Changes for page VM
Last modified by Jonas Jelten on 2025/02/20 13:07
From version 1.1
edited by Jonas Jelten
on 2024/11/29 11:50
on 2024/11/29 11:50
Change comment:
There is no comment for this version
To version 10.1
edited by Jonas Jelten
on 2025/02/20 13:07
on 2025/02/20 13:07
Change comment:
There is no comment for this version
Summary
-
Page properties (1 modified, 0 added, 0 removed)
Details
- Page properties
-
- Content
-
... ... @@ -1,3 +1,126 @@ 1 +{{toc/}} 2 + 1 1 # Virtuelle Maschinen 2 2 3 - 5 +Zum Hosting von Diensten bieten wir virtualisierte Rechner an. 6 + 7 +## Beantragung 8 + 9 +Deine Organisationseinheit muss einen ESX-Administrator benannt und eingewiesen haben. 10 + 11 +⭐ Ihr könnt nun in der [[StrukturDB|doc:CIT.ITO.Docs.Services.StrukturDB.WebHome]] selbstständig VMs erstellen! ⭐ 12 +[https://struktur.ito.cit.tum.de/struktur/reg/host](https://struktur.ito.cit.tum.de/struktur/reg/host) 13 + 14 +Für super-einfache und sichere Logins ohne Passwort, könnt ihr in der [[StrukturDB|doc:CIT.ITO.Docs.Services.StrukturDB.WebHome]] bei euren Usern deren SSH-key speichern - mit diesem kann man sich dann direkt einloggen. 15 + 16 +* Org-Admins haben sowieso root-Zugriff auf die VM 17 +* Weitere Zugriffe auf die VM könnt ihr dafür im machine-Eintrag vergeben 18 +* Wenn nötig könnt ihr ne Gruppe für maschinenübergreifenden Berechtigungen anlegen 19 + 20 +Lokale Nutzer (in `/etc/passwd`) sind damit nicht mehr notwendig. 21 +Die Login-Berechtigung für Gruppen wird dabei in `/etc/security/access.conf` vergeben. 22 + 23 +Ihr könnt nun auch machine-Einträge für eure Hardwareserver erstellen, und dann auf diesen unsere [[LDAP-Anleitung|doc:CIT.ITO.Docs.Guides.LDAP-Client.WebHome]] befolgen. 24 +Dann könnt ihr die Zugriffe für VMs und Hardwareserver auf die gleiche Art verwalten. 25 + 26 +## Richtlinien 27 + 28 +Damit die vielen VMs reibungslos laufen können, müssen Regeln eingehalten werden: 29 + 30 +* VMs im Cluster sind **Dienste**, also es sind keine Rechenintensiven Programme erlaubt. 31 +* Betriebssystem aus Template der ITO (Stand Dezember 2024): 32 + * Ubuntu Server 24.04 33 + * Windows Server 2019 Datacenter 34 +* Die ITO Systemgruppe hat für alle Server root-Zugang/Admin-Rechte. Unsere Benutzer dürfen nicht vom System entfernt werden, der SSH-Port darf nicht geändert werden. 35 +* SSH-Login aussschließlich mit Public Keys ist ausdrücklich **erwünscht**. 36 +* Um die übrigen VMs im Cluster nicht unnötig zu belasten, bitten wir um verantwortungsvollen Umgang mit den Ressourcen. Wenn alle Server gleichzeitig CPU, Netzwerk oder Disk-IO bis zum Maximum belasten würden, würde der Cluster sehr träge werden. 37 +* Sicherheitpatches für Ubuntu oder Windows müssen regelmäßig eingespielt werden. 38 +* Führen Sie bitte **kein Release-Upgrade** auf eine andere Windows-Version, einen neueren Ubuntu-Release oder ein anderes Betriebsystem durch. 39 +* Die VMware-Tools (zur Integration des Systems in die Virtualisierungsumgebung) dürfen nicht entfernt werden. 40 +* Für jede VM sollte jederzeit ein Ansprechpartner erreichbar sein (auch bei Urlaub, daher mindestens zwei Kontaktpersonen). 41 + 42 +Wir empfehlen außerdem folgende optionale Maßnahmen: 43 + 44 +* Die VMs sind zur Benutzung als Server vorgesehen. Bitte keine Desktop-Umgebung auf Linux-VMs installieren. 45 +* Zugriffsbeschränkung durch Firewall gerne möglich (z.B. nur aus Organisationsnetz und VPN) - Verwaltung der Firewall durch Org-Admins mit Auftrag an die ITO Netzwerkgruppe 46 +* Sehr gerne SSH-Zugriff ausschließlich mit Public Key Authentication (`PasswordAuthentication no`) 47 + 48 +## Batch-Beantragung 49 + 50 +Sollten eine Reihe VMs benötigt werden, bitte eine yaml-Datei für automatische Bearbeitung einsenden: 51 + 52 +```yaml 53 +## Beantragung mehrerer VMs im ITO-Cluster 54 + 55 +# Optionen für alle VMs 56 +ALL: 57 + antragsbox: | 58 + CIT-Org: FUN 59 + Betriebssystem: Ubuntu Server 24.04 LTS 60 + Kurzer Projektname: {projname} 61 + Weitere Beschreibung des Projektes: {projdesc} 62 + Voraussichtliche Projektlaufzeit: inf 63 + Ansprechpartner: user1 - Dein Name - Telefon 64 + user2 - Anderer Name - Telefon 65 + 66 + os: "Ubuntu Server 24.04" 67 + org: 'org:FUN' 68 + hostpattern: 'funvm%+' 69 + lsadmin: ['user:fmi:user1', 'user:fmi:user2'] 70 + expiration: "unbestimmt" 71 + 72 +# Individuelle VM-Einstellungen 73 +# Werte von ALL werden übernommen und können überschrieben werden! 74 +vms: 75 + - projname: Bratwurst as a Service 76 + projdesc: VM für das Bestellsystem der Bratwürste aus Gang 7 77 + ram: 4 78 + cpu: 2 79 + net: il42_7 80 + 81 + - projname: Döner as a Service 82 + projdesc: Cloud-Dienst zur Beschaffung köstlicher Mitternachtssnacks 83 + ram: 2 84 + cpu: 2 85 + net: [il42_2, il42_7] 86 +``` 87 + 88 +## Anpassungen 89 + 90 +### Windows Server 2019 91 + 92 +Bitte macht kein In-Place-Update von Windows 2012 zu 2019. Gerne stellen wir euch hierfür frische VMs zur Verfügung. 93 + 94 +In unserem Windows 2019-Image haben wir geändert: 95 + 96 +* Firewall: File and Printer Sharing (Echo Request - ICMPv4-In + ICMPv6-In) Enable 97 +* Server Manager - Add Roles and Features - Telnet Client 98 +* NTP Config (in Admin-CMD Shell): 99 + * net stop w32time 100 + * w32tm /config /syncfromflags:manual /manualpeerlist:"ntp1.in.tum.de,ntp2.in.tum.de" 101 + * w32tm /config /reliable:yes 102 + * net start w32time 103 +* SSH Server / Client: 104 +Settings → Apps → Apps and Features → Manage Optional Features → OpenSSH Server; Client ist bereits installiert 105 +* Nochmal SSH (in einer Admin Shell): 106 + * Install-Module -Force OpenSSHUtils -Scope AllUsers 107 + * Set-Service -Name ssh-agent -StartupType ‘Automatic’ 108 + * Set-Service -Name sshd -StartupType ‘Automatic’ 109 + * Start-Service ssh-agent 110 + * Start-Service sshd 111 +* [LRZ Windows Updates](https://doku.lrz.de/pages/viewpage.action?pageId=30082306) 112 +Den Gruppenrichtlinieneditor ausführen: Start → gpedit.msc 113 + * Computer Configuration → Administrative Templates → Windows Components → Windows Update 114 + * "Configure Automatic Updates" → 3 - Auto download and notify for install 115 + * "Specify intranet Microsoft update service location" → [https://sus.lrz.de](https://sus.lrz.de) als intranet update und intranet statistics server 116 + * "Do not connect to any Windows Update internet locations" → Enable 117 + * "Enable client-side targeting" → Enabled 118 + * Target group name: Server 119 +* Telemetrie: 120 + * Group Policy Editor gpedit.msc ; wieder zu Windows Components - Data Collection and Preview Builds 121 + * "Allow Telemetry": Disabled 122 +* Zusätzlich Telemetrie: Start → Settings → Privacy → Diagnostics & feedback 123 + * Diagnostic data: basic 124 + * Feedback frequency: never 125 +* KMS Server: In einer Admin cmd-Shell 126 + * cscript \windows\system32\slmgr.vbs -skms kms.in.tum.de