NOC Team/To-Dos

Aus RaumZeitLabor Wiki

Tagebuch

Wichtiger Punkt: Dokumentation was bisher getan wurde. Was ergab sich aus der Freifunk-Diskussion heute, was aus Verm.+Pfalzkom+Politik, was machen wir mit dem Cisco-Stack hinsichtlich des Tschisko-Fuckups mit Self-Signed Certificates (ist zwar scheisse, macht aber jeder(tm), auch wir?) vor Januar 2020? Was habe ich vergessen?

Cisco siehe auch FN 70489.

 0xb4dc0d3d  wtf? • 21:35, 27. Dez. 2019 (CET)

Und noch ein wichtiger Punkt: Entscheid Serverhardware, Anbringung des Kostenpunkts Anfang Januar.

Netzwerk

DNS rzl.so

Alle internen Dienste enden auf .rzl, was keine Domain ist, die uns gehört. Wäre cool, wenn das stattdessen .rzl.so wäre.

→ Split-DNS?

--Helix (Diskussion) 14:35, 27. Dez. 2019 (CET)

SSL-Zertifikate

Für nur intern verfügbare Dienste wäre auch ein SSL-Zertifikat sinnvoll.

Letsencrypt *.rzl.so würde die internen Dienste dann nicht nach crt.sh | entrust.com/ct-search leaken, daher würde ich das vorschlagen.

Für extern verfügbare Dienste kann man dann ja je FQDN ein normales Cert holen. Eventuell auf Rate Limits aufpassen.

--Helix (Diskussion) 14:35, 27. Dez. 2019 (CET)

Aufbauend darauf (Obacht: Rate Limits are a real thing): Automatisierung der Zertifikate. LE-Zerts halten nur 3 Monate, da ist Rumgammeln keine Option mehr. Und die Faustregel heißt: ist es rein interner Kram? Wirklich? Wenn nein --> Non-Wildcard und SAN. Wildcard-Zerts sind obsolete Tech, machen wir nur zur Obfuscation. Doku essentiell, SAN-Zusammenfassung und -Stepping!

Zur Disk. im NOC-Meeting. Bei weiteren Diskussionspunkten diese Zeile löschen und bitte die Diskussionsseite dieses Artikels nutzen. •  0xb4dc0d3d  wtf? • 20:38, 27. Dez. 2019 (CET)

Inventur Internetleitung

Welche Leitungen haben wir, welche Möglichkeiten zum Upgrade gibt es?

Aktuelle Leitung:

Telekom Hybrid 50Mbit
16 Mbit DSL
Rest geht über im Router verbaute Sim Karte (Nur mit Telekom Router Kompatibel)

Geimeinsame Klärung mit der Spedition erstrebenswert.

Holzwerkstatt

Braucht das Netzwerk? V.a. braucht das Netzwerk langfristig?
Gespräch mit Spike am Dienstag 10.12.19 - Lordeis

Freifunk + IPv6

Zukunft ab 01.01.2020? Kübler Glasfaser?
Fürs erste wenn möglich über das /56 Netz, das am Telekom Router anliegt. - Lordeis

Switches

Inventur aller Switche und Firmware Stand prüfen

Cisco Stack E Werkstatt

Update von Cisco verfügbar: 1.4.11.02
Diskussion ob Update durchgeführt werden soll - Lordeis

Benutzer-DB

TLS-Renewal. Details nach Fertigstellung.

Router

Ubiquity

  1. Auseinandersortieren der Netzwerkverbindungen.
  2. Reverse Engineering und Dokumentieren der Konfiguration.
  3. IPv6 Konfiguration.

Speedport (Telekom)

  1. Reverse Engineering und Dokumentieren der Konfiguration.
  2. IPv6 Konfiguration.

Kommentar Ranlvor: Sollte ziemlich Standard sein, nur eventuell ein paar Regeln drin, die versuchen sollen Telefonie-Traffic auf DSL zu zwingen (weil das weniger schlecht tut als via LTE).

WIFI Access Points

Ubiquity

  1. Reverse Engineering und Dokumentieren der Konfiguration.
  2. Auseinadersortieren der SSIDs:
    1. Prüfen ob alle SSIDs nötig sind.
    2. Diskutieren ob Band Steering Sinvoll Wäre.
    3. Prüfen ob Layer 3 Roaming Sinnig ist.
  3. Prüfung ob ein zusätzlicher Unify AP für die Werkstatt sinn macht.
  4. Auslagern des RZL IOT WLAN auf anderen AP.

IOT Accesspoint

  1. Extra AP verwenden da Performance Probleme.
  2. Ich habe noch einen Lancom Rumliegen den ich Spenden würde - Lordeis

Hypervisor

RAM

Welche Möglichkeiten zum Update gibt es? Kurzfristiger Punkt, da der RAM erschöpft ist. AUf jeden Fall mögliches Upgrade wären zusätzliche 4 GiB für 30-40 Euronen, wenn wir in den Server reingeschaut haben wissen wir aber ob noch mehr als die dann 16GiB gehen.

Aktuelles To-Do: Dokumentation Hardwaremöglichkeiten - 0xb4dc0d3d

Update: Macht das noch Sinn? Siehe Punkt Server-Hardware weiter unten in diesem Kapitel. •  0xb4dc0d3d  wtf? • 22:10, 27. Dez. 2019 (CET)

Rechtekonzept

User sollten ihre VMs durchstarten können. Geht Hand in Hand mit dem Gedanken, nicht mehr überall als root zu springen und alles als root zu tun, stattdessen Nutzung sudo und mittelfristig ggf. Anbindung an UserDB.

Person mit Hut: 0xb4dc0d3d

Hypervisor-Software

  1. HV bleibt KVM. Helix erwähnte heute Cockpit, das scheint also auch ohne das ganze oVirt-Debakel zu gehen, und wäre dann prima. Geht als Frontend dann mit dem Rechtekonzept Hand in Hand. Alternative: Proxmox als Aufsatz, nicht(!!!) als Basis.
  1. OS sollte CentOS sein: der Hypervisor hat dumm zu sein (CA-Verwaltung, Automatisierung etc. darf da nicht laufen), also genügt CentOS, und wir gewinnen den Benefit SELinux. (Alternative wäre Arch, aber Rolling Release in bedingt gewarteter aber produktiver Umgebung? Meh. Willstenich.)

Gesamtes Kapitel zur Diskussion, habe ich ad hoc so niedergeschrieben •  0xb4dc0d3d  wtf? • 21:13, 27. Dez. 2019 (CET)

VM-Inventur

Prüfen, was noch aktiv ist, und nach einer geordneten(!) Inventarisierung Mitglieder bei Bedarf anschreiben. Im Zweifelsfall Downtime und einen Zeitraum X auf Reaktion warten.

VM-Struktur

Ordnung schaffen: Sind Dinge(tm) produktiv, sollten diese auf dedizierte VMs, gutes Beispiel hier: cashdesk.rzl (leider auch gutes Beispiel für undoumentierte VM).

Kommentar Ranlvor: cashdesk ist ein schlechtes Beispiel, da das eigentlich mal eine MemberVM war und neben cashdesk auch den Infoscreen hosted.

Serverhardware

Zukunft: Redundanz? Idee: KVM over 2 Nodes mit GlusterFS.

  1. Ob wir 2 Nodes brauchen oder 1 reicht, sollten wir in NOC-Meeting und Plenum diskutieren.
  2. Basis: Nunja, 32 oder 64GiB RAM, mind. 64 GiB Platte und schauen wo die 3-4 TiB VM-Store hinkommen. Alos Basisrahmen, zur Diksussion und Anpassung hier. •  0xb4dc0d3d  wtf? • 18:31, 27. Dez. 2019 (CET)

Erneuerung unumgänglich, RAM-Erweiterung ist nur Lebenserhaltungsmaßnahme bei einer designierten Leiche.

Optionen:

  1. SuperMicro-Server laut Lordeis (bitte ergänzen)
  2. Thomas-Krenn-Storage-Cluster: 240GB SSD OS, 3TB Nested Mirror, SuperMicro, 32GiB DDR4 ECC, max. 185W/Server, 13.100 Euro für zwei Server
  3. Kite kann eventuell einen PowerEdge R510 startklarmachen. Er gibt noch bescheid, Basis-Specsheet hier.

Mailserver

Spamfilter

Überarbeitung und Erweiterung. Wir bekommen keine Viagramails, aber einiges an Werbung. Erst Spamfilter, dann Unterpunkt Blocklisten ;-)