Unterabschnitte

Historische Ansätze

Bevor im Kapitel 5 auf das Common Information Model eingegangen wird, sollen an dieser Stelle frühere Standards vorgestellt werden, die

für das Management verteilter Systeme oder Anwendungen eine weite Verbreitung gefunden haben oder
mit CIM verwandt sind.

Das sind:

Das Simple Network Management Protocol (SNMP), welches heute den de-facto-Standard für das Netzwerkmanagement darstellt (Kapitel 4.1).
Das Common Management Information Protocol (CMIP), das als Nachfolger von SNMP gehandelt wurde (Kapitel 4.2).
Das Desktop Management Interface (DMI), der Vorgänger von CIM (Kapitel 4.3), sowie die DMI-Erweiterung Wired for Management (WfM) von Intel.
BlueConf, eine Entwicklung der Thinking Objects Software GmbH speziell für das Konfigurationsmanagement von Linux-Anwendungen (Kapitel 4.4).

Simple Network Management Protocol (SNMP)

Das Simple Network Management Protocol (SNMP) wurde Ende der achtziger Jahre durch die IETF als Internet-Standard verabschiedet und war eigentlich als ein Provisorium auf Basis von TCP/IP gedacht, bis die Entwicklung von CMIP (Kapitel 4.2) als ISO-Standard fertiggestellt ist.

Inzwischen hat sich SNMP jedoch als der Standard für das Netzwerkmanagement etabliert, so dass Netzwerkgeräte von fast jedem Hersteller per SNMP managebar sind.

**Abbildung 4.1:** Architektur von SNMP [5]

Eine SNMP-Infrastruktur besteht aus folgenden Subsystemen:

Ein managed device ist die Hard- oder Softwarekomponente, die mit SNMP verwaltet wird.
Ein Agent ist ein Teil des zu verwaltenden Subsystems. Er sammelt die Informationen, die per SNMP abgefragt werden können.
Ein managed object ist die kleinste managebare Einheit eines Systems. Ein Agent stellt Informationen über eine definierte Menge an managed objects zur Verfügung.
Über welche managed objects ein Agent Bescheid weiß, wird in der Management Information Base (MIB) festgehalten. Darin werden die verfügbaren Informationen strukturiert. Zu den Details siehe Kapitel 4.1.1.
Bisher wurde nur die Zielseite des SNMP-Managements behandelt. Auf der anderen Seite steht immer ein System zur Verwaltung, die Network management station. Sie umfasst eine Network Management Application, die per SNMP Daten sammelt und auswertet sowie evtl. bereits selbst Schritte unternimmt. Zur Interaktion mit dem menschlichen Netzwerkmanager gehört dann noch eine Konsole, also ein User interface.

Diese Gesamtarchitektur von SNMP ist in Abbildung 4.1 illustriert.

Management Information Base (MIB)

Die Management Information Base (MIB) ist ein hierarchisch strukturierter Baum, dessen Blätter die eigentlichen managed objects enthalten. Der Zugriff auf einzelne Blätter erfolgt über eine eindeutige Zahlenkombination, wobei ein Ast einem Einzelwert entspricht. Der gesamte Pfad (Object identifier oder OID) entsteht durch Aneinanderreihung der Zahlen, getrennt durch einen Punkt.

**Abbildung 4.2:** MIB-Struktur von SNMP

Die Hierarchie der obersten Ebenen folgt dabei zunächst den Organisationen, die für die Normierung von SNMP verantwortlich sind, so dass momentan drei Top-Level OIDs existieren:

0 -- OIDs der CCITT
1 -- OIDs der ISO
2 -- gemeinsame OIDs von CCITT und ISO

Im IETF-Standard RFC 1213 leiten sich von der ISO über die Zwischenstufen org (organisations), DOD (Department of Defence) und Internet die in SNMP standardisierten OIDs ab, die für alle SNMP-Implementierungen den kleinsten gemeinsamen Nenner darstellen. Diese beginnen alle mit der OID 1.3.6.1.2.1 (siehe Abbildung 4.2).

Unterhalb der OID 1.3.6.1.4 (private) sind aber auch herstellerspezifische Erweiterungen möglich, so dass Firmen MIBs speziell für ihre Produkte erstellen können.

Datentypen

SNMP verlangt für jede OID auch die Definition von Syntax und Codierung. Die Syntax ist der Datentyp, der über den Standard ASN.1 (Abstract Syntax Notation) der ISO notiert wird. Für die Codierung, aus der Informationen über einen plattformübergreifenden Datenaustausch hervorgehen, kommen die Basic Encoding Rules (BER) zum Einsatz, bei denen es sich ebenfalls um einen ISO-Standard handelt.

Die Datentypen von SNMP sind:

Integer-Werte,
Oktettwörter, also Binärdaten,
OIDs und
eigens über ASN.1 definierte Datentypen

Bewertung

SNMP ist momentan der unangefochtene Standard für das Netzwerkmanagement, was vermutlich daran liegt, dass es keine Alternativen gibt, die ähnlich einfach zu implementieren sind, und dass diese Norm schon recht lange existiert.

Die Einfachheit -- und möglicherweise die Tatsache, dass SNMP ursprünglich nur als Übergangslösung gedacht war -- führen aber zu gravierenden Nachteilen. Diese sind:

SNMP ist einer der Internet-Dienste, bei dem die meisten Sicherheitslücken auftreten. Ältere Versionen von SNMP verfügen keinen Zugriffsschutz.
Die 171 Standard-OIDs sind selbst für das Management von Netzwerken nicht umfangreich genug oder zu speziell. Hier können sich Hersteller nur durch eigene private OIDs behelfen, was ein generisches Management heterogener Umgebungen unmöglich macht.

Common Management Information Protocol (CMIP)

Das Common Management Information Protocol (CMIP) befand sich gerade in der Entwicklung, als SNMP (Kapitel 4.1) standardisiert wurde und sollte ein endgültiger Standard für das Management von Netzwerken werden.

Viele Schwachstellen von SNMP wurden in CMIP ausgemerzt:

Die Anzahl der Basis-Datentypen wurde von vier auf elf erweitert.
Der Datentyp von schreibbaren Typen kann geändert werden.
Während bei SNMP nur statische Daten übermittelt werden, können bei CMIP Aktionen bei Veränderungen vordefiniert werden.
CMIP kann Events generieren, das heißt eine Managementanwendung kann über eine kritische Zustandsänderung informiert werden. Dies macht es in Zusammenhang mit dem vorherigen Feature sehr mächtig, da z.B. bei Überschreiten von Grenzwerten ein Alarm ausgelöst werden kann.
Ein umfassendes Sicherheitskonzept, umfasst Authorisierung, Access Control Lists (ACLs) und Logging.
CMIP wurde unter Mitwirkung von Computerherstellern entwickelt, um eine schnelle Akzeptanz herbeizuführen.

Trotz dieser Vorteile konnte sich CMIP nie etablieren. Dies hatte eine Hauptursache: Es war zu schwierig zu implementieren, was besonders deswegen ein Manko darstellte, da es im Bereich des Netzwerkmanagement gilt, viele kleine Geräte mit Managementfunktionen auszustatten, die nur über sehr begrenzte Hardware-Ressourcen verfügen.

Einige der Vorteile flossen dafür nachträglich in SNMP ein. So unterstützt SNMP zwischenzeitlich auch Events (Traps), Authorisierungsmechanismen und ACLs.

Desktop Management Interface (DMI)

Das Desktop Management Interface (DMI) entstand im Jahr 1992 durch die Desktop Management Task Force (DMTF), einem Industriekonsortium unter Beteiligung der meisten großen IT-Anbieter. Ziel der DMTF war damals zunächst, die Misere des IT-Managements der 90er Jahre (siehe Kapitel 2.5) zu bewältigen, was im Speziellen durch die Entwicklung von Standards und Systemen für die Verwaltung verteilter PC-Arbeitsplätze geschehen sollte. In späterer Zeit stellte sich die DMTF weitere Ziele -- da auf CIM als Nachfolger von DMI in Kapitel 5 ausführlich eingegangen wird, wird auf die DMTF an späterer Stelle detailliert eingegangen.

Architektur

Um ein System DMI-konform zu machen, sind vier Komponenten zu implementieren [1]:

Eine Beschreibung der zu verwaltenden Objekte. Dazu kommt das Managed Information Format zum Einsatz, siehe unten.
Ein DMI Service Provider, also eine Softwarekomponente, die DMI-Anfragen auf einem gemanageten System entgegennimmt und weiterverarbeitet.
Zwei Schnittstellen zum Service Provider:
- ein Management Interface, das den Zugriff von einer Managementanwendung auf den Service Provider ermöglicht.
- ein Component Interface, das den Zugriff vom Service Provider auf Firmware-, Hardware- und Softwarekomponenten des PC-Systems ermöglicht.
Sowie Protokolle für die Netzwerkkommunikation. Hier ist der Einsatz etablierter Standards wie RPC über NETBEUI vorgesehen.

Die Gesamtarchitektur von DMI geht aus Abbildung 4.3 hervor. Darin ist zu erkennen, dass der Service Provider zusätzlich über eine Datenbank verfügt, in der die Objektbeschreibungen abgelegt werden. Darüber hinaus wurde im Laufe der Entwicklung von DMI parallel zur obigen Architektur die Möglichkeit eingeführt, in Form eines Data Block Interfaces direkt über Betriebssystemebenen hinweg auf Hardwarekomponenten zuzugreifen.

**Abbildung 4.3:** Architektur von DMI

Datenmodell

Die Beschreibung von managebaren Systemkomponenten erfolgt in DMI durch eigene Attribute. Diese Attribute werden zugunsten der Übersichtlichkeit und zur Adressierung in Gruppen zusammengefasst. Dabei kann eine Gruppe einfach oder mehrfach instanziiert werden -- dieses Konstrukt wird als Tabelle bezeichnet. So bilden z.B. alle IP-Routing-Einträge des Betriebssystems eine Tabelle. Primärschlüssel ist dabei jeweils eines dieser Attribute.

Als Beschreibungssprache für DMI kommt das Managed Information Format zum Einsatz. Dazu werden Komponenten, Gruppen und Attribute in einer Textdatei aufgeführt -- eine MIF-Datei kann beispielsweise so aussehen:

//
// SAMPLE MIF FOR THE FICTIONAL ACS-100
// MFG. BY ANY COMPUTER SYSTEM, INC.
//
START COMPONENT
   NAME = "ANY COMPUTER SYSTEM, MODEL 100"
   DESCRIPTION = "THIS COMPONENT REPRESENTS THE BASE CONFIGURATION"
                 "OF A SYSTEM MANUFACTURED BY ANY COMPUTER, INC."
                 "THREE GROUPS ARE INCLUDED:"
                 "THE COMPONENTID GROUP, "
                 "THE SERVICE GROUP, AND "
                 "THE SYSTEM CHASSIS GROUP."
   START PATH
      NAME = "CHASSIS GROUP CODE"
      DOS = "C:\\ANY\\DOS\\CHASSIS.OVL"
      WIN16 = "C:\\ANY\\WIN3X\\CHASSIS.DLL"
   END PATH
//
// COMPONENT ID GROUP
//
//              THIS IS THE REQUIRED GROUP CONTAINING THE
//              REQUIRED ATTRIBUTES FOR ALL COMPONENTS.
//
START GROUP
   NAME = "COMPONENTID"
   ID = 1
   CLASS = "DMTF|COMPONENTID|001"
   // THIS GROUP IS DMTF SANCTIONED
   DESCRIPTION = "THIS GROUP DEFINES ATTRIBUTES COMMON TO ALL"
                 " COMPONENTS. THIS GROUP IS REQUIRED."

START ATTRIBUTE
   NAME = "MANUFACTURER"
   ID = 1
   ACCESS = READ-ONLY
   STORAGE = COMMON
   TYPE = STRING(64)
   VALUE = "ANY COMPUTER SYSTEM, INC."
END ATTRIBUTE

START ATTRIBUTE
   NAME = "PRODUCT"
   ID = 2
   ACCESS = READ-ONLY
   STORAGE = COMMON
   TYPE = STRING(64)
   VALUE = "ACS-100"
END ATTRIBUTE

START ATTRIBUTE
   NAME = "VERSION"
   ID = 3
...

Wired for Management (WfM)

Speziell für die hardwarenahe Wartung von PC-Arbeitsplätzen entstand 1997 durch die Firma intel der Standard Wired for Management (WfM). Dabei handelt es sich um ein Framework, das für ein WfM-konformes System vorschreibt, dass fünf verschiedene Verwaltungskomponenten implementiert sein müssen.

Der Zugriff darauf erfolgt dabei über DMI oder SNMP, um etablierte Managementstandards einsetzen zu können. Falls DMI eingesetzt wird, muss der Hersteller eine passende MIF-Beschreibung ausliefern, ansonsten eine MIB.

Eine genaue Veranschaulichung der Architektur von WfM bietet Abbildung 4.4.

**Abbildung 4.4:** Komponenten von Wired for Management 2.0

WfM wird zwischenzeitlich von intel nicht mehr als eigener Standard propagiert, statt dessen wurde WfM in das Designed for Windows XP-Programm von Microsoft aufgenommen. Das bedeutet, dass PC-Systeme, die über das Designed for Windows XP-Zertifikat verfügen, auch WfM-konform sein müssen.

Die einzelnen Komponenten von WfM sind [15]:

Instrumentation: Dieses Feature verlangt von einem System, dass über ein Systems Management BIOS (SMBIOS) alle Hardwaredaten abgefragt werden können, insbesondere installierte Hardwarekomponenten. Ein Management-System, das das SMBIOS auswertet, ist der Microsoft Systems Management Server (SMS).
Preboot Execution Environment (PXE): Hierbei handelt es sich um einen Standard für das Booten eines PCs über ein Netzwerk, so dass es möglich ist, einen PC ohne Vor-Ort-Anwesenheit von Servicepersonal zu installieren. Auch der Betrieb von diskless clients ist damit möglich.
remote Wakeup: Speziell für automatisierte Wartungsarbeiten, z.B. nachts, ist es über diese Funktion möglich, WfM-konforme PCs über das Netzwerk einzuschalten. Dazu ist eine speziell verdrahtete Netzwerkkarte und ein Wakeup-fähiges BIOS nötig. Ab PCI 2.2 ist eine entsprechende Verdrahtung von vornherein vorgesehen.
Advanced Configuration and Power Interface (ACPI): Ist eigentlich kein Systems Management-Feature. Es dient dazu, eine Energieverwaltung bereitzustellen, in deren Rahmen es auch möglich ist, den Stromverbrauch von Hardwarekomponenten zu überwachen und einzelne Komponenten bedarfsweise abzuschalten.
Problem Resolution: Stellt der Rechner einen internen Fehler fest, werden über dieses Feature automatisch Trouble Tickets generiert. Diese Tickets müssen über den Service Incident Exchange Standard (SIS) ausgeliefert werden, an dessen Ende ein beliebiges Trouble Ticket-System stehen kann.

BlueConf

BlueConf entstand 2002 als eine Studie der Thinking Objects Software GmbH. Dabei sollte eine Möglichkeit gefunden werden, das Application Management unter UNIX-Betriebssystemen zu vereinfachen und die Verwaltung großer Rechnerfarmen zu ermöglichen.

Die Anforderungen waren im Detail folgende [10]:

Ein zentrales Repository soll alle Konfigurationsdaten halten.
Durch einen modularen Aufbau soll eine hohe Flexibilität erreicht werden.
Es sollen offene Standards zum Einsatz kommen, um eine einfache Implementierung zu ermöglichen.
BlueConf soll auf Basis des Client-Server-Prinzips arbeiten.
Stabilität, Performance und Skalierbarkeit müssen gegeben sein.

Genaue Konzepte und weitere Details können in den Arbeiten von VÖLKEL [30], HAMBRECHT [10] und SEITZ [26] nachgeschlagen werden.

Architektur

**Abbildung 4.5:** Architektur von BlueConf

Die Architektur von BlueConf, die grafisch aus Abbildung 4.5 hervorgeht, sieht eine direkte Anbindung zwischen der zu verwaltenden Anwendung und einer Konfigurations-API vor. Dies macht zwar eine Modifikation des Quelltexts des Programms nötig, führt aber andererseits zu einer Ablösung der unter UNIX üblichen Konfigurationsdateien (siehe dazu Kapitel 3.2.2.1).

Das bedeutet, dass eine Anwendung, sobald sie gestartet wird, über BlueConf-API-Aufrufe versucht, ihre Konfiguration zu laden. Diese Client-API kennt wiederum über einen Plugin-Manager mindestens ein Backend, um die benötigten Daten aus dem Repository zu holen. Dabei findet die Kommunikation zwischen Backend und Repository über ein Netzwerk statt, so dass ein zentrales Repository möglich ist.

Als Protokolle und Backends sind hierfür bisher XML über SOAP und LDAP vorgesehen, Erweiterungen, z.B. für ein lokales Caching wären auch denkbar. Auf Seiten des Konfigurationsfrontends kommt die gleiche Architektur zum Einsatz, jedoch erweitert durch eine API, über die auch ein schreibender Zugriff möglich ist.

Datenmodell

Das eigentliche Datenmodell von BlueConf ist recht einfach gehalten: Dabei werden die Werte der Konfigurationsdateien für das XML-Backend einfach in XML dargestellt. Für jede Anwendung kann dann eine DTD definiert werden. Die Konfiguration des UNIX-Syslog-Daemon kann in BlueConf z.B. so aussehen:

<syslog>
   <rule>
      <selector>
         <facility>mail</facility>
         <priority>*</priority>
      </selector>
      <action>/var/log/maillog</action>
   </rule>
   <rule>
      <selector>
         <facility>cron</facility>
         <priority>*</priority>
      </selector>
      <action>/var/log/cron</action>
   </rule>
   ...
</syslog>

Ein Wunsch bei der Verwaltung großer verteilter Systeme ist eine schnelle initiale Einrichtung. Darüber hinaus ist es oft wünschenswert, dass frühere Konfigurationszustände wiederhergestellt werden können, was durch eine Versionierung, also eine zeitliche Verfolgung der Konfigurationsdaten möglich wäre.

Im Entwurf von BlueConf wurde versucht, beiden Wünschen Rechnung zu tragen, bei ersterem durch die Möglichkeit, Standardwerte festzulegen, die dann gültig sind, wenn für eine spezielle Anwendung auf einem speziellen System noch keine Konfigurationswerte vergeben wurden. Dies wird mit Abbildung 4.6 illustriert.

**Abbildung 4.6:** Management-Ebenen von BlueConf

Auch wenn BlueConf bisher nicht so weit implementiert wurde, ist dieses Konzept richtungsweisend, da es bisher in keinem anderen Framework berücksichtigt wurde. Es gilt jedoch noch zu überlegen, wie diese Hierarchie genau strukturiert werden soll, und wie sie in verschiedenen Backends, wie z.B. XML oder LDAP repräsentiert werden kann.

Fußnoten

... Grenzwerten: z.B. Überschreiten der Belegung einer Festplatte über einen kritischen Wert