Agenda - KIT - SCC · Universität Karlsruhe (TH) Der Prorektor für Struktur und Planung Universitätsrat, 24.03.2004, N. Henze IV-gestützte Verwaltungsdienste Dienste für Lehre,

Universität Karlsruhe (TH)Rechenzentrum

Versammlung der IT-Beauftragten der Institute

12. Mai 2004 Hörsaal 37, Geb. 20.40 (Architektur), Folie 1

Agenda1. Allgemeines zum Rechenzentrum (Prof. Juling)

2. Systeme- Drucken am Rechenzentrum (H. Meyer)

- Systemhosting LINUX Cluster (R. Lohner)

- Installation des Landeshöchstleistungsrechners (K. Geers)

3. Netzwerk und Kommunikation- Zentrale Mailfilter, AntiSpam, AntiVir (Prof. Hartenstein)

- Netzwerksicherheitssysteme (R. Strebler, B. Lortz)

4. CIP-Programm/HBFG-Anträge- HBFG Antrag Backup- u. Archivserver (W. Preuß)

- CIP-Pool Betrieb (D. Oberle)

5. Verträge und Lizenzen- Pro/E Campuslizenzen, NAI Antiviren Software (D. Oberle)

- RedHAT Campusvertrag (D. Oberle)

6. Anwendungen- Matlab Lizenzen (R. Lohner)

- RedDot und Webauftritt (U. Weiß)

7. Verschiedenes / Diskussion

Universität Karlsruhe (TH) Der Prorektor für Struktur und PlanungUniversitätsrat, 24.03.2004, N. Henze

Rektorat

CIO

CIO-Verantwortung- Aufsicht

CIO = Chief Information OfficerVorsitz

AfD AfM AfVDAfB

Ausschuss für Informationsversorgungund –verarbeitung (AIV)

Unterausschüsse

M M M M

VVVV

ZUV-IT

RZ UB

berät

V

ex officio

Operative Verantwortung

Geschäftsverteilung

AIV-Verantwortung: - grundsätzliche Vorgaben und Strategien- Maßnahmen von großer Tragweite

Senat

beschließt - Einsetzung CIO- Einsetzung AIV- Regeln zur Zusammensetzung der Ausschüsse

Nutzer

Leitungdes

MICK

Verantwortlichkeiten

Universität Karlsruhe (TH) Der Prorektor für Struktur und PlanungUniversitätsrat, 24.03.2004, N. Henze

IV-gestützteVerwaltungsdienste

Dienste fürLehre, Studium und

Weiterbildung

Dienste zurInformations-versorgung

Dienste fürForschung und

Entwicklung

AfD AfM AfVDAfB

Ausschuss für Informationsversorgungund –verarbeitung (AIV)

SenatRektorat

CIO

Nutzersteuerung

Koordination & Integration

Strategie & Verantwortung

CIO4 x Prof.1 x WD1 x VT1 x Stud.MICK-Leitung (3)

Vorsitzbildet

Unterausschüsse

Aufsicht & Steuerung

CIO = Chief Information Officerwählt

M M M M

VVVV Versammlungder FIOs

Beratung

CIO = Chief Information Officer

FIO = Faculty Information Officer

Aufsicht & Steuerung




Bericht des LRH und Konsequenzen

» Druckfreikontingent für Studierende

» Rechnungslegung gegenüber den Instituten

» Handbuchverkauf über das Studentenwerk

» Accountvergabe und Nutzungskontrolle

» hww-Beteiligung

Keinerlei Beanstandungen bei der Haushaltsführung und Mittelbewirtschaftung des Rechenzentrums!




















Schwarz-Weiß-Ausgabe

» Massenausgabe BW600DPI

– 7.6 Mio. Seiten im Jahr 2003– Derzeit 2 Geräte OCE 8445, Hitachi DDP70, Überlauf: Konica 7140– A4 Hochformat ! Sowie A3 ein- und doppelseitig– Eingabe: PS, PDF, diverse Rasterformate

» Pooldrucker HP Laserjet 4050

– 1.2 Mio. Seiten im Jahr 2003– 8 Einzeldrucker in verschiedenen Pools– A4 Ausgabe– Eingabe: PS, PDF, Rasterformate




Farbausgabe

» A4/A3 Einzelblattausgabe, ein/doppelseitig

– Canon CLC 1150– Eingabeformat: PS, PDF, div. Rasterformate

» Normalpapierplotter, 90cm-Rolle

– HP DesignJet 2500– Eingabe: EPS

» Photopapierplotter, 90cm-Rolle

– HP DesignJet 2500– Epson 9000

» Zugang: Institutsaccount




Laminieren

» Rollenlaminator Seal 6200

– Heißlaminat 75mu oder 125mu, Bahnbreite 104cm und 152cm– Kaltlaminat 104cm, besonders UV-beständig

» Taschenlaminator

– A6/A5/A4/A3

» Laminiertermin: Freitag




» Zunehmende Anfragen an das Rechenzentrum:

– Betreiben von Linux-Cluster im RZ– Betreiben von Institutsservern im RZ (Hosting)– Unterbringung von Institutsservern im RZ (Housing)

» Hauptgründe:

– Platzmangel– Klimaprobleme– Nicht ausreichende Administrationsmöglichkeiten

» Prinzipiell Möglichkeit solcher Lösungen denkbar

– Entstehende Kosten müssen umgelegt werden – abhängig von:• Hardwarekosten (Rechner, Fileserver, etc.)• Platzbedarf• Strom- und Klimabedarf• Verwendete Software (Betriebssystem und sonstige)• Personaleinsatz (Einrichtung, Wartung, Sondereinsätze, etc.)

Systemhosting / Linux-Cluster (1)




» Bei Linux-Cluster vielseitigere Lösungen denkbar – Synergie!

» Gemeinsame Beschaffung durch Institute und Rechenzentrum– Homogenere Hardware– Günstigere Preise durch größeres Volumen (HBFG?)– Linux-Cluster als zusätzliche, universitätsweite Ressource– Betrieb und Wartung durch Rechenzentrum– Priorisierung der beteiligten Institute bei Rechenzeit– Zeitweise wesentlich mehr Gesamtkapazität als bei Institutslösungen– Stetiger Ausbau/Erneuerung möglich (auch neue Beteiligungen)

» Rechenzentrum ist bereit, Lösungen zu planen und anzubieten

» Wichtig: Gute Kenntnis des aktuellen und künftigen Bedarfs

» Deshalb Bitte an die Institute um Mitteilung– Ob und in welchem Umfang Serverhosting und –housing gewünscht?– Ob und in welchem Umfang Beteiligung an Linux-Cluster möglich?

Systemhosting / Linux-Cluster (2)




Landeshöchstleistungsrechner BaWü

» Anforderungen basierend auf

– Bedarfsumfrage– Erfahrungswerte

» Angestrebt wird ein System, das einen möglichst hohen Durchsatz für große Anwendungen unterschiedlicher Charakteristika gewährleistet.

– Dazu muss der Hochleistungsrechner die wichtigsten Funktionen des wissenschaftlichen Rechnens unterstützen:

• Computing (Rechenkomponenten/Knoten)• Pre- und Postprocessing (Servicekomponenten/ Knoten)• File Serving

– Ein ausgewogenes Verhältnis von • realer Prozessorleistung, • Hauptspeichergröße und –bandbreite, • Latenzzeit und Bandbreite des internen Kommunikationssystems • Bandbreite der Ein-/Ausgabe und Kapazität der Plattensysteme




Installationsplan

Phase 1:

Thin nodes in Q4 2004» XC with 2-way nodes (future rx2600)

– 116 nodes– zx1+ chipset – Madison/9M 1.7 GHz– Quadrics interconnect– 1.54 TB memory

Fat nodes in Q1 2005» Keystones (16 sockets)

– 6 nodes– sx1000 chipset– Madison/9M 1.7 GHz– Quadrics Interconnect– 0.64 TB memory

Phase 2:

Integrate fat nodes of phase 1

Thin nodes in Q1 2006» XC system with 2-way nodes

(future rx2600, 4 CPU)– 218 nodes– zx2 chipset – Montecito (top bin)– Quadrics interconnect (dual rail)– 5.1 TB memory

Phase 0 in Q1 2004

16 node XC Cluster for testing» based on Madison 1.3 GHz» Quadrics Elan4 (beta testing)

0.16 TFlop/s

1.58 TFlop/s

0.65 TFlop/s

8.72 TFlop/s

Finally in 2006

10.95 TFlop/s




Phase 0

» Testsystem– 16 2-Wege Knoten (2 * Itanium 2)– Quadrics QsNet II interconnect– 2 TB Storage System

» Installation und Konfigurationder XC Software Umgebung und des Dateisystem Lustre

» Integration des Systems in die Betriebsumgebung

» Implementierung zusätzlicherFunktionen in XC

» Portierung und Optimierung von Applikationen

» Sammeln von Erfahrungen




















Behandlung virenbehafteter E-mails I

Die Reject-Methode

MailTransferAgent A

MailTransferAgent B

Client(Sender)

Client(Empf.)

Von: …

OK

…DATA

550 permanent errorVirenscanner:Virus detektiert

Keine ‘Annahme durch OK’. Stattdessen: Annahmeverweigerung




» Die E-mail wird zwar von MTA A zu MTA B übertragen, aber nicht von MTA B angenommen, sondern lediglichüberprüft

» Es erfolgt keine Löschung einer E-mail

» MTA A erhält den SMTP Fehlercode 550 (permanenter Fehler) mit einemNachrichtentext über den detektiertenVirus

» MTA A entscheidet, wie auf dieseFehlermeldung reagiert wird

– Übliches Vorgehen: eine ‘bounce message’ an den Sender mit einemFehlerbericht

» Sender kann dafür sorgen, dass Virus entfernt und ‘saubere’ E-mail gesendetwird

Behandlung virenbehafteter E-mails II




Behandlung ausgehender E-mails

» In Planung/Test: jede E-mail von der Universität nach ‘draußen’ wird auf Viren untersucht

» Behandlung virenbehafteter E-mails: Reject-Methode

» Ziele:

– Reduktion der ‘abuse’-Fälle– Gefahr verringern, auf ‘black lists’ zu kommen




Änderungen bei den AntiSpam-Maßnahmen

» Ab 01. Juni 2004 zwei Alternativen für die Nutzer:

a. Als Spam erkannte E-mails werden automatisch in einen SPAM-Ordnermit ‘auto expiry’-Funktion verschoben oder sofort gelöscht.

b. Als Spam erkannte E-mails werden in die Inbox ausgeliefert

» Ziel: der ‘E-Müll’ muss auch entsorgt und nicht nur verschoben werden.

» Was muss ein Nutzer für Alternative a) tun?

Ab welcherStufe wird Verschoben?

Wann wird SPAM-Mail gelöscht?

Maximal 84 Tage.Aktivieren

Ohne Aktivierung von a) bis zum 01.06.2004 erfolgt Umstellung auf Alternative b).

Neue Empfehlung

Direktlöschung




Workshop der NAI und des RZs am 26. Mai 2004

» Rechenzentrum, Seminarraum 217, 14:00 Uhr – 17:00 Uhr

» Network Associates International (McAfee)

» Themen rund um Antiviren- und Antispammaßnahmen

» Auch: Lizenzfragen, Automatische Installation, Policy Orchestrator, ….




Firewallsysteme, neue Features

» Verbindung zweier Netze hinter verschiedenen Firewalls über VPN

» Netmeeting

» Verbund von Exchangeservern über Firewalls hinweg




Netzwerksicherheit / Angebote

» Sicherung von Institutsnetzen

– Schutz vor Fremdzugriff auf Clients• Viren / Würmer / Scans

» Stufe 1

– Netzbasierte Sicherheit: Welt / Universitätsnetz

» Stufe 2

– Netzbasierte Sicherheit: Welt + Universitätsnetz / Institutsnetz

» Konzept

– virtuelle Dienste auf wenigen zentralen Komponenten• Schlanke Administration durch RZ

» Administration der Regeln durch IT-Beauftragte

– NWSVS




Netzwerksicherheit / Stufe 1

» Abschottung von Systemen mit privaten IP-Adressen gegen das Internet

» Zugriff aus dem Internet auf dedizierte Systeme

» Keine direkte Infizierung von außen möglich

» Völlig ungeschützt gegen befallene Systeme innerhalb der Universität

» Zugriff von außen über zentralen VPN-Server

– Tunnelendpunkt im Universitätsnetz

» Aufteilung des Namensraums

– DNS-Splitting

» Steuerung der Funktionen über NWSVS und DNSVS





» Abschottung von Instituten gegen das Universitätsnetz und das Internet

» Zugriff aus dem Internet bzw. aus dem Universitätsnetz auf dedizierte Systeme

» Private IP-Adressen erforderlich

» Keine direkte Infizierung von außen möglich

» Völlig ungeschützt gegen befallene Systeme innerhalb dieses Institutsnetzes

» Zugriff von außen über zentrale VPN-Server

– Tunnelendpunkt im Institutsnetz (geplant, Zertifikate)





» Aufteilung des Namensraums

– Lokaler DNS für das Institutsnetz

» Trusted Services

– Gerouteter Zugriff aus dem Institutsnetz auf Ressourcen im Universitätsnetz

• Keine Protokollumsetzung

– Zentrale Angebote• TSM, ADS, Fileserver, Lizenzserver, ...

– Angebote der Einrichtungen• Gemeinsame Projekte mit anderen Einrichtungen

» Steuerung aller Funktionen über NWSVS und DNSVS




Netzwerksicherheit / Umsetzung

» Bisherige Arbeitstitel werden ersetzt

– Phase 3 -> Stufe 1– Phase 5 -> Stufe 2

» NWSVS

– Erweiterung von NATVS– User-Interface zur Definition der Regelwerke– Auswahl von Trusted Services– Angebot von Trusted Services




Netzwerksicherheit Stufe 2

Router

NAT/PAT

VPN-Konzentrator

Router

VLANStufe 2

VLANStufe 1

VLANStufe 2

Router VLANStufe 1

DNS

BACKBONE





Router

NAT/PAT

VPN-Konzentrator

Router

VLANStufe 2

Client

BACKBONE Router

DNSClient

VLANServer

2

1

X





Router

NAT/PAT

VPN-Konzentrator

Router

VLANStufe 2

Client

BACKBONE Router

DNSClient

VLANServer

TrustedServer




















HBFG Antrag zentraler Backup/Archivserver

» HBFG-Antrag zur Ablösung des alten Robotersystems

– Ging über das MWK im November 2003 raus– Genehmigung der DFG erfolgte im März 2004 in vollem Umfang– Seither wartet das RZ auf Kassenanschlag des Ministeriums– Realisierung in zwei Stufen angestrebt: Q2/2004 – Q1/2005– Kapazität in Stufe zwei: mind. 1 PetaByte (bisher ca. 240 TB)

– Auf derzeitigem System praktisch keine Reserven mehr …(deshalb müssen grössere Wünsche leider warten)

– Bitte an alle: Nicht mehr aktuelle Rechner frei geben,keine temporären oder Scratch-Dateien sichern

– Auch überlegen, ob Sicherung von leicht wieder herstellbaren Systemen und Systemdateien nicht unterbleiben kann.




CIP-Pools auf dem Campus (SS/2004 in Betrieb)




CIP-Pools im Campus-Betriebskonzept (SS/2004)

Fakultät/Einrichtung Anzahl AP Raum Nr. Geb. Nr. Jahr

BAU 60 401-402 10.50 2003GEIST 36 S115 11.40 2003WIWI 95 S149-S151, S110 11.40 2003

MACH-STR 22 133 30.41 2003MACH-MKL 80 134 10.23 2003

ITIV 52 115-117 30.10 2003Physik 35 03-07 30.22 2003RZ-1 73 R -110, -111 20.21 2003

RZ-2 79 R -120, -121, -119 20.21 2003Gesamt 532




Poolserver

Windows-DC

Poolraum

Admin konfiguriert einen Client

Client bootet und bekommt die Konfiguration vom Poolserver

Client installiert sich unbeaufsichtigt neu

Client zieht sich restliche Software-Pakete

CIP-Pool Management




Vorteile des CIP-Pool Betriebskonzeptes

» zentrale Benutzererfassung und –sperrung

» zentrales Rechner-Management

– Störungserkennung– Statistiken

» Zugriff auf einheitliche Software

» gleiches Look-and-Feel in allen Pools

» gemeinsames HOME-Verzeichnis




















Pro/E Campuslizenz

» Komplette lizenzierte Produktpalette mit Update-Service – Laufzeit bis 30.11.2006– zu beziehen über Rechenzentrum (Rolf Mayer)– http://www.rz.uni-karlsruhe.de/produkte/4099.php

» Bedingungen– Lizenzen kostenfrei für Mitarbeiter der Universität– Lizenzservernutzung im Rechenzentrum bzw. verteilte Server




Antiviren Software NAI Campuslizenz

» Lizenzierte Produkte Laufzeit bis 31.8.2005 incl. Update-Service– Active VirusScan Suite (SAV)– Total Virus Defense Suite (TVD)– https://rzunika.asknet.de/doc/nai/security_ueberblick.pdf– http://www.networkassociates.com/us/products/mcafee/end_of_life.htm– Die alte Scan Engine 4.5.1 wird bis 30. Juni 2005 unterstützt

» Bezug über– https://rzunika.asknet.de/cgi-bin/product/P12945/

» Bedingungen (neu)– Lizenzen ab 1.12.2003 kostenfrei für Mitglieder der Universität– home use erlaubt, auch für Studierende– Downloadmöglichkeit für Mitglieder der Universität ohne Registrierung– http://www-virwurmfix.rz.uni-karlsruhe.de/– Automatische Umlenkung von erkannt infizierten Rechnern auf eine

spezielle RZ-Downloadseite (in Planung)




RedHat Campuslizenz

» Serverlizenzmodell und Clientlizenzmodell– Laufzeit bis 30.4.2005– Näheres über RZ-Webseiten (demnächst)

» Software Bezug und Updates– Über Proxyserver (demnächst)

» Kosten und Funktion– Server ca. 50 € pro Jahr (RHEL 3 AS bis 8 CPUs und 64 GB)

– FTE Server/Client ca. 7+7 € pro Jahr und Mitarbeiter (RHEL 3 WS bis 2 CPUs)

» Teilnahme– über Rechenzentrum (Reinhard Merz Tel. 6424)

– [email protected]




















» Starke Zunahme der Nutzung der MATLAB-Lizenzen des RZ

» RZ hat z.Zt. 60 Lizenzen für MATLAB sowie für diverse Toolboxen

– Kosten werden derzeit vom Rechenzentrum alleine getragen– Gerechte Umlage schwierig wegen sehr heterogener Nutzung

» Um Kursbetrieb zu garantieren: Zeitweise Reservierung von Lizenzen notwendig

– Dadurch immer häufiger Engpässe bei Lizenzanforderungen

» Zusätzliches Problem können lange interaktive Sitzungen sein

– „Hängende“ Sitzungen - beim Lizenzmanager nicht abgemeldet– Vergessene Sitzungen – MATLAB läuft noch, wird aber nicht benötigt– Hierdurch werden Lizenzen unnötig blockiert– Evtl. notwendiger Neustart des Lizenzmanagers unterbricht andere

Sitzungen

MATLAB-Lizenzen (Problem)




» MATLAB-Sitzungen nicht unnötig lange „leer“ laufen lassen.

» Engpässe melden (P. Weber, -4035), evtl. Lizenzmanager-Neustart

» Freie Alternativen, wenn nicht spezielle MATLAB-Features nötig:– Octave für Linux, Unix, Windows mit Cygwin (http://www.cygwin.com)

http://www.octave.org

– Scilab für Linux, Unix, Windows, Machttp://www.scilab.org

» Bei anhaltenden Problemen, bzw. dauerhaft höherem Bedarf– Sitzungsdauer beschränken?– Lizenzen hinzukaufen (wer?)– Umlage einführen?– Bestehende Institutslizenzen (falls wenig genutzt) allgemein zugänglich

machen?

MATLAB-Lizenzen (mögliche Abhilfen)




Redaktionssystem RedDot // Webserver

» RedDot

– Cluster: Erweiterung der Hardware– Erweiterung der Templates

• Spamsichere E-Mail• Verwaltung zugriffsgeschützter Bereiche und Inhalte

– Neue Funktionen: Translationseditor

» Einweisungen / Schulungen

– 03.06.2004 und 27.07.2004 (Anmeld.: [email protected])

» 3. RedDot-Benutzertreffen 29.07.2004

» Webserver

– Cluster inkl. Loadbalancer

















Documents

Agenda - KIT - SCC · Universität Karlsruhe (TH) Der Prorektor für Struktur und Planung Universitätsrat, 24.03.2004, N. Henze IV-gestützte Verwaltungsdienste Dienste für Lehre,