Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
satellite:satellitenserver_installation [2021/06/07 14:54 CEST] – [Das „First Login“-Skript] srittersatellite:satellitenserver_installation [2024/05/06 10:17 CEST] (aktuell) sritter
Zeile 1: Zeile 1:
 ====== Satellitenserver-Installation ====== ====== Satellitenserver-Installation ======
  
-===== Voraussetzungen =====+Der Satellitenserver wird in Form einer Virtuellen Maschine (VM) im OVF-Format zur Verfügung gestellt. Die VM kann damit einfach in gängige Virtualisierungsumgebungen wie z.B. VMware ESX importiert und gestartet werden.
  
-Der Satellitenserver liegt in Form einer Virtuellen Maschine (VM) vorDerzeit werden standardmäßig Virtuelle Maschinen im OVF-Format ausgeliefert.+===== Erstinstallation ===== 
 +  - Laden Sie die aktuelle Version herunter:\\ [[https://files.bwlp.ks.uni-freiburg.de/satellit/bwlehrpool-server-3.11b-ovf.tgz]]. 
 +  - Entpacken Sie das heruntergeladene Archiv und importieren das für Ihre ESX-Version passende OVF. 
 +  - Starten Sie die VM
 +  - Loggen Sie sich auf der Konsole mit dem User **'bwlp'** und dem Passwort **'aendermichsofort'** ein (administrative Tätigkeiten können später ggf. mittels 'sudo' durchgeführt werden). 
 +  - Sie werden aufgefordert einige Angaben zu machen. Z.B. das Passwort zu ändern, sowie die Netzwerkkonfiguration durchzuführen (die Netzwerkkonfiguration kann ggf. später durch Eingabe von **'netsetup'** erneut aufgerufen werden.). 
 +  - Der Satellitenserver startet sich im Anschluss automatisch neu. 
 +  Damit ist die Erstinstallation abgeschlossen. Die restliche Konfiguration erfolgt über den Webbrowser.
  
-  * Systemvoraussetzungen: Siehe Anhang [[satellitenserver_installation#systemvoraussetzungen|„Systemvoraussetzungen“]]. 
-  * Ankündigungen über Updates: Schreiben Sie sich bitte auf unserer [[allgemein:mailinglist|Mailingliste]] ein, um über Neuigkeiten informiert zu werden. 
  
-===== Bezugsquelle ===== 
  
-Die aktuelle Version des Satellitenservers kann unter [[http://files.bwlp.ks.uni-freiburg.de/satellit/bwlehrpool-server-3.10-ovf.tgz]] heruntergeladen werden. Darin finden Sie die Festplatte des Servers (vmdk) sowie Beschreibungsdateien (ovf) für unterschiedliche ESX-Server-Versionen. Importieren Sie nur **eine** der OVF-Dateien in Ihren ESX. 
  
-<WRAP center round tip 60%> 
-Es kann sein, dass für das letzte OVF-Image bereits ein Update zur Verfügung steht. Vergleichen Sie dazu einfach die Versionsnummer. Informationen zur Aktualisierung Ihres Satellitenserver finden Sie unter [[satellite:satelliteserver_update|Satellitenserver aktualisieren]]. 
-</WRAP> 
  
  
-===== Virtualisierungsumgebung ===== 
  
-Der Betrieb des Satellitenservers setzt eine der folgenden Virtualisierungslösungen voraus:+<note important> 
 +Es kann sein, dass für das letzte OVF-Image bereits ein Update zur Verfügung steht. Vergleichen Sie dazu einfach die Versionsnummer. Informationen zur Aktualisierung Ihres Satellitenservers finden Sie unter [[satellite:satelliteserver_update|Satellitenserver aktualisieren]]. 
 +</note>
  
-==== VMPlayer/Workstation/ESX(i====+<note important> 
 +**Achtung:** Es ist aus Sicherheitsgründen empfehlenswert, die [[satellite:satellitenserver_erstkonfiguration|Erstkonfiguration]] (davon insbesondere die Registrierung des Admin-Nutzers über die Webschnittstelledirekt nach Installation des Satellitenservers durchzuführen und die Erreichbarkeit der Webschnittstelle auf das lokale Netz zu beschränken.</note>
  
-Das OVF-Format kann unter VMPlayer und VMWare Workstation direkt importiert werden. Zum Einsatz unter ESX werden die vmdks standardmäßig als „preallocated ESX-Type Type 4“ ausgeliefert. Zum platzsparenderen Einsatz unter VMPlayer oder VMWare-Workstation können diese gegebenenfalls mit dem ESX-eigenen Konvertierungstool((vmkfstools: [[http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1028042]] oder http://faq.sanbarrow.com/index.php?action=artikel&cat=80&id=25&artlang=en.)) oder dem vmware-vdiskmanager((vmware-vdiskmanager ist in der VMWare-Workstation enthalten. Man vergleiche hierzu etwa [[https://www.vmware.com/support/ws55/doc/ws_disk_manager_examples.html]], Auflistung der vmdk-Typen etwa hier [[http://sanbarrow.com/vmdk/disktypes.html]].)) in ein geeignetes Format konvertiert werden. Als Netzwerktyp wird „bridged“ empfohlen. 
  
-==== VirtualBox ====+===== Weitere Schritte =====
  
-Die ausgelieferte OVF-Version kann unter VirtualBox direkt genutzt werden((Kurzanleitung etwa hier: [[http://smallbusiness.chron.com/open-vmdk-virtualbox-28847.html]])). +  * Melden Sie die IP-Adresse und/oder FQDN Ihres Satellitenservers bitte an [[support@bwlehrpool.de]], um Ihren Server freischalten zu lassen. 
- +  * Ankündigungen über Updates und NeuigkeitenSchreiben Sie sich bitte auf unserer [[allgemein:mailingliste|Mailingliste]] ein, um entsprechend informiert zu werden
-==== Microsoft HyperV ==== +  * Falls bereits vorher ein Satellitenserver eingesetzt wurde, kann die Konfiguration über die Webschnittstelle im neuen Sat wiederhergestellt werden.
- +
-Zum Einsatz unter Microsoft HyperV muss das OVF-Format ggf. zuvor mit Hilfe des „Microsoft Virtual Machine Converter“ importiert bzw. konvertiert werden(([[https://msdn.microsoft.com/en-us/library/hh967435.aspx]] (vmdk)[[https://technet.microsoft.com/de-de/library/jj158932.aspx]] (ovf); StarWind Converter: [[http://www.starwindsoftware.com/converter]] (ungetestete Drittsoftware)))+
- +
- +
-===== Umgebungsinfrastruktur =====+
  
 ==== DHCP-Server / PXE ==== ==== DHCP-Server / PXE ====
  
-Im lokalen Netzwerk sollte ein DHCP-Server vorhanden sein. Zum Booten der Clients muss der lokale DHCP-Server die //IP-Adresse// des Satelliten (Option next-server bzw. 66) und die zu ladende Datei <wrap em>ipxelinux.0</wrap> für Legacy-PXE (Bios) oder <wrap em>ipxe.efi</wrap> für EFI-Boot als Bootfile (Option 67) ausliefern. Die Unterscheidung welches Bootfile an einen Client ausgeliefert wird kann anhand der Option 60 (vendor class identifier) erfolgen. Weitere Informationen dazu finden Sie unter [[satellite:ipxe-pxe#beispielkonfigurationen|iPXE / PXE]] +Im lokalen Netzwerk sollte ein DHCP-Server vorhanden sein. Zum Booten der Clients muss der lokale DHCP-Server die //IP-Adresse// des Satellitenservers (Option next-server bzw. 66) und die zu ladende Datei <wrap em>ipxelinux.0</wrap> für Legacy-PXE (Bios) oder <wrap em>ipxe.efi</wrap> für EFI-Boot als Bootfile (Option 67) ausliefern. Die Unterscheidung welches Bootfile an einen Client ausgeliefert wird kann anhand der Option 60 (vendor class identifier) erfolgen. Weitere Informationen dazu finden Sie unter [[satellite:ipxe-pxe#dhcp-beispielkonfiguration|iPXE / PXE]].
- +
-Da ein DHCP-Server meistens bereits in der Infrastruktur vorhanden ist, ist im Satellitenserver selbst standardmäßig kein DHCP-Server enthalten. +
- +
-==== Fileserver (NFS / CIFS / SMB) ==== +
- +
-Der Satellitenserver bietet zwar die Option eines lokalen NFS-Servers, der aber notwendigerweise im Platz relativ stark beschränkt ist. Es ist daher vorteilhaft, einen externen NFS- oder SMB-(CIFS)-Server anzugeben. Für NFS wird ein NFSv3-Share benötigt, das für den Satellitenserver schreib- und für die Clients lesbar ist. Die +
-Nutzung von NFSv4 ist ebenfalls möglich, wenn die Option sec=sys verwendet wird((Es kann je nach Umgebung notwendig sein, auf dem NFS-Server eine Gruppe namens „images“ mit numerischer gid 12345 sowie einen User „dmsd“ mit numerischer uid 10001 zu erstellen. Die Primärgruppe des Users „dmsd“ sollte die Gruppe „images“ sein.)). Bei SMB/CIFS wird empfohlen, auf dem Dateiserver einmal mit Lese/Schreib-Berechtigung für den Satellitenserver und mit Lese-Berechtigung für die Clients zu exportieren. +
- +
-==== Authentifikation ==== +
- +
-Zur Authentifikation der Arbeitsstationen können LDAP sowie AD verwendet werden. Für AD und LDAP stehen Wizards der Webschnittstelle zur Verfügung. Zusätzlich kann der Dienst bwIDM genutzt werden, um externen Mitgliedern anderer Einrichtungen die Anmeldung zu ermöglichen. +
- +
-Weitere Authentifizierungsmechanismen wie z.B. NIS können über den Mechanismus mittels generischem Modul angesprochen werden. +
- +
-=== Authentifikation der Clientrechner === +
- +
-Eine userspezifische Authentifizierung beispielsweise per Active Directory oder LDAP innerhalb Virtueller Maschinen ist zwar prinzipiell möglich, aber konzeptionell ausdrücklich nicht vorgesehen, um Abbilder standardisierbar und austauschbar zu halten. Sämtliche notwendigen Authentifizierungen werden durch das Basissystem ausgeführt. +
- +
-=== Authentifikation weitere Dienste === +
- +
-Bitte beachten Sie, dass zur späteren Anmeldung am Satellitenserver mittels der bwLehrpool-Suite ein bwIDM-Zugang registriert werden sollte. Dies kann bequem über die Netzseite [[https://bwlp-masterserver.ruf.uni-freiburg.de/webif/]] erfolgen. +
- +
-Sollte Ihres Standortes wegen die Teilnahme am bwIDM-Identitätsmanagementdienst nicht möglich sein, kann das bwLehrpool-Team für Sie lokal verwaltete Zugänge einrichten. Wir bitten jedoch, falls möglich bwIDM zu verwenden. +
- +
-==== Notwendige Lizenzen ==== +
- +
-Zum Einsatz des VMware-basierten Virtualisierungssystems der Arbeitsstationen ist eine Lizenzierung seitens VMware vonnöten. Für angemessene Lizenzierung (z. B. „vmware academic license“ wird empfohlen, sich mit VMWare in Verbindung zu setzen. +
- +
-==== Lizenzserver ==== +
- +
-Der Einsatz lizenzserverabhängiger Programme sollte im Rahmen einer Arbeitsumgebung (virt. Maschine, Abbild) erfolgen, in der die benötigten lizenzserverabhängigen Programme mit geeigneter Konfiguration so installiert sind, daß sie selbst auf den Lizenzserver zugreifen können. +
- +
-==== Proxyserver ==== +
- +
-Proxyserver (Direktzugriff / SOCKS4/5) können mit und ohne Authentifizierung eingesetzt und über einen Wizard der +
-Webschnittstelle konfiguriert werden. +
- +
-===== Einrichtung und Betrieb ===== +
- +
-Das ausgelieferte Abbild des Satellitenservers wurde bereits soweit wie möglich vorkonfiguriert. Diverse lokale Passwörter werden beim ersten Start des ausgelieferten Systems per „First Boot“-Skript neu erstellt und angewendet. Dennoch müssen einige lokalspezifische Angaben noch erfolgen. Diese werden automatisch beim ersten root-Login per sogenanntem „First Login“-Skript erfragt. Die weitere Serverkonfiguration erfolgt per webgestützter Admin-Schnittstelle. +
- +
-==== Das „First Boot“-Skript ==== +
- +
-Das „First Boot“-Skript wird automatisch beim ersten Systemstart ausgeführt. Es erzeugt neue ssh-Schlüssel, sorgt für den Start gewisser Dienste, generiert einige intern genutzte Passwörter (MySQL-Zugänge) neu und trägt diese in bestimmte Konfigurationsdateien ein. +
- +
-=== MySQL-Rootpasswort === +
- +
-Das vom „First Boot“-Skript erzeugte MySQL-Rootpasswort wird in der Datei /root/mysqlpass abgelegt. +
- +
-==== Das „First Login“-Skript ==== +
- +
-Der Satellitenserver wird, wenn nicht bei der Auslieferung gesondert angegeben, mit dem voreingestellten root-Passwort „**aendermichsofort**“ ausgeliefert. Die folgenden Punkte beziehen sich auf die per „First Boot“-Skript abgefragten Einstellungsmöglichkeiten. +
- +
-=== Passworteingabe === +
- +
-Es erfolgt zuerst die Abfrage des neu zu setzenden root-Passwortes. Es wird aus naheliegenden Gründen empfohlen, ein eigenes Passwort zu setzen. Dies sollte von hinreichender Komplexität sein, womöglich Zahlen und Sonderzeichen enthalten und nicht von üblichen Wörtern abgeleitet sein. +
- +
-=== Netzwerkkonfiguration === +
- +
-Die MAC-Adresse des Satellitenservers kann anhand der VM-Einstellungen des genutzten Virtualisierers eingestellt oder generiert werden((VMWare-Player sowie ESX bieten die Möglichkeit, eine MAC zu generieren. Dies erfolgt auch bei der Angabe 'copied / kopiert“ beim ersten Start des Abbildes unter VMPlayer/Workstation/ESX.)). Bei der Netzwerkkonfiguration kann eine Auswahl zwischen DHCP-basierter und statischer IP-Konfiguration getroffen werden. Keine Eingabe bzw. [Return] belässt die bestehende IP-Konfiguration. Die Eingabe von 's' führt zur statischen IP-Konfiguration; es wird um Eingabe von IP-Adresse, Gateway, Netzmaske, Domain, Search domain, primären und sekundären DNS sowie des Hostnamens gebeten. +
- +
-Die Netzwerkkonfiguration kann auch später erneut durch Eingabe von 'netsetup' aufgerufen werden. +
- +
-Der Satellitenserver muss den zentralen Masterserver an der Universität Freiburg erreichen können, um benötigte Metadaten und das MiniLinux-Grundsystem aktualisieren zu können. Umgekehrt erhalten nur autorisierte Serverinstallationen die benötigten Daten. Melden Sie daher die IP-Adresse Ihres Satellitenservers bitte an [[support@bwlehrpool.de]], um Ihren Server freischalten zu lassen. +
- +
-<note important> +
-**Achtung:** Es ist aus Sicherheitsgründen empfehlenswert, die [[satellite:satellitenserver_erstkonfiguration|Erstkonfiguration]] (davon insbesondere die Registrierung des Admin-Nutzers) direkt nach Installation des Satellitenservers durchzuführen und die Erreichbarkeit der Admin-Schnittstelle auf das lokale Netz zu beschränken.</note> +
- +
-===== Anhang ===== +
- +
-==== Systemvoraussetzungen ==== +
- +
-| | Minimal | Empfohlen | Optimal | +
-| CPUs | 1 | 2 | 4 | +
-| RAM | 1 GB | 4 GB | 4 GB | +
-| Netzanbindung | 100 MBit | 1 GBit – 10 GBit | 10 GBit | +
- +
-==== Portliste ==== +
- +
-| 22 | ssh |  global/lokal | Wartungszugang | +
-| 80 | http | lokal | Admin-Schnittstelle | +
-| 111 | rcp | lokal | NFS-Mounts | +
-| 443 | https | lokal| Admin-Schnittstelle | +
-| 2049 | nfs | lokal | NFS-Server | +
-| 3100+((Der erste ldadp (ldap-AD-Proxy) belegt 3100; eventuelle weitere belegen 3101, 3102 usw.)) | ldap | lokal | ldap-zu-AD-Proxy | +
-| 9090 | dozmod (thrift) | global | bwLehrpool-Suite | +
-| 9091 | dozmod (thrift), ssl | global | bwLehrpool-Suite, gesicherte Verbindung | +
-| 9092 | dozmod | global | bwLehrpool-Suite, Dateitransport | +
-| 9093 | dozmod | global | bwLehrpool-Suite, gesicherte Verbindung |+
  
-<note important>Anmerkung: Wenn Dozierende von außerhalb des lokalen Netzes VMs hochladen bzw. Veranstaltungen verwalten sollenmüssen die Ports 9090 bis 9093 von außerhalb erreichbar sein.</note>+Da ein DHCP-Server in der Regel bereits in der Infrastruktur vorhanden istist im Satellitenserver selbst kein DHCP-Server enthalten.
  
  
-Zusätzlich muss die Kommunikation mit dem zentralen Masterserver in Freiburg ermöglicht werdenDazu müssen folgende Ports __ausgehend__ freigegeben sein.  +==== Netzwerk- bzwFirewallkonfiguration ====
-| 443 | https | global| Masterserver | +
-| 9090 | dozmod (thrift) | global | bwLehrpool-Suite | +
-| 9091 | dozmod (thrift), ssl | global | bwLehrpool-Suite, gesicherte Verbindung | +
-| 9092 | dozmod | global | bwLehrpool-Suite, Dateitransport | +
-| 9093 | dozmod | global | bwLehrpool-Suite, gesicherte Verbindung |+
  
-Bitte vergleichen Sie zum besseren Überblick auch die [[satellite:portliste|allgemeine Portliste]].+Der Satellitenserver muss verschiedene Dienste im Netzwerk erreichen können und über bestimmte Ports selbst erreichbar sein. Diese müssen ggf. in Ihrer Firewall freigegeben werden. 
 +Bitte vergleichen Sie hierzu die [[satellite:portliste|allgemeine Portliste]].

Zuletzt angesehen:

Drucken/exportieren