ARMv8 Architektur – High Performance Computing und BigData

Bereits im Oktober 2016 (siehe HIZ-Info Nr. 53) organisierte das HIZ einen ersten Gigabyte ARMv8-Server mit 64-bit ThunderX-Prozessoren von Cavium für erste Gehversuche in dieser neuen Welt. Damals war nur Ubuntu 16.04 LTS auf dieser Plattform wirklich funktional.
Spätestens seit der SuperComputing SC17 im November diesen Jahres in Denver erlebt mit den dortigen Ankündigungen der großen Hersteller diese Architektur im Bereich BigData und HPC einen massiven Aufschwung. So haben neben HPE, Cray und Bull/Atos auch Gigabyte und Pengiun ihre Systeme auf dem neuen Thunder-X2 ARMv8 Prozessor von Cavium vorgestellt bzw. für Sommer 2018 angekündigt. 

Neben Ubuntu hat sich nun auch RedHat für diese Architektur entschieden und bietet ab sofort auch Support für RHEL7 auf ARMv8 an. Durch diese Entscheidung wird der Markt, der bisher von Intel-Systemen dominiert wurde, deutlich bunter und vielfältiger. Die Ankündiung von Microsoft auf der SC17 jedoch, mit dem Projekt Olympus ebenfalls ARMv8 basierte Systeme in der Azure-Cloud anzubieten, war sicherlich ein Highlight.

Wir dürfen also sehr gespannt in die zweite Hälfte des Jahres 2018 blicken, wenn die Hersteller ihre ersten Systeme mit den neuen ThunderX2 Prozessoren ausliefern werden. 
Bis dahin haben Sie weiterhin, wie es bereits einige HPC-Arbeitsgruppen im Oktober und November 2017 getan haben, die Möglichkeit, das bisherige ARMv8 mit ThunderX Prozessoren auf ihre Einsatzzwecke hin zu testen. Hier werden wir ggf. nach Abschluss der Evaluation einige Informationen für Sie veröffentlichen. 

Zur weiteren Information hier nochmals die Daten unseres aktuellen Systems des Herstellers Gigabyte:

• - 1 HE System, 2 Netzteile
• - 2 Socket ARMv8 (96 Kerne), 2.0 Ghz Taktung, ThunderX (Cavium)
• - 128 GB Arbeitsspeicher (max. 1.5 TB)
• - mehrere SSD-Festplatten (max. 10 Festplatten möglich)
• - 4x 10GBit Netzwerkschnittstellen (verbaut auf dem Mainboard)
• - Betriebssystem Ubuntu 16.04.3 LTS

Zusatzinfo zum Thema Cavium 

Für detaillierte Fragen oder konkrete Anforderungen rund um die ARMv8-Technologie wenden Sie sich bitte direkt an Hr. Scheller (timo.scheller(at)hiz-saarland.de).

Sicherheitsproblem bei macOS 10.13 High Sierra

Im aktuellen Apple Betriebssystem ist eine kritische Sicherheitslücke entdeckt worden, die es Angreifern unter Umständen erlaubt, Administrator-Rechte auf dem Gerät zu erlangen.

Ein Sicherheitsupdate ist veröffentlicht und sollte dringend installiert werden. Es heißt "Security Update 2017-001" und kann über den AppStore geladen werden.

Details zu dem Problem findet man z.B. unter folgenden Links:

• - https://support.apple.com/de-de/HT208315
• - https://www.heise.de/mac-and-i/meldung/Kritische-Root-Schwachstelle-Apple-veroeffentlicht-Sicherheits-Update-fuer-macOS-10-13-3904655.html

Problematischer Dual Boot Windows 10/Linux

Wird Linux parallel mit Windows 10 installiert, kann es bei größeren Windows 10-Updates zu Problemen kommen, zuletzt beim Fall Creator Update. Wird eines dieser Updates installiert, wird der Bootloader zerschossen bzw. auch der UEFI-Booteintrag. Auch bei den kommenden Creator-Updates ist mit solchen Fehlern zu rechnen, da Microsoft keine Rücksicht auf fremde Bootloader nimmt.

Neben dem mühsamen Restaurieren mithilfe einer Boot-CD kann man sich überlegen, mit einem Master-Betriebssystem zu arbeiten und das alternative System in eine virtuelle Maschine legt. Kostenlos geht das z.B. mit VirtualBox

Ein Vorteil dieses Vorgehens ist auch, dass man beide Systeme ohne Umbooten gleichzeitig im Zugriff haben kann. Nachteilig kann sein, dass der direkte Hardware-Zugriff nicht mehr vorhanden ist und dass die virtuelle Maschine etwas langsamer läuft als ein primäres Betriebssystem.

Windows-Netzwerk wird sicherer - Samba auch?

Das SMB-Protokoll, von Microsoft seit Urzeiten verwendet, um Netzwerkressourcen zu verbinden, hat nicht gerade einen guten Ruf. Viele werden sich an die WannaCry-Attacken vom Mai diesen Jahres erinnern, die eine Sicherheitslücke dieses Protokolls verwendet haben.

Man muss jedoch fein differenzieren: es gibt verschiedene Versionen dieses Protokolls! Fast alle Angriffsszenarien der letzten Jahre haben sich auf der veralteten, leider noch häufig eingesetzten Version 1 von SMB ausgetobt. Mit den Versionen 2 und 3 sind jedoch neue, wesentlich sichere Varianten im Einsatz. Durch unterschiedliche Portnutzung sind sie netzwerktechnisch sogar eindeutig zu unterscheiden.

Microsoft hat nun die Reißleine gezogen. Mit den neuesten Updates für Windows 10 und Windows Server 2016 wird SMB 1 aus dem Protokollvorrat der Betriebssysteme entfernt. 

Problematisch bleiben aber alle älteren Windows-Varianten und auch die vielfach installieren älteren Linux-Varianten, deren Samba-Server noch mit SMB Version 1 arbeiten. Es gibt auch noch eine erkleckliche Anzahl von Netzwerkdruckern, z.B. von HP, die lediglich das "gefährliche" Protokoll unterstützen.

Wenn Sie einen Linux-Server verwalten, sollten Sie sich bemühen, ebenfalls SMB Version 1 den Garaus zu machen.

Nähere Informationen bietet z.B. der folgende Link:
http://www.admin-magazin.de/Das-Heft/2017/10/Support-Ende-von-SMBv1
Anleitung zum De-/Aktivieren der Protokolle unter Windows: 
https://support.microsoft.com/en-us/help/2696547/how-to-detect-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and
Produkte mit SMB1-Unterstützung:
https://blogs.technet.microsoft.com/filecab/2017/06/01/smb1-product-clearinghouse/

Lizenzierung von Microsoft Desktopbetriebsystemen

Microsoft Windows ist nach wie vor das am häufigsten eingesetzte Desktopbetriebssystem an der UdS. Die meisten neu gekauften Arbeitsplatzrechner werden zusammen mit einer geeigneten Windows-Lizenz über unseren Hardware-Rahmenvertrag bestellt. Das bildet den einfachsten und deshalb präferierten Beschaffungsweg.

In letzter Zeit taucht aber häufiger die Situation auf, dass die Bestellung von PCs ohne Betriebssystem erfolgt, obwohl sie unter Windows genutzt werden sollen. Gleiches gilt für Apple-Hardware, die - warum auch immer - zusätzlich mit einem Windows-Betriebssystem ausgerüstet wird. In beiden Fällen ist der Nachkauf einer Windows-Vollversion erforderlich, die es leider nicht in Volumenlizenzverträgen gibt. Uns stehen dafür geräteunabhängige, jedoch relativ teure System Builder Lizenzen zur Verfügung.

Im Falle von Windows-PCs raten wir deshalb zum Kauf einer OEM-Windows-Lizenz, die im Musterangebot auf den Hardwareseiten des zentralen Einkaufs aufgelistet ist. OEM-Lizenzen eines Händlers sind generell Vollversionen.

Einsatz in virtualisierten Umgebungen

Aber auch nachdem eine gültige Windows-Lizenz vorhanden ist, verbindet Microsoft damit bestimmte Lizenzbedingungen - insbesondere bei geplanter Virtualisierung.

Eine Kopie der Software darf auf einem lizenzierten Gerät mit maximal zwei Prozessoren oder (nicht und) innerhalb eines lokalen virtuellen Hardwaresystems auf einem lizenzierten Gerät installiert werden. Lizenziert wird immer das Gerät. Wer es nutzt, ist egal. Dabei besitzt zeitgleich nur ein Nutzer das Zugriffsrecht. Wird auf eine virtualisierte Windows-Instanz zugegriffen (z.B. als virtueller Desktop in einer VDI-Infrastruktur, oder auch auf einen einzelnen PC), muss das jeweilige Endgerät eine sogenannte Virtual Desktop Access Lizenz (VDA) besitzen. Diese verlangt Microsoft beispielsweise auch für ThinClients, selbst wenn die Geräte lokal unter einem anderen Betriebssystem laufen. Zur Lizenzierung muss man also beide Seiten betrachten, das System, welches die Windows-Instanz bereitstellt und das System, über welches zugegriffen wird. Letzteres können auch Nicht-Windows-Rechner, Mobilgeräte oder beliebige PCs zu Hause sein. Somit würde sich VDA auch zur Lizenzierung von BYOD („Bring Your Own Device“) eignen.

VDA-Lizenzen gibt es leider nur im Mietverfahren - also zeitlich begrenzt. Über unseren MS-Select-Vertrag klappt der Erwerb in Verbindung mit einer Software Assurance - einem Wartungsvertrag für mindestens drei Jahre. Der Microsoft EES-Vertrag an der HTW regelt die Dinge eleganter. Alle darüber (in unbegrenzter Menge) bereitgestellten Windows Edu Upgrade-Lizenzen enthalten automatisch das VDA-Recht, so dass die oben beschriebenen Zugriffe auf virtualisierte Windows-Systeme jedweder Art abgedeckt sind.

Zu beachten ist, dass virtuelle Windows-Desktops über eine VDI-Infrastruktur zusätzlich die üblichen Server CALs erfordern (Core CAL und/oder Remote Desktop Services CAL).

Der voranschreitenden zeitlichen und örtlichen Mobilität Rechnung tragend hat Microsoft den Einsatz seiner Software in virtuellen Umgebungen relativ detailliert geregelt. Die oben genannten Hinweise sind nur ein kleiner Auszug und betreffen lediglich den Desktop.