Benutzer-Werkzeuge

Webseiten-Werkzeuge


plattform-migration:konzept

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
plattform-migration:konzept [2015/09/20 13:37]
thomasb [Übersicht]
plattform-migration:konzept [2015/09/20 13:56] (aktuell)
thomasb [Speicherplatz der Mitglieder]
Zeile 14: Zeile 14:
 ===== Betriebssysteme ===== ===== Betriebssysteme =====
  
-Es werden unterschiedliche Betriebssysteme verwendet:+RHEL wird für die beiden Cluster-Nodes bzw. Hypervisoren verwendet (**TODO**Sponsoring bei Redhat anfragen). Der Cluster-Stack von Redhat ist sehr weit fortgeschritten. Da es sich um Open Source Komponenten handelt, kann er zwar auch auf anderen Betriebssystemen verwendet werden - RHEL hat jedoch langen Support (RHEL7 wurde in 2014 released und ist bis 2024 supported). Der Life-Cycle der Distribution der Hypervisoren sollte denjenigen der Hardware übersteigen. Upgrades der Hypervisoren sind sehr zeitaufwendig, da das Clustering besonders viele Tests benötigt. Er soll deshalb nur stattfinden, wenn die Hardware ersetzt wird.
  
-  * RHEL für die beiden Cluster-Nodes bzw. Hypervisoren. Der Cluster-Stack von Redhat ist sehr weit fortgeschritten. Da es sich um Open Source Komponenten handelt, kann er auch auf anderen Betriebssystemen verwendet werden. Bei RHEL ist der Extended Support lange (RHEL7 wurde in 2014 released und ist bis 2024 supported) und es soll vermieden werden, auf den Hypervisoren oft grosse Konfigurationsänderungen bzw. Upgrades vornehmen zu müssen+Debian wird für die restlichen virtuellen Maschinen eingesetzt.
 ===== Komponenten des Clustering ===== ===== Komponenten des Clustering =====
  
Zeile 114: Zeile 114:
   * Auf einem Shell-Server editierte Daten sind auch auf dem Webserver verfügbar   * Auf einem Shell-Server editierte Daten sind auch auf dem Webserver verfügbar
   * Mails können auf beiden Shell-Servern gelesen werden (setzt Maildir voraus)   * Mails können auf beiden Shell-Servern gelesen werden (setzt Maildir voraus)
 +  * Webseiten können auf mehreren Webservern genutzt werden (bei Migrationen können z.B. die Webseiten stückweise auf den Webserver mit den neueren Komponenten migriert werden)
  
 ===== Benutzerverwaltung ===== ===== Benutzerverwaltung =====
Zeile 131: Zeile 132:
 Ein Monitoring-Server mit OMD bzw. check_mk (http://omdistro.org/, http://mathias-kettner.de/checkmk.html) wird dazu verwendet, die Verfügbarkeit sämtlicher Dienste zu prüfen und zu alarmieren. Ein Monitoring-Server mit OMD bzw. check_mk (http://omdistro.org/, http://mathias-kettner.de/checkmk.html) wird dazu verwendet, die Verfügbarkeit sämtlicher Dienste zu prüfen und zu alarmieren.
  
-Die Shellserver dienen den Administratoren als Jumphosts. Der direkte Login per SSH auf die restlichen VMs mit Diensten ist nur von den Shellservern aus möglich. Um im Falle eines Ausfalls der Shellserver zumindest Zugriff auf die Hypervisor-Hosts zu bekommen, wird auf ihrer host-based Firewall Port-Knocking implementiert (http://www.shorewall.net/PortKnocking.html).+Die Shellserver dienen den Administratoren als Jumphosts. Der direkte Login per SSH auf die restlichen VMs mit Diensten ist nur von ihnen aus möglich. Um im Falle eines Ausfalls der Shellserver zumindest Zugriff auf die Hypervisor-Hosts zu bekommen, wird auf ihrer host-based Firewall Port-Knocking implementiert (http://www.shorewall.net/PortKnocking.html).
 ===== Security ===== ===== Security =====
  
 Jeder Host ist mit einer host-based Firewall ausgestattet (Shorewall, http://www.shorewall.net/). Jeder Host ist mit einer host-based Firewall ausgestattet (Shorewall, http://www.shorewall.net/).
  
-Die Logs der Systeme werden zentral auf einem Logserver gesammelt (Syslog per TCP). Auf jeder virtuellen Maschine wird die Aufbewahrungsdauer für Logs verkürzt. Stattdessen dient der Logserver der längeren Aufbewahrung der Logs.+Die Logs der Systeme werden zentral auf einem Logserver gesammelt (Syslog per TCP). Auf jeder virtuellen Maschine wird die Aufbewahrungsdauer für Logs verkürzt. Stattdessen dient der Logserver der längeren Aufbewahrung der Logs. Der Zugriff auf den Logserver wird eingeschränkt.
  
 Die Aktionen der Systemadministratoren werden, sobald ein Wechsel zu einem privilegierten Account stattgefunden hat, aufgezeichnet. Bevorzugt soll sudo verwendet werden, welches sämtliche Kommandos loggt. Sofern eine Shell als privilegierter Benutzer benötigt wird, dann werden die abgesetzten Kommandos aufgezeichnet. Die Aktionen der Systemadministratoren werden, sobald ein Wechsel zu einem privilegierten Account stattgefunden hat, aufgezeichnet. Bevorzugt soll sudo verwendet werden, welches sämtliche Kommandos loggt. Sofern eine Shell als privilegierter Benutzer benötigt wird, dann werden die abgesetzten Kommandos aufgezeichnet.
plattform-migration/konzept.1442756268.txt.gz · Zuletzt geändert: 2015/09/20 13:37 (Externe Bearbeitung)