Desktop-Deployment

[Gelöschtes Mitglied 1550]

Hi Leute,

da hier ja einige Cracks abhängen, dachte ich, ich frage euch auch mal.

Wir möchten in der Firma von Windows-Desktops zu Linux-Desktops (Debian-basiert) wechseln und entsprechend auch das Deployment aufbauen.

Wir möchten die Desktops gerne vollautomatisiert installieren, konfigurieren und zentral updaten. Die User sollen keine bzw. wenig Rechte haben und hauptsächlich auf dem Terminal-Server per RDP arbeiten - bis auf einige wenige Tools wie z.B. Thunderbird, welches lokal laufen wird.

Nun bin ich auf der Suche nach einer... naja... WDS-/WSUS-Alternative. Mit Ansible und Puppet habe ich schon rumgespielt, gefunden habe ich außerdem noch fai und Butterknife.

Kennt ihr Alternativen? Wie schlagen sich Puppet, Ansible, fai und Butterknife in der Realität? Welches würde ihr empfehlen?

Gracias!

 

[Metal_Warrior]

Ich weiß jetzt nicht, wie groß eure Firma ist, ich habs bislang nur mit kleineren Umgebungen zu tun. Was dort recht gut funktioniert, ist Kopieren von Festplatten - eine Installation, Admin einrichten, SSH richtig konfigurieren bzw. das ganze System so einrichten, dass es ferngewartet werden kann und die gewünschte Software und Anpassungen enthält (nur ohne Nutzerkonto), davon einfach Kopien ziehen und die SSH-Serverkeys neu generieren sowie die entsprechenden Rechnernamen ändern. Das kann man auch wunderbar via Script machen. Anpassung ist am Ende dann letztendlich nur, sich am System remote einzuloggen und den entsprechenden lokalen User zu erstellen, der keine Sudo-Rechte hat.

Aufwand pro System: Rund 20 Minuten inklusive Kopie, mit Skript eher 10-15 Minuten, je nach Platte.

Was hinterher Updates angeht, hab ich ein Script, das die remote triggert, nur bin ich damit noch nicht wirklich zufrieden, weils recht lang dauert. Prinzipiell könnte man da auch Prozesse forken und mit apt-get dselect-upgrade -yq arbeiten, bei Debian geht da eigentlich nie was kaputt. Hinterher Systemupgrades (z. B. das bald anstehende Upgrade von Jessie auf Stretch) geht ebenso einfach.

Wie gesagt, in kleineren Umgebungen ist das echt ohne Weiteres machbar. Wenn es natürlich 100+ Rechner werden, sieht die Sache etwas anders aus, da bin ich dann weniger der richtige Ansprechpartner.

 

[mathmos]

Selbst habe ich noch mit keinem der Systeme produktiv gearbeitet, da ich es privat nicht brauche und beruflich Kollegen zuständig sind. Ich kenne aber das eine oder andere Unternehmen bzw. deren Admins. Hauptsächlich kommt hier Puppet bzw. Ansible zum Einsatz. Wobei ich in letzter Zeit mitbekommen habe, dass viele von Puppet zu Ansible gewechselt sind. Soll wohl unterm Strich einfacher aber trotzdem umfangreich sein (läuft alles über SSH (ohne extra Server/Client), Python anstelle von Ruby usw.).

Alternativen die mir ohne Wertung einfallen wären noch https://www.chef.io/, http://www.fabfile.org/, https://saltstack.com/

 

[sia]

Wenn es nicht mehr als 20 Maschinen sind und du die Platten ausbauen kannst, würde ich das wie Metal_Warrior manuell machen.

Ich hatte da ein Festplattendock, mit dem ich ein gzipped Image auf die entsprechende Platte gezogen und den Hostnamen mit diesem Script geändert hatte. Vorher wurde die HDD mit [kw]sgdisk[/kw] partitioniert. Partitionierung dauerte ca. 1min, die ~2GB oder was das waren rüberzukopieren 1min, Hostname/Keys ändern 2min. Inklusive Ein- und Ausbau der Festplatten und einem Test war ich in unter 20min mit jedem Rechner fertig; Vorbereitungszeit vielleicht ne Stunde. Das waren damals 10 Rechner und ich war an einem Tag fertig.

Das Dock, was ich dafür verwendet hatte, war die ORICO® SATA zu USB3.0 Dual Bay Docking Station (6629US3-C). Da in das Dock zwei HDDs rein passen, konnte ich "zur gleichen Zeit" zwei HDDs bespielen. Leider habe ich das zugehörige Python-Script in den Tiefen meiner Backups verloren…

Meine Kollegen in einer Windows-lastigen Firma, in der ich mal arbeitete, brauchten selbst mit Profi-Deployment-Tools (Matrix42) ca. 2h pro Rechner.

Der Aufwand für das Aufsetzen eines automatisierten Deployments mit Puppet/Ansible steht zunächst in keinem Verhältnis zum Nutzen, erst wenn man regelmäßig (>1x/Monat) Maschinen neu ausrollt. Ich habe allerdings gute Erfahrungen mit Cobbler gemacht, was auch ein "einfaches" Python-Script zum schnellen Deployment mehrerer Maschinen ist.

Zum Management der Maschinen nutze ich Fabric, allerdings muss ich i.d.R. außer Software überhaupt nichts managen, daher hätte ich mir die Installation davon sparen und das via SSH machen können. Wenn man unattended-upgrades richtig konfiguriert (autoclean unbedingt aktivieren!) ist Debian 99,9% wartungsfrei.

Mach' dir nur vorher eine Liste der Hostnamen und klebe auf jeden Rechner ein kleines Etikett mit einer PC-Nummer. Einfach ein kleines Kürzel für die Firma und dann durchnummerieren: ngb-pc1, ngb-pc2, ngb-server1, ngb-tel1, …

Zuletzt noch von mir die Empfehlung, einen lokalen apt-cacher mit nginx aufzusetzen. Die Internetbandbreite wird es dir danken

 

[musv]

Wir benutzen auf Arbeit Puppet. Ich bin aber noch dabei, mich da einzuarbeiten.

In Puppet kann man viele nette Dinge machen. Aber es artet sehr schnell in Gefrickel aus. Und je mehr Module man selbst geschrieben hat, desto lustiger dürfte dann mal ein Major-Version-Update von Puppet werden. Gerade von Version 3 zu 4 hat sich sehr viel geändert.

Mit Puppet kannst du Pakete installieren lassen und Konfigurationen verteilen. Befehle auf den jeweiligen Rechnern ausführen lassen geht. Wie man aber Rückmeldungen auswertet, hab ich noch nicht rausbekommen. Systembereinigung geht anscheinend nicht mit Puppet, d.h. Pakete, die evtl. durch ein Systemupdate überflüssig geworden sind.

Bei Puppet steht man immer im Konflikt, wie weit man jetzt automatisieren soll und Sonderfälle beachtet, die dann die Konfiguration auf eine Komplexität heben, die man mit einer manuellen Teilkonfiguration des Rechners nicht hätte.

Ach ja, Puppet überschreibt natürlich auch manuell geänderte Konfigurationen. D.h. wenn du damit den Desktop schon in granularen Einstellungen vorkonfigurieren willst per Puppet, solltest du die Einstellungen beachten, die du den Nutzer selbst ändern lassen willst.

 

[sebone]

und hauptsächlich auf dem Terminal-Server per RDP arbeiten - bis auf einige wenige Tools wie z.B. Thunderbird, welches lokal laufen wird.

Ich weiß ja nicht genau, was du alles bewerkstelligen möchtest. So habe ich es umgesetzt:

Alle Windows Clients sind auf mehreren XenServern virtualisiert. Thunderbird läuft ebenfalls auf diesen Windows VMs.

Jeder Benutzer hat einen ganz mageren Intel NUC mit 4GB Ram, ohne Festplatte. Die NUCs booten ein ganz schlankes Debian vom USB-Stick (zukünftig fällt der auch weg und wir werden auf PXE umstellen). Unter diesem Debian läuft lediglich ein XServer und nach dem Boot verbindet sich das System automatisch per freerdp zur Win-VM. Sobald sich der Nutzer von der Win-VM abmeldet, fährt sich der NUC herunter. Da die NUCs selbst keinen Internetzugang haben, und dort auch keinerlei Daten liegen, werden sie nicht geupdatet, sondern laufen und laufen und laufen.

Die Windows VMs werden nachts heruntergefahren, auf Band geschrieben und neu gestartet. So müssen nur die VMs gewartet werden und die Benutzer können während des Betriebs den Arbeitsplatz wechseln und exakt dort wieder einsteigen, wo die Verbindung getrennt wurde.

Sollte ein XenServer abrauchen, können die VMs einfach auf einen anderen XenServer geschoben werden.

Ich fahre seit knapp einem Jahr sehr gut mit dieser Lösung. Die Anschaffungskosten für neue Arbeitsplätze sind sehr gering. Die Windows VMs werden aus einem Template erstellt. So lassen sich in wenigen Minuten neue Arbeitsplätze aufsetzen. Die Administration läuft dann nur noch über das AD und über Gruppenrichtlinien.

Die XenServer sind 19" Supermicro Geräte mit jeweils 2 Xeons, 256GB Ram und einem Raid bestehend aus ein paar Server SSD. Die Performance der VMs ist im Gegensatz zu unseren alten (viel teureren) Lenovo Clients enorm. 60-80 virtuelle Maschinen pro Server sind bei uns kein Problem.

 

[sia]

Ach übrigens: http://thinstation.github.io/thinstation/

Thinstation is a basic and small, yet very powerful, Open Source thin client operating system supporting all major connectivity protocols: Citrix ICA, Redhat Spice, NoMachine NX, 2X ThinClient, Microsoft Windows terminal services (RDP, via RDesktop/FreeRDP), VMWare Horizon View, Cendio ThinLinc, Tarantella, X, telnet, tn5250, VMS terminal and SSH (No special configuration of the application servers is needed to use Thinstation).

Thinstation is mainly intended for schoolroom, office, company or department use, but can be used at home (eg. for a silent PC in the bedroom that 'runs' XP on your workstation in the back room).

@sebone: Kannst du bei dem Setup mal eine grobe Übersicht der Kosten geben? Ab wie vielen Clients lohnt sich das? Du sagst 60-80 VMs, das sind ja dann ca. 4GB pro VM und nur ein Bruchteil eines Xeons. Wie ist da die Auslastung? Welche Xeons genau?

Danke für deinen kleinen Einblick!

 

[sebone]

Ab wann sich das lohnt, das lässt sich so pauschal nicht beurteilen, da fließen zu viele Faktoren mit ein. Früher hatten wir 4 oder 5 fette HP Server, eine Barracuda Firewall, 2 kleine Proxy Server, 4 Router, ein NAS usw.
Das läuft jetzt alles komplett virtualisiert auf einem einzigen Server. Selbst Router, Proxys, Firewall, VPN Server und Gateway sind virtualisiert. Und dieser eine Server hat auch noch ordentlich Kapazitäten frei. Der administrative Aufwand ist durch weniger Hardware halt schon viel geringer geworden. Gleiches gilt für die Stromkosten, Kosten für USV usw.

Was die Anschaffungskosen betrifft, müsste ich am Montag nachschauen. Ich meine aber, es waren irgendwas zwischen 7.000 und 8.000 Euro pro Server. Wir verwenden Dual Xenos E5-2630v3 (glaube jedoch, dass es da schon ein Nachfolgemodell gibt).
Die NUC Clients lagen so bei ca. 160 Euro pro Stück.

Richtig ins Gewicht fallen auch die geringen Ausfallzeiten. Während man früher einen Mitarbeiter mit einer defekten HDD oder einem verseuchten System schon fast nach Hause schicken konnte, wird jetzt halt kurz der letzte Snapshot der VM eingespielt, bzw. werden bei einem Hardwaredefekt (den wir bisher nur simuliert haben) die VMs auf einen anderen Server geschoben.

Auch für den Aussendienst gibt es entscheidene Vorteile. Wir setzen nun billigste Chromebooks ein. Diese bekommen nur eine VPN Konfiguration und einen RDP Client. Ein Verlust ist dadurch absolut verschmerzbar, da keine Daten das Haus verlassen und die Geräte selbst nur bei ca 200 Euro pro Stück liegen.

 

[sia]

Wenn ich nen Fat Client für 500€ kaufe und ein Xen Server 8000€ und Thin Clients 160€ kosten, lohnt sich das… *Papier rauskram* … ab 25 Rechnern. So viele Mitarbeiter haben die Firmen, die ich betreue, gerade so…

Welche NUCs nutzt ihr genau? 160€ inkl. RAM hört sich schon recht günstig an… können die auch alle PXE?

EDIT: Router/Gateway-Virtualisierung – Vyatta? Oder welche Software setzt ihr da ein?

 

[theSplit]

@phre4k:

Du bist einfach zu viel phre4k phre4k - die Großen wollen Schlippsträger, die von State of Art, Productivity boost, Business on Demand, "Low investment high retention" faseln....
Oder anderen philosophischen Eckpfeilern der Businesswelt.

Aber weißt du was, Mut zur Lücke, auch wenn dein Gehaltsscheck im Monat eine Null am Ende weniger aufweist

---

So, irgendwie wollte ich das loswerden, jetzt macht weiter, ich bin auch gespannt ob ich bald virtuelle Arbeitsplätze einrichten kann, nach lesen des Threads

 

[sia]

Du bist einfach zu viel phre4k - die Großen wollen Schlippsträger, die von State of Art, Productivity boost, Business on Demand, "Low investment high retention" faseln....

Ich sitze schon in genügend agilen Scrum-Meetings und spiele meine Pokerkarten aus

 

[theSplit]

@phre4k:

Mach mal

Hast du auch alles Recht zu, so lange du dir ab und an nen Kapuzenpulli überziehst - zuhause in den eigenen vier Wänden zählt auch
Kleiner Scherz am Rande... und beschwerden via PN, am besten zurück zum Thema jetzt

 

[sebone]

Wenn ich nen Fat Client für 500€ kaufe und ein Xen Server 8000€ und Thin Clients 160€ kosten, lohnt sich das… *Papier rauskram* … ab 25 Rechnern. So viele Mitarbeiter haben die Firmen, die ich betreue, gerade so…

Welche NUCs nutzt ihr genau? 160€ inkl. RAM hört sich schon recht günstig an… können die auch alle PXE?

EDIT: Router/Gateway-Virtualisierung – Vyatta? Oder welche Software setzt ihr da ein?

Naja, für 25 Rechner könntest du natürlich auch einen günstigeren Server nehmen. Du kannst dir ja einfach mal Xen, oder einen anderen Hypervisor auf einem normalen PC installieren. Da (zumindest bei uns) niemals alle Clients zeitgleich volle Leistung fordern, würde auch ein aktueller PC 2-4 VMs verwalten können. Bei uns laufen auf den VMs ein Warenwirtschaftssystem, Openoffice, Mail-Client und dann halt zum Teil ein paar Spezialanwendungen. Wir brauchen keine unglaubliche Performance.
Ein Freund von mir verwaltet eine große Spedition. Er nutzt die gleichen Server, wie wir es tun, jedoch mit mehr Ram. Und die bringen zum Teil bis zu 180 VMs auf einem Server unter.

Welche NUCs wir verwenden, das kann ich dir derzeit auch nicht genau sagen. Wir haben viel experimentiert, unter anderem auch mit Gigabyte Brix und sogar mit Raspberrys.
Die 2er Raspberrys waren damals etwas zu schwach auf der Brust, mit einem 3er habe ich es noch nicht probiert. Bei uns kommt hinzu, dass fast alle Benutzer 2 Bildschirme haben, weswegen die Rpis nicht in Frage kamen. Wir haben dann einen großen Schwung etwas älterer NUCs von unserem Lieferanten bekommen. Da diese nur RDP können müssen, ist die Leistung völlig nebensächlich. 4GB Ram haben sie nur bekommen, weil 2GB Riegel kaum verfügbar und nicht günstiger waren.

Router, Gateway, Proxys und Firewall laufen bei uns alle unter minimalistischen Debian Installationen. Hierfür nutzen wir lediglich iptables, shorewall, Squid und SquidGuard. Und diese Systeme laufen wirklich monatelang völlig fehlerfrei. Keine dieser Maschinen macht irgendwie Ärger. Das sind ganz schlanke VMs, die zum Teil nur über 256 MB Ram und 4 GB Festplatte verfügen. Und selbst das ist gefühlt noch überdimensioniert.
Wenn ich da an unsere alte, 19" Barracuda Firewall denke - die hat eigentlich nur Ärger gemacht und war zusätzlich unglaublich teuer. Die Performance war ein Witz.

 

[Steeve]

Worüber ihr hier redet das ist für mich Chinesisch, will mich da gar nicht einmischen, aber

Das sind ganz schlanke VMs, die zum Teil nur über 256 MB Ram und 4 GB Festplatte verfügen.

Ein OS oder ein Kassenautomat REWE Kasse?

 

[saddy]

@sebone:

Nicht dass ich gleich Haue bekomm, bin ja beruflich noch halbwegs frisch unterwegs..
Bei meinem Ausbildungsbetrieb haben wir größtenteils kleinere Unternehmen mit bis zu 20 MA betreut und für die mit ca. 10 Clients hat schon ein Terra Mini Server für knappe 2000€ dicke gereicht.
Wohl gemerkt mit Windows Terminalservern!
Lief halt meistens nur Office + CRM oder sowas auf den Terminalservern. Aber es lief.

Also ich versteh auch nicht, wie du da auf 8000€ kommst

 

[Metal_Warrior]

@saddy:
Sebone betreut 60-80 Mitarbeiter, d. h. 60-80 VMs, die gleichzeitig laufen. Kostenfaktor am Server: 8000 Euro.
Du/deine Firma betreut 10 Mitarbeiter, d. h. 10 VMs, die gleichzeitig laufen. Kostenfaktor am Server: 2000 Euro.

Sebone: 8000 Euro / 80 VMs = 100 Euro/VM
Du: 2000 Euro / 10 VMs = 200 Euro/VM

Sebone spart (in einer linearen Hochrechnung) gegenüber deiner Firma die Hälfte der Kosten ein. Ich glaube, Sebone arbeitet ganz gut an dieser Stelle, vor Allem, wenn man mal die Kosten für Standalone-Clients anschaut.

 

[PLanB]

Zu dem Thema würde mich man brennend interessieren wie gut Windows terminal server im Vergleich zu Vms auf einer Xen Farm performen.

 

[drfuture]

Kleiner punkt noch dazu von mir - bei mehr als 150 / 200 vm's, klar auch je nach Nutzung, muss dringend an I/O Last der Platten und an Busbreiten, möglichen Übertragungsraten von jedem Bauteil zum anderen gedacht werden...
die Skalierung ist alles andere als Einfach (außer man hat unendlich Geld zur Verfügung) ...

War schon in mehreren Firmen die immer mal wieder die tollsten nervigen Probleme mit Virtualisierung hatten (Aber in andere Größenordnungen eben von 200 bis ein paar 1000) - an denen dann *Niemand* Schuld ist weil alle Systeme erst mal anzeigen das alles funktioniert und nichts ausgelastet ist - aber es bleibt halt dabei das viele Rechner *eine* (Klar oft aus mehreren Teilen bestehende) Hardware nutzen und das Monitoring schwer wird wenn es um hänger in *mehreren* vm's zu *diversen* Zeiten geht.
Für den Mitarbeiter aber extrem nervig wenn es immer mal wieder spürbar hängt und da reicht schon eine 1-2s verzögerung.

@PlanB
Das "Problem" dabei ist das das finde ich nicht das gleiche Einsatz-Szenario ist.
Zum einen Lizenz-Technisch - viele Programme laufen technisch nicht auf einem Termin-Server und / oder kosten anders dort betrieben zu werden. Auch geht es um Kundentrennung / Daten-Trennung, mehrere Kunden auf einem Terminal-Server ist relativ schwer zu Administrieren wenn man Sicherstellen muss das niemand den anderen sehen kann.