Erläuterungen zum Push-Spiegeln

Push-Spiegeln ist eine Form des Spiegelns, die die Zeit minimiert, die benötigt wird, damit Änderungen im Archiv auf den Spiegeln erscheinen. Der Server-Spiegel benutzt einen Auslöser-Mechanismus, um den Spiegel zu informieren, dass es aktualisiert werden muss.

Push-Spiegeln bedeutet etwas größeren Aufwand beim Einrichten, da die Verwalter der beiden betroffenen Spiegel Informationen austauschen müssen. Der Vorteil besteht darin, dass der in der Hierarchie höhergelegene Spiegel den Spiegel-Prozess selbst anstoßen kann, sobald sein Archiv aktualisiert wurde. Dadurch werden Änderungen im Archiv extrem schnell propagiert.

Beschreibung der Methode

Zuerst etwas Hintergrund zu ssh. Ssh erlaubt Personen, sich auf eine sichere Weise auf entfernten Rechnern einzuloggen. Dabei werden keine Passwörter im Klartext übertragen und bei späteren Verbindungen zum gleichen Rechner ist sichergestellt, dass es der gleiche Rechner ist. Dieses verhindert viele Mann-in-der-Mitte-Angriffe.

Eine Fähigkeit, die SSH mitbringt, besteht in der Möglichkeit eines Benutzers, den öffentlichen Identitätsschlüssel (public key) eines Benutzers auf einer anderen Maschine zu nehmen und auf dem eigenen Rechner zu einer Datei autorisierter Schlüssel hinzuzufügen. Voreingestellt ist, dass der Benutzer der anderen Maschine (der den privaten Identitätsschlüssel hat, der zu dem öffentlichen passt) von da an die Privilegien genießt, sich unter Ihrem Account einzuloggen. Es ist jedoch möglich, Text zu dem autorisierten Schlüssel hinzuzufügen, der den Zugang des anderen Benutzers beschränkt.

Um den Spiegel zu schützen, ist dem Schlüssel vom höhergelegenen Spiegel Text hinzugefügt, so dass die Person, die dadurch Zugang zum Spiegel erhält nur eines darf – das Programm auf Ihrem Rechner zu starten, das den Spiegel aktualisiert. Selbst falls jemand (ein böser Dritter) in der Lage sein sollte, den Schlüssel zu knacken, könnte er nur das Spiegel-Programm auf Ihrem Rechner starten. Sie müssen sich keine Gedanken darüber machen, dass das Programm mehrfach parallel läuft, da es eine Lock-Datei verwendet.

Auf der anderen Seite des Servers kann rsync so konfiguriert werden, dass beschränkt wird, wer einen bestimmten Bereich spiegeln darf, geschützt mit Benutzername und Passwort. Diese sind komplett unabhängig von /etc/passwd, so dass ein Push-Spiegel sich keine Sorgen darüber machen muss, anderen Zugang zum Rechner zu geben. Es ist so konfiguriert, dass Benutzername und Passwort im Klartext übertragen werden. Das sollte jedoch kein Problem sein, da das Schlimmste, das passieren kann, darin besteht, dass ein Dritter die Möglichkeit erhält, Debian von dem Rechner zu spiegeln.

Aufsetzen eines Push-Client-Spiegels

Am besten wird es so eingerichtet, dass der Account eines herkömmlichen Benutzers verwendet wird, nicht root. Der Inhalt des öffentlichen SSH-Schlüssels, der Ihnen vom höhergelegenen Spiegel gegeben wird, sollte in ~<user>/.ssh/authorized_keys abgelegt werden.

Um ein Push-Spiegel für das FTP-Archiv zu werden, müssen Sie das Spiegeln mit unserem Standardskriptsatz ftpsync einrichten. Kopieren Sie ftpsync.conf.sample nach ftpsync.conf und modifizieren Sie sie, so dass sie zu Ihrem System sowie zu den Werten, die vom höhergelegenen Spiegel bereitgestellt werden, passt.

Primäre Push-Spiegel

Primäre Push-Spiegel, die auch als Tier-1-Spiegel bezeichnet werden, sind die Push-Spiegel, denen es gestattet ist, von unserem Haupt-Archiv zu spiegeln.

Falls Ihr Server sehr gut angebunden ist (sowohl sehr gute Bandbreite hat als auch an wichtige Backbones angeschlossen ist) und Sie willens sind, andere Server von Ihrem spiegeln zu lassen, möchten Sie uns das vielleicht mitteilen, damit wir überlegen können, Ihren Rechner als Push-Server zu verwenden. Erwarten Sie dieses jedoch bitte nicht in naher Zukunft, da wir bereits eine relativ große Zahl an Tier-1-Spiegeln haben.

Falls Ihr Rechner ein primärer Push-Spiegel für das FTP-Archiv wird, benötigen Sie eine der folgenden Dateien:

Falls Ihr Rechner ein primärer Push-Spiegel für die Webseiten wird, benötigen Sie den öffentlichen SSH2-Schlüssel, verwendet von www-master.debian.org.

Einrichten eines Push-Server-Spiegels

Angesichts der großen Anzahl von Spiegeln und der Größe des Debian-Archivs ist es nicht machbar, dass alle Spiegel das Haupt-Archiv als Quelle nehmen. Es ist viel effizienter, die Last auf die Anzahl der Push-Spiegel zu verteilen, die über den Globus verteilt sind.

Push-Spiegel sollten direkt das Hauptarchiv per Push-Spiegel spiegeln (oder einen anderen Push-Server) und sie sollten das gesamte Debian-Archiv enthalten.

Lesen Sie auch die Details zum Einrichten eines Push-Servers.