Benutzer-Werkzeuge

Webseiten-Werkzeuge


plattform-migration:konzept_v2

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
plattform-migration:konzept_v2 [2015/11/05 18:08]
thomasb [Systemadministration]
plattform-migration:konzept_v2 [2015/11/24 16:56] (aktuell)
thomasb [Ressourcenauslastung]
Zeile 57: Zeile 57:
  
 ^Typ der Auswertung ^Datenquelle ^Tool ^ ^Typ der Auswertung ^Datenquelle ^Tool ^
-FIXME Bitte hier eine Liste der benötigten Statistiken bzw. Auswertungen einfügen. | - | - |+tägliche Auswertung der Webzugriffe pro Site Apache Logs | webalizer | 
 +| Echtzeitauswertung der Webserver-Zugriffshäufigkeit Apache Logs | rrdtool, eigene Skripte | 
 +| Echtzeitauswertung der versandten Biere | Apache Logs | rrdtool, eigene Skripte | 
 +| Echtzeitauswertung von Greylisting | /var/log/sqlgrey | Mailgraph modifiziert, eigene Skripte | 
 +| mehrfach-tägliche Auswertung der Mailserver-Nutzung | /var/log/maillog | Mailgraph modifiziert | 
 +| mehrfach-tägliche Auswertung der Mailbox-Zugriffe | /var/log/dovecot | Mailgraph modifiziert | 
 +| Systemkennwerte |  | statgrab, rrdtool, eigene Skripte |
 ===== Klassifizierung von virtuellen Maschinen, Daten und Zonen ===== ===== Klassifizierung von virtuellen Maschinen, Daten und Zonen =====
  
Zeile 121: Zeile 127:
  
 ^Skript ^Ersatz ^ ^Skript ^Ersatz ^
-| add_alias.pl | FIXME |  +| add_alias.pl | veraltet |  
-| add_mysqldb.pl | FIXME |  +| add_mysqldb.pl | veraltet |  
-| add_user.sh | FIXME |  +| add_user.sh | veraltet |  
-| add_virtserv.pl | FIXME |  +| add_virtserv.pl | in Gebrauch |  
-| change_passwd.pl | FIXME |  +| change_passwd.pl | in Gebrauch |  
-| change_passwd_nomail.pl | FIXME |  +| change_passwd_nomail.pl | in Gebrauch |  
-| check_entry.pl | FIXME |  +| check_entry.pl | veraltet |  
-| check_payments.pl | FIXME |  +| check_payments.pl | veraltet |  
-| clean-db.pl | FIXME |  +| clean-db.pl | veraltet |  
-| copy_mailaddr.sh | FIXME |  +| copy_mailaddr.sh | in Gebrauch |  
-| correct.pl | FIXME |  +| correct.pl | veraltet |  
-| delete_idle_nonmemb.pl | FIXME |  +| delete_idle_nonmemb.pl | veraltet |  
-| delete_idle_nonmemb.txt | FIXME |  +| delete_idle_nonmemb.txt | veraltet |  
-| delete_virtserv.pl | FIXME |  +| delete_virtserv.pl | in Gebrauch |  
-| importdb.cgi | FIXME |  +| importdb.cgi | veraltet |  
-| mgtest.log | FIXME |  +| mgtest.log | veraltet |  
-| mod_account.sh | FIXME |  +| mod_account.sh | in Gebrauch |  
-| mv2member.pl | FIXME |  +| mv2member.pl | veraltet |  
-| mysql-create-root | FIXME |  +| mysql-create-root | in Gebrauch |  
-| mysql-reset-root | FIXME |  +| mysql-reset-root | in Gebrauch |  
-| nonmemberwerbung.pl | FIXME |  +| nonmemberwerbung.pl | veraltet |  
-| priate_email.pl | FIXME |  +| show_privmail.pl | in Gebrauch |  
-| show_address.pl | FIXME |  +| autopatch.pl | veraltet 
-| show_privmail.pl | FIXME |  +| autopatch.sh | veraltet 
-| truniger.pl | FIXME |  +| backup-config.sh | veraltet 
-| 2delete | FIXME +| backup2local.sh | veraltet 
-| autopatch.pl | FIXME +| change-perm2trash.sh | veraltet 
-| autopatch.sh | FIXME +| check_cluster | veraltet 
-| backup-config.sh | FIXME +| check_expire | veraltet 
-| backup2local.sh | FIXME +| check_failed_sshd.pl | in Gebrauch 
-| change-perm2trash.sh | FIXME +| check_failed_sshd.pl.orig | veraltet 
-| check_cluster | FIXME +| check_homedir.pl | veraltet 
-| check_expire | FIXME +| check_mailsize.pl | veraltet 
-| check_failed_sshd.pl | FIXME | +| check_quota.sh | in Gebrauch 
-| check_failed_sshd.pl.bu | FIXME | +| check_sqlgrey | in Gebrauch 
-| check_failed_sshd.pl.new | FIXME +| check_syslogd | in Gebrauch 
-| check_failed_sshd.pl.orig | FIXME +| checkpw | veraltet 
-| check_homedir.pl | FIXME +| checkquota.sh | veraltet 
-| check_mailsize.pl | FIXME +| chng_pws.pl | veraltet 
-| check_quota.sh | FIXME +| clean_tmp.sh | veraltet 
-| check_sqlgrey | FIXME +| couriergraph.pl | in Gebrauch 
-| check_syslogd | FIXME +| cpu-load.sh | veraltet 
-| checkpw | FIXME +| date.sh | veraltet 
-| checkquota.sh | FIXME +| delete_old_beers.pl | veraltet 
-| chng_pws.pl | FIXME +| deletemail.sh | veraltet 
-| clean_tmp.sh | FIXME +| diskspace.mail | veraltet 
-| couriergraph.pl | FIXME +| dist2allusers.sh | veraltet 
-| cpu-load.sh | FIXME +| dot | veraltet 
-| date.sh | FIXME +| dspam_cssclean.sh | in Gebrauch 
-| delete_old_beers.pl | FIXME +| dump_mysql | in Gebrauch 
-| deletemail.sh | FIXME +| filecomp.sh | veraltet 
-| diskspace.mail | FIXME +| find-users2delete.pl | veraltet 
-| dist2allusers.sh | FIXME +| find_obsolete_home | in Gebrauch 
-| dot | FIXME +| find_setuid.sh | veraltet 
-| dspam_cssclean.sh | FIXME +| fix-modes | veraltet 
-| dump_mysql | FIXME +| grepmail.sh | veraltet 
-| filecomp.sh | FIXME +| kill_death_procs.sh | veraltet 
-| find-users2delete.pl | FIXME +| lastlogin | veraltet 
-| find_obsolete_home | FIXME +| log_prstat | veraltet 
-| find_setuid.sh | FIXME +| mail-mgmt | veraltet 
-| fix-modes | FIXME +| mailaccess.pl | in Gebrauch 
-| grepmail.sh | FIXME +| mailgraph.pl | in Gebrauch 
-| kill_death_procs.sh | FIXME +| mailstats.orig | veraltet 
-| lastlogin | FIXME +| mailstats.sh | veraltet 
-| log_prstat | FIXME +| make_anonftp.sh | in Gebrauch 
-| mail-mgmt | FIXME +| make_mailgraph.sh | in Gebrauch 
-| mailaccess.pl | FIXME | +| make_snort.sh | veraltet 
-| mailaccess.pl.20100101 | FIXME | +| make_sqlgraph.sh | in Gebrauch 
-| mailaccess.pl.20110725 | FIXME | +| makesymlinks.claudio | veraltet 
-| mailaccess.pl.bu | FIXME +| makevirtusers.sh | veraltet 
-| mailgraph.pl | FIXME | +| mbox_warn.ksh | veraltet 
-| mailgraph.pl-old | FIXME +| md5mon.sh | veraltet 
-| mailstats.orig | FIXME +| mmfold.py | veraltet 
-| mailstats.sh | FIXME +| monitor-server.pl | veraltet 
-| make_anonftp.sh | FIXME +| monitor-traffic.sh | veraltet 
-| make_mailgraph.sh | FIXME | +| newdovecotlog | in Gebrauch 
-| make_mailgraph.sh.20100101 | FIXME +| newmaillog | in Gebrauch 
-| make_snort.sh | FIXME +| newspamdlog | in Gebrauch 
-| make_sqlgraph.sh | FIXME +| newsqlgreylog | in Gebrauch 
-| makesymlinks.claudio | FIXME +| ntop | in Gebrauch 
-| makevirtusers.sh | FIXME +| oldstuff | veraltet 
-| mbox_warn.ksh | FIXME +| reinject | veraltet 
-| md5mon.sh | FIXME +| renice_irc.sh | veraltet 
-| mmfold.py | FIXME +| restart_tomcat.sh | veraltet 
-| monitor-server.pl | FIXME +| rotatelogs.sh | in Gebrauch 
-| monitor-traffic.sh | FIXME +| rrd-create-base | in Gebrauch 
-| newdovecotlog | FIXME +| rrd-create-base.truniger | in Gebrauch 
-| newmaillog | FIXME +| rrd-httpdlog.pl | in Gebrauch 
-| newspamdlog | FIXME +| rrd-update.pl | in Gebrauch 
-| newsqlgreylog | FIXME +| satan-1.1.4exp | veraltet 
-| ntop | FIXME +| smtpstats | veraltet 
-| oldstuff | FIXME +| sqlgreygraph.pl | in Gebrauch 
-| reinject | FIXME +| sqlgreyparse.pl | in Gebrauch 
-| renice_irc.sh | FIXME +| start_ipv6.sh | veraltet 
-| restart_tomcat.sh | FIXME +| statgrab-5.5.php | in Gebrauch 
-| rotatelogs.sh | FIXME +| statgrab.php | veraltet 
-| rrd-create-base | FIXME +| status_check.sh | veraltet 
-| rrd-create-base.truniger | FIXME +| sync_passwd.sh | in Gebrauch 
-| rrd-httpdlog.pl | FIXME +| sysstats.sh | in Gebrauch 
-| rrd-update.pl | FIXME +| system-integrity.sh | in Gebrauch 
-| satan-1.1.4exp | FIXME +| tailwtmp.pl | veraltet 
-| smtpstats | FIXME +| tcpdstats | veraltet 
-| sqlgreygraph.pl | FIXME +| totallog.sh | veraltet 
-| sqlgreyparse.pl | FIXME +| traffic_archive.pl | veraltet 
-| start_ipv6.sh | FIXME +| traffic_stats.pl | veraltet 
-| statgrab-5.5.php | FIXME +| tuning-primer.sh | veraltet 
-| statgrab.php | FIXME | +| update_dns.sh | in Gebrauch 
-| statgrab.php.orig | FIXME | +| update_hosts.allow.sh | in Gebrauch 
-| statgrab.php.truniger | FIXME +| update_tinyroot.sh | veraltet 
-| status_check.sh | FIXME | +| updatedb_wrapper.sh | veraltet 
-| stinky-sync.tar | FIXME +| user-stats.sh | veraltet 
-| sync_passwd.sh | FIXME +| userwarn.pl | veraltet |
-| sysstats.sh | FIXME +
-| system-integrity.sh | FIXME +
-| tailwtmp.pl | FIXME +
-| tcpdstats | FIXME +
-| totallog.sh | FIXME +
-| traffic_archive.pl | FIXME +
-| traffic_stats.pl | FIXME +
-| tuning-primer.sh | FIXME +
-| update_dns.sh | FIXME +
-| update_hosts.allow.sh | FIXME +
-| update_tinyroot.sh | FIXME +
-| updatedb_wrapper.sh | FIXME | +
-| user-mgmt | FIXME +
-| user-stats.sh | FIXME +
-| userwarn.pl | FIXME |+
  
 ===== LDAP-Schema ===== ===== LDAP-Schema =====
Zeile 309: Zeile 300:
 Der bisherige DNS-Setup soll vereinfacht werden: Es gibt dazu noch zwei VMs mit einer bind-Instanz auf dem roten Interface. Eine VM ist Master, die andere beschafft sich Kopien der Zonen per AXFR.  Der bisherige DNS-Setup soll vereinfacht werden: Es gibt dazu noch zwei VMs mit einer bind-Instanz auf dem roten Interface. Eine VM ist Master, die andere beschafft sich Kopien der Zonen per AXFR. 
  
-Neu wird standardmässig jede Zone per DNSSEC signiert. Mit Inline Signing (http://securityblog.switch.ch/2014/11/13/dnssec-signing-your-domain-with-bind-inline-signing/) sind keine Skripte oder Tools mehr dazu notwendig, bind kann die Erneuerung von Signaturen selber handhaben.+FIXME Neu wird standardmässig jede Zone per DNSSEC signiert. Mit Inline Signing (http://securityblog.switch.ch/2014/11/13/dnssec-signing-your-domain-with-bind-inline-signing/) sind keine Skripte oder Tools mehr dazu notwendig, bind kann die Erneuerung von Signaturen selber handhaben.
  
 +FIXME Alternativ kann weiterhin ZKT verwendet werden.
 +
 +FIXME OTR: man könnte die Zonenfiles zone.db auch ins Homeverzeichnis der Benutzer verlinken, damit sie ihre eigenen Domains selbst editieren können.
 ===== DNS rekursiv ===== ===== DNS rekursiv =====
 +
 +=== Intern ===
  
 Rekursiver DNS wird für alle VM benötigt. Dazu wird auf den beiden VM für DNS auf dem grünen Interface eine unbound-Instanz betrieben (https://unbound.net/). DNSSEC-Validierung ist auf dieser aktiviert. Rekursiver DNS wird für alle VM benötigt. Dazu wird auf den beiden VM für DNS auf dem grünen Interface eine unbound-Instanz betrieben (https://unbound.net/). DNSSEC-Validierung ist auf dieser aktiviert.
  
 VM der Klasse Other nutzen die rekursiven DNS von Init7, oder beliebige andere. VM der Klasse Other nutzen die rekursiven DNS von Init7, oder beliebige andere.
 +
 +=== Öffentlich ===
 +
 +trash.net betreibt einen öffentliche DNS-Server, bei dem zur Zeit noch alle Clients über eine URL freigeschaltet werden müssen.
 +
 +Auf der neuen Plattform wird auf die Freischaltung verzichtet und der Dienst generell ohne Filter betrieben. Dazu wird auf beiden NS-Servern je eine zusätzliche IP zugewiesen für den rekursiven DNS.
 +
 +Analog zum internen, rekursiven DNS wird auch Unbound benutzt. Zum Schutz gegen Missbrauch wird ein Rate-Limiting umgesetzt (https://unbound.net/documentation/unbound.conf.html, sh. Parameter jostle-timeout, incoming-num-tcp, msg-cache-size, num-queries-per-thread).
 +
 +
 ===== Web ===== ===== Web =====
  
Zeile 332: Zeile 338:
  
 ✘ Es wird weiterhin möglich sein, dass der Code von einem Benutzer (z.B. PHP oder CGI) die world-readable Files von anderen Benutzern lesen kann. Dazu gibt es keine Lösung. ✘ Es wird weiterhin möglich sein, dass der Code von einem Benutzer (z.B. PHP oder CGI) die world-readable Files von anderen Benutzern lesen kann. Dazu gibt es keine Lösung.
 +
 +☝Die virtuellen Webseiten sind bisher als dedizierter VirtualHost-Block in Apache konfiguriert. Die Umstellung auf Links hat erstens den Vorteil, dass keine Synchronisation der Apache-Konfiguration zwischen den VM notwendig ist und zweitens, dass IPv4 und IPv6 nicht getrennt konfiguriert werden muss (es muss je ein v4 und v6 VirtualHost aufgesetzt werden, der dann anhand der Host-Header und Symlinks die richtige Seite abruft).
 +
 +☝Aufgrund der Symlinks werden die Pfade der Logfiles der virtuellen Webseiten nicht mehr in Apache konfiguriert. Apache piped seine Logs in ein Skript, welches die Logs anhand des dort spezifizierten Host-Headers in die richtigen Pfade ablegt. Deshalb muss das Schema der Pfade der Logs für jeden Benutzer identisch sein. Das Log-Format muss ebenfalls angepasst werden für den Split: Es wird zu Beginn ein neues Feld eingefügt, welches den Host-Header des Requests beinhaltet und für den Split genutzt wird.
  
 ===== Webapplikationen von trash.net ===== ===== Webapplikationen von trash.net =====
Zeile 342: Zeile 352:
   * LDAP Account Manager   * LDAP Account Manager
   * Webmail   * Webmail
-  * Owncloud+  * Owncloud (Auth-Backend: LDAP -> s. [[https://doc.owncloud.org/server/8.2/admin_manual/configuration_user/user_auth_ldap.html]])
   * ???   * ???
  
Zeile 376: Zeile 386:
 Die beiden VM sind für alle anderen VM auch als Relay nutzbar. Sie akzeptieren über das grüne Interface Mails von den anderen VM. Die VM für Typ Other müssen entweder den Mailversand selber implementieren oder sich via SMTP-Auth auf dem roten Interface der Mailserver anmelden. Die beiden VM sind für alle anderen VM auch als Relay nutzbar. Sie akzeptieren über das grüne Interface Mails von den anderen VM. Die VM für Typ Other müssen entweder den Mailversand selber implementieren oder sich via SMTP-Auth auf dem roten Interface der Mailserver anmelden.
  
 +Auf den roten und grünen VM wird Postfix konfiguriert als Satellite (abgesehen natürlich von den Mail-VM). Ihre //mydestination//-Konfiguration ist leer und sie senden alle Mail an die beiden Mail-VM. Auf den Mail-VM müssen dafür die Hostnamen sämtlicher VM als lokale Domain definiert sein. So können die Mails von Cronjobs o.ä. trotzdem an Mailboxen zugestellt werden. Es ist so auch möglich, dass Webapplikationen mit SMTP auf localhost verbinden oder direkt /usr/sbin/sendmail aufrufen können, um Mails zu versenden.
  
 +FIXME Wie werden die bestehenden Mailing-Listen integriert? Lokal oder durch Relaying in eine eigene Messaging-VM. Wo läuft das Webinterface zur Administration / Selbstadministration?
  
 ===== Angebotene Dienste ===== ===== Angebotene Dienste =====
Zeile 389: Zeile 401:
 |Web | Extended | rot | LDAP, mounted /usr/home und /home per NFS (zusätzlich /srv/web, wenn die eigenen Services von trash.net darauf betrieben werden) | Die Webseiten werden per DNS auf beide VM verteilt. Sofern eine VM ausfällt, kann durch Anpassung im DNS der Fail-Over herbeigeführt werden. | |Web | Extended | rot | LDAP, mounted /usr/home und /home per NFS (zusätzlich /srv/web, wenn die eigenen Services von trash.net darauf betrieben werden) | Die Webseiten werden per DNS auf beide VM verteilt. Sofern eine VM ausfällt, kann durch Anpassung im DNS der Fail-Over herbeigeführt werden. |
 |Messaging | Extended | rot | LDAP, mounted /usr/home per NFS | VM ist alleinstehend. | |Messaging | Extended | rot | LDAP, mounted /usr/home per NFS | VM ist alleinstehend. |
-|Proxy | Extended | rot | LDAP, mounted /usr/home per NFS VM ist alleinstehend. |+|Proxy | Base | rot | Werden auf Shell-Servern betrieben. Es wird kein spezieller Failover eingerichtet. Benutzer können bei sich auswählen, welcher der beiden Shell-Server der Tunnel-Endpunkt sein soll. |
  
 Das gesetzte Ziel, möglichst wenige VM der Klasse Core zu haben, wird somit erreicht. Wirklich kritisch sind nur NFS und LDAP. Hier ist bei einem Ausfall eine schnelle Reaktion notwendig. Bei allen anderen VM ist keine sofortige Intervention notwendig, da diese Services unabhängig voneinander laufen. Das gesetzte Ziel, möglichst wenige VM der Klasse Core zu haben, wird somit erreicht. Wirklich kritisch sind nur NFS und LDAP. Hier ist bei einem Ausfall eine schnelle Reaktion notwendig. Bei allen anderen VM ist keine sofortige Intervention notwendig, da diese Services unabhängig voneinander laufen.
Zeile 408: Zeile 420:
 |Datenupload mit SFTP | Über die Shell-Server. Daten sind auf den Webservern via /home NFS-Mount verfügbar. | |Datenupload mit SFTP | Über die Shell-Server. Daten sind auf den Webservern via /home NFS-Mount verfügbar. |
 |2ndary MX | Auf den Mail-VM. | |2ndary MX | Auf den Mail-VM. |
-|Proxy | eigene Proxy-VM der Klasse Extended, kein Failover. |  +|Proxy grüne Zone FIXME (HTTP/HTTPS-Zugriff für Systeme der grünen Zone) |  
-|Stunnel | eigene Proxy-VM der Klasse Extended, kein Failover. +|Stunnel | Auf Shell-Server 
-|DNSTunnel | eigene Proxy-VM der Klasse Extended, kein Failover. |+|DNSTunnel | Auf Shell-Server |
 |Mailinglisten | eigene Messaging-VM der Klasse Extended, kein Failover. | |Mailinglisten | eigene Messaging-VM der Klasse Extended, kein Failover. |
 |Jabber | eigene Messaging-VM der Klasse Extended, kein Failover. | |Jabber | eigene Messaging-VM der Klasse Extended, kein Failover. |
Zeile 437: Zeile 449:
  
 Es kann davon ausgegangen werden, dass nur die VM von Mail+Web wirklich Load erzeugen. Es kann davon ausgegangen werden, dass nur die VM von Mail+Web wirklich Load erzeugen.
 +
 +Memory-Bedarf:
 +
 +^VM ^Memory ^
 +|Shellserver | 4GB |
 +|DNS-Server | 1GB |
 +|Mailserver | 4GB |
 +|Webserver 1 | 4GB |
 +|Webserver 2 | 4GB |
 +|DB/LDAP | 4GB |
 +|Proxy | 512MB |
 +|Messaging-Server | 1G |
 +|TOTAL pro Hypervisor | 19GB |
 +
  
 Deshalb sollte nochmals über den Ansatz von einer Unterteilung in einen stärkeren und schwächeren  Hypervisor unterschieden werden. Es hilft vermutlich nicht viel, eine der beiden Maschinen deutlich stärker auszulegen. Deshalb sollte nochmals über den Ansatz von einer Unterteilung in einen stärkeren und schwächeren  Hypervisor unterschieden werden. Es hilft vermutlich nicht viel, eine der beiden Maschinen deutlich stärker auszulegen.
Zeile 450: Zeile 476:
 |Shell | Nicht notwendig, da Benutzer jederzeit auf die übrig bleibende VM wechseln können. | /etc/motd anpassen und Benutzer darauf hinweisen, auf die andere VM zu verbinden. | |Shell | Nicht notwendig, da Benutzer jederzeit auf die übrig bleibende VM wechseln können. | /etc/motd anpassen und Benutzer darauf hinweisen, auf die andere VM zu verbinden. |
 |Web | Manuell durch Anpassung der web-prod0/web-prod1 DNS-Aliases. | Anpassung des web-prod0/web-prod1 Aliases, wodurch alle Clients auf die andere VM verbinden und Wartungsarbeiten möglich sind. | |Web | Manuell durch Anpassung der web-prod0/web-prod1 DNS-Aliases. | Anpassung des web-prod0/web-prod1 Aliases, wodurch alle Clients auf die andere VM verbinden und Wartungsarbeiten möglich sind. |
-|Proxy, Messaging und weitere VM | Manuell durch Start der VM auf dem übrig bleibenden Hypervisor. | Keine speziellen Vorkehrungen für die Wartung erforderlich, die VM sind alleine stehend. |+|Stunnel & DNSTunnel | Nicht notwendig, da Benutzer jederzeit seinen Tunnelendpunkt wechseln kann. | Kein spezielles Vorgehen. | 
 +|Proxy grüne Zone, Messaging und weitere VM | Manuell durch Start der VM auf dem übrig bleibenden Hypervisor. | Keine speziellen Vorkehrungen für die Wartung erforderlich, die VM sind alleine stehend. |
  
 +Bei einer Wartung einen Failover auszuführen ist jedes Mal mit Aufwand verbunden. Es sei angenommen, dass die Einleitung von einem Failover 10 Minuten Aufwand beträgt sowie nochmals 10 Minuten um ihn rückgängig zu machen. Wenn eine Wartung weniger als eine Stunde dauert, würde der Failover mindestens einen Drittel der Zeit betragen. Es ist deshalb angemessen, bei Ausfällen von weniger als einer Stunde auf einen eingeleiteten Failover zu verzichten.
 ===== Netzwerk ===== ===== Netzwerk =====
  
Zeile 459: Zeile 487:
  
 {{ :plattform-migration:trashnet_v2.png?direct |}} {{ :plattform-migration:trashnet_v2.png?direct |}}
 +
 +==== Q&A ====
 +
 +=== Netzwerk ===
 +
 +== IP-Ranges ==
 +
 +VM von trash.net werden nicht mehr in 213.144.137.32/29 platziert. Dieses Netz wird neu für die VM der blauen Zone verwendet.
 +
 +== Trennung rote und blaue Zone ==
 +
 +Die Unterscheidung zwischen der roten und blauen Zone ist rein administrativ. Die VM in den beiden Zonen sind in der selben Broadcast-Domain.
 +
 +== Zugriff auf Management-Boards ==
 +
 +Zwischen den Hypervisoren werden Ethernet-Crosslinks eingerichtet - je von einem Port der Netzwerkkarte zum Port des Management-Boards des benachbarten Systems. Ein Zugriff auf die Management-Boards ist nur möglich, wenn man lokal auf der Shell vom benachbarten Hypervisor arbeitet.
 +
 +== Upstream-Links ==
 +
 +Die beiden Hypervisoren können je einen eigenen Uplink ins Netz von Init7 nutzen. Es wird kein Switch benötigt.
 +
 +== Link zur Replikation und grüne Zone ==
 +
 +Die beiden Hypervisoren haben einen Crosslink, auf dem per VLAN-Tagging zwei VLAN transportiert werden. Eines ist für die DRBD-Replikation und nicht zugänglich von den VM, das andere für die grüne Zone.
 +
 +== Netzwerkports ==
 +
 +Es müssen auf jedem Hypervisor drei Netzwerkports verfügbar sein: 1x Uplink, 1x Crosslink für DRBD/grüne Zone, 1x Crosslink zum Management-Board des anderen Hypervisor.
 +
 +== Zugriff von der grünen Zone ins Internet ==
 +
 +Die Systeme in der grünen Zone sollen keinen direkten Internetzugriff erhalten. Für sie wird lediglich NTP, DNS sowie ein Webproxy (HTTP/HTTPS) angeboten.
 +
 +Der lokale, rekursive DNS-Server wird auf den DNS-VM betrieben. Sie sind multihomed und können auf einem Interface einen rekursiven DNS bereitstellen.
 +
 +FIXME Es ist zu definieren, wo NTP läuft.
 +
 +FIXME Es ist zu definieren, wo ein Proxy-Server betrieben wird.
 +
plattform-migration/konzept_v2.1446746915.txt.gz · Zuletzt geändert: 2015/11/05 18:08 von thomasb