2007

Heute habe ich endlich mal den neuen Switch verbaut. Davor wurde das Fehlen durch Hacks mit Proxy-ARP ausgeglichen, was ich natürlich vergessen habe abzustellen. Also Switch ins Rack und eingestöpselt; dabei kamen dann zwei mit Proxy-ARP verbundene Interfaces ins gleiche Netz.

Ein paar Minuten später die ersten Beschwerden das die Website nicht mehr tun würde. Von mir aus tat es natürlich. Mal versucht am nächstbeste Windows-Rechner einzuloggen; er findet den AD nicht mehr. Mit der lokalen Brechstange habe ich dann rausgefunden das die Rechner alle die schöne IP 0.0.0.0 haben.

Was ist passiert: Das Proxy-ARP hat schön alle ARP-Requests beantwortet und die Windows-Kisten waren der Ansicht das da jemand anderes ihre (fest konfigurierte!) IP hat und haben sie sich selbst weggenommen. Die ganzen Linux-Kisten hat das nicht interresiert, da der Traffic ja am Schluss immer noch am Router ankam, manchmal halt mit einer ungeplanten Zwischenstation.

Es ist nicht allzuweit bekannt, das auf dem Dach des Hauses meiner Eltern eine kleine Photovoltaikanlage installiert ist. Da der Monteur eine sehr gute Beziehung mit der Solar-Fabrik unterhält wurden wir eingeladen um einmal anzuschauen wie solche Solarmodule gefertigt werden. Dieser Besuch fand gestern in der Zentrale der Solar-Fabrik in Freiburg statt.

Wir wurden von dem ehemaligen Chef und Mitgründer dieser Firma begrüsst, der uns einen Einblick in die Geschichte der Firma und des Gebäudes, in dem wir uns befanden, gab. Schon dieses 8 Jahre alte Gebäude ist etwas besonderes. Es ist eines der ersten kohlendioxidneutralen Gebäuden der Welt, sowohl für die Büros als auch für die Fertigung. Der Bürotrakt ist nach Süden komplett verglast. Im Winter wärmt die tiefstehende Sonne den Innenraum, dicke Beton- und Granitschichten sorgen für eine Speicherung der Wärme, im Sommer spenden Solarpanele Schatten. Das Dach ist begrünt, das Wasser wird für Toiletten, für die Grünanlagen und für den grossen Teich vor dem Gebäude verwendet.

Anschliessend wurden wir durch die dortige Fertigung geführt Es wurde erklärt wie ein Solarmodul entsteht und wie eine gleichbleibend hohe Qualität gewährleistet wird.

Als Abschluss gab es ein Abendessen im firmeneigenen Bistro. An diesem sieht man, das diese Firma nicht ganz normal ist. Das Gewerbegebiet war bei der Errichtung des Hauses noch neu, deshalb wollte niemand das Bistro pachten. Es wurde ein eigener Koch eingestellt, der das Bistro seitdem auf hohem Niveau betreibt. Es ist wohl das einzige Restaurant dieser Klasse, das nur Mittags geöffnet hat.

Xen support finally landed in upstream Linux. Okay, it is rather limited yet, but usable.

It supports the following:

• Unprivileged domain (domU).
• x86_32 (i386 without PAE) and x86_32p (i386 with PAE).
• Console.
• netfront and blkfront.

Changes to the old Xen patch:

• Block devices does not support takeover of hdXY and sdXY. Use xvcX (xvca, xvcb, ...) as device names.
• Console is hvc0. You must supply console=hvc0 at the command line. (Use the extra definition in the Xen domain config file.)

Yet missing things:

• Suspend, resume (also makes migration impossible).
• Ballooning.
• x86_64. Xen upstream currently waits for an unified x86 tree.
• Privileged domain (dom0).
• netback, blkback, pciback and pcifront.

Die Bioinformatik baut zum lösen von biologischen Problemen gerne Simulationen. Ein "whole genome shotgun sequencing simulator" ist so einer. Erst wird ein Genom auseiner geschnitten, durch die Mangel gedreht (1-5% Fehlerrate sind normal) und dann wieder zusammen geflickt.

Das Sequenzieren von kompletten Genomen, wie dasjenige des Menschen, ist ein immer noch problematisches Feld. Der Input besteht aus DNA mit seinen 4 Bausteinen und einer Länge von vielen Millionen Basenparen. Es gibt keine Technik die diesen Strang am Stück sequenzieren könnte. Also kloniert man das Genom (Genetiker verstehen unter klonieren das vervielfältigen von DNA-Stücken, nicht von Organismen) und schneidet dieses anschließend in kleine Stücke, die sequenziert werden können.

Aus diesen einzelnen Stücken versucht man jetzt ein komplettes Genom zusammen zu basteln. Bei den kodierenden Bereichen, also denen wo wirklich Informationen stehen, klappt das auch so einigermassen. Bei den nicht-kodierenden Bereichen, z.B. den langen Ketten aus lauter kurzen Wiederholungen, funktioniert das viel weniger gut oder gar nicht.

Der Simulator generiert jetzt diese Bruchstücke um den Schritt des Zusammensetzens testen zu können. Der ganze Schritt ist natürlich herlich randomisiert, so das man nie auch nur ähnliches rausbekommt, auch wenn am Schluss des zusammensetzens jedesmal wieder das selbe stehen soll.

Endlich wissen wir es. Der Spam ist verantwortlich für die globale Erwärmung.

Gegen den aktuellen Image-Spam kann man leider nicht soviel machen. OCR braucht viel CPU und da die Spammer sich dagegen mit der gleichen Technik wie die elendigen CAPTCHA wehren, wird es wohl noch eine weile dauern bis diese lesbar sind.

Hmm. Debian fixed this problems, but Ubuntu manages to get them also:

P: Configuring package volumeid
O: cp:
O: cannot stat `/etc/fstab'
O: : No such file or directory
O:
O: dpkg: error processing volumeid (--configure):
O:  subprocess post-installation script returned error exit status 1

I finaly got some time to do development. I decided to use this for extending cdebootstrap. And it got several new features and cleanups.

Most notable change is the support to check Release files against the pgp-signature. This feature is enabled by default and uses the keyring supplied by debian-archive-keyring.

It now also includes definitions for newer Ubuntu releases and it works in my testcases. The keyring needs to be supplied manualy.

The rest are usual cleanups on the codebase and deprecation of some not longer used features.

After another debugging session I have to declare that caching of ressources with Vary headers is not working with squid 2.6. I have to check if this was working with squid 2.5 as Plone provides a predefined setup for this.

Lets see what upstream say about this.

Inzwischen liefert mir mein Provider natives IPv6. Und natürlich hängt der Anschluss an einer C10k, die solche Pakete unter bestimmten Umständen schrotten indem sie versuchen die Länge aus dem IP-Frame zu lesen.

The linux kernel includes a SCSI target infrastructure since 2.6.20. Most of the code is located in the userspace and supports iSCSI, ibm i/pSeries virtual SCSI and Xen SCSIback.

To work properly it needs a bunch of patches on top of 2.6.21-rc.

After I got it working I did some tests with bonnie. First the target:

Version  1.03       ------Sequential Output------ --Sequential Input- --Random-
                    -Per Chr- --Block-- -Rewrite- -Per Chr- --Block-- --Seeks--
Machine        Size K/sec %CP K/sec %CP K/sec %CP K/sec %CP K/sec %CP  /sec %CP
                 2G           32124  17 18063   6           45815   4 324.6   0

Now with the vSCSI initiator:

Version  1.03       ------Sequential Output------ --Sequential Input- --Random-
                    -Per Chr- --Block-- -Rewrite- -Per Chr- --Block-- --Seeks--
Machine        Size K/sec %CP K/sec %CP K/sec %CP K/sec %CP K/sec %CP  /sec %CP
                 2G           18513   9 16208   5           34003   3 221.4   0

And the iSCSI initiator:

Version  1.03       ------Sequential Output------ --Sequential Input- --Random-
                    -Per Chr- --Block-- -Rewrite- -Per Chr- --Block-- --Seeks--
Machine        Size K/sec %CP K/sec %CP K/sec %CP K/sec %CP K/sec %CP  /sec %CP
                 2G           31631  14 12809   4           39241   5 306.3   1

As this tests was done on one OpenPower machine, all transfers uses DMA between the two systems.

The vscsi case is currently limited to 128KiB per request, maybe this is a problem.

Nein, man sollte sich nicht wundern, dass das System sich so träge anfühlt, wenn /proc/mdstat folgendes zeigt:

md0 : active raid5 sdb[0] sdd[2] sdc[1]
      67108608 blocks level 5, 128k chunk, algorithm 2 [3/3] [UUU]
      [==========>..........]  resync = 53.2% (17870972/33554304) finish=7.3min speed=35319K/sec

It happened again. The linux-2.6 2.6.20-1 release failed for arches which we don't build snapshots for. This means that none of them was ever built in the time after I commited the whole stuff.

As this happens over and over again I consider this a real problem now. So the following arches needs new debian-kernel maintainers: alpha, hppa, and mips.

I thought the problems with pvmove was fixed with devmapper 1.02.12, but I just run into this problem again. Not sure if there was different fixes in later versions.

pvmove suspends the devices and fails to reload tables under some conditions. This time it just blocked while the devices for /usr und /var was suspended. This means the system is dead.

Update: It seems to be related to the number of LVs to move. Only one works all the time.

The buildd admin job is a rather dumb one. You get between 20 and 60 mails per day; most of them build logs. This logs, which are mostly sent unsecured through the public internet, have to be signed and the only available key is the personal key of the admin. So on one hand you have to make sure that the key is secure, on the other hand you have to find a way to sign a rather large amount of stuff.

For the debian-kernel archive, which I operate, and the pkg-voip/pkg-gnome/pkg-kde-extras archive, which is operated by Kilian, we decided to sign the uploads automaticaly. Each buildd get its own key and the used DAK includes a patch which restricts this keys to do uploads of only binaries of the correct arches.

This drasticaly reduces the time until a new package is uploaded; this means much less failed builds because a build dep is not yet built. Also it reduces the places where it is possible to do harm; you have to attack the buildd machine itself instead of the complete mail setup between buildd and admin.

For etch, we will have apt security in place, so we can be sure that the stuff comes from the correct archive. But it is not possible to disable that checks only for one source, just for anything.

Buildds uses at least one mirror: incoming.debian.org aka ftp-master.debian.org. There are two queues, the accepted autobuild queue and the main archive. The accepted autobuild queue is not signed at all, it does not provide a Release file. The archive needs some time to generate the Packages files each dinstall run and have broken sigs during this time.

This means: buildds can't use APT security at all. And no, there is no other mechanism to ensure data integrity.

The upcomming linux-2.6 release will introduce some changes in the Xen support.

kernel: xen_net: Memory squeeze in netback driver.

Why is there no automatic or at least semi automatic infrastructure for LSB tests? The last published result is from the beginning of the last year and only for sarge.