{"id":147,"date":"2025-06-03T20:34:15","date_gmt":"2025-06-03T20:34:15","guid":{"rendered":"https:\/\/www.passiivi-instituutti.fi\/?p=147"},"modified":"2025-06-04T03:07:51","modified_gmt":"2025-06-04T03:07:51","slug":"jalleenrakennuksen-aikaa","status":"publish","type":"post","link":"https:\/\/www.passiivi-instituutti.fi\/index.php\/2025\/06\/03\/jalleenrakennuksen-aikaa\/","title":{"rendered":"(J\u00e4lleen)rakennuksen aikaa"},"content":{"rendered":"\n

Kuluneet viikot ovat sis\u00e4lt\u00e4neet eritt\u00e4in<\/em> paljon laitteisto-, verkko- ja j\u00e4rjestelm\u00e4rakennusta. T\u00e4t\u00e4 kirjoittaessa ollaan kes\u00e4kuun alkup\u00e4iviss\u00e4, ja varmaankin lopullinen kokoonpano alkaa valmistua kes\u00e4n taittuessa syksyyn. T\u00e4ss\u00e4 dokumentoitu puuhaaminen on l\u00e4hinn\u00e4 vain p\u00e4\u00e4kohdittain esitelty.<\/p>\n\n\n\n

\"\"
Mit\u00e4\u00e4n kauniimpaa tietojenk\u00e4sittelyss\u00e4 ei ole kuin CDE (tosin Debianissa<\/em>) ja dttermiss\u00e4 aito Solaris<\/figcaption><\/figure>\n\n\n\n

J\u00e4lleenrakennus valikoitui osittain otsikkoon siksi, ett\u00e4 noin kolmenkymmenen vuoden mittaan on tullut erin\u00e4isi\u00e4 ymp\u00e4rist\u00f6j\u00e4 rakenneltua omiin tarkoituksiin ja osa asioista toteutuu vasta nyt, jopa kahdenkymmenen vuoden viiveell\u00e4. N\u00e4ist\u00e4 esimerkkin\u00e4 Solaris-j\u00e4rjestelmien asentamiseen tarkoitettu AI (Automated Installer<\/em>) jonka tultua markkinoille siirryin juuri samaan aikaan pois Solaris-j\u00e4rjestelmist\u00e4 ty\u00f6teht\u00e4vien kannalta. Ehdin pikaisesti kokeilla JumpStartista AI:hin siirtymist\u00e4, mutta kesken j\u00e4i tuolloin.<\/p>\n\n\n\n

Oracle tosiaankin julkaisi hiljattain 11.4 Common Build Environment<\/em>-kokoelman, zip-tiedostoina noin 22G, ja se sis\u00e4lt\u00e4\u00e4 kaiken tarpeellisen ei-kaupalliseen k\u00e4ytt\u00f6\u00f6n, esimerkiksi kehitys- ja testausymp\u00e4rist\u00f6ihin. Sparc-laitteistoa Passiivi-Instituutissa ei ole ainakaan sen p\u00e4\u00e4toimipaikalla, joten x86_64-alustan versio CBE:st\u00e4 tuli ladatuksi.<\/p>\n\n\n\n

\"\"
Pikkuruisen muuhun k\u00e4ytt\u00f6\u00f6n tarkoitetun kytkimen takana osa Solaris-asennetuista Lenovoista<\/figcaption><\/figure>\n\n\n\n

Alunperin 10 kappaletta Lenovon ThinkCentre 600-j\u00e4rjestelmi\u00e4 oli tarkoitus asentaa PXE-boottaaviksi BSD:ll\u00e4 tai jollakin OpenIndiana-derivaatilla ilman kovalevy\u00e4 oleviksi tiettyj\u00e4 palvelinrooleja toteuttamaan, mutta Solaris vei t\u00e4ss\u00e4 voiton. <\/p>\n\n\n\n

N\u00e4iss\u00e4 ThinkCentreiss\u00e4 on 16GB SSD-levy, mik\u00e4 riitt\u00e4\u00e4 mainiosti Solaris 11 asentamiseen ja vaikka kyseess\u00e4 ovat melko i\u00e4kk\u00e4\u00e4t ja CPU\/RAM-kapasiteetiltaan pienehk\u00f6t laitteet, on Solaris toisaalta kevyt ajettava siit\u00e4 huolimatta, ett\u00e4 siin\u00e4 on valtavasti ominaisuuksia raskaaseen ja vaativaan k\u00e4ytt\u00f6\u00f6n. Perusasennus vie ajossa noin 3GB muistia, ja ThinkCentren Celeron N3000 1.04Ghz ei sek\u00e4\u00e4n aiheuta ongelmia.<\/p>\n\n\n\n

Toki n\u00e4ille(kin) j\u00e4rjestelmille niukahkon kovalevytilansa takia kannattaa rakentaa oikein “filer” joka tarjoaa NFS-jakoina ns. bin\u00e4\u00e4ripuut, projekti- ja kotihakemistot (jo k\u00e4yt\u00f6ss\u00e4) automountattuina tiedostoj\u00e4rjestelmin\u00e4. “Niin toimii osuuskauppav\u00e4ki”, ja niin toimittiin aikanaan Nokian Tutkimuskeskuksessa (NetApp), ja niin tullaan toimimaan Passiivi-Instituutissakin.<\/p>\n\n\n\n

\"\"
T\u00e4llainen ilmaiseksi saatu N54L saa nyt toimittaa “filerin” virkaa toistaiseksi<\/figcaption><\/figure>\n\n\n\n

Solarikselle olisi tarkoitus k\u00e4\u00e4nt\u00e4\u00e4 koko LaTeX kaikkine mahdollisine juttuineen ja pelk\u00e4st\u00e4\u00e4n se taitaa olla toistakymment\u00e4 gigaa kooltaan.<\/p>\n\n\n\n

Yhden Proxmoxissa hostatun virtuaalipalvelimen asensin niinik\u00e4\u00e4n Solaris IPS repository- ja AI-k\u00e4ytt\u00f6\u00e4 varten. Siihen varasin runsaammin resursseja, mutta todenn\u00e4k\u00f6isesti skaalaan sit\u00e4 pienemm\u00e4lle prosessori- ja muistim\u00e4\u00e4r\u00e4lle kun koko toiminnallisuus on k\u00e4yt\u00f6ss\u00e4 ja todellisen tarpeen n\u00e4kee.<\/p>\n\n\n\n

CBE:n my\u00f6t\u00e4 k\u00e4yt\u00f6ss\u00e4 on nyt paikallinen Solaris IPS repository<\/em> jossa kaikkiaan 9258 ohjelmistopakettia. Tarkistin ja huomasin kuitenkin joutuvani tuonnempana muutamiin k\u00e4\u00e4nt\u00f6- ja paketointihommiin, sill\u00e4 aivan kaikkea ei tuossa repositoryssa ole valmiiksi saatavilla. LaTeX ja SGE (Sun Grid Engine<\/em>) ovat ainakin sellaisia riippuvuuksineen, ett\u00e4 niiden parissa pient\u00e4 askaretta on odotettavissa. Linux-distrojen kanssa on muuten semmoinen juttu, ett\u00e4 aika usein jokin softa on paketoitu (tai tarkemmin, k\u00e4\u00e4nnetty<\/em>) puutteellisin ominaisuuksin, ja toisinaan jopa t\u00e4ysin k\u00e4ytt\u00f6kelvottomana!<\/p>\n\n\n\n

T\u00e4llaisia tapauksia on tullut vastaan ja niiss\u00e4 ei ole muu auttanut kuin k\u00e4\u00e4nt\u00e4\u00e4 l\u00e4hdekoodista tarvittavine riippuvuuksineen t\u00e4ysimittaisena, kunnollisesti toimivana versiona ohjelmistosta. Er\u00e4\u00e4n\u00e4 ei t\u00e4h\u00e4n suoraan liittyv\u00e4n\u00e4, mutta esoteerisena anekdoottina nostettakoon esille Gimp, jonka olen aikanaan joutunut k\u00e4\u00e4nt\u00e4m\u00e4\u00e4n t\u00e4ydell\u00e4<\/em> grafiikkakirjastotuella ja kaiken lis\u00e4ksi HP-UX – j\u00e4rjestelmille. K\u00e4\u00e4nt\u00f6 vei sein\u00e4- (tai k\u00e4ki<\/em>)kelloaikaa 45 minuuttia, mutta niin vain sill\u00e4kin k\u00e4\u00e4nn\u00f6n ja paketoinnin lopputuloksella tehtiin t\u00f6it\u00e4 – hassua kyll\u00e4 – puolijohdesuunnittelun<\/em> tuotekehitysprojekteissa.<\/p>\n\n\n\n

SGE on t\u00e4t\u00e4 nyky\u00e4 ehk\u00e4 hieman legacy, valtaosa HPC-saiteista lienee siirtynyt jo ammoin SLURM-ohjelmiston k\u00e4ytt\u00f6\u00f6n. Mutta instituutin sis\u00e4ll\u00e4 SGE on ik\u00e4\u00e4n kuin oikea valinta retrohenkisyydess\u00e4\u00e4n, ja taitaa jollakin levynkulmalla viel\u00e4 olla l\u00e4hdekoodi sen versioon vuodelta 2011. SGE:st\u00e4 on sin\u00e4ll\u00e4\u00e4n forkattu tuoreempikin versio, mik\u00e4 on mahdollinen vaihtoehto sekin.<\/p>\n\n\n\n

Useiden satojen Solaris-j\u00e4rjestelmien (Blade 100 – > Ultra Enterprise 6800) parissa teknillistieteellisess\u00e4 ymp\u00e4rist\u00f6ss\u00e4 ty\u00f6skennelleen\u00e4 kuuden vuoden ajan aivan vuosituhannen alussa, Solaris on tietenkin HPC-teknologioiden ja -k\u00e4yt\u00f6n ohella instituutin ehk\u00e4p\u00e4 suosituin ja aito UNIX-vaihtoehto. Siit\u00e4 on monella muullakin tuttavapiiriss\u00e4 kokemusta, joillakin (kuten muutakin UNIX-kokemusta<\/em>) jopa eritt\u00e4in merkitt\u00e4v\u00e4ss\u00e4 m\u00e4\u00e4rin.<\/p>\n\n\n\n

RPM-pohjaisista k\u00e4yt\u00f6ss\u00e4 on AlmaLinux 9.x-sarjaisena, t\u00e4m\u00e4n ohella jonkin verran Debian 12-j\u00e4rjestelmi\u00e4 ja toki *BSD niin NAS-k\u00e4yt\u00f6ss\u00e4, OPNsensen\u00e4 kuin varsinaisena palvelinalustanakin. Alman hallinnointiin on k\u00e4yt\u00f6ss\u00e4 Foreman \/ Katello-yhdistelm\u00e4. Hakemistopalveluna on FreeIPA.<\/p>\n\n\n\n

\"\"
Foreman\/Katellon toiminta asennuspalvelimena ei ole ihan suoraviivaista (bugitonta<\/em>), mutta teht\u00e4viss\u00e4<\/figcaption><\/figure>\n\n\n\n

J\u00e4rjestelmien tilaa, vaatimustenmukaisuutta ja haavoittuvuusasioita tarkastelee Wazuh (SIEM \/ XDR \/ yms), joka korvasi alunperin suunnitellun Graylogin, sill\u00e4 hardware on l\u00e4hes poikkeuksetta niin legacya ett\u00e4 Graylogin MongoDB-elementti\u00e4 ei saa en\u00e4\u00e4 ajoon n\u00e4ill\u00e4 laitteilla. Se nimitt\u00e4in edellytt\u00e4isi versiosta 5 alkaen prosessoreilta AVX-tukea, jota ei ole Lenovo p330:st\u00e4 (OPNsense) lukuunottamatta saatavilla nykyisell\u00e4 laitekannalla.<\/p>\n\n\n\n

\"\"
Wazuh kunnollisen ohjelmiston tavoin tukee my\u00f6s BSD-, Solaris<\/strong>-, HP-UX-, AIX-unixeja.<\/figcaption><\/figure>\n\n\n\n
\"\"
J\u00e4rjestelmi\u00e4 pit\u00e4\u00e4 toki p\u00e4ivitt\u00e4\u00e4 ja suojata instituutin uumenissakin<\/figcaption><\/figure>\n\n\n\n

Verkko on vasta siin\u00e4 vaiheessa, ett\u00e4 fyysinen toteutus (kaapelointi, kytkimet jne) on hiljakseen valmistumassa. Ymp\u00e4rist\u00f6n sis\u00e4ll\u00e4 on nelj\u00e4 (itse asiassa viisi<\/em>) fyysist\u00e4 eri verkkoa joita k\u00e4ytet\u00e4\u00e4n tiettyihin tarkoituksiin (kuten hallinta, valvonta, asennus, backup\/transfer jne<\/em>). Laitteistoa voitaneen kuvata kohtalaisena kuluttajasektorin gigabitin toteutuksena. Huomaa, ett\u00e4 nyt esimerkiksi kuvamateriaalissa n\u00e4kyv\u00e4t hostnamet, ip-osoitteet ja muut verkon parametrit ja detaljit tulevat muuttumaan.<\/em><\/p>\n\n\n\n

\"\"
Kuvanoton j\u00e4lkeen on tapahtunut aika paljon. Mutta Passiivi-Instituutin “ATK-sali” on kaikessa yksinkertaisuudessaan t\u00e4ss\u00e4.<\/figcaption><\/figure>\n\n\n\n

Hypervisorit tosiaankin ovat Proxmoxeja ja n\u00e4iden ohella varmistusasioissa k\u00e4ytet\u00e4\u00e4n mainioksi osoittautunutta ja tarkoituksella useaan kertaan disaster recovery<\/em>-testattuakin Proxmox Backup Server-ratkaisua. <\/p>\n\n\n\n

Storage alkoi yleisell\u00e4 tasolla k\u00e4rsi\u00e4 niukkuudesta ja erin\u00e4isten mutkien kautta instituutin haltuun p\u00e4\u00e4tyi ilmaiseksi<\/em> HP Microserver N54L-laitteisto G7-ajalta, sis\u00e4lt\u00e4en 1 x 1TB SSD ja 4 x 4TB levyt, joista ZFS RAIDZ1-toteutuksella muodostui 12TB tilaa. Lis\u00e4sin yhden I350-T4 quad ethernet-kortin ja hypervisoreiden virtuaalikoneiden varmistukset kulkevat jo “varmistusverkkoa<\/em>” pitkin t\u00e4h\u00e4n ja toiseenkin PBS-instanssiin eri laitteistolla. T\u00e4m\u00e4 N54L siis toimii sek\u00e4 NAS- ett\u00e4 varmistusteht\u00e4viss\u00e4 (PBS).<\/p>\n\n\n\n

\"\"
P\u00f6lyn ohella sis\u00e4lt\u00e4 l\u00f6ytyi 4 x 4TB levyt (ja 1 x 1TB SSD)!<\/figcaption><\/figure>\n\n\n\n

Sitten piti viel\u00e4 DL380-Proliantin osalta DIY-menetelmin korjata storage controllerin cachen akkuvarmennus, s.o. vaihtaa akku. En suostunut maksamaan sataa euroa uudesta akustosta, ja etenkin kun Mikael ehdotti ett\u00e4 eik\u00f6h\u00e4n tuollaisen voisi itsekin tehd\u00e4, niin tuumasta toimeen! Valmista tuli noin kolmanneksella kustannuksista, storage controller tukee nyt t\u00e4ysi\u00e4 RAID-m\u00e4\u00e4rittelyj\u00e4. Jossakin “huoltokatkossa” pit\u00e4\u00e4 tuhota nykyinen vmstorage, rakentaa se uusiksi saaden siten ihan tuntuvastikin lis\u00e4kapasiteettia, ja taas kerran tehd\u00e4 full restore varmistuksilta.<\/p>\n\n\n\n

\"\"
Piirikortti on pienen postimerkin kokoinen, ja johtojen juottaminen siihen oli ik\u00e4n\u00e4k\u00f6iselle melkein mahdoton operaatio.<\/figcaption><\/figure>\n\n\n\n

T\u00e4m\u00e4n lis\u00e4ksi kaikkiaan yhteentoista fyysiseen koneeseen on vaihdettu muistikammat, CMOS-akut ja viel\u00e4 odotellaan yht\u00e4 prosessoria hallintaty\u00f6asemaa vahvistamaan.<\/p>\n\n\n\n

\"\"
ThinkCentre-pino on 63cm korkea ja n\u00e4yt\u00f6ist\u00e4 voi p\u00e4\u00e4tell\u00e4, ett\u00e4 ik\u00e4n\u00e4\u00f6n takia olen tihrustanut manuaalisivuja sormiavusteisesti.<\/figcaption><\/figure>\n\n\n\n

Verkkokaapelit ja kytkinportit (aliverkoissa Zyxelin hallittavat GS1200-8<\/em>) ovat loppuneet kesken jo kahteen kertaan. Virransy\u00f6tt\u00f6 on vahva ja ymp\u00e4rist\u00f6n tosiasiallinen s\u00e4hk\u00f6tehon tarve melko pieni, jopa DL380 G7:n osalta, joka nykyisell\u00e4 kuormituksellaan vie aika tarkkaan 200W.<\/p>\n\n\n\n

OPNsense\/Zenarmor (j\u00e4lkimm\u00e4inen oikein lisensoitu versio<\/em>) on toistaiseksi viel\u00e4 vain l\u00e4pireititt\u00e4v\u00e4ss\u00e4 modessa ja sijaitsee v\u00e4liaikaisesti WAN-linkkins\u00e4 osalla “normiverkossa”, sill\u00e4 TODO-listalla on niin fyysisen verkon kuin VLAN:ien ja ennen muuta palvelinkohtaisten verkkomuutosten teko, ennen kuin muuris\u00e4\u00e4nn\u00f6st\u00f6\u00e4 saati VPN-yhteyksi\u00e4 p\u00e4\u00e4see m\u00e4\u00e4rittelem\u00e4\u00e4n ja ylip\u00e4\u00e4t\u00e4\u00e4n erist\u00e4m\u00e4\u00e4n koko ymp\u00e4rist\u00f6n muista verkkoalueista. Keskeiset elementit kuten OPNsense, hypervisorit, varmistuspalvelimet ja storage (NAS) k\u00e4ytt\u00e4v\u00e4t kaikki hallintayhteytens\u00e4 lis\u00e4ksi I350-T4 ethernet quad-kortteja.<\/p>\n\n\n\n

Hiljattain s\u00e4hk\u00f6verkossa oli hetkellinen j\u00e4nnitepiikki tai muu h\u00e4iri\u00f6, jonka seurauksena ensin n\u00e4ytti silt\u00e4 ett\u00e4 DL20 G9 olisi saanut virtal\u00e4hteeseens\u00e4 vaurion. Toiveikkain mielin sit\u00e4 kuitenkin tuli “potkaistua kylkeen” ja niin se vain toipui t\u00e4st\u00e4 vikatilastaan, mutta todenn\u00e4k\u00f6isesti kannattaa jonkinlaisiin ylij\u00e4nnitesuojiin l\u00e4hiaikoina investoida.<\/p>\n\n\n\n

Tarve olisi viel\u00e4 yhdelle ainakin G7\/G8 – sarjaiselle hypervisorille. Internetin kauppapaikoilla n\u00e4it\u00e4 konevanhuksia toki n\u00e4kyy ja hinnat ovat kuin pohjoisnavan ainoassa basaarissa, eli “kunhan siit\u00e4 jotain saa”. Ihan toimivia vehkeit\u00e4 ne kuitenkin ovat, ja on t\u00e4st\u00e4 laitekierr\u00e4tyksest\u00e4 esimerkkin\u00e4 hallintaty\u00f6asemakin, jonka myynti p\u00e4\u00e4ttyi jo 14 vuotta sitten (Dell Optiplex 780 SFF) ja sain sen aikoinaan SER-l\u00e4j\u00e4st\u00e4 silloisessa ty\u00f6paikassa. Aivan kelpo se on edelleen, varsinkin nyt 16GB muistinsa ja kohta uuden (k\u00e4ytetyn) prosessorinsa kanssa. Oikein neliytiminen, mallisarjan lippulaiva-voimanl\u00e4hde on tulossa.<\/p>\n\n\n\n

\"\"
Dell Optiplex 780 SFF on aivan k\u00e4ytt\u00f6kelpoinen ty\u00f6asema nykyisinkin<\/figcaption><\/figure>\n\n\n\n

Yksi k\u00e4\u00e4nnett\u00e4v\u00e4 ohjelmisto Solaris 11 osalta pit\u00e4\u00e4 viel\u00e4 tutkia, nimitt\u00e4in CDE, joka harmillisesti j\u00e4i pois Solaris 11 esittelyn yhteydess\u00e4 aikoinaan. Optiplexin Debian 12 saattaa vaihtua Solaris 11 + CDE – pakettiin, mik\u00e4li k\u00e4\u00e4nt\u00f6 ja toiminnallisuus havaitaan onnistuneeksi. On siin\u00e4 Debianissa nykyisinkin CDE, mutta aito Solaris olisi kuitenkin ehdotonta k\u00e4ytt\u00f6j\u00e4rjestelmien aatelia.<\/p>\n","protected":false},"excerpt":{"rendered":"

Kuluneet viikot ovat sis\u00e4lt\u00e4neet eritt\u00e4in paljon laitteisto-, verkko- ja j\u00e4rjestelm\u00e4rakennusta. T\u00e4t\u00e4 kirjoittaessa ollaan kes\u00e4kuun alkup\u00e4iviss\u00e4, ja varmaankin lopullinen kokoonpano alkaa […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,6],"tags":[],"class_list":["post-147","post","type-post","status-publish","format-standard","hentry","category-passiivi-instituutti","category-unix"],"_links":{"self":[{"href":"https:\/\/www.passiivi-instituutti.fi\/index.php\/wp-json\/wp\/v2\/posts\/147","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.passiivi-instituutti.fi\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.passiivi-instituutti.fi\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.passiivi-instituutti.fi\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.passiivi-instituutti.fi\/index.php\/wp-json\/wp\/v2\/comments?post=147"}],"version-history":[{"count":4,"href":"https:\/\/www.passiivi-instituutti.fi\/index.php\/wp-json\/wp\/v2\/posts\/147\/revisions"}],"predecessor-version":[{"id":163,"href":"https:\/\/www.passiivi-instituutti.fi\/index.php\/wp-json\/wp\/v2\/posts\/147\/revisions\/163"}],"wp:attachment":[{"href":"https:\/\/www.passiivi-instituutti.fi\/index.php\/wp-json\/wp\/v2\/media?parent=147"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.passiivi-instituutti.fi\/index.php\/wp-json\/wp\/v2\/categories?post=147"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.passiivi-instituutti.fi\/index.php\/wp-json\/wp\/v2\/tags?post=147"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}