Für Projekte, deren Anforderungen nicht von den vorhandenen zentralen Diensten bedient werden können, können vom FB3 virtuelle Maschinen (VMs) auf einem Proxmox-Cluster bereitgestellt werden (solange Ressourcen dafür frei sind).

Bei Bedarf an einer VM bitte eine E-Mail an serviceinformatik.uni-bremen.de schicken. Die Mail sollte folgende Informationen enthalten:

• Ansprechpartner:innen für die VM
  •  Anmerkung: Bei Wechsel der Ansprechpartner:innen bitte daran denken dies bei uns anzumelden, damit z.B. Erinerungen an den Auslauf an die richtigen Personen geht.
• Name des Projekts/der Arbeitsgruppe
• Benötigte Ressourcen (Anzahl CPU-Kerne, RAM, Plattenplatz)
  •  Anmerkung: Hier bitte sinnvolle/realistische Werte angeben. Wir haben nur begrenzte Ressourcen und insbesondere RAM und Plattenplatz lassen sich aus Gründen der Stabilität nicht einfach überbuchen. Ein "Viel hilft viel"-Ansatz bei der Ressourcenbemessung ist hier fehl am Platz. Wenn sich später herausstellt, dass mehr Ressourcen benötigt werden, können diese im Nachhinein problemlos aufgestockt werden.
• Gewünschter Hostname ($NAME.informatik.uni-bremen.de)
• Gewünschtes Betriebssystem (Beispiele)
  • Debian
  • Ubuntu
  • Alma
  • Rocky
  • CentOS Stream
• Ein oder mehrere öffentliche SSH-Schlüssel
• Falls das Projekt in einer Arbeitsgruppe mit eigenem IP-Adressbereich durchgeführt wird, in dem die VM sein soll, das VLAN und die IP-Adresse
• Voraussichtliche Nutzungsdauer der VM (Ablaufdatum)
• Firewall-Regeln, falls gewünscht
  •  Anmerkung: Wenn keine Firewall für eine VM konfiguriert ist, ist diese weltweit von überall erreichbar.

Es kann generell jede Linux-Distribution angeboten werden für die ein Cloud-Image mit cloud-init existiert.

Windows kann prinzipiell auch genutzt werden, jedoch stellen wir keine Lizenzen bereit. Es muss unbedingt darauf geachtet werden, dass Lizenzen beschafft werden, die für den Nutzungszweck und für virtuelle Maschinen geeignet sind. Insbesondere bei Windows-Server-Versionen muss dabei beachetet werden, dass zusätzlich zur OS-Lizenz auch Lizenzen/Subskriptionen für CPU-Kerne benötigt werden.

Der Zugang zu VMs erfolgt via SSH. Zusätzlich gibt es ein Webinterface über das die VMs gesteuert werden können (starten, stoppen, Zugang zur Console, Booten von ISOs), auf dem man sich nach Freischaltung mit seinem Account anmelden kann.

Die zentrale Technik richtet sich keinen eigenen Zugang zu gehosteten virtuellen Maschinen ein, kann aber über den im Gastsystem installierten qemu-guest-agent wenn nötig beliebige Befehle mit root-Rechten ausführen und so z.B. Passwörter zurücksetzen, falls man sich mal ausgesperrt hat.

Das Ablaufdatum dient primär um Karteileichen zu vermeiden und kann beliebig oft verlängert werden. 30 Tage vor Ablauf einer VM wird eine automatische Warn-E-Mail an alle eingetragenen Ansprechpartner:innen verschickt. Nach Ablauf einer VM wird diese zunächst abgeschaltet und mindestens eine Woche lang vorgehalten bevor sie gelöscht wird.

Die zentrale Technik führt keine Wartungsarbeiten an den Gastsystemen von bereitgestellten VMs durch. Die Nutzer:innen der VMs müssen selbstständig für deren sicheren Betrieb sorgen.

Dies beinhaltet unter anderem:

• Regelmäßiges Installieren von Updates.
  • Bei langfristig betriebenen VMs kann dies auch Upgrades auf eine neue Version des Betriebssystems beinhalten, wenn es z.B. keine Sicherheitsupdates für die installiert Version mehr gibt.
• Absicherung von auf der VM betriebenen Dienste vor unbefugtem Zugriff.
  • Einsatz von starken Authentifizierungsverfahren (Es wird z.B. empfohlen den Zugriff per SSH nur per Public-Key-Authentifizierung zu erlauben).
  • Dienste die nicht von außen erreichbar sein müssen sollten z.B. nur auf localhost oder einem Socket lauschen.
  • Alternativ kann selbstständig im Gastsystem, oder durch Techniker auf Ebene des Virtualisierungs-Clusters, eine Firewall konfiguriert werden (z.B. um den Zugriff auf das Campusnetz einzuschränken).

Wartungsarbeiten und Ausfälle, die Auswirkungen auf die Verfügbarkeit von VMs haben, werden auf der Status-Seite für FB3-Dienste angekündigt bzw. bestätigt/dokumentiert.

Virtuelle Maschinen können in der Regel ohne Ausfall zwischen den Knoten des Proxmox-Clusters verschoben werden, sodass diese bei Wartungsarbeiten auf dem Cluster, z.B. bei Neustarts nach dem Einspielen von Updates, einfach weiterlaufen.

Alle virtuellen Maschinen werden jeden Tag um ca. 23:00 Uhr gesichert. Sicherungen werden 14 Tage vorgehalten.

Wenn vor oder nach der Sicherung bestimmte Aktionen ausgeführt werden sollen, z.B. um eine Datenbank zu dumpen oder dergleichen, kann man die Dateien /opt/pve/preBackup.sh bzw. /opt/pve/postBackup.sh anlegen und ausführbar machen. Wenn sie existieren, werden sie vor bzw. nach der Datensicherung durch den qemu-guest-agent im Gastsystem ausgeführt.