VM - ITO Wiki

In der Verwaltungsoberfläche wird dieser Name angezeigt als orgvm42 - ${kurzer projektname} zu sehen sein. Ziel: Schnelle Übersicht über den Zweck der Maschine.

28

* **Weitere Beschreibung des Projektes:** Hier können Sie zum Beispiel schreiben, ob es sich um eine Doktorarbeit handelt oder um Infrastruktur des Lehstuhls

29

* **Projektlaufzeit:** Eine unverbindliche Angabe, die uns bei der Planung hilft. Auch «unbestimmt» ist gültig.

30

* **Ansprechpartner:** Zwei Personen, die mit dem Projekt und mit der Bedienung von VMware vertraut sind. Wir brauchen den zweiten Ansprechpartner, falls der erste nicht erreichbar ist.

31

* Bitte **CIT-Loginnamen** angeben

32

* **Hardware:** Wenn weiter nichts angegeben ist, bekommt der Server 4 CPU und 4 GB RAM. Die Größe der Systemplatte ist immer 80 GiB.

33

Erweiterung möglich:

34

Festplattenkapazität: weitere Festplatte als Ceph RBD, welches separat vom ESX-Verwalter gesichert werden muss und nicht von der ITO gesichert wird.

35

CPU: bis zu insg. 6 vCPU

36

RAM: bis zu insg. 8 GB RAM

37

38

## Zugriff für Nutzer

39

40

Zugang für root und non-root-Nutzer kann in der StrukturDB verwaltet werden.

41

Die Änderungen sind sofort aktiv.

# Richtlinien

Damit die vielen VMs reibungslos laufen können, müssen Regeln eingehalten werden:

46

47

* VMs im Cluster sind **Dienste**, also es sind keine Rechenintensiven Programme erlaubt.

48

* Betriebssystem aus Template der ITO (Stand Dezember 2024):

49

* Ubuntu Server 24.04

50

* Windows Server 2019 Datacenter

51

* Die ITO Systemgruppe hat für alle Server root-Zugang/Admin-Rechte. Unsere Benutzer dürfen nicht vom System entfernt werden, der SSH-Port darf nicht geändert werden.

52

* SSH-Login aussschließlich mit Public Keys ist ausdrücklich **erlaubt**.

53

* Um die übrigen VMs im Cluster nicht unnötig zu belasten, bitten wir um verantwortungsvollen Umgang mit den Ressourcen. Wenn alle Server gleichzeitig CPU, Netzwerk oder Disk-IO bis zum Maximum belasten würden, würde der Cluster sehr träge werden.

54

* Sicherheitpatches für Ubuntu oder Windows müssen regelmäßig eingespielt werden.

55

* Führen Sie bitte **kein Release-Upgrade** auf eine andere Windows-Version, einen neueren Ubuntu-Release oder ein anderes Betriebsystem durch.

56

* Die VMware-Tools (zur Integration des Systems in die Virtualisierungsumgebung) dürfen nicht entfernt werden.

57

* Für jede VM sollte jederzeit ein Ansprechpartner erreichbar sein (auch bei Urlaub, daher mindestens zwei Kontaktpersonen).

58

59

Wir empfehlen außerdem folgende optionale Maßnahmen:

60

61

* Die VMs sind zur Benutzung als Server vorgesehen. Bitte keine Desktop-Umgebung auf Linux-VMs installieren.

62

* Zugriffsbeschränkung durch Firewall gerne möglich (z.B. nur aus Organisationsnetz und VPN) - Verwaltung der Firewall durch Org-Admins mit Auftrag an die ITO Netzwerkgruppe

63

* Sehr gerne SSH-Zugriff ausschließlich mit Public Key Authentication (PasswordAuthentication no)

# Anpassungen

## Windows Server 2019

68

69

Bitte macht kein In-Place-Update von Windows 2012 zu 2019. Gerne stellen wir euch hierfür frische VMs zur Verfügung.

70

71

In unserem Windows 2019-Image haben wir geändert:

72

73

* Firewall: File and Printer Sharing (Echo Request - ICMPv4-In + ICMPv6-In) Enable

74

* Server Manager - Add Roles and Features - Telnet Client

75

* NTP Config (in Admin-CMD Shell):

76

* net stop w32time

77

* w32tm /config /syncfromflags:manual /manualpeerlist:"ntp1.in.tum.de,ntp2.in.tum.de"

78

* w32tm /config /reliable:yes

79

* net start w32time

80

* SSH Server / Client:

81

Settings → Apps → Apps and Features → Manage Optional Features → OpenSSH Server; Client ist bereits installiert

82

* Nochmal SSH (in einer Admin Shell):

83

* Install-Module -Force OpenSSHUtils -Scope AllUsers

84

* Set-Service -Name ssh-agent -StartupType ‘Automatic’

85

* Set-Service -Name sshd -StartupType ‘Automatic’

86

* Start-Service ssh-agent

87

* Start-Service sshd

88

* [LRZ Windows Updates](https://doku.lrz.de/pages/viewpage.action?pageId=30082306)

89

Den Gruppenrichtlinieneditor ausführen: Start → gpedit.msc

90

* Computer Configuration → Administrative Templates → Windows Components → Windows Update

91

* "Configure Automatic Updates" → 3 - Auto download and notify for install

92

* "Specify intranet Microsoft update service location" → [https://sus.lrz.de](https://sus.lrz.de) als intranet update und intranet statistics server

93

* "Do not connect to any Windows Update internet locations" → Enable

94

* "Enable client-side targeting" → Enabled

95

* Target group name: Server

96

* Telemetrie:

97

* Group Policy Editor gpedit.msc ; wieder zu Windows Components - Data Collection and Preview Builds

98

* "Allow Telemetry": Disabled

99

* Zusätzlich Telemetrie: Start → Settings → Privacy → Diagnostics & feedback

100

* Diagnostic data: basic

101

* Feedback frequency: never

102

* KMS Server: In einer Admin cmd-Shell

103

* cscript \windows\system32\slmgr.vbs -skms kms.in.tum.de

Wiki source code of VM

Navigation

version	line-number	content
1.1	1	# Virtuelle Maschinen
	2
2.1	3	Zum Hosting von Diensten bieten wir virtualisierte Rechner an.
	4
	5	## Beantragung
	6
	7	Deine Organisationseinheit muss einen ESX-Administrator benannt und eingewiesen haben.
	8
	9	Mail an [support@ito.cit.tum.de](support@ito.cit.tum.de) mit dieser Antragsbox:
	10
	11	CIT-Org:
	12	Betriebssystem: Ubuntu Server 24.04
	13	Kurzer Projektname:
	14	Weitere Beschreibung des Projektes:
	15	Voraussichtliche Projektlaufzeit: unbestimmt
	16	Ansprechpartner: Name - CIT-Account - Telefonnummer
	17	Ansprechpartner: Name - CIT-Account - Telefonnummer
	18	Spezielle Hardware-Wünsche:
	19	Weitere Hinweise:
	20
	21
	22
	23	Erklärung der einzelnen Punkte:
	24
	25	* CIT-Org: Zuordnung zur Organisationseinheit der CIT. VM-Name wird z. B. orgvm42.
	26	* Kurzer Projektname: Möglichst ein bis drei Wörter, die diesen Server eindeutig bezeichnen.
	27	In der Verwaltungsoberfläche wird dieser Name angezeigt als orgvm42 - ${kurzer projektname} zu sehen sein. Ziel: Schnelle Übersicht über den Zweck der Maschine.
	28	* Weitere Beschreibung des Projektes: Hier können Sie zum Beispiel schreiben, ob es sich um eine Doktorarbeit handelt oder um Infrastruktur des Lehstuhls
	29	* Projektlaufzeit: Eine unverbindliche Angabe, die uns bei der Planung hilft. Auch «unbestimmt» ist gültig.
	30	* Ansprechpartner: Zwei Personen, die mit dem Projekt und mit der Bedienung von VMware vertraut sind. Wir brauchen den zweiten Ansprechpartner, falls der erste nicht erreichbar ist.
	31	* Bitte CIT-Loginnamen angeben
	32	* Hardware: Wenn weiter nichts angegeben ist, bekommt der Server 4 CPU und 4 GB RAM. Die Größe der Systemplatte ist immer 80 GiB.
	33	Erweiterung möglich:
	34	Festplattenkapazität: weitere Festplatte als Ceph RBD, welches separat vom ESX-Verwalter gesichert werden muss und nicht von der ITO gesichert wird.
	35	CPU: bis zu insg. 6 vCPU
	36	RAM: bis zu insg. 8 GB RAM
	37
	38	## Zugriff für Nutzer
	39
	40	Zugang für root und non-root-Nutzer kann in der StrukturDB verwaltet werden.
	41	Die Änderungen sind sofort aktiv.
	42
	43	# Richtlinien
	44
	45	Damit die vielen VMs reibungslos laufen können, müssen Regeln eingehalten werden:
	46
	47	* VMs im Cluster sind Dienste, also es sind keine Rechenintensiven Programme erlaubt.
	48	* Betriebssystem aus Template der ITO (Stand Dezember 2024):
	49	* Ubuntu Server 24.04
	50	* Windows Server 2019 Datacenter
	51	* Die ITO Systemgruppe hat für alle Server root-Zugang/Admin-Rechte. Unsere Benutzer dürfen nicht vom System entfernt werden, der SSH-Port darf nicht geändert werden.
	52	* SSH-Login aussschließlich mit Public Keys ist ausdrücklich erlaubt.
	53	* Um die übrigen VMs im Cluster nicht unnötig zu belasten, bitten wir um verantwortungsvollen Umgang mit den Ressourcen. Wenn alle Server gleichzeitig CPU, Netzwerk oder Disk-IO bis zum Maximum belasten würden, würde der Cluster sehr träge werden.
	54	* Sicherheitpatches für Ubuntu oder Windows müssen regelmäßig eingespielt werden.
	55	* Führen Sie bitte kein Release-Upgrade auf eine andere Windows-Version, einen neueren Ubuntu-Release oder ein anderes Betriebsystem durch.
	56	* Die VMware-Tools (zur Integration des Systems in die Virtualisierungsumgebung) dürfen nicht entfernt werden.
	57	* Für jede VM sollte jederzeit ein Ansprechpartner erreichbar sein (auch bei Urlaub, daher mindestens zwei Kontaktpersonen).
	58
	59	Wir empfehlen außerdem folgende optionale Maßnahmen:
	60
	61	* Die VMs sind zur Benutzung als Server vorgesehen. Bitte keine Desktop-Umgebung auf Linux-VMs installieren.
	62	* Zugriffsbeschränkung durch Firewall gerne möglich (z.B. nur aus Organisationsnetz und VPN) - Verwaltung der Firewall durch Org-Admins mit Auftrag an die ITO Netzwerkgruppe
	63	* Sehr gerne SSH-Zugriff ausschließlich mit Public Key Authentication (PasswordAuthentication no)
	64
	65	# Anpassungen
	66
	67	## Windows Server 2019
	68
	69	Bitte macht kein In-Place-Update von Windows 2012 zu 2019. Gerne stellen wir euch hierfür frische VMs zur Verfügung.
	70
	71	In unserem Windows 2019-Image haben wir geändert:
	72
	73	* Firewall: File and Printer Sharing (Echo Request - ICMPv4-In + ICMPv6-In) Enable
	74	* Server Manager - Add Roles and Features - Telnet Client
	75	* NTP Config (in Admin-CMD Shell):
	76	* net stop w32time
	77	* w32tm /config /syncfromflags:manual /manualpeerlist:"ntp1.in.tum.de,ntp2.in.tum.de"
	78	* w32tm /config /reliable:yes
	79	* net start w32time
	80	* SSH Server / Client:
	81	Settings → Apps → Apps and Features → Manage Optional Features → OpenSSH Server; Client ist bereits installiert
	82	* Nochmal SSH (in einer Admin Shell):
	83	* Install-Module -Force OpenSSHUtils -Scope AllUsers
	84	* Set-Service -Name ssh-agent -StartupType ‘Automatic’
	85	* Set-Service -Name sshd -StartupType ‘Automatic’
	86	* Start-Service ssh-agent
	87	* Start-Service sshd
	88	* [LRZ Windows Updates](https://doku.lrz.de/pages/viewpage.action?pageId=30082306)
	89	Den Gruppenrichtlinieneditor ausführen: Start → gpedit.msc
	90	* Computer Configuration → Administrative Templates → Windows Components → Windows Update
	91	* "Configure Automatic Updates" → 3 - Auto download and notify for install
	92	* "Specify intranet Microsoft update service location" → [https://sus.lrz.de](https://sus.lrz.de) als intranet update und intranet statistics server
	93	* "Do not connect to any Windows Update internet locations" → Enable
	94	* "Enable client-side targeting" → Enabled
	95	* Target group name: Server
	96	* Telemetrie:
	97	* Group Policy Editor gpedit.msc ; wieder zu Windows Components - Data Collection and Preview Builds
	98	* "Allow Telemetry": Disabled
	99	* Zusätzlich Telemetrie: Start → Settings → Privacy → Diagnostics & feedback
	100	* Diagnostic data: basic
	101	* Feedback frequency: never
	102	* KMS Server: In einer Admin cmd-Shell
	103	* cscript \windows\system32\slmgr.vbs -skms kms.in.tum.de