| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision |
| poolimage [2011/07/19 01:56] – dsuchod | poolimage [2013/01/18 15:36] – dsuchod |
|---|
| ====== Virtuelle Maschine anlegen / anpassen ====== | ====== Virtuelle Maschine anlegen / anpassen ====== |
| |
| Diese Seite erklärt Einzelheiten für das Anlegen von eigenen Virtuellen Maschinen durch Dozenten in der [[kursraumumgebung|RZ-Pool-Umgebung]] bzw. Kursraumumgebung. Dazu müssen spezielle Benutzerrechte ("dozent") vorliegen. | Diese Seite erklärt Einzelheiten für das Anlegen von eigenen Virtuellen Maschinen (VMs) durch Dozenten in der [[kursraumumgebung|RZ-Pool-Umgebung]] bzw. Kursraumumgebung oder für den [[poolextern|Betrieb durch Externe am eigenen Institut]]. Sowohl 32bit als auch 64bit Gastsysteme sind zulässig. Dazu müssen spezielle Benutzerrechte ("dozent") vorliegen, um Images auf dem Bereitstellungsserver ändern zu können. |
| |
| In den Lehrpools stehen zwei Standardimages zur Verfügung: "Kursraum-Image (Windows XP oder Windows 7)". Beide Kursraum-Images werden vom Rechenzentrum betreut, solange es die Personallage zulässt. Dozenten können sich für ihre eigenen Kurse weitere Images anlegen. Diese sollten ausgehend von den beiden Vorlagen erzeugt werden, da sonst die reibungslose Integration in die Umgebung nicht sichergestellt ist. | In den Lehrpools stehen zwei Standardimages zur Verfügung: "Kursraum-Image (Windows XP oder Windows 7)". Beide Kursraum-Images werden vom Rechenzentrum betreut, solange es die Personallage zulässt. Dozenten können sich für ihre eigenen Kurse weitere Images anlegen. Diese sollten ausgehend von den beiden Vorlagen erzeugt werden, da sonst die reibungslose Integration in die Umgebung nicht sichergestellt ist. |
| |
| Im Augenblick wo ein(e) Dozent/in die Anpassung eines Images übernimmt, geht die Verantwortung für das jeweilige Image über. Es gelten folgende Regeln: | Im Augenblick wo ein(e) Dozent/in (bzw. [[poolextern|externer Betreiber]]) die Anpassung eines Images übernimmt, geht die Verantwortung für das jeweilige Image über. Es gelten folgende Regeln: |
| * Regelmäßig Updates (Betriebssystem) einspielen | * Regelmäßig Updates (Betriebssystem) einspielen |
| * Anschließend auf Viren überprüfen und diese Überprüfung für den Normalbetrieb deaktivieren | * Anschließend auf Viren überprüfen und diese Überprüfung für den Normalbetrieb deaktivieren |
| * Nach erfolgter Aktualisierung die Defragmentierung des Datenträgers durchlaufen lassen und das Image "shrinken" | * Nach erfolgter Aktualisierung die Defragmentierung des Datenträgers durchlaufen lassen und das Image "shrinken" |
| * Anlegen von Backups | * Anlegen von Backups außerhalb des Image-Servers (Backups auf dem Image-Server werden aus Platzgründen gelöscht) |
| * Aktualisierung der Beschreibungsdatei (<image-name>.xml) | * Aktualisierung der Beschreibungsdatei (<image-name>.xml) |
| * Bei Bedarf (Ankündigung) das Login-Tool aktualisieren | * Bei Bedarf (Ankündigung) das Login-Tool aktualisieren |
| | * Sicherstellen vorhandener und aktueller Lizenzen für alle zusätzlichen Komponenten (freie Software sollte kommerziellen Angeboten mit oftmals hochproblematischen Lizenzmodellen vorgezogen werden) |
| | * Deaktivieren sämtlicher Aktualisierer (System-Tray, diese machen keinen Sinn, da sie bei jedem Nutzer laufen und in normalen Sitzungen nicht dauerhaft erfolgen) |
| |
| Images, die zu Beginn eines Semesters (April bzw. Oktober) länger als 9 Monate nicht angefasst wurden (Dateidatum), werden von uns aus Platz- und Sicherheitsgründen gelöscht. | ==== Löschen von Images ==== |
| |
| Die Vorlagen-Images kann man entweder aus dem Verzeichnis ///var/lib/virt/vmware/// direkt auf einen ausreichend großen, mitgebrachten USB-Stick oder eine externe Festplatte kopieren. Um das Kopieren zu beschleunigen und weniger Platz auf dem Image-Server zu belegen, sind die Vorlagen-Images vom VMDK-Typ 5, welcher besonders für das Streaming, d.h. die Bereitstellung über das Netz optimiert ist. Dozenten sollten vor dem Einspielen überprüfen, dass ihr VM-Image in diesem Format vorliegt. Wenn nicht, kann es durch: ''vmware-vdiskmanager -r source-image.vmdk -t 5 compressed-image.vmdk'' in dieses überführt werden. | Images, die zu Beginn eines Semesters (April bzw. Oktober) länger als 7 Monate nicht angefasst wurden (Dateidatum), werden von uns aus Platz- und Sicherheitsgründen gelöscht. |
| |
| Die andere Möglichkeit besteht im Bereich des Campusnetzwerks direkt zuzugreifen: Die Images werden auf dem Image-Server (pool-fs.public.ads.uni-freiburg.de - 10.4.6.9) verwaltet. Von zuhause muss der Zugriff via VPN laufen, das ist aber (je nach eigenem Internetanschluss und wegen des VPN) deutlich langsamer. Der Server ist via 10 Gigabit-Ethernet ans Netz angeschlossen, was für zügige Kopiervorgänge sorgen sollte. Die auf dem Server abgelegten Images sollten in einem eigenen Bereich landen: vmware/vmware65 - zur Zeit werden diese NICHT automatisch eingebunden, sondern erfordern noch kleine Adaptionen, damit sie im Auswahlmenu erscheinen. Der Kopiervorgang erfolgt am besten über das Netzwerk mittels SecureCopy (SCP) oder mittels verbundenem Netzlaufwerk. Ein Vorlagenimage erhält man am einfachsten, durch das Mounten von pool-fs.public.ads.uni-freiburg.de/vmwareImages per NFS oder SMB/CIFS. Dann kann man sich ein geeignetes Image herunterkopieren. Per SCP sollte es auch mit der eigenen UserID/PW funktionieren. Oder man bindet es per | Wenn Images selbst gelöscht werden, auch immer die Beschreibungsdatei löschen oder in dieser das Image auf inaktiv setzen. |
| |
| mount.cifs //pool-fs.public.ads.uni-freiburg.de/vmwareImages zielverzeichnis -o user=<eigenerzid> domain=public | <active param="false"> |
| | </active> |
| | |
| | ==== Aktiv werden ==== |
| | |
| | Die Vorlagen-Images kann man entweder aus dem Verzeichnis ///var/lib/virt/vmware/// direkt auf einen ausreichend großen, mitgebrachten USB-Stick oder eine externe Festplatte kopieren. Um das Kopieren zu beschleunigen und weniger Platz auf dem Image-Server zu belegen, sind die Vorlagen-Images vom VMDK-Typ 5, welcher besonders für das Streaming, d.h. die Bereitstellung über das Netz optimiert ist. Zum Bearbeiten muss ein komprimiertes Image wieder in einen Normaltyp zurücküberführt werden. Dozenten sollten vor dem Einspielen überprüfen, dass ihr VM-Image in diesem Format vorliegt. Wenn nicht, kann es durch: |
| | |
| | vmware-vdiskmanager -r source-image.vmdk -t 5 compressed-image.vmdk |
| | |
| | in dieses überführt werden. Des Weiteren ist darauf zu achten, dass das Image in einer vom Lehrpoolsystem lesbaren Hardwareversion gespeichert wird. Verwendet man beispielsweise VMWarePlayer ab Version 5 wird in die vmdk-Datei eine höhere "ddb.virtualHWVersion" geschrieben. Ändern Sie diese ggf. mit einem Editor (getestet mit vim) auf Version acht. |
| | |
| | ddb.virtualHWVersion = "8" |
| | |
| | Beachten Sie, dass ein mit "vim" geöffnetes 10GB Image mindestens ~10GB Arbeitspeicher benötigt. |
| | |
| | Die andere Möglichkeit besteht im Bereich des Campusnetzwerks direkt zuzugreifen: Die Images werden auf dem Image-Server (vm-store.public.ads.uni-freiburg.de - derzeit unter der IP 10.4.6.8) verwaltet. Von zuhause muss der Zugriff via VPN laufen, das ist aber (je nach eigenem Internetanschluss und wegen des VPN) deutlich langsamer. Der Server ist via 10 Gigabit-Ethernet ans Netz angeschlossen, was für zügige Kopiervorgänge sorgen sollte. Die auf dem Server abgelegten Images sollten in einem eigenen Bereich landen: vmware/vmware65 - zur Zeit werden diese NICHT automatisch eingebunden, sondern erfordern noch kleine Adaptionen, damit sie im Auswahlmenu erscheinen. Der Kopiervorgang erfolgt am besten über das Netzwerk mittels SecureCopy (SCP) oder mittels verbundenem Netzlaufwerk. Ein Vorlagenimage erhält man am einfachsten, durch das Mounten von vm-store.public.ads.uni-freiburg.de/vmwareImages per NFS oder SMB/CIFS. Dann kann man sich ein geeignetes Image herunterkopieren. Per SCP sollte es auch mit der eigenen UserID/PW funktionieren. Oder man bindet es per |
| | |
| | sudo mount //vm-store.public.ads.uni-freiburg.de/vmwareImages /mnt -o user=<eigenerzid>,domain=public,uid=<lokaleid>,gid=<lokalegruppe> |
| | |
| | ein (benötigt Root-Rechte auf der Maschine, wo es ausgeführt wird oder entsprechende Einstellungen, die normalen Nutzern erlauben, CIFS-Mounts zu machen). Ein Beispiel mit Benutzer Max Mustermann, der sich mit "max" an seinem Linux-Rechner anmeldet: |
| | |
| | |
| | sudo mount //vm-store.public.ads.uni-freiburg.de/vmwareImages /mnt -o user=mm123,domain=public,uid=max,gid=max |
| | |
| | Entsprechend funktionert das Ganze als Netzwerklaufwerk unter Windows. |
| | |
| | Ebenso können sich Kursleiter überlegen bestimmte Komponenten über das Netzwerk zur Verfügung zu stellen und hierfür beim Start des XP o.ä. im VM ein Laufwerk automatisch verbinden zu lassen. |
| | |
| | ===== Zugriffsrechte ===== |
| | |
| | Nach dem Einspielen oder Verändern eines Images sollten die Zugriffsrechte überprüft werden. Neu angelegte Dateien (das gilt sowohl für die Images als auch die Beschreibungsdateien) sind zuerst nur für den anlegenden Benutzer sichtbar. Damit eine Nutzung für alle im Pool-Betrieb möglich ist, müssen die Rechte entsprechend erweitert werden. Die **Anpassung der Rechte unter Windows** erfolgt, indem man den Dateien <image-name.vmdk> <image-name.xml> unter //Eigenschaften -> Sicherheit// die Gruppe "jeder" hinzufügt und diese mit Leserechten ausstattet. |
| | |
| | Für die **Anpassung der Rechte unter Linux** gibt es eine Reihe von Möglichkeiten, wobei einige traditionelle Tools derzeit nicht korrekt funktionieren (siehe weiter unten). Es wurde nun eingerichtet, dass man auf jedem net.point und auch //login.uni-freiburg.de// |
| | |
| | cd /net/vmwareImages |
| | |
| | ausführen kann und das Verzeichnis //vmwareImages// dann passend per NFS4 gemountet wird. Dann hat man bequemen Zugriff mittels: |
| | |
| | chmod 0644 <image-name.vmdk> <image-name.xml> |
| | |
| | Zusätzlich können auch die Kommandos ''nfs4_editfacl'', ''nfs4_getfacl'' oder ''nfs4_setfacl'' genutzt werden, um Rechte feiner einstellen zu können. Alternativ geht man vom eigenen Linux-Rechner auf dem man den Image-Server via CIFS/SMB eingebunden hat, mit "smbcacls" an die betroffenen Dateien, zum Beispiel: |
| | |
| | smbcacls -U=public/<username> //vm-store.public.ads.uni-freiburg.de/vmwareImages vmware/vmware65/<filename> |
| |
| | zum abfragen, oder zum setzen: |
| |
| ein. Entsprechend als Netzwerklaufwerk unter Windows. | smbcacls -U=public/<username> //vm-store.public.ads.uni-freiburg.de/vmwareImages vmware/vmware65/<filename> -a ACL:Everyone:ALLOWED/0x0/READ |
| |
| Nach dem Einspielen oder Verändern eines Images sollten die Zugriffsrechte überprüft werden. Neu angelegte Dateien (das gilt sowohl für die Images als auch die Beschreibungsdateien) sind zuerst nur für den anlegenden Benutzer sichtbar. Damit eine Nutzung für alle im Pool-Betrieb möglich ist, müssen die Rechte entsprechend erweitert werden. Unter Linux beispielsweise durch ''chmod a+r <image-name.vmdk> <image-name.xml>''. | Das Löschen von Rechten erfolgt via: |
| |
| Ebenso können sich Kursleiter überlegen bestimmte Komponenten über das Netzwerk zur Verfügung zu stellen und hierfür beim Start des XP o.ä. im VM ein Laufwerk automatisch verbinden zu lassen. | smbcacls -U=public/<username> //vm-store.public.ads.uni-freiburg.de/vmwareImages vmware/vmware65/<filename> -D ACL:Everyone:ALLOWED/0x0/READ |
| |
| | Leider funktionieren die Kommandos bzw. grafischen Tools ''mount.cifs'', ''dolphin'', ''nautilus'' nicht korrekt und sind offenbar nicht in der Lage, ACLs zu ändern. |
| |
| | {{tag>openssl netz lehrpool}} |
| ==== Aussehen der Beschreibungsdatei ==== | ==== Aussehen der Beschreibungsdatei ==== |
| |
| <active param="true"> | <active param="true"> |
| </active> | </active> |
| | <icon param="win7"> |
| | </icon> |
| ... | ... |
| | <enable3d param="false"> |
| | </enable3d> |
| | ... |
| | |
| | Der "active" Schalter sollte auf "true" stehen, damit die Virtuelle Maschine in der Auswahlliste angezeigt wird. Soll das Image dort nicht auftauchen, weil der Kurs gerade nicht stattfindet, dann dort "false" eintragen. Mit "icon" kann man festlegen, welches Icon in der Auswahlliste angezeigt wird: "win7", "windows" für Windows XP, oder "ubuntu", "suse", "debian" ... für verschiedene Linux-Systeme. Der Parameter "network" sollte auf "nat" belassen werden. Zwar ist der Betrieb der virtuellen Maschinen im "bridge" Modus prinzipiell möglich, kann aber zu Problemen führen, da nur eine (sehr) begrenzte Anzahl freier (öffentlicher) IP Adressen für die virtuellen Maschinen zur Verfügung stehen. Es ist möglich eine 3D-fähige Grafikkarte zu aktivieren ("enable3d"), dieses macht generell nur für die aktuellen Maschinen (neue Ausstattung in -100/-101, UB2) Sinn und ist bisher nicht sinnvoll unterstützt. |
| |
| Der "active" Schalter sollte auf "true" stehen, damit die Virtuelle Maschine in der Auswahlliste angezeigt wird. Soll das Image dort nicht auftauchen, weil der Kurs gerade nicht stattfindet, dann dort "false" eintragen. | Die Datei muss unbedingt als UTF8 abgespeichert werden, da sonst Umlaute in der Anzeige nicht korrekt umgesetzt werden, was zumindest nicht sehr elegant aussieht. |
| ==== Windows in der virtuellen Maschine ==== | ==== Windows in der virtuellen Maschine ==== |
| |
| * Abstellen der automatischen Systemwiederherstellung (macht im Poolbetrieb keinen Sinn). | * Abstellen der automatischen Systemwiederherstellung (macht im Poolbetrieb keinen Sinn). |
| * Reduzieren/besser noch Abschalten der permanenten Auslagerungsdatei (Systemsteuerung → System - diese vergrößert nur sinnlos das Redofile - die Sessiondatei auf der lokalen Maschine). | * Reduzieren/besser noch Abschalten der permanenten Auslagerungsdatei (Systemsteuerung → System - diese vergrößert nur sinnlos das Redofile - die Sessiondatei auf der lokalen Maschine). |
| * Abschalten aller Aktualisierungsservices (für Microsoft, Adobe, Google, …) da diese in jeder Session erneut aufgerufen werden würden, ohne dass sie einen Sinn machen. Die Aktualisierung sollte in regelmäigen Abständen von den Image-Erstellern vorgenommen werden. | * Abschalten aller Aktualisierungsservices (für Microsoft, Adobe, Google, …) da diese in jeder Session erneut aufgerufen werden würden, ohne dass sie einen Sinn machen. Die Aktualisierung sollte in regelmäßigen Abständen von den Image-Erstellern vorgenommen werden. |
| * Abschalten von Indexing-Services. Wenn man diese nutzen möchte, sollten sie einmal im persistenten Modus bei der Einrichtung laufen, aber für den Standardbetrieb abgeschaltet sein, da sie dann nichts nützen. | * Abschalten von Indexing-Services. Wenn man diese nutzen möchte, sollten sie einmal im persistenten Modus bei der Einrichtung laufen, aber für den Standardbetrieb abgeschaltet sein, da sie dann nichts nützen. |
| * Virus-Checks machen nur für externe Laufwerke Sinn, nicht für das Basissystem: Ein Virus/Trojaner kann sich nicht dauerhaft festsetzen, da im Standard-Betrieb keine Schreibrechte für die Nutzersitzungen bestehen. | * Virus-Checks machen nur für externe Laufwerke Sinn, nicht für das Basissystem: Ein Virus/Trojaner kann sich nicht dauerhaft festsetzen, da im Standard-Betrieb keine Schreibrechte für die Nutzersitzungen bestehen. Es sollte jedoch ein Check durchgeführt werden, bevor(!) das Image auf dem Server allgemein bereitgestellt wird. |
| * Abschalten des Bildschirmschoners - das wird von der Host-Maschine bereits übernommen. | * Abschalten des Bildschirmschoners - das wird von der Host-Maschine bereits übernommen. |
| | * Die Proxy-Einstellungen für den Firefox (ebenso Internet-Explorer) sollten am besten auf "Auto-detect proxy-settings" gestellt werden. |
| |
| |
| ==== Anmelde-Tool ==== | ==== Anmelde-Tool ==== |
| |
| Zur drastischen Vereinfachung der Administration werden die Images zentral nur-lesbar zur Verfügung gestellt. Alle Änderungen werden nur lokal für die laufende Sitzung gespeichert. Deshalb gibt es auch keine aufwändige ADS-Anmeldung. Um trotzdem komfortabel das Homeverzeichnis, Share-Laufwerke und Drucker einzubinden, wurde ein kleines Tool erstellt, welches dieses übernimmt. | Zur drastischen Vereinfachung der Administration werden die Images zentral nur-lesbar zur Verfügung gestellt. Alle Änderungen werden nur lokal für die laufende Sitzung gespeichert. Deshalb gibt es auch keine aufwändige ADS-Anmeldung. Um trotzdem komfortabel das Homeverzeichnis, Share-Laufwerke und Drucker einzubinden, wurde ein kleines Tool erstellt, welches dieses übernimmt. Es ist über [[http://lab.openslx.org/projects/logintoolxp/repository/revisions/master/raw/RZ-POOL/Setup/Release/Setup.msi|diesen Link]] erhältlich. |
| |
| ==== Gemeinsame Laufwerke ==== | ==== Gemeinsame Laufwerke ==== |
| |
| Das durch Login-Tool eingebundene Laufwerk L: ist Passwortgeschützt und kann im Universitätsnetz und mittels VPN-Verbindung auch außerhalb der Universität eingebunden werden. Das Gemeinsame Laufwerk G: ist nicht passwortgeschützt und ist permanent im Standard-Image eingebunden. Das Laufwerk G: kann bei WindowsXP mittels „Netzlaufwerk verbinden“ und der Eingabe vom Pfad \\lehrpools.files.uni-freiburg.de\lehrpools eingebunden werden. So lassen sich auch schon vor dem Kurs Inhalte einspielen und nach dem Kurs auch wieder einfach entfernen. G: kann dabei nur aus dem RZ-Netz erreicht werden. | Das durch Login-Tool eingebundene Laufwerk L: ist Passwortgeschützt und kann im Universitätsnetz und mittels VPN-Verbindung auch außerhalb der Universität eingebunden werden. Das Gemeinsame Laufwerk G: ist nicht passwortgeschützt und ist permanent im Standard-Image eingebunden. Das Laufwerk G: kann bei WindowsXP mittels „Netzlaufwerk verbinden“ und der Eingabe vom Pfad \\lehrpool.fs.uni-freiburg.de\lehrpool\ eingebunden werden. So lassen sich auch schon vor dem Kurs Inhalte einspielen und nach dem Kurs auch wieder einfach entfernen. G: kann dabei nur aus dem RZ-Netz erreicht werden. |
| | |
| | **Linux:** |
| | unter Linux lässt sich das gemeinsame Laufwerk mittels |
| | mount.cifs //lehrpool.fs.uni-freiburg.de/lehrpool/ zielverzeichnis -o user=<eigenerzid>,username=beliebig%beliebig |
| | |
| | einbinden |
| |
| Die gemeinsamen Laufwerke haben nur eine endliche Kapazität. Ebenfalls sollte darauf geachtet werden, dass Inhalte problematischer Natur (IPR, private bzw. beschränkte Daten) nur während des Kurses bereitgestellt und anschließend sofort wieder gelöscht werden. Ein Löschen aller Daten nach Abschluss des eigenen Kurses versteht sich von selbst. | Die gemeinsamen Laufwerke haben nur eine endliche Kapazität. Ebenfalls sollte darauf geachtet werden, dass Inhalte problematischer Natur (IPR, private bzw. beschränkte Daten) nur während des Kurses bereitgestellt und anschließend sofort wieder gelöscht werden. Ein Löschen aller Daten nach Abschluss des eigenen Kurses versteht sich von selbst. |
| |
| Die Gemeinschaftslaufwerke sind keine Daten-Safes. Dozenten sollten immer daran denken, die Daten regelmäßig zu sichern und ein Backup bereitzuhalten, da jede(r) Zugriff auf die Daten anderer hat. | Die Gemeinschaftslaufwerke sind keine Daten-Safes. Dozenten sollten immer daran denken, die Daten regelmäßig zu sichern und ein Backup bereitzuhalten, da jede(r) Zugriff auf die Daten anderer hat. |
| {{tag>pc-arbeitsplätze software windows lehrpool linux poolraeume poolräume}} | {{tag>pc-arbeitsplaetze software windows lehrpool linux poolraeume}} |
| |
| ==== Aussehen Konfigurationsdatei für VMware ==== | ==== Aussehen Konfigurationsdatei für VMware ==== |
| ide0:0.present = "TRUE" | ide0:0.present = "TRUE" |
| ide0:0.fileName = "/var/lib/virt/vmware/winxppro-spss.vmdk" | ide0:0.fileName = "/var/lib/virt/vmware/winxppro-spss.vmdk" |
| ide0:0.mode = "nonpersistent" | ide0:0.mode = "independent-nonpersistent" |
| ide1:0.present = "TRUE" | ide1:0.present = "TRUE" |
| ide1:0.autodetect = "TRUE" | ide1:0.autodetect = "TRUE" |
