Tarkoitukseni on rakentaa yhdestä pöytäkoneesta ESXi virtualisointialusta, jossa välitän virtuaalikoneelle näytönohjaimen. Tarvitsen NVIDIA:n näytönohjaimia tiettyihin CUDA operaatioihin (hash:n laskeminen). Haluan säilyttää koneen normaalin käyttötarkoituksen, joten ESX asennetaan 2 GB USB-tikulle (tiukka minimi on muuten 1GB).

Kyseessä on vanha kone, jossa on 4GB muistia, ESXi 5.5:n minimivaatimusten mukaisesti. Vaan kun asennusohjelma on päässyt pitkälle, se ilmoittaa että

No perse! Mites tämä korjataan? Muuttamalla ESX:n vaatimuksia, seuraten tämän tyypin ohjeita: http://simon-simonnaes.blogspot.fi/2012/09/installing-esxi-5-on-less-than-2gb-ram.html

Tarkka tiedoston nimi 5.5:ssa on

upgrade_precheck.py
oikea rivi muuttaa on MEM_MIN_SIZE (4 * 1024) mitään –32 osuutta ei enää ole. Tästä aiheutui se minun ongelmani :-). Nyt on 2 GB USB-tikulla VMware ESXi 5.5 valmiina jatkotestejä varten. Nyt vain levytilaa sille ja homma on OK.

Päivittäin leikin virtualisonitialustojen kanssa, joten ajattelin antaa Microsoftin Hyper-V:lle uuden mahdollisuuden. Edelliset yritykset alustan kanssa on mennyt metsään ja lujaa, mutta tällä kertaa ratkaisin palaset.

Voin sanoa, että alusta ei ole asennuksen suhteen lähelläkään VMWaren ESXi:tä, mutta kun sen saa pelittämään perushommat vaikuttavat yhtä helpolta. Tässä noottini miten yksittäinen laite saadaan Hyper-V alustaksi ja hallinta siihen kasaan:

Vaatimukset

• Windows 8.1 työsema
• Hyper-V asennusmedia
• Ylimääräinen työasema, joka on Windows Server 2012 R2 yhteensopiva (64-bittiä, virtualisonti yms)

Asennus

Softan asennus on boottaa medialta ja jyrää levy. Tässä ei ole mitään kummallista. Se seuraava vaihe, tästä jotenkin hyödyllisen serverin saaminen on se varsinainen temppu.

Hyper-V:n Konfigurointi

1. Aseta serverin nimi, aika, muut yleisasetukset kuntoon sikäli ne ovat pielessä
2. Lisää paikallinen administrator käyttäjä, jollain kivalla salasanalla
3. Salli etähallinta (helpottaa tulevaa copy-paste temppuilua) – Enable Remote Desktop
   • Miina nro 1, tämähän ei ole palomuurissa auki, joten se pitää erikseen sallia
     • Avaa cmd, kirjoita “powershell”
     • powershellissä
       • Enable-NetFirewallRule -DisplayGroup “Remote Desktop”
4. Ota etäyhteys koneeseen
5. Salli koneen varsinainen etähallinta (en ole vielä tarkistanut mitä näistä ei ehdottomasti tarvitse ajaa)
   1. avaa cmd, kirjoita “powershell”
   2. Powershellissä:
      • Enable-NetFirewallRule -DisplayGroup “Windows Remote Management”
      • Enable-NetFirewallRule -DisplayGroup “Remote Event Log Management”
      • Enable-NetFirewallRule -DisplayGroup “Remote Volume Management”
      • Set-Service VDS -StartupType Automatic
6. Anna reboottia serverille.

Työaseman konfigurointi

1. Hallintatyökalut tulee Windows 8.1:n mukana, ne pitää vain asentaa. Lisää Windowsin ominaisuus “Hyper-V Management tools”
2. Miina nro 2, Hallintajärjestelmässä ei oe mahdollisuutta syöttää käyttäjätunnuksia, vaan yhteys muodostetaan tämän hetken käyttäjällä. Jos nykyinen käyttäjäsi ei täsmää serverin käyttäjään vaihtoehtoja on 2
   1. Muuta serverin käyttäjä identtiseksi
   2. Lisää omalle työasemalle sama käyttäjä kuin työasemalla
3. Miina nro 3, hosts filu. Lisää serverin tiedot host filuun, muuten homma saattaa laueta virtuaalilevyjä lisätessä …
4. Sikäli jouduit luomaan paikallisen käyttäjän, jolla ajaa Hyper-V Management ohjelmaa, sille kannattaa tehdä pikakuvake, jossa sisältönä on :
   • C:\Windows\System32\runas.exe /savecred /user:<käyttäjänimi> “mmc virtmgmt.msc”
5. Miina nro 4, jos tämän jälkeen tulee “access denied” –virhe, tulee koneen DCOM asetuksia muuttaa hieman…
   1. aja dcomcnfg.exe ohjelma win+r käskyllä
   2. Mene Component Services –> Computers, sitten oikeaa nappia “My Computer” ja “properties”
   3. Esiin tulevasta ikkunasta mene COM- security taskulle
   4. Klikkaa edit limits Access Permissions osuuden alla
   5. Lisää ANONYMOUS-tunnukselle “remote access” like so:

Ja nyt homma toimii! Ei muuta kuin säätämään!

… we aim for the highest craftsmanship and the best possible work working environment.

Kun rahaa käytetään vähän ja kaikki on enemmän tai vähemmän närpitty kasaan metallijätelaatikoista, on jossain tilanteissa pakko vähän improvisoida. Puutalossa kun asun puuta on väistämättä käytettävissä. Verkkokalusto on vihdoin mahdollista siirtää kaapin sisään, mutta valitettavasti räkkihyllyjä minulla ei ole. Ripaa ja vaneerilevyä sen sijaan löytyy.

Leikkasin näppärästi parit rivat toimimaan vaakatasona, joiden päälle heitetään vaneerilevy verkkolaittelle. Koko setti on sen verta korkealla, että yhdellä mukana tulleella 4U:n kokoisella peitelevyllä saan sen nätisti jemmattua silmiltä, sen jälkeen kun peruskaapelointi ja laitteiden asennus on saatu tehtyä. Sitä ennen joudun kestämään omaa rumaa rakennelmaani.

Huomasin melko nopeasti, että hylly ei ole kovin vakaa. Kellarista onneksi löytyy minun paljon rakastamia kulmarautoja. Kaikki ne osoittautuivat väärän mittaisiksi, mutta olivat sentään oikeaan aikaan oikeassa paikassa, joten päädyin käyttämään yhtä niistä. Lopputulos on silmiähivelevän kaunis:

Ei kun kaapeloimaan

Olen kolme viikkoa tuherrellut ja kaapeloinut, ihmetellyt sekä uudelleen tehnyt intrasuunnitelmaani. Tällä hetkellä intrani näyttää mielestäni hyvältä. Pääasiallinen ongelma on tekemisen priorisointi. Hacklabin kanssa tekisi mieli leikkiä, hakkerointihan oli se mitä haluan seuraavaksi opetella. Matka sinne on kuitenkin pitkä ja täynnä opettelemista – hirveästi opettelemista. Miksi? Koska ajatteluni menee suurinpiirtein näin:

– Haluan lisätä powershell skriptillä sisäiset CA:ni luotetuiksi Firefoxiin. Mitä tarvitaan?

1) Selvästi alempi ympäristö, sillä käytössä olevia “tuotantokoneita” ei sotketa harjoittelulla.

Mitä alempaan ympäristöön tarvitaan?

1.1) Tarvitaan ainakin testiAD ja ainakin yksi testityöasema. En oikeastaan haluaisi testiAD:ta intraan pyörimään, se ei vaan ole siistiä rakenteellisesti.Tarvitaan siis testiverkko.

Mitä testiverkkoon tarvitaan?

1.1.1) Testiverkon voisi tehdä täysin virtuaalisesti ja sitä varten rakentaa erillinen virtuaalinen reititin, jotta intrasta pääsee näppärästi kyseiseen verkkoon. Toisaalta VLAN:t on “aina” kiinnostanut minua ja nyt kun kerran verkkoa tarvii taas segmentoida miksi en samantein opettelisi sitä? Tehdään osittain fyysinen verkko, joka erotetaan VLAN:n avulla omaksi segmentiksi. Tästä on sitten riemua kun Wiresharkin kanssa ihmettelen verkkoliikennettä – minulla on VLAN liikennettä sitten katsottavana.

Paria viikkoa myöhemmin olen saanut rakennettua testiympäristön, joka on oman VLAN takana ja reititys toimii hienosti. Nyt itse powershell –skriptin tekoon? Näemmä ei. Windows ei lähtökohtaisesti aja allekirjoittamattomia powershell skriptejä. En halua rikkoa turvallisuusasetuksia joten, opetellaan allekirjoittaminen. Mitä allekirjoittamiseen tarvitaan?

2) Selvästi varmenne/varmenteita, mikä itsessään tarkoittaa CA:ta. Koska kyseessä on kehitysympäristö, tuotannon CA:t ei käy. Mitä tarvitaan CA:n luomiseen?

2.1) Luonnollisesti testi root CA tarvitaan, koska homma tehdään oikein.

2.2) Uusi Windows pohjainen Sub-CA, joka olisi rajattu ja tehty oikein sopivilla profiileilla. Tähän löytyykin jo pikkasen kokemusta, mutta homma on ISO.

2.3) Jos kerran vaivaudun skriptit allekirjoittamaan, samantein voisin opetella vähän versionhallintaa. GIT on kuulemma kova juttu…

Näin äkkiseltään nähdään, että tehdäkseni skripti, jolla saan Firefoxiin CA:n luotetuksi olen suunnitellut ja vain osin toteuttanut helvetin koneen, kuluttanut aikaa viikkoja, enkä ole vielä lähelläkään skriptiä. Mutta kun tämä on valmis moisen skriptin tekeminen, testaaminen ja käyttöönotto pitäisi olla helppoa. Isoa kuvaa ajatellen koko tämä paketti tietenkin antaa siihen tulevaan hacklabiin lisää sillä esimerkiksi VLAN-liikenteen tarkkaileminen on nyt mahdollista. Osaan tehdä alkeellisia VLAN konfiguraatioita reitityksellä ja kaikkea :-).

Tiistaina minulle selvisi että en suunnitellut riittävän perusteellisesti maanantaina. Ajattelin rautaa, kaapeleita, dokumentaatiota, mutta mitä en ajatellut on sähköä. Tiistaina ajattelin sähköä.

Talosta lähti virrat yllättäen ja pyytämättä noin 30 minuutiksi. UPS:ni ovat vuosien varrella kuolleet ukkosmyrskyyn ja ikäänsä, joten IT-laitteet olivat täysin suojaamatta virtakatkoksilta. Olen jo aikoja sitten pohtinut UPS + aggregaatti yhdistelmää, mutta koska virrat eivät koskaan katoa talosta (hrrrhmm), niin moista ei ole tarvinnut tehdä, kunnes tuli vastaan tiistai 23.09. 2014. Ainut oikea tapa reagoida moiseen virtakatkokseen on rakentaa suunnitelma. Suunnitelma on seuraava:

Tunnistetaan kriittiset komponentit talosta

– Verkkolaitteisto
– TUPESXP004 primääri ESX-serveri

Verkkolaittesto tarvitsee oman UPS:sa ja ESX-serveri omansa. Vähän verkkoa kahlaamalla löysin sopivan hintaiset UPS:t laitteita varten. Pieninen mahdollinen,  http://www.jimms.fi/tuote/UPS-650, verkkovempaimia varten ja pykälää järeämpi, http://www.jimms.fi/tuote/UPS-850,  ESX-serveriä varten. Tämän pitäisi antaa minulle noin 20 minuuttia peliaikaa. Kumpikin laitteista voidaan konfiguroida sammuttamaan itsensä kun aikaa on liian vähän jäljellä.

Sitten se aggregaatti. Kaivelemalla verkkoa nopeasti hahmottui minimivaatimus ja lopullinen ratkaisu™.

Minimivaatimus

2kw yksivaiheaggregaatti, joka vetäistään käyntiin ja liitetään UPS:n päähän kiinni tuottamaan virtaa. Näin (toivottavasti) UPS:t siloittavat virtakuvion kauniiksi ja serverit sekä rokkaa kunnes polttoaine loppuuu.

Tässä vaiheessa kustannuksia syntyy noin 470€ ja ollaan ihan laillisessa asennuksessa. Mielenkiintoisesti (!) LAN-sakkimme kyky pelata vähempivirtaisessakin mökissä muuttuu todellisuudeksi.

Lopullinen ratkaisu

Asennetaan kolmivaihe kytkin talon virtakaappiin. Vivun kohta 1 ottaa virtaa valtakunnan verkosta, kohta 2 ottaa virtaa kolmivaiheaggregaatista, kohta 3 on off -kytkin. Aggregaatti pidetään irroitettuna, jotta salamat/ukkonen ei vie sitä mennessään. Kun virrat paukahtaa talosta eikä myrskyä aggregaatti kytketään talon seinään, rykästään käyntiin ja TADAA (!) koko talo on taas virroissa, niin kauan kun kunnes polttoaine loppuu. Kriittiset IT-laitteet selviävät virtatkoksesta UPS:n avulla ja muut vempaimet kestävät sen että virrat ovat hetken poissa. Asennuksen pitäisi olla laillinen .

Hintaa kytkimelle syntyy 100-200 euron väliin asennuksineen. Kolmivaiheaggrekaatit tuntuvat heiluvan 650€ aina niin ylös kuin perse kestää.

Nyt kun suunnitelmat on kasassa, enää on herää kysymys koska toteutan edes minimivaiheen.

Viime kevään aikana sain käsiini uutta serverirautaa, joka mahdollistaa järjestelmäni uudelleen suunnittelun. Minulle aukesi mahdollisuus suunnitella kaikki uudelleen, tehdä koko roska oikein™. Kuinka kauas, miten alkeisiin pitää palata, että voi tehdä kaiken oikein?

– Verkkorakenne uusiksi? Vanhassa on meriittinsä, mutta kaunistellaan sitä, tiivistellään sitä, tuskin yksinkertaistetaan. Ainakin loogista verkkorakennetta uusitaan ja kaapelointi ehdottomasti kaipaa järkeilyä. Jo lähtökohtaisesti täällä on 5 eri verkkoa, edellisessä suunnitelmassa niitä ei ollut niin montaa. Tarkkuutta voidaan parantaa – IP alueet voidaan trimmata, nyt osaan rakentaa reitittimiä, segmentointia voidaan tehdä ja ennen kaikkea dokumentaatiota voi parantaa.

– ESX palvelimet uusiksi? Kyllä! Tosin palvelimien kanssa on aloittava alempaa. Koska kyseessä on ihan uudet raudat puran ne palaksi, poistan ylimääräisiä kortteja, dokumentoin kaiken, trimmaan BIOS:n, poistan ylimääräiset verkkokortit, konfiguroin ILO:n, teen ehkä ILO VERKON (6 verkko)! Kaikenlaista tehtävää ennen ollaan edes virtualisointipalvelimen ohjelmiston tasolla.

– Serveriroolit uusiksi? Kyllä ja uusia servereitä, edellisen rakenteen suurin ongelma oli se että virtuaalikoneita ei turvakopioitu. Nyt uudessa rakenteessa virtuaalikoneilla on tärkeä rooli, niitä ei voi menettää, joten turvakopiointi pitää rakentaa.

Se kaikkein alhaisin piste, yhdistää koko operaatiota, on itseasiassa dokumentaation saattaminen kuntoon. Aikaisemmin elin harhassa että osasin dokumentoida, nyt kun katson tuota läjää vaihtevalla rakenteella tehtyjä vajaaksi jääneitä dokumentteja tiedän että en tehnyt riittävän hyvää jälkeä. Joten aloitetaan siitä: dokumenttipohjat kuntoon. Visiokartat rakenteille, kaikki tämä liitutaululla, eri papereilla ja päässä oleva “suunnitelma” pitää saada koherenttiin muotoon ja toteutumaan kellariin.

Miksi? Jotta voin rauhassa harjoitella hacklabissani järjestelmien murtamista.