración avanzada de sistemas III: Clustering
PROFESOR
ELVIN RAFAEL RAMON ARAUJO
Investigar y Desarrollar los Bloques 4 y 5
Características de OpenLDAP
Soporte IPv6 — OpenLDAP soporta la próxima generación del protocolo de Internet versión 6.
LDAP sobre IPC — OpenLDAP se puede comunicar dentro de un sistema usando comunicación
interproceso (IPC). Esto mejora la seguridad al eliminar la necesidad de comunicarse a través de la
red.
API de C actualizada — Mejora la forma en que los programadores se conectan para usar
servidores de directorio LDAP.
Soporte LDIFv1 — Provee compatibilidad completa con el formato de intercambio de datos, Data
Interchange Format (LDIF) versión 1.
Es un protocolo de autenticación de red que está diseñado para proveer una autenticación fuerte
para las aplicaciones cliente-servidor. Este servicio de autenticación (validación de identificación)
fue desarrollado en el Massachusetts Institute of Technology (MIT) en 1987 como una solución a
los problemas de seguridad de la red. El protocolo Kerberos utiliza criptografía fuerte para que un
cliente pueda proveer su identidad a un servidor (y viceversa) a través de una conexión de red
insegura.
Kerberos, llamado así por el perro guardián de tres cabezas de la mitología griega, es un protocolo
de autenticación de red creado por MIT. Kerberos utiliza la criptografía de clave secreta para
garantizar la autenticación segura con aplicaciones cliente / servidor incluso en redes no seguras.
Esta clave secreta es un secreto compartido solo entre el servidor de autenticación y el servidor al
que el cliente está tratando de acceder, por lo tanto, el cliente que solicitó el boleto no puede
conocer ni cambiar ninguno de los contenidos del boleto emitido. Kerberos también utiliza cifrado
de clave simétrica, lo que significa que la misma clave se utiliza para cifrar y descifrar.
La clave de sesión
La identificación del usuario solicitante: este es comúnmente un nombre de usuario
El servidor / servicio para el que se solicita.
La dirección IP del lado del cliente del dispositivo que está autorizado para usar el ticket
específico
El tiempo del boleto hasta el vencimiento (generalmente 10 horas)
El tiempo de generación del billete.
El administrador del reino de Kerberos (la colección de máquinas y directores) puede impedir la
emisión de tickets para ciertos usuarios, pero no puede revocar un ticket una vez que se ha
emitido. Por lo tanto, es importante que cada boleto tenga un tiempo de caducidad asociado.
Para recibir un ticket, el cliente envía una solicitud al servidor de autenticación que incluye
información sobre el servidor al que desean conectarse. El servidor de autenticación luego verifica
si el nombre de usuario del cliente está en la base de datos de KDC. Si el nombre de usuario es
válido, el servidor de autenticación crea y emite un ticket con una clave de sesión adjunta. Con
este proceso, la contraseña del usuario nunca debe almacenarse de forma no cifrada, ni siquiera
en la base de datos del servidor de autenticación.
Los cortafuegos son una buena forma de defensa contra intrusiones externas o piratas
informáticos malintencionados, pero generalmente funcionan bajo el supuesto de que los ataques
provienen de fuera de una red. Esto deja la puerta abierta para los ataques llevados a cabo por
personas que ya tienen acceso a la red. El proceso de autenticación Kerberos, por otro lado,
funciona independientemente de la ubicación de la intrusión potencial.
Los registros DNS se organizan en zonas; cada zona coincide con un dominio (o subdominio) o un
rango de direcciones IP (ya que generalmente se proveen direcciones IP en rangos consecutivos).
Un servidor primario es autoridad sobre los contenidos de una zona; los servidores secundarios,
generalmente en otras máquinas, proveen copias de la zona primaria actualizadas regularmente.
Cada zona puede contener registros de varios tipos (registros de recursos: «Resource Records»),
estos son algunos de los más comunes:
A: dirección IPv4.
PTR: asociación de una dirección IP con un nombre. Se almacenan estos registros en una zona de
«DNS inverso» cuyo nombre está basado en el rango de direcciones IP. Por ejemplo, 1.168.192.in-
addr.arpa es la zona que contiene las asociaciones inversas de todas las direcciones en el
rango 192.168.1.0/24.
NS: asocia un nombre con un servidor de nombres. Cada dominio debe tener al menos un registro
NS. Estos registros apuntan al servidor DNS que puede responder consultas sobre este dominio;
generalmente apuntan a los servidores primarios y secundarios del dominio. Estos registros
también permiten delegaciones de DNS; por ejemplo, la zona falcot.com puede incluir un registro
NS para internal.falcot.com, lo que significa que otro servidor administra la
zona internal.falcot.com. Por supuesto, este servidor debe declarar una zona internal.falcot.com.
Una de las ventajas de este tipo de sistemas es que se puede optimizar la carga de la red para que
los nodos con mucho tráfico deriven recursos compartidos a otras ubicaciones de la red con lo cual
se minimiza el riesgo de cuello de botella y se optimiza la velocidad de acceso a la información.
Como administrador del servidor NFS, puede configurar el servidor NFS para que sólo admita
NFSv4, lo que minimiza el número de puertos abiertos y servicios en ejecución en el sistema.
En esta sección se explican las ventajas e inconvenientes de configurar el servidor NFS para que
sólo admita NFSv4.
Por defecto, el servidor NFS soporta conexiones NFSv3 y NFSv4 en Red Hat Enterprise Linux 8. Sin
embargo, también puede configurar NFS para que sólo soporte la versión 4.0 y posteriores. Esto
minimiza el número de puertos abiertos y servicios en ejecución en el sistema, porque NFSv4 no
requiere que el servicio rpcbind escuche en la red.
Cuando su servidor NFS está configurado como NFSv4 solamente, los clientes que intentan montar
recursos compartidos usando NFSv3 fallan con un error como el siguiente:
Los clientes que intentan montar recursos compartidos desde su servidor utilizando NFSv3 no
responden.
Samba es una implementación de código abierto del protocolo Server Message Block (SMB).
Permite la interconexión de redes Microsoft Windows®, Linux, UNIX y otros sistemas operativos
juntos, permitiendo el acceso a archivos basados en Windows y compartir impresoras. El uso de
Samba de SMB lo hace parecer como un servidor Windows a clientes Windows.
Características de Samba
Samba es una implementación libre del protocolo de archivos compartidos de Microsoft Windows
(antiguamente llamado SMB, renombrado recientemente a CIFS) para sistemas de tipo UNIX. De
esta forma, es posible que computadoras con GNU/Linux, Mac OS X o Unix en general se vean
como servidores o actúen como clientes en redes de Windows. Samba también permite validar
usuarios haciendo de Controlador Principal de Dominio (PDC), como miembro de dominio e
incluso como un dominio Active Directory para redes basadas en Windows; aparte de ser capaz de
servir colas de impresión, directorios compartidos y autentificar con su propio archivo de usuarios.
Samba es una aplicación de servidor poderosa y versátil. Hasta los administradores bien
empapados deben conocer sus habilidades y limitaciones antes de intentar una instalación y
configuración.
Actúa como un Controlador de Dominio Primario (Primary Domain Controller, PDC) estilo
Windows NT®
Actúa como un Backup Domain Controller (BDC) para un PDC basado en Samba
pxe
PXE fue introducido como parte del framework Wired for Management por Intel y fue descrito en
la especificación (versión 2.1) publicada por Intel y Systemsoft el 20 de septiembre de 1999. PXE
utiliza varios protocolos de red como IP, UDP, DHCP y TFTP, y conceptos como Globally Unique
Identifier (GUID), Universally Unique Identifier (UUID) y Universal Network Device
Interface (UNDI).
El término cliente PXE sólo se refiere al papel que la máquina juega en el proceso de arranque
mediante PXE. Un cliente PXE puede ser un servidor, una computadora de mesa, portátil o
cualquier otra máquina que esté equipada con código de arranque PXE.
Funcionamiento
El firmware del cliente trata de encontrar un servicio de redirección PXE en la red para recabar
información sobre los servidores de arranque PXE disponibles. Tras analizar la respuesta, el
firmware solicitará al servidor de arranque apropiado el file path de un network bootstrap
program (NBP), lo descargará en la memoria RAM del computador mediante TFTP, probablemente
lo verificará, y finalmente lo ejecutará. Si se utiliza un único NBP para todos los clientes PXE se
puede especificar mediante BOOTP sin necesidad de un proxy DHCP, pero aún será necesario un
servidor TFTP.
Disponibilidad
PXE fue diseñado para funcionar sobre diferentes arquitecturas. La versión 2.1 de la especificación
asigna identificadores de arquitectura a seis tipos distintos de sistemas, incluyendo IA-64 y DEC
Alpha. Aunque la especificación sólo soporta completamente IA-32. Intel incluyó PXE en la EFI para
IA-64, creando un estándar de facto con esta implementación.
Protocolo
El protocolo PXE consiste en una combinación de los protocolos DHCP y TFTP con pequeñas
modificaciones en ambos. DHCP es utilizado para localizar el servidor de arranque apropiado, con
TFTP se descarga el programa inicial de bootstrap y archivos adicionales.
Para iniciar una sesión de arranque con PXE el firmware envía un paquete de tipo DHCPDISCOVER
extendido con algunas opciones específicas de PXE al puerto 67/UDP (puerto estándar del servicio
DHCP). Estas opciones indican que el firmware es capaz de manejar PXE, pero serán ignoradas por
los servidores DHCP estándar.
TFTP
Si es este el caso, los ficheros que deseemos que sean públicos se han de situar en un determinado
directorio (dependiendo del clon de Unix, /tftpboot/, /etc/tftpboot/, /usr/local/boot/...) o utilizar
otros nombres de directorio como argumentos del demonio en /etc/inetd.conf, algo no
recomendable.
La máquina origen envía paquetes de datos numerados a la máquina destino, todos excepto el
último conteniendo 512 bytes de datos. La máquina destino responde con paquetes ACK
numerados para todos los paquetes de datos.
El paquete de datos final debe contener menos de 512 bytes de datos para indicar que es el
último. Si el tamaño del archivo transferido es un múltiplo exacto de 512 bytes, el origen envía un
paquete final que contiene 0 bytes de datos.
DHCP
Postfix es un agente de transferencia de correo (MTA), una aplicación que se utiliza para enviar y
recibir correos electrónicos. Se puede configurar para que solo se pueda utilizar para enviar
correos electrónicos mediante una aplicación local. Esto es útil en situaciones en las que necesita
enviar notificaciones por correo electrónico de sus aplicaciones de forma regular o, simplemente,
si tiene mucho tráfico saliente que un proveedor de servicios de correo electrónico externo no
permite. También es una alternativa más ligera a la ejecución de un servidor SMTP completo que
mantiene la funcionalidad necesaria.
Siendo ya más objetivos, algunas de las virtudes de Postfix son:
Diseño modular (no es un único programa monolítico)
Lo mismo cabe decir del rendimiento (seguramente Sendmail no se diseñó pensando que algún día
habría sitios necesitaran procesar cientos de miles o millones de mensajes al día).
Soporte para las tecnologías más usadas hoy día: LDAP, Bases de datos (MySQL), autentificación
mediante SASL, LMTP, etc.
Estricto cumplimiento de los estándares de correo-e (hasta donde se puede sin dejar a media
Internet, que no los cumple, sin poder usar el correo-e).
Facilidad de configuración.
Tiene múltiples formas de obtener información de 'lo que está pasando' para resolver problemas o
simplemente, para aprender.
Se pueden lanzar varias instancias de Postfix en la misma máquina con distintas configuraciones,
usando cada una distintas direcciones IP, distintos puertos, etc.
IMAP (Internet Message Access Protocol) es un sistema que permite que nuestro programa de
correo electrónico se conecte a nuestra cuenta de correo electrónico y visualice los mensajes allí
almacenados. Los correos permanecen en el servidor por lo que pueden ser visualizados desde
otros dispositivos y programas.
Se mantiene conectado hasta que la aplicación del cliente de correo cierre y descargue los
mensajes deseados.
Cómo mencione anteriormente, en este caso los mensajes no son eliminados del servidor, lo cual
tiene mayores implicaciones.
Se provee una interfaz web por la que accede al correo electrónico, el webmail permite listar,
desplegar y borrar vía un navegador web los correos almacenados en el servidor remoto. Los
correos pueden ser consultados posteriormente desde otro computador conectado a la misma red
(por ejemplo Internet) y que disponga de un navegador web.
Apache es un servidor web HTTP de código abierto para plataformas Unix-like (BSD, GNU/Linux,
etc.), Windows, Macintosh y otras, que implementa el protocolo HTTP/1.1 y la noción de sitio
virtual. En sus inicios se basaba en el código de NCSA HTTPd 1.3, pero más tarde fue reescrito por
completo.
HAproxy
En esta guía, proporcionaremos una descripción general de qué es HAProxy, la terminología básica
de balanceador de carga y ejemplos de cómo se puede usar para mejorar el rendimiento y la
confiabilidad de tu propio entorno de servidor.
Terminología de HAProxy
Hay muchos términos y conceptos que son importantes cuando se analiza el balanceo de carga y el
proxy. Repasaremos los términos de uso común en las siguientes subsecciones.
Antes de entrar en los tipos básicos de balanceo de carga, hablaremos sobre las ACL, los backends
y los frontends.
En relación con el balanceo de carga, las ACL se utilizan para probar alguna condición y realizar una
acción (por ejemplo, seleccionar un servidor o bloquear una solicitud) según el resultado de la
prueba. El uso de las ACL permite el reenvío flexible del tráfico de red en función de una variedad
de factores, como la coincidencia de patrones y el número de conexiones a un servidor, por
ejemplo.
Esta ACL comprueba si coincide la ruta de la solicitud de un usuario que inicia con /blog. Esto
coincidiría con una solicitud de http://yourdomain.com/blog/blog-entry-1, por ejemplo.
Backend
Un backend es un conjunto de servidores que recibe solicitudes reenviadas. Los backends se
definen en la sección de back-end de la configuración de HAProxy. En su forma más básica, un
backend se puede definir por:
Un backend puede contener uno o varios servidores; en general, agregar más servidores a tu
backend aumentará tu capacidad de carga potencial al distribuir la carga entre varios
servidores. Aumentar la confiabilidad también se logra de esta manera, en caso de que algunos de
tus servidores back-end no estén disponibles.
Heartbeat
Esto permite a los clientes tener conocimiento de la ejecución, o no ejecución de los procesos en
otras máquinas e intercambiar fácilmente mensajes entre ellos.
Para resultar útil a los usuarios el dominio HEARTBEAT necesita emplearse en combinación con un
gestor de recursos del clúster (cluster resource manager - CRM)) el cual posee la tarea de iniciar y
parar los servicios (direcciones IP, servidores web, etc.) a los cuales el clúster aportará alta
disponibilidad. Pacemaker es el gestor de recursos de clúster preferido para los clústeres basados
en Heartbeat. Una característica primordial es que puede configurarse para trabajar de forma
pasiva y/o activa.1Otra característica de Heartbeat es poder trabajar con tantos nodos como se
requiera.
En los tiempos que vivimos es vital para las empresas y el negocio tener los aplicativos, servicios y
páginas web disponibles siempre o casi casi siempre, y no sólo hablamos por el tema económico, si
no por imagen, pensad que si a la hora de intentar acceder a una página web determinada un alto
% de las veces no está disponible en términos profesionales da cierta inseguridad de cómo
manejan sus aplicativos, y en otros términos perderemos un considerable número de visitas e
interés por los usuarios.
DRBD
Distributed Replicated Block Device (DRBD) es una unidad de dispositivo de bloque que duplica el
contenido de los dispositivos de bloque (discos duros, particiones y volúmenes lógicos) entre los
hosts. Netezza utiliza la duplicación DRBD solo en las particiones /nz y /export/home. A medida
que se escriben los datos nuevos en la partición /nz y la partición /export/home en el host
primario, el software de DRBD realiza automáticamente algunos cambios en la
partición /nz y /export/home del host en espera.
Habitualmente, esta partición de la que se hace mirror, solamente está montada en una de las
máquinas porque se utiliza un sistema de ficheros tradicional: ext3, raiserfs, xfs, … De esta forma,
solo una de las máquinas puede acceder a los datos, la que tiene la partición montada. Sirve para
montar un sistema de cluster en modo activo/pasivo, y que una de las máquinas tenga todos los
datos hasta que falle, y en ese momento se puede acceder desde la otra máquina.
Pero también se puede configurar para que ambas máquinas tengan acceso a la partición en
espejo, y en este caso habría que montar un sistema de ficheros para acceso en clúster,
como GFS o OCFS. De esta forma podemos montar un clúster activo/activo donde ambas
máquinas tienen acceso simultáneo al recurso de datos.
Open Grid Scheduler / Grid Engine es un sistema de colas por lotes de código abierto compatible
comercialmente para la gestión de recursos distribuidos. OGS / GE se basa en Sun Grid Engine y es
mantenido por el mismo grupo de desarrolladores externos (es decir, no Sun) que comenzaron a
contribuir con código desde 2001.
Por poseer la característica de ser de código abierto y gratuito está destinado para ser utilizado en
la página web del proyecto bajo la licencia del estándar de la industria Sun (Sun Industry Standards
Source License). Oracle proporciona una versión comercial, destinada a otros usos, disponible para
su adquisición en su página web. A pesar de esta situación, parece ser que a partir de la versión
6.2u6 todas las versiones posteriores que se vayan distribuyendo serán para uso comercial, siendo
gratuitas únicamente durante un periodo de prueba de 90 días a partir de adquisición.
SGE se usa normalmente en aquellos lugares que disponen de un gran número de ordenadores o
de clústeres de Computación de alto rendimiento (HPC). En estas estructuras, el SGE se encarga
principalmente de funciones como la aceptación, programación, envío y gestión de la ejecución
remota y distribuida de un gran número de tareas en el espacio de usuario, ya sean estas
secuenciales, paralelas o interactivas. Además de las funcionalidades ya mencionadas de SGE,
existe la posibilidad de gestionar y programar la reserva de recursos distribuidos en toda la
estructura, como procesadores, memoria, espacio de disco y licencias de software.