URZ-Startseite > Server >

Server-Housing im URZ für Institute

Es ist möglich, dass Institute eigene Server oder Blade-Server in einem dafür vorgesehenen Blade-Center im Maschinensaal des Rechenzentrums betreiben (server-housing). Auf dieser Seite sollen hierzu erste Informationen bereitgestellt werden. Server-hosting, d.h. Bereitstellung und Pflege eines Rechners mitsamt Betriebssystem, kann aus personellen und anwendungsspezifischen Gründen nicht mehr  angeboten werden.

Zielgruppe dieser Seite sind EDV-Beauftragte der Institute.

Das Produkt "Server-Housing" ist derzeit im Team Server angesiedelt. Bitte wenden Sie sich bei Rückfragen primär an dieses Team.

Inhalt:
Warum Server-Housing? - Hardware - Software - Netzwerk - Sicherheit - Wartungszugang - Kosten - Administratives - Links

Warum Server-Housing?

Gründe können sein:

  • Hoher Raumbedarf, der auch nach intensiver Prüfung im Institut nicht zur Verfügung steht
  • Kühlung/Klimaanlage
  • USV
  • Redundante Netzanbindung
  • Hoher Bandbreitenbedarf, insbesondere ins URZ oder nach außen
  • Direkte SAN-Anbindung
  • Verfügbarkeit von Ersatz-Hardware (bei Einsatz von Standard-Blade-Servern)

Gründe sollten nicht sein:

  • Mail, Webserver, Fileserver, Exchange u.v.a.m. mit Standard-Funktionalität: Alle diese Dienste bietet das URZ an, dafür benötigen Sie keinen eigenen Server.
  • Personalmangel im Institut: Wer nicht das erforderliche Personal für die Administration eines Servers hat, der sollte keinen betreiben.

Hardware

"Welche Blades sind möglich?"
Bitte nennen Sie uns Ihre Anforderungen an CPU-Leistung, RAM, lokalem und SAN-Speicherplatz, wir können Ihnen dann ein passendes Modell empfehlen.

"Welche eigenständigen Server sind möglich/erlaubt?"
Die Geräte müssen in einen 19"-Server-Schrank (Rack) eingebaut werden können.

"Wir wollen/müssen ein ganzes Rack aufstellen. Was ist dabei zu beachten?"
Maße/Art des Schrankes, Stromanschluss, Beschriftung aller Anschlüsse, Netzwerkverbindungen. Beschriftung des Schrankes mit Servernamen, IP-Adressen, Funktion, Institut, Ansprechpartner/n, Telefonnummern.

Bitte nennen Sie uns die benötigte Stromversorgung/Leistungsaufnahme, Kühlleistung, Anzahl Höheneinheiten/HE im Rack sowie Stellfläche (bei Racks).

Bitte beschriften Sie den Server bzw. den Schrank mit Servername/n, IP-Adresse/n, Funktion/en, Institut, Administrator/en, Telefonnummern, Email-Adresse/n.

Software

"Brauchen wir überhaupt einen eigenen Server? Welche vom URZ angebotenen Services können wir nutzen?"
Beachten Sie dazu die allgemeine URZ-Homepage, z.B. die Seiten über Internet-Dienste oder File-Service.

"Kann sich das URZ um das Betriebssystem kümmern, so dass wir uns nur um die Anwendung kümmern müssen?"
Leider kann das URZ die Updates des Betriebssystems und die Überwachung der Antivirus-Software nicht mit übernehmen.

"Welche Betriebssysteme sind möglich?"
Das URZ verwendet Microsoft Windows Server und Red Hat Enterprise Linux. Zu diesen Systemen sind Installations-Images vorhanden und ist Hilfestellung bei der Installation möglich.

Netzwerk

"Warum können die Server nicht im Hausnetz sein, wenn sie im URZ aufgestellt sind?"
Das HDnet ist durch seine Verbreitung im ganzen Stadtgebiet durch Router stark strukturiert. Netze werden von Routern definiert. Router-Bereichs-übergreifende Netze sind im HDnet nicht möglich.

"Benötigen wir eigene Netzkomponenten?"
Es sind zentrale modulare Switche (fs/fs2-urz-inst) beschafft worden, die eine größere Zahl von Ports mit hoher Bandbreite bereitstellen können. Die Einzelports sind Gigabit-fähig, die Switche sind redundant mit 10GBps an die Router des URZ angebunden. Eventuell muss im Einzelfall für diese Geräte ein Modul beschafft werden, oder es muss ein Anteil an den Switchports bezahlt werden. Im Maschinenraum des URZ werden ausschließlich Komponenten angeschlossen, die mit dem URZ abgesprochen sind. Ein administrativer Zugriff auf diese Switche für Netzbeauftragte ist nicht möglich.

"Bekommen wir ein eigenes Subnetz/VLAN?"
Wir haben einen Netzbereich für "behauste" Rechner vorgesehen. Separate Subnetze/VLANs richten wir nur bei begründetem Bedarf (z.B. mehrere Rechner geplant) ein. Nebenbei: Die - nach außen nicht erkennbare - VLAN-Nummer korrespondiert dabei nicht mit dem Netzbereich.

Konventionen für IP-Adressen und DNS: Wir vergeben "kleine" Netzbereiche, in denen z.B. die Adressen 16-31, 32-47, 48-63 etc. zu je einem Subnetz gehören. In jedem dieser Subnetze gilt:

  • die erste Adresse (.16/.32/.48/.64) ist die Netzadresse und wird nicht für Rechner benutzt
  • die Netzmaske weicht von der üblichen ab! Typisch wird es eine 28-Bit Netzmaske "/28" sein, dezimal 255.255.255.240, aber bitte beachten Sie die Informationen, die wir im Einzelfall mitgeben.
  • die nächste Adresse (.17/.33/.49/.65) wird für den Default-Gateway verwendet, DNS: hr-urz-INST.urz...
  • die beiden folgenden Adressen werden für Gateway-Redundanz (HSRP) verwendet, DNS: br2/br-urz-INST.urz...
  • wir empfehlen, die Adressen beginnend mit der letzten nutzbaren Adresse (.30/.46/.62/.78) abwärts zu vergeben.
  • die letzte Adresse im Bereich (.31/.47/.63/.79) ist die Broadcast-Adresse und darf nicht für einen Rechner verwendet werden.
  • Bitte beachten Sie: IP-Adressen können sich verändern. Geben Sie an Nutzer nur DNS-Namen heraus und verwenden Sie nach Möglichkeit auch in Scripten etc. DNS-Namen und nicht IP-Adressen.
  • für weitere Informationen siehe auch "Minimales über Netzwerkparameter im HD-Net"
  • "Wie soll der Rechnername im DNS lauten?"
    Der DNS-Name/FQHN ergibt sich als  "NAME-INST.urz.uni-heidelberg.de", weitere Namen, z.B. NAME.INST.uni-heidelberg.de, dann per CNAME. Zertifikate können auf alle diese Namen mit der Option subjectAltName (SAN) ausgestellt werden.

"Mein Server hat zwei Netzanschlüsse, und ist an zwei Switche angebunden. Wie soll ich nun teaming/bonding konfigurieren?"
Bitte als "hot standby" konfigurieren und nicht "load-balancing".

"Was soll ich als DNS-Server usw. eintragen?"
Siehe dazu die Seite "Minimales über Netzwerkparameter".

"Wir wollen unseren Druckserver im URZ aufstellen."
Dann gehen die Druckdaten vom PC im Hausnetz  zum URZ, und vom URZ zum Drucker ins Hausnetz zurück. Brauchen Sie überhaupt einen Druckserver, oder kann man den Drucker nicht direkt ansteuern? Muss der Server im URZ aufgestellt werden?

Sicherheit

Im Rahmen des vom URZ angebotenen Firewall/Paketfilter-Konzeptes haben die Server Zugriff auf die Institutsnetze, als ob sie im Bereich ab .240 aufgestellt wären. Insbesondere haben Rechner im Adressbereich ab .240 auch mehr Zugriff auf Hosts in anderen geschützten Institutsnetzen. Wir erwarten von Serverbetreibern eine besonders sorgfältige Systemadministration.

Das Netz ist "so wenig sicher", als ob die Server im Instituts-Adressbereich über .240 aufgestellt wären. Das heißt, außer den Ports, die an der Uni-Firewall blockiert sind, können die Server frei aus dem Internet erreicht werden. Der Server muss sich selbst schützen können.

Bedingt durch den Unterschied, dass der Server sich nicht im Hausnetz selbst befindet, können allerdings die Rechner unterhalb .240 in entsprechend geschützten Instituten vom Server nicht auf beliebigen Ports erreicht werden. Hier sind in Einzelfällen Ausnahmen für den Zugriff von Instituts-Server-Netzbereichen in Instistutsnetze möglich.

"Wir hätten gerne eine bestimmte Accessliste, die einige IP-Adressen schützt und einzelne Ports nach außen frei lässt." Accesslisten vor diesen Instituts-Server-Subnetzen können wir leider nicht unterstützen.

"Warum sind die Instituts-Server nicht in einer DMZ?"
Die Anforderungen der Institute an die Server sind dazu leider zu uneinheitlich. Die für die Pflege solcher individueller Accesslisten/Firewalls benötigten personellen Ressourcen sind nicht vorhanden.

Wartungszugang

Zugang zum Maschinenraum des URZ

Es ist möglich, dass bis zu zwei Mitarbeiter des Institutes Zugang zum Maschinenraum erhalten. DIese Mitarbeiter müssen zum einen den Zugangsschlüssel beantragen (wo? bei wem? wer stimmt zu?), zum anderen auch im Operating namentlich bekannt sein. Zutritt ist nur in den Zeiten des bedienten Betriebes erlaubt. In begründeten Einzelfällen ist ein Zugang mit Hilfe der zentralen Leitwarte auch außerhalb dieser Zeiten möglich, diese Möglichkeit muß jedoch vorab vorbereitet werden.

Konsolzugang

Das Aufstellen von Bildschirmen oder Tastaturen ist nur erlaubt, wenn diese in den Schrank einklappbar/einzuschieben sind. Am Blade-Center stehen Bildschirm, Tatstatur und Maus zur Verfügung. Wartungsarbeiten sollten jedoch in der Regel aus der Ferne (mit SSH oder RDP) erledigt werden.

Zugriff auf den Server für Uni-Mitarbeiter / für Externe

"Die Software auf unserem Server soll von einer externen Firma gewartet werden, wie geht das?"
Der Server ist von außen erreichbar und schützt sich selbst, daher kann dies vom Administrator selbst eingerichtet werden. Falls Begrenzung des Zugriffs auf z.B. IP-Adressen des HDnet erwünscht und möglich ist, kann (darf???) z.B. ein Account eingerichtet werden, und die Externen können sich mit VPN oder vom Terminalserver verbinden.

Zugriff auf einen VM-Host

Wenn Sie einen oder mehrere Rechner mit Virtualisierung betreiben, benötigen Sie zusätzlich auch Zugriff auf die Verwaltungskonsole für VM-Hosts. Dazu müssen Sie die Software "vcenter client" herunterladen und auf einem Windows-Rechner installieren.

"Wir haben mehrere VMs auf unserem Blade, ich muss zur Verwaltung von meinem Institut aus Zugriff auf das Blade-Center haben."
Die VM- und Blade-Center-Verwaltung befinden sich in einem besonders geschützten Netz. In Einzelfällen ist es möglich, einer festen Instituts-IP-Adresse den Zugriff auf ein Blade-Center zu gewähren. In der Software wird dann der Zugriff auf nur benötigte Servergruppen geregelt.

Kosten

Die folgenden anfallenden Kosten müssen vom Institut getragen werden:

  • Beschaffung des Rechners/Blades
  • Lizenzen für Betriebssystem, Updates etc.
  • Server-Rack (bei mehr als 10 HE)
  • Switchports (bei mehr als 10 Ports)
  • Beteiligung am BladeCenter (bei mehr als 3 Blades)

Die folgenden Kosten brauchen vom Institut derzeit nicht getragen werden:

  • Strom
  • Kühlung
  • Miete/Stellfläche eines Server-Racks
  • Platz im Rack (bis zu 10 HE)
  • Switchports/Netzwerk-Anschluss (bis zu 10 Ports)
  • BladeCenter (bis zu 3 Blades)
  • Installationsarbeiten im Maschinenraum (Elektriker etc.) (Bauamt?)
  • Installationshilfe durch URZ-Mitarbeiter

Administratives

  • Ist der EDV-Beauftragte des Institutes informiert bzw. beteiligt? Der EDV-Beauftragte ist als Stellvertreter des Institutsleiters für EDV-Fragen der Verantwortliche für den Betrieb eines Servers im HDnet.
  • Ist der Server-Administrator als Ansprechpartner in der TP-Doku eingetragen?
    [Bitte Kontaktdaten dem Team Netzinfrastruktur mitteilen.]
  • Ist explizit abgeklärt, dass der Server keine personenbezogenen oder sonstwie schützenswerten Daten enthält?
  • Expliziter Hinweis, dass die IP-Adresse nicht an Endnutzer gegeben oder in Skripten verwendet werden sollte, sondern immer ein DNS-Name, weil sich die IP-Adresse etc. bei Bedarf ändern kann.
  • Expliziter Hinweis, dass der Server voll im Internet steht und für seinen Schutz selbst sorgen muss.
  • Bitte Rechner erst NACH Vorhandensein eines DNS-Eintrages aktivieren, hinterher wird es zu oft vergessen.

Links etc.

Ansprechpartner für Rückfragen: Team Daten+Server

Verantwortlich: Team Daten und Server
Letzte Änderung: 21.03.2011