Wiki-Quellcode von VM
Version 3.1 von Jonas Jelten am 2024/11/29 15:42
Zeige letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
| 1 | # Virtuelle Maschinen | ||
| 2 | |||
| 3 | Zum Hosting von Diensten bieten wir virtualisierte Rechner an. | ||
| 4 | |||
| 5 | ## Beantragung | ||
| 6 | |||
| 7 | Deine Organisationseinheit muss einen ESX-Administrator benannt und eingewiesen haben. | ||
| 8 | |||
| 9 | Mail an [support@ito.cit.tum.de](support@ito.cit.tum.de) mit dieser Antragsbox: | ||
| 10 | |||
| 11 | CIT-Org: | ||
| 12 | Betriebssystem: Ubuntu Server 24.04 | ||
| 13 | Kurzer Projektname: | ||
| 14 | Weitere Beschreibung des Projektes: | ||
| 15 | Voraussichtliche Projektlaufzeit: unbestimmt | ||
| 16 | Ansprechpartner: Name - CIT-Account - Telefonnummer | ||
| 17 | Ansprechpartner: Name - CIT-Account - Telefonnummer | ||
| 18 | Spezielle Hardware-Wünsche: | ||
| 19 | Weitere Hinweise: | ||
| 20 | |||
| 21 | Erklärung der einzelnen Punkte: | ||
| 22 | |||
| 23 | * **CIT-Org:** Zuordnung zur Organisationseinheit der CIT. VM-Name wird z. B. orgvm42. | ||
| 24 | * **Kurzer Projektname:** Möglichst ein bis drei Wörter, die diesen Server eindeutig bezeichnen. | ||
| 25 | In der Verwaltungsoberfläche wird dieser Name angezeigt als orgvm42 - ${kurzer projektname} zu sehen sein. Ziel: Schnelle Übersicht über den Zweck der Maschine. | ||
| 26 | * **Weitere Beschreibung des Projektes:** Hier können Sie zum Beispiel schreiben, ob es sich um eine Doktorarbeit handelt oder um Infrastruktur des Lehstuhls | ||
| 27 | * **Projektlaufzeit:** Eine unverbindliche Angabe, die uns bei der Planung hilft. Auch `unbestimmt` ist gültig. | ||
| 28 | * **Ansprechpartner:** Zwei Personen, die mit dem Projekt und mit der Bedienung von VMware vertraut sind. Wir brauchen den zweiten Ansprechpartner, falls der erste nicht erreichbar ist. | ||
| 29 | * Bitte **CIT-Loginnamen** angeben | ||
| 30 | * **Hardware:** Wenn weiter nichts angegeben ist, bekommt der Server 4 CPU und 4 GB RAM. Die Größe der Systemplatte ist immer 80 GiB. | ||
| 31 | Erweiterung möglich: | ||
| 32 | Festplattenkapazität: weitere Festplatte als Ceph RBD, welches separat vom ESX-Verwalter gesichert werden muss und nicht von der ITO gesichert wird. | ||
| 33 | CPU: bis zu insg. 6 vCPU | ||
| 34 | RAM: bis zu insg. 8 GB RAM | ||
| 35 | |||
| 36 | ## Zugriff für Nutzer | ||
| 37 | |||
| 38 | Zugang für root und non-root-Nutzer kann in der StrukturDB verwaltet werden. | ||
| 39 | Die Änderungen sind sofort aktiv. | ||
| 40 | |||
| 41 | ## Richtlinien | ||
| 42 | |||
| 43 | Damit die vielen VMs reibungslos laufen können, müssen Regeln eingehalten werden: | ||
| 44 | |||
| 45 | * VMs im Cluster sind **Dienste**, also es sind keine Rechenintensiven Programme erlaubt. | ||
| 46 | * Betriebssystem aus Template der ITO (Stand Dezember 2024): | ||
| 47 | * Ubuntu Server 24.04 | ||
| 48 | * Windows Server 2019 Datacenter | ||
| 49 | * Die ITO Systemgruppe hat für alle Server root-Zugang/Admin-Rechte. Unsere Benutzer dürfen nicht vom System entfernt werden, der SSH-Port darf nicht geändert werden. | ||
| 50 | * SSH-Login aussschließlich mit Public Keys ist ausdrücklich **erlaubt**. | ||
| 51 | * Um die übrigen VMs im Cluster nicht unnötig zu belasten, bitten wir um verantwortungsvollen Umgang mit den Ressourcen. Wenn alle Server gleichzeitig CPU, Netzwerk oder Disk-IO bis zum Maximum belasten würden, würde der Cluster sehr träge werden. | ||
| 52 | * Sicherheitpatches für Ubuntu oder Windows müssen regelmäßig eingespielt werden. | ||
| 53 | * Führen Sie bitte **kein Release-Upgrade** auf eine andere Windows-Version, einen neueren Ubuntu-Release oder ein anderes Betriebsystem durch. | ||
| 54 | * Die VMware-Tools (zur Integration des Systems in die Virtualisierungsumgebung) dürfen nicht entfernt werden. | ||
| 55 | * Für jede VM sollte jederzeit ein Ansprechpartner erreichbar sein (auch bei Urlaub, daher mindestens zwei Kontaktpersonen). | ||
| 56 | |||
| 57 | Wir empfehlen außerdem folgende optionale Maßnahmen: | ||
| 58 | |||
| 59 | * Die VMs sind zur Benutzung als Server vorgesehen. Bitte keine Desktop-Umgebung auf Linux-VMs installieren. | ||
| 60 | * Zugriffsbeschränkung durch Firewall gerne möglich (z.B. nur aus Organisationsnetz und VPN) - Verwaltung der Firewall durch Org-Admins mit Auftrag an die ITO Netzwerkgruppe | ||
| 61 | * Sehr gerne SSH-Zugriff ausschließlich mit Public Key Authentication (`PasswordAuthentication no`) | ||
| 62 | |||
| 63 | ## Anpassungen | ||
| 64 | |||
| 65 | ### Windows Server 2019 | ||
| 66 | |||
| 67 | Bitte macht kein In-Place-Update von Windows 2012 zu 2019. Gerne stellen wir euch hierfür frische VMs zur Verfügung. | ||
| 68 | |||
| 69 | In unserem Windows 2019-Image haben wir geändert: | ||
| 70 | |||
| 71 | * Firewall: File and Printer Sharing (Echo Request - ICMPv4-In + ICMPv6-In) Enable | ||
| 72 | * Server Manager - Add Roles and Features - Telnet Client | ||
| 73 | * NTP Config (in Admin-CMD Shell): | ||
| 74 | * net stop w32time | ||
| 75 | * w32tm /config /syncfromflags:manual /manualpeerlist:"ntp1.in.tum.de,ntp2.in.tum.de" | ||
| 76 | * w32tm /config /reliable:yes | ||
| 77 | * net start w32time | ||
| 78 | * SSH Server / Client: | ||
| 79 | Settings → Apps → Apps and Features → Manage Optional Features → OpenSSH Server; Client ist bereits installiert | ||
| 80 | * Nochmal SSH (in einer Admin Shell): | ||
| 81 | * Install-Module -Force OpenSSHUtils -Scope AllUsers | ||
| 82 | * Set-Service -Name ssh-agent -StartupType ‘Automatic’ | ||
| 83 | * Set-Service -Name sshd -StartupType ‘Automatic’ | ||
| 84 | * Start-Service ssh-agent | ||
| 85 | * Start-Service sshd | ||
| 86 | * [LRZ Windows Updates](https://doku.lrz.de/pages/viewpage.action?pageId=30082306) | ||
| 87 | Den Gruppenrichtlinieneditor ausführen: Start → gpedit.msc | ||
| 88 | * Computer Configuration → Administrative Templates → Windows Components → Windows Update | ||
| 89 | * "Configure Automatic Updates" → 3 - Auto download and notify for install | ||
| 90 | * "Specify intranet Microsoft update service location" → [https://sus.lrz.de](https://sus.lrz.de) als intranet update und intranet statistics server | ||
| 91 | * "Do not connect to any Windows Update internet locations" → Enable | ||
| 92 | * "Enable client-side targeting" → Enabled | ||
| 93 | * Target group name: Server | ||
| 94 | * Telemetrie: | ||
| 95 | * Group Policy Editor gpedit.msc ; wieder zu Windows Components - Data Collection and Preview Builds | ||
| 96 | * "Allow Telemetry": Disabled | ||
| 97 | * Zusätzlich Telemetrie: Start → Settings → Privacy → Diagnostics & feedback | ||
| 98 | * Diagnostic data: basic | ||
| 99 | * Feedback frequency: never | ||
| 100 | * KMS Server: In einer Admin cmd-Shell | ||
| 101 | * cscript \windows\system32\slmgr.vbs -skms kms.in.tum.de |