Changes for page VM

Summary

• Page properties (1 modified, 0 added, 0 removed)

Details

Page properties

Content

...	...	@@ -1,3 +1,126 @@
	1	+{{toc/}}
	2	+
1	1	# Virtuelle Maschinen
2	2
3		-
	5	+Zum Hosting von Diensten bieten wir virtualisierte Rechner an.
	6	+
	7	+## Beantragung
	8	+
	9	+Deine Organisationseinheit muss einen ESX-Administrator benannt und eingewiesen haben.
	10	+
	11	+⭐ Ihr könnt nun in der [[StrukturDB|doc:CIT.ITO.Docs.Services.StrukturDB.WebHome]] selbstständig VMs erstellen! ⭐
	12	+[https://struktur.ito.cit.tum.de/struktur/reg/host](https://struktur.ito.cit.tum.de/struktur/reg/host)
	13	+
	14	+Für super-einfache und sichere Logins ohne Passwort, könnt ihr in der [[StrukturDB|doc:CIT.ITO.Docs.Services.StrukturDB.WebHome]] bei euren Usern deren SSH-key speichern - mit diesem kann man sich dann direkt einloggen.
	15	+
	16	+* Org-Admins haben sowieso root-Zugriff auf die VM
	17	+* Weitere Zugriffe auf die VM könnt ihr dafür im machine-Eintrag vergeben
	18	+* Wenn nötig könnt ihr ne Gruppe für maschinenübergreifenden Berechtigungen anlegen
	19	+
	20	+Lokale Nutzer (in `/etc/passwd`) sind damit nicht mehr notwendig.
	21	+Die Login-Berechtigung für Gruppen wird dabei in `/etc/security/access.conf` vergeben.
	22	+
	23	+Ihr könnt nun auch machine-Einträge für eure Hardwareserver erstellen, und dann auf diesen unsere [[LDAP-Anleitung|doc:CIT.ITO.Docs.Guides.LDAP-Client.WebHome]] befolgen.
	24	+Dann könnt ihr die Zugriffe für VMs und Hardwareserver auf die gleiche Art verwalten.
	25	+
	26	+## Richtlinien
	27	+
	28	+Damit die vielen VMs reibungslos laufen können, müssen Regeln eingehalten werden:
	29	+
	30	+* VMs im Cluster sind **Dienste**, also es sind keine Rechenintensiven Programme erlaubt.
	31	+* Betriebssystem aus Template der ITO (Stand Dezember 2024):
	32	+ * Ubuntu Server 24.04
	33	+ * Windows Server 2019 Datacenter
	34	+* Die ITO Systemgruppe hat für alle Server root-Zugang/Admin-Rechte. Unsere Benutzer dürfen nicht vom System entfernt werden, der SSH-Port darf nicht geändert werden.
	35	+* SSH-Login aussschließlich mit Public Keys ist ausdrücklich **erwünscht**.
	36	+* Um die übrigen VMs im Cluster nicht unnötig zu belasten, bitten wir um verantwortungsvollen Umgang mit den Ressourcen. Wenn alle Server gleichzeitig CPU, Netzwerk oder Disk-IO bis zum Maximum belasten würden, würde der Cluster sehr träge werden.
	37	+* Sicherheitpatches für Ubuntu oder Windows müssen regelmäßig eingespielt werden.
	38	+* Führen Sie bitte **kein Release-Upgrade** auf eine andere Windows-Version, einen neueren Ubuntu-Release oder ein anderes Betriebsystem durch.
	39	+* Die VMware-Tools (zur Integration des Systems in die Virtualisierungsumgebung) dürfen nicht entfernt werden.
	40	+* Für jede VM sollte jederzeit ein Ansprechpartner erreichbar sein (auch bei Urlaub, daher mindestens zwei Kontaktpersonen).
	41	+
	42	+Wir empfehlen außerdem folgende optionale Maßnahmen:
	43	+
	44	+* Die VMs sind zur Benutzung als Server vorgesehen. Bitte keine Desktop-Umgebung auf Linux-VMs installieren.
	45	+* Zugriffsbeschränkung durch Firewall gerne möglich (z.B. nur aus Organisationsnetz und VPN) - Verwaltung der Firewall durch Org-Admins mit Auftrag an die ITO Netzwerkgruppe
	46	+* Sehr gerne SSH-Zugriff ausschließlich mit Public Key Authentication (`PasswordAuthentication no`)
	47	+
	48	+## Batch-Beantragung
	49	+
	50	+Sollten eine Reihe VMs benötigt werden, bitte eine yaml-Datei für automatische Bearbeitung einsenden:
	51	+
	52	+```yaml
	53	+## Beantragung mehrerer VMs im ITO-Cluster
	54	+
	55	+# Optionen für alle VMs
	56	+ALL:
	57	+ antragsbox: |
	58	+ CIT-Org: FUN
	59	+ Betriebssystem: Ubuntu Server 24.04 LTS
	60	+ Kurzer Projektname: {projname}
	61	+ Weitere Beschreibung des Projektes: {projdesc}
	62	+ Voraussichtliche Projektlaufzeit: inf
	63	+ Ansprechpartner: user1 - Dein Name - Telefon
	64	+ user2 - Anderer Name - Telefon
	65	+
	66	+ os: "Ubuntu Server 24.04"
	67	+ org: 'org:FUN'
	68	+ hostpattern: 'funvm%+'
	69	+ lsadmin: ['user:fmi:user1', 'user:fmi:user2']
	70	+ expiration: "unbestimmt"
	71	+
	72	+# Individuelle VM-Einstellungen
	73	+# Werte von ALL werden übernommen und können überschrieben werden!
	74	+vms:
	75	+ - projname: Bratwurst as a Service
	76	+ projdesc: VM für das Bestellsystem der Bratwürste aus Gang 7
	77	+ ram: 4
	78	+ cpu: 2
	79	+ net: il42_7
	80	+
	81	+ - projname: Döner as a Service
	82	+ projdesc: Cloud-Dienst zur Beschaffung köstlicher Mitternachtssnacks
	83	+ ram: 2
	84	+ cpu: 2
	85	+ net: [il42_2, il42_7]
	86	+```
	87	+
	88	+## Anpassungen
	89	+
	90	+### Windows Server 2019
	91	+
	92	+Bitte macht kein In-Place-Update von Windows 2012 zu 2019. Gerne stellen wir euch hierfür frische VMs zur Verfügung.
	93	+
	94	+In unserem Windows 2019-Image haben wir geändert:
	95	+
	96	+* Firewall: File and Printer Sharing (Echo Request - ICMPv4-In + ICMPv6-In) Enable
	97	+* Server Manager - Add Roles and Features - Telnet Client
	98	+* NTP Config (in Admin-CMD Shell):
	99	+ * net stop w32time
	100	+ * w32tm /config /syncfromflags:manual /manualpeerlist:"ntp1.in.tum.de,ntp2.in.tum.de"
	101	+ * w32tm /config /reliable:yes
	102	+ * net start w32time
	103	+* SSH Server / Client:
	104	+Settings → Apps → Apps and Features → Manage Optional Features → OpenSSH Server; Client ist bereits installiert
	105	+* Nochmal SSH (in einer Admin Shell):
	106	+ * Install-Module -Force OpenSSHUtils -Scope AllUsers
	107	+ * Set-Service -Name ssh-agent -StartupType ‘Automatic’
	108	+ * Set-Service -Name sshd -StartupType ‘Automatic’
	109	+ * Start-Service ssh-agent
	110	+ * Start-Service sshd
	111	+* [LRZ Windows Updates](https://doku.lrz.de/pages/viewpage.action?pageId=30082306)
	112	+Den Gruppenrichtlinieneditor ausführen: Start → gpedit.msc
	113	+ * Computer Configuration → Administrative Templates → Windows Components → Windows Update
	114	+ * "Configure Automatic Updates" → 3 - Auto download and notify for install
	115	+ * "Specify intranet Microsoft update service location" → [https://sus.lrz.de](https://sus.lrz.de) als intranet update und intranet statistics server
	116	+ * "Do not connect to any Windows Update internet locations" → Enable
	117	+ * "Enable client-side targeting" → Enabled
	118	+ * Target group name: Server
	119	+* Telemetrie:
	120	+ * Group Policy Editor gpedit.msc ; wieder zu Windows Components - Data Collection and Preview Builds
	121	+ * "Allow Telemetry": Disabled
	122	+* Zusätzlich Telemetrie: Start → Settings → Privacy → Diagnostics & feedback
	123	+ * Diagnostic data: basic
	124	+ * Feedback frequency: never
	125	+* KMS Server: In einer Admin cmd-Shell
	126	+ * cscript \windows\system32\slmgr.vbs -skms kms.in.tum.de