Die Blechtrommel

von Martin Loschwitz

Im modernen Rechenzentrum der Gegenwart ist im besten Fall auch die Verwaltung der Server selbst völlig automatisiert. Aus dem Karton ins Rack, Knopf drücken und der Rest passiert automatisch – so lautet zumindest das Ideal vieler Systemverwalter. Proprietäre Werkzeuge existieren am Markt mannigfaltig, um dieses Problem zu lösen. Doch welche Tools stellt die Open-Source-Community zur Verfügung? Unser Artikel gibt einen Überblick.

Zu den eher weniger beliebten Aufgaben im Kontext professioneller IT gehören für Auszubildende ebenso wie für passionierte Administratoren Ausflüge ins Rechenzentrum. Dort ist es nicht nur laut, sondern auch wahlweise viel zu warm (Warmgang) oder leicht frostig (Kaltgang). Von Gemütlichkeit obendrein keine Spur: Ein karger Schemel steht meist sinnbildlich für die puristische Anmutung der meisten RZ, in denen Sie sich im Idealfall nur so selten und so kurz wie möglich aufhalten sollten.

Steht allerdings der Einbau eines Stoßes neuer Maschinen an, ist das leichter gesagt als getan: Schon bis alle in einem Rack installiert und ordentlich verkabelt sind, vergeht eine ganze Weile. Kommt dann noch die nervige Aufgabe dazu, die frischen Server mit einem Betriebssystem zu betanken, verlängert das den nötigen Aufenthalt vor Ort nochmals deutlich. Vielerorts sind Unternehmen deshalb dazu übergegangen, die Systeme zunächst ins Büro transportieren zu lassen, um sie dort zu installieren, bevor sie den Weg ins RZ antreten. Das aber ist nicht selten eine logistische Herausforderung und sorgt für erhebliche Verzögerungen im Ablauf. Und ist der Server erst mal vor Ort installiert, scheidet die Neuinstallation im Büro als Option so oder so aus. Dann heißt es entweder doch wieder, den Weg ins RZ anzutreten, oder Sie basteln sich ad hoc eine auf PXE, DHCP und TFTP basierte Installationsumgebung – vorausgesetzt, die Netzwerkkonfiguration lässt das noch zu.

Automatisierung tut not

Gerade für jene Unternehmen, die mit großen Mengen an Servern zu tun haben, ist das kaum nachhaltig. Stattdessen ist ein weitgehend automatisierter Ansatz nötig, bei dem nach der Montage einer Maschine im Rack ein Druck auf den Einschaltknopf genügt, um die Erstbetankung mit Software in Gang zu setzen. Kommerzielle Werkzeuge, mit denen sich das erreichen lässt, existieren in großer Menge. Exemplarisch erwähnt seien der Bare Metal Orchestrator von Dell oder HP Greenlake.

Dass gerade die großen Serverhersteller entsprechende Werkzeuge im Portfolio haben, verwundert nicht. Ist der IT-Verantwortliche hingegen auf der Suche nach einer quelloffenen Alternative unter freier Lizenz, lichten sich die Reihen zügig. Gerade für jene Firmen, die sich nicht langfristig auch noch beim Lifecycle-Management der Server von einem kommerziellen Anbieter abhängig machen möchten, ist genau das aber ein zentraler Faktor. Im Folgenden stellen wir deshalb gängige Werkzeuge der Open-Source-Community vor, mit denen sich Server auf Hardwareebene umfassend verwalten lassen.

Foreman als ewiger Klassiker

Wer bereits ein paar Lenze in der Linux-Welt auf dem Buckel hat, wird dabei bereits unweigerlich von Foreman [1] gehört haben – übersetzt so viel wie "Vorarbeiter". Die Software gilt als Klassiker des Baremetal-Lifecycle-Managements und hat ihre Wurzeln noch in den ersten Jahren der Automationsbewegung unter Linux. Lange war Foreman dabei mit Puppet so eng verbunden, dass es nicht sinnvoll möglich war, das Werkzeug überhaupt anders zu nutzen als im Gespann mit der in Europa bis heute weit verbreiteten Automationsplattform. Diese strikte Bindung ist mittlerweile passé, noch immer kann Foreman aber nahtlos als ENC (External Node Classifier) für Puppet fungieren. Wer in seiner Umgebung also spezifisch auf Puppet setzt und eine darauf abgestimmte Software für das Lifecycle-Management benötigt, ist mit Foreman grundsätzlich gut bedient.

Darüber hinaus bietet Foreman alles, was man von einem modernen Produkt dieses Typs erwartet. In das Tool integriert sind etwa Werkzeuge für Datacenter-Infrastructure-Management (DCIM) sowie die Verzahnung des Programms mit den Out-of-Band-Schnittstellen gängiger Server. Dabei dominieren im Alltag wahlweise das etwas altbackene IPAM oder das deutlich modernere Redfish, das allerdings längst nicht auf allen modernen Maschinen zur Verfügung steht. Es fehlt aber ein sinnvolles Angebot für das IP-Address-Management (IPAM).

Und was fast noch schlimmer ist: Foreman bietet zwar eine Plug-in-Schnittstelle, auch hier hat sich aus der Community heraus aber kein eindeutiger Favorit herauskristallisiert. Das kann im Alltag ein echter Showstopper sein: Wer beispielsweise neben Foreman noch NetBox benutzt, die aktuell wohl beste IPAM-Software auf Open-Source-Basis am Markt, dürfte diese naturgemäß miteinander verbinden wollen. Das allerdings geht nur über zusätzliche Software wie das Plug-in "Smart Proxy IPAM", das als eine Art Übersetzer zwischen gängigen IPAM-Werkzeugen und Foreman fungiert. Eine native Integration steht für NetBox ebenso wenig zur Verfügung wie für andere gängige IPAM-Tools.

Generell fällt auf, dass Foreman seine Rolle in einem IT-Setup als "Single Source of Truth" voll auslebt und neben sich keine zusätzlichen Werkzeuge duldet. Nicht, weil es deren Nutzung aktiv unterbindet, sondern weil es mit ihnen einfach nicht sinnvoll zu verbinden ist. Wer Foreman einsetzt, folgt also dem Alles-oder-nichts-Prinzip und verschreibt sich der Software entweder vollständig oder gar nicht. Dass essenzielle Bestandteile wie IPAM fehlen, ist dabei ein gehöriger Wermutstropfen. Wer auf IPAM verzichten kann oder dieses parallel in einem Werkzeug wie NetBox ohne Foreman-Integration verwaltet, findet in Foreman jedoch einen verlässlichen Partner, mit dessen Hilfe sich in den allermeisten Fällen Server sinnvoll verwalten lassen.

Die erstmalige Installation von Foreman und Integration mit bestehenden Systemen ist jedoch nicht gerade trivial. Bis die Software sinnvoll läuft, vergeht üblicherweise eine Weile, und Sie tun gut daran, bereits im Vorfeld das Foreman-Setup aktiv zu planen. Der ideale Zeitpunkt für die Einführung ist jedenfalls der Beginn der Konstruktion eines neuen Aufbaus im Rechenzentrum. Auch ex post ist Foreman noch zu installieren, das ist dann aber noch aufwendiger.

Tinkerbell: Mit Kubernetes zum Erfolg

Ebenfalls einen Namen gemacht hat sich in den vergangenen Jahren Tinkerbell [2]. Das Tool wurde ursprünglich von einer Firma namens Packet entwickelt, die sich zwischenzeitlich der RZ-Anbieter Equinix einverleibt hat. Tinkerbell war bei Packet das Standardwerkzeug für "Baremetal as a Service": Mit dem Tool erhielten Kunden des Anbieters also die Möglichkeit, sich vollständige, physische Server ebenso standardisiert per API anzulegen, wie es bei AWS & Co. für virtuelle Instanzen der Fall war. Um das Rad nicht komplett neu erfinden zu müssen, bediente sich Packet seinerzeit eines Tricks und recycelte Teile der Kubernetes-API für die eigenen Zwecke. Dadurch hat die aktive Nutzung von Tinkerbell heute viel mit der Nutzung von Kubernetes gemein; jedenfalls ist es strikt "API-driven", alle zentralen Arbeitsschritte lösen Sie also über Aufrufe aus, die Sie an eine zentrale API senden.

Unter der Haube werkeln bei Tinkerbell insgesamt fünf Dienste: Tink ist zentrale Intelligenz (Controller) und Scheduler (Workflow Engine) zugleich und führt alle Fäden der anderen Komponenten zusammen. Smee provisioniert dynamisch DHCP- und iPXE-Server, Hegel dient als zentrales API für alle benötigten Metadaten, und Rufio kümmert sich im Gespann mit PBnJ im Hintergrund um die Kommunikation mit BMC-Schnittstellen. Auch hier liegt der Fokus auf IPMI. Hook schließlich stellt die Umgebung zur Verfügung, aus der heraus auf dynamisch provisionierten Systemen das erbetene Betriebssystem installiert wird.

Interessanterweise ist Tinkerbell bis heute Kern von Equinix Metal, selbst wenn sich der Erfinder der Software aus deren Entwicklung weitgehend verabschiedet hat. Des einen Leid ist des anderen Freud: Mittlerweile gibt AWS den Ton bei Tinkerbell an und es ist anzunehmen, dass das Werkzeug auch beim Deployment von Baremetal-Instanzen in AWS zentral zum Einsatz kommt. Offiziell steht das Projekt mittlerweile aber unter den Fittichen der Cloud Native Computing Foundation (CNCF).

Tinkerbell erweist sich in Summe als sehr mächtig, und die Tatsache, dass sich "kubectl" nutzen lässt, um Server zu provisionieren, dürfte insbesondere Admins mit Kubernetes-Erfahrung sehr entgegenkommen. Ein Projekt für ein Wochenende ist eine ausgewachsene Tinkerbell-Installation aber keinesfalls – auch hier ist viel Vorarbeit nötig und einiges an Hirnschmalz gefragt, bis alle Tinkerbell-Komponenten perfekt aufeinander abgestimmt sind.

Hinzu kommt: Wer bunte Bildschirme und praktische GUIs erwartet, ist bei Tinkerbell definitiv falsch. Zwar wäre es auf Grundlage der bestehenden APIs durchaus möglich, ein GUI zu konstruieren, Projekte wie OpenStack arbeiten mit ähnlichen Prinzipien und machen es erfolgreich vor. Einen Entwurf für ein Tinkerbell-GUI namens Tink-Wizard hat es sogar bereits gegeben. Über einen frühen Entwicklungszustand hinaus hat es dieses Werkzeug aber nicht geschafft, sein GitLab-Verzeichnis ist seit über vier Jahren verwaist. Zwar hat derselbe Autor an so etwas wie einem terminalbasierten Nachfolger namens "Tinker" mit der Arbeit begonnen, auch hier hat sich seit 2022 aber nichts Nennenswertes mehr getan.

Wer eine generelle Plattform für Bare-Metal-Lifecycle-Management sucht, ist bei Tinkerbell also vermutlich eher nicht an der richtigen Adresse. Wer hingegen eine technische Grundlage sucht, um Bare-Metal-as-a-Service anzubieten, findet hier die richtigen Vorgaben, weil das Werkzeug genau dafür ursprünglich erfunden worden ist und alle nötigen Bedingungen erfüllt.

Cobbler als minimaler Ansatz

Besonders an jene Administratoren, die grundlegende Lifecycle-Management-Features ohne allzu viel Brimborium benötigen, richtet sich Cobbler [3]. Oft erwähnen Beiträge dieses sogar zusammen mit Foreman, eine logische oder technische Abhängigkeit zwischen den beiden Tools besteht aber nicht. Die Selbstbeschreibung von Cobbler macht das deutlich: Seine Entwickler bezeichnen das Werkzeug als "Linux-Installationsserver", der die schnelle Schaffung einer Umgebung für die Installation von Systemen auf Basis typischer Netzwerktechniken wie DHCP und PXE unterstützt. Mittlerweile kann Cobbler aber dann doch etwas mehr: Es bietet ad hoc auch DNS-Dienste an sowie Orchestrierung und zentrale Hinterlegung von Konfigurationsdateien für die Systeme.

Cobbler zeichnet sich zunächst dadurch aus, dass es aus gängigen Linux-Distributionen wie Red Hat Enterprise Linux oder damit kompatiblen Systemen sowie Debian, Ubuntu, SUSE und diversen anderen durch die Installation des Pakets "cobbler" leicht in Betrieb zu nehmen ist. In Form von "/etc/cobbler/settings. yaml" existiert eine zentrale Konfigurationsdatei, in der Sie alle zentralen Parameter hinterlegen. Danach erledigt er den größten Teil der Arbeit über das CLI-Werkzeug auf der Kommandozeile: Über dieses lassen sich Hosts über ihre BMC-Schnittstelle neu und dabei direkt in die Installation starten. Cobbler bietet dabei Unterstützung für eine Vielzahl verbreiteter BMC-Schnittstellen, neben IPMI auch Dells DRAC, HPs ILO oder IBMs RSA.

Äußerst clever haben die Cobbler-Macher dabei ein Problem umgangen, das beinahe jeder Bare-Metal-Ansatz hat, nämlich den dynamischen Reboot in eine Installationsumgebung, um das gewünschte Betriebssystem neu auszurollen. Cobbler geht grundsätzlich davon aus, dass Maschinen beim Start ein Maschinenabbild erhalten, das alle weiteren nötigen Schritte einleitet. Dazu arbeitet das Tool unter der Haube mit Profilen: Ein solches enthält sämtliche basalen Einstellungen eines Systems. Legt ein Profil fest, dass ein System von der lokalen Platte booten soll, reicht das von Cobbler per TFTP geschickte Bootloader-Rudiment das Zepter unmittelbar an den lokalen Datenträger im System weiter. Ist stattdessen das Profil für die Reinstallation per Netzwerk ausgewählt, verfährt das Werkzeug entsprechend.

Ähnlich wie Tinkerbell unterscheidet sich Cobbler von Foreman vor allem dadurch, dass es keinen Anspruch erhebt, die von ihm betreuten Systeme vollständig unter seiner Kontrolle zu haben. Eine Patchverwaltung, wie Foreman sie kennt, hat Cobbler beispielsweise nicht. Ebenso schwierig sieht es bei der Integration von Cobbler in andere Infrastrukturdienste wie NetBox für IPAM und DCIM aus – diese müssen Sie weitgehend selbst stricken. Es hilft insofern, sich Cobbler vor allem als mächtiges Werkzeug für die Installation von Systemen per Netzwerk vorzustellen, also als Software, die einen Teil der klassischen Features von Bare-Metal-Lifecycle-Management abdeckt. Weitergehende Funktionen wie Patchverwaltung, Schwachstellenerkennung oder Performanceauswertungen beherrscht Cobbler hingegen nicht.

Basis OpenStack: Bifrost

Ebenfalls mit einem recht spezifischen Einsatzgebiet ausgestattet ist Bifrost [4], das Administratoren heute zumeist als Bestandteil einer OpenStack-Installation mit Kayobe [5] ausrollen. Wer das Stichwort OpenStack hört und dabei gleich den Schrecken in den Gliedern sitzen hat, sei beruhigt: Das Spezielle an Bifrost ist gerade die Tatsache, dass es sich um eine besondere Version von OpenStack Ironic handelt, die spezifisch für den Betrieb ohne die restlichen OpenStack-Komponenten erweitert ist.

Das liegt in gewisser Weise auf der Hand: OpenStack ist ja bekanntlich eine Plattform für den Betrieb vorrangig einer privaten IaaS-Umgebung, wobei IaaS sich dabei eben nicht nur auf virtuelle Maschinen beziehen muss, sondern durchaus auch entsprechend provisionierte physische Server meinen kann. Entsprechend früh kamen innerhalb des OpenStack-Projekts Begehrlichkeiten auf, OpenStack selbst für die Verwaltung der Systeme zu nutzen, die selbst eine OpenStack-Cloud bilden.

Eine Weile kursierte deshalb innerhalb der Community der Name "TripleO" alias "OOO" für "OpenStack on OpenStack", logisch geteilt in eine "Overcloud" und eine "Undercloud". Dieses Prinzip greift Bifrost auf und stellt das Management von Baremetal-Systemen außerhalb von OpenStack-Umgebungen zur Verfügung.

Ein General-Purpose-Ansatz ist aber auch das nicht. Wer sich auf das Abenteuer Bifrost einlässt, setzt sich das Tool entweder mühsam händisch mit allen benötigten Zusatzkomponenten auf oder rollt es als Teil einer kompletten Kayobe-Umgebung so aus, dass sich lokale, spezifische Abbilder für das Deployment des eigentlichen Betriebssystems nutzen lassen. Von einem Selbstläufer kann insofern keine Rede sein, selbst wenn das Setup von Bifrost mit Kayobe deutlich weniger OpenStack-Wissen voraussetzt, als es bei einer kompletten OpenStack-Installation der Fall wäre.

Hinzu kommt, dass sich diese Art der Bare-Metal-Verwaltung praktisch nur umsetzen lässt, wenn Sie mit frischen Hosts auf der grünen Wiese beginnen. Bifrost nachträglich in eine bestehende Plattform zu integrieren, ist nämlich beinahe ein Ding der Unmöglichkeit. Nicht, dass das bei anderen Werkzeugen einfach wäre – aber es ist deutlich schneller machbar als bei Bifrost.

Last but not least: Red Hat Satellite

In einem Artikel zum Thema Bare-Metal-Lifecycle-Management darf das Produkt des Branchenprimus nicht fehlen, nämlich Red Hats Satellite [6]. Der Anbieter selbst vermarktet seine Software als eine eierlegende Wollmilchsau: Satellite kümmert sich um die Provisionierung der Systeme nach der Installation im Rack ebenso wie darum, sie im Nachgang per Ansible & Co. mit der gewünschten Software zu betanken.

Auch das Management der pro Host aktivierten Subskriptionen besorgt Satellite implizit. Und um veraltete Software und Sicherheitslöcher brauchen Admins sich, so der Hersteller, ebenfalls keine Sorgen mehr zu machen. Denn die Softwareverwaltung und insbesondere die Installation von Patches übernimmt das Werkzeug – auf Wunsch des Admins sogar komplett autark. In Sachen Setup hat Red Hat ebenfalls gute Arbeit geleistet: Satellite lässt sich – nicht zuletzt dank ausführlicher Dokumentation – gut und schnell installieren.

Eine Kehrseite hat die Medaille aber freilich: Einerseits zielt Satellite vorrangig auf Umgebungen ab, in denen RHEL dominiert. Zum Teil lassen sich auch Systeme anderen Typs mit dem Produkt verwalten, vollen Support erhalten Sie vom Hersteller aber vorrangig für Red-Hat-affine Installationen. Zu bezahlen ist das Tool aber so oder so: Satellite ist als eines der wenigen Werkzeuge im Test mit dem Erwerb einer Subskription verbunden, für die das Unternehmen tief in die Tasche greifen muss.

Metal-as-a-Service von Canonical

Ähnliches gilt für Metal-as-a-Service [7], kurz MaaS, von Canonical. Das richtet sich vorrangig an Ubuntu-Kunden, verspricht diesen aber die nahtlose Verwaltung physischer Systeme. Der Anbieter weist explizit darauf hin, dass sich mit MaaS auch Nicht-Ubuntu-Installationen anfertigen lassen, also etwa Systeme mit RHEL, VMware ESXi und sogar Windows. Die Vielfalt der unterstützten Hardware ist zudem umfassend.

Die MaaS-Installation läuft erfrischend unkompliziert: Mittels des Paketformats "snap" ist das Werkzeug auf einem System flott ausgerollt. Dann folgen diverse Konfigurationsschritte, etwa um TLS zu aktivieren oder die Kommunikation von MaaS und Juju zu aktivieren, Canonicals Automationstool. Ihre physischen Systeme integrieren Sie im Anschluss, indem Sie diese auf PXE-Boot umkonfigurieren und danach erstmalig ein Bootabbild von MaaS herunterladen. MaaS nimmt die Maschine dann in die eigene Datenbank auf.

Komplementär dazu lässt MaaS sich über die "Power"-Treiber direkt mit der BMC-Schnittstelle eines Servers verbinden, wobei vorrangig IPMI oder Redfish-over-IPMI zum Einsatz kommen. Danach kann das Deployment von Maschinen bereits beginnen. Getreu dem eigenen Namen beschränkt sich die MaaS-Funktionalität aber eben genau darauf.Wer fortgeschrittenes Lifecycle-Management will, benötigt dafür Ubuntu Landscape samt entsprechender Subskription von Ubuntu Pro. Landscape ermöglicht im Anschluss die lückenlose Administration der eigenen Systeme. Wer für Ubuntu Pro kein Geld ausgeben möchte, hat aber ähnlich wie bei Tinkerbell oder Cobbler die Möglichkeit, die eigene Automation – etwa auf Ansible-Basis – so zu konfigurieren, dass sie Systeme unmittelbar nach der Installation des Betriebssystems unter die eigenen Fittiche nimmt und entsprechend verwaltet. Wer das mit AWX kombiniert, bekommt sogar ein schönes GUI zur einfacheren Bedienung.

Fazit

Bare-Metal-Lifecycle Management mit Open-Source-Software bleibt ein komplexes Thema. Anders als die proprietären Tools etwa der großen Hardwarehersteller bieten Werkzeuge aus dem F/LOSS-Universum den elementaren Vorteil, dass sie ihre Nutzer nicht in einen Vendor-Lock-in ziehen und ihn so von sich abhängig machen. Überspitzt formuliert investiert ein Unternehmen in seine eigene Unabhängigkeit, wenn es sich sein Bare-Metal-Lifecycle-Management auf Grundlage freier Komponenten selbst konstruiert.

Doch gibt es am Markt eben nicht die eine freie Software, die so universell ist, dass sie alle Anforderungen des Alltags perfekt abdeckt. Foreman kommt diesem Prinzip noch am nächsten, schwächelt aber bei modernen Funktionen wie der Integration eines IPAM-Systems wie NetBox. Tinkerbell gehört zu den fortschrittlichen Angeboten, erzwingt aber ein bestimmtes Deployment-Schema und vergrault jene Admins, die mit der Kubernetes-Art, Probleme zu lösen, nicht oder nicht gut zurechtkommen. Satellite kann viel, richtet sich aber vorrangig an Red-Hat-Kunden, Ähnliches gilt für MaaS von Canonical.

Bifrost mit Kayobe ist eine Nischenprodukt, Cobbler hingegen lässt sich mit viel Handarbeit gut an die meisten Umgebungen anpassen. Admins, die Lifecycle-Management benötigen, tun gut daran, ihre Anforderungen detailliert zu dokumentieren und die verfügbaren freien Alternativen am Markt gründlich zu testen, um das ideale Werkzeug für den eigenen Anwendungsfall zu finden.

Bare-Metal-Lifecycle-Management mit Open-Source-Werkzeugen

Die Blechtrommel

Automatisierung tut not

Automatisierung tut not

Foreman als ewiger Klassiker

Tinkerbell: Mit Kubernetes zum Erfolg

Cobbler als minimaler Ansatz

Basis OpenStack: Bifrost

Last but not least: Red Hat Satellite

Metal-as-a-Service von Canonical

Fazit