[ALTSP] интеграция ALTSP в существующую сеть (конфликт IP, смена префикса, ...)

Michael Shigorin mike на osdn.org.ua
Сб Фев 16 13:56:48 MSK 2008


On Sat, Feb 16, 2008 at 12:13:51PM +0600, Andrey Chichak wrote:
> > PS: просьба рассказать подробнее про "проблемы именно в
> > дистрибе" -- ssh выключен по решению в десктопных
> > дистрибутивах (всех) не оставлять слушающих портов "из
> > коробки", хотя применительно к ALTSP это можно изменить как
> > минимум потому, что это не совсем десктоп (и, в частности,
> > сеть слушает).
> что-то подсказывает - ALTSP не совсем декстопная система.

Это сервер десктопа.

> по причине этой:
> 1. ssh нужен

Ну с этим я переспал и уже пожалуй что согласился:
1a) там всё равно есть сервисы, которые должны слушать
    "из коробки" (причём более потенциально опасные);
2a) сам всё равно включаю в 100% случаев :-)

Одна проблема -- в mkimage-profiles-desktop оно выключается,
а устраивать лишнюю дивергенцию я бы сейчас не хотел.
См. http://www.freesource.info/wiki/TZ/AltLinux/WhiteLabel
по части планируемых и потихоньку делаемых изменений,
призванных помочь с различиями в фичах и составе.

В любом разе -- можете повесить на mkimage-profiles-ltsp?
Чтоб не забылось.

> 2. /var правильнее вынести на отдельную ФС

Отдельный /home гораздо важнее, /var там несущественен.

На самом деле гораздо важнее было бы доработать alterator-vm
для автоматической разбивки двух дисков под зеркала, но это
сейчас вне моих возможностей.

> 3. необходимость GUI на локально подкюченой консоли сомнительна.

Как правило (при отсутствии проблем стабильности локального
видеодрайвера) -- сомнительна только тогда, когда не нужно ещё
одно рабочее место (причём, как правило, с 3D и прочей локально-
более-удобной ерундой).

Поскольку большинство лишним местом совсем не брезгуют, то по
умолчанию оно оставлено включенным (мало того -- похоже, придётся
пока в alterator-x11 сделать маленький хак, чтоб галка "запускать
графику" была или включена/деактивирована, или просто спрятана:
сделать её рабочей в случае LTSP несколько сложнее, чем дёрнуть
chkconfig).

> > "жесткая привязка к предустановленной топологии сети" -- это
> > плата за возможность работы "из коробки", общая для всех
> > известных мне реализаций на базе LTSP (собственно,
> > 192.168.0.1/24 -- это официальная рекомендация апстрима).
> В описанном случае - адрес 192.168.0.1 был уже занят,

Можно подробнее?  Желательно в контексте
http://www.freesource.info/wiki/Dokumentacija/LTSP5#h8022-9

> поставили 192.168.0.2 .  Не взлетело, начались крики что все
> плохо.

Кричащие документацию, как водится, не пробовали читать?
(впрочем, от убунтушников этого действительно сложно ожидать,
судя по ихним форумам)

> Этот же товарищ следом поставил какое-то аналогичное решение
> от убунту и все взлетело на раз-два.  Крики усилились.
> Повспомнал решение аналогичных проблем в нашей работе,
> рассказал и все случилось.

<flame>
Ну значит какой-то редкий гений умудрился построить локальную
сеть именно так, как этого (не помню уже в силу каких причин)
делать не рекомендовалось.  Грубо говоря, "во всех книжках --
192.168.1+.0 или 10.x.y.0".

Продолжая разворачивание того, почему такие деятели на самом деле
ССЗБ: сеть эта явно была поднята статиком, без DHCP.  Поскольку
человек неграмотный (грамотный бы сразу делал динамику).  Так вот
сражаться со статической сетью по мере её роста -- всё равно
неизбежность, которую такие буратины _именно что_ заработали
нежеланием хотя бы минимальный профессиональный уровень
приобрести до того, как в калашный ряд.  Или буратины в виде их 
начальства -- тем, что не дали минимального времени спланировать 
сеть, а ели плешь "на вчера".  Так с такими работать смысла нет.

(здесь некоторая экспрессия обусловлена ещё живыми воспоминаниями
по разгребанию статической сетки на пару сот машин; см. тж.
http://fly.osdn.org.ua/~mike/works/misc/arp2dns+dhcp.rb)

Вот... при этом проблемы при интеграции в существующую сеть, 
а не организации для терминалов отдельной, мы не огребаем только
в том случае, если интеграции по сути нет.  Иначе у нас выходит
два DHCP, причём утаскивать терминальный на конторский --
довольно болезненно в силу разных тараканов разных PXE-прошивок
(например, некоторые любят проигнорировать next-server и пойти
пытаться бутаться с DHCP по TFTP).

Вешать же LAN на LTSP'шный -- не уверен, что многие согласятся
(например, по соображениям управляемости: у нас сейчас не
включаются средства управления dhcpd ни в каком виде, кроме
$EDITOR, хотя alterator-dhcp уже осмотрен и будет добавлен).

Короче, куда ни кинь, получается, что или чайник в лучшем случае
сейчас наступит на маленькие грабли (вроде вышеозвученных перед
"криками"), или профи всё равно будет сушить голову, как это всё
помержить, когда терминалы должны жить по пяти этажам и специально
раскидывать под них отдельную физическую сеть или городить VLAN'ы
(на тупых свичах, ага) никто не будет.
</flame>

Остаётся добавить, что мы собираемся сделать настраиваемый
префикс (и, видимо, заодно адрес сервера) -- для этого и прошу
всех, кто делал руками, внимательно записывать, что где пришлось
менять.  Что сам смутно помнил -- постарался изложить на вики:
http://www.freesource.info/wiki/Dokumentacija/LTSP5/BuildYourself#h8210-3
(по "192.168").  Но не уверен, что в 4.0.0 это будет такими темпами.

> вот придумалось немного в плане упрощения: разрешить доступ к
> tftpd в конфиге xinetd для всех сеток служебных:
> 10.0.0.0/8
> 172.16.0.0/12
> 192.168.0.0/16
> с точки зрения безопасности - криминала нет. а одной проблемой
> при поиске незагружаемости клиента меньше.

Там этих проблем (мест) -- с полдюжины :(  Убрать одну --
сильно не полегчает, давайте лучше тогда навалимся да переделаем
дефолтную конфигурацию на макросы (@PREFIX@, @NET@, @SERVER@)
вместе со скриптом по их подстановке, исходя из заданного
IP-адреса с маской.

PS:

> > Вообще лучше писать о любых проблемах в рассылку, а
> > выловленные баги размещать в bugzilla.altlinux.org.
> ок.

Вообще для срочных проблем можно применять и jabber
(mike altlinux org), но с той же оговоркой: найти в двух логах
(дома и на буке) что-либо бывает не слишком просто.  Поэтому
срочное важным не бывает, важное фиксируется в bugzilla :-)

PPS: вообще надо большими буквами написать:

  внедрение ALTSP в существующую сеть предприятия практически
  во всех случаях подразумевает оказание консультаций по миграции
  на Linux и по построению сетей; следует понимать это и быть
  подкованным в данных областях.

=> http://www.freesource.info/wiki/Dokumentacija/LTSP5#h8022-3

-- 
 ---- WBR, Michael Shigorin <mike at altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


Подробная информация о списке рассылки Ltsp-server