VM

Last modified by Jonas Jelten on 2025/02/20 13:07

Virtuelle Maschinen

Zum Hosting von Diensten bieten wir virtualisierte Rechner an.

Beantragung

Deine Organisationseinheit muss einen ESX-Administrator benannt und eingewiesen haben.

⭐ Ihr könnt nun in der StrukturDB selbstständig VMs erstellen! ⭐
https://struktur.ito.cit.tum.de/struktur/reg/host

Für super-einfache und sichere Logins ohne Passwort, könnt ihr in der StrukturDB bei euren Usern deren SSH-key speichern - mit diesem kann man sich dann direkt einloggen.

  • Org-Admins haben sowieso root-Zugriff auf die VM
  • Weitere Zugriffe auf die VM könnt ihr dafür im machine-Eintrag vergeben
  • Wenn nötig könnt ihr ne Gruppe für maschinenübergreifenden Berechtigungen anlegen

Lokale Nutzer (in /etc/passwd) sind damit nicht mehr notwendig.
Die Login-Berechtigung für Gruppen wird dabei in /etc/security/access.conf vergeben.

Ihr könnt nun auch machine-Einträge für eure Hardwareserver erstellen, und dann auf diesen unsere LDAP-Anleitung befolgen.
Dann könnt ihr die Zugriffe für VMs und Hardwareserver auf die gleiche Art verwalten.

Richtlinien

Damit die vielen VMs reibungslos laufen können, müssen Regeln eingehalten werden:

  • VMs im Cluster sind Dienste, also es sind keine Rechenintensiven Programme erlaubt.
  • Betriebssystem aus Template der ITO (Stand Dezember 2024):
    • Ubuntu Server 24.04
    • Windows Server 2019 Datacenter
  • Die ITO Systemgruppe hat für alle Server root-Zugang/Admin-Rechte. Unsere Benutzer dürfen nicht vom System entfernt werden, der SSH-Port darf nicht geändert werden.
  • SSH-Login aussschließlich mit Public Keys ist ausdrücklich erwünscht.
  • Um die übrigen VMs im Cluster nicht unnötig zu belasten, bitten wir um verantwortungsvollen Umgang mit den Ressourcen. Wenn alle Server gleichzeitig CPU, Netzwerk oder Disk-IO bis zum Maximum belasten würden, würde der Cluster sehr träge werden.
  • Sicherheitpatches für Ubuntu oder Windows müssen regelmäßig eingespielt werden.
  • Führen Sie bitte kein Release-Upgrade auf eine andere Windows-Version, einen neueren Ubuntu-Release oder ein anderes Betriebsystem durch.
  • Die VMware-Tools (zur Integration des Systems in die Virtualisierungsumgebung) dürfen nicht entfernt werden.
  • Für jede VM sollte jederzeit ein Ansprechpartner erreichbar sein (auch bei Urlaub, daher mindestens zwei Kontaktpersonen).

Wir empfehlen außerdem folgende optionale Maßnahmen:

  • Die VMs sind zur Benutzung als Server vorgesehen. Bitte keine Desktop-Umgebung auf Linux-VMs installieren.
  • Zugriffsbeschränkung durch Firewall gerne möglich (z.B. nur aus Organisationsnetz und VPN) - Verwaltung der Firewall durch Org-Admins mit Auftrag an die ITO Netzwerkgruppe
  • Sehr gerne SSH-Zugriff ausschließlich mit Public Key Authentication (PasswordAuthentication no)

Batch-Beantragung

Sollten eine Reihe VMs benötigt werden, bitte eine yaml-Datei für automatische Bearbeitung einsenden:

## Beantragung mehrerer VMs im ITO-Cluster

# Optionen für alle VMs
ALL:
 antragsbox: |
   CIT-Org:                              FUN
   Betriebssystem:                       Ubuntu Server 24.04 LTS
   Kurzer Projektname:                   {projname}
   Weitere Beschreibung des Projektes:   {projdesc}
   Voraussichtliche Projektlaufzeit:     inf
   Ansprechpartner:                      user1 - Dein Name - Telefon
                                         user2 - Anderer Name - Telefon

 os: "Ubuntu Server 24.04"
 org: 'org:FUN'
 hostpattern: 'funvm%+'
 lsadmin: ['user:fmi:user1', 'user:fmi:user2']
 expiration: "unbestimmt"

# Individuelle VM-Einstellungen
# Werte von ALL werden übernommen und können überschrieben werden!
vms:
  - projname: Bratwurst as a Service
   projdesc: VM für das Bestellsystem der Bratwürste aus Gang 7
   ram: 4
   cpu: 2
   net: il42_7

  - projname: Döner as a Service
   projdesc: Cloud-Dienst zur Beschaffung köstlicher Mitternachtssnacks
   ram: 2
   cpu: 2
   net: [il42_2, il42_7]

Anpassungen

Windows Server 2019

Bitte macht kein In-Place-Update von Windows 2012 zu 2019. Gerne stellen wir euch hierfür frische VMs zur Verfügung.

In unserem Windows 2019-Image haben wir geändert:

  • Firewall: File and Printer Sharing (Echo Request - ICMPv4-In + ICMPv6-In) Enable
  • Server Manager - Add Roles and Features - Telnet Client
  • NTP Config (in Admin-CMD Shell):
    • net stop w32time
    • w32tm /config /syncfromflags:manual /manualpeerlist:"ntp1.in.tum.de,ntp2.in.tum.de"
    • w32tm /config /reliable:yes
    • net start w32time
  • SSH Server / Client:
    Settings → Apps → Apps and Features → Manage Optional Features → OpenSSH Server; Client ist bereits installiert
  • Nochmal SSH (in einer Admin Shell):
    • Install-Module -Force OpenSSHUtils -Scope AllUsers
    • Set-Service -Name ssh-agent -StartupType ‘Automatic’
    • Set-Service -Name sshd -StartupType ‘Automatic’
    • Start-Service ssh-agent
    • Start-Service sshd
  • LRZ Windows Updates
    Den Gruppenrichtlinieneditor ausführen: Start → gpedit.msc
    • Computer Configuration → Administrative Templates → Windows Components → Windows Update
    • "Configure Automatic Updates" → 3 - Auto download and notify for install
    • "Specify intranet Microsoft update service location" → https://sus.lrz.de als intranet update und intranet statistics server
    • "Do not connect to any Windows Update internet locations" → Enable
    • "Enable client-side targeting" → Enabled
    • Target group name: Server
  • Telemetrie:
    • Group Policy Editor gpedit.msc ; wieder zu Windows Components - Data Collection and Preview Builds
    • "Allow Telemetry": Disabled
  • Zusätzlich Telemetrie: Start → Settings → Privacy → Diagnostics & feedback
    • Diagnostic data: basic
    • Feedback frequency: never
  • KMS Server: In einer Admin cmd-Shell
    • cscript \windows\system32\slmgr.vbs -skms kms.in.tum.de