Host:Vm

Wird hoffentlich bald ersetzen, das Wiki wird dann geupdated. Bisherige Fakten:


 * Netzwerk kommt nicht auf die Onboardports (wegen eines Silikonunfalls), sondern auf den von hinten gesehen linken der beiden Extraports oben rechts. Ist auf der Karte mit ACTIVEA gelabelt
 * Festplatten sind 2x146GB SAS in einem Hardware-RAID1
 * Gehäuse ist 4HE, genau so wie das alte vm.chaosdorf.de

Hardware

 * RAID Controller: HP Smart Array G6, wird von check_raid unterstützt, Statusinformationen gibts ansonsten mit cciss_vol_status /dev/sg1

Festplattenaufteilung
Das System hat Platz für 25 SAS-Festplatten. (5 Spalten zu je 5 Festplatteneinschüben). Wir verwenden derzeit nur die ersten beiden Einschübe.

Im System befinden sich zwei Festplatten, die vom Controller in Hardware zu einem RAID 1 zusammengefasst sind — Das Betriebssystem sieht nur /dev/sda. Auf sda1 liegt ein Physical Volume für LVM, weitere Partitionen gibt es nicht.

In der Volume Group gibt es zwei Volumes für jede VM: Einmal Swap, einmal normal. Jedes Volume ist ein eigener dm-crypt-Container. Zusätzlich gibt es ein Volume für / des VM-Hosts selbst, hier liegt ohne Crypto direkt ein ext4.

Keyslots
TODO: Updaten

/dev/mapper/vg-backend
2. derf 4. mxey 5. byte

/dev/mapper/vg-extern
2. derf 4. mxey 5. byte

/dev/mapper/vg-intern
2. derf 4. mxey 5. byte

/dev/mapper/vg-shells
0. Alter Adminkey 2. derf 4. mxey 5. byte

Virtualisierung
Die virtuellen Machinen werden mit QEMU/KVM betrieben und von libvirt verwaltet. Die Netzwerkanbindung ist über Point-to-Point realisiert, damit der Traffic zwischen den VMs sich bequem filtern lässt. Netz und Disk via virtio.

Auf Hostseite wird die Netzkonfiguration mit ifupdown (`/etc/network/interfaces`) gemacht.

Zum Starten der VMs wird das Skript `/root/bin/start-vm` verwendet. Dieses öffnet die dm-crypt-Container, startet die VMs und verbindet sich in einer screen-Sitzung mit den seriellen Konsolen.

libvirt-Update
Nach Update: ferm-Regeln neu einlesen.

= Routing und Paketfilter =

Zu beachten ist, dass OpenIT unser Subnet nicht zu uns routet, sondern alle IPs direkt in unserem LAN-Segment erwartet. Damit die VMs von außen erreichbar sind verwenden wir deswegen Proxy ARP.

Traffic zwischen Internet und Server sowie zwischen den VMs wird mit Netfilter kontrolliert, wobei die Regeln durch ferm generiert werden. Wir filtern sowohl eingehend mit Rate-Limiting als auch ausgehend.