Kemp, az új TMG 01

Marhára kíváncsi vagyok, hány embernek maradt benne a blog az RSS olvasójában. Persze, ebben én is hibás vagyok, mindenhol azt hirdettem, hogy kész, vége, kampec. Megszűnt. Se kedvem, se időm.
Csak szólok, mielőtt még túl nagy remények ébrednének, hogy olyan nagy terveim továbbra sincsenek a bloggal. Ezt a sorozatot megírom, mert érdekel és szeretném magamnak is dokumentálni a folyamatot. De utána valószínűleg megint pangás jön.

Akkor jöjjön a lecsó.

Amikor megszűnt a TMG, nem kicsi maszatolás kezdődött a Microsoft részéről. Nem akarok belemenni, még most is érzékeny számomra egy kicsit a téma. Abba sem akarok belemenni, mennyi kínos pillanatunk volt az ügyfeleinknél, akik mondjuk Exchange szervert szerettek volna publikálni, mi pedig megpróbáltunk ködösíteni. Az opensource proxyk valamin mindig elhasaltak, a Microsoft megoldásai (ARR, WAP) pedig… hagyjuk. A vége az lett, hogy az MS is azt tanácsolta, használjunk loadbalancert. Ők is azt teszik.

Nos, miért ne?

Emlékszem, öt-hét évvel ezelőtt a loadbalancerek árai valahol a csillagos égben jártak. Aztán elkezdtek lejjebb csúszni. Aztán néhány Exchange blogban megjelentek írások arról, hogy nocsak, Kemp. És tényleg. A Kemp loadbalancerek árai egészen barátiak (akkor $1500 körül volt a beszálló kategória, ma azt hiszem $2000, ezt vesd össze egy fizikai szerver, egy Windows Server és egy TMG licensz együttes árával), és ami a leginkább figyelemreméltó, rámozdultak arra a résre, mely a TMG kiütése után keletkezett: kijöttek egy ESP (Edge Security Pack) termékkel, mely pont azt tudja, mint a TMG. Az ESP árának ugyan nem néztem utána, de ha nincs szükséged a teljes funkcionalitására, akkor az alap loadbalancerhez le lehet tölteni template-ket, ezekben komplett benne vannak az adott MS szerverek publikálásához szükséges virtuális szerverek.

Szóval éreztem, hogy ezzel foglalkozni kellene, csak hát nekem itthon nem volt erre a célra még tíz dollárom sem. A végső lökést az adta meg, hogy kijött a virtuális platformokra telepíthető Free LoadMaster. Ez egy ügyesen lebutított termék, pont annyira, hogy produktív környezetben azért ne nagyon tudd használni, de ha meg akarsz vele ismerkedni tesztkörnyezetben, arra azért elég legyen.

A sorozat első részében addig fogunk eljutni, hogy leírom, hogyan lehet beszerezni, hogyan lehet telepíteni és legfőképpen hogyan lehet belicenszelni.

1. Letöltés
Ez a legegyszerűbb. (Mondjuk, nekem sikerült ezt is elrontanom.) A fenti linken van egy download menüpont. Ha még nincs regisztrált felhasználód a Kemp-nél, akkor csinálni kell egyet. Az emailcím szigorúan valódi kell legyen, mert ide fogják küldeni a licenszkulcsot. (Meg a későbbi reklámleveleket.)
Ha ezen túl vagy, lépjél be. Lesz egy form, itt lehet kiválasztani, hogy milyen verziójú VMware/Hyper-v host szervered van, aztán már jön is a csomag.

2. Telepítés
Amit letöltöttél, az egy kellően részletes telepítési segédlet és egy komplett virtuális gép. A manuál nem hosszú, érdemes elolvasni. (Húsz oldal, ebből négy oldal blabla.) Gyakorlatilag a virtuális gépet be kell importálni, na meg persze elő kell készíteni számára a terepet. Nem árt, ha már előtte megtervezed a tesztkörnyezetet és létrehozod a szükséges vswitcheket. Vigyázat, a Kemp eth0 interfészén internethozzáférést kell biztosítani! És nem csak a telepítés idejére, hanem folyamatosan. (Igen, ezen jelentget az anyacégnek. Ezért free.)
Na mindegy, kapcsoljuk be. Ha ügyesek vagyunk (azaz a virtuális gép konfigján már beállítottuk neki a megfelelő switchet, azaz egy olyat, amelyen elérhető a DHCP szolgáltatás is), akkor egy olyan IP címet fog mutatni a karakteres képernyő, melyen keresztül el is tudjuk érni a grafikus felületet a böngészőből. Ha nem, akkor szopunk.

From Segédlet

3. Licenszelés
Lépjünk be. (Kopp-kopp, szabad.) Mármint a webes felületen. A default felhasználónév és jelszó benne van a doksiban. Előbb-utóbb feljön egy licenszelő ablak. Lehet választani az online/offline változatok között. Én valamilyen okból az offline változatot választottam, ekkor egy emailben kapott szöveget kellett bemásolni egy formba. A licenszelés ezután simán lement. Fontos tudni, hogy ez a licensz 30 napra szól, azaz legkésőbb 30 naponta meg kell újítani. A gyakorlatban ez úgy néz ki, hogy ha a loadbalancer az eth0 lábával rajta van a neten, akkor minden nap bejelentkezik az anyacéghez és valamikor frissíti a licenszet. Ha 30 napnál tovább nincs számára net, akkor azt a loadbalancert elbuktuk, meghal.

4. Alapkonfigurálás
Rögtön az elején célszerű rendberakni az IP címet, illetve IP címeket. A DHCP által osztott címet átraktam a saját címtartományom fix IP-s részébe. Nyilván újra be kellett lépnem. Az eth0 interfészhez kapcsolódnak DNS/DGW beállítások is, bár ezeket trükkösen máshol kell megadni. (System Configuration, ezen belül Local DNS Configuration, illetve Route Management.) Állítsuk be a belső interface (eth01) IP címét is. A jelszó megváltoztatását csak azért nem írom le, mert ezt rögtön az elején maga az eszköz erőszakolja ki.

Ezzel gyakorlatilag készen is vagyunk, a loadbalancer működőképes.

14 Comments

  1. Je, je, je, igen Joep újra a régi.
    .
    .
    .
    .
    Jó olvastam, nem lehet, hogy ez valami új fogyózós módszer?

  2. Hát, annak nem rossz, eddig mnusz hét kiló, csak éppen a nemevéses fogyás egyrészt egészségtelen (jórészt izomból megy), másrészt nehezen fenntartható.

  3. hrongyorgy

    2015-05-13 at 08:50

    “Ha nem, akkor szopunk.”

    Annyira azert nem szopas egy IP cimet varazsolni egy linuxos gepre.

    Eloszor is, azon a csunya karakteres kepernyon be kell jutni egy root jelszoval (benne kell lennie a doksiban), majd kiadjuk a kovetkezo 3 parancsot:

    killall dhcpcd dhclient
    ifconfig eth0 10.0.1.65 netmask 255.255.255.0 up
    route add default gw 10.0.1.1

    Ezzel mar elerunk egy olyan atmeneti allapotot, amikoris a gep elerhetove valik az itt megadott IP cimen, sot, internetje is lesz. Persze a webes konfiguralast nem usszuk meg, de ennyivel is kevesebb.

  4. hrongyorgy

    2015-05-13 at 08:51

    ” be kell jutni egy root jelszoval”

    Javitas: root felhasznalonevvel, es az ahhoz tartozo jelszoval.

  5. @hrongyorgy: Na, ennek a három parancsnak a kiadása a részemről már szopás. Ne felejtsd el, Windows rendszergazdáknak szóló TMG pótlékról van szó.
    (Nem néztem utána, de egyáltalán nem vagyok biztos benne, hogy a megadott usernév/jelszó páros root jogosultságú-e. A webfelületen mindent megtehet, ez igaz, de a felületre egyáltalán nincs minden kivezetve.)

  6. Még nálam is fent van a blogod az RSS readerben, bár bevallom nem nagyon foglalkoztam már vele.

    Ez a KEMP tényleg jó cuccnak tűnik, főleg h. van free változata ami LAB célokra pont ideális. Már letöltöttem a VHD-t még régebben, és ha lesz egy unatkozós hetem be is lövöm majd.

  7. Csak azért, mert nem frissül, nem szoktam törölni az RSS-olvasóból. Így amikor visszakeresek egy cikket, ezt akár offline-módon is meg tudom tenni (ezért keserített el, hogy nem találtam olyan RSS-olvasót, amivel be lehetne szabályozni, hogy mondjuk az utolsó x cikket szedje le offline-ba, adott helyről).

  8. hrongyorgy

    2015-05-17 at 09:13

    @JoeP: Ezt pont egy Exchange MVP mondja egyebkent, akinek manapsag kilometer, vagy meg annal is hosszabb PowerShell parancsokat kell osszepakolnia zsakszamra ennel nem sokkal bonyolultabb hibak megoldasa kozben. 😀

  9. hrongyorgy

    2015-05-17 at 09:17

    Btw, ha nem root erossegu a user, akit kaptal, es nem is tudsz vele sudo -zni, akkor ennek a problemanak erdemes minel elobb utananezni. Lehet akarmilyen csodafaja egy webes felulet, elobb-utobb bele fogsz szaladni olyasvalamibe, amit nem tudsz ott beallitani, es nem fogod tudni meguszni a konzolon torteno “szopast”, ahhoz viszont celszeru jo elore felderiteni, hogyan lehetsz egy gyoker. Lehet, hogy az eletben nem kell hasznalnod soha ezt a tudast, lehet, hogy mar holnap szukseged lesz ra, sosem lehet tudni. A konzol pont ugyanolyan fontos egy Linuxnal, mint az Exchange Management Shell egy leveledzoszervernel.

  10. @hrongyorgy: Ez azért több helyen is sántít. Egyrészt 2011 óta nem vagyok MVP, másrészt a Powershell az rendszeren belül van, ahhoz értenie kell egy Exchange üzemeltetőnek. Linux shellhez nem feltétlenül.

  11. Tegnap beléptem a karakteres felületre. Hááát… érdekes.

  12. hrongyorgy

    2015-05-18 at 08:17

    @JoeP Bovebben?

  13. De türelmetlen valaki. 🙂 Nem a kommentekben fogom megírni a teszteket. 🙂

  14. Jelzem az en rss emben is benne van meg a blogod…

Leave a Reply to JoeP Cancel reply