===Sissejuhatus===

Lets encrypt on teenus mis pakub tasuta popup-free sertifikaate. See loodi 2016 ning selle taga on ettevõtted nagu Akamai, Cisco, Mozilla ning mitmed sõltumatud eraisikud.

Let's Encrypt kasutab oma tööks ACME ehk Automatic Certificate Management Environment protokolli, mille
abil saab tellida sertifikaate täisautomaatselt. Selle töö näeb välja umbkaudu järgnev

#. Tarkvara genereerib võtme ja sertifikaadipäringu
#. Sertifikaadipäring allkirjastatakse ja saadetakse lets encrypt API-le
#. Lets encrypt server teeb valideerimise päringu domeeni vastu, millele sertifikaati taodeldakse, kus ta kontrollib http://domeen.ee/.well-known/acme-challenge/{token} olemasolu ja vastavust
#. Sertifikaadid genereeritakse ja laetakse automaatselt letsencrypti juurest alla serverisse

Sertifikaadid kehtivad vaid 90 päeva.

===Paigadus debiani ja apachega===

Kui virtualhost on juba seadistatud on paigaldus väga lihtne, tuleb esiteks installida cerbot ja selle apache moodul

# apt install python-certbot-apache

Ning seejärel küsida domeeni

# certbot --apache -d zoo.tartu.ee

Viimane käsk on võimeline juba ise tuvastama serveri seadistuse, tekitama sobivasse kohta vajaliku võtme ning asendama virtualhostis ka varasemad sertifikaadid

===Paigaldus certbotiga nginx puhul===

Installime CentOSis epel release ja cerboti

yum install https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
yum install certbot

Tekitame nginx confi

cat <<EOF > /etc/nginx/default.d/letsencrypt.conf
location /.well-known {
root /srv/letsencrypt;
}
EOF

Tekitame cerboti kausta

# mkdir /srv/letsencrypt/

Tekitame cerboti konfi

cat <<EOF > /srv/letsencrypt/letsencrypt.ini
agree-tos
email = info@zoo.tartu.ee

authenticator = webroot
webroot-path = /opt/letsencrypt
EOF

Stardine nginxi

# systemctl start nginx
# systemctl enable nginx

Küsime sertifikaadi

# certbot certonly -n -c /srv/letsencrypt/letsencrypt.ini -d zoo.tartu.ee

Automaatseks uuendamiseks võib tekitada cron faili /etc/cron.d/letsencrypt

MAILTO=info@zoo.tartu.ee
11 2 1 * * root /usr/bin/certbot certonly -n -c /srv/letsencrypt/letsencrypt.ini -d zoo.tartu.ee && /usr/bin/systemctl restart nginx

===Paigaldus Acme skriptiga===

Veebiserveri ettevalmistus. Nagu ülal kirjutatud siis vajab letsencrypt võimalust valideerida kasutaja õigust domeenile. Selleks tuleb veebiserverisse seadistada ligipääs
letsencrypti genereeritud tokenile. Nginxi korral tuleb tekitada järgnev konstruktsioon

location /.well-known/acme-challenge/ {
root /var/www/certbot;
}

Tõmbame vajaliku skripti alla ja paneme käima

curl https://get.acme.sh | sh

See paigaldab ka croni töö mis tegeleb sertifikaatide uuendamisega.

Küsime endale sertifikaadi

acme.sh --issue -d test.org -w /var/www/certbot

Keerukamad kasutusjuhud. Nt dockeri puhul võime ka täpselt ette anda sertifikaatide asukohad ja käsu dockeri sees nginxi restardiks

acme.sh --install-cert -d test.org \
--cert-file /apps/myapp/certs/cert.pem \
--key-file /apps/myapp/certs/key.pem \
--reloadcmd "docker-compose -f /apps/myapp/docker-compose.yml exec wen nginx -t reload"

Wildcard domeeni jaoks sertifikaadi tekitamiseks

acme.sh --issue -d example.com -d '*.example.com' --dns dns_cf

Let's Encrypt

2021-01-14T09:17:57Z

Jj: /* Paigaldus certbotiga */

SPF kasutamine Postfixiga

2020-11-16T14:24:25Z

Jj: /* Kasulikud lisamaterjalid */

=Sissejuhatus=

SPF http://www.openspf.org/ ...

SPF kontroll käib '''ümbriku''' saatja (envelope from) pihta (ehk siis kirja body sees olev From).

SPF on Sender Policy Framework, mis peaks koostöös [[DKIM_ja_DMARC | DKIM ja DMARCiga]] tänapäevaste meetoditega võitlema spämmi saatmise vastu.

SPF töötab kirja VASTUVÕTVA postiserveris ja kontrollib saatja domeeni ja kirja saatnud e-posti serveri vastavust.

SPF on TXT nimekirje nimeserveris ja koosneb:

"v=spf1 a mx -all"

== TXT kirje komponendid ==
* v= - versioon, hetkel ainuke valiidne spf1
* [a mx ... jne] - määrab ära, kes võib kirja saata
* -all - vt piirangud

== kirjasaatja võimalused ==
* a - lubab kirjasaatmise domeeni A kirjelt (dünaamiline, st muutes A kirjet kehtib SPF reegel edasi)
* mx - lubab kirjasaatmise domeeni MX kirjelt (dünaamiline, st muutes MX kirjet kehtib SPF reegel edasi)
* include:_spf.protection.uusdomeen.ee - includeb _spf.protection.uusdomeen.ee kirje sinu kirje sisse (samuti dünaamiline, kuna selle kirje muutumisel muutub ka sinu kirje)
* 193.40.0.2/32 - võid kasutada IPd ja/või vahemikku kirjasaatmise lubamisel

== Piirangud ==
* -all - range "fail" - keela kõik ülejäänud
* ~all - pehmem "softfail" - hoiata kirjasaajat ja suhtu ettevaatlikkusega
* ?all - veelpehmem "neutral" - neutraalne olek, suhtutakse samamoodi nagu SPF kirjet "ei oleks"
* +all - vägapehme "pass" - SPF kirje küll on, aga lase kõik teised ka läbi

=Tarkvara paigaldamine=

SPF tarkvara paigaldamiseks sobib öelda

# apt-get install postfix-policyd-spf-python

=Nimesüsteemi ettevalmistamine=

spf.py skriptiga saab testida SPF DNS TXT kirjet, nt selliselt

* küsida domeeni SPF andmeid

$ python /usr/share/pyshared/spf.py loomaaed.tartu.ee
v=spf1 ip4:192.168.10.0/24 mx a:mail.loomaaed.tartu.ee ~all

* Testida ettenäidatud SPF andmetele vastavalt tulemust

$ python /usr/share/pyshared/spf.py "v=spf1 +mx +ip4:10.0.0.2 -all" 10.0.0.1 mart@loomaaed.tartu.ee a
('fail', 550, 'SPF fail - not authorized') -all

==null SPF kirjed==

www.loomaaed.tartu.ee. IN TXT "v=spf1 -all"

==SPF seadistamine kirju vastuvõtva Postfixi juures==

Kirju vastuvõtva Postfixi juures juhib SPF tööd seadistusfail /etc/postfix-policyd-spf-python/policyd-spf.conf, mille sisu on vaikimisi selline ja võiks üldiselt sobida kasutamiseks

# cat /etc/postfix-policyd-spf-python/policyd-spf.conf
debugLevel = 1
defaultSeedOnly = 1

HELO_reject = SPF_Not_Pass
Mail_From_reject = Fail

PermError_reject = False
TempError_Defer = False

skip_addresses = 127.0.0.0/8,::ffff:127.0.0.0//104,::1//128

kus

* debugLevel - määrab mail.log faili logi kirjutamise määra
* defaultSeedOnly - väärtus 0 kasutamisel posti liiklust SPF ei muuda, kuid kirjadele lisatakse vastavad päised
* HELO_reject -
* Mail_From_reject -
* PermError_reject - kontrollib, mida teha, kui vasvata SPF TXT nimekirje lahendamisel saadakse vastuseks katkine kirje, nt kirjes esineb süntaksiviga; False puhul käsitletakse sellist olukorda samaväärselt kirje puudumisega

action=prepend Received-SPF: Permerror (SPF Permanent Error: Invalid IP4 address: ip4:1.2.3.4.5)

* TempErrorDefer - kontrollib, mida teha kui, kui vasvata SPF TXT nimekirje lahendamine ei õnnestu, nt vastavalt nimeserverilt ei saada vastust; False puhul käsitletakse sellist olukorda samaväärselt kirje puudumisega

action=defer_if_permit Message deferred due to: SPF Temporary Error: DNS no working nameservers found.

Kasulikud lisamaterjalid

* man policyd-spf.conf

=SPF testimine=

Öelda

$ python /usr/bin/policyd-spf /etc/postfix-policyd-spf-python/policyd-spf.conf < /tmp/sisend
action=prepend Received-SPF: None (no SPF record) identity=mailfrom; \
client-ip=192.168.0.1; helo=mail.loomaaed.tartu.ee; envelope-from=mart@loomaaed.tartu.ee; receiver=priit@eesti.ee

kus

$ cat /tmp/sisend
request=smtpd_access_policy
protocol_state=RCPT
protocol_name=SMTP
helo_name=mail.loomaaed.tartu.ee
sender=mart@loomaaed.tartu.ee
recipient=priit@eesti.ee
client_address=192.168.0.1
TÜHI RIDA JA REA LÕPUS REAVAHETUS

=Postfixi seadmistamine=

Seadista main.cfi
# postfix-spf kasutamine
policy-spf_time_limit = 3600s

ja muutujasse

smtpd_recipient_restrictions=

lisa väärtus
check_policy_service unix:private/policy-spf

'''NB! policy-spf peab kattuma sellega, mida kasutad master.cf failis!'''

master.cf täienda järgnevalt

# SPF reeglid
policy-spf unix - n n - 0 spawn
user=nobody argv=/usr/bin/policyd-spf

=Süsteemi kasutamine=

TODO

=SRS=

Sender Rewrite Scheme

TODO

=Märkused=

* TODO

=Kasulikud lisamaterjalid=

* [[:Postfix]]
* http://www.postfix.org/SMTPD_POLICY_README.html
* [[:Spam]]
* http://en.wikipedia.org/wiki/Sender_Policy_Framework
* http://en.wikipedia.org/wiki/Sender_Rewriting_Scheme
* http://www.rfc-editor.org/rfc/rfc4408.txt
* http://homepage.ntlworld.com./jonathan.deboynepollard/Proposals/IM2000/
* http://www.openspf.org/SRS
* https://www.sidn.nl/en/news-and-blogs/hands-on-implementing-spf-dkim-and-dmarc-in-postfix
* https://domainaware.github.io/parsedmarc/ raportitest graafikute joonistaja

SPF kasutamine Postfixiga

2020-11-16T14:23:48Z

Jj:

DKIM ja DMARC

2020-11-12T09:05:46Z

Jj:

DKIM ja DMARC on kaks venda kolmest (kolmas on SPF, millel on eraldi peatükk [[SPF_kasutamine_Postfixiga]]), mida loetakse tänapäeva moodsa e-mailinduse kaitsjateks.

DKIM tähendab DomainKeys Identified Mail
DMARC tähendab Domain-based Message Authentication Reporting and Conformance

Näites on kasutatud Arch Linuxit, Postfixi ja OpenDKIM ja OpenDMARC tarkvarasid.
Eeldatud on, et Postfix on juba esialgselt seadistatud.

= DKIM =
DKIM mõte on selles, et väljuvatele kirjadele pannakse päisesse lisainformatsioon kirja allkirjastamise kohta. Käesoleval hetkel kasutatakse RSA võtmeid (vaikimisi 1024bit). Väga suuri võtmeid ei soovitata kasutada, kuna avalik võti ei pruugi ära mahtuda UDP vastusesse*. Lisaks võib suurem võti põhjustada suurt koormust arvuti protsessorile (olenevalt muidugi kirjade "käibest"/mahust).

DKIM seadistamisel on alustuseks vaja DKIMi takrvara seadistada ja seejärel nimeserverisse lisada oma domeenile TXT kirje (kui soovid ise ka allkirjastama hakata väljuvaid kirju).
TXT kirje peab olema kujul: selector._domainkey.uusdomeen.ee ja selle sisu
"v=DKIM1; k=rsa; s=email;" "p=avalik võti base64 encodingus"

<nowiki>*</nowiki> - Siit tuleb ka välja UDP vastuse mõte - kuna DNS päringud on UDP, siis peab kogu TXT päring mahtuma UDP vastusesse ära.

== TXT kirje komponendid ==
* v= - versioon, hetkel ainuke valiidne väärtus DKIM1
* k= - võtmetüüp, hetkel ainuke valiidne väärtus rsa
* s= - teenuse tüüp, vaikimisi on "*", võimalik ka "email"
* p= - avalik võti base64 encodingus

"Lihtsam" kirjaviis oleks:

"v=DKIM1; p=võti..."

DKIMi puhul lähtutakse kahest eraldi kirja mõlemast sektsioonist: header ja body. Mõlema jaoks on võimalik reegel kirjutada - kas range/leebe.

== OpenDKIM seadistamine ==

Paigalda DKIM tarkvara kasutades pakihaldust

pacman -Sy opendkim

Tekib töötav konfiguratsioonifail
/etc/opendkim/opendkim.conf

Tutvu sellega ja seadista vastavalt.

=== Konfiguratsioon ===

Vaikimisi töötab opendkim '''sign''' ja '''verify''' režiimis. Seda saad muuta Mode parameetriga:
* sv - sign + verify
* v - verify
* s - sign
Vaikimisi piisab verify režiimist, sellisel juhul valideeritakse ainult sissetulevaid kirju. Kui soovid ka oma domeene allkirjastada, pead kasutama sign režiimi lisaks.

'''Verify''' töötab ilma lisaseadistuseta. Veendu vaid, et nimelahendus töötab. ;)

Lisks on olulised konfiguratsiooniparameetrid '''SigningTable''', '''KeyTable''' ja '''InternalHosts'''.

* SigningTable - sisaldab saatjadomeeni ja võtme vastavust.
* KeyTable - sisaldab iga selectori ja domeeni paari ning privaatvõtme asukohta.
* InternalHosts - sisaldab domeene/IP-sid, millelt tulnud kirju signeeritakse (ülejäänusid ainult verifitseeritakse).

Canonicalization määrab ära kuidas suhtutakse header/body muutumisse. Ehk siis vaikimisi on rangem režiim ('''simple/simple'''). See tähendab, et header/body puhul ei lubata peaaegu mingit ümberkirjutamist.
Soovitusi on kahtepidiseid, aga siin näites on arvestatud pigem sellega, et päiseid võib ümber kirjutada ('''relaxed''') ja sisu mitte ('''simple''')

# kirja header/body jaoks - väärtused simple või relaxed
Canonicalization relaxed/simple

=== Socket või IP ===
Kui DKIMile tullakse ligi vaid kohalikust masinast, siis on mõistlik kasutada socketit.
IP peale konfigureerides pead veenduma, et sinna ei saa keegi võõras ligi (vastasel juhul saab ta sinna ju saata oma soovitud kirja allkirjastamiseks jmt "jubedusi" teha).

Selle jaoks konfigureeri vastavalt soovile:
#Socket inet:8891@localhost
Socket local:/run/opendkim/opendkim.sock

Näites siis tehakse socket asukohta /run/opendkim/opendkim.sock

'''NB! Seda pead kasutama pärast ka Postfixi konfiguratsioonis.'''

Selleks, et postfix saaks opendkimile ligi on soovituslik opendkim lisada postfix gruppi:

usermod -a -G postfix opendkim

Sellisel juhul on vaja ka konfiguratsioonis umask paika panna (et socketi õigused oleksid rwxrwx---)

UMask 007

== Uue allkirjastatava tsooni lisamine ==

Lisa vajadusel InternalHost faili uus kirje.

Tekita võtmete jaoks uus kaust (kui juba pole) ja sinna alla loodava domeeni jaoks kaust, näiteks:

mkdir -vp /etc/opendkim/keys/uusdomeen.ee

Vaheta kausta

cd /etc/opendkim/keys/uusdomeen.ee

ja tekita uus tsoon käsuga

opendkim-genkey --restrict --domain uusdomeen.ee --bits 1024 --selector default

võid muuta väärtusi vastavalt vajadusele. Arvesta, et --bits on vaikimisi 1024. Kui kasutad konfis mingit muud MinimumKeyBits suurust, siis pead seda arvestama võtme loomisel.

Seepeale tehakse sulle kaks faili (--selector argumendile vastavalt): nimeserveri jaoks TXT kirje ja privaatvõti (default.private ja default.txt).

Muuda KeyTable faili, lisades sinna

default._domainkey.uusdomeen.ee uusdomeen.ee:default:/etc/opendkim/keys/uusdomeen.ee/default.private

Muuda SigningTable faili, lisades sinna

uusdomeen.ee default._domainkey.uusdomeen.ee

SigningTable faili puhul olen kohanud ka kirjapilti esimeses väljas *@uusdomeen.ee. Oleneb vist sellest, kas konfis on vaikimisi alamdomeenide allkirjastamine ka sees. Ülanäite puhul tehakse (kuna klapib), aga *@ näite puhul pigem mitte, sest et reegel kehtib vaid @uusdomeen.ee puhul (mitte @alamdomeen.uusdomeen.ee).

'''Mõlema faili puhul arvesta oma domeeni ja selectori ja kaustapuuga! :)'''

Nüüd mine oma nimeserveri haldusesse (või palu seda kellelgi teha) ja täienda seda TXT kirjega:

<pre>
default._domainkey.uusdomeen.ee IN TXT ( "v=DKIM1; k=rsa; s=email; "
"p=avalik_võti_base64_encodingus" ) ;
</pre>
Olen kohanud ka kirjapilti ilma jutumärkideta. Sellisel juhul peaks kogu kirje olema ilma. Selles näites on mõlemad osad omaette jutumärkidega.

== Kirja näidispäised ==
Ühe DKIMi poolt allkirjastatud näidiskirja päisest võib leida

<pre>
DKIM-Filter: OpenDKIM Filter v2.10.3 mxfilter.uusdomeen.ee 861BF8005D
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=uusdomeen.ee;
s=default; t=1570605036;
bh=LQZPc7Ca6aVneKHX25GlrXx4Xtkwjb0tLZwuCasB0MU=;
h=From:To:Subject:Date;
b=e2QagT5U4OjBPjTA7sHdGDAMR9R/UilD6TOsXavn5C3Kg49mIMZXsYF6XF30U5uS3
uB6GRQZwZDQR6C3R1adTSW4qlgTN3eZzREm8DhNthDTG4nsmucOdSNYsFkQBuTgShJ
V5b/2kOyFAjEeiI9UqIf8gcy6F6uiJhOhKQLQG3Y=
</pre>

h=From:To:Subject:Date;
Tunnetuslik selgitus hetkel, aga h= peaks näitama neid päiseid, mis olid olemas kirja allkirjastamise hetkel. RFC seletab keeruliselt?

== Postfixiga integreerimine ==

Lisa Postfixi main.cf' faili

<pre>
# DKIM reeglid
smtpd_milters = unix:/run/opendkim/opendkim.sock
non_smtpd_milters=$smtpd_milters
milter_default_action = accept
</pre>

== Probleemid DKIMiga ==
Kui kasutad rohkem kui ühte väljuvat e-postiserverit sama domeeni kirjade saatmiseks (nt mailchip või mõni muu masspostitustööriist vmt), siis peaksid seadistama kõigile DKIMi kasutamise. Vastasel juhul on osad kirjad varustatud DKIMi päisega ja osad mitte. Kuna aga su nimeserverist tuleb DKIMi vastus - mis osutub valideerimisel valeks - võib saaja kirja kas minema visata või karantiini või junki panna.

'''DKIMi võtmeid võib olla rohkem kui üks ja neid saad (pead) eraldada selektoriga!'''

= DMARC =

DMARC (Domain-Based Message Authentication, Reporting & Conformance) on protokoll, mis ehitab ennast juba olemasolevate SPF ja DKIM protokollide peale lisades autori, domeeni nime, soovitused kirjade käitlemiseks ning võltskirjade eest kaitseks teated domeeni haldurile.

DMARC seadistatakse analoogselt kahe vennaga nimeserveris ja selle ilmestamiseks on _dmarc.uusdomeen.ee TXT kirje sisuga:

"v=DMARC1;p=reject;rua=<nowiki>mailto:dmarcreports@uusdomeen.ee</nowiki>"

DMARC kontrollib '''kirja''' From: (header from) päist.
SPF kontroll käib aga '''ümbriku''' saatja (envelope from) pihta. Kui need domeenid erinevad ja kirjal DKIM allkirja pole, siis DMARC kontroll ebaõnnestub!

== TXT kirje komponendid ==
* v= - versioon, hetkel ainuke valiidne väärtus DMARC1
* p= - policy/poliitika - soovitus, mida kirjadega teha
* rua, fo, rf, ri - vaata [[#Aruanded]] alampeatükki
'''NB! p= peab olema kohe peale v= parameetrit!'''

== Aruanded ==

DMARC reeglite poolt on võimalik nendelt e-posti serveritelt aruannete küsimine, kuhu kirju on saadetud.

Aruannete (Raporting) kohta on neli väärtust TXT kirjes võimalik määrata:

* fo= - mille kohta aruandeid saadetakse
* rf= - raporti formaat
* ri= - intervall kui tihti raportit saadetakse (vaikimisi 24h)24h).
* rua= - raporti saatmise aadress, forumaat <nowiki>mailto:dmarcreports@example.com</nowiki>.

'''NB! rua domeen peaks olema samas domeenis!'''

== OpenDMARC seadistamine ==

Paigalda pakihaldusest opendmarc pakk

pacman -Sy opendmarc

Tekib töötav konfiguratsioonifail

/etc/opendkim/opendkim.conf

=== Konfiguratsioon ===
Tutvu sellega ja seadista vastavalt. Soovituslik on example/esialgsed väärtused alles jätta.
Konfiguratsioon on piisavalt ''self-explanatory''.

Selleks, et opendmarc tarkvara töötaks Postfixiga samas grupis oleks mõistlik seadistada opendmarc service käivitusel:

mkdir -vp /etc/systemd/system/opendmarc.service.d/
cat > /systemd/system/opendmarc.service.d/override.conf <<EOT
[Service]
Group=
Group=postfix
EOT

=== Socket või IP ===
Kui DMARCile tullakse ligi vaid kohalikust masinast, siis on mõistlik kasutada socketit.

Selle jaoks konfigureeri vastavalt soovile:

# Socket inet:8893@localhost
Socket unix:/run/opendmarc/opendmarc.sock

Näites siis tehakse socket asukohta /run/opendmarc/opendmarc.sock

NB! Seda pead kasutama pärast ka Postfixi konfiguratsioonis.

Selleks, et postfix saaks opendkimile ligi on soovituslik opendkim lisada postfix gruppi:

usermod -a -G postfix opendkim

Sellisel juhul on vaja ka konfiguratsioonis umask paika panna (et socketi õigused oleksid rwxrwx---)

UMask 007

== Postfixiga integreerimine ==

Vaata ka OpenDKIM Postfixiga integreerimine.

Postfixi main.cf' faili tuleb lisada

# DKIM reeglid
smtpd_milters = unix:/run/opendmarc/opendmarc.sock

Kui sul juba on olemas smtpd_milters muutuja, siis jäta opendkim ettepoole ja dmarc tahapoole.

Veendu, et sul oleks seadistatud ka:

non_smtpd_milters=$smtpd_milters
milter_default_action = accept

= Lingid =
* Zone DKIM: https://help.zone.eu/kb/dkim/
* Zone DMARC: https://help.zone.eu/kb/dmarc-reeglid/
* OpenDMARC - http://www.trusteddomain.org/opendmarc/
* OpenDKIM - http://opendkim.org/
* DKIM RFC4871 - http://dkim.org/specs/rfc4871-dkimbase.html
* Abiks DMARC'i seadistamisel - https://www.kitterman.com/dmarc/assistant.html

Ruutiv mitmeharuline tulemüür

2020-11-10T08:12:33Z

Jj: /* Lahendus ja pf.conf faili seadistus */

{{Täienda}}
===Tulemüüri ja võrgu konseptsioon===

On asutus Loomaaed mil domeen zoo.tartu.ee. Asutusele on ISP poolt
terve C klass IP aadresse. See on omakorda jagatud veel mitmeks eri võrguks.
On kontorivõrk, on serverite võrk, on majutatud serverite võrk (mitmesugused
hobi ja teadlaste projektid, loodusuurijate serverid ja loomade jälgimise kaamerad jms). Lisaks
kõigele sellele on olemas veel NATitud sisevõrk ning kasutust leiab uus
edumeelne protokoll IPV6.

Asutusel on olemas server millel piisavalt CPU jõudlust ning kokku on masinas ülesannete
täitmiseks neli võrgukaarti.

NB! Põhieesmärk on luua tulemüür mis eraldab võrke, roudib pakette ning blokeerib mustade
nimekirjade alusel halbu aadresse. Eelduseks on see, et kõigil serveritel
on juba olemas oma isiklik personaalne tulemüür kõhus.

Vaja on mingisugust kontrollkihti reeglite ja kasutaja ette. Ehk siis kogematta tehtud näpuviga
ei hävitaks kogu meie serveriparki ja kontorit hoobilt. Näiteks mingi fireholi laadne wrapper ees on üsnagi hea kuna suudab vigase süntaksi tagasi tõrjuda enne kui iptablesi käskudeks selle moondab jms.

'''Mõned ideed miks sedalaadi tulemüüri üldse vaja?'''

*Annab koha kust lülitada „halbu“ aadresse välja.
*Võimaldab piirata kontori windows masinaid
*Võimaldab eraldada majutatud võrgu masinad kontorist
*Pakub keskpunkti load-balance tegemiseks
*Võimaldab kehtestada kiirusepiiranguid majutatud võrgule
*Annab NATitud sisevõrku läpakatele

'''Nõutavad tingimused tulemüüri tarkvarale'''

*Lihtne süntaks reeglite kirjutamiseks, või kirjutamise abivahend.
*Saaks kasutada lisaks filtreerimisele ka ruutimiseks
*Oleks maailmas piisavalt levinud (arendatud)
*Tasuta (võiks olla opensource ning aktiivne st suure kasutajatebaasiga ja aktiivses arenduses)
*Võimaldaks erinevaid (koormus ja võrguühenduste)graafikuid joonistada
*Peab olema võimeline hakkama saada suure hulga reeglitega ja massiivse hulga ühendustega. Näiteks
mingi 10 000 ühendust kogu serveripargile pole eriti ulmeline olukord millega tarkvara peab suutma hakkama saada ja seejuures mitte piduriks jääma. Vaja on, et lisaks reeglite töötlusele oskaks
tarkvara ka pakette kiirelt ruutida.

'''Mõningad kaalutud tarkvaralised/riistvaralised lahendused ja esilekerkinud puudused'''

*Juniper – Liiga kallis raud (Garantiileping on kulukas ja ilma garantiita paha)
*Pfsense – Ilus aga puudus IPV6 tugi
*Checkpoint – kallis ja haldus liiga Windowsi sõbralik
*Haljas iptables – keeruline käsitsi kirjutada, vead kerged tekkima.
*Iptables ja Firehol – mitmesugused puudused (ipv6 puudus nt)
*Cisco – PIX liiga primitiivne ja erinevad haldusmoodulite hankimine taas kallis

Packet Filter tundub lahendavat enamus nõudmistest ja on ülal mainitud lahenduste
puudustest vaba. PF juures jääb vaid ainult osustada kas kasutada OpenBSD'd või FreeBSD'd.
Hetkel sai osustatud FreeBSD kasuks kuna selle SMP (mitmiktuumade) osa on rohkem arendatud ning
FreeBSD on oma laiemalt leviku tõttu suuremale hulgale inimestele tuttav. See
samas ei tähenda, et allolevaid reegleid ei saaks kasutada OpenBSD juures. Ainult
RC.CONF seadistus tuleb sellpuhul erinev. Lisaks on tulemüüri konseptsioon ideeliselt
kasutatav igasuguste Linuxiliste ja "karbitulemüüride" puhul.

Packet Filteri peamine miinus, puuduvad igasugused helperid. Näiteks SIP protokolli läbilasuks. Samas
on aga talle olemas hulga erinevaid proxysid, millede kasutamine lisab küll keerukust aga aitab
probleemist üle saada.

===Võrgu poliitika===
*jäme joon - füüsilised ühendused.
*noolega punktiirjoon - tulemüürist lubatud ühendused (nool tähistab suunda, kust-kuhu).

[[Pilt:Serverivork.png]]

C klassiks mis jagatud on 193.40.45.0/24
Ruuteri IP aadress on 193.40.45.1

* Serverivõrk
** seest välja ühendused oleksid kõik lahti
** väljast sisse kõikühendused lahti va serveritele:
** temperatuur.zoo.edu.ee ja monitoorija.zoo.edu.ee

(viimased kaks on vanad legacy serverid mille portidele ei tahaks lubada välismaad)

*Kontorivõrk
** Seest välja ühendused kõik lahti
** väljast sisse liikuvad kõik ühendused kinni va:
** kontor.zoo.edu.ee
** Serverivõrk

Lisaks ei jagaks DHCP teenus edaspidi enam läpakatele ja ajutistele arvutitele
väliseid IP aadresse vaid sisemisi NATitavaid aadresse.

* Majutatud võrk
** sees välja kõik lahti
** väljas sisse kõik lahti

===Lahendus ja pf.conf faili seadistus===

kasutusel võimalikult palju tabeleid, kuna tabelid tõenäoliselt eraldi reeglitest kiiremad.
Olemas eraldi nn mustad nimekirjad kuhu saab kiiresti vajadusel "halbu" aadresse lisada.

NB! Tähele tasub panna, et võrreldes tavalise ühe võrgukaardiga tulemüüriga on reeglid nö tagurpidi keeratud.

Põhimõte tulemüüri valmistamisel oli, mitte kirjutada iga masina kohta käivaid piiranguid üldisesse tulemüüri vaid jätta spetsiifilised porte piiravad reeglid edasi olema igas masinas eraldi Kesksest tulemüürist kehtestatakse üldised piirangud - või siis lubamised.

PS!: Reeglite süntaks on järgmine:
[pass/block(drop/return)] [in/out] [log] [quick] [on interface] [inet/inet6] \
[proto <tcp/udp/icmp/icmp6>] [from src_addr [port src_port]] [to dst_addr [port dst_port]] \
[flags tcp_flags] [state]

<source lang=bash>
ext_if = "fxp0"
server_if = "fxp1"
kontor_if = "fxp2"
majutatud_if = "fxp3"

# Optimiseerimised
set optimization normal
set block-policy drop
set skip on lo0
set limit states 1048576

#set state-defaults pflow
# mitu erinevat remote ip aadressi saavad samaagselt state'isid pidada.
#See peaks olema koos state limiidiga
set limit src-nodes 30000

scrub in all
scrub out all random-id max-mss 1440

# Ruuteri enda aadressid
table <my_addresses> const { 193.40.45.2, 193.40.45.33, 193.40.45.77 }

# Globaalne tabel kus olevad aadressid koheselt blokeeritakse
table <global_block_in_from> { 0.0.0.0/8, 10.0.0.0/8, 127.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 240.0.0.0/4, fc00::/7 }

# Blokeerime spämmarite ligipääsu postiserveritele
table <smtp_block_in_from> persist

# Serverite võrgu aadressid millele ligipääs blokeeritud
table <server_block_out_to> const { 193.40.45.60, 193.40.45.61 }

# Kontori aadressid millele lubatakse ligipääs väljast
table <kontor_pass_out_to> const { 193.40.45.78 }

# Serverite võrk lubatakse kontorivõrgule ligi
table <kontor_pass_out_from> const { 193.40.45.33/26 }

# Nat reegel kontori privaataadressidele
nat on $ext_if inet from 192.168.0.0/16 to any -> ($kontor_if:0)

# IPv6 link-local on lubatud
pass quick to fe80::/10
pass quick from fe80::/10

#* Sisenev võrk
#
pass on $ext_if all

# Nende masinatega internetist me ei suhtle
block in log quick on $ext_if from <global_block_in_from> label "global_block_in"

# Keelame mõnedele kirjade saatmise
block in log quick on $ext_if proto tcp from <smtp_block_in_from> to any port 25 label "smtp_block_in"

# Paarile serverile piirame ligipääsu
block in log quick on $ext_if to <server_block_out_to> label "server_block_out"

# Ruuterile piirame ligipääsu väljast
block in log quick on $ext_if proto { tcp, udp } to <my_addresses> label "global_block_in"

#* Serverivõrk
#
# - seest välja ühendused oleksid kõik lahti
# - väljast sisse kõik ühendused lahti va:

pass on $server_if all keep state

#* Kontorivõrk
#
# - Seest välja ühendused kõik lahti
# - väljast sisse liikuvad kõik ühendused kinni va:
# - serverivõrguga liiklus

block log on $kontor_if all label "blocked_kontor"
pass in on $kontor_if all keep state
pass out on $kontor_if from $kontor_if to $kontor_if:network
pass out on $kontor_if from <kontor_pass_out_from> keep state label "kontor_pass_out"
pass out on $kontor_if to <kontor_pass_out_to> keep state label "kontor_pass_out"

#* Majutatud võrk
#
# - seest välja kõik lahti
# - väljast sisse kõik lahti:

pass on $majutatud_if all keep state

# -- END --
</source>

Reeglite kohta statistikat näeb

# pfctl -v -s rules

Blokitud IP-de tabelisse saab lisada aadressi või aadressivahemiku käsuga

# pfctl -t global_block_in_from -T add 218.70.0.0/16
# pfctl -t smtp_block_in_from -T add 218.70.0.0/16

Tabelis olevaid aadresse saab vaadata käsuga

# pfctl -t global_block_in_from -T show
# pfctl -t smtp_block_in_from -T show

Ja tabelist saab kustutada ridu käsuga

# pfctl -t global_block_in_from -T delete 218.70.0.0/16
# pfctl -t smtp_block_in_from -T delete 218.70.0.0/16

Selleks, et vabaneda liiga vanadest kirjetest tabelites on olemas järgnev käsk.

# /sbin/pfctl -t jobud -Te 86400
..
15/15 addresses expired.

Aeg tuleb anda sekundites. Seejärel kustutatakse tabelist kõik 24 tundi vanad ja vanemad kirjed.
ps: Pacet Filteri reloadimine kustutab ka tabelite sisu. Flushitakse kõik peale olekute.

===RC.CONF faili seadistus===
<source lang=bash>
hostname="tulemyyr"

sshd_enable="YES"
gateway_enable="YES"

defaultrouter="193.40.45.1"
ifconfig_fxp0="inet 193.40.45.2 netmask 255.255.255.224"
# nn serverid
ifconfig_fxp1="inet 193.40.45.33 netmask 255.255.255.224"
# nn kontor
ifconfig_fxp2="inet 193.40.45.75 netmask 255.255.255.224"
ifconfig_fxp2_alias0="192.168.1.254 netmask 255.255.255.0"

pf_enable="YES"
pflog_enable="YES"
pf_conf="/etc/pf.conf"

Vaikimisi on IPv6 routing keelatud seepärast tuleb see eraldi veel lubada, samuti rtadvd deemon.
ipv6_enable="YES"
ipv6_gateway_enable="YES"

rtadvd_enable="YES"
rtadvd_interfaces="igb1 bge0 nfe0"

# ipv6 aadressid testimiseks
ipv6_ifconfig_fxp2="fec0:0:0:1::1/64"
ipv6_ifconfig_fxp3="fec0:0:0:2::1/64"
ipv6_ifconfig_fxp4="fec0:0:0:3::1/64"
</source>

===Tähelepanekuid ehitamisel===

Kui serveril on IPMI liides tuleb see paigaldada võrku mis asub väljaspool tulemüüri
haardeulatust.

Ajutise failoveri saavutamiseks piisab kui kõrval hoida konfitud ja töövalmis sarnane server. Kleepida serverile kaabelduse skeem st mis kaabel kuhu ümber tõsta. Igaks-juhuks teisele kettale kloonitud esimese ketta opsüsteem. Kui aega piisavalt võib mõelda sealt edasi ka CARP & PFsync rakendamisele.

Tasuks vältida integreeritud kaarte ning nvidia kaarte. Soovituslikud oleksid Inteli tooted.

Graafikute joonistamiseks võib käivitada SNMP teenuse.

===Abiks===

[[Packet_filteri_optimiseerimine]]

http://home.nuug.no/~peter/pf/bsdcan2012/

Ruutiv mitmeharuline tulemüür

2020-11-10T08:11:57Z

Jj: /* Lahendus ja pf.conf faili seadistus */

{{Täienda}}
===Tulemüüri ja võrgu konseptsioon===

On asutus Loomaaed mil domeen zoo.tartu.ee. Asutusele on ISP poolt
terve C klass IP aadresse. See on omakorda jagatud veel mitmeks eri võrguks.
On kontorivõrk, on serverite võrk, on majutatud serverite võrk (mitmesugused
hobi ja teadlaste projektid, loodusuurijate serverid ja loomade jälgimise kaamerad jms). Lisaks
kõigele sellele on olemas veel NATitud sisevõrk ning kasutust leiab uus
edumeelne protokoll IPV6.

Asutusel on olemas server millel piisavalt CPU jõudlust ning kokku on masinas ülesannete
täitmiseks neli võrgukaarti.

NB! Põhieesmärk on luua tulemüür mis eraldab võrke, roudib pakette ning blokeerib mustade
nimekirjade alusel halbu aadresse. Eelduseks on see, et kõigil serveritel
on juba olemas oma isiklik personaalne tulemüür kõhus.

Vaja on mingisugust kontrollkihti reeglite ja kasutaja ette. Ehk siis kogematta tehtud näpuviga
ei hävitaks kogu meie serveriparki ja kontorit hoobilt. Näiteks mingi fireholi laadne wrapper ees on üsnagi hea kuna suudab vigase süntaksi tagasi tõrjuda enne kui iptablesi käskudeks selle moondab jms.

'''Mõned ideed miks sedalaadi tulemüüri üldse vaja?'''

*Annab koha kust lülitada „halbu“ aadresse välja.
*Võimaldab piirata kontori windows masinaid
*Võimaldab eraldada majutatud võrgu masinad kontorist
*Pakub keskpunkti load-balance tegemiseks
*Võimaldab kehtestada kiirusepiiranguid majutatud võrgule
*Annab NATitud sisevõrku läpakatele

'''Nõutavad tingimused tulemüüri tarkvarale'''

*Lihtne süntaks reeglite kirjutamiseks, või kirjutamise abivahend.
*Saaks kasutada lisaks filtreerimisele ka ruutimiseks
*Oleks maailmas piisavalt levinud (arendatud)
*Tasuta (võiks olla opensource ning aktiivne st suure kasutajatebaasiga ja aktiivses arenduses)
*Võimaldaks erinevaid (koormus ja võrguühenduste)graafikuid joonistada
*Peab olema võimeline hakkama saada suure hulga reeglitega ja massiivse hulga ühendustega. Näiteks
mingi 10 000 ühendust kogu serveripargile pole eriti ulmeline olukord millega tarkvara peab suutma hakkama saada ja seejuures mitte piduriks jääma. Vaja on, et lisaks reeglite töötlusele oskaks
tarkvara ka pakette kiirelt ruutida.

'''Mõningad kaalutud tarkvaralised/riistvaralised lahendused ja esilekerkinud puudused'''

*Juniper – Liiga kallis raud (Garantiileping on kulukas ja ilma garantiita paha)
*Pfsense – Ilus aga puudus IPV6 tugi
*Checkpoint – kallis ja haldus liiga Windowsi sõbralik
*Haljas iptables – keeruline käsitsi kirjutada, vead kerged tekkima.
*Iptables ja Firehol – mitmesugused puudused (ipv6 puudus nt)
*Cisco – PIX liiga primitiivne ja erinevad haldusmoodulite hankimine taas kallis

Packet Filter tundub lahendavat enamus nõudmistest ja on ülal mainitud lahenduste
puudustest vaba. PF juures jääb vaid ainult osustada kas kasutada OpenBSD'd või FreeBSD'd.
Hetkel sai osustatud FreeBSD kasuks kuna selle SMP (mitmiktuumade) osa on rohkem arendatud ning
FreeBSD on oma laiemalt leviku tõttu suuremale hulgale inimestele tuttav. See
samas ei tähenda, et allolevaid reegleid ei saaks kasutada OpenBSD juures. Ainult
RC.CONF seadistus tuleb sellpuhul erinev. Lisaks on tulemüüri konseptsioon ideeliselt
kasutatav igasuguste Linuxiliste ja "karbitulemüüride" puhul.

Packet Filteri peamine miinus, puuduvad igasugused helperid. Näiteks SIP protokolli läbilasuks. Samas
on aga talle olemas hulga erinevaid proxysid, millede kasutamine lisab küll keerukust aga aitab
probleemist üle saada.

===Võrgu poliitika===
*jäme joon - füüsilised ühendused.
*noolega punktiirjoon - tulemüürist lubatud ühendused (nool tähistab suunda, kust-kuhu).

[[Pilt:Serverivork.png]]

C klassiks mis jagatud on 193.40.45.0/24
Ruuteri IP aadress on 193.40.45.1

* Serverivõrk
** seest välja ühendused oleksid kõik lahti
** väljast sisse kõikühendused lahti va serveritele:
** temperatuur.zoo.edu.ee ja monitoorija.zoo.edu.ee

(viimased kaks on vanad legacy serverid mille portidele ei tahaks lubada välismaad)

*Kontorivõrk
** Seest välja ühendused kõik lahti
** väljast sisse liikuvad kõik ühendused kinni va:
** kontor.zoo.edu.ee
** Serverivõrk

Lisaks ei jagaks DHCP teenus edaspidi enam läpakatele ja ajutistele arvutitele
väliseid IP aadresse vaid sisemisi NATitavaid aadresse.

* Majutatud võrk
** sees välja kõik lahti
** väljas sisse kõik lahti

===Lahendus ja pf.conf faili seadistus===

kasutusel võimalikult palju tabeleid, kuna tabelid tõenäoliselt eraldi reeglitest kiiremad.
Olemas eraldi nn mustad nimekirjad kuhu saab kiiresti vajadusel "halbu" aadresse lisada.

NB! Tähele tasub panna, et võrreldes tavalise ühe võrgukaardiga tulemüüriga on reeglid nö tagurpidi keeratud.

Põhimõte tulemüüri valmistamisel oli, mitte kirjutada iga masina kohta käivaid piiranguid üldisesse tulemüüri vaid jätta spetsiifilised porte piiravad reeglid edasi olema igas masinas eraldi Kesksest tulemüürist kehtestatakse üldised piirangud - või siis lubamised.

PS!: Reeglite süntaks on järgmine:
[pass/block(drop/return)] [in/out] [log] [quick] [on interface] [inet/inet6] \
[proto <tcp/udp/icmp/icmp6>] [from src_addr [port src_port]] [to dst_addr [port dst_port]] \
[flags tcp_flags] [state]

<source lang=bash>
ext_if = "fxp0"
server_if = "fxp1"
kontor_if = "fxp2"
majutatud_if = "fxp3"

# Optimiseerimised
set optimization normal
set block-policy drop
set skip on lo0
set limit states 1048576

#set state-defaults pflow
# mitu erinevat remote ip aadressi saavad samaagselt state'isid pidada.
#See peaks olema koos state limiidiga
set limit src-nodes 30000

scrub in all
scrub out all random-id max-mss 1440

# Ruuteri enda aadressid
table <my_addresses> const { 193.40.45.2, 193.40.45.33, 193.40.45.77 }

# Globaalne tabel kus olevad aadressid koheselt blokeeritakse
table <global_block_in_from> { 0.0.0.0/8, 10.0.0.0/8, 127.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 240.0.0.0/4, fc00::/7 }

# Blokeerime spämmarite ligipääsu postiserveritele
table <smtp_block_in_from> persist

# Serverite võrgu aadressid millele ligipääs blokeeritud
table <server_block_out_to> const { 193.40.45.60, 193.40.45.61 }

# Kontori aadressid millele lubatakse ligipääs väljast
table <kontor_pass_out_to> const { 193.40.45.78 }

# Serverite võrk lubatakse kontorivõrgule ligi
table <kontor_pass_out_from> const { 193.40.45.33/26 }

# Nat reegel kontori privaataadressidele
nat on $ext_if inet from 192.168.0.0/16 to any -> ($kontor_if:0)

# IPv6 link-local on lubatud
pass quick to fe80::/10
pass quick from fe80::/10

#* Sisenev võrk
#
pass on $ext_if all

# Nende masinatega internetist me ei suhtle
block in log quick on $ext_if from <global_block_in_from> label "global_block_in"

# Keelame mõnedele kirjade saatmise
block in log quick on $ext_if proto tcp from <smtp_block_in_from> to any port 25 label "smtp_block_in"

# Paarile serverile piirame ligipääsu
block in log quick on $ext_if to <server_block_out_to> label "server_block_out"

# Ruuterile piirame ligipääsu väljast
block in log quick on $ext_if proto { tcp, udp } to <my_addresses> label "global_block_in"

#* Serverivõrk
#
# - seest välja ühendused oleksid kõik lahti
# - väljast sisse kõik ühendused lahti va:

pass on $server_if all keep state

#* Kontorivõrk
#
# - Seest välja ühendused kõik lahti
# - väljast sisse liikuvad kõik ühendused kinni va:
# - serverivõrguga liiklus

block log on $kontor_if all label "blocked_kontor"
pass in on $kontor_if all keep state
pass out on $kontor_if from $kontor_if to $kontor_if:network
pass out on $kontor_if from <kontor_pass_out_from> keep state label "kontor_pass_out"
pass out on $kontor_if to <kontor_pass_out_to> keep state label "kontor_pass_out"

#* Majutatud võrk
#
# - seest välja kõik lahti
# - väljast sisse kõik lahti:

pass on $majutatud_if all keep state

# -- END --
</source>

Blokitud IP-de tabelisse saab lisada aadressi või aadressivahemiku käsuga

# pfctl -t global_block_in_from -T add 218.70.0.0/16
# pfctl -t smtp_block_in_from -T add 218.70.0.0/16

Tabelis olevaid aadresse saab vaadata käsuga

# pfctl -t global_block_in_from -T show
# pfctl -t smtp_block_in_from -T show

Ja tabelist saab kustutada ridu käsuga

# pfctl -t global_block_in_from -T delete 218.70.0.0/16
# pfctl -t smtp_block_in_from -T delete 218.70.0.0/16

Selleks, et vabaneda liiga vanadest kirjetest tabelites on olemas järgnev käsk.

# /sbin/pfctl -t jobud -Te 86400
..
15/15 addresses expired.

Aeg tuleb anda sekundites. Seejärel kustutatakse tabelist kõik 24 tundi vanad ja vanemad kirjed.
ps: Pacet Filteri reloadimine kustutab ka tabelite sisu. Flushitakse kõik peale olekute.

Reeglite kohta statistikat näeb

# pfctl -v -s rules

===RC.CONF faili seadistus===
<source lang=bash>
hostname="tulemyyr"

sshd_enable="YES"
gateway_enable="YES"

defaultrouter="193.40.45.1"
ifconfig_fxp0="inet 193.40.45.2 netmask 255.255.255.224"
# nn serverid
ifconfig_fxp1="inet 193.40.45.33 netmask 255.255.255.224"
# nn kontor
ifconfig_fxp2="inet 193.40.45.75 netmask 255.255.255.224"
ifconfig_fxp2_alias0="192.168.1.254 netmask 255.255.255.0"

pf_enable="YES"
pflog_enable="YES"
pf_conf="/etc/pf.conf"

Vaikimisi on IPv6 routing keelatud seepärast tuleb see eraldi veel lubada, samuti rtadvd deemon.
ipv6_enable="YES"
ipv6_gateway_enable="YES"

rtadvd_enable="YES"
rtadvd_interfaces="igb1 bge0 nfe0"

# ipv6 aadressid testimiseks
ipv6_ifconfig_fxp2="fec0:0:0:1::1/64"
ipv6_ifconfig_fxp3="fec0:0:0:2::1/64"
ipv6_ifconfig_fxp4="fec0:0:0:3::1/64"
</source>

===Tähelepanekuid ehitamisel===

Kui serveril on IPMI liides tuleb see paigaldada võrku mis asub väljaspool tulemüüri
haardeulatust.

Ajutise failoveri saavutamiseks piisab kui kõrval hoida konfitud ja töövalmis sarnane server. Kleepida serverile kaabelduse skeem st mis kaabel kuhu ümber tõsta. Igaks-juhuks teisele kettale kloonitud esimese ketta opsüsteem. Kui aega piisavalt võib mõelda sealt edasi ka CARP & PFsync rakendamisele.

Tasuks vältida integreeritud kaarte ning nvidia kaarte. Soovituslikud oleksid Inteli tooted.

Graafikute joonistamiseks võib käivitada SNMP teenuse.

===Abiks===

[[Packet_filteri_optimiseerimine]]

http://home.nuug.no/~peter/pf/bsdcan2012/

FreeIPA

2020-08-11T08:29:35Z

Jj:

===Sissejuhatus===

TODO

[[Fail:Freeipa2.jpg]]

===Serveri paigaldus===

Server vajab esimesena asjana FQDNi ehk siis pädevat domeeni millel töötada mis antud näites on freeipa.test.ee. võimalik on test keskkonnas defineerida ka kõigi masinate hosts failidesse kaudu aga targem oleks see siiski ka reaalselt luua

Lisaks vajab süsteem kõvasti entroopiat mida võib hakata virtuaalmasinates nappima nii tugevalt, et isegi paigaldus võib hanguda, seega tasub esimese asjana lisada süsteemi rng-tools

# apt -y install rng-tools

Misjärel tuleb avada /etc/default/rng-tools ning lisada allolev rida

HRNGDEVICE=/dev/urandom

Misjärel stardime rng-tools deemoni

# sudo systemctl enable rng-tools
# sudo systemctl start rng-tools

FreeIPA paigaldamine Ubuntus

# apt-get install freeipa-server

FreeIPA automaatseks seadistuseks on eraldi utiliit

# ipa-server-install

Kui paigaldus on tehtud saab luua esimesed kasutajad pöördudes selleks kas browseriga serveri domeeni poole või kasutades käsurea utiliiti. Käsurealt kasutajate loomine näeb välja järgnev

# ipa config-mod --defaultshell=/bin/bash
# ipa user-add test --first=testikas --last=vants --email=test@asutus.ee --password

===Kliendi seadistus===

Kliendi paigaldus Ubuntus

# apt-get install freeipa-client

Serveriga ühendamine on automaatne protsess kus tuleb ette anda domeen ning Kerberos realm

# ipa-client-install --hostname=freeipa.test.ee --mkhomedir --server=freeipa.test.ee --domain test.ee --realm TEST.EE

Kliendi eemaldamine

# ipa-client-install --uninstall

Kliendi seadistamine FreeIPA serverile

# authconfig --enablesssdauth --enablemkhomedir --update --enablesssd

===Backup serveri paigaldus===

Paigalda FreeIPA samamoodi nagu peaserverile ning seadista kinit käsuga admin kasutaja

# ipa hostgroup-add-member ipaservers --hosts freeipa.test.ee
# ipa-replica-install --setup-ca

===Lingid===

https://computingforgeeks.com/install-and-configure-freeipa-server-on-ubuntu/

https://computingforgeeks.com/how-to-configure-freeipa-client-on-ubuntu-centos/

https://www.howtoforge.com/how-to-install-freeipa-client-on-ubuntu-server-1804/

2020-08-06T07:08:02Z

Jj:

Let's Encrypt

2020-08-06T07:02:32Z

Jj: /* Paigaldus certbotiga */

Let's Encrypt

2020-08-06T07:02:16Z

Jj:

Keepalived

2020-08-05T23:32:27Z

Jj:

===Sissejuhatus===

Keepalived tarkvara abil on üsna lihtsalt võimalik korraldada kahe või enama arvuti nn aktiivset/passiivset klastrit kasutades VRRP MAC aadressi põhist protokolli. Klastri igal arvutil on oma individuaalne IP aadress, ning lisaks on kogu klastri peale üks virtuaalne IP aadress, millelt on kättesaadav klastri pakutav teenus. Sõltuvalt sellest, kuidas on klastri osalised masteri osas kokku leppinud, on virtuaalne IP parasjagu masteriks oleva arvuti küljes ja teised on nö kõrval-seisvas (ingl. k. standby) asendis. Sarnast võimekust pakub ka CARP protokolli põhine mõnevõrra lihtsam UCARP või heartbeat.

===Paigaldamine===

CentOSis paigaldamiseks tuleb mõlemal nodel käivitada järgnevad käsud

# yum install keepalived
# systemctl enable keepalived

===Seadistus===

Seadistame kaks keepalived serverit millest üks master ja teine slave. Mõlemad jagavad omavahel 192.168.0.5 virtuaalst aadressi.

Master serveri /etc/keepalived/keepalived.conf

global_defs {
notification_email {
info@test.ee
}
notification_email_from keepalived@test.ee
smtp_server 192.168.0.10
smtp_connect_timeout 30
router_id minginimi
vrrp_skip_check_adv_addr
vrrp_garp_interval 0
vrrp_gna_interval 0
}

vrrp_instance VI_1 {
interface eth0 # interface to monitor
state MASTER
virtual_router_id 1
priority 101
virtual_ipaddress {
192.168.0.5
}
}

Slave serveri /etc/keepalived/keepalived.conf

global_defs {
notification_email {
info@test.ee
}
notification_email_from keepalived@test.ee
smtp_server 192.168.0.10
smtp_connect_timeout 30
router_id minginimi
vrrp_skip_check_adv_addr
vrrp_garp_interval 0
vrrp_gna_interval 0
}

vrrp_instance VI_1 {
interface eth0 # interface to monitor
state BACKUP
virtual_router_id 1
priority 100
virtual_ipaddress {
192.168.0.5
}
}

Võimalik on panna keepalived programmi enda IP aadressi masterilt slave serverile vahetama ka teataval tingimusel. Näiteks kui serveris enal haproxy protsess ei tööta

vrrp_script chk_haproxy {
script "pidof haproxy" # check the haproxy process
interval 2 # every 2 seconds
weight 2 # add 2 points if OK
}

Ning vrrp_instance VI_1 alla tuleb lisada

track_script {
chk_haproxy
}

Kuid võimalik on käivitada ka keerukamaid skripte

vrrp_script chk_myscript {
script "/usr/local/bin/mycheckscript.sh"
interval 2 # check every 2 seconds
fall 2 # require 2 failures for KO
rise 2 # require 2 successes for OK
}

2020-08-03T22:24:09Z

Jj:

Slurm resursihaldur

2020-08-03T13:09:15Z

Jj: /* Slurmi klustri paigaldus */

===Sissejuhatus===

Slurm (Simple Linux Utility for Resource Management) on arvutiklastri jaoks mõeldud rakendus mille ülesandeks on jagada etteantud töid mööda arvutiresursse laiali, monitoorida töötavaid protsesse ja pidada tööde üle järjekorda.

Üldiselt näeb slurmi arhidektuur välja sarnane allolevale pildile. On keskne haldusserver, kuhu kasutajad logivad ja käske käivitavad ning terve hulk
arvutusnodesid-servereid, milledele slurm töid edastab.

[[Pilt:SlurmArchitecture.gif]]

===Slurmi klustri paigaldus===

Slurmi server koosneb kolmest suuremast komponendist

# munge - autentimiseks
# slurmctl - mis juhib selle küljes olevaid kliente
# slurmdbd - mis tegeleb kasutusstatistika kogumisega ning vajab omakorda mingit andmebaasi, näiteks Mariadb'd

Munge paigaldamiseks Debianis

# apt-get install libmunge-dev libmunge2 munge

Munge võtme loomine

# sudo dd if=/dev/urandom bs=1 count=1024 > /etc/munge/munge.key
# chown munge:munge /etc/munge/munge.key
# chmod 400 /etc/munge/munge.key

See tekkinud fail tuleb kopeerida ka kõigisse klientidesse

# scp /etc/munge/munge.key <node-user>@<node-ip>:/etc/munge/munge.key

Munge käivitamine

# sudo systemctl enable munge
# sudo systemctl start munge

Paigaldame Mariadb sulrmdb jaoks

# apt-get install mariadb-server

Slurm on andmebaasi parameetrite osas üsna nõudlik ning vajab innodb seadistamist

Debianis tuleb avada /etc/mysql/mariadb.conf.d/50-server.cnf ning lisada

innodb_buffer_pool_size=1024M
innodb_log_file_size=64M
innodb_lock_wait_timeout=900

Stardime mariadb

# systemctl start mariadb
# systemctl enable mariadb

Logime sinna sisse ning tekitame Slurmi kasutaja

# CREATE USER 'slurm2'@'localhost' IDENTIFIED BY 'parool';
# GRANT ALL ON slurm_acct_db.* TO 'slurm'@'localhost';

Seejärel võime paigaldada slurmdb, nii andmebaasi enda kui kõik vajalikud andmetabelid tektiab ta seejuures ise

# apt-get install slurmdb

Tekitame slurmdbd seadistusfaili /etc/slurm-llnl/slurmdbd.conf

AuthType=auth/munge
AuthInfo=/var/run/munge/munge.socket.2
StorageHost=localhost
DbdHost=server-hostname
StoragePort=3306
StorageUser=slurm
StoragePass=parool
StorageType=accounting_storage/mysql
StorageLoc=slurm_acct_db
LogFile=/var/log/slurm-llnl/slurmdbd.log
PidFile=/run/slurmdbd.pid
SlurmUser=slurm
DebugLevel=1

Paneme slurmdbd käima

# systemctl enable slurmdbd
# systemctl start slurmdbd

Paigaldame slurmctrli. See seadistuse osa on ühine nii peaserveril kui ka kliendil

# apt-get install slurm-wlm

Tekitame talle seadistusfaili, kus defineerime ära ühtlasi ka slurmdb ning esimese kliendi. Selleks lisame faili /etc/slurm-llnl/slurm.conf

ClusterName=slurm
ControlMachine=server-hostname
ControlAddr=localhost
#
SlurmUser=slurm
SlurmctldPort=6817
SlurmdPort=6818
AuthType=auth/munge
StateSaveLocation=/var/spool/slurm/ctld
SlurmdSpoolDir=/var/spool/slurm/d
SwitchType=switch/none
MpiDefault=none
SlurmctldPidFile=/run/slurmctld.pid
SlurmdPidFile=/run/slurmd.pid
ProctrackType=proctrack/pgid
ReturnToService=0
#
# Timers
SlurmctldTimeout=300
SlurmdTimeout=300
InactiveLimit=0
MinJobAge=300
KillWait=30
Waittime=0
#
# Accounting
AccountingStorageType=accounting_storage/slurmdbd
AccountingStoreJobComment=YES
JobAcctGatherFrequency=30
JobAcctGatherType=jobacct_gather/linux
#
# Logging
DebugFlags=NO_CONF_HASH
SlurmctldDebug=3
SlurmctldLogFile=/var/log/slurm-llnl/slurmctld.log
SlurmdDebug=3
SlurmdLogFile=/var/log/slurm-llnl/slurmd.log
SlurmSchedLogFile= /var/log/slurm-llnl/slurmschd.log
SlurmSchedLogLevel=3
JobCompType=jobcomp/none
#
# Compute nodes
NodeName=slurm-test NodeAddr=10.40.0.10 Port=17000 Procs=1 State=UNKNOWN
PartitionName=test Nodes=ALL Default=YES MaxTime=INFINITE State=UP

Slurmctrld käivitamiseks

# systemctl enable slurmctld
# systemctl start slurmctld

Tekitame test clustri ning esimese kasutaja

# sacctmgr -i add cluster cluster
# sacctmgr -i add account test Cluster=cluster
# sacctmgr -i add user test Account=test

Kasutajale admin õiguste lisamiseks

# sacctmgr modify user test set adminlevel=admin

Kliendi käivitamine

# systemctl enable slurmd
# systemctl start slurmd

Testimiseks võib kasutada käsku

$ srun uname -a

===Lingid===

https://southgreenplatform.github.io/trainings/hpc/slurminstallation/

https://gist.github.com/asmateus/301b0cb86700cbe74c269b27f2ecfbef

https://implement.pt/2018/09/slurm-in-ubuntu-clusters-pt1/

===Tööde käivitamine===

Saadame slurmi töö mis käivitatakse neli korda ja mis väljastab masina kerneli versiooni.

# '''srun --ntasks=4 uname -a'''
srun: job 561700 queued and waiting for resources
srun: job 561700 has been allocated resources
idu08
idu08
idu08
idu08

Või soovides käivitada lihtsalt kokku 24 tööd kõigil nodedel ja ja lasta slurmil ise nad jagada laiali

# srun --ntasks=24 --partition=gpu hostname

Tasub muidugi tähele panna, et srun sobib peamiselt testimiseks või väga lihtsateks töödeks ning keerukamatel kasutusjuhtudel tuleks kasutada käske salloc või sbatch
Põhimõtteliselt sama esimene näide skriptiga tehtuna, tekitame parallel_uname.sh

<source lang=bash>
#!/bin/bash
#SBATCH –J test # Seadistab töö nime mida näeb squeue käsuga
#SBATCH –N=4 # Määrab mitut füüsilist serverit kasutatakse
#SBATCH --ntasks-per-node=4 # Määrab, mitu ülesannet ühel serveril käivitatakse
#SBATCH --output=kontroll.out # Väljundfaili nimi – programm ei edastada väljundit kohe ekraanile vaid faili.
uname -a # käsk, mida käivitatakse. Antud juhul uname -a
</source>

Lisaks võib seadistada e-maili saatmise töö lõpu korral

#SBATCH --mail-type=END # Type of email notification- BEGIN,END,FAIL,ALL
#SBATCH --mail-user=ajk@123.com # Email to which notifications will be sent

Paneme käima

# '''sbatch parallel_uname.sh'''
Submitted batch job 65918

Ja väljund

# cat slurm-65918.out
Linux stage59 2.6.32-431.17.1.el6.x86_64 #1 SMP Wed May 7 14:14:17 CDT 2014 x86_64 x86_64 x86_64 GNU/Linux

====MPI tööde käivitamine====

Message Passing Interface ehk MPI on paraleelsete programmide loomiseks

Kasutamiseks on vaja laadida moodulid

module load intel
module load openmpi

Slurm skript võiks näha välja järgnev

<source lang=bash>
#!/bin/bash
#SLURM -J myjob
#SLURM -p mpi-core8
#SLURM -t 01:00:00
#SLURM -o myjob-%J.out
#SLURM -N 4
#SLURM --ntasks-per-node=8
module load gcc
module load openmpi
cd subdir
mpirun -np 32 ./myapp
exit 0
</source>

https://computing.llnl.gov/tutorials/mpi/

http://brazos.tamu.edu/software/openmpi.html

===Tööde haldus===

Tööde nimekirja näeb

# squeue
JOBID PARTITION NAME USER ST TIME NODES NODELIST(REASON)
561555 gpu python hpc_tane R 4-22:47:46 1 idu41
561544 gpu punct2 ottokar R 5-02:52:19 1 idu40
561538 gpu punct2 ottokar R 5-03:06:09 1 idu39
561528 gpu train_HO hpc_tane R 6-07:54:01 1 idu40
561490 gpu train_HO hpc_tane R 7-06:15:40 1 idu39
561795 long EUWEST_6 elmer R 10:09:00 1 idu30
561802 long EESTI1_7 elmer R 4:01:17 1 idu02
561801 long EESTI1_4 elmer R 4:01:18 1 idu01
561800 long EUWEST_7 elmer R 4:01:19 1 idu12
561794 long SLOVAK_6 elmer R 10:13:23 1 idu06
561793 long EESTI1_2 elmer R 16:04:42 1 idu05
561792 long EESTI1_6 elmer R 16:09:14 1 idu03
561647 long bash hpc_kuz R 3-19:32:13 1 idu04
561810 long run_R-1- hpc_eero R 1:58:03 1 idu34
561811 long run_R-1- hpc_eero R 1:58:03 1 idu31
561813 long run_R-1- hpc_eero R 1:58:03 1 idu32
561809 long run_R-1- hpc_eero R 2:08:03 1 idu29
561806 long run_R-1- hpc_eero R 2:18:03 1 idu33
561808 long run_R-1- hpc_eero R 2:18:03 1 idu35

Töö staatuse nägemiseks tuleb scontrolile anda ette JOBID

# '''scontrol show job 561581'''
JobId=561581 Name=SLOVAK_6
UserId=elmer(10010) GroupId=elmer(10010)
Priority=1503 Account=(null) QOS=(null)
JobState=RUNNING Reason=None Dependency=(null)
Requeue=1 Restarts=0 BatchFlag=0 ExitCode=0:0
RunTime=09:06:37 TimeLimit=12:00:00 TimeMin=N/A
SubmitTime=2016-02-25T06:26:02 EligibleTime=2016-02-25T06:26:02
StartTime=2016-02-25T06:26:02 EndTime=2016-02-25T18:26:02
PreemptTime=None SuspendTime=None SecsPreSuspend=0
Partition=long AllocNode:Sid=juur:22238
ReqNodeList=(null) ExcNodeList=(null)
NodeList=idu38
BatchHost=idu38
NumNodes=1 NumCPUs=8 CPUs/Task=8 ReqS:C:T=2:4:1
MinCPUsNode=8 MinMemoryNode=18G MinTmpDiskNode=0
Features=(null) Gres=(null) Reservation=(null)
Shared=OK Contiguous=0 Licenses=(null) Network=(null)
Command=/storage/jobs/g-9.sh
WorkDir=/cluster/elmer

Töö lõppu on muidugi võimatu ette teada/ennustada. Võib-olla umbes töö alustaja ise teab, kaua see VÕIKS aega võtta.

idu seisu vaatamiseks juurest või suvalisest idust anda käsk

# '''scontrol show node idu38'''
NodeName=idu38 Arch=x86_64 CoresPerSocket=6
CPUAlloc=8 CPUErr=0 CPUTot=12 CPULoad=5.82 Features=K20
Gres=gpu:2
NodeAddr=idu38 NodeHostName=idu38
OS=Linux RealMemory=48000 AllocMem=18432 Sockets=2 Boards=1
State=MIXED ThreadsPerCore=1 TmpDisk=200000 Weight=100
BootTime=2015-01-21T00:23:33 SlurmdStartTime=2015-01-21T00:24:09
CurrentWatts=0 LowestJoules=0 ConsumedJoules=0
ExtSensorsJoules=n/s ExtSensorsWatts=0 ExtSensorsTemp=n/ s

===Slurmi partitsioonid===

Tööde paremaks halduseks on mõistlik erinevad masinad jagada erinevatesse partitsioonide gruppidesse.

Partitsioonide konfiguratsiooni nägemiseks

# sinfo
PARTITION AVAIL TIMELIMIT NODES STATE NODELIST
short* up 30:00 4 idle~ idu[08-11]
short* up 30:00 16 mix idu[01-06,12,29-37]
short* up 30:00 1 down idu07
long up infinite 4 idle~ idu[08-11]
long up infinite 16 mix idu[01-06,12,29-37]
long up infinite 1 down idu07
gpu up infinite 5 idle~ idu[08-11,38]
gpu up infinite 10 mix idu[01-06,12,39-41]
gpu up infinite 1 down idu07

Partitsioonide täpsem info

# '''scontrol show partition'''
PartitionName=short
AllocNodes=ALL AllowGroups=ALL Default=YES
DefaultTime=NONE DisableRootJobs=NO GraceTime=0 Hidden=NO
MaxNodes=UNLIMITED MaxTime=00:30:00 MinNodes=1 MaxCPUsPerNode=UNLIMITED
Nodes=idu[01-12],idu[29-37]
Priority=100 RootOnly=NO ReqResv=NO Shared=YES:4 PreemptMode=OFF
State=UP TotalCPUs=204 TotalNodes=21 SelectTypeParameters=N/A
DefMemPerCPU=2048 MaxMemPerCPU=12288

PartitionName=long
AllocNodes=ALL AllowGroups=ALL Default=NO
DefaultTime=NONE DisableRootJobs=NO GraceTime=0 Hidden=NO
MaxNodes=UNLIMITED MaxTime=UNLIMITED MinNodes=1 MaxCPUsPerNode=UNLIMITED
Nodes=idu[01-12],idu[29-37]
Priority=150 RootOnly=NO ReqResv=NO Shared=YES:4 PreemptMode=OFF
State=UP TotalCPUs=204 TotalNodes=21 SelectTypeParameters=N/A
DefMemPerCPU=2048 MaxMemPerCPU=12288

PartitionName=gpu
AllocNodes=ALL AllowGroups=ALL Default=NO
DefaultTime=NONE DisableRootJobs=NO GraceTime=0 Hidden=NO
MaxNodes=UNLIMITED MaxTime=UNLIMITED MinNodes=1 MaxCPUsPerNode=UNLIMITED
Nodes=idu[01-12],idu[38-41]
Priority=1000 RootOnly=NO ReqResv=NO Shared=YES:4 PreemptMode=OFF
State=UP TotalCPUs=144 TotalNodes=16 SelectTypeParameters=N/A
DefMemPerCPU=2048 MaxMemPerCPU=12288

Näiteks antud juhul asuvad GPUsid sisalduvad noded "long" partitsioonist väljaspool, et neile muid arvutusi ei antaks.

Nodede liigutamiseks partitsoonide vahel. /etc/slurm/slurm.conf lõpus on see partitsioonide konf
Muuda vastavalt partitsioone, mida tahad ja siis slurmi servisele restart (käivad tööd sellest katki ei lähe).

/etc/init.d/slurm restart

===Veateated ja probleemid===

Mälulimiit on programmi poolt ületatud

slurmd[n1]: error: Job 60204 exceeded 10240 KB memory limit, being killed
slurmd[n1]: error: *** JOB 60204 CANCELLED AT 2011-05-27T19:34:34 ***

Mälulimiit on seadistatud liiga kõrge olemasoleva mälu jaoks

$ sbatch run.slurm
sbatch: error: Batch job submission failed: Requested node configuration is not available

http://www.umbc.edu/hpcf/resources-tara-2013/scheduling-policy.php

Node staatus on "down"

Esmalt võiks proovida seda manuaalselt muuta, näiteks:
scontrol update state=MIXED nodename=node84

===Lingid===

http://www.schedmd.com/slurmdocs/quickstart.html

https://rc.fas.harvard.edu/resources/running-jobs/

http://www.ibm.com/developerworks/library/l-slurm-utility/

Slurm resursihaldur

2020-08-03T09:15:47Z

Jj: /* Slurmi klustri paigaldus */

===Sissejuhatus===

Slurm (Simple Linux Utility for Resource Management) on arvutiklastri jaoks mõeldud rakendus mille ülesandeks on jagada etteantud töid mööda arvutiresursse laiali, monitoorida töötavaid protsesse ja pidada tööde üle järjekorda.

Üldiselt näeb slurmi arhidektuur välja sarnane allolevale pildile. On keskne haldusserver, kuhu kasutajad logivad ja käske käivitavad ning terve hulk
arvutusnodesid-servereid, milledele slurm töid edastab.

[[Pilt:SlurmArchitecture.gif]]

===Slurmi klustri paigaldus===

Slurmi server koosneb kolmest suuremast komponendist

# munge - autentimiseks
# slurmctl - mis juhib selle küljes olevaid kliente
# slurmdbd - mis tegeleb kasutusstatistika kogumisega ning vajab omakorda mingit andmebaasi, näiteks Mariadb'd

Munge paigaldamiseks Debianis

# apt-get install libmunge-dev libmunge2 munge

Munge võtme loomine

# sudo dd if=/dev/urandom bs=1 count=1024 > /etc/munge/munge.key
# chown munge:munge /etc/munge/munge.key
# chmod 400 /etc/munge/munge.key

See tekkinud fail tuleb kopeerida ka kõigisse klientidesse

# scp /etc/munge/munge.key <node-user>@<node-ip>:/etc/munge/munge.key

Munge käivitamine

# sudo systemctl enable munge
# sudo systemctl start munge

Paigaldame Mariadb sulrmdb jaoks

# apt-get install mariadb-server

Slurm on andmebaasi parameetrite osas üsna nõudlik ning vajab innodb seadistamist

Debianis tuleb avada /etc/mysql/mariadb.conf.d/50-server.cnf ning lisada

innodb_buffer_pool_size=1024M
innodb_log_file_size=64M
innodb_lock_wait_timeout=900

Stardime mariadb

# systemctl start mariadb
# systemctl enable mariadb

Logime sinna sisse ning tekitame Slurmi kasutaja

# CREATE USER 'slurm2'@'localhost' IDENTIFIED BY 'parool';
# GRANT ALL ON slurm_acct_db.* TO 'slurm'@'localhost';

Seejärel võime paigaldada slurmdb, nii andmebaasi enda kui kõik vajalikud andmetabelid tektiab ta seejuures ise

# apt-get install slurmdb

Tekitame slurmdbd seadistusfaili /etc/slurm-llnl/slurmdbd.conf

AuthType=auth/munge
AuthInfo=/var/run/munge/munge.socket.2
StorageHost=localhost
DbdHost=server-hostname
StoragePort=3306
StorageUser=slurm
StoragePass=parool
StorageType=accounting_storage/mysql
StorageLoc=slurm_acct_db
LogFile=/var/log/slurm-llnl/slurmdbd.log
PidFile=/run/slurmdbd.pid
SlurmUser=slurm
DebugLevel=1

Paneme slurmdbd käima

# systemctl enable slurmdbd
# systemctl start slurmdbd

Paigaldame slurmctrli. See seadistuse osa on ühine nii peaserveril kui ka kliendil

# apt-get install slurm-wlm

Tekitame talle seadistusfaili, kus defineerime ära ühtlasi ka slurmdb ning esimese kliendi. Selleks lisame faili /etc/slurm-llnl/slurm.conf

ClusterName=slurm
ControlMachine=server-hostname
ControlAddr=localhost
#
SlurmUser=slurm
SlurmctldPort=6817
SlurmdPort=6818
AuthType=auth/munge
StateSaveLocation=/var/spool/slurm/ctld
SlurmdSpoolDir=/var/spool/slurm/d
SwitchType=switch/none
MpiDefault=none
SlurmctldPidFile=/run/slurmctld.pid
SlurmdPidFile=/run/slurmd.pid
ProctrackType=proctrack/pgid
ReturnToService=0
#
# Timers
SlurmctldTimeout=300
SlurmdTimeout=300
InactiveLimit=0
MinJobAge=300
KillWait=30
Waittime=0
#
# Accounting
AccountingStorageType=accounting_storage/slurmdbd
AccountingStoreJobComment=YES
JobAcctGatherFrequency=30
JobAcctGatherType=jobacct_gather/linux
#
# Logging
DebugFlags=NO_CONF_HASH
SlurmctldDebug=3
SlurmctldLogFile=/var/log/slurm-llnl/slurmctld.log
SlurmdDebug=3
SlurmdLogFile=/var/log/slurm-llnl/slurmd.log
SlurmSchedLogFile= /var/log/slurm-llnl/slurmschd.log
SlurmSchedLogLevel=3
JobCompType=jobcomp/none
#
# Compute nodes
NodeName=slurm-test NodeAddr=10.40.0.10 Port=17000 Procs=1 State=UNKNOWN
PartitionName=test Nodes=ALL Default=YES MaxTime=INFINITE State=UP

Slurmctrld käivitamiseks

# systemctl enable slurmctld
# systemctl start slurmctld

Tekitame test clustri ning esimese kasutaja

# sacctmgr -i add cluster cluster
# sacctmgr -i add account test Cluster=cluster
# sacctmgr -i add user test Account=test

Kliendi käivitamine

# systemctl enable slurmd
# systemctl start slurmd

Testimiseks võib kasutada käsku

$ srun uname -a

===Lingid===

https://southgreenplatform.github.io/trainings/hpc/slurminstallation/

https://gist.github.com/asmateus/301b0cb86700cbe74c269b27f2ecfbef

https://implement.pt/2018/09/slurm-in-ubuntu-clusters-pt1/

===Tööde käivitamine===

Saadame slurmi töö mis käivitatakse neli korda ja mis väljastab masina kerneli versiooni.

# '''srun --ntasks=4 uname -a'''
srun: job 561700 queued and waiting for resources
srun: job 561700 has been allocated resources
idu08
idu08
idu08
idu08

Või soovides käivitada lihtsalt kokku 24 tööd kõigil nodedel ja ja lasta slurmil ise nad jagada laiali

# srun --ntasks=24 --partition=gpu hostname

Tasub muidugi tähele panna, et srun sobib peamiselt testimiseks või väga lihtsateks töödeks ning keerukamatel kasutusjuhtudel tuleks kasutada käske salloc või sbatch
Põhimõtteliselt sama esimene näide skriptiga tehtuna, tekitame parallel_uname.sh

<source lang=bash>
#!/bin/bash
#SBATCH –J test # Seadistab töö nime mida näeb squeue käsuga
#SBATCH –N=4 # Määrab mitut füüsilist serverit kasutatakse
#SBATCH --ntasks-per-node=4 # Määrab, mitu ülesannet ühel serveril käivitatakse
#SBATCH --output=kontroll.out # Väljundfaili nimi – programm ei edastada väljundit kohe ekraanile vaid faili.
uname -a # käsk, mida käivitatakse. Antud juhul uname -a
</source>

Lisaks võib seadistada e-maili saatmise töö lõpu korral

#SBATCH --mail-type=END # Type of email notification- BEGIN,END,FAIL,ALL
#SBATCH --mail-user=ajk@123.com # Email to which notifications will be sent

Paneme käima

# '''sbatch parallel_uname.sh'''
Submitted batch job 65918

Ja väljund

# cat slurm-65918.out
Linux stage59 2.6.32-431.17.1.el6.x86_64 #1 SMP Wed May 7 14:14:17 CDT 2014 x86_64 x86_64 x86_64 GNU/Linux

====MPI tööde käivitamine====

Message Passing Interface ehk MPI on paraleelsete programmide loomiseks

Kasutamiseks on vaja laadida moodulid

module load intel
module load openmpi

Slurm skript võiks näha välja järgnev

<source lang=bash>
#!/bin/bash
#SLURM -J myjob
#SLURM -p mpi-core8
#SLURM -t 01:00:00
#SLURM -o myjob-%J.out
#SLURM -N 4
#SLURM --ntasks-per-node=8
module load gcc
module load openmpi
cd subdir
mpirun -np 32 ./myapp
exit 0
</source>

https://computing.llnl.gov/tutorials/mpi/

http://brazos.tamu.edu/software/openmpi.html

===Tööde haldus===

Tööde nimekirja näeb

# squeue
JOBID PARTITION NAME USER ST TIME NODES NODELIST(REASON)
561555 gpu python hpc_tane R 4-22:47:46 1 idu41
561544 gpu punct2 ottokar R 5-02:52:19 1 idu40
561538 gpu punct2 ottokar R 5-03:06:09 1 idu39
561528 gpu train_HO hpc_tane R 6-07:54:01 1 idu40
561490 gpu train_HO hpc_tane R 7-06:15:40 1 idu39
561795 long EUWEST_6 elmer R 10:09:00 1 idu30
561802 long EESTI1_7 elmer R 4:01:17 1 idu02
561801 long EESTI1_4 elmer R 4:01:18 1 idu01
561800 long EUWEST_7 elmer R 4:01:19 1 idu12
561794 long SLOVAK_6 elmer R 10:13:23 1 idu06
561793 long EESTI1_2 elmer R 16:04:42 1 idu05
561792 long EESTI1_6 elmer R 16:09:14 1 idu03
561647 long bash hpc_kuz R 3-19:32:13 1 idu04
561810 long run_R-1- hpc_eero R 1:58:03 1 idu34
561811 long run_R-1- hpc_eero R 1:58:03 1 idu31
561813 long run_R-1- hpc_eero R 1:58:03 1 idu32
561809 long run_R-1- hpc_eero R 2:08:03 1 idu29
561806 long run_R-1- hpc_eero R 2:18:03 1 idu33
561808 long run_R-1- hpc_eero R 2:18:03 1 idu35

Töö staatuse nägemiseks tuleb scontrolile anda ette JOBID

# '''scontrol show job 561581'''
JobId=561581 Name=SLOVAK_6
UserId=elmer(10010) GroupId=elmer(10010)
Priority=1503 Account=(null) QOS=(null)
JobState=RUNNING Reason=None Dependency=(null)
Requeue=1 Restarts=0 BatchFlag=0 ExitCode=0:0
RunTime=09:06:37 TimeLimit=12:00:00 TimeMin=N/A
SubmitTime=2016-02-25T06:26:02 EligibleTime=2016-02-25T06:26:02
StartTime=2016-02-25T06:26:02 EndTime=2016-02-25T18:26:02
PreemptTime=None SuspendTime=None SecsPreSuspend=0
Partition=long AllocNode:Sid=juur:22238
ReqNodeList=(null) ExcNodeList=(null)
NodeList=idu38
BatchHost=idu38
NumNodes=1 NumCPUs=8 CPUs/Task=8 ReqS:C:T=2:4:1
MinCPUsNode=8 MinMemoryNode=18G MinTmpDiskNode=0
Features=(null) Gres=(null) Reservation=(null)
Shared=OK Contiguous=0 Licenses=(null) Network=(null)
Command=/storage/jobs/g-9.sh
WorkDir=/cluster/elmer

Töö lõppu on muidugi võimatu ette teada/ennustada. Võib-olla umbes töö alustaja ise teab, kaua see VÕIKS aega võtta.

idu seisu vaatamiseks juurest või suvalisest idust anda käsk

# '''scontrol show node idu38'''
NodeName=idu38 Arch=x86_64 CoresPerSocket=6
CPUAlloc=8 CPUErr=0 CPUTot=12 CPULoad=5.82 Features=K20
Gres=gpu:2
NodeAddr=idu38 NodeHostName=idu38
OS=Linux RealMemory=48000 AllocMem=18432 Sockets=2 Boards=1
State=MIXED ThreadsPerCore=1 TmpDisk=200000 Weight=100
BootTime=2015-01-21T00:23:33 SlurmdStartTime=2015-01-21T00:24:09
CurrentWatts=0 LowestJoules=0 ConsumedJoules=0
ExtSensorsJoules=n/s ExtSensorsWatts=0 ExtSensorsTemp=n/ s

===Slurmi partitsioonid===

Tööde paremaks halduseks on mõistlik erinevad masinad jagada erinevatesse partitsioonide gruppidesse.

Partitsioonide konfiguratsiooni nägemiseks

# sinfo
PARTITION AVAIL TIMELIMIT NODES STATE NODELIST
short* up 30:00 4 idle~ idu[08-11]
short* up 30:00 16 mix idu[01-06,12,29-37]
short* up 30:00 1 down idu07
long up infinite 4 idle~ idu[08-11]
long up infinite 16 mix idu[01-06,12,29-37]
long up infinite 1 down idu07
gpu up infinite 5 idle~ idu[08-11,38]
gpu up infinite 10 mix idu[01-06,12,39-41]
gpu up infinite 1 down idu07

Partitsioonide täpsem info

# '''scontrol show partition'''
PartitionName=short
AllocNodes=ALL AllowGroups=ALL Default=YES
DefaultTime=NONE DisableRootJobs=NO GraceTime=0 Hidden=NO
MaxNodes=UNLIMITED MaxTime=00:30:00 MinNodes=1 MaxCPUsPerNode=UNLIMITED
Nodes=idu[01-12],idu[29-37]
Priority=100 RootOnly=NO ReqResv=NO Shared=YES:4 PreemptMode=OFF
State=UP TotalCPUs=204 TotalNodes=21 SelectTypeParameters=N/A
DefMemPerCPU=2048 MaxMemPerCPU=12288

PartitionName=long
AllocNodes=ALL AllowGroups=ALL Default=NO
DefaultTime=NONE DisableRootJobs=NO GraceTime=0 Hidden=NO
MaxNodes=UNLIMITED MaxTime=UNLIMITED MinNodes=1 MaxCPUsPerNode=UNLIMITED
Nodes=idu[01-12],idu[29-37]
Priority=150 RootOnly=NO ReqResv=NO Shared=YES:4 PreemptMode=OFF
State=UP TotalCPUs=204 TotalNodes=21 SelectTypeParameters=N/A
DefMemPerCPU=2048 MaxMemPerCPU=12288

PartitionName=gpu
AllocNodes=ALL AllowGroups=ALL Default=NO
DefaultTime=NONE DisableRootJobs=NO GraceTime=0 Hidden=NO
MaxNodes=UNLIMITED MaxTime=UNLIMITED MinNodes=1 MaxCPUsPerNode=UNLIMITED
Nodes=idu[01-12],idu[38-41]
Priority=1000 RootOnly=NO ReqResv=NO Shared=YES:4 PreemptMode=OFF
State=UP TotalCPUs=144 TotalNodes=16 SelectTypeParameters=N/A
DefMemPerCPU=2048 MaxMemPerCPU=12288

Näiteks antud juhul asuvad GPUsid sisalduvad noded "long" partitsioonist väljaspool, et neile muid arvutusi ei antaks.

Nodede liigutamiseks partitsoonide vahel. /etc/slurm/slurm.conf lõpus on see partitsioonide konf
Muuda vastavalt partitsioone, mida tahad ja siis slurmi servisele restart (käivad tööd sellest katki ei lähe).

/etc/init.d/slurm restart

===Veateated ja probleemid===

Mälulimiit on programmi poolt ületatud

slurmd[n1]: error: Job 60204 exceeded 10240 KB memory limit, being killed
slurmd[n1]: error: *** JOB 60204 CANCELLED AT 2011-05-27T19:34:34 ***

Mälulimiit on seadistatud liiga kõrge olemasoleva mälu jaoks

$ sbatch run.slurm
sbatch: error: Batch job submission failed: Requested node configuration is not available

http://www.umbc.edu/hpcf/resources-tara-2013/scheduling-policy.php

Node staatus on "down"

Esmalt võiks proovida seda manuaalselt muuta, näiteks:
scontrol update state=MIXED nodename=node84

===Lingid===

http://www.schedmd.com/slurmdocs/quickstart.html

https://rc.fas.harvard.edu/resources/running-jobs/

http://www.ibm.com/developerworks/library/l-slurm-utility/

Slurm resursihaldur

2020-08-03T09:01:03Z

Jj: /* Slurmi klustri paigaldus */

===Sissejuhatus===

Slurm (Simple Linux Utility for Resource Management) on arvutiklastri jaoks mõeldud rakendus mille ülesandeks on jagada etteantud töid mööda arvutiresursse laiali, monitoorida töötavaid protsesse ja pidada tööde üle järjekorda.

Üldiselt näeb slurmi arhidektuur välja sarnane allolevale pildile. On keskne haldusserver, kuhu kasutajad logivad ja käske käivitavad ning terve hulk
arvutusnodesid-servereid, milledele slurm töid edastab.

[[Pilt:SlurmArchitecture.gif]]

===Slurmi klustri paigaldus===

Slurmi server koosneb kolmest suuremast komponendist

# munge - autentimiseks
# slurmctl - mis juhib selle küljes olevaid kliente
# slurmdb - mis tegeleb kasutusstatistika kogumisega ning vajab omakorda mingit andmebaasi, näiteks Mariadb'd

Munge paigaldamiseks Debianis

# apt-get install libmunge-dev libmunge2 munge

Munge võtme loomine

# sudo dd if=/dev/urandom bs=1 count=1024 > /etc/munge/munge.key
# chown munge:munge /etc/munge/munge.key
# chmod 400 /etc/munge/munge.key

See tekkinud fail tuleb kopeerida ka kõigisse klientidesse

# scp /etc/munge/munge.key <node-user>@<node-ip>:/etc/munge/munge.key

Munge käivitamine

# sudo systemctl enable munge
# sudo systemctl start munge

Paigaldame Mariadb sulrmdb jaoks

# apt-get install mariadb-server

Slurm on andmebaasi parameetrite osas üsna nõudlik ning vajab innodb seadistamist

Debianis tuleb avada /etc/mysql/mariadb.conf.d/50-server.cnf ning lisada

innodb_buffer_pool_size=1024M
innodb_log_file_size=64M
innodb_lock_wait_timeout=900

Stardime mariadb

# systemctl start mariadb
# systemctl enable mariadb

Logime sinna sisse ning tekitame Slurmi kasutaja

# CREATE USER 'slurm2'@'localhost' IDENTIFIED BY 'parool';
# GRANT ALL ON slurm_acct_db.* TO 'slurm'@'localhost';

Seejärel võime paigaldada slurmdb, nii andmebaasi enda kui kõik vajalikud andmetabelid tektiab ta seejuures ise

# apt-get install slurmdb

Tekitame slurmdbd seadistusfaili /etc/slurm-llnl/slurmdbd.conf

AuthType=auth/munge
AuthInfo=/var/run/munge/munge.socket.2
StorageHost=localhost
DbdHost=server-hostname
StoragePort=3306
StorageUser=slurm
StoragePass=parool
StorageType=accounting_storage/mysql
StorageLoc=slurm_acct_db
LogFile=/var/log/slurm-llnl/slurmdbd.log
PidFile=/run/slurmdbd.pid
SlurmUser=slurm
DebugLevel=1

Paneme slurmdbd käima

# systemctl enable slurmdbd
# systemctl start slurmdbd

Paigaldame slurmctrli. See seadistuse osa on ühine nii peaserveril kui ka kliendil

# apt-get install slurm-wlm

Tekitame talle seadistusfaili, kus defineerime ära ühtlasi ka slurmdb ning esimese kliendi. Selleks lisame faili /etc/slurm-llnl/slurm.conf

ClusterName=slurm
ControlMachine=server-hostname
ControlAddr=localhost
#
SlurmUser=slurm
SlurmctldPort=6817
SlurmdPort=6818
AuthType=auth/munge
StateSaveLocation=/var/spool/slurm/ctld
SlurmdSpoolDir=/var/spool/slurm/d
SwitchType=switch/none
MpiDefault=none
SlurmctldPidFile=/run/slurmctld.pid
SlurmdPidFile=/run/slurmd.pid
ProctrackType=proctrack/pgid
ReturnToService=0
#
# Timers
SlurmctldTimeout=300
SlurmdTimeout=300
InactiveLimit=0
MinJobAge=300
KillWait=30
Waittime=0
#
# Accounting
AccountingStorageType=accounting_storage/slurmdbd
AccountingStoreJobComment=YES
JobAcctGatherFrequency=30
JobAcctGatherType=jobacct_gather/linux
#
# Logging
DebugFlags=NO_CONF_HASH
SlurmctldDebug=3
SlurmctldLogFile=/var/log/slurm-llnl/slurmctld.log
SlurmdDebug=3
SlurmdLogFile=/var/log/slurm-llnl/slurmd.log
SlurmSchedLogFile= /var/log/slurm-llnl/slurmschd.log
SlurmSchedLogLevel=3
JobCompType=jobcomp/none
#
# Compute nodes
NodeName=slurm-test NodeAddr=10.40.0.10 Port=17000 Procs=1 State=UNKNOWN
PartitionName=test Nodes=ALL Default=YES MaxTime=INFINITE State=UP

Slurmctrld käivitamiseks

# systemctl enable slurmctld
# systemctl start slurmctld

Tekitame test clustri ning esimese kasutaja

# sacctmgr -i add cluster cluster
# sacctmgr -i add account test Cluster=cluster
# sacctmgr -i add user test Account=test

Kliendi käivitamine

# systemctl enable slurmd
# systemctl start slurmd

Testimiseks võib kasutada käsku

$ srun uname -a

===Lingid===

https://southgreenplatform.github.io/trainings/hpc/slurminstallation/

https://gist.github.com/asmateus/301b0cb86700cbe74c269b27f2ecfbef

https://implement.pt/2018/09/slurm-in-ubuntu-clusters-pt1/

===Tööde käivitamine===

Saadame slurmi töö mis käivitatakse neli korda ja mis väljastab masina kerneli versiooni.

# '''srun --ntasks=4 uname -a'''
srun: job 561700 queued and waiting for resources
srun: job 561700 has been allocated resources
idu08
idu08
idu08
idu08

Või soovides käivitada lihtsalt kokku 24 tööd kõigil nodedel ja ja lasta slurmil ise nad jagada laiali

# srun --ntasks=24 --partition=gpu hostname

Tasub muidugi tähele panna, et srun sobib peamiselt testimiseks või väga lihtsateks töödeks ning keerukamatel kasutusjuhtudel tuleks kasutada käske salloc või sbatch
Põhimõtteliselt sama esimene näide skriptiga tehtuna, tekitame parallel_uname.sh

<source lang=bash>
#!/bin/bash
#SBATCH –J test # Seadistab töö nime mida näeb squeue käsuga
#SBATCH –N=4 # Määrab mitut füüsilist serverit kasutatakse
#SBATCH --ntasks-per-node=4 # Määrab, mitu ülesannet ühel serveril käivitatakse
#SBATCH --output=kontroll.out # Väljundfaili nimi – programm ei edastada väljundit kohe ekraanile vaid faili.
uname -a # käsk, mida käivitatakse. Antud juhul uname -a
</source>

Lisaks võib seadistada e-maili saatmise töö lõpu korral

#SBATCH --mail-type=END # Type of email notification- BEGIN,END,FAIL,ALL
#SBATCH --mail-user=ajk@123.com # Email to which notifications will be sent

Paneme käima

# '''sbatch parallel_uname.sh'''
Submitted batch job 65918

Ja väljund

# cat slurm-65918.out
Linux stage59 2.6.32-431.17.1.el6.x86_64 #1 SMP Wed May 7 14:14:17 CDT 2014 x86_64 x86_64 x86_64 GNU/Linux

====MPI tööde käivitamine====

Message Passing Interface ehk MPI on paraleelsete programmide loomiseks

Kasutamiseks on vaja laadida moodulid

module load intel
module load openmpi

Slurm skript võiks näha välja järgnev

<source lang=bash>
#!/bin/bash
#SLURM -J myjob
#SLURM -p mpi-core8
#SLURM -t 01:00:00
#SLURM -o myjob-%J.out
#SLURM -N 4
#SLURM --ntasks-per-node=8
module load gcc
module load openmpi
cd subdir
mpirun -np 32 ./myapp
exit 0
</source>

https://computing.llnl.gov/tutorials/mpi/

http://brazos.tamu.edu/software/openmpi.html

===Tööde haldus===

Tööde nimekirja näeb

# squeue
JOBID PARTITION NAME USER ST TIME NODES NODELIST(REASON)
561555 gpu python hpc_tane R 4-22:47:46 1 idu41
561544 gpu punct2 ottokar R 5-02:52:19 1 idu40
561538 gpu punct2 ottokar R 5-03:06:09 1 idu39
561528 gpu train_HO hpc_tane R 6-07:54:01 1 idu40
561490 gpu train_HO hpc_tane R 7-06:15:40 1 idu39
561795 long EUWEST_6 elmer R 10:09:00 1 idu30
561802 long EESTI1_7 elmer R 4:01:17 1 idu02
561801 long EESTI1_4 elmer R 4:01:18 1 idu01
561800 long EUWEST_7 elmer R 4:01:19 1 idu12
561794 long SLOVAK_6 elmer R 10:13:23 1 idu06
561793 long EESTI1_2 elmer R 16:04:42 1 idu05
561792 long EESTI1_6 elmer R 16:09:14 1 idu03
561647 long bash hpc_kuz R 3-19:32:13 1 idu04
561810 long run_R-1- hpc_eero R 1:58:03 1 idu34
561811 long run_R-1- hpc_eero R 1:58:03 1 idu31
561813 long run_R-1- hpc_eero R 1:58:03 1 idu32
561809 long run_R-1- hpc_eero R 2:08:03 1 idu29
561806 long run_R-1- hpc_eero R 2:18:03 1 idu33
561808 long run_R-1- hpc_eero R 2:18:03 1 idu35

Töö staatuse nägemiseks tuleb scontrolile anda ette JOBID

# '''scontrol show job 561581'''
JobId=561581 Name=SLOVAK_6
UserId=elmer(10010) GroupId=elmer(10010)
Priority=1503 Account=(null) QOS=(null)
JobState=RUNNING Reason=None Dependency=(null)
Requeue=1 Restarts=0 BatchFlag=0 ExitCode=0:0
RunTime=09:06:37 TimeLimit=12:00:00 TimeMin=N/A
SubmitTime=2016-02-25T06:26:02 EligibleTime=2016-02-25T06:26:02
StartTime=2016-02-25T06:26:02 EndTime=2016-02-25T18:26:02
PreemptTime=None SuspendTime=None SecsPreSuspend=0
Partition=long AllocNode:Sid=juur:22238
ReqNodeList=(null) ExcNodeList=(null)
NodeList=idu38
BatchHost=idu38
NumNodes=1 NumCPUs=8 CPUs/Task=8 ReqS:C:T=2:4:1
MinCPUsNode=8 MinMemoryNode=18G MinTmpDiskNode=0
Features=(null) Gres=(null) Reservation=(null)
Shared=OK Contiguous=0 Licenses=(null) Network=(null)
Command=/storage/jobs/g-9.sh
WorkDir=/cluster/elmer

Töö lõppu on muidugi võimatu ette teada/ennustada. Võib-olla umbes töö alustaja ise teab, kaua see VÕIKS aega võtta.

idu seisu vaatamiseks juurest või suvalisest idust anda käsk

# '''scontrol show node idu38'''
NodeName=idu38 Arch=x86_64 CoresPerSocket=6
CPUAlloc=8 CPUErr=0 CPUTot=12 CPULoad=5.82 Features=K20
Gres=gpu:2
NodeAddr=idu38 NodeHostName=idu38
OS=Linux RealMemory=48000 AllocMem=18432 Sockets=2 Boards=1
State=MIXED ThreadsPerCore=1 TmpDisk=200000 Weight=100
BootTime=2015-01-21T00:23:33 SlurmdStartTime=2015-01-21T00:24:09
CurrentWatts=0 LowestJoules=0 ConsumedJoules=0
ExtSensorsJoules=n/s ExtSensorsWatts=0 ExtSensorsTemp=n/ s

===Slurmi partitsioonid===

Tööde paremaks halduseks on mõistlik erinevad masinad jagada erinevatesse partitsioonide gruppidesse.

Partitsioonide konfiguratsiooni nägemiseks

# sinfo
PARTITION AVAIL TIMELIMIT NODES STATE NODELIST
short* up 30:00 4 idle~ idu[08-11]
short* up 30:00 16 mix idu[01-06,12,29-37]
short* up 30:00 1 down idu07
long up infinite 4 idle~ idu[08-11]
long up infinite 16 mix idu[01-06,12,29-37]
long up infinite 1 down idu07
gpu up infinite 5 idle~ idu[08-11,38]
gpu up infinite 10 mix idu[01-06,12,39-41]
gpu up infinite 1 down idu07

Partitsioonide täpsem info

# '''scontrol show partition'''
PartitionName=short
AllocNodes=ALL AllowGroups=ALL Default=YES
DefaultTime=NONE DisableRootJobs=NO GraceTime=0 Hidden=NO
MaxNodes=UNLIMITED MaxTime=00:30:00 MinNodes=1 MaxCPUsPerNode=UNLIMITED
Nodes=idu[01-12],idu[29-37]
Priority=100 RootOnly=NO ReqResv=NO Shared=YES:4 PreemptMode=OFF
State=UP TotalCPUs=204 TotalNodes=21 SelectTypeParameters=N/A
DefMemPerCPU=2048 MaxMemPerCPU=12288

PartitionName=long
AllocNodes=ALL AllowGroups=ALL Default=NO
DefaultTime=NONE DisableRootJobs=NO GraceTime=0 Hidden=NO
MaxNodes=UNLIMITED MaxTime=UNLIMITED MinNodes=1 MaxCPUsPerNode=UNLIMITED
Nodes=idu[01-12],idu[29-37]
Priority=150 RootOnly=NO ReqResv=NO Shared=YES:4 PreemptMode=OFF
State=UP TotalCPUs=204 TotalNodes=21 SelectTypeParameters=N/A
DefMemPerCPU=2048 MaxMemPerCPU=12288

PartitionName=gpu
AllocNodes=ALL AllowGroups=ALL Default=NO
DefaultTime=NONE DisableRootJobs=NO GraceTime=0 Hidden=NO
MaxNodes=UNLIMITED MaxTime=UNLIMITED MinNodes=1 MaxCPUsPerNode=UNLIMITED
Nodes=idu[01-12],idu[38-41]
Priority=1000 RootOnly=NO ReqResv=NO Shared=YES:4 PreemptMode=OFF
State=UP TotalCPUs=144 TotalNodes=16 SelectTypeParameters=N/A
DefMemPerCPU=2048 MaxMemPerCPU=12288

Näiteks antud juhul asuvad GPUsid sisalduvad noded "long" partitsioonist väljaspool, et neile muid arvutusi ei antaks.

Nodede liigutamiseks partitsoonide vahel. /etc/slurm/slurm.conf lõpus on see partitsioonide konf
Muuda vastavalt partitsioone, mida tahad ja siis slurmi servisele restart (käivad tööd sellest katki ei lähe).

/etc/init.d/slurm restart

===Veateated ja probleemid===

Mälulimiit on programmi poolt ületatud

slurmd[n1]: error: Job 60204 exceeded 10240 KB memory limit, being killed
slurmd[n1]: error: *** JOB 60204 CANCELLED AT 2011-05-27T19:34:34 ***

Mälulimiit on seadistatud liiga kõrge olemasoleva mälu jaoks

$ sbatch run.slurm
sbatch: error: Batch job submission failed: Requested node configuration is not available

http://www.umbc.edu/hpcf/resources-tara-2013/scheduling-policy.php

Node staatus on "down"

Esmalt võiks proovida seda manuaalselt muuta, näiteks:
scontrol update state=MIXED nodename=node84

===Lingid===

http://www.schedmd.com/slurmdocs/quickstart.html

https://rc.fas.harvard.edu/resources/running-jobs/

http://www.ibm.com/developerworks/library/l-slurm-utility/