[ALTSP] интеграция ALTSP в существующую сеть (конфликт IP, смена префикса, ...)

Aleksey Novodvorsky a.e.nvdv на gmail.com
Сб Фев 16 14:00:54 MSK 2008 

On 2/16/08, Michael Shigorin <mike at osdn.org.ua> wrote:
> On Sat, Feb 16, 2008 at 12:13:51PM +0600, Andrey Chichak wrote:
> > > PS: просьба рассказать подробнее про "проблемы именно в
> > > дистрибе" -- ssh выключен по решению в десктопных
> > > дистрибутивах (всех) не оставлять слушающих портов "из
> > > коробки", хотя применительно к ALTSP это можно изменить как
> > > минимум потому, что это не совсем десктоп (и, в частности,
> > > сеть слушает).
> > что-то подсказывает - ALTSP не совсем декстопная система.
>
> Это сервер десктопа.
>
> > по причине этой:
> > 1. ssh нужен
>
> Ну с этим я переспал и уже пожалуй что согласился:
> 1a) там всё равно есть сервисы, которые должны слушать
>     "из коробки" (причём более потенциально опасные);
> 2a) сам всё равно включаю в 100% случаев :-)
>
> Одна проблема -- в mkimage-profiles-desktop оно выключается,
> а устраивать лишнюю дивергенцию я бы сейчас не хотел.
> См. http://www.freesource.info/wiki/TZ/AltLinux/WhiteLabel
> по части планируемых и потихоньку делаемых изменений,
> призванных помочь с различиями в фичах и составе.
>
> В любом разе -- можете повесить на mkimage-profiles-ltsp?
> Чтоб не забылось.
>
> > 2. /var правильнее вынести на отдельную ФС
>
> Отдельный /home гораздо важнее, /var там несущественен.
>
> На самом деле гораздо важнее было бы доработать alterator-vm
> для автоматической разбивки двух дисков под зеркала, но это
> сейчас вне моих возможностей.

Повесьте на lioka и объясните ему важность.


Rgrds, Алексей

>
> > 3. необходимость GUI на локально подкюченой консоли сомнительна.
>
> Как правило (при отсутствии проблем стабильности локального
> видеодрайвера) -- сомнительна только тогда, когда не нужно ещё
> одно рабочее место (причём, как правило, с 3D и прочей локально-
> более-удобной ерундой).
>
> Поскольку большинство лишним местом совсем не брезгуют, то по
> умолчанию оно оставлено включенным (мало того -- похоже, придётся
> пока в alterator-x11 сделать маленький хак, чтоб галка "запускать
> графику" была или включена/деактивирована, или просто спрятана:
> сделать её рабочей в случае LTSP несколько сложнее, чем дёрнуть
> chkconfig).
>
> > > "жесткая привязка к предустановленной топологии сети" -- это
> > > плата за возможность работы "из коробки", общая для всех
> > > известных мне реализаций на базе LTSP (собственно,
> > > 192.168.0.1/24 -- это официальная рекомендация апстрима).
> > В описанном случае - адрес 192.168.0.1 был уже занят,
>
> Можно подробнее?  Желательно в контексте
> http://www.freesource.info/wiki/Dokumentacija/LTSP5#h8022-9
>
> > поставили 192.168.0.2 .  Не взлетело, начались крики что все
> > плохо.
>
> Кричащие документацию, как водится, не пробовали читать?
> (впрочем, от убунтушников этого действительно сложно ожидать,
> судя по ихним форумам)
>
> > Этот же товарищ следом поставил какое-то аналогичное решение
> > от убунту и все взлетело на раз-два.  Крики усилились.
> > Повспомнал решение аналогичных проблем в нашей работе,
> > рассказал и все случилось.
>
> <flame>
> Ну значит какой-то редкий гений умудрился построить локальную
> сеть именно так, как этого (не помню уже в силу каких причин)
> делать не рекомендовалось.  Грубо говоря, "во всех книжках --
> 192.168.1+.0 или 10.x.y.0".
>
> Продолжая разворачивание того, почему такие деятели на самом деле
> ССЗБ: сеть эта явно была поднята статиком, без DHCP.  Поскольку
> человек неграмотный (грамотный бы сразу делал динамику).  Так вот
> сражаться со статической сетью по мере её роста -- всё равно
> неизбежность, которую такие буратины _именно что_ заработали
> нежеланием хотя бы минимальный профессиональный уровень
> приобрести до того, как в калашный ряд.  Или буратины в виде их
> начальства -- тем, что не дали минимального времени спланировать
> сеть, а ели плешь "на вчера".  Так с такими работать смысла нет.
>
> (здесь некоторая экспрессия обусловлена ещё живыми воспоминаниями
> по разгребанию статической сетки на пару сот машин; см. тж.
> http://fly.osdn.org.ua/~mike/works/misc/arp2dns+dhcp.rb)
>
> Вот... при этом проблемы при интеграции в существующую сеть,
> а не организации для терминалов отдельной, мы не огребаем только
> в том случае, если интеграции по сути нет.  Иначе у нас выходит
> два DHCP, причём утаскивать терминальный на конторский --
> довольно болезненно в силу разных тараканов разных PXE-прошивок
> (например, некоторые любят проигнорировать next-server и пойти
> пытаться бутаться с DHCP по TFTP).
>
> Вешать же LAN на LTSP'шный -- не уверен, что многие согласятся
> (например, по соображениям управляемости: у нас сейчас не
> включаются средства управления dhcpd ни в каком виде, кроме
> $EDITOR, хотя alterator-dhcp уже осмотрен и будет добавлен).
>
> Короче, куда ни кинь, получается, что или чайник в лучшем случае
> сейчас наступит на маленькие грабли (вроде вышеозвученных перед
> "криками"), или профи всё равно будет сушить голову, как это всё
> помержить, когда терминалы должны жить по пяти этажам и специально
> раскидывать под них отдельную физическую сеть или городить VLAN'ы
> (на тупых свичах, ага) никто не будет.
> </flame>
>
> Остаётся добавить, что мы собираемся сделать настраиваемый
> префикс (и, видимо, заодно адрес сервера) -- для этого и прошу
> всех, кто делал руками, внимательно записывать, что где пришлось
> менять.  Что сам смутно помнил -- постарался изложить на вики:
> http://www.freesource.info/wiki/Dokumentacija/LTSP5/BuildYourself#h8210-3
> (по "192.168").  Но не уверен, что в 4.0.0 это будет такими темпами.
>
> > вот придумалось немного в плане упрощения: разрешить доступ к
> > tftpd в конфиге xinetd для всех сеток служебных:
> > 10.0.0.0/8
> > 172.16.0.0/12
> > 192.168.0.0/16
> > с точки зрения безопасности - криминала нет. а одной проблемой
> > при поиске незагружаемости клиента меньше.
>
> Там этих проблем (мест) -- с полдюжины :(  Убрать одну --
> сильно не полегчает, давайте лучше тогда навалимся да переделаем
> дефолтную конфигурацию на макросы (@PREFIX@, @NET@, @SERVER@)
> вместе со скриптом по их подстановке, исходя из заданного
> IP-адреса с маской.
>
> PS:
>
> > > Вообще лучше писать о любых проблемах в рассылку, а
> > > выловленные баги размещать в bugzilla.altlinux.org.
> > ок.
>
> Вообще для срочных проблем можно применять и jabber
> (mike altlinux org), но с той же оговоркой: найти в двух логах
> (дома и на буке) что-либо бывает не слишком просто.  Поэтому
> срочное важным не бывает, важное фиксируется в bugzilla :-)
>
> PPS: вообще надо большими буквами написать:
>
>   внедрение ALTSP в существующую сеть предприятия практически
>   во всех случаях подразумевает оказание консультаций по миграции
>   на Linux и по построению сетей; следует понимать это и быть
>   подкованным в данных областях.
>
> => http://www.freesource.info/wiki/Dokumentacija/LTSP5#h8022-3
>
> --
>  ---- WBR, Michael Shigorin <mike at altlinux.ru>
>   ------ Linux.Kiev http://www.linux.kiev.ua/
>

Подробная информация о списке рассылки Ltsp-server