Wiki-Quellcode von VM
Zuletzt geändert von Jonas Jelten am 2025/02/20 13:07
Verstecke letzte Bearbeiter
| author | version | line-number | content |
|---|---|---|---|
 |
8.1 | 1 | {{toc/}} |
| 2 | |||
| |
1.1 | 3 | # Virtuelle Maschinen |
| 4 | |||
| |
2.1 | 5 | Zum Hosting von Diensten bieten wir virtualisierte Rechner an. |
| 6 | |||
| 7 | ## Beantragung | ||
| 8 | |||
| 9 | Deine Organisationseinheit muss einen ESX-Administrator benannt und eingewiesen haben. | ||
| 10 | |||
| |
9.1 | 11 | ⭐ Ihr könnt nun in der [[StrukturDB|doc:CIT.ITO.Docs.Services.StrukturDB.WebHome]] selbstständig VMs erstellen! ⭐ |
| 12 | [https://struktur.ito.cit.tum.de/struktur/reg/host](https://struktur.ito.cit.tum.de/struktur/reg/host) | ||
| |
2.1 | 13 | |
| |
9.1 | 14 | Für super-einfache und sichere Logins ohne Passwort, könnt ihr in der [[StrukturDB|doc:CIT.ITO.Docs.Services.StrukturDB.WebHome]] bei euren Usern deren SSH-key speichern - mit diesem kann man sich dann direkt einloggen. |
| |
2.1 | 15 | |
| |
9.1 | 16 | * Org-Admins haben sowieso root-Zugriff auf die VM |
| 17 | * Weitere Zugriffe auf die VM könnt ihr dafür im machine-Eintrag vergeben | ||
| 18 | * Wenn nötig könnt ihr ne Gruppe für maschinenübergreifenden Berechtigungen anlegen | ||
| |
2.1 | 19 | |
| |
10.1 | 20 | Lokale Nutzer (in `/etc/passwd`) sind damit nicht mehr notwendig. |
| 21 | Die Login-Berechtigung für Gruppen wird dabei in `/etc/security/access.conf` vergeben. | ||
| |
2.1 | 22 | |
| |
9.1 | 23 | Ihr könnt nun auch machine-Einträge für eure Hardwareserver erstellen, und dann auf diesen unsere [[LDAP-Anleitung|doc:CIT.ITO.Docs.Guides.LDAP-Client.WebHome]] befolgen. |
| 24 | Dann könnt ihr die Zugriffe für VMs und Hardwareserver auf die gleiche Art verwalten. | ||
| 25 | |||
| |
3.1 | 26 | ## Richtlinien |
| |
2.1 | 27 | |
| 28 | Damit die vielen VMs reibungslos laufen können, müssen Regeln eingehalten werden: | ||
| 29 | |||
| 30 | * VMs im Cluster sind **Dienste**, also es sind keine Rechenintensiven Programme erlaubt. | ||
| 31 | * Betriebssystem aus Template der ITO (Stand Dezember 2024): | ||
| 32 | * Ubuntu Server 24.04 | ||
| 33 | * Windows Server 2019 Datacenter | ||
| 34 | * Die ITO Systemgruppe hat für alle Server root-Zugang/Admin-Rechte. Unsere Benutzer dürfen nicht vom System entfernt werden, der SSH-Port darf nicht geändert werden. | ||
| |
9.1 | 35 | * SSH-Login aussschließlich mit Public Keys ist ausdrücklich **erwünscht**. |
| |
2.1 | 36 | * Um die übrigen VMs im Cluster nicht unnötig zu belasten, bitten wir um verantwortungsvollen Umgang mit den Ressourcen. Wenn alle Server gleichzeitig CPU, Netzwerk oder Disk-IO bis zum Maximum belasten würden, würde der Cluster sehr träge werden. |
| 37 | * Sicherheitpatches für Ubuntu oder Windows müssen regelmäßig eingespielt werden. | ||
| 38 | * Führen Sie bitte **kein Release-Upgrade** auf eine andere Windows-Version, einen neueren Ubuntu-Release oder ein anderes Betriebsystem durch. | ||
| 39 | * Die VMware-Tools (zur Integration des Systems in die Virtualisierungsumgebung) dürfen nicht entfernt werden. | ||
| 40 | * Für jede VM sollte jederzeit ein Ansprechpartner erreichbar sein (auch bei Urlaub, daher mindestens zwei Kontaktpersonen). | ||
| 41 | |||
| 42 | Wir empfehlen außerdem folgende optionale Maßnahmen: | ||
| 43 | |||
| 44 | * Die VMs sind zur Benutzung als Server vorgesehen. Bitte keine Desktop-Umgebung auf Linux-VMs installieren. | ||
| 45 | * Zugriffsbeschränkung durch Firewall gerne möglich (z.B. nur aus Organisationsnetz und VPN) - Verwaltung der Firewall durch Org-Admins mit Auftrag an die ITO Netzwerkgruppe | ||
| |
3.1 | 46 | * Sehr gerne SSH-Zugriff ausschließlich mit Public Key Authentication (`PasswordAuthentication no`) |
| |
2.1 | 47 | |
| |
6.1 | 48 | ## Batch-Beantragung |
| 49 | |||
| 50 | Sollten eine Reihe VMs benötigt werden, bitte eine yaml-Datei für automatische Bearbeitung einsenden: | ||
| |
7.1 | 51 | |
| |
6.1 | 52 | ```yaml |
| 53 | ## Beantragung mehrerer VMs im ITO-Cluster | ||
| 54 | |||
| 55 | # Optionen für alle VMs | ||
| 56 | ALL: | ||
| 57 | antragsbox: | | ||
| 58 | CIT-Org: FUN | ||
| 59 | Betriebssystem: Ubuntu Server 24.04 LTS | ||
| 60 | Kurzer Projektname: {projname} | ||
| 61 | Weitere Beschreibung des Projektes: {projdesc} | ||
| 62 | Voraussichtliche Projektlaufzeit: inf | ||
| 63 | Ansprechpartner: user1 - Dein Name - Telefon | ||
| 64 | user2 - Anderer Name - Telefon | ||
| 65 | |||
| 66 | os: "Ubuntu Server 24.04" | ||
| 67 | org: 'org:FUN' | ||
| 68 | hostpattern: 'funvm%+' | ||
| 69 | lsadmin: ['user:fmi:user1', 'user:fmi:user2'] | ||
| 70 | expiration: "unbestimmt" | ||
| 71 | |||
| 72 | # Individuelle VM-Einstellungen | ||
| 73 | # Werte von ALL werden übernommen und können überschrieben werden! | ||
| 74 | vms: | ||
| 75 | - projname: Bratwurst as a Service | ||
| 76 | projdesc: VM für das Bestellsystem der Bratwürste aus Gang 7 | ||
| 77 | ram: 4 | ||
| 78 | cpu: 2 | ||
| 79 | net: il42_7 | ||
| 80 | |||
| 81 | - projname: Döner as a Service | ||
| |
7.1 | 82 | projdesc: Cloud-Dienst zur Beschaffung köstlicher Mitternachtssnacks |
| |
6.1 | 83 | ram: 2 |
| 84 | cpu: 2 | ||
| |
7.1 | 85 | net: [il42_2, il42_7] |
| |
6.1 | 86 | ``` |
| 87 | |||
| |
3.1 | 88 | ## Anpassungen |
| |
2.1 | 89 | |
| |
3.1 | 90 | ### Windows Server 2019 |
| |
2.1 | 91 | |
| 92 | Bitte macht kein In-Place-Update von Windows 2012 zu 2019. Gerne stellen wir euch hierfür frische VMs zur Verfügung. | ||
| 93 | |||
| 94 | In unserem Windows 2019-Image haben wir geändert: | ||
| 95 | |||
| 96 | * Firewall: File and Printer Sharing (Echo Request - ICMPv4-In + ICMPv6-In) Enable | ||
| 97 | * Server Manager - Add Roles and Features - Telnet Client | ||
| 98 | * NTP Config (in Admin-CMD Shell): | ||
| 99 | * net stop w32time | ||
| 100 | * w32tm /config /syncfromflags:manual /manualpeerlist:"ntp1.in.tum.de,ntp2.in.tum.de" | ||
| 101 | * w32tm /config /reliable:yes | ||
| 102 | * net start w32time | ||
| 103 | * SSH Server / Client: | ||
| |
3.1 | 104 | Settings → Apps → Apps and Features → Manage Optional Features → OpenSSH Server; Client ist bereits installiert |
| |
2.1 | 105 | * Nochmal SSH (in einer Admin Shell): |
| 106 | * Install-Module -Force OpenSSHUtils -Scope AllUsers | ||
| 107 | * Set-Service -Name ssh-agent -StartupType ‘Automatic’ | ||
| 108 | * Set-Service -Name sshd -StartupType ‘Automatic’ | ||
| 109 | * Start-Service ssh-agent | ||
| 110 | * Start-Service sshd | ||
| 111 | * [LRZ Windows Updates](https://doku.lrz.de/pages/viewpage.action?pageId=30082306) | ||
| 112 | Den Gruppenrichtlinieneditor ausführen: Start → gpedit.msc | ||
| 113 | * Computer Configuration → Administrative Templates → Windows Components → Windows Update | ||
| 114 | * "Configure Automatic Updates" → 3 - Auto download and notify for install | ||
| 115 | * "Specify intranet Microsoft update service location" → [https://sus.lrz.de](https://sus.lrz.de) als intranet update und intranet statistics server | ||
| 116 | * "Do not connect to any Windows Update internet locations" → Enable | ||
| 117 | * "Enable client-side targeting" → Enabled | ||
| 118 | * Target group name: Server | ||
| 119 | * Telemetrie: | ||
| 120 | * Group Policy Editor gpedit.msc ; wieder zu Windows Components - Data Collection and Preview Builds | ||
| 121 | * "Allow Telemetry": Disabled | ||
| 122 | * Zusätzlich Telemetrie: Start → Settings → Privacy → Diagnostics & feedback | ||
| 123 | * Diagnostic data: basic | ||
| 124 | * Feedback frequency: never | ||
| 125 | * KMS Server: In einer Admin cmd-Shell | ||
| 126 | * cscript \windows\system32\slmgr.vbs -skms kms.in.tum.de |