k (→Activeren Community Repo: Voorkom verwarring met de (betaalde) 'Community Edition' subscription plan variant) |
k (Lurwah heeft pagina Virtualisatie hernoemd naar Gebruiker:Hack42/Virtualisatie) |
||
(25 tussenliggende versies door een andere gebruiker niet weergegeven) | |||
Regel 8: | Regel 8: | ||
Voor het draaien van containers en/of virtuele machines hebben we een virtualisatieplatform ingericht. Momenteel is dit hornby.space.hack42.nl. De host is vernoemd naar [https://en.wikipedia.org/wiki/Frank_Hornby Frank Hornby], uitvinder van [https://en.wikipedia.org/wiki/Meccano Meccano]. Dit vanwege het feit dat Meccano een integraal en cruciaal onderdeel is van de serverbehuizing. | Voor het draaien van containers en/of virtuele machines hebben we een virtualisatieplatform ingericht. Momenteel is dit hornby.space.hack42.nl. De host is vernoemd naar [https://en.wikipedia.org/wiki/Frank_Hornby Frank Hornby], uitvinder van [https://en.wikipedia.org/wiki/Meccano Meccano]. Dit vanwege het feit dat Meccano een integraal en cruciaal onderdeel is van de serverbehuizing. | ||
− | |||
== Doel == | == Doel == | ||
Deze host is bedoeld om containers/VM's te draaien die kunnen worden ingezet voor (bijvoorbeeld) space-infra zaken en allerhande hackerspace-gerelateerde activiteiten/doeleinden. In plaats van allerlei (niet-gerelateerde) functionaliteiten in een enkele 'superserver' te consolideren is het juist de bedoeling om dit, waar mogelijk, zoveel mogelijk uit te spreiden over individuele containers/VM's. Dit heeft als voordeel dat de hypervisor zelf zo 'clean' mogelijk wordt gehouden, wat upgrades vergemakkelijkt, maar ook dat individuele VM's geen oerwoud van maatwerk-dependencies worden (wat ook weer OS upgrades/patches vergemakkelijkt). | Deze host is bedoeld om containers/VM's te draaien die kunnen worden ingezet voor (bijvoorbeeld) space-infra zaken en allerhande hackerspace-gerelateerde activiteiten/doeleinden. In plaats van allerlei (niet-gerelateerde) functionaliteiten in een enkele 'superserver' te consolideren is het juist de bedoeling om dit, waar mogelijk, zoveel mogelijk uit te spreiden over individuele containers/VM's. Dit heeft als voordeel dat de hypervisor zelf zo 'clean' mogelijk wordt gehouden, wat upgrades vergemakkelijkt, maar ook dat individuele VM's geen oerwoud van maatwerk-dependencies worden (wat ook weer OS upgrades/patches vergemakkelijkt). | ||
− | |||
== Hardware == | == Hardware == | ||
* [https://support.hp.com/us-en/product/hp-xw6600-workstation/3432821 HP xw6600 Workstation] voorzien van laatste BIOS (v1.46) en een verse CMOS batterij | * [https://support.hp.com/us-en/product/hp-xw6600-workstation/3432821 HP xw6600 Workstation] voorzien van laatste BIOS (v1.46) en een verse CMOS batterij | ||
Regel 19: | Regel 17: | ||
** Hebben enkele jaren 24/7 als Virtual Tape Library gedraaid in een datacenter | ** Hebben enkele jaren 24/7 als Virtual Tape Library gedraaid in een datacenter | ||
** Vooraf met 'badblocks -wvs' getest, 0 bad blocks (te zien aan "OK" geschreven op de drive) | ** Vooraf met 'badblocks -wvs' getest, 0 bad blocks (te zien aan "OK" geschreven op de drive) | ||
− | |||
=== Firmware === | === Firmware === | ||
In het BIOS is de RTC in UTC geconfigureerd. Tevens is 'last state' geconfigureerd voor de setting ''After Power Loss''. Daarnaast is ''Network Service Boot'' uitgeschakeld, ''Intel Virtualization Technology (VTx)'' en ''Intel IO Virtualization'' zijn ingeschakeld.<br> | In het BIOS is de RTC in UTC geconfigureerd. Tevens is 'last state' geconfigureerd voor de setting ''After Power Loss''. Daarnaast is ''Network Service Boot'' uitgeschakeld, ''Intel Virtualization Technology (VTx)'' en ''Intel IO Virtualization'' zijn ingeschakeld.<br> | ||
Ondanks dat dit workstation zou moeten kunnen booten vanaf een USB stick, lijkt deze problemen te hebben met sommige Operating Systems en/of sticks. Proxmox wordt bijvoorbeeld niet herkend, maar Tails wel. Uiteindelijk is een externe USB DVD-ROM drive gebruikt om het OS te installeren. | Ondanks dat dit workstation zou moeten kunnen booten vanaf een USB stick, lijkt deze problemen te hebben met sommige Operating Systems en/of sticks. Proxmox wordt bijvoorbeeld niet herkend, maar Tails wel. Uiteindelijk is een externe USB DVD-ROM drive gebruikt om het OS te installeren. | ||
− | |||
== Software == | == Software == | ||
De server draait [https://www.proxmox.com Proxmox] [https://www.proxmox.com/en/proxmox-ve Virtual Environment]. Dit is een open-source virtualisatieplatform op basis van [https://www.debian.org/ Debian GNU/Linux]. Het geeft de mogelijkheid om zowel [https://en.wikipedia.org/wiki/LXC Linux Containers (LXC)] als full-blown VM's te draaien onder [https://en.wikipedia.org/wiki/Kernel-based_Virtual_Machine KVM-technologie]. [https://nurdspace.nl Hackerspace NURDspace] gebruikt ook Proxmox en heeft inmiddels enkele jaren goede ervaringen met haar [https://nurdspace.nl/Coherence virtualisatieplatform]. | De server draait [https://www.proxmox.com Proxmox] [https://www.proxmox.com/en/proxmox-ve Virtual Environment]. Dit is een open-source virtualisatieplatform op basis van [https://www.debian.org/ Debian GNU/Linux]. Het geeft de mogelijkheid om zowel [https://en.wikipedia.org/wiki/LXC Linux Containers (LXC)] als full-blown VM's te draaien onder [https://en.wikipedia.org/wiki/Kernel-based_Virtual_Machine KVM-technologie]. [https://nurdspace.nl Hackerspace NURDspace] gebruikt ook Proxmox en heeft inmiddels enkele jaren goede ervaringen met haar [https://nurdspace.nl/Coherence virtualisatieplatform]. | ||
− | |||
=== Maatwerk === | === Maatwerk === | ||
Na installatie is het volgende gedaan: | Na installatie is het volgende gedaan: | ||
Regel 41: | Regel 36: | ||
==== Activeren No-Subscription Repo ==== | ==== Activeren No-Subscription Repo ==== | ||
Op basis van de tips in [https://pve.proxmox.com/wiki/Package_Repositories#_proxmox_ve_no_subscription_repository Proxmox VE No Subscription Repo] is de no-subscription repository geconfigureerd in ''/etc/apt/sources.list'' | Op basis van de tips in [https://pve.proxmox.com/wiki/Package_Repositories#_proxmox_ve_no_subscription_repository Proxmox VE No Subscription Repo] is de no-subscription repository geconfigureerd in ''/etc/apt/sources.list'' | ||
− | |||
==== Deactiveren 'nag' popup ==== | ==== Deactiveren 'nag' popup ==== | ||
+ | Onderstaand is niet meer van toepassing, na iedere update wordt de wijziging namelijk weer ongedaan gemaakt. Handmatig bijhouden is teveel werk en levert te weinig voordeel op.<br> | ||
Middels de tip op [https://www.sysorchestra.com/2016/05/13/remove-proxmox-4-2-no-valid-subscription-message/ deze website] is ''/usr/share/pve-manager/js/pvemanagerlib.js'' aangepast zodat de webinterface niet meer de 'nag' popup toont ivm de ontbrekende licentie. Voor de wijzigingen is er een backup van deze file gemaakt naar ''/var/backups/''. Na de wijziging dient Proxmox herstart te worden. | Middels de tip op [https://www.sysorchestra.com/2016/05/13/remove-proxmox-4-2-no-valid-subscription-message/ deze website] is ''/usr/share/pve-manager/js/pvemanagerlib.js'' aangepast zodat de webinterface niet meer de 'nag' popup toont ivm de ontbrekende licentie. Voor de wijzigingen is er een backup van deze file gemaakt naar ''/var/backups/''. Na de wijziging dient Proxmox herstart te worden. | ||
Regel 51: | Regel 46: | ||
==== SSHD Login Banner ==== | ==== SSHD Login Banner ==== | ||
Er is een loginbanner in ''/etc/issue.net'' geplaatst en deze is geactiveerd in ''/etc/ssh/sshd_config''. | Er is een loginbanner in ''/etc/issue.net'' geplaatst en deze is geactiveerd in ''/etc/ssh/sshd_config''. | ||
+ | ==== Message Of The Day ==== | ||
+ | Voor interactieve logins is ''/etc/motd'' aangepast met een stukje trivia uit de Wikipedia pagina van de persoon waar de server naar is vernoemd. | ||
==== Logrotatie ==== | ==== Logrotatie ==== | ||
In ''/etc/logrotate.conf'' en diverse files in ''/etc/logrotate.d/'' zijn de rotatiesettings getuned om langer inzage te kunnen hebben in logfiles. Voor de files in de include-directory zijn alle relevante rotatiesettings verwijderd zodat deze uit de defaults worden overgenomen. Het gaat hier om ''ceph-common'', ''glusterfs-common'', ''pve'', ''pve-firewall'' en ''rsyslog''. | In ''/etc/logrotate.conf'' en diverse files in ''/etc/logrotate.d/'' zijn de rotatiesettings getuned om langer inzage te kunnen hebben in logfiles. Voor de files in de include-directory zijn alle relevante rotatiesettings verwijderd zodat deze uit de defaults worden overgenomen. Het gaat hier om ''ceph-common'', ''glusterfs-common'', ''pve'', ''pve-firewall'' en ''rsyslog''. | ||
Regel 62: | Regel 59: | ||
</pre> | </pre> | ||
==== Storage ==== | ==== Storage ==== | ||
− | Voor opslag van backups, VM's/containers en ISO's zijn (via de commandline) aparte ZFS pools gemaakt. Deze zijn vervolgens via de webinterface gemapped aan de juiste targets. De automatisch aangemaakte 'local' mappings zijn verwijderd en/of disabled. | + | Voor opslag van backups, VM's/containers en ISO's/templates zijn (via de commandline) aparte ZFS pools gemaakt. Deze zijn vervolgens via de webinterface gemapped aan de juiste targets. De automatisch aangemaakte 'local' mappings zijn verwijderd en/of disabled. |
<pre> | <pre> | ||
root@hornby:~# zfs create rpool/data/backup | root@hornby:~# zfs create rpool/data/backup | ||
Regel 98: | Regel 95: | ||
ISO's kunnen via de webinterface worden geupload. Als alternatief kunnen deze via secure copy worden geupload naar ''/rpool/data/iso/template/iso/''. Momenteel zijn de volgende beschikbaar: | ISO's kunnen via de webinterface worden geupload. Als alternatief kunnen deze via secure copy worden geupload naar ''/rpool/data/iso/template/iso/''. Momenteel zijn de volgende beschikbaar: | ||
<pre> | <pre> | ||
+ | root@hornby:~# ls -lah /rpool/data/iso/template/iso/ | ||
root@hornby:~# ls -lah /rpool/data/iso/template/iso/ | root@hornby:~# ls -lah /rpool/data/iso/template/iso/ | ||
total 4.6G | total 4.6G | ||
− | drwxr-xr-x 2 root root 6 | + | drwxr-xr-x 2 root root 6 Jul 23 19:19 . |
− | drwxr-xr-x 4 root root 4 Jan 6 | + | drwxr-xr-x 4 root root 4 Jan 6 2018 .. |
− | -rw------- 1 root root 4. | + | -rw------- 1 root root 4.2G Jul 23 19:20 CentOS-7-x86_64-DVD-1804.iso |
− | -rw------- 1 root root | + | -rw------- 1 root root 291M Jul 23 19:06 debian-9.5.0-amd64-netinst.iso |
− | -rw------- 1 root root 108M Jan 6 | + | -rw------- 1 root root 108M Jan 6 2018 openSUSE-Leap-42.3-NET-x86_64.iso |
− | -rw------- 1 root root | + | -rw------- 1 root root 122M Mar 13 2018 openSUSE-Tumbleweed-NET-x86_64-Snapshot20180312-Media.iso |
</pre> | </pre> | ||
+ | |||
==== Groups ==== | ==== Groups ==== | ||
Er is een nieuwe group ''admins'' ("Hack42 PVE Cluster Administrators") aangemaakt en deze is op groupniveau de (PVE) rol "Administrator" toegekend. Individuele users zijn in die group geplaatst. | Er is een nieuwe group ''admins'' ("Hack42 PVE Cluster Administrators") aangemaakt en deze is op groupniveau de (PVE) rol "Administrator" toegekend. Individuele users zijn in die group geplaatst. | ||
+ | === Backups === | ||
+ | Iedere zondag om 05:00 worden er backups gemaakt van alle VM's en containers, naar het backup volume (''/rpool/data/backup/''). Er wordt één backup bewaard per VM/container, dit in verband met de geringe hoeveelheid vrije schijfruimte. | ||
== Netwerk == | == Netwerk == | ||
De server is middels de [[Netwerk_Vrijland#SRW_2048|Cisco SRW 2048]] aangesloten op het [[Netwerk_Vrijland#Vlans|Hack42 Managed Hardware]] VLAN via de PCI NIC. De onboard NIC is momenteel ongebruikt. | De server is middels de [[Netwerk_Vrijland#SRW_2048|Cisco SRW 2048]] aangesloten op het [[Netwerk_Vrijland#Vlans|Hack42 Managed Hardware]] VLAN via de PCI NIC. De onboard NIC is momenteel ongebruikt. | ||
− | |||
== Toegang == | == Toegang == | ||
=== Fysiek === | === Fysiek === | ||
− | De server ligt in het 19" rack in het serverhok op de begane grond. | + | De server ligt in het 19" rack in het serverhok op de begane grond en is zowel aan de koude kant als aan de warme kant gemarkeerd met een CI-label. |
− | |||
=== Logisch === | === Logisch === | ||
De hypervisor is toegankelijk via SSH en de [https://hornby.space.hack42.nl:8006 webinterface]. Die laatste heeft de voorkeur. Merk op dat deze een self-signed certificaat zal aanbieden. Middels de HTML5 webinterface is het mogelijk om containers en VM's aan te maken, maar bijvoorbeeld ook om een (grafische) console te openen naar een container/VM of zelfs die van de host zelf. | De hypervisor is toegankelijk via SSH en de [https://hornby.space.hack42.nl:8006 webinterface]. Die laatste heeft de voorkeur. Merk op dat deze een self-signed certificaat zal aanbieden. Middels de HTML5 webinterface is het mogelijk om containers en VM's aan te maken, maar bijvoorbeeld ook om een (grafische) console te openen naar een container/VM of zelfs die van de host zelf. | ||
+ | == Containers / Virtual Machines == | ||
+ | Momenteel draaien de volgende images: | ||
+ | {| class="wikitable" | ||
+ | |- | ||
+ | ! ID !! Hostname !! Type !! OS !! Sizing (CPU/RAM/HDD) !! Contact !! Doel | ||
+ | |- | ||
+ | | 100 || phoney || VM || Debian (amd64) || 1x / 512MB / 16GB || [[User:SA007|SA007]] || [https://www.asterisk.org/ Asterisk] PBX server voor [[PhoneSystem|spacefoon telefonie-netwerk]] | ||
+ | |- | ||
+ | | 101 || postgresql || VM || Debian (amd64) || 4x / 4GB / 100GB || [[User:Dvanzuijlekom|dvanzuijlekom]] || [https://www.postgresql.org/ PostgreSQL] databaseserver voor algemeen gebruik | ||
+ | |- | ||
+ | | 102 || mariadb || VM || Debian (amd64) || 4x / 4GB / 100GB || [[User:Dvanzuijlekom|dvanzuijlekom]] || [https://mariadb.com/ MariaDB (MySQL)] databaseserver voor algemeen gebruik | ||
+ | |- | ||
+ | | 103 || mercator || VM || Debian (amd64) || 1x / 512MB / 32GB || [[User:Dvanzuijlekom|dvanzuijlekom]] || Ansible testomgeving | ||
+ | |- | ||
+ | | 104 || [[Space_VCR_System|betamax]] || VM || Debian (amd64) || 8x / 2GB / 200GB || [[User:BugBlue|BugBlue]] || [https://www.zoneminder.com/ ZoneMinder] Video Surveillance Software System | ||
+ | |} | ||
== Aanvraagprocedure Container/VM == | == Aanvraagprocedure Container/VM == | ||
− | Om onze [https://en.wikipedia.org/wiki/ISO_9000 ISO 9001] certificering te behouden, zal je een (origineel exemplaar, geen kopie) "Aanvraagformulier CI Container/VM" (formulier 251-B) moeten overleggen bij iedere container/VM-aanvraag. Deze formulieren zijn in de space te vinden, op de gebruikelijke locatie. Let wel dat dit formulier enkel op persoonlijke basis wordt uitgegeven. Legitimatie is verplicht, doe dit door middel van twee identiteitsdocumenten: minstens één geldig officieel identiteitsdocument en daarnaast (bijvoorbeeld) een bankpas/afschrift. Tevens dien je een recent (lees: maximaal 1 maand oud) afgegeven Verklaring Omtrent het Gedrag (VOG) te kunnen overleggen (op basis van: natuurlijk persoon/algemeen screeningsprofiel/8 risicogebieden). Er wordt maximaal één formulier per lopende aanvraagprocedure uitgegeven en in behandeling genomen.<br><br> | + | Om onze [https://en.wikipedia.org/wiki/ISO_9000 ISO 9001] certificering te behouden, zal je een (origineel exemplaar, geen kopie) "Aanvraagformulier CI Container/VM" (formulier 251-B) moeten overleggen bij iedere container/VM-aanvraag. Deze formulieren zijn in de space te vinden, op de gebruikelijke locatie. Let wel dat dit formulier enkel op persoonlijke basis wordt uitgegeven. Legitimatie is verplicht, doe dit door middel van twee identiteitsdocumenten: minstens één geldig officieel identiteitsdocument en daarnaast (bijvoorbeeld) een bankpas/afschrift. Ten behoeve van het validatieproces dien je een creditcardnummer op te geven (op naam van de aanvrager). Deze zal alleen worden belast indien je container/VM de limieten in de Fair Use Policy overschrijdt, zoals bijvoorbeeld (niet gelimiteerd tot) harddisk IOPS, netwerkverkeer, CPU cycles/interrupts, uptime en supportaanvragen. Zie hiervoor het aanvraagformulier voor meer informatie. Tevens dien je een recent (lees: maximaal 1 maand oud) afgegeven Verklaring Omtrent het Gedrag (VOG) te kunnen overleggen (op basis van: natuurlijk persoon/algemeen screeningsprofiel/8 risicogebieden). Er wordt maximaal één formulier per lopende aanvraagprocedure uitgegeven en in behandeling genomen.<br><br> |
− | Voor toegang tot de host of voor het (laten) deployen van een container/VM op de host kan je, tijdens kantoortijden, contact opnemen met één van de onderstaande sysadmins. Zorg wel dat je in het bezit bent van een compleet en correct ingevuld formulier 251-B, uiteraard voorzien van ondertekening door tenminste één bestuurslid en één van de onderstaande personen (maximaal één signatuur per rol): | + | Voor toegang tot de host of voor het (laten) deployen van een container/VM op de host kan je, op dinsdag, donderdag en vrijdag, tijdens kantoortijden, contact opnemen met één van de onderstaande sysadmins. Zorg wel dat je in het bezit bent van een compleet en correct ingevuld formulier 251-B, uiteraard voorzien van ondertekening door tenminste één bestuurslid en één van de onderstaande personen (maximaal één signatuur per rol): |
* {{BugBlue}} | * {{BugBlue}} | ||
* {{SA007}} | * {{SA007}} |
Huidige versie van 17 mei 2024 om 11:03
Project: Virtualisatie | |
---|---|
Naam | Virtualisatie |
Door | BugBlue, SA007, Dvanzuijlekom |
Status | Uitvoer |
Madskillz | Knutselen, (Linux) Systeembeheer, Networking, Storage |
Doel / Omschrijving | |
Een virtualisatieplatform voor containers/VM's in de space | |
Alle Projecten - Project Toevoegen |
Voor het draaien van containers en/of virtuele machines hebben we een virtualisatieplatform ingericht. Momenteel is dit hornby.space.hack42.nl. De host is vernoemd naar Frank Hornby, uitvinder van Meccano. Dit vanwege het feit dat Meccano een integraal en cruciaal onderdeel is van de serverbehuizing.
Doel
Deze host is bedoeld om containers/VM's te draaien die kunnen worden ingezet voor (bijvoorbeeld) space-infra zaken en allerhande hackerspace-gerelateerde activiteiten/doeleinden. In plaats van allerlei (niet-gerelateerde) functionaliteiten in een enkele 'superserver' te consolideren is het juist de bedoeling om dit, waar mogelijk, zoveel mogelijk uit te spreiden over individuele containers/VM's. Dit heeft als voordeel dat de hypervisor zelf zo 'clean' mogelijk wordt gehouden, wat upgrades vergemakkelijkt, maar ook dat individuele VM's geen oerwoud van maatwerk-dependencies worden (wat ook weer OS upgrades/patches vergemakkelijkt).
Hardware
- HP xw6600 Workstation voorzien van laatste BIOS (v1.46) en een verse CMOS batterij
- 2x Intel Xeon E5430 CPU's, 8 cores (2x 4) @2.66GHz
- 32GB RAM (8x 4GB DIMMs) DDR2-667, Fully Buffered, 72-bit ECC
- 6x 250GB Hitachi Deskstar harddisks (in ZFS RAID-Z2)
- Hebben enkele jaren 24/7 als Virtual Tape Library gedraaid in een datacenter
- Vooraf met 'badblocks -wvs' getest, 0 bad blocks (te zien aan "OK" geschreven op de drive)
Firmware
In het BIOS is de RTC in UTC geconfigureerd. Tevens is 'last state' geconfigureerd voor de setting After Power Loss. Daarnaast is Network Service Boot uitgeschakeld, Intel Virtualization Technology (VTx) en Intel IO Virtualization zijn ingeschakeld.
Ondanks dat dit workstation zou moeten kunnen booten vanaf een USB stick, lijkt deze problemen te hebben met sommige Operating Systems en/of sticks. Proxmox wordt bijvoorbeeld niet herkend, maar Tails wel. Uiteindelijk is een externe USB DVD-ROM drive gebruikt om het OS te installeren.
Software
De server draait Proxmox Virtual Environment. Dit is een open-source virtualisatieplatform op basis van Debian GNU/Linux. Het geeft de mogelijkheid om zowel Linux Containers (LXC) als full-blown VM's te draaien onder KVM-technologie. Hackerspace NURDspace gebruikt ook Proxmox en heeft inmiddels enkele jaren goede ervaringen met haar virtualisatieplatform.
Maatwerk
Na installatie is het volgende gedaan:
SSH Login Accounts
Op het systeem zijn enkele gebruikersaccounts aangemaakt voor beheerders. Deze zijn handmatig in de groepen adm, sudo, operator en users geplaatst. Homedirectories zijn iets verder dichtgezet qua permissies.
root@hornby:~# useradd -c "<Voornaam Achternaam>" -s /bin/bash -m <username> root@hornby:~# gpasswd -a <username> <groupname> # 4x root@hornby:~# chgrp operator /home/<username> root@hornby:~# chmod o-rx /home/<username>
Deactiveren Enterprise Repo
In /etc/apt/sources.list.d/pve-enterprise.list is de Enterprise repository uitgecomment, aangezien we hier geen licentie voor hebben. Dit voorkomt de '401 Unauthorized' foutmelding tijdens het draaien van 'apt-get update'.
Activeren No-Subscription Repo
Op basis van de tips in Proxmox VE No Subscription Repo is de no-subscription repository geconfigureerd in /etc/apt/sources.list
Deactiveren 'nag' popup
Onderstaand is niet meer van toepassing, na iedere update wordt de wijziging namelijk weer ongedaan gemaakt. Handmatig bijhouden is teveel werk en levert te weinig voordeel op.
Middels de tip op deze website is /usr/share/pve-manager/js/pvemanagerlib.js aangepast zodat de webinterface niet meer de 'nag' popup toont ivm de ontbrekende licentie. Voor de wijzigingen is er een backup van deze file gemaakt naar /var/backups/. Na de wijziging dient Proxmox herstart te worden.
Extra Packages
Om beheer te vergemakkelijken zijn de volgende extra packages geïnstalleerd:
- sudo
- vim-nox
SSHD Login Banner
Er is een loginbanner in /etc/issue.net geplaatst en deze is geactiveerd in /etc/ssh/sshd_config.
Message Of The Day
Voor interactieve logins is /etc/motd aangepast met een stukje trivia uit de Wikipedia pagina van de persoon waar de server naar is vernoemd.
Logrotatie
In /etc/logrotate.conf en diverse files in /etc/logrotate.d/ zijn de rotatiesettings getuned om langer inzage te kunnen hebben in logfiles. Voor de files in de include-directory zijn alle relevante rotatiesettings verwijderd zodat deze uit de defaults worden overgenomen. Het gaat hier om ceph-common, glusterfs-common, pve, pve-firewall en rsyslog.
NTP
Om accurate systeemtijd bij te houden is /etc/systemd/timesyncd.conf voorzien van de (NL) NTP servers via ntp.org. Fallback is enabled, maar wel de default gelaten.
Postfix Mail
Om het systeem uitgaande email te kunnen laten verzenden, in geval van gedetecteerde issues, is het volgende aangepast aan de /etc/postfix/main.cf:
myorigin = hack42.nl relayhost = turing.hack42.nl
Storage
Voor opslag van backups, VM's/containers en ISO's/templates zijn (via de commandline) aparte ZFS pools gemaakt. Deze zijn vervolgens via de webinterface gemapped aan de juiste targets. De automatisch aangemaakte 'local' mappings zijn verwijderd en/of disabled.
root@hornby:~# zfs create rpool/data/backup root@hornby:~# zfs create rpool/data/image root@hornby:~# zfs create rpool/data/iso
Dit ziet er als volgt uit:
root@hornby:~# cat /etc/pve/storage.cfg dir: local disable path /var/lib/vz content iso,rootdir,vztmpl,images maxfiles 0 shared 0 zfspool: image pool rpool/data/image content rootdir,images sparse 1 dir: iso path /rpool/data/iso content iso,vztmpl shared 0 dir: backup path /rpool/data/backup content backup maxfiles 1 shared 0
ISO's kunnen via de webinterface worden geupload. Als alternatief kunnen deze via secure copy worden geupload naar /rpool/data/iso/template/iso/. Momenteel zijn de volgende beschikbaar:
root@hornby:~# ls -lah /rpool/data/iso/template/iso/ root@hornby:~# ls -lah /rpool/data/iso/template/iso/ total 4.6G drwxr-xr-x 2 root root 6 Jul 23 19:19 . drwxr-xr-x 4 root root 4 Jan 6 2018 .. -rw------- 1 root root 4.2G Jul 23 19:20 CentOS-7-x86_64-DVD-1804.iso -rw------- 1 root root 291M Jul 23 19:06 debian-9.5.0-amd64-netinst.iso -rw------- 1 root root 108M Jan 6 2018 openSUSE-Leap-42.3-NET-x86_64.iso -rw------- 1 root root 122M Mar 13 2018 openSUSE-Tumbleweed-NET-x86_64-Snapshot20180312-Media.iso
Groups
Er is een nieuwe group admins ("Hack42 PVE Cluster Administrators") aangemaakt en deze is op groupniveau de (PVE) rol "Administrator" toegekend. Individuele users zijn in die group geplaatst.
Backups
Iedere zondag om 05:00 worden er backups gemaakt van alle VM's en containers, naar het backup volume (/rpool/data/backup/). Er wordt één backup bewaard per VM/container, dit in verband met de geringe hoeveelheid vrije schijfruimte.
Netwerk
De server is middels de Cisco SRW 2048 aangesloten op het Hack42 Managed Hardware VLAN via de PCI NIC. De onboard NIC is momenteel ongebruikt.
Toegang
Fysiek
De server ligt in het 19" rack in het serverhok op de begane grond en is zowel aan de koude kant als aan de warme kant gemarkeerd met een CI-label.
Logisch
De hypervisor is toegankelijk via SSH en de webinterface. Die laatste heeft de voorkeur. Merk op dat deze een self-signed certificaat zal aanbieden. Middels de HTML5 webinterface is het mogelijk om containers en VM's aan te maken, maar bijvoorbeeld ook om een (grafische) console te openen naar een container/VM of zelfs die van de host zelf.
Containers / Virtual Machines
Momenteel draaien de volgende images:
ID | Hostname | Type | OS | Sizing (CPU/RAM/HDD) | Contact | Doel |
---|---|---|---|---|---|---|
100 | phoney | VM | Debian (amd64) | 1x / 512MB / 16GB | SA007 | Asterisk PBX server voor spacefoon telefonie-netwerk |
101 | postgresql | VM | Debian (amd64) | 4x / 4GB / 100GB | dvanzuijlekom | PostgreSQL databaseserver voor algemeen gebruik |
102 | mariadb | VM | Debian (amd64) | 4x / 4GB / 100GB | dvanzuijlekom | MariaDB (MySQL) databaseserver voor algemeen gebruik |
103 | mercator | VM | Debian (amd64) | 1x / 512MB / 32GB | dvanzuijlekom | Ansible testomgeving |
104 | betamax | VM | Debian (amd64) | 8x / 2GB / 200GB | BugBlue | ZoneMinder Video Surveillance Software System |
Aanvraagprocedure Container/VM
Om onze ISO 9001 certificering te behouden, zal je een (origineel exemplaar, geen kopie) "Aanvraagformulier CI Container/VM" (formulier 251-B) moeten overleggen bij iedere container/VM-aanvraag. Deze formulieren zijn in de space te vinden, op de gebruikelijke locatie. Let wel dat dit formulier enkel op persoonlijke basis wordt uitgegeven. Legitimatie is verplicht, doe dit door middel van twee identiteitsdocumenten: minstens één geldig officieel identiteitsdocument en daarnaast (bijvoorbeeld) een bankpas/afschrift. Ten behoeve van het validatieproces dien je een creditcardnummer op te geven (op naam van de aanvrager). Deze zal alleen worden belast indien je container/VM de limieten in de Fair Use Policy overschrijdt, zoals bijvoorbeeld (niet gelimiteerd tot) harddisk IOPS, netwerkverkeer, CPU cycles/interrupts, uptime en supportaanvragen. Zie hiervoor het aanvraagformulier voor meer informatie. Tevens dien je een recent (lees: maximaal 1 maand oud) afgegeven Verklaring Omtrent het Gedrag (VOG) te kunnen overleggen (op basis van: natuurlijk persoon/algemeen screeningsprofiel/8 risicogebieden). Er wordt maximaal één formulier per lopende aanvraagprocedure uitgegeven en in behandeling genomen.
Voor toegang tot de host of voor het (laten) deployen van een container/VM op de host kan je, op dinsdag, donderdag en vrijdag, tijdens kantoortijden, contact opnemen met één van de onderstaande sysadmins. Zorg wel dat je in het bezit bent van een compleet en correct ingevuld formulier 251-B, uiteraard voorzien van ondertekening door tenminste één bestuurslid en één van de onderstaande personen (maximaal één signatuur per rol):
- BugBlue BugBlue
Wie?: Penningmeester
Projecten: A Clockwork Orange, ATWebcam, DeurbelTelefoon, Key to Bits to Key, LedBanners, Leluq90, Makerbot, OneWireSwitch, Sinclair C5, Sleutelrekje, The Little Routing Engine That Could, Zwembad
Madskills:
Klik voor meer info... - SA007 SA007
Wie?: Deelnemer
Projecten: Makerspaces Contest, Optima Laser Engraver fix0ren, BatZapper, Sneller internet, Software defined radio
Madskills:
Klik voor meer info... - Dvanzuijlekom Dvanzuijlekom
Wie?: niet opgegeven
Projecten: Cafe Meijers Expo, 0xff, Alot of Geekiness, Hard Disk Drive Hacks, HackInk, Mede mogelijk gemaakt door Hack42, MegaBlitz, NERF Hacks, OHAI!, PROhacks, Seal of Approval, Smart Blockchain Technology, SpacePlan, Wall of Fail, pentainer, Toilethumor, Zuil, Nerd Bird Nest Box, Makerspaces Contest, RomanRotate
Madskills: geen opgegeven
Klik voor meer info...
Hou rekening met een doorlooptijd van zo'n drie tot zes maanden na ontvangstbevestiging van je aanvraag. Een screening kan onderdeel uitmaken van het proces.
Build POIDH
www.flickr.com - tags:hack42 hornbyspacehack42nl (random) (max: 4) |