Schlagwort-Archive: RedHat

Persönliche Bewertung von Red Hat Insights

Dies ist der letzte Teil meiner Artikelserie „Einführung in Red Hat Insights“. An dieser Stelle schließe ich mit meinem Test ab, entferne die Systeme aus dem Cloud-Dienst und nehme eine persönliche Bewertung der SaaS-Anwendung vor.

Hinweis: Ich habe den Dienst im Rahmen meiner beruflichen Tätigkeit im Bielefelder IT-Service Zentrum (BITS) der Universität Bielefeld getestet. Dieser Artikel spiegelt meine persönliche Ansicht zu Red Hat Insights wieder. Des Weiteren weise ich darauf hin, dass ich Mitglied der Red Hat Accelerators Community bin (siehe „Zu meiner Person“).

Systeme aus Insights entfernen

Im Einführungsartikel habe ich ein kleines Ansible-Playbook verwendet, um den insights-client und weitere benötigte Pakete auf den teilnehmenden Hosts zu installieren. Dieses wird nun angepasst und dazu genutzt, die Systeme aus Insights zu entfernen und die nicht mehr benötigten Pakete zu deinstallieren:

---
- hosts: rh-insights-poc # Gruppe aus dem Ansible-Inventory
  tasks:


  - name: Register insights-client
    command: insights-client --unregister

  - name: Make sure required packages are present
    yum:
      name:
        - openscap-scanner
        - scap-security-guide
        - insights-client
      state: absent

Nur wenige Minuten nach Ausführung des Playbooks sind die Systeme aus Insights gelöscht.

Abschließende Bewertung von Red Hat Insights

Meiner Ansicht nach ist es Red Hat mit Insights gelungen, einen nützlichen Dienst bereitzustellen, der einen deutlichen Mehrwert für bestehende Subskriptionen bietet. Und dies ohne Mehrkosten. Das Dashboard ist übersichtlich, gut strukturiert und lässt sich intuitiv bedienen. Es bietet von zentraler Stelle aus Zugriff auf vielfältige Informationen zu den eigenen Systemen und Artikeln in den Wissens- und Lösungs-Datenbanken von Red Hat und weiteren Unternehmen.

Insgesamt war mir die Erkundung von Insights eine Freude und hat einige neue Erkenntnisse zu Tage gefördert, die andernfalls vermutlich noch lange im Dunkeln verborgen geblieben wären. Dies gilt insbesondere für den Advisor und das Vulnerability Management. Diese beiden Komponenten stellen für mich die wertvollsten Bestandteile von Insights dar.

Auch die übrigen Komponenten Compliance, Patch und Drift machen einen guten Eindruck. Für Sysadmins, die Compliance nach gewissen Standards wie z.B PCI-DSS oder HIPAA nachweisen müssen, ist die gleichlautende Komponente ein hilfreiches Werkzeug. Patch und Drift sind nette Anwendungen, welche noch ein wenig Potenzial für Verbesserungen haben, den Dienst jedoch gut ergänzen.

Nicht näher betrachtet habe ich das Rollen- und Rechte-Konzept von Insights. Grundsätzlich werden die im Customer Portal existierenden Benutzer in die Insights-Benutzerverwaltung kopiert und dort als Standard-Benutzer berechtigt. Damit darf jeder Benutzer erstmal alles. Dies finde ich nicht ganz so geschickt. Auch wenn man die Rechte der einzelnen Nutzer mit vorhandenen Rollen anschließend beschränken kann, hätte ich mir hier einen anderen Ansatz gewünscht. Zum Beispiel hätte man einem Organisations-Administrator das Recht einräumen können, weitere Benutzerkonten zu importieren und entsprechend zu berechtigen. Vielleicht ist unter meinen Lesern jemand, der sich mit diesem Thema bereits intensiver beschäftigt hat. In diesem Fall freue ich mich, wenn Sie/Er die gemachten Erfahrungen mit uns teilt.

Doch wo Licht ist, gibt es meist auch Schatten. Denn für die Funktionsweise des Dienstes ist es notwendig, dass auf den angeschlossenen Systemen umfangreiche Informationen gesammelt und an den Cloud-Dienst übertragen werden. Dieser wird auf OpenShift innerhalb von AWS (US East) betrieben. Auch wenn der Dienst keine personenbezogenen Daten sammelt (oder dies zumindest zu vermeiden versucht), erhält der Dienstbetreiber detaillierte Informationen über vorhandene Schwachstellen und Konfigurationsfehler der eigenen Systeme. Aus den aggregierten Daten lässt sich eine Karte der eigenen IT-Infrastruktur mit ihren Schwachstellen und potenziellen Einfallstoren erstellen.

Ich persönlich tue mich deshalb schwer mit dem Gedanken, all unsere RHEL-Systeme an den Dienst anzubinden. Davon abgesehen bin ich kein Jurist und kann die rechtliche Seite einer möglichen Nutzung gar nicht abschließend beurteilen. Sysadmins sollten hier frühzeitig das Gespräch mit ihren Vorgesetzten, Informationssicherheits- und Datenschutzbeauftragten suchen, bevor sie sich bereits mit einem Test des Cloud-Dienstes in die Nesseln setzen.

Doch vielleicht erhört das Insights-Produkt-Team eines Tages das Flehen von mir und weiteren Kunden aus Deutschland bzw. Europa und stellt eine On-Premises-Variante des Dienstes, z.B. in Form einer virtuellen Appliance, bereit. Ohne zu wissen, wie meine Vorgesetzten dazu stehen, wäre mir diese sogar Geld wert. Bis es soweit ist, wird uns eine ausgedehnte Nutzung von Insights nicht möglich sein.

Support-Subskriptionen von SUSE und RedHat

Nachdem ich an dieser Stelle bereits ausführlich über das kommerzielle Angebot Ubuntu Advantage berichtet habe, möchte ich in diesem Artikel kurz die Support-Subskriptionen von SUSE und RedHat vorstellen.

Die Subskriptionen

Beim SUSE Linux Enterprise Server (SLES) sowie dem RedHat Enterprise Linux (RHEL) handelt es sich um kommerzielle Produkte, welche nur mit einer gültigen Subskription verwendet werden dürfen.

Mit einer Subskription erhält man neben dem Recht, das erworbene Enterprise Linux verwenden zu dürfen, auch Zugriff auf Software-Paketquellen und darin enthaltene Updates für das Betriebssystem und enthaltene Software. Darüber hinaus umfassen die Subskriptionen Zugang zu Wissensdatenbanken und zu technischem Support. Für letzteren legen die einzelnen Subskriptionen auch das jeweilige Service-Level-Agreement fest.

Im Unterschied zu Ubuntu Advantage umfassen die in der folgenden Tabelle dargestellten Subskriptionen keine Verwaltungs-Werkzeuge, wie z.B. das von Canonical angebotene Landscape. Diese können sowohl bei SUSE, als auch bei RedHat zusätzlich erworben werden.

Die folgende Tabelle bietet eine Übersicht über die gängigen Support-Subskriptionen für SLES und RHEL:

SLES StandardSLES PriorityRHEL StandardRHEL Premium
Subskription für1-2 Sockets oder 1-2 VMs1-2 Sockets oder 1-2 VMs2 Sockets, 1 physischer Server oder 2 VMs2 Sockets, 1 physischer Server oder 2 VMs
Software Upgrades & UpdatesJaJaJaJa
Anzahl Supportanfragenunbegrenztunbegrenztunbegrenztunbegrenzt
ZugangChat, Telefon und E-MailChat, Telefon und E-MailWeb und TelefonWeb und Telefon
Verfügbarkeit12x524x78x524x7
Reaktionszeiten
Stufe 12 Std.1 Std.1 Geschäfts-Std.1 Std.
Stufe 24 Std.2 Std.4 Geschäfts-Std.2 Std.
Stufe 31 Werktag4 Std.1 Werktag4 Std.
Stufe 41 Werktag1 Werktag2 Werktage8 Std. initial / 2 Werktage ongoing
Listenpreis pro Jahr670 EUR1.250 EUR700 EUR1.139 EUR

Die in der Tabelle enthaltenen Informationen beziehen sich auf die bei Veröffentlichung dieses Artikels aktuellen Angaben der Distributionen.

Die dargestellten Subskriptionen gelten für je einen physischen Server mit 1-2 CPU Sockets oder 2 VMs. Besitzt man einen physischen Server mit mehr als 2 CPU-Sockets muss eine Subskription mehrfach erworben werden, um diesen Server abzudecken. Besitzt ein Server bspw. 4 CPU-Sockets, muss die Subskription für diesen Server zweimal erworben werden. Möchte man die benötigte Anzahl der Subskriptionen für virtuelle Maschinen bestimmen, so lautet die Formel Anzahl VMs / 2 = Anzahl benötigter Subskriptionen.

Bei den Subskriptionen für virtuelle Maschinen spielt es dabei keine Rolle, ob diese mit Hilfe von VMware, Microsoft Hyper-V, XEN oder KVM betrieben werden.

Ab einer bestimmten Menge VMs ist es kostengünstiger statt Subskriptionen für einzelne VMs solche einzusetzen, welche das gesamte virtuelle Datacenter abdecken:

SUSE für hochdichte VirtualisierungsumgebungenRed Hat Enterprise Linux for Virtual Datacenters
StandardPriorityStandardPremium
Gültig für1-2 Sockets mit unbegrenzter Anzahl virtueller Maschinen1-2 Sockets mit unbegrenzter Anzahl virtueller Maschinen1-2 Sockets mit unbegrenzter Anzahl virtueller Maschinen1-2 Sockets mit unbegrenzter Anzahl virtueller Maschinen
Listenpreis für 1 Jahr1.330 EUR2.490 EUR2.192 EUR3.507 EUR

Die in der obigen Tabelle dargestellten Subskriptionen gelten jeweils für einen physischen Host, auf welchem virtuelle Maschinen ausgeführt werden. Zum Beispiel müssen für einen VMware vSphere-Cluster bestehend aus drei physischen Hosts mit je 1-2 CPU Sockets dann drei der entsprechenden Subskriptionen erworben werden. Auch hier gilt wieder, besitzt ein Host mehr als 2 CPU-Sockets, muss die jeweilige Subskription entsprechend mehrmals für diesen Host gekauft werden, bis die Gesamtzahl der CPU-Sockets pro Host abgedeckt ist.

Der Vorteil dieses Subskriptions-Modells liegt darin, dass hiermit beliebig viele VMs in einem virtuellen Datacenter betrieben werden können. Wird das virtuelle Datacenter jedoch um einen physischen Host erweitert, muss für diesen ebenfalls eine Subskription erworben werden, obwohl weiterhin die gleiche Anzahl VMs darauf ausgeführt wird. Je nach Kostenbetrachtung kann dies einen Nachteil darstellen.

Die folgenden Diagramme stellen den Break Even der jeweiligen Subskriptionen dar. Sie wurden für die Verwendung eines virtuellen Datacenters bestehend aus 3 Hosts mit jeweils 1-2 CPU Sockets berechnet.

Bei den in diesem Artikel verwendeten Preisen handelt es sich um Listenpreise. Beim Kauf von Subskriptionen über einen Fachhändler können je nach Umfang der Bestellung meist noch Rabatte gewährt werden.

Neben den hier betrachteten Subskriptionen existieren noch weitere für die Bereiche Forschung und Lehre sowie zur Erweiterung des Leistungsumfangs. Weitere Informationen dazu finden sich über die Links am Ende dieses Artikels.

Die in diesem Artikel enthaltenen Informationen wurden im Rahmen einer Linux-Evaluierung im Hochschulrechenzentrum der Uni Bielefeld erhoben.

Links