OPSI bei der Gemeente ’s-Hertogenbosch

Bei der Gemeente ’s-Hertogenbosch sind über 60 Linux-Server im Einsatz, die ganz unterschiedliche Dienste bereitstellen: Dateiserver, Workload Automation, internes Wiki, Proxyserver, zentralisiertes Logsystem, Vulnerability Scanner usw.

Bei den Linux-Servern handelt es sich um virtuelle Server, die mit der aktuellen Ubuntu-LTS-Version bestückt sind. Waren es vor der Einführung von opsi als Konfigurationsmanagement noch etwa 45 Server, sind es inzwischen um die 65 Maschinen – Tendenz steigend.

Joke Holmer arbeitet als Senior Medewerker Infrastructuur bei der ICT-infrastructuur und kümmert sich um die Linux-Server. Zusammen mit ihrem Team hat sie im Oktober 2018 nach einer Lösung gesucht, um die virtuellen Server effizienter zu verwalten. Neue Instanzen sollen nicht nur per Knopfdruck mit einer frischen Linux-Installation ausgestattet werden, sondern auch im Vorfeld Konfigurationsdateien erhalten, die zum Einsatz der Server als Test- oder Produktivsystem passen.

Frischer Code für den Rollout

Schon vor der Einführung von Ubuntu als Server-Betriebssystem und opsi als Konfigurationsmanagement setzte das ICT auf Linux bei den Servern. Ein Wechsel von SUSE Linux Enterprise zu Ubuntu zeichnete sich ab, als die Oracle-Datenbanken aus lizenzrechtlichen Gründen auf Solaris-Rechner migriert wurden. Das Team entschied sich damals für Ubuntu mit Langzeitunterstützung (LTS, Long Term Support) als Linux-Distribution.

Das neue Konfigurationsmanagement sollte nicht nur zugänglich und leicht zu erlernen sein, sondern auch mit professionellem Support vom Hersteller, regelmäßigen Updates und Handbüchern auf Niederländisch oder Englisch ausgestattet sein. Weiterhin enthielt die Anforderungsliste die folgenden Punkte:

• Wenig Last auf den Servern,
• Unterstützung aller gängigen Linux-Distributionen,
• Verteilen von frischen Installation beim Ausrollen der Server,die auf OS-Ebene 100 % identisch ist.

Auf der darüber liegenden Anwendungsschicht wollen Joke Holmer und ihre Kolleg*innen ohne großen Aufwand und automatisiert unterschiedliche Konfigurationen an die Server verteilen. Das Konfigurationsmanagement sollte keinesfalls in festgelegten Intervallen die Konfiguration auf den verbundenen Hosts prüfen und ggf. überschreiben.

Template und Konfiguration über opsi Pakete

Vier Open-Source-Anwendungen kamen in die engere Wahl, aber nur bei opsi war alles im grünen Bereich. Im Juni 2019 fiel daher die Entscheidung für opsi (open System Integration). Joke Holmer entwickelte in kurzer Zeit das erste Template für die Ubuntu-Server, das der opsi-Server der Gemeente ’s-Hertogenbosch per Linux-Agent auf die virtuellen Maschinen bringt.

“Sogar Kolleg*innen ohne (ausreichende) Linux-Kenntnisse können dank opsi neue Server in kurzer Zeit ausrollen.”

Das ICT hat spezielle Sicherheits-Anforderungen, z. B. was das Anlegen von Benutzern und Gruppen sowie das nachträgliche Installieren von Paketen betrifft. Außerdem sollen die neuen Clients automatisch der AD-Domäne beitreten und Agenten für die Monitoring-Software und das Job-Scheduling (jeweils weitere Open-Source-Lösungen) erhalten.

Dazu kommen Datenbankserver, eine Mailserver-Konfiguration für den internen Versand und Skripte für den Logfile-Versand zu einer zentralen Stelle. Joke Holmer hat etliche opsi-Pakete gebaut, die sie an die Ubuntu-Clients verteilt. Neben dem Basis-Template für die OS-Installation liefert sie gezielt Konfigurationen mit opsi-Localboot-Produkten aus.

Am ICT findet das Client-Management derzeit an zentraler Stelle mit der grafischen Management-Oberfläche opsi-configed statt. Dank des opsi-GUIs können auch Kolleg*innen ohne (ausreichende) Linux-Kenntnisse neue Server in kurzer Zeit ausrollen.

“Bei opsi ist alles im grünen Bereich – das System erfüllt alle unsere Wünsche und Anforderungen.”