Sie finden hier häufig gestellte Fragen zum Betrieb virtueller Server (VMs) und unseren hierfür angebotenen Dienstleistungen. (Letzte Anpassung: 23.03.2022)

Einsatzmöglichkeiten

Kann ich auf einer VM einen Webserver, eine Datenbank usw. installieren?

Ja. Sie können auf den VMs den gesamten technischen Betrieb für die Bereitstellung von Webservern und Datenbanken selbst abwickeln. Für besonders anspruchsvolle Konfigurationen kann zusätzlich auch ein Load-Balancer mit SSL-Offload eingesetzt werden – siehe DLK, Abs. 6.2 Serviceoption: Load Balancer (SLB).

Falls Sie sich jedoch lieber nur um Ihre eigentliche Webanwendung (Typo3, Drupal, WordPress etc.) kümmern möchten und nicht um den dafür erforderlichen technischen Basisbetrieb – u.a. Installation, Updates und Sicherheits-Patches von Betriebsumgebung, Apache, PHP, MySQL, regelmäßige Backups aller Daten sowie Zertifikate für die Verschlüsselung der Kommunikation mit Ihrem Webserver, dann könnte unser Webhosting-Angebot für Sie interessant sein.

Kann ich auf einer VM ein eigenes Active Directory (AD) betreiben?

Hier würden wir eher empfehlen, sich das vom LRZ betriebene MWN-AD anzuschauen. Für die meisten Einrichtungen lohnt sich der Aufwand für den Betrieb eines eigenen AD nicht und die Administrationsrechte für einen Teilbereich im MWN-AD wären ausreichend. Wenden Sie sich bitte an den LRZ-Servicedesk für eine weitere Beratung.

Kann ich auf einer VM einen Fileserver betreiben?

Ja. Fileservices gibt es aber auch als größtenteils kostenfreie Dienstleistung direkt vom LRZ – siehe Online-Speicher.

Kann ich auf einer VM wissenschaftliches Hochleistungsrechnen betreiben?

Im Prinzip schon, allerdings ist die Rechenleistung und der Arbeitsspeicher im Vergleich zu anderen Diensten des LRZ eher limitiert. VMs können aber sehr gut als Web-Portale (Frontends) für wissenschaftliche Applikationen eingesetzt werden – siehe Supercomputing am LRZ.

Bestellung und Abrechnung

Wer darf VMs bestellen?

Diese Dienstleistung bieten wir derzeit nur den sogenannten Nutzerklassen 1, 2 und 3 an. Hinweise zu den Nutzerklassen finden Sie im Abschnitt Preise mit Verweis auf nähere Details im DLK.

Wie beantrage ich ein LRZ-Projekt?

Beachten Sie bitte hierzu die Hinweise zur Projektbindung. Den Antrag auf ein LRZ-Projekt (Formular auf der Seite Vergabe von Kennungen über Master User) schicken sie bitte an den für Ihre Einrichtung zuständigen LRZ-Betreuer.

Wie bestelle ich VMs?

Beachten Sie bitte hierzu die Hinweise zur VM-Bestellung. Hierbei finden Sie auch die jeweiligen VM-Bestellformulare.

Wie werden VMs abgerechnet?

Betriebskosten für VMs werden einmal jährlich in Rechnung gestellt. Der Abrechnungszeitraum ist jeweils vom 01. Januar bis zum 31. Dezember. Die Rechnungen werden im darauffolgenden Jahr versendet.

Wie kann ich mich über die aktuellen Kosten informieren?

Kontaktieren Sie bitte den LRZ-Servicedesk, um eine unverbindliche Kostenprognose zu erhalten. Dabei wird eine Berechnung durchgeführt, wie viel Ihre VMs bis zum Ende des Jahres kosten, wenn sie unverändert betrieben würden.

Werden Betriebskosten anteilig abgerechnet?

Ja. Die Abrechnung der Betriebskosten und der Erweiterungen von vCPU, RAM und Disk erfolgt tageweise mit 365 bzw. 366 Tagen pro Jahr.

Technik

Was ist bei Linux-VMs zu beachten?

Damit die Dienstleistung 'Attended Hosting' gewährleistet werden kann, sind bestimmte Voraussetzungen notwendig. Hierzu zählen die nachfolgend aufgelisteten Systemeinstellungen, die nicht angepasst werden dürfen:

• Der Hostname, auch als Maschinenname bezeichnet, wird bei der VM-Bestellung definiert. Nach VM-Inbetriebnahme ist der Hostname in verschiedenen Instanzen registriert. Nachträgliche Änderungen wären sehr zeitaufwändig und sind deshalb nicht erlaubt! Das Kommando  hostname -f  muss den vorgegebenen Fully-Qualified Domain Name (FQDN) <hostname>.<domain> ausgeben.
  Bei der strandardmäßigen LRZ-Dienstleistung Server-Hosting ist das FQDN-Schema <ADSOrgPrefix>-<Suffix>.srv.mwn.de vorgegeben. Im Bestellformular ist die individuelle Festlegung des <Suffix> möglich bzw. erforderlich. 
  Falls abweichende, d.h. grundsätzlich beliebig viele zusätzliche Hostnamen gewünscht sind, werden diese per DNS als Host-Aliase konfiguriert. Letzteres erfolgt nach VM-Inbetriebnahme mit Kenntnis der zugeteilten statischen IPv4- und/oder IPv6-Adresse.
  → /etc/hostname → /etc/hosts → /proc/sys/kernel/hostname
  
  
• Die Netzanbindung wird bei der VM-Neuinstallation eingerichtet. Dabei ist die MAC-Adresse sowie die IPv4- und IPv6-Adresse für jedes Netzwerkinterface inklusiv Gateway konfiguriert. Anpassungen dürfen keinen Einfluss auf den Datentransfer von und nach "außen" haben. Abweichende oder zusätzliche, "von außen sichtbare" MAC- oder IP-Adressen sind nicht zulässig.
  
  
• Der VM-Zugang für LRZ-Administratoren wird bei der VM-Neuinstallation eingerichtet und von Zeit zu Zeit aktualisiert.
  Ein Login auf der VM-Konsole mit lokaler Kennung vmadm muss gewährleistet sein. Zudem muss vmadm uneingeschrängte sudo-Rechte besitzen. Die Einrichtung und Aktualisierung der Funktionalität geschieht durch Installation des Softwarepakets lrz-user-vmadm.
  → /home/vmadm/ → /etc/passwd → /etc/shadow → /etc/sudoers.d/lrz-user-vmadm → /etc/ssh/sshd_config
  
  
• Das Betriebssystem (OS) wird bei der VM-Bestellung ausgewählt und bis zum Ende des LRZ-Supports durch regelmäßige Software-Updates mittels LRZ-Logistik aktualisiert.
  Eine Anhebung der OS-Version (OS-Upgrade), soweit vom LRZ unterstützt, ist grundsätzlich jederzeit möglich und spätestens bei Ablauf einer OS-Supportperiode notwendig. In erster Linie ist der Dienst-Administrator der jeweiligen VM für den OS-Upgrade zuständig; hierzu liefert das LRZ die passenden Hinweise, siehe Betriebssystem-Management, und bietet per Ticket-Anfrage → LRZ Servicedesk technische Unterstützung.
  Falls kein OS-Upgrade mehr möglich ist, ist eine Dienstmigration auf eine neu installierte VM notwendig. Für Letztere werden keine Einrichtungsgebühren erhoben. Die Nutzung ist für einen Zeitraum von 14 Tagen kostenfrei; bei einer rechtzeitigen Dienst-Migration entstehen demnach keine Zusatzkosten.
  Up- oder Downgrades auf OS-Versionen, die noch nicht oder nicht mehr vom LRZ unterstützt werden, sind nicht erlaubt; siehe auch: Kann ich mein eigenes Betriebssystem auf einer VM installieren? Ein Wechsel des Distributors, z.B. von Debian- auf Ubuntu-Linux, ist ebenfalls nicht zulässig. Für den OS-Wechsel muss eine neue VM beantragt (und die bestehende VM gelöscht) werden.
  
  
• Der regelmäßige LRZ-Update v.a. zur Software-Aktualisierung muss gewährleistet sein.
  Ein LRZ-Update erfolgt per Cronjob mit Ausführung lokaler Skripten.
  Auf VMs mit Debian- oder Ubuntu-Linux sind die Softwarepakete lrz-base und lrz-base-vmware installiert, die u.a. die beiden Cronjobs /etc/cron.d/lrz-base und /etc/cron.d/lrz-base-automatic-reboot aktivieren, die wiederum /usr/sbin/update-debian.sh ausführen; siehe auch: Wie funktioniert der LRZ-Update bei Debian-/Ubuntu-VMs?
  Auf SLES- oder openSUSE-VMs ist der Cronjob /etc/cron.d/lrz-update eingerichtet, der wiederum /usr/local/sbin/update.sh ausführt.
  Zur Funktionalität der LRZ-Updates ist ein NFS-Mount des in /etc/fstab definierten NFS-Shares auf die Mountpoints /kdist/ und /ldist/ notwendig.
  
  
• Der E-Mail-Versand ist durch Konfiguration der Postfix-Dateien in /etc/postfix/ voreingestellt und leitet u.a. Systemmeldungen mit Erweiterung der Absendeadresse auf root+<hostname>@<lrz-mail-relay> an die jeweiligen LRZ-Mailrelays weiter. Vorsichtige, i.d.R. nach Rücksprache mit den LRZ-Administratoren vorgenommene Anpassungen der Postfix-Konfiguration dürfen die Weiterleitungslogistik nicht beeinflussen. Sowohl Systemmeldungen (an root), als auch Meldungen an bestimmte LRZ- oder MWN-Adressen der Form <user>@[<subdomain>.]<lrz|mwn>.de, müssen die vorgenannte Absendeadresse verwenden.
  
  
• Das Logfile-Management ist mittels der Software Splunk Enterprise, genauer gesagt mittels SplunkForwarder erweitert. Dieser Dienst leitet den Inhalt des System-Logs (Syslog) auf einen zentralen LRZ-Syslog-Server weiter. Für den Fall einer Kompromittierung stehen somit zusätzliche Daten zur Analyse bereit. Eine anderweitige Datenauswertung findet nicht statt. Die Konfiguration und der Dauereinsatz des SplunkForwarders darf nicht oder nur nach Rücksprache mit den LRZ-Administratoren beeinflusst werden.
  
  
• Die lokale Firewall wird bei der VM-Inbetriebnahme gemäß Ihren Vorgaben bei der VM-Bestellung für den (ersten) SSH-Zugang eingerichtet. Aktuell wird eine Konfiguration der UFW (Uncomplicated Firewall) ausgeliefert. Hinweise zur Anpassung der Filterregeln finden sich im Internet, z.B. auf der Seite: https://help.ubuntu.com/community/UFW. Es steht jedem Nutzer mit Administrationsrechten frei, beliebige Änderungen vorzunehmen – z.B. die Öffnung für zusätzliche IP-Adressen und/oder Subnetze – oder die Software durch eine Alternative zu ersetzen. Aus Sicherheitsgründen empfiehlt sich die weitgehende Reglementierung für Zugriffe von außen.

Was ist bei Windows-VMs zu beachten?

• Windows VMs sind an das MWN-ADS angebunden. Damit ist es nicht möglich, auf den Windows-VMs des LRZ eine eigene Windows-Domäne oder MS Exchange zu betreiben.
• Windows-Updates werden gegebenfalls jeden Samstag um 6:00 Uhr installiert und bei Bedarf erfolgt ein automatischer VM-Neustart. Abweichungen davon können mit den verantwortlichen Administratoren vereinbart werden.
• Getrennte RDP-Sitzungen werden nach 12 Stunden Leerlauf automatisch getrennt. Abweichungen davon können mit den verantwortlichen Administratoren vereinbart werden.
• Die Installation von Servicepacks für das Betriebssystem erfolgt in Absprache mit dem Kunden. Servicepacks für Anwendungen müssen vom Kunden selbst installiert werden.

Welche Systemeinstellungen sind notwendig?

• Siehe Was ist bei Linux-VMs zubeachten?
• Siehe Was ist bei Windows-VMs zubeachten?

Wie groß sollte meine VM dimensioniert werden?

Das kommt auf Ihre Applikation an. Viele unserer Kunden-Systeme, z.B. Webserver, kommen bestens mit der kleinsten Konfiguration aus. Wir empfehlen daher mit einer kleinen Konfiguration zu starten und bei Bedarf mehr vCPUs, mehr RAM oder Disk hinzufügen zu lassen. Das geht sehr schnell und Sie sparen sich Kosten für ungenutzte Ressourcen.

Unter Linux kann die Load-Average ein Indikator sein: bei Werten unter 1 reicht sicher eine vCPU.

Wie funktioniert das mit der Systemplatte?

Die Systemplatte ist die virtuelle Festplatte mit dem Betriebssystem. Sie ist je nach Betriebssystem zwischenzeitlich mindestens 20 GB groß, kann aber größer bestellt werden.
Wenn Sie Anwendungsdaten speichern möchten, empfehlen wir, eine separate virtuelle Festplatte zu bestellen. Die kann nämlich im Gegensatz zur Systemfestplatte im laufenden Betrieb ohne Reboot vergrößert werden und erleichtert in der Regel zukünftige Software-Upgrades, da Daten und Betriebssystem klarer getrennt sind. Auf die Kosten hat die Aufteilung keinen Einfluss.

Beispiel: Sie möchten einen Apache-Webserver betreiben und Ihre Daten bestehen aus den Dateien, die der Webserver ausführt oder ausliefert. In diesem Fall könnten Sie eine 20 GB Systemplatte und eine 50 GB Datenplatte wählen, die zum Beispiel unter /srv/www gemountet wird. Dieser 50 GB-Bereich kann dann jederzeit im laufenden Betrieb vergrößert werden.

Kann ich mein eigenes Betriebssystem auf einer VM installieren?

Leider nein. Die vorbereiteten Betriebssysteme beinhalten mehrere Optimierungen, die einen gemeinsamen Betrieb mit anderen VMs auf einer Infrastruktur sicherstellen. Bei selbstinstallierten Betriebssystemen kann das LRZ diese Einstellungen nicht vornehmen und die potentiell entstehenden Kompatibilitäts-, Leistungs- und Funktionalitätsprobleme würden den Betriebsaufwand enorm steigern.

Was und wieviel ist eine virtuelle CPU (vCPU)?

Die vCPU ist das, was innerhalb einer VM als Prozessor sichtbar ist. Die erzielbare Rechenleistung entspricht maximal einem Core des Hardware-Servers – momentan Intel(R) Xeon(R) Gold 6248 CPU @ 2.50GHz. Eine VM kann derzeit mit maximal 8 vCPUs bestellt werden.

Muss ich den Arbeitsspeicher (RAM) mit 1,2,4,8,... GB konfigurieren?

Nein, die Zweierpotenzen sind bei VMs nicht notwendig und eine reine Gewohnheit aus "alten Zeiten". Größen wie 3 oder 7 GB sind genauso gut geeignet.

Kann ich eigene Snapshots erstellen?

Die Erstellung und Verwaltung von Snapshots von virtuellen Servern durch Kunden wird vom LRZ nicht angeboten. Der Grund dafür ist, dass eine Wiederherstellung einer gesamten VM auf einen alten Snapshot diverse Auswirkungen hat, die die Verwaltung der Systeme deutlich erschweren.
Beispielsweise werden alle zwischenzeitlichen Änderungen an Ressourcen, wie vCPUs, RAM etc., rückgängig gemacht und auch Betriebssystem-Updates sind nicht mehr auf dem aktuellen Stand.
Wir empfehlen anstelle von Snapshots den Einsatz zusätzlicher Test-VMs, um Software-Updates und Konfigurationen vor dem Produktionseinsatz zu überprüfen.

Wie funktioniert die Erweiterung einer VM unter Linux?

Virtuelle CPUs können im laufenden Betrieb ohne Reboot hinzugefügt werden. Eine RAM-Erweiterung ist ebenfalls ohne Reboot möglich, wobei VMs mit bis zu 3 GB auf maximal 3 GB ohne Reboot erweitert werden können. Hat die VM bereits 4 GB oder mehr, kann sie direkt auf bis zu 32 GB erweitert werden. Separate virtuelle Disks – nicht die Root-Partition – können ebenfalls ohne Reboot vergrößert werden; für eine Erweiterung der Root-Partition ist ein Neustart notwendig.
Bitte beachten Sie: in Einzelfällen kann bei älteren Konfigurationen auch bei Änderungen innerhalb der vorgenannten Limits ein Reboot notwendig sein.

Wie funktioniert der LRZ-Update bei Debian-/Ubuntu-VMs?

Durch einen Cronjob /etc/cron.d/lrz-base aus unserem Management-Paket lrz-base wird gemäß LRZ-Standard-Policy zweimal täglich das lokale Skript /usr/sbin/update-debian.sh ausgeführt, welches ebenfalls aus dem Management-Paket lrz-base stammt. Dieses Skript mountet den zuständigen LRZ-Installationsserver und ruft dort das "Master-Skript" chk-all-debian.sh auf. Dieses wiederum arbeitet modular verschiedene Checkskripten ab, um das LRZ-seitige Monitoring der Attended VM zu gewährleisten. Darunter befinden sich u.a. Module wie chk-dfs-debian.sh zum Überwachen der Plattenfüllstände, chk-upd-debian.sh zum Überwachen der Kernel- und Distributions-Aktualität, chk-vm.sh zum Überwachen der nötigen Anpassungen für den Betrieb unter VMware und auch chk-pkg-debian.sh, das sich um die eigentlichen Paketupdates kümmert.

Um das Rad nicht neu zu erfinden, verwenden wir im Modul chk-pkg-debian.sh den unattended-upgrades-Mechanismus, der bereits nativ in Debian vorhanden ist. Damit unattended-upgrades nicht parallel zum LRZ-Update-Mechanismus läuft, sind dessen eigene Automatismen deaktiviert. Wie eingangs beschrieben, wird der LRZ-Update-Mechanismus zweimal täglich aktiviert. Die Ergebnisse können dann in unserer Überwachung sowie den Systemmails aussagekräftig aufbereitet werden.

Was nun genau durch unattended-upgrades geupdatet wird, lässt sich unter /etc/apt/apt.conf.d/90lrz-base-unattended-upgrades einstellen. Dort wird definiert, aus welchen Repositories Updates installiert werden sollen und welche Pakete eventuell nicht angefasst werden dürfen. Diese Datei sollte mit Vorsicht behandelt werden, um nicht versehentlich wichtige Sicherheitsupdates zu deaktivieren. Falls nun Updates installiert werden, die einen Reboot erfordern – derzeit nur Kernelupdates, wird ein "Flag" namens /var/run/lrz-base-reboot-required gesetzt. Die Existenz dieses Flags wird durch einen weiteren Cronjob /etc/cron.d/lrz-base-automatic-reboot in regelmäßigen Abständen geprüft und dann der Server automatisch rebootet, falls nötig. Die Zeiten, in denen ein automatischer Reboot erfolgen darf – natürlich nur falls nötig, werden durch diesen Cronjob geregelt und können bei Bedarf angepasst werden. Von einer kompletten Deaktivierung raten wir jedoch dringend ab!

Kann ich meine VM exportieren lassen, um sie z.B. in eine andere Umgebung importieren zu können?

Nein, das LRZ exportiert keine VMs. Diese sind speziell für den Betrieb in der LRZ eigenen Infrastruktur angepasst und weisen spezielle optimierte Konfigurationen (u.a. Netzwerk, Mailing, Kernel-Einstellungen, OS-spezifische Anpassungen, VMware-Container Anpassungen etc.) und Management-Mechanismen auf, sodass diese in anderen Umgebungen gar nicht ohne weiteres lauffähig wären. Wenn Sie eine Kopie Ihres Systems für andere Zwecke benötigen (z.B. eine "identische" Instanz bei einem anderen Hoster oder einem anderen Rechenzentrum zu betreiben und/oder die Original-Instanz nach Umzug löschen lassen möchten), so müssen Sie dies über althergebrachte System-Tools bewerkstelligen und Ihre Daten auf geeignetem Wege aus dem OS heraus exportieren und in ein sauber neu installiertes System der anderen Umgebung importieren.

Darf ich den Hostnamen meiner (Linux-)VM ändern?

Nein, auf gar keinen Fall! Ihre (Linux-)VM ist über diesen Namen in unserem Management-System registriert und wird hierüber verwaltet. Durch eine Änderung verstoßen Sie gegen unsere Nutzungsbedingungen und wir müssen Ihr System außer Betrieb nehmen!

Netzanbindung

Welche Netzanbindung haben VMs?

Einer VM stehen bis zu 25 GBit/s an Bandbreite zur Verfügung und bereits mit einer vCPU können mehrere 100 MBit/s übertragen werden. Jeder Host der Infrastruktur ist mit jeweils 100 GBit/s direkt an die Backbone des Münchner Wissenschaftsnetzes (MWN) angebunden. Der Netztraffic ist in den Betriebskosten enthalten.

Was ist der Unterschied zwischen MWN-weiten und weltweiten Netzen für VMs?

Das vom LRZ betriebene Münchner Wissenschaftsnetz (MWN) nutzt einen privaten IP-Adressbereich, der nur innerhalb des MWN, aber nicht direkt aus dem Internet erreichbar ist. Über das LRZ-VPN kann man indirekt auch aus dem Internet auf diese Server zugreifen. Weltweite Netze sind auch aus dem Internet erreichbar.

Wenn Sie nicht sicher sind, ob Ihr Server unbedingt weltweit erreichbar sein muss, empfehlen wir den Betrieb im MWN-weiten Netz. Damit wird das Risiko von Angriffen auf den Server deutlich reduziert. Ausgehende Verbindungen ins Internet sind übrigens in beiden Fällen möglich.

Kann ich mein Lehrstuhl-VLAN an eine VM anbinden, um z.B. DHCP zu nutzen?

Eine solche Konfiguration ist leider nicht möglich. Der Grund ist die Designentscheidung im Münchner Wissenschaftsnetz (MWN), dass keine VLANs über die standortübergreifende Backbone geleitet werden sollen. Daher können VMs nur die vorgegebenen VLANs – MWN-weit und Welt-weit – verwenden.

Für DHCP bietet das LRZ übrigens direkt einen DHCP-Dienst an.

Kann ich ein Zertifikat für meine VM beantragen?

Standardmäßig liefern wir VMs mit sogenannten technischen DNS-Einträgen in der Zone srv.mwn.de aus. Diese dienen hauptsächlich zum verwaltungstechnischen Zugriff und das Monitoring Ihrer VM. Sie können diesen DNS-Eintrag auch direkt für Ihre eigenen Zwecke nutzen, jedoch ist eine Ausstellung von Zertifikaten in dieser Zone nicht möglich! Falls Ihr Dienst Zertifikate benötigt, so müssen Sie eine eigene DNS-Zone dafür verwenden. Dazu legen Sie einen CNAME Record in Ihrer Zone an und lassen diesen auf den von uns bereitgestellten technischen DNS-Eintrag verweisen. Stellen Sie sicher, dass Ihr Dienst auch auf den entsprechenden CNAME Ihrer Zone reagiert.

Problemlösungen

Die VMware Remote Console (VMRC) lässt sich nicht öffnen.

Hinweise zur Benutzung der VM-Konsolen

Meine VMware-Konsole geht nicht – ich sehe ein "connection timed out".

Sie haben vermutlich das VMware-Browser-Plugin für die Konsole installiert. Dieses versucht sich direkt mit einem VMware-Host zu verbinden, was aus Sicherheitsgründen nicht möglich ist. Bitte entfernen Sie das VMware-Plugin – dann wird der Browser die sog. HTML5-Konsole verwenden, die im gesamten MWN uneingeschränkt funktioniert.