XenServer Update Policy in der Zusammenschau mit den Feature Einschränkungen ab 7.3: Das ist Mist

xenserver

#1

Hallo,

ich sitze hier grade etwas angepisst rum . Schuld bin ich zwar selber, zweifle aber zum ersten Mal an der XenServer Entscheidung. Die Geschichte geht so:

  • In der Sommerferien habe ich ein paar größere Änderungen am Setup gemacht und dabei XenServer 7.2 installiert - das war natürlich nicht so clever, weil das kein LTS Resease ist, iss jetzt aber eben so.
  • Neulich wurde ja angekündigt, dass der Funktionsumfang der freien Version 7.3 eingeschränkt würde - an den Thread haben wir hier im Forum fröhlich ein “solved” gemacht, das ist es aber IMHO nicht.
  • Vorhin wollte ich die Metltdown/Spctre Updates einspielen: Gibts erst mal nimmer für 7.2. Das Update wird zwar angeboten, ein Precheck verhindert aber die Installation, weil lich keine Lizenz habe.
  • Was natürlich geht - und was mir Citrix anbietet - ist 7.3 zu installieren, weil ich aber nur einen Server habe, den ich zum Update leermigrieren müsste, was ich (ohne Lizenz in Zukunft sowieso nicht mehr) nicht automatisch kann, sondern händisch machen muss, was einen nicht unerheblichen Zeitaufwand zur Folge hat.

So wie es aussieht, habe ich jetzt grade nochmal Glück, weil irgendsoein Citrix Fuzzy angesagt hat, dass es die Updates “ausnahmsweise” auch noch für 7.2 “free” gibt.

Insgesamt kann man also sagen, es ist wie immer: Wenns nicht OpenSource ist, isses halt Kacke, wir werden auf alle Fälle die Features verlieren, wenn wir Updates haben wollen oder bezahlen müssen, weil Citrix das durch seine Lizenzpolitik erzwingt.

Vorerst muss also gelten: XenServer in der LTS Version 7.1 ist die “offizielle” Virtualisierung -
Finger weg von allen neueren Versionen - mittelfristig muss man die Entscheidung für XenServer meiner Meinung nach bei diesem Sachstand nochmal überdenken. Mal sehen, was der OSS-Fork der XOA Leute mittelfristig macht.

Ansonsten sollten wir vielleicht doch nochmal Proxmox für unsere Zwecke genauer testen. Empfehlen will ich persönlich XenServer gerade niemand mehr.

Frustrierte Grüße,

Frank

Quellen:


#2

Kannst du bei discourse unten statt dem Herz auch ein “Mitgefühl/Beileid” flag hinzufügen? Das kann man schon mal vergeben, z.B. hier.


#3

Hallo Frank,

Ich versuche gerade für mich etwas Licht in Dunkle um die Versionen zu bringen. Dabei bin ich auf folgende Information von Citrix gestoßen.

Prinzipiell unterscheidet Citrix ab Version 7 zwischen „LTSR“ (Long Term Service Releases) und „CR“ (Current Releases).

  • LTSR bedeutet bis zu 10 Jahre Support
  • CRs erscheinen vierteljährlich

Wenn ich den dortingen Absatz „Customer Success Services: Required for LTSR“ richtig verstehe, steht die LTS-Version nur Kunden zur Verfügung, die einen Supportvertrag haben, d.h. die LTS-Versionen stehen in der free-Variante nicht zu Verfügung?

Möchte man ohne Supportvertrag Sicherheitsupdates bekommen, muss man vierterjährlich die neue „CR“-Version installieren.

Heißt das, dass ich um eine neue Version zu installieren alle Maschinen samt Daten auf einen externen Speicher kopieren muss, auf dem eigentlichen Server das neue CR - unter Verlust aller virtuellen Maschinen - installiere und danach alle Maschinen vom externen Speicher zurückkopiere?

Grüße,
Sven


#4

Hai,

Bei früheren Updates musste man das manchmal machen (wenn das Partitionslayout geändert wurde). Dieses Mal zeigt er im XenCenter das Upate einfach so an. Ob das klappt, wenn man die Maschinen nur suspendet oder runterfährt kann ich noch nicht sagen, da muss noch Mal ne Abend oder WE Schicht her.

VG
Frank


#5

Hallo,

Das kann gut sein. Die Frage ist, ob das auch für 7.1 gilt oder nur für künftige LTS.

Wie gesagt: aus meiner Sicht ist das Problem nicht gelöst, das muss IMHO muss nochmals genau überdacht werden ob das so noch zukunftsfähig ist.

VG

Frank


#6

Hallo zusammen,

Ich befürchte, Sven hat Recht und ich habe es bisher komplett falsch verstanden. Siehe auch hier:

https://support.citrix.com/article/CTX118845

Habe gerade mal versucht, einen aktuellen Patch

https://support.citrix.com/article/CTX230788

“von Hand” zu laden. Er ist mit meinem Standard-Account nicht verfügbar. Der letzte Patch, der funktioniert, ist XS71E019 vom 01.12.17.

Wenn das so ist, gibt es dringend Handlungsbedarf und XenServer kann keine Empfehlung mehr sein!

VG,
Bertram

PS: Ich bin ja noch bei 6.5. Wenn ich das hier https://www.citrix.com/support/product-lifecycle/product-matrix.html richtig verstehe (oder doch mehr rate), gibt es hier noch Patches bis 26.6.18. :neutral_face:


#7

Hallo,

ohja, @sven hat leider recht:

Customer Success Services customers who need to install a particular release of XenServer — and remain on that release for many years — can now take advantage of our 7.1 LTSR. As a unique benefit for active CSS customers, the 7.1 LTSR has longer product lifecycle milestones (5 years of mainstream support, followed by 5 years of, optional, extended support), aligned with the LTSR milestones for XenDesktop and XenApp. CSS customers can easily download the 7.1 Cumulative Update package, and future hotfixes based on it. Without CSS, customers will not be able to access CU1, nor any future hotfixes based on it.

In order to provide a transition period, we will endeavour to release any hotfixes made for 7.1 CU1 also on the base 7.1 release, until the 1st of December 2017. After that point, all functional and security hotfixes will only be released on top of 7.1 CU1, and will only be available to you if you have purchased Customer Success Services, and have applied a license to your XenServer environment.

Sehe ich genauso wie @morpweb. Wir brauchen eine neue Standardvirtualisierung :frowning:

VG

Frank

CC: @thomas @roesslerrr @jeffbeck @Maurice @Kai @baumhof @Jesko


#8

Ich denke kein Gund zur Panik. Wir haben uns auch schon gefreut über eine 10 Jahre LTS die man hier geschenkt bekommt, dann ist das halt eben doch nicht. Die ganzen “einzelnen” Updates bekommt man ja weiter. Wenn ich heute einen 7.1 aufsetze muss ich halt 40 Updates statt einem CU einspielen. - Ja echt schade. Aber der 7.2 wie auch 7.3 usw. kann ich jederzeit frei einspielen. Updates von 7.x auf 7.y sind in der Regel sehr einfach und schnell gemacht, automatisch wird dabei ein Backup angelegt um auf die alte Version zu switchen. Einziges Manko ist das man anpassungen wie USV Software wieder nachinstallieren muss.

Daher meine Meinung ohne Wertung ob ein neuer Standard her muss:
Nicht wirklich kritisch, man ist mit updates versorgt, folgeversionen kommen auch Regelmäßig.
Die Richtung die dabei eingeschlagen wird ist aber durchaus bedenklich und muss genau im Auge behalten werden. Wenn mehr und mehr Funktionen und Comfort wie LTS in bezahl-Support abwandern ist das schlecht.


#9

Hallo Kai,

Nein, lies nochmal genau, was Citrix schreibt (ich habs oben schon fett gemacht):

After that point, all functional and security hotfixes will only be released on top of 7.1 CU1, and will only be available to you if you have purchased Customer Success Services, and have applied a license to your XenServer environment.

Ich finde das sagt unmissverständlich, dass alle Updates nach dem CU1 für unlizenzierte XenServer nicht mehr zur Verfügung stehen. LTS am A…

Und genau das ist der Punkt. Bei meinem 7.2 bietet er mir zwar das Update 13 an, bricht aber beim precheck ab - no license. Im Portal ist es nicht downloadbar, genau wie die neuen 7.1er Hotfixes. Und wenn das so bleibt ist XenServer für mich persönlich vom Tisch und meiner Meinung nach für das Projekt nicht zu empfehlen.

Es ist eben wie immer, so wie es halt grade aussieht hatte @jeffbeck von Anfang an recht. Zum 100sten Mal auf eine geldgeile Firma reingefallen, und jemand mit so einem Geschäftsgebaren gebe ich halt auch kein Geld, da bezahl ich dann lieber für Proxmox. Merke (einmal mehr): Wenn es nicht echt quelloffen ist, isses Kacke.

Grüße,

Frank


#10

Hallo,

zusammenfassend sieht es also für mich derzeit so aus, dass du XenServer mit Updates nur noch auf dem CR Kanal betreiben kannst. Das heißt, dass du bei jeder neuen CR Release innerhalb kurzer Zeit updaten musst, auch wenn du dazu in Zukunft vielleicht gelegentlich alle Maschinen sichern und zurücksichern musst. Das kann man als Basis für linuxmuster.net aus meiner Sicht nicht nehmen.

Wenn jemand verlässliche andere Informationen hat - immer her damit. Aber zuwarten und beobachten ist meines Erachtens nicht angesagt, weil wir dazu eher kurzfristig auch auf der Homepage Stellung nehmen müssen, mit einer klaren Ansage und Erklärung der Situation.

Und wenn alle Nutzer der 7.1LTS auf 7.3 updaten müssten, um weiter Updates zu bekommen wäre das ein Major Fuckup.

VG

Frank


#11

Ein LTS kann ich bei Proxmox auch nicht finden. Dort muss ich auch jede Version mitmachen - wenn ich das richtig sehe.

Das geht bei XenServer sehr einfach und es wird sogar wie Kai erwähnt hat ein Backup gemacht für ein Rollback.

XenServer ist nicht weniger OpenSource wie Proxmox. Da steht genauso eine Firma mit Kommerziellen Support/Interessen dahinter. Citrix hatte damals den XenServer erst OpenSource gestellt und auch versichert diesen OpenSource und frei zur Verfügung zu stellen. Was auch eingehalten wurde.

Das Citrix keine 10 Jahre LTS frei anbietet kann ich verstehen - finde ich auch ok. Was ich aber nicht verstehe ist die art und weise wie nun damit umgegangen wurde.

Leider bin ich mir nicht sicher ob z.B. Proxmox das zukünftig nicht auch so macht. Die Paketierung und Bereitstellung ist auch dort von einem Unternehmen gemacht. Wenn diese keine update Pakete mehr anbieten stehen wir ebenso im Regen.

Ich will hier absolut nichts gut oder schlecht reden, nur kann und wird von uns keiner wissen wie sich ein Projekt entwickelt ganz gleich ob ein Unternehmen dahintersteht oder nicht. Wir haben es auch bei anderen FOSS Projekten gesehen, dass es sehr schnell kippen kann. z.B. OwnCloud. Davon sind wir also nie befreit.

Zum Thema Standardvirtualisierer kann ich nur folgendes sagen:

Die Akzeptanz war immer umstritten und ich will mich für keine Lösung mehr aktiv einsetzen, da es auch hier immer wieder Meinungsverschiedenheiten geben wird.

Da manche Leute hier immer wieder nach Proxmox geschrien hatten hab ich sogar mal versucht einen Installier wie für XenServer hierfür zu bauen. Ich bin aber schlicht gescheiter, da Proxmox keine Middleware verwendet und auf der Konsole nahezu nicht zu bedienen war. Eine Doku gab es auch nicht in vernünftiger form. Stattedessen nur unausgereifte Features, eins nach dem anderen. Das war für mich dann schon das aus für diese Lösung. Mal abgesehen von dem damals auch sehr unintuitiven Webinterface.

Ich wäre persönlich sehr froh wenn sich dem Hypervisor-Thema jemand annehmen würde - egal welche Lösung es denn sein wird. Mir ist einzig wichtig, dass ein Neuling sehr schnell mit LMN an den start kommt - ohne sich großartig mit Virtualisierung beschäftigen zu müssen. Alle die sich auskennen verwenden ohnehin den persönlichen Favorit.

Bei XenServer kann ich in der VM nur das notwendigstse einstellen. RAM, CPU, NIC. Ich kann nicht (vor und nachteil) zwischen 100 Verschiedenen virtuellen Netzwerkkarten und Dateisystemen wählen. Das zu Supporten wird ein langer weg von welchem ich mich absolut freistellen möchte.

VG; Maurice


#12

Hallo Maurice,

Ich wollte mich auch nicht für Proxmox verwenden, ich kenne das nicht. Ich selbst setze vanilla Xen ein und habe damit Dom0s seit 10 Jahren unter debian am laufen, die immer mit einem einfachen dist-upgrade auf die nächste Version gekommen sind. Hat halt keine Gui, würde ich aber nach der derzeitigen Lage auf den Blades für die Infrastruktur favorisieren.

Was ich sagen will, ist dasselbe wie du:

Aber das ist mit der jetzigen Citrix Politik für Xenserver ja so wie es aussieht nimmer gegeben. Du bist zwar schnell am Start, hast aber dann auch schnell Probleme.

VG

Frank


#13

Ich würde hier nicht von Problemen sprechen. Denn jemand der sich damit nicht auskennt der soll und wird zukünftig den Hypervisor in ein Management netz setzen und dann ist es nahezu egal was für ein Patchstand darauf läuft. Wenn es Lücken gibt wie aktuell wird es immer Patches geben - da hab ich keine bedenken.

Die Praxis wird jedoch einfach so aussehen wie bei allen anderen Lösungen auch. Man updatet einfach auf die neue Version und Patched nicht lange rum. Das ist hier sehr einfach geben und somit für mich mehr als in Ordnung. Die Features die ich dabei verliere sind zwar schade, dafür bekomme ich aber neue dazu die durchaus wichtiger sein werden. (z.B. CBT)

Vielleicht setzt sich der XOA-Fork auch durch und wir haben zukünftig wieder alle Features - das kann aber nur die Glaskugel beantworten.

Daruch dass XenServer eine geniale Middleware hat haben wir auch kein Problem mit dem Installer und sonstigen Tools. Die jetzigen Tools wurden auf XS 6.2 entwickelt und haben Rießen Versionssprünge seitens XenServer hinter sich. Samt wechseln von 32bit auf 64bit und neuem Layout der Partition. Das spricht denke ich für sich.

Diese Tools werden wir/ich auch weiter pflegen und erweitern - also wie gehabt. Denn das ist nach wie vor auch der Supportete weg. Den wir auch leisten können.

Wenn jemand sich berufen fühlt sich der Thematik Hypervisor anzunehmen, darf er das gerne tun. Wir können dann nur hoffen, dass dieser für lange zeit zur Verfügung steht, samt Produkt und Maintainer/Projekt/Firma dahinter.

Ich denke auch, dass sich der Hypervisor-Support in grenzen halten hat. Das nicht ohne Grund.

VG, Maurice


#14

Hai,

Ja, da stimme ich dir zu. In dem Moment, wo ich aber halt zum Update auf die nächste Version neu installieren muss, kostet das halt echt Zeit, oder mit Dienstleister Geld.

Du hast in in vielen Punkten Recht, aber auf die Linuxmuster Homepage zu schreiben: Nehmt Xenserver - das muss gründlich überdacht werden.

Und für unsere produktive Infrastruktur will ich das eigentlich nicht mehr nehmen, das bespreche ich mal mit den anderen…

VG
Frank


#15

Der sich auskennt oder nicht auskennt? Ich dachte, es sei ‘best practice’, den Hypervisor in’s Management-Netz zu nehmen?!

Noch ein anderer Aspekt: je nachdem, wie günstig/teuer eine kostenpflichtige Version ist, kann es für manche Schulen durchaus interessant sein, auch ein kommerzielles Produkt zu nutzen, sofern der Mehrwert (Support, Funktionalität, Ease of use, Patch-/Upgradebarkeit, …) gegenüber einem freien Produkt die Mehrkosten rechtfertigt ™. Ob man bei einer Lösung, wie der unseren, so etwas als Standardlösung anpreisen sollte, denke ich nicht, aber für Einige ist das wie gesagt bestimmt eine Option. Aber das ist natürlich offtopic, denn diese Möglichkeit hatten wir ja eh schon immer.

Viele Grüße,
Jochen


#16

Hallo zusammen,

hoffentlich handelt es sich nicht, wie beim ESXi auch, um einen Kastrationsprozess. Hier war/ist es so, dass von Version zu Version Features beschnitten wurden/werden. Inzwischen ist Dieser meiner Meinung nach ohne Lizenz nicht mehr produktiv einsetzbar.

Wir werden es ja erleben …

Grüße


#17

Hallo zusammen,

wie ich das sehe, bekommen wir dank Netzint auf absehbare Zeit XEN fix und fertig mitgeliefert. Das kann man ja genau so kommunizieren.

Proxmox ist gut dokumentiert, viele nutzen es und sind glücklich. Wer das möchte, wird fündig.

Was mir (inzwischen) bei beiden Lösungen fehlt, ist das Gefühl von Sicherheit, Kontrolle und Unabhängigkeit. Das mag nicht allen gleich wichtig sein, aber ich merke (leider) immer wieder, dass halbe Freiheit eben doch keine ist. Und das hat nichts damit zu tun, dass man grundsätzlich kein Geld zahlen möchte. Man möchte nur nicht dazu gezwungen werden :slight_smile:

Und da wundert mich (immer mal wieder), dass KVM (proxmoxless) in der Diskussion um den “Standard” für linuxmuster.net so ein Randthema zu sein scheint. Wie so oft bei OpenSource: einige nutzen es, es tut und man redet nicht viel darüber.

Mir ist schon klar, dass es im Enterprise-Umfeld noch nicht so verbreitet ist und es (wie für so vieles an linuxmuster.net) keinen Support aus einer Hand gibt. Ich muss auch beim Kauf der Hardware etwas vorsichtiger sein (aber das macht man beim Serverkauf ohnehin). Und es gibt sicher zahllose Dinge, von denen ich nichts weiß (klärt mich gerne auf).

Aber:

  • es gibt einige Firmen, die hinter KVM stehen und es ist (wirklich richtig ganz) frei verfügbar
  • ich habe mit virsh eine komfortable Möglichkeit, das ganze auf Kommandozeilenebene und/oder skriptbasiert einzurichten und zu steuern (denkbar: Ubuntu Server installieren, Repo einbinden und den Rest erledigt ein einfaches Bashscript, dass Speicherplatz prüft, Images herunterlädt und mit virsh und ssh den Server einrichtet). Ohnehin sind KVM und XEN über eine einheitliche API ansprechbar
  • ich habe mit virt-manager eine komfortable freie Software, die man als virtuelle Maschine mit minimalem Linux zur Verfügung stellen könnte, die aber auch auf jedem Linux-Client läuft (und übrigens auch XEN verwalten kann). Damit geht eine Menge. Darüber hinaus gibt es Auswahl genug
  • [Performance]( z.B. https://onapp.com/2016/09/06/hypervisor-choice-xen-or-kvm/) ist in der Kombination KVM + Linux hervorragend
  • Möglichkeit von Snapshots bei QCOW2 als Dateiformat

Ich könnte mich ins Knie schießen, wenn ich zusammenzähle, wie viel Zeit ich (gegen mein Bauchgefühl der Empfehlung folgend) bereits in XEN gesteckt habe, nachdem KVM bei uns jahrelang praktisch problemlos gelaufen ist. Daher finde ich eine erneute Diskussion über die “offizielle Empfehlung” nicht das schlechteste. Klar, es “kann ja jeder machen, wie er will” - aber “dann supporten wir das auch nicht mehr” hatte ich gerade erst mal wieder…

Viele Grüße,
Thomas


#18

Es sollte immer eins verwendet werden auch im Setup easy für Neulinge. Mit v7 wird auch das Management netzt eine größere Bedeutung finden. Bisher war es best practice (ist es auch noch) jedoch ohne genaue Vorgehensweise. Der IPFire hat auch hierfür kein Netz vorgesehen. Vielleicht etwas missverständlich von mir ausgedrückt, sorry :slight_smile:

Soll heißen, wenn der Hypversivor Isoliert ist soll man sich i.d.R. darum nicht mehr kümmern müsse :slight_smile:

Der Hypervisor ist ja schließlich nur mittel zum zweck (LMN Hosten :slight_smile: ).

Das finde ich auch. Es soll aber ein kann und kein muss sein :slight_smile: Ich denke sobald es sehr umfangreich wird dann kommt man vielleicht auch in den Funktionsumfang von einer Kostenpflichtigen Version. Wer da aber rein rutscht, der kann sich das auch gut leisten :slight_smile:

Das hoffen wir natürlich alle. Ich gehe aber nicht davon aus. Der druck ist so schon hoch geworden und hat ein Fork überhaupt erst auf den Gedanken gebracht. Ich schätze sogar, dass Citrix das noch einsehen wird. Denn ohne Mitstreiter (Comunity + Firmen) braucht Citrix auch kein FOSS Projekt erstellen und pflegen. Dafür wären die 500Mio. auch echt zuschade gewesen :smile:

Das ist eben auch der große vorteil gegenüber VMWare - es ist FOSS und kann und wird geforkt werden wenn es der masse nicht mehr passt.

Beste Grüße,

Maurice


#19

Hallo,

Bei einem Bug wie Meltdown hilft es dir genau gar nix, wenn dein Hypervisor in einem wie auch immer gearteten Management Segment steht, weil du ohne die Patches von jedem (virtualisierten) Host angreifbar bist, auf dem Benutzer Prozesse starten können - schlimmer noch, wird damit ja sogar die Trennung zwischen den Gästen beeinträchtigt - du willst und musst die Patches haben.

Das ist sicherlich kein hochbrisantes Szenario für uns, aber die Argumentation “Patches sind ja nicht so wichtig, da ist ja ne $Firewall” ist wirklich LMZ, das wollte ich mir dort nicht zu eigen machen und will es jetzt auch nicht.

VG

Frank


#20

Hallo Thorsten,

Ins Knie schießen würde ich mich nicht, denn das was ich schon oft gesagt habe stimmt schon - viele Sachen sind mit XenServer wirklich viel komfortabler gewesen als mit anderen Lösungen, und als wir die Entscheidung getroffen haben, war das ja auch wirklich o.k, auch Linzenzteschnisch - da jetzt hinterher zu jammern ist einfach, in der Rückschau ist man ja immer schlauer.

Ich bin halt enttäuscht, dass ich jetzt schon wieder an die Virtualisierung dran muss. Ich bin da nicht panisch, sondern werde halt mal auf 7.3 aktualisieren und dann habe ich ja nochmal ein bissle Zeit gekauft. Aber mittelfristig (und für die linuxmuster-Infrastruktur) kommt das für mich nicht mehr in Frage, weil eben ganz klar ersichtlich ist, dass Citrix im FOSS Bereich für so Mini-Anwender wie ich es bin nicht vertrauenswürdig arbeitet.

Ansonsten pflichte ich dir bei, dass ich wohl einfach wieder zurück zu xen gehen werde, weil so wie es dir mit kvm geht, gehts mir halt mit xen. Und die Stärke ist in beiden Fällen eben das echte OSS und dass es einfach bei Linux mitkommt, in vollem Funktionsumfang mit permanenten inkrementellen Updates über das Paketmanagement. Da habe ich innerhalb der nächsten 10 Tage eben einfach die Meltdown Patches mit einmal apt dist-upgrade && reboot auf der Kiste. Und ich persönlich brauch auch keine GUI.

Das alles hat natürlich keine Konsequenzen für das Projekt, außer dass ich persönlich halt niemandem mehr XenServer empfehlen werde (und mich bei ein paar Leutchen entschuldigen muss, dass ich denen das empfohlen habe). Was wir auf die HP schreiben, muss aber schon nochmal überlegt werden.

VG

Frank