Änderungen von Dokument VM

Zusammenfassung

• Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Inhalt

...	...	@@ -1,3 +1,103 @@
1	1	# Virtuelle Maschinen
2	2
3		-
	3	+Zum Hosting von Diensten bieten wir virtualisierte Rechner an.
	4	+
	5	+## Beantragung
	6	+
	7	+Deine Organisationseinheit muss einen ESX-Administrator benannt und eingewiesen haben.
	8	+
	9	+Mail an [support@ito.cit.tum.de](support@ito.cit.tum.de) mit dieser Antragsbox:
	10	+
	11	+ CIT-Org:
	12	+ Betriebssystem: Ubuntu Server 24.04
	13	+ Kurzer Projektname:
	14	+ Weitere Beschreibung des Projektes:
	15	+ Voraussichtliche Projektlaufzeit: unbestimmt
	16	+ Ansprechpartner: Name - CIT-Account - Telefonnummer
	17	+ Ansprechpartner: Name - CIT-Account - Telefonnummer
	18	+ Spezielle Hardware-Wünsche:
	19	+ Weitere Hinweise:
	20	+
	21	+
	22	+
	23	+Erklärung der einzelnen Punkte:
	24	+
	25	+* **CIT-Org:** Zuordnung zur Organisationseinheit der CIT. VM-Name wird z. B. orgvm42.
	26	+* **Kurzer Projektname:** Möglichst ein bis drei Wörter, die diesen Server eindeutig bezeichnen.
	27	+In der Verwaltungsoberfläche wird dieser Name angezeigt als orgvm42 - ${kurzer projektname} zu sehen sein. Ziel: Schnelle Übersicht über den Zweck der Maschine.
	28	+* **Weitere Beschreibung des Projektes:** Hier können Sie zum Beispiel schreiben, ob es sich um eine Doktorarbeit handelt oder um Infrastruktur des Lehstuhls
	29	+* **Projektlaufzeit:** Eine unverbindliche Angabe, die uns bei der Planung hilft. Auch «unbestimmt» ist gültig.
	30	+* **Ansprechpartner:** Zwei Personen, die mit dem Projekt und mit der Bedienung von VMware vertraut sind. Wir brauchen den zweiten Ansprechpartner, falls der erste nicht erreichbar ist.
	31	+ * Bitte **CIT-Loginnamen** angeben
	32	+* **Hardware:** Wenn weiter nichts angegeben ist, bekommt der Server 4 CPU und 4 GB RAM. Die Größe der Systemplatte ist immer 80 GiB.
	33	+Erweiterung möglich:
	34	+Festplattenkapazität: weitere Festplatte als Ceph RBD, welches separat vom ESX-Verwalter gesichert werden muss und nicht von der ITO gesichert wird.
	35	+CPU: bis zu insg. 6 vCPU
	36	+RAM: bis zu insg. 8 GB RAM
	37	+
	38	+## Zugriff für Nutzer
	39	+
	40	+Zugang für root und non-root-Nutzer kann in der StrukturDB verwaltet werden.
	41	+Die Änderungen sind sofort aktiv.
	42	+
	43	+# Richtlinien
	44	+
	45	+Damit die vielen VMs reibungslos laufen können, müssen Regeln eingehalten werden:
	46	+
	47	+* VMs im Cluster sind **Dienste**, also es sind keine Rechenintensiven Programme erlaubt.
	48	+* Betriebssystem aus Template der ITO (Stand Dezember 2024):
	49	+ * Ubuntu Server 24.04
	50	+ * Windows Server 2019 Datacenter
	51	+* Die ITO Systemgruppe hat für alle Server root-Zugang/Admin-Rechte. Unsere Benutzer dürfen nicht vom System entfernt werden, der SSH-Port darf nicht geändert werden.
	52	+* SSH-Login aussschließlich mit Public Keys ist ausdrücklich **erlaubt**.
	53	+* Um die übrigen VMs im Cluster nicht unnötig zu belasten, bitten wir um verantwortungsvollen Umgang mit den Ressourcen. Wenn alle Server gleichzeitig CPU, Netzwerk oder Disk-IO bis zum Maximum belasten würden, würde der Cluster sehr träge werden.
	54	+* Sicherheitpatches für Ubuntu oder Windows müssen regelmäßig eingespielt werden.
	55	+* Führen Sie bitte **kein Release-Upgrade** auf eine andere Windows-Version, einen neueren Ubuntu-Release oder ein anderes Betriebsystem durch.
	56	+* Die VMware-Tools (zur Integration des Systems in die Virtualisierungsumgebung) dürfen nicht entfernt werden.
	57	+* Für jede VM sollte jederzeit ein Ansprechpartner erreichbar sein (auch bei Urlaub, daher mindestens zwei Kontaktpersonen).
	58	+
	59	+Wir empfehlen außerdem folgende optionale Maßnahmen:
	60	+
	61	+* Die VMs sind zur Benutzung als Server vorgesehen. Bitte keine Desktop-Umgebung auf Linux-VMs installieren.
	62	+* Zugriffsbeschränkung durch Firewall gerne möglich (z.B. nur aus Organisationsnetz und VPN) - Verwaltung der Firewall durch Org-Admins mit Auftrag an die ITO Netzwerkgruppe
	63	+* Sehr gerne SSH-Zugriff ausschließlich mit Public Key Authentication (PasswordAuthentication no)
	64	+
	65	+# Anpassungen
	66	+
	67	+## Windows Server 2019
	68	+
	69	+Bitte macht kein In-Place-Update von Windows 2012 zu 2019. Gerne stellen wir euch hierfür frische VMs zur Verfügung.
	70	+
	71	+In unserem Windows 2019-Image haben wir geändert:
	72	+
	73	+* Firewall: File and Printer Sharing (Echo Request - ICMPv4-In + ICMPv6-In) Enable
	74	+* Server Manager - Add Roles and Features - Telnet Client
	75	+* NTP Config (in Admin-CMD Shell):
	76	+ * net stop w32time
	77	+ * w32tm /config /syncfromflags:manual /manualpeerlist:"ntp1.in.tum.de,ntp2.in.tum.de"
	78	+ * w32tm /config /reliable:yes
	79	+ * net start w32time
	80	+* SSH Server / Client:
	81	+ Settings → Apps → Apps and Features → Manage Optional Features → OpenSSH Server; Client ist bereits installiert
	82	+* Nochmal SSH (in einer Admin Shell):
	83	+ * Install-Module -Force OpenSSHUtils -Scope AllUsers
	84	+ * Set-Service -Name ssh-agent -StartupType ‘Automatic’
	85	+ * Set-Service -Name sshd -StartupType ‘Automatic’
	86	+ * Start-Service ssh-agent
	87	+ * Start-Service sshd
	88	+* [LRZ Windows Updates](https://doku.lrz.de/pages/viewpage.action?pageId=30082306)
	89	+Den Gruppenrichtlinieneditor ausführen: Start → gpedit.msc
	90	+ * Computer Configuration → Administrative Templates → Windows Components → Windows Update
	91	+ * "Configure Automatic Updates" → 3 - Auto download and notify for install
	92	+ * "Specify intranet Microsoft update service location" → [https://sus.lrz.de](https://sus.lrz.de) als intranet update und intranet statistics server
	93	+ * "Do not connect to any Windows Update internet locations" → Enable
	94	+ * "Enable client-side targeting" → Enabled
	95	+ * Target group name: Server
	96	+* Telemetrie:
	97	+ * Group Policy Editor gpedit.msc ; wieder zu Windows Components - Data Collection and Preview Builds
	98	+ * "Allow Telemetry": Disabled
	99	+* Zusätzlich Telemetrie: Start → Settings → Privacy → Diagnostics & feedback
	100	+ * Diagnostic data: basic
	101	+ * Feedback frequency: never
	102	+* KMS Server: In einer Admin cmd-Shell
	103	+ * cscript \windows\system32\slmgr.vbs -skms kms.in.tum.de