Server-Hosting
Bereitstellung von virtuellen Maschinen für Einrichtungen der Leibniz Universität Hannover
Who can use this service
No | |
No | |
Yes | |
No |
Servicebeschreibung
Der Service Server-Hosting stellt Einrichtungen der Leibniz Universität Hannover virtuelle Maschinen mit den Betriebssystemen Linux oder Windows Server 2019 (Windows Server nur in Institutsnetzen) zur Verfügung. Die Software-Ausstattung und Installation von Anwendersoftware erfolgt durch die Nutzer.
Die Administration der virtuellen Maschine wird ebenfalls durch die Nutzer selbst ausgeführt.
Nach Übergabe einer virtuellen Maschine erfolgt deren Betrieb in alleiniger Nutzerverantwortung.
-
Leistungsumfang
Leistungsumfang des Services:
- Beratung bei Anfragen zur Eignung virtueller Maschinen für den gewünschten Zweck
- Bereitstellung von virtuellen Maschinen (VMs) mit vorinstalliertem Betriebssystem
- Standardkonfiguration einer virtuellen Maschine unter Linux:
- 1 virtuelle CPU
- 4 Gigabyte RAM
- 50 Gigabyte virtuelle Festplatte
- Standardkonfiguration einer virtuellen Maschine unter Windows 2019 Server:
- 1 virtuelle CPU
- 8 Gigabyte RAM
- 100 Gigabyte virtuelle Festplatte
- Standardkonfiguration einer virtuellen Maschine unter Linux:
- Initiale Inbetriebnahme der VM per SSH (Linux) oder RDP (Windows Server)
- Es kann zwischen zwei Nutzungsszenarien gewählt werden:
- Hosting für externe Anwendungsfälle: Die IP-Adresse der virtuellen Maschine kommt aus dem allgemeinen Netzbereich des Hostings. Dieser Teildienst eignet sich für Applikationen, die aus dem Internet erreichbar sein sollen. In diesem Anwendungsfall werden VMs ausschließlich unter Linux bereitgestellt.
- Hosting im Instituts- oder Einrichtungsnetz: Die virtuelle Maschine erhält eine IP-Adresse aus dem Netzbereich des Instituts oder der Einrichtung. Dieser Teildienst ist ausschließlich für interne Anwendungsfälle geeignet, Zugriffe aus dem Internet sind nicht vorgesehen. In diesem Anwendungsfall werden VMs unter Linux oder Windows 2019 Server bereitgestellt.
-
Laufzeit und Kosten
Laufzeit
- Die Mindestlaufzeit für eine virtuelle Maschine beträgt 12 Monate, sie verlängert sich nicht automatisch. Mindestens einen Monat vor Ablauf der Laufzeit wird der Ansprechpartner informiert.
- Verlängerungen um jeweils 12 Monate sind (auch vorzeitig) möglich
- Die Kündigungsfrist beträgt einen Monat zum Quartalsende
- Nach Kündigung oder Ablauf der Laufzeit werden die betreffenden virtuellen Maschinen gestoppt und 30 Tage danach unwiederbringlich gelöscht
Kosten
Für die Dauer des Betriebs wird ein Entgelt von 9 Euro pro Monat und virtuelle Maschine in Rechnung gestellt. Die Rechnungsstellung erfolgt einmal im Jahr.
-
Pflichten des Nutzers
- Benennung eines Ansprechpartners für die virtuellen Maschinen
- Ausfüllen und Übersenden der unterschriebenen Verpflichtungserklärung per Hauspost
-
Auslieferungszustand der VM
Betriebssystem
Es handelt sich um eine minimale Installation des Betriebssystems nach Maßgabe der verwendeten Distribution. Zusätzlich zu den enthaltenen Paketen werden einige Hilfsmittel für übliche Administrationsaufgaben installiert. Das Betriebssystem ist für den Versand von E-Mails vorbereitet, als Empfänger bestimmter Systemmeldungen ("Logwatch") wird die dienstliche Mailadresse der in der Verpflichtungserklärung genannten Person eingetragen. In der VM sind keinerlei zusätzliche Dienste vorinstalliert.
Zusätzlich installierte Tools unter Linux
- vim
- less
- logwatch
- iptables/iptables-persistent oder nftables
SSH
Die lokalen Filterregeln erlaubt in der ausgelieferten Konfiguration lediglich den Zugang aus den Netzen der LUH. Die Inbetriebnahme der virtuellen Maschine erfolgt über die per verschlüsselter Mail mitgeteilten Zugangsdaten, ein direkter Login als Root über den SSH-Dienst ist nicht möglich.
RDP
Der Zugang per RDP auf die VMs unter Window 2019 Server ist im Auslieferungszustand lediglich aus dem Netz des Institutes bzw. der Institution möglich. Die Inbetriebnahme der virtuellen Maschine erfolgt über die per verschlüsselter Mail mitgeteilten Zugangsdaten.
Mailversand
Die ausgelieferte virtuelle Maschine verwendet zum serverseitigen Versenden von E-Mails den Postfix MTA (Message Transfer Agent) im Smarthost-Modus. In diesem Modus leitet Postfix alle nicht-lokalen Mails an den Postausgangs-Server der LUH weiter. Die dienstliche Mailadresse der in der Verpflichtungserklärung genannten Person ist als Empfänger der täglichen Server-Information (siehe "Logwatch") eingetragen. Sie finden die Konfiguration des Postfix MTA unter /etc/postfix/main.cf, dort ist der Hostname der VM und der Mailserver der LUH voreingetragen. Die Datei /etc/aliases wird verwendet um lokale Adressen auf externe Adressen zu verweisen. Mails an den lokalen root-Account werden im Auslieferungszustand an die Mailadresse der in der Verpflichtungserklärung genannten Person gesandt. In dieser Datei können Sie die Zieladresse ändern oder weitere hinzufügen. Nach Veränderungen in der Datei /etc/aliases ist der Befehl newaliases auszuführen.
Logwatch
Das vorinstallierte Paket Logwatch verschickt regelmäßig eine Zusammenfassung wichtiger Logdateien an den root-Account, im Auslieferungszustand werden diese Mails (wie im Abschnitt Mailversand beschrieben) weitergeleitet. Logwatch wird nachts per Cron gestartet und erzeugt eine Zusammenfassung und Auflistung bestimmter Meldungen. Sollten Sie die täglichen Mails nicht erhalten wollen können Sie die Funktion deaktivieren indem sie Logwatch aus dem Cron-Verzeichnis entfernen oder das Paket deinstallieren.
Firewallregeln
Die Virtuelle Maschine enthält ein grundlegendes Gerüst von Filterregeln.
Unter Debian kommt im Auslieferungszustand wahlweise iptables oder nftables zum Einsatz.Sie finden den installierten Regelsatz unter:
- iptables: /etc/iptables/rules.v4
- nftables: /etc/nftables.conf
Die konfigurierten Filterregeln verfolgen einen Whitelisting-Ansatz, zum Zeitpunkt der Auslieferung ist lediglich der SSH-Dienst aus den Netzen der LUH zugänglich. Standardmäßig werden von der VM aufgebaute Verbindungen sowie ICMP echo request zugelassen.
Netzwerk
Die Netzwerkeinstellungen werden statisch konfiguriert. Die VM kann per Ping angesprochen werden und ist somit im Netzwerk erkennbar. Ausgehende Verbindungen werden im Auslieferungszustand über den zentralen Web-Proxy der LUH aufgebaut, voreingestellt ist hierbei der Proxy "Secure-Proxy". Auf der Dokumentationsseite des Web-Proxy können Sie mehr zu dieser Funktionalität erfahren.
Updates des Betriebssystems
Als Paketquelle für Updates und installierbare Softwarepakete aus dem Debian-Projekt ist der lokale Spiegelserver (Mirror) der Leibniz Universität Hannover eingetragen (Adresse ftp.uni-hannover.de). Sollten Sie zusätzliche Einträge in die Konfigurationsdatei /etc/apt/sources.list (Debian) einfügen, achten Sie bitte darauf, dass die Erreichbarkeit eines Spiegelservers auch vom eingetragenen Proxy (siehe Punkt Netzwerk) abhängen kann. Müssen Quellen eingebunden werden die im Secure-Proxy keine Freigabe haben, so muss auf den "Filter-Proxy" gewechselt werden. Mehr dazu finden Sie auf der Seite zur Proxy-Nutzung unter Linux.
Ihre Vorteile
- Durch den Einsatz von virtuellen Maschinen kann die zum Betrieb von Servern notwendige Infrastruktur (z.B. Räume, Serverschränke, Klimatisierung, unterbrechungsfreie Stromversorgung) reduziert werden oder sogar ganz entfallen
- Reduktion der Beschaffungs- und Betriebskosten eigener Server
- Reduktion des Energieverbrauchs
- Leistungsfähige Netzanbindung und ausfallsichere Stromversorgung
- Bereitstellung einer IP-Adresse aus dem Netz der Leibniz Universität Hannover
- Vorinstalliertes Basis-Betriebssystem
- Flexibilität der betriebenen Dienste durch selbstständige Administration der VM
Auf den Servern dürfen keine Dienste betrieben werden, die auch vom Rechenzentrum zentral als IT-Service angeboten werden wie z.B. Mail-Server oder DNS-Server. Webserver für öffentliche Webauftritte dürfen nur nach Absprache mit dem LUIS auf den Servern betrieben werden.
Beantragung von virtuellen Maschinen
Sie erhalten dann eine Verpflichtungserklärung (Muster der Verpflichtungserklärung)
Die Verpflichtungserklärung muss ausgedruckt und unterschrieben per Hauspost an die Leibniz Universität IT-Services zurückgesandt werden.
Das Fachteam erstellt nach Erhalt Ihrer unterschriebenen Verpflichtungserklärung eine neue VM. Die Zugangsdaten werden per Kennwortschreiben an den in der Verpflichtungserklärung angegebenen Ansprechpartner geschickt.
Mit Zugang des Kennwortschreibens erfolgt die Übergabe der virtuellen Maschine.