Wiki-Quellcode von VM

Version 3.1 von Jonas Jelten am 2024/11/29 15:42
Zeige letzte Bearbeiter
1 # Virtuelle Maschinen
2
3 Zum Hosting von Diensten bieten wir virtualisierte Rechner an.
4
5 ## Beantragung
6
7 Deine Organisationseinheit muss einen ESX-Administrator benannt und eingewiesen haben.
8
9 Mail an [support@ito.cit.tum.de](support@ito.cit.tum.de) mit dieser Antragsbox:
10
11 CIT-Org:
12 Betriebssystem: Ubuntu Server 24.04
13 Kurzer Projektname:
14 Weitere Beschreibung des Projektes:
15 Voraussichtliche Projektlaufzeit: unbestimmt
16 Ansprechpartner: Name - CIT-Account - Telefonnummer
17 Ansprechpartner: Name - CIT-Account - Telefonnummer
18 Spezielle Hardware-Wünsche:
19 Weitere Hinweise:
20
21 Erklärung der einzelnen Punkte:
22
23 * **CIT-Org:** Zuordnung zur Organisationseinheit der CIT. VM-Name wird z. B. orgvm42.
24 * **Kurzer Projektname:** Möglichst ein bis drei Wörter, die diesen Server eindeutig bezeichnen.
25 In der Verwaltungsoberfläche wird dieser Name angezeigt als orgvm42 - ${kurzer projektname} zu sehen sein. Ziel: Schnelle Übersicht über den Zweck der Maschine.
26 * **Weitere Beschreibung des Projektes:** Hier können Sie zum Beispiel schreiben, ob es sich um eine Doktorarbeit handelt oder um Infrastruktur des Lehstuhls
27 * **Projektlaufzeit:** Eine unverbindliche Angabe, die uns bei der Planung hilft. Auch `unbestimmt` ist gültig.
28 * **Ansprechpartner:** Zwei Personen, die mit dem Projekt und mit der Bedienung von VMware vertraut sind. Wir brauchen den zweiten Ansprechpartner, falls der erste nicht erreichbar ist.
29 * Bitte **CIT-Loginnamen** angeben
30 * **Hardware:** Wenn weiter nichts angegeben ist, bekommt der Server 4 CPU und 4 GB RAM. Die Größe der Systemplatte ist immer 80 GiB.
31 Erweiterung möglich:
32 Festplattenkapazität: weitere Festplatte als Ceph RBD, welches separat vom ESX-Verwalter gesichert werden muss und nicht von der ITO gesichert wird.
33 CPU: bis zu insg. 6 vCPU
34 RAM: bis zu insg. 8 GB RAM
35
36 ## Zugriff für Nutzer
37
38 Zugang für root und non-root-Nutzer kann in der StrukturDB verwaltet werden.
39 Die Änderungen sind sofort aktiv.
40
41 ## Richtlinien
42
43 Damit die vielen VMs reibungslos laufen können, müssen Regeln eingehalten werden:
44
45 * VMs im Cluster sind **Dienste**, also es sind keine Rechenintensiven Programme erlaubt.
46 * Betriebssystem aus Template der ITO (Stand Dezember 2024):
47 * Ubuntu Server 24.04
48 * Windows Server 2019 Datacenter
49 * Die ITO Systemgruppe hat für alle Server root-Zugang/Admin-Rechte. Unsere Benutzer dürfen nicht vom System entfernt werden, der SSH-Port darf nicht geändert werden.
50 * SSH-Login aussschließlich mit Public Keys ist ausdrücklich **erlaubt**.
51 * Um die übrigen VMs im Cluster nicht unnötig zu belasten, bitten wir um verantwortungsvollen Umgang mit den Ressourcen. Wenn alle Server gleichzeitig CPU, Netzwerk oder Disk-IO bis zum Maximum belasten würden, würde der Cluster sehr träge werden.
52 * Sicherheitpatches für Ubuntu oder Windows müssen regelmäßig eingespielt werden.
53 * Führen Sie bitte **kein Release-Upgrade** auf eine andere Windows-Version, einen neueren Ubuntu-Release oder ein anderes Betriebsystem durch.
54 * Die VMware-Tools (zur Integration des Systems in die Virtualisierungsumgebung) dürfen nicht entfernt werden.
55 * Für jede VM sollte jederzeit ein Ansprechpartner erreichbar sein (auch bei Urlaub, daher mindestens zwei Kontaktpersonen).
56
57 Wir empfehlen außerdem folgende optionale Maßnahmen:
58
59 * Die VMs sind zur Benutzung als Server vorgesehen. Bitte keine Desktop-Umgebung auf Linux-VMs installieren.
60 * Zugriffsbeschränkung durch Firewall gerne möglich (z.B. nur aus Organisationsnetz und VPN) - Verwaltung der Firewall durch Org-Admins mit Auftrag an die ITO Netzwerkgruppe
61 * Sehr gerne SSH-Zugriff ausschließlich mit Public Key Authentication (`PasswordAuthentication no`)
62
63 ## Anpassungen
64
65 ### Windows Server 2019
66
67 Bitte macht kein In-Place-Update von Windows 2012 zu 2019. Gerne stellen wir euch hierfür frische VMs zur Verfügung.
68
69 In unserem Windows 2019-Image haben wir geändert:
70
71 * Firewall: File and Printer Sharing (Echo Request - ICMPv4-In + ICMPv6-In) Enable
72 * Server Manager - Add Roles and Features - Telnet Client
73 * NTP Config (in Admin-CMD Shell):
74 * net stop w32time
75 * w32tm /config /syncfromflags:manual /manualpeerlist:"ntp1.in.tum.de,ntp2.in.tum.de"
76 * w32tm /config /reliable:yes
77 * net start w32time
78 * SSH Server / Client:
79 Settings → Apps → Apps and Features → Manage Optional Features → OpenSSH Server; Client ist bereits installiert
80 * Nochmal SSH (in einer Admin Shell):
81 * Install-Module -Force OpenSSHUtils -Scope AllUsers
82 * Set-Service -Name ssh-agent -StartupType ‘Automatic’
83 * Set-Service -Name sshd -StartupType ‘Automatic’
84 * Start-Service ssh-agent
85 * Start-Service sshd
86 * [LRZ Windows Updates](https://doku.lrz.de/pages/viewpage.action?pageId=30082306)
87 Den Gruppenrichtlinieneditor ausführen: Start → gpedit.msc
88 * Computer Configuration → Administrative Templates → Windows Components → Windows Update
89 * "Configure Automatic Updates" → 3 - Auto download and notify for install
90 * "Specify intranet Microsoft update service location" → [https://sus.lrz.de](https://sus.lrz.de) als intranet update und intranet statistics server
91 * "Do not connect to any Windows Update internet locations" → Enable
92 * "Enable client-side targeting" → Enabled
93 * Target group name: Server
94 * Telemetrie:
95 * Group Policy Editor gpedit.msc ; wieder zu Windows Components - Data Collection and Preview Builds
96 * "Allow Telemetry": Disabled
97 * Zusätzlich Telemetrie: Start → Settings → Privacy → Diagnostics & feedback
98 * Diagnostic data: basic
99 * Feedback frequency: never
100 * KMS Server: In einer Admin cmd-Shell
101 * cscript \windows\system32\slmgr.vbs -skms kms.in.tum.de