Benutzer-Werkzeuge

Webseiten-Werkzeuge


plattform-migration:konzept_v2

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
plattform-migration:konzept_v2 [2015/11/09 17:54]
truniger [Skripte zur Benutzerverwaltung]
plattform-migration:konzept_v2 [2015/11/24 16:56] (aktuell)
thomasb [Ressourcenauslastung]
Zeile 59: Zeile 59:
 | tägliche Auswertung der Webzugriffe pro Site | Apache Logs | webalizer | | tägliche Auswertung der Webzugriffe pro Site | Apache Logs | webalizer |
 | Echtzeitauswertung der Webserver-Zugriffshäufigkeit | Apache Logs | rrdtool, eigene Skripte | | Echtzeitauswertung der Webserver-Zugriffshäufigkeit | Apache Logs | rrdtool, eigene Skripte |
 +| Echtzeitauswertung der versandten Biere | Apache Logs | rrdtool, eigene Skripte |
 | Echtzeitauswertung von Greylisting | /var/log/sqlgrey | Mailgraph modifiziert, eigene Skripte | | Echtzeitauswertung von Greylisting | /var/log/sqlgrey | Mailgraph modifiziert, eigene Skripte |
 | mehrfach-tägliche Auswertung der Mailserver-Nutzung | /var/log/maillog | Mailgraph modifiziert | | mehrfach-tägliche Auswertung der Mailserver-Nutzung | /var/log/maillog | Mailgraph modifiziert |
Zeile 129: Zeile 130:
 | add_mysqldb.pl | veraltet |  | add_mysqldb.pl | veraltet | 
 | add_user.sh | veraltet |  | add_user.sh | veraltet | 
-| add_virtserv.pl | ersetzen |  +| add_virtserv.pl | in Gebrauch |  
-| change_passwd.pl | ersetzen |  +| change_passwd.pl | in Gebrauch |  
-| change_passwd_nomail.pl | ersetzen +| change_passwd_nomail.pl | in Gebrauch 
 | check_entry.pl | veraltet |  | check_entry.pl | veraltet | 
 | check_payments.pl | veraltet |  | check_payments.pl | veraltet | 
 | clean-db.pl | veraltet |  | clean-db.pl | veraltet | 
-| copy_mailaddr.sh | FIXME |  +| copy_mailaddr.sh | in Gebrauch |  
-| correct.pl | FIXME |  +| correct.pl | veraltet |  
-| delete_idle_nonmemb.pl | FIXME |  +| delete_idle_nonmemb.pl | veraltet |  
-| delete_idle_nonmemb.txt | FIXME |  +| delete_idle_nonmemb.txt | veraltet |  
-| delete_virtserv.pl | FIXME |  +| delete_virtserv.pl | in Gebrauch |  
-| importdb.cgi | FIXME |  +| importdb.cgi | veraltet |  
-| mgtest.log | FIXME |  +| mgtest.log | veraltet |  
-| mod_account.sh | FIXME |  +| mod_account.sh | in Gebrauch |  
-| mv2member.pl | FIXME |  +| mv2member.pl | veraltet |  
-| mysql-create-root | FIXME |  +| mysql-create-root | in Gebrauch |  
-| mysql-reset-root | FIXME |  +| mysql-reset-root | in Gebrauch |  
-| nonmemberwerbung.pl | FIXME |  +| nonmemberwerbung.pl | veraltet |  
-| priate_email.pl | FIXME |  +| show_privmail.pl | in Gebrauch |  
-| show_address.pl | FIXME |  +| autopatch.pl | veraltet 
-| show_privmail.pl | FIXME |  +| autopatch.sh | veraltet 
-| truniger.pl | FIXME |  +| backup-config.sh | veraltet 
-| 2delete | FIXME +| backup2local.sh | veraltet 
-| autopatch.pl | FIXME +| change-perm2trash.sh | veraltet 
-| autopatch.sh | FIXME +| check_cluster | veraltet 
-| backup-config.sh | FIXME +| check_expire | veraltet 
-| backup2local.sh | FIXME +| check_failed_sshd.pl | in Gebrauch 
-| change-perm2trash.sh | FIXME +| check_failed_sshd.pl.orig | veraltet 
-| check_cluster | FIXME +| check_homedir.pl | veraltet 
-| check_expire | FIXME +| check_mailsize.pl | veraltet 
-| check_failed_sshd.pl | FIXME | +| check_quota.sh | in Gebrauch 
-| check_failed_sshd.pl.bu | FIXME | +| check_sqlgrey | in Gebrauch 
-| check_failed_sshd.pl.new | FIXME +| check_syslogd | in Gebrauch 
-| check_failed_sshd.pl.orig | FIXME +| checkpw | veraltet 
-| check_homedir.pl | FIXME +| checkquota.sh | veraltet 
-| check_mailsize.pl | FIXME +| chng_pws.pl | veraltet 
-| check_quota.sh | FIXME +| clean_tmp.sh | veraltet 
-| check_sqlgrey | FIXME +| couriergraph.pl | in Gebrauch 
-| check_syslogd | FIXME +| cpu-load.sh | veraltet 
-| checkpw | FIXME +| date.sh | veraltet 
-| checkquota.sh | FIXME +| delete_old_beers.pl | veraltet 
-| chng_pws.pl | FIXME +| deletemail.sh | veraltet 
-| clean_tmp.sh | FIXME +| diskspace.mail | veraltet 
-| couriergraph.pl | FIXME +| dist2allusers.sh | veraltet 
-| cpu-load.sh | FIXME +| dot | veraltet 
-| date.sh | FIXME +| dspam_cssclean.sh | in Gebrauch 
-| delete_old_beers.pl | FIXME +| dump_mysql | in Gebrauch 
-| deletemail.sh | FIXME +| filecomp.sh | veraltet 
-| diskspace.mail | FIXME +| find-users2delete.pl | veraltet 
-| dist2allusers.sh | FIXME +| find_obsolete_home | in Gebrauch 
-| dot | FIXME +| find_setuid.sh | veraltet 
-| dspam_cssclean.sh | FIXME +| fix-modes | veraltet 
-| dump_mysql | FIXME +| grepmail.sh | veraltet 
-| filecomp.sh | FIXME +| kill_death_procs.sh | veraltet 
-| find-users2delete.pl | FIXME +| lastlogin | veraltet 
-| find_obsolete_home | FIXME +| log_prstat | veraltet 
-| find_setuid.sh | FIXME +| mail-mgmt | veraltet 
-| fix-modes | FIXME +| mailaccess.pl | in Gebrauch 
-| grepmail.sh | FIXME +| mailgraph.pl | in Gebrauch 
-| kill_death_procs.sh | FIXME +| mailstats.orig | veraltet 
-| lastlogin | FIXME +| mailstats.sh | veraltet 
-| log_prstat | FIXME +| make_anonftp.sh | in Gebrauch 
-| mail-mgmt | FIXME +| make_mailgraph.sh | in Gebrauch 
-| mailaccess.pl | FIXME | +| make_snort.sh | veraltet 
-| mailaccess.pl.20100101 | FIXME | +| make_sqlgraph.sh | in Gebrauch 
-| mailaccess.pl.20110725 | FIXME | +| makesymlinks.claudio | veraltet 
-| mailaccess.pl.bu | FIXME +| makevirtusers.sh | veraltet 
-| mailgraph.pl | FIXME | +| mbox_warn.ksh | veraltet 
-| mailgraph.pl-old | FIXME +| md5mon.sh | veraltet 
-| mailstats.orig | FIXME +| mmfold.py | veraltet 
-| mailstats.sh | FIXME +| monitor-server.pl | veraltet 
-| make_anonftp.sh | FIXME +| monitor-traffic.sh | veraltet 
-| make_mailgraph.sh | FIXME | +| newdovecotlog | in Gebrauch 
-| make_mailgraph.sh.20100101 | FIXME +| newmaillog | in Gebrauch 
-| make_snort.sh | FIXME +| newspamdlog | in Gebrauch 
-| make_sqlgraph.sh | FIXME +| newsqlgreylog | in Gebrauch 
-| makesymlinks.claudio | FIXME +| ntop | in Gebrauch 
-| makevirtusers.sh | FIXME +| oldstuff | veraltet 
-| mbox_warn.ksh | FIXME +| reinject | veraltet 
-| md5mon.sh | FIXME +| renice_irc.sh | veraltet 
-| mmfold.py | FIXME +| restart_tomcat.sh | veraltet 
-| monitor-server.pl | FIXME +| rotatelogs.sh | in Gebrauch 
-| monitor-traffic.sh | FIXME +| rrd-create-base | in Gebrauch 
-| newdovecotlog | FIXME +| rrd-create-base.truniger | in Gebrauch 
-| newmaillog | FIXME +| rrd-httpdlog.pl | in Gebrauch 
-| newspamdlog | FIXME +| rrd-update.pl | in Gebrauch 
-| newsqlgreylog | FIXME +| satan-1.1.4exp | veraltet 
-| ntop | FIXME +| smtpstats | veraltet 
-| oldstuff | FIXME +| sqlgreygraph.pl | in Gebrauch 
-| reinject | FIXME +| sqlgreyparse.pl | in Gebrauch 
-| renice_irc.sh | FIXME +| start_ipv6.sh | veraltet 
-| restart_tomcat.sh | FIXME +| statgrab-5.5.php | in Gebrauch 
-| rotatelogs.sh | FIXME +| statgrab.php | veraltet 
-| rrd-create-base | FIXME +| status_check.sh | veraltet 
-| rrd-create-base.truniger | FIXME +| sync_passwd.sh | in Gebrauch 
-| rrd-httpdlog.pl | FIXME +| sysstats.sh | in Gebrauch 
-| rrd-update.pl | FIXME +| system-integrity.sh | in Gebrauch 
-| satan-1.1.4exp | FIXME +| tailwtmp.pl | veraltet 
-| smtpstats | FIXME +| tcpdstats | veraltet 
-| sqlgreygraph.pl | FIXME +| totallog.sh | veraltet 
-| sqlgreyparse.pl | FIXME +| traffic_archive.pl | veraltet 
-| start_ipv6.sh | FIXME +| traffic_stats.pl | veraltet 
-| statgrab-5.5.php | FIXME +| tuning-primer.sh | veraltet 
-| statgrab.php | FIXME | +| update_dns.sh | in Gebrauch 
-| statgrab.php.orig | FIXME | +| update_hosts.allow.sh | in Gebrauch 
-| statgrab.php.truniger | FIXME +| update_tinyroot.sh | veraltet 
-| status_check.sh | FIXME | +| updatedb_wrapper.sh | veraltet 
-| stinky-sync.tar | FIXME +| user-stats.sh | veraltet 
-| sync_passwd.sh | FIXME +| userwarn.pl | veraltet |
-| sysstats.sh | FIXME +
-| system-integrity.sh | FIXME +
-| tailwtmp.pl | FIXME +
-| tcpdstats | FIXME +
-| totallog.sh | FIXME +
-| traffic_archive.pl | FIXME +
-| traffic_stats.pl | FIXME +
-| tuning-primer.sh | FIXME +
-| update_dns.sh | FIXME +
-| update_hosts.allow.sh | FIXME +
-| update_tinyroot.sh | FIXME +
-| updatedb_wrapper.sh | FIXME | +
-| user-mgmt | FIXME +
-| user-stats.sh | FIXME +
-| userwarn.pl | FIXME |+
  
 ===== LDAP-Schema ===== ===== LDAP-Schema =====
Zeile 318: Zeile 304:
 FIXME Alternativ kann weiterhin ZKT verwendet werden. FIXME Alternativ kann weiterhin ZKT verwendet werden.
  
 +FIXME OTR: man könnte die Zonenfiles zone.db auch ins Homeverzeichnis der Benutzer verlinken, damit sie ihre eigenen Domains selbst editieren können.
 ===== DNS rekursiv ===== ===== DNS rekursiv =====
 +
 +=== Intern ===
  
 Rekursiver DNS wird für alle VM benötigt. Dazu wird auf den beiden VM für DNS auf dem grünen Interface eine unbound-Instanz betrieben (https://unbound.net/). DNSSEC-Validierung ist auf dieser aktiviert. Rekursiver DNS wird für alle VM benötigt. Dazu wird auf den beiden VM für DNS auf dem grünen Interface eine unbound-Instanz betrieben (https://unbound.net/). DNSSEC-Validierung ist auf dieser aktiviert.
  
 VM der Klasse Other nutzen die rekursiven DNS von Init7, oder beliebige andere. VM der Klasse Other nutzen die rekursiven DNS von Init7, oder beliebige andere.
 +
 +=== Öffentlich ===
 +
 +trash.net betreibt einen öffentliche DNS-Server, bei dem zur Zeit noch alle Clients über eine URL freigeschaltet werden müssen.
 +
 +Auf der neuen Plattform wird auf die Freischaltung verzichtet und der Dienst generell ohne Filter betrieben. Dazu wird auf beiden NS-Servern je eine zusätzliche IP zugewiesen für den rekursiven DNS.
 +
 +Analog zum internen, rekursiven DNS wird auch Unbound benutzt. Zum Schutz gegen Missbrauch wird ein Rate-Limiting umgesetzt (https://unbound.net/documentation/unbound.conf.html, sh. Parameter jostle-timeout, incoming-num-tcp, msg-cache-size, num-queries-per-thread).
 +
 +
 ===== Web ===== ===== Web =====
  
Zeile 353: Zeile 352:
   * LDAP Account Manager   * LDAP Account Manager
   * Webmail   * Webmail
-  * Owncloud+  * Owncloud (Auth-Backend: LDAP -> s. [[https://doc.owncloud.org/server/8.2/admin_manual/configuration_user/user_auth_ldap.html]])
   * ???   * ???
  
Zeile 389: Zeile 388:
 Auf den roten und grünen VM wird Postfix konfiguriert als Satellite (abgesehen natürlich von den Mail-VM). Ihre //mydestination//-Konfiguration ist leer und sie senden alle Mail an die beiden Mail-VM. Auf den Mail-VM müssen dafür die Hostnamen sämtlicher VM als lokale Domain definiert sein. So können die Mails von Cronjobs o.ä. trotzdem an Mailboxen zugestellt werden. Es ist so auch möglich, dass Webapplikationen mit SMTP auf localhost verbinden oder direkt /usr/sbin/sendmail aufrufen können, um Mails zu versenden. Auf den roten und grünen VM wird Postfix konfiguriert als Satellite (abgesehen natürlich von den Mail-VM). Ihre //mydestination//-Konfiguration ist leer und sie senden alle Mail an die beiden Mail-VM. Auf den Mail-VM müssen dafür die Hostnamen sämtlicher VM als lokale Domain definiert sein. So können die Mails von Cronjobs o.ä. trotzdem an Mailboxen zugestellt werden. Es ist so auch möglich, dass Webapplikationen mit SMTP auf localhost verbinden oder direkt /usr/sbin/sendmail aufrufen können, um Mails zu versenden.
  
 +FIXME Wie werden die bestehenden Mailing-Listen integriert? Lokal oder durch Relaying in eine eigene Messaging-VM. Wo läuft das Webinterface zur Administration / Selbstadministration?
  
 ===== Angebotene Dienste ===== ===== Angebotene Dienste =====
Zeile 450: Zeile 449:
  
 Es kann davon ausgegangen werden, dass nur die VM von Mail+Web wirklich Load erzeugen. Es kann davon ausgegangen werden, dass nur die VM von Mail+Web wirklich Load erzeugen.
 +
 +Memory-Bedarf:
 +
 +^VM ^Memory ^
 +|Shellserver | 4GB |
 +|DNS-Server | 1GB |
 +|Mailserver | 4GB |
 +|Webserver 1 | 4GB |
 +|Webserver 2 | 4GB |
 +|DB/LDAP | 4GB |
 +|Proxy | 512MB |
 +|Messaging-Server | 1G |
 +|TOTAL pro Hypervisor | 19GB |
 +
  
 Deshalb sollte nochmals über den Ansatz von einer Unterteilung in einen stärkeren und schwächeren  Hypervisor unterschieden werden. Es hilft vermutlich nicht viel, eine der beiden Maschinen deutlich stärker auszulegen. Deshalb sollte nochmals über den Ansatz von einer Unterteilung in einen stärkeren und schwächeren  Hypervisor unterschieden werden. Es hilft vermutlich nicht viel, eine der beiden Maschinen deutlich stärker auszulegen.
plattform-migration/konzept_v2.1447091670.txt.gz · Zuletzt geändert: 2015/11/09 17:54 von truniger