forked from reudnetz/website
add site about vm hosting
This commit is contained in:
parent
b474c68a5f
commit
81388f6902
1 changed files with 115 additions and 0 deletions
115
content/vm-hosting.md
Executable file
115
content/vm-hosting.md
Executable file
|
|
@ -0,0 +1,115 @@
|
|||
+++
|
||||
title = "VM Hosting"
|
||||
weight = 9
|
||||
+++
|
||||
# VM Hosting im Reudnetz
|
||||
|
||||
Das Reudnetz hostet für Kund:inen und befreundete Orgas VMs.
|
||||
Bei Interesse könnt ihr euch einfach per Mail an uns wenden (`mail [at] reudnetz [dot] org`)
|
||||
|
||||
|
||||
## Technischer Überblick
|
||||
|
||||
### Features
|
||||
|
||||
* 2 vCPUs
|
||||
* 2GB RAM
|
||||
* 50GB Disk
|
||||
* 150GB zusätzlicher Speicher pro Organisation für Backups und ISOs
|
||||
* Netzwerk
|
||||
* eigenes VLAN pro VM
|
||||
* `v4`: `/30` pro VLAN/VM (RFC1918)
|
||||
* `v6`: `/64` pro VM (geroutet auf link-local der VM)
|
||||
* (optional) v4 port-forwarding
|
||||
* (optional) v4 reverse-proxy für http/https
|
||||
* (optional) "ready-to-use" VMs
|
||||
* für gängige Linux-Distributionen die cloud-images anbieten
|
||||
* Provisionierung der VMs über `cloud-init`
|
||||
|
||||
_Solltet ihr mehr Resourcen benötigen könnt ihr euch einfach melden_
|
||||
|
||||
### Virtualisierungslösung
|
||||
|
||||
Wir nutzen [Proxmox VE](proxmox.org) als Virtualisierungslösung. Jede Nutzer:in bekommt einen Zugang zur WebGUI um ihre VMs zu verwalten (Starten, Stoppen, ISO einlegen uvm.).
|
||||
|
||||
## Berechtigunskonzept
|
||||
|
||||
Wir nutzen Gruppen, Rollen und Berechtigungen um den Proxmox mandantenfähig zu machen.
|
||||
Leider können wir euch keine Hardware-Kontingente zuweisen damit ihr eure eigenen VMs erstellen könnt (alla OpenStack, Hetzner, usw.).
|
||||
Wir erstellen euch die VMs und weisen die euch "unveränderbar" zu. Damit könnt ihr sie administrieren (starten, stoppen, ISO einlegen usw). aber keine Hardwareeigentschaften verändern (zB. mehr Speicher zuweisen).
|
||||
|
||||
|
||||
## Threat Models
|
||||
|
||||
Ihr solltet folgende Dinge beachten, wenn ihr eine VM bei uns habt.
|
||||
|
||||
|
||||
### Generischer Virtualisierungsdisclaimer
|
||||
|
||||
Technisch bedingt kann der Virtualisierungsserver/Hypervisor alle 3 Regeln der IT-Sicherheit für eine VM brechen:
|
||||
|
||||
* `Confidentiality`: der Hypervisor hat Einblick in alle Geräte der VM (CPU, RAM, Disk, Network, ...)
|
||||
* `Integrity`: der Hypervisor kann den Zustand jedes Gerätes der VM verändern
|
||||
* `Availability`: der Hypervisor kann eine VM ausschalten
|
||||
|
||||
Somit kann auch jede Person, die administrativen Zugang zum Hypervisor hat, die selben Regeln brechen.
|
||||
|
||||
Außerdem können Bugs in der Virtualisierungsschicht dafür sorgen das VMs "ausbrechen" und den Hypervisor und oder andere VMs übernehmen können.
|
||||
|
||||
Dies gilt für alle Cloud-/Virtualisierungsangebote, nicht nur für die vom Reudnetz :)
|
||||
|
||||
|
||||
### Full Disk Encryption
|
||||
|
||||
Wir nutzen Proxmox als Virtualisierungsplattform mit ZFS als Storage-Backend.
|
||||
Dies ermöglicht uns das `Storage Replication` Feature von Proxmox zu benutzen.
|
||||
|
||||
Dadurch werden die Disks aller VMs regelmäßige auf alle Virtualisierungsserver gespiegelt.
|
||||
Das ermöglicht uns:
|
||||
* Wartungen an den Virtualisierungsserver ohne Ausfall für die VMs vorzunehmen (durch schnelle Live-Migrationen)
|
||||
* Im Falle eines Ausfalles die VMs schneller verfügbar zu machen
|
||||
|
||||
Leider [verhindert](https://bugzilla.proxmox.com/show_bug.cgi?id=2350) die Nutzung dieses Features aktuell die Möglichkeit die Virtualisiserungsserver zu verschlüsseln (aka `full disk encryption`).
|
||||
|
||||
Somit sind unsere Virtualisierungsserver nicht verschlüsselt.
|
||||
Wenn jemensch die Virtualisierungsserver aus dem Keller trägt hat diese Person auch Zugriff auf die Platten der VMs.
|
||||
|
||||
Um das zu verhindern müsst ihr eure VMs selber verschlüsseln. Bitte habt dabei allerdings im Hinterkopf dass wir aus einer laufenden VM auch die Verschlüsselungskeys extrahieren könnten.
|
||||
Somit ist dies nur ein Schutz gegen physischen Diebstahl der VM - der `Generische Virtualisierungsdisclaimer` gilt trotzdem.
|
||||
|
||||
---
|
||||
|
||||
**Solltet ihr eine "ready-to-use" VM bestellen hat diese keine full-disk-encryption !**
|
||||
|
||||
---
|
||||
|
||||
## Disclaimer
|
||||
|
||||
|
||||
### Backups
|
||||
|
||||
Wir machen aktuell keine Backups eurer VMs - wenn der Storage kaputt geht sind eure VMs weg.
|
||||
Somit müsst ihr euch selber um die Sicherung eurer Daten aus der VM kümmern.
|
||||
|
||||
|
||||
### Verfügbarkeit
|
||||
|
||||
Wie alle Dienste des Reudnetzes sind auch die VMs auf `best-effort` Basis.
|
||||
Da wir aktuell noch keinen Cluster haben müsst ihr mit ein bis zwei Ausfällen pro Monat rechnen für Updates des Hypervisors (ihr werdet natürlich vorher benachrichtigt).
|
||||
|
||||
|
||||
### Anbindung
|
||||
|
||||
Eure VMs teilen sich mit dem Rest des Reudnetzes unseren symmetrischen 1G Uplink.
|
||||
Der Router, der die VMs (aktuell) terminiert, kann kein line-rate routing. Deswegen teilen sich alle VMs aktuell 500mbit/s symmetrisch.
|
||||
|
||||
|
||||
### Haftung
|
||||
|
||||
---
|
||||
|
||||
**Dies ist keine juristische Einschätzung**
|
||||
|
||||
---
|
||||
|
||||
Ihr mietet die VM von uns und haftet deswegen auch für mögliche Straftaten.
|
||||
Loading…
Reference in a new issue