(Aviso: este artículo ha sido escrito para nuestro blog en IBM TechExchange)

Cómo empezar

Si quieres explorar las distribuciones Linux que funcionan con IBM Power (ppc64le) pero careces de este último, puedes emularlo gracias a QEMU. Puedes consultar las matrices de compatibilidad con Linux en Power en el siguiente enlace, y decide qué distribución y versión quieres probar :)

Como cualquier otra emulación de arquitectura HW, tiene sus retos. Lo que me inspiró a escribir este artículo fue este genial tutorial, Ejecuta un entorno Linux on Power completo desde Microsoft Windows, por Emma Erickson y Paul Clarke. Quería sugerir un enfoque más “fácil de usar”, la red funcionando por defecto y una GUI para explorar todas las opciones disponibles o modificar las implantaciones existentes.

Para esta demostración, utilizaré una caja x86 estándar (y barata) que ejecuta el último Ubuntu (23.04) y los paquetes incluidos en la propia distribución. No hace falta compilar nada.

Preparación del sistema

Este es mi sistema, pero debería funcionar en cualquier máquina x86 con capacidad de virtualización.

ubuntu@sixe-dev:~$ cat /proc/cpuinfo | grep model

model name : Intel(R) Xeon(R) CPU E5-1410 v2 @ 2.80GHz

ubuntu@sixe-dev:~$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 23.04
Release:        23.04
Codename:       lunar

Nos aseguramos de que se aplican todas las actualizaciones y reiniciamos.

ubuntu@sixe-dev:~$ sudo apt update && sudo apt upgrade

ubuntu@sixe-dev:~$ sudo reboot

Utilizaré virt-manager como interfaz gráfica para QEMU, lo que me ayudaría a mí (o a cualquier otro “novato en QEMU”). Es justo lo que la gente está acostumbrada a hacer con Virtualbox o VMWare Player, y por eso me gusta :)

ubuntu@sixe-dev:~$ sudo apt install -y qemu-system-ppc qemu-kvm virt-manager virtinst libvirt-clients bridge-utils

En mi caso, hago ssh desde Windows WSL, redirigiendo la X. Otra opción sería proporcionar un entorno gráfico mínimo y conectarme mediante RDP o VNC.

~$ ssh -X ubuntu@sixe-dev

Advertencia: No hay datos xauth; utilizando datos de autenticación falsos para el reenvío X11.

Bienvenido a Ubuntu 23.04 (GNU/Linux 6.2.0-35-generic x86_64)

Descargar archivos .iso

Voy a descargar dos distros Linux libres y abiertas con gran soporte en Power. La carpeta de descarga será /var/lib/libvirt/images, que es la que utiliza virt-manager por defecto.

ubuntu@sixe-dev:~$ cd /var/lib/libvirt/images/

ubuntu@sixe-dev:~$ sudo wget https://repo.almalinux.org/almalinux/8/isos/ppc64le/AlmaLinux-8-latest-ppc64le-minimal.iso

ubuntu@sixe-dev:~$ sudo wget https://download.opensuse.org/distribution/leap/15.5/iso/openSUSE-Leap-15.5-DVD-ppc64le-Media.iso

Inicia el Administrador de Máquinas Virtuales

Aunque es una herramienta poco conocida (a menos que seas un friki de Linux), es tan sencilla y potente como VirtualBox o VMware Player. También se integra con QEMU para probar sistemas operativos en cualquier otra arquitectura.

ubuntu@sixe-dev:~$ virt-manager

 

Crear e instalar una nueva VM desde .iso

Para instalar el .iso, crea una nueva máquina virtual. Elige ppc64le como arquitectura, ajusta la CPU y la memoria, y añade un nuevo disco virtual. He grabado un vídeo para mostrar todo el proceso, puedes saltarte la última parte, en nuestro caso la GUI de instalación tardó casi 9 minutos en terminar :)

Todos los ajustes de instalación funcionan. Para tu información, utilicé una configuración LVM por defecto para el almacenamiento y DHCP automático en mi dispositivo de red NAT.

Aquí puedes ver que la CPU emulada se detecta correctamente.

Una vez instalado el sistema, te recomiendo que compruebes la dirección IP virtual

… y asegúrate de que el demonio sshd se está ejecutando

hugo@almapower:~$ systemctl start sshd

Así que me conecto desde mi host local usando ssh

ubuntu@sixe-dev:~$ ssh root@192.168.122.28

root@192.168.122.28's password:

Last login: Fri Oct 27 03:58:07 2023 from 192.168.122.1

From now on I will ssh into the VM from my host machine. This way I can copy, paste and resize the console without any problems.

Prueba otras distribuciones como OpenSUSE Leap

Puedes hacer lo mismo con otras distribuciones. En mi caso, la segunda distribución que funciona bien es OpenSUSE Leap.

Incluso he instalado el entorno gráfico.

.. así como Firefox, e iniciaste el navegador web para visitar nuestro sitio web. Sin embargo, necesitarás un poco de paciencia, ya que no será la velocidad del rayo.

¿Qué hacer ahora?

Tu Linux no tiene nada de especial, salvo que funciona sobre una arquitectura mucho más segura, potente y estable. El funcionamiento es el mismo que en x86. Apple ha cambiado su arquitectura varias veces, y cada vez más fabricantes apuestan por alternativas al x86 (véase ARM).

Por ejemplo, otra popular distribución derivada de Red Hat, Rocky Linux, no sólo incluye x86 y ppc64le en su página de descargas, sino también ARM o s390x (Linux One / entornos mainframe).

Puedes añadir otros repositorios o consultar la base de datos de paquetes disponibles para Linux en IBM Power –
https://www.ibm.com/it-infrastructure/resources/power-open-source/

Como descargo de responsabilidad, aunque los tenemos funcionando en producción en LPARs con PowerVM, no hemos podido encontrar la combinación de configuraciones y versiones de SO que nos permita ejecutar Rocky 9.2 y Ubuntu 22.10/23.04 en QEMU. Así que mi recomendación es que pruebes AlmaLinux u OpenSUSE. Por supuesto, sus “hermanas” RHEL y SUSE, con soporte empresarial, funcionan igual de bien.

En futuros artículos hablaremos de casos de uso como AWX o Kubernetes en Linux (ppc64le), emulado o real :)

Espero que este artículo te deje sin excusas para no probar Linux en Power.

Queremos informar a todos nuestros clientes (y lectores) de que se ha identificado un bug en PowerVM que podría suponer un problema de seguridad en los sistemas Power9 y Power10. El riesgo principal es que un actor malicioso con privilegios de usuario en una partición lógica pueda comprometer el aislamiento entre particiones lógicas sin ser detectado. Esto podría dar lugar a la pérdida de datos o a la ejecución de código no autorizado en otras particiones lógicas (LPARs) en el mismo servidor físico. Los detalles técnicos se encuentran en https://www.ibm.com/support/pages/node/6993021

¿Todos los servidores Power están en riesgo?

No. Solo algunos modelos de IBM Power9 o Power10 están en riesgo y siempre dependiendo de sus versiones de FW. Los servidores anteriores a Power9 y aquellos que ejecutan firmware OP9xx no están expuestos a esta vulnerabilidad. No hay evidencia de que esta vulnerabilidad haya sido explotada para lograr un acceso no autorizado en ningún cliente de IBM pero siempre es mejor prevenir que curar :)

¿Cuándo y quíen encontró esta vulnerabilidad?

La vulnerabilidad fue identificada por IBM de manera interna. Ya se ha creado y probado a fondo una solución, que fue lanzada el 17 de mayo en Fix Central.

¿Qué se recomienda a los clientes?

Los clientes deben seguir las instrucciones en Fix Central para descargar e instalar el firmware actualizado.

¿Cuál sería el impacto para los entornos productivos?

La principal preocupación es la posibilidad de que se produzca una fuga de datos o que se ejecute código no autorizado en otras particiones lógicas del mismo servidor físico. No hemos encontrado ninguna evidencia de que esta vulnerabilidad haya sido explotada para lograr un acceso no autorizado.

¿Hay ciertos entornos que son más vulnerables que otros?

IBM no puede especificar cuáles entornos de clientes podrían estar en mayor riesgo ya que el acceso a las particiones es controlado por el cliente. Sin embargo, cualquier entorno en el que se haya otorgado acceso de usuario con privilegios a una o más particiones debe considerarse como potencialmente vulnerable. Es decir, entornos con alta densidad de LPARs, donde se mezclen sistemas productivos y de pruebas tienen mayores posibilidades de sufrir esta vulnerabilidad.

¿Puede aplicarse el parche sin parar los equipos?

El firmware que contiene la solución puede instalarse de manera concurrente y solucionará esta vulnerabilidad en todos los sistemas, a excepción de un sistema Power10 que esté ejecutando un firmware anterior a FW1010.10. En este caso, la solución deberá aplicarse de manera disruptiva, requiriendo que el servidor sea apagado para instalar la actualización y eliminar la vulnerabilidad.

¿Qué tipo de particiones pueden estar afectadas?

Cualquier servidor IBM Power9 o Power10 mencionado en el boletín de seguridad que tenga múltiples particiones podría verse afectado. No importa cómo se hayan creado o gestionado estas particiones.

¿Se encuentra el ambiente Power Virtual Server (Power VS) de IBM en riesgo?

La vulnerabilidad también afectó a la oferta de Power Systems Virtual Server en IBM Cloud (Power VS), pero ya se ha aplicado el parche para remediarlo.

¿Necesitas ayuda con el mantenimiento preventivo de tus sistemas IBM Power?

Contacta con nosotros e infórmate de nuestro servicio de mantenimiento preventivo y soporte 24/7

Han pasado 5 años y toca renovar el storage. ¿Cuales son los errores más habituales?

La renovación de los sistemas almacenamiento empresarial, es una decisión crítica, compleja y con unos costes que hacen muy recomendable que sea abordado con mucho cuidado. Es común que se cometan errores al planificar y llevar a cabo este tipo de proyectos y en este artículo, vamos a comentar aquellos que nos encontramos con mayor frecuencia en nuestros nuevos clientes.

1. Dimensionamiento incorrecto

Uno de los errores más comunes al renovar el almacenamiento empresarial es subestimar o sobreestimar la capacidad (en TB, rendimiento y tiempo de respuesta) necesaria de almacenamiento. Un dimensionamiento incorrecto puede resultar en una inversión insuficiente o en una inversión excesiva en almacenamiento empresarial. Todos sabemos que una solución con NVMe es más rápida que otra con SSD, pero ¿la necesitamos? ¿y para el 100% de los datos? ¿a qué precio? ¿los servidores son capaces de alcanzar el ancho de banda que permite la cabina? (pista:  en el 95% de los casos no). Pero claro para saberlo es recomendable realizar un dimensionamiento o auditoría previa, que tiene un coste muy pequeño en comparación con la adquisición de las cabinas y lo que nos podemos llegar a ahorrar. Las prisas y las ofertas para mañana no son buenas compañeras de viaje en este tipo de proyectos.

2. No prever el coste a, al menos, 5 años

Uno de nuestros clientes compró hace años unas cabinas de uno de nuestros fabricantes favoritos. Era extremadamente potente y el precio era muy atractivo. Dos años después, quisieron añadir discos (la compraron con lo mínimo) y el precio de lista de los mismos superaba el millón de euros. Es más, todos los ejercicios mostraban que era más económico comprar una nueva cabina de menor gama pero con rendimiento más que suficiente y el almacenamiento que necesitaban, que ampliar la existente. ¿Absurdo? No, una mala praxis comercial muy habitual entre empresas sin personal técnico propio. Igual que nos regalan las impresoras, con muchos otros componentes de HW ocurren cosas similares. Switches que se licencian por puerto activado, cortafuegos cuyo precio varía según los usuarios que se conecten y otros miles de trucos para ocultar los costes en el medio y largo plazo, así como las dependencias generadas y la obligación de comprar servidores y cabinas adicionales cada poco tiempo. Si bien lo hacen todos los fabricantes, con un correcto asesoramiento muchas veces se le puede dar la vuelta y en el momento de la compra conseguir a un precio muy interesante todo lo que necesitemos mientras la máquina funcione.

3. No conocer el ciclo de vida de las máquinas (hasta cuándo tendrán mantenimiento)

Otro error frecuente es no comprender el ciclo de vida de las máquinas y no saber hasta cuándo estarán disponibles los servicios de mantenimiento. Es fundamental tener en cuenta la vida útil de las cabinas de discos y la disponibilidad de servicios de soporte técnico y mantenimiento en el medio y largo plazo. Muchas veces los sistemas al final de su ciclo de comercialización tienen importantes descuentos… pero es que también durante su lanzamiento. Lo segundo nos permite usarlos durante mucho más tiempo  reduciendo el coste anual significativamente. Si compramos una cabina que va a ser retirada de marketing próximamente, puede que cuando la hayamos puesto en funcionamiento solo le queden los años mínimos de soporte y a los 5 años la única alternativa sea soportarla nosotros mismos, pedir las piezas que fallen en brokers internacionales o comprar una nueva. Si hubiéramos adquirido un sistema que llevara poco en el mercado (aunque lo suficiente para que otros lo hayan probado y sufrido sus primeros fallos) será sencillo extender el mantenimiento durante 6, 7 o incluso 10 años que suele ser el tope de su ciclo de vida habitual. Los comerciales de empresas sin personal técnico te dirán “no se podía saber” o que “la culpa es de IBM / HP / Dell / Hitachi” pero no es cierto. Tenemos que saber lo que vendemos e informar a nuestros clientes de manera honesta sobre los pros y os contras de cada nueva infraestructura que les propongamos adquirir.

4. Desconocer las matrices de compatibilidad con los sistemas operativos

Otro error común es no considerar la compatibilidad del almacenamiento empresarial con los sistemas operativos existentes. Es fundamental asegurarse de que el storage sea compatible con los sistemas operativos existentes y que si debemos actualizar, lo hagamos antes de la puesta en marcha del nuevo almacenamiento. Esto es especialmente relevante cuando hay sistemas operativos fuera de soporte por la falta de de un servicio mantenimiento preventivo. Igual la nueva cabina soporta Red Hat o Windows, pero no la versión en producción porque todo nuevo hardware requiere drivers que sería raro existieran antes. Los viajes en el tiempo tampoco existen para los sistemas operativos, y un Windows de 2008 es probable que tenga problemas  de compatibilidad con una cabina de 2023.

5. No preveer el impacto de las migraciones de los entornos de producción existentes

Por último, otro error común es no prever el impacto de las migraciones de los sistemas existentes en el almacenamiento que hemos renovado. Es importante evaluar cuidadosamente los sistemas existentes que se migrarán y comprender cómo se integrarán en la nueva solución de almacenamiento,  quien se encargará de estos servicios profesionales y qué impacto tendrán en nuestra organización o negocio.

6. No tener un equipo técnico formado ni un soporte L2-L3 al que recurrir

Muchos clientes compran sistemas almacenamiento pero no tienen el tiempo para formarse en ellos ni disponen de servicios de soporte técnico externo al que recurrir, pensando que ante cualquier problema pueden recurrir al fabricante pues ya pagan un soporte por estos sistemas, cuando no siempre es así, sobretodo si el sistema funciona correctamente y el problema, aunque muy relacionado, es otro.

7. Confiar en empresas que no tienen equipos técnicos y cuyo negocio se basa en grandes márgenes en las ventas de SW y HW

A diferencia de nuestra competencia, en Sixe Ingeniería siempre nos pondremos del lado de nuestros clientes, pues vivimos fundamentalmente de la formación, consultoría y soporte técnico. Servicios que complementamos con la venta de HW que normalmente ayudamos a mantener, con lo que somos los principales interesados en que las soluciones sean las idóneas en el medio y largo plazo. Además, como partners de referencia de IBM y Lenovo, podemos ofreceros importantes descuentos, conocemos muy bien la mayoría de los tipos de entornos críticos y somos agnósticos en cuanto a tecnología, aunque tenemos nuestras preferencias en base a nuestra experiencia. ¿Hablamos?

Con la compra de Red Hat por parte de IBM, el conjunto del portfolio de soluciones de software para ciberseguridad, aplicaciones, bases de datos, automatización y gestión de nubes híbridas se ha ido portando a OpenShift bajo la marca IBM Cloud Paks. Esto implica que muchas de estas aplicaciones se ha rediseñado y adaptado para funcionar sobre contenedores (aunque algunas como QRadar ya lo hacían desde hace años) y ser controladas por Kubernetes, que es el orquestador de contenedores en el que se basa OpenShift.

¿Cómo se despliegan los IBM Cloud Paks?

Los Cloud Paks de IBM se instalan sobre un entorno PaaS con OpenShift tanto en data centers propios sobre IBM Power Systems, VMWare, KVM (RHEV / LinuxONE) como en las nubes públicas de Microsoft (Azure), IBM, Amazon (AWS) y Google (GCP). Gracias a IBM Satellite se puede desplegar en una combinación de recursos propios y en la nube, mediante una arquitectura híbrida y flexible. Nuestro departamento de servicios profesionales puede ayudaros.

¿Como se licencian IBM Cloud Paks? ¿Cuanto cuestan?

Esto es quizás una de las partes menos conocidas y a nuestro juicio más polémicas. IBM siempre ha vendido licencias perpetuas para todas su soluciones software. Estas licencias vienen con un soporte técnico básico para incidencias HW y otro más avanzado para el SW (SWMA) que se pueden ir renovando típicamente cada 3 años. Al pasar a un entorno “cloud” vamos hacia sistemas de pago por uso, muy escalable y para qué engañarnos, a veces complicado de estimar. Por ejemplo, en el de Data tiene estos precios por “core virtual”. Es decir, desde unos cientos de dólares hasta a unos cuantos cientos de miles.. :)

Esto tiene ventajas evidentes para soluciones donde el soporte lo razonable que se vaya renovando como es el caso de soluciones abiertas y extremadamente complejas como las basadas en micro-servicios y contenedores. Los clientes que no estén cómodos con este modelo, pueden seguir comprando appliances o licencias para desplegar en su infraestructura muchas de estas soluciones mediante un único pago y un soporte opcional a renovar cada varios años. En otras, este es el único modelo pues son soluciones nativas para entornos basados en Kubernetes y Cloud.

¿Necesito tener OpenShift para instalar un Cloud Pak de IBM?

Respuesta corta: si. Ahora bien, si no lo tienes, lo puedes desplegar sin demasiados problemas gracias a los instaladores incluidos en las últimas versiones tanto en tu propia infraestructura como en una externa (IaaS) de tu proveedor de cloud favorito.

¿Merecen la pena los IBM Cloud Paks?

Como buen verso libre que somos en el sector de los integradores de sistemas, pensamos que algunos si, y otros no tanto (al menos por ahora). Depende del uso que se les vaya a dar, de la dependencia que tengamos con otras aplicaciones y del nivel de madurez en la adopción de contenedores y uso de kubernetes de nuestra organización. Si estamos empezando con Dockers, OpenShift y entornos Cloud, quizás es mejor ceñirnos a un buen plan de transformación y modernización digital en vez de “empezar la casa por el tejado”.

¿Hay cursos o formación de IBM Cloud Paks?

Para poder aprovechar esta tecnología necesitas dominar tanto la infraestructura (OpenShift) de la cual hay formación oficial ofrecida por Red Hat, y un taller intensivo y práctico elaborado por nosotros mismos. Una vez que la infraestructura esté bajo control tendrás que formarte en los diferentes productos y soluciones de IBM que te interesen, pues no dejan de ser colecciones de Software agrupadas por categoría y licenciadas conjuntamente. Por ejemplo, el Cloud Pak for Security, es fundamentalmente IBM QRadar SOAR Platform  mientras que el Cloud Pak for Applications incluye toda la suite de Websphere.

Lo dicho, si queréis, hablamos.

 

Tras unirnos al programa OpenBeta de IBM, hemos podido descargar y probar la nueva versión de AIX 7.3 que llega en su 35 aniversario.

Entre sus novedades destacan:

• Los frameworks de Python y Bash que funcionan directamente con AIX, ¡no tendremos que volver a instalarlos manualmente!
• Soporte para el comando dnf (standard en Red Hat) para la instalación de paquetes de código abierto desde el AIX Toolbox. AIX habla Linux desde hace mucho tiempo, pero desde la versión 7.3 está cada vez más integrado facilitando a los desarrolladores y administradores de sistemas todas las ulilidades necesarias para modernizar los entornos UNIX.
• Reducción del tiempo para añadir dinámicamente procesadores/memoria a una LPAR en funcionamiento, de gran ayuda en LPARs con bases de datos que usen cientos de GB o varios TB de memoria RAM. Esto se une a la reducción de los tiempos de arranque (IPL) para este tipo de particiones
• Los comandos pigz y zlibNX ahora utilizan de forma transparente la aceleración GZIP de NX en Power9 y Power10
• Soporte mejorado para el cifrado de volúmenes lógicos (LVM) para incluir rootvg y dispositivo de dump.
• La pila de protocolos TCP ahora es compatible con CUBIC,  un algoritmo que evita la congestión de la red TCP que puede conseguir conexiones de gran ancho de banda a través de las redes de forma más rápida y fiable.
• Mejoras adicionales en la seguridad IP (IPsec)
• Posibilidad de crear un archivo OVA a partir de un mksysb mediante el comando create_ova con el objetivo de agilizar los despliegues en cloud (PowerVS) e híbridos.
• Creación de una imagen ISO a partir del nuevo comando mksysb_iso
• Integración con los nuevos compiladores IBM Open XL C/C++ y Fortran
• Aumento del tamaño de los archivos y del sistema de archivos
• Mejora de la compatibilidad con Ansible y Ansible Tower
• Integración con PowerVC 2.X