Änderungen von Dokument VM
Zuletzt geändert von Jonas Jelten am 2025/02/20 13:07
Von Version 10.1
bearbeitet von Jonas Jelten
am 2025/02/20 13:07
am 2025/02/20 13:07
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Auf Version 1.1
bearbeitet von Jonas Jelten
am 2024/11/29 11:50
am 2024/11/29 11:50
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Zusammenfassung
-
Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Inhalt
-
... ... @@ -1,126 +3,3 @@ 1 -{{toc/}} 2 - 3 3 # Virtuelle Maschinen 4 4 5 -Zum Hosting von Diensten bieten wir virtualisierte Rechner an. 6 - 7 -## Beantragung 8 - 9 -Deine Organisationseinheit muss einen ESX-Administrator benannt und eingewiesen haben. 10 - 11 -⭐ Ihr könnt nun in der [[StrukturDB|doc:CIT.ITO.Docs.Services.StrukturDB.WebHome]] selbstständig VMs erstellen! ⭐ 12 -[https://struktur.ito.cit.tum.de/struktur/reg/host](https://struktur.ito.cit.tum.de/struktur/reg/host) 13 - 14 -Für super-einfache und sichere Logins ohne Passwort, könnt ihr in der [[StrukturDB|doc:CIT.ITO.Docs.Services.StrukturDB.WebHome]] bei euren Usern deren SSH-key speichern - mit diesem kann man sich dann direkt einloggen. 15 - 16 -* Org-Admins haben sowieso root-Zugriff auf die VM 17 -* Weitere Zugriffe auf die VM könnt ihr dafür im machine-Eintrag vergeben 18 -* Wenn nötig könnt ihr ne Gruppe für maschinenübergreifenden Berechtigungen anlegen 19 - 20 -Lokale Nutzer (in `/etc/passwd`) sind damit nicht mehr notwendig. 21 -Die Login-Berechtigung für Gruppen wird dabei in `/etc/security/access.conf` vergeben. 22 - 23 -Ihr könnt nun auch machine-Einträge für eure Hardwareserver erstellen, und dann auf diesen unsere [[LDAP-Anleitung|doc:CIT.ITO.Docs.Guides.LDAP-Client.WebHome]] befolgen. 24 -Dann könnt ihr die Zugriffe für VMs und Hardwareserver auf die gleiche Art verwalten. 25 - 26 -## Richtlinien 27 - 28 -Damit die vielen VMs reibungslos laufen können, müssen Regeln eingehalten werden: 29 - 30 -* VMs im Cluster sind **Dienste**, also es sind keine Rechenintensiven Programme erlaubt. 31 -* Betriebssystem aus Template der ITO (Stand Dezember 2024): 32 - * Ubuntu Server 24.04 33 - * Windows Server 2019 Datacenter 34 -* Die ITO Systemgruppe hat für alle Server root-Zugang/Admin-Rechte. Unsere Benutzer dürfen nicht vom System entfernt werden, der SSH-Port darf nicht geändert werden. 35 -* SSH-Login aussschließlich mit Public Keys ist ausdrücklich **erwünscht**. 36 -* Um die übrigen VMs im Cluster nicht unnötig zu belasten, bitten wir um verantwortungsvollen Umgang mit den Ressourcen. Wenn alle Server gleichzeitig CPU, Netzwerk oder Disk-IO bis zum Maximum belasten würden, würde der Cluster sehr träge werden. 37 -* Sicherheitpatches für Ubuntu oder Windows müssen regelmäßig eingespielt werden. 38 -* Führen Sie bitte **kein Release-Upgrade** auf eine andere Windows-Version, einen neueren Ubuntu-Release oder ein anderes Betriebsystem durch. 39 -* Die VMware-Tools (zur Integration des Systems in die Virtualisierungsumgebung) dürfen nicht entfernt werden. 40 -* Für jede VM sollte jederzeit ein Ansprechpartner erreichbar sein (auch bei Urlaub, daher mindestens zwei Kontaktpersonen). 41 - 42 -Wir empfehlen außerdem folgende optionale Maßnahmen: 43 - 44 -* Die VMs sind zur Benutzung als Server vorgesehen. Bitte keine Desktop-Umgebung auf Linux-VMs installieren. 45 -* Zugriffsbeschränkung durch Firewall gerne möglich (z.B. nur aus Organisationsnetz und VPN) - Verwaltung der Firewall durch Org-Admins mit Auftrag an die ITO Netzwerkgruppe 46 -* Sehr gerne SSH-Zugriff ausschließlich mit Public Key Authentication (`PasswordAuthentication no`) 47 - 48 -## Batch-Beantragung 49 - 50 -Sollten eine Reihe VMs benötigt werden, bitte eine yaml-Datei für automatische Bearbeitung einsenden: 51 - 52 -```yaml 53 -## Beantragung mehrerer VMs im ITO-Cluster 54 - 55 -# Optionen für alle VMs 56 -ALL: 57 - antragsbox: | 58 - CIT-Org: FUN 59 - Betriebssystem: Ubuntu Server 24.04 LTS 60 - Kurzer Projektname: {projname} 61 - Weitere Beschreibung des Projektes: {projdesc} 62 - Voraussichtliche Projektlaufzeit: inf 63 - Ansprechpartner: user1 - Dein Name - Telefon 64 - user2 - Anderer Name - Telefon 65 - 66 - os: "Ubuntu Server 24.04" 67 - org: 'org:FUN' 68 - hostpattern: 'funvm%+' 69 - lsadmin: ['user:fmi:user1', 'user:fmi:user2'] 70 - expiration: "unbestimmt" 71 - 72 -# Individuelle VM-Einstellungen 73 -# Werte von ALL werden übernommen und können überschrieben werden! 74 -vms: 75 - - projname: Bratwurst as a Service 76 - projdesc: VM für das Bestellsystem der Bratwürste aus Gang 7 77 - ram: 4 78 - cpu: 2 79 - net: il42_7 80 - 81 - - projname: Döner as a Service 82 - projdesc: Cloud-Dienst zur Beschaffung köstlicher Mitternachtssnacks 83 - ram: 2 84 - cpu: 2 85 - net: [il42_2, il42_7] 86 -``` 87 - 88 -## Anpassungen 89 - 90 -### Windows Server 2019 91 - 92 -Bitte macht kein In-Place-Update von Windows 2012 zu 2019. Gerne stellen wir euch hierfür frische VMs zur Verfügung. 93 - 94 -In unserem Windows 2019-Image haben wir geändert: 95 - 96 -* Firewall: File and Printer Sharing (Echo Request - ICMPv4-In + ICMPv6-In) Enable 97 -* Server Manager - Add Roles and Features - Telnet Client 98 -* NTP Config (in Admin-CMD Shell): 99 - * net stop w32time 100 - * w32tm /config /syncfromflags:manual /manualpeerlist:"ntp1.in.tum.de,ntp2.in.tum.de" 101 - * w32tm /config /reliable:yes 102 - * net start w32time 103 -* SSH Server / Client: 104 -Settings → Apps → Apps and Features → Manage Optional Features → OpenSSH Server; Client ist bereits installiert 105 -* Nochmal SSH (in einer Admin Shell): 106 - * Install-Module -Force OpenSSHUtils -Scope AllUsers 107 - * Set-Service -Name ssh-agent -StartupType ‘Automatic’ 108 - * Set-Service -Name sshd -StartupType ‘Automatic’ 109 - * Start-Service ssh-agent 110 - * Start-Service sshd 111 -* [LRZ Windows Updates](https://doku.lrz.de/pages/viewpage.action?pageId=30082306) 112 -Den Gruppenrichtlinieneditor ausführen: Start → gpedit.msc 113 - * Computer Configuration → Administrative Templates → Windows Components → Windows Update 114 - * "Configure Automatic Updates" → 3 - Auto download and notify for install 115 - * "Specify intranet Microsoft update service location" → [https://sus.lrz.de](https://sus.lrz.de) als intranet update und intranet statistics server 116 - * "Do not connect to any Windows Update internet locations" → Enable 117 - * "Enable client-side targeting" → Enabled 118 - * Target group name: Server 119 -* Telemetrie: 120 - * Group Policy Editor gpedit.msc ; wieder zu Windows Components - Data Collection and Preview Builds 121 - * "Allow Telemetry": Disabled 122 -* Zusätzlich Telemetrie: Start → Settings → Privacy → Diagnostics & feedback 123 - * Diagnostic data: basic 124 - * Feedback frequency: never 125 -* KMS Server: In einer Admin cmd-Shell 126 - * cscript \windows\system32\slmgr.vbs -skms kms.in.tum.de 3 +