• bwCloud SCOPE - Virtualisierte Server- und Anwendungsinfrastruktur

  • Der Landesdienst bwCloud stellt virtualisierte Server- und Anwendungsinfrastrukturen als Cloud-Service für Mitarbeiter, Wissenschaftler und Studierende der Universitäten und Hochschulen in Baden-Württemberg bereit. bwCloud kann pro Betriebsstandort über 1.000 virtuelle Maschinen mit individuellen Betriebssystemen und Software betreiben. Der Dienst läuft auf dedizierten Serversystemen an den vier Betriebsstandorten Mannheim, Ulm, Freiburg und Karlsruhe.

Beschreibung

Die Registrierung für bwCloud ist am Karlsruher Institut für Technologie (KIT) seit 2019 generell in den beiden Berechtigungsstufen bwCloud-Basic und bwCloud-Extended möglich. Eine dieser beiden Berechtigungen muss vom ITB der OE in der Gruppenverwaltung zugewiesen werden, bevor eine Anmeldung möglich ist. Benutzer können dann ihre eigenen virtuellen Maschinen (VM) betreiben und darin beliebige eigene Anwendungen und Dienste nutzen.

Eingebundene Dienste

Mit der Berechtigung bwCloud-Basic erhalten Nutzer ein Kontingent zum Betrieb einer einfachen virtuellen Maschine mit 1 vCPU, 1 GB RAM und 50 GB Plattenplatz sowie eine feste IPv4- und IPv6-Adresse aus dem BelWue-Netzgebiet. Die Laufzeit der virtuellen Maschinen in der Basic-Nutzung ist auf 6 Monate begrenzt.

Mit dem Entitlement bwCloud-Extended werden 8 Instanzen, 16 vCPUs, 16 Gigabyte RAM, 128 Gigabyte Festplattenplatz und zwei IPv4- sowie IPv6-Adressen angebunden. Damit ist es möglich, auch größere und mehrere virtuelle Maschinen zu starten und ohne Zeitlimit zu betreiben.

Sollten die Quota-Einstellungen nicht ausreichen, kann jederzeit über das Ticketsystem eine Erhöhung bei der bwCloud-Betriebsgruppe beantragt werden.

Darüber hinaus können die Ressourcen in eigenen Benutzergruppen geteilt und verwaltet werden. So legt das bwCloud-Betriebsteam gerne eigene Gruppen mit höheren Nutzungsgrenzen für einzelne Arbeitsbereiche sowie Instituts- oder Studentengruppen an (siehe: https://www.bw-cloud.org/de/faq/gruppen und https://bw-cloud.org/q/t).

Über das Support-Portal Baden-Württemberg(bwSupport-Portal) erhalten die Nutzerinnen und Nutzer Unterstützung durch den lokalen Helpdesk ihrer Heimateinrichtung.

Nicht enthaltene Dienstleistungen

Das SCC vermittelt kein Know-how für das Einrichten und Betreiben von VMs und Anwendungen in der bwCloud. Der Support umfasst derzeit nur die Einrichtung von Zugängen und die Verwaltung von Nutzungskontingenten.

Virtuelle Maschinen oder Server mit Microsoft Windows als Betriebssystem dürfen von Nutzern in der bwCloud nicht verwendet werden. Bitte melden Sie entsprechende Anforderungen per Ticket im bwSupport-Portal. Für Anwender aus dem KIT beachten Sie bitte auch die "FAQ - Windows VM" am Ende dieser Seite.

Organisatorische Anforderungen

Die Beschreibungen der Registrierung und Nutzung sowie des Leistungsumfangs finden Sie unter https://www.bw-cloud.org und www.alwr-bw.de/dienste-der-beteiligten-einrichtungen/bwcloud/.

Zur erstmaligen Registrierung des Dienstes muss sich der Nutzer über "bwIDM via OpenID Connect" unter https://portal.bw-cloud.org anmelden und den Nutzungsbedingungen zustimmen.

Der Zugriff auf den Dienst erfolgt dann über die Weboberfläche https://portal.bw-cloud.org unter "bwIDM via OpenID Connect" durch einen Klick auf "Anmelden". Sie wählen dann Ihre Heimatorganisation aus und authentifizieren sich mit Ihrer Kennung oder Ihrem Hochschul-Login.

Beschäftigte und Studierende der baden-württembergischen Universitäten und Hochschulen können diesen Dienst derzeit kostenlos nutzen und erhalten jeweils ein eigenes Kontingent.

Es ist geplant, die Kostenpflichtigkeit einzuführen. Alle Nutzer werden rechtzeitig eine Benachrichtigung erhalten, um sich auf die Kosten einzustellen bzw. ihren Ressourcenverbrauch entsprechend anzupassen. Das Preismodell wird für die tatsächlich genutzten Ressourcen (Kontingent) berechnet. Die Preise hängen von der gewählten Instanzgröße und dem Speicherverbrauch ab. Die genauen Werte stehen noch nicht fest, werden aber rechtzeitig vor dem Start bekannt gegeben.

Geplant sind auch eine eigene Kategorie und Preise für Festplattenspeicher, der nicht zu Systempartitionen gehört, so dass es möglich sein wird, unabhängig von den Preisen für virtuelle Maschinen bwCloud-Speicherplatz für größere Datenmengen zu nutzen.

 

Weitere Hinweise

  • Jede VM erhält eine statische IP-Adresse aus dem Netzwerk: 193.196.36.0/22 und ist über DNS unter der Adresse ID.ka.bw-cloud-instance.org erreichbar. "ID" entspricht der vom Cloud-System vergebenen ID für die Instanz.
  • Aus sicherheitsgründen sind Verbindungen zu den VMs über einzelne Ports (z.B. UDP/TCP Port 111) generell gesperrt. Details stehen unter www.bw-cloud.org - "Informatione zu den Netzen der bwCloud Regionen".
  • Die IP-Adressen der VMs gehören zum öffentlichen Teil des BelWue-Netzes und liegen damit außerhalb des KIT-Netzes. Interne Dienste im KIT-Netz können daher zunächst nicht mit einer VM in der bwCloud genutzt werden. Mehr Informationen dazu finden Sie in den unten stehenden FAQ.
  • Mitarbeiter und Studierende der Universitäten und Hochschulen in Baden-Württemberg können diesen Dienst nutzen und erhalten jeweils ein bestimmtes Speicherkontingent. Zusätzliche Speicherkontingente können über das bwSupport-Portal angefordert werden.
  • Standardmäßig ist eine neue virtuelle Maschine in der bwCloud zunächst nur über SSH(Port 22) von außen erreichbar. Alle anderen Ports sind geschlossen, d.h. die VM lehnt Verbindungen auf diesen Ports ab. Soll z.B. ein Webserver über HTTPS erreichbar sein, muss der entsprechende Port(Port 443) in der Sicherheitsgruppe geöffnet werden. Die folgende Schritt-für-Schritt-Anleitung erklärt im Detail, wie Sie einen Port über das Dashboard öffnen:
    • Melden Sie sich in der bwCloud an. Rufen Sie dazu das Dashboard auf und geben Sie Ihre Anmeldedaten ein
      • Klicken Sie im linken Menü auf Netzwerk und auf den Unterpunkt Sicherheitsgruppen. Sie erhalten eine Übersicht über die aktuell definierten Sicherheitsgruppen. Die Standardgruppe heißt default.
      • Klicken Sie in der entsprechenden Zeile auf die Schaltfläche Manage Rules. Es öffnet sich eine Übersicht über alle für diese Sicherheitsgruppe definierten Regeln
      • Wenn Sie eine neue Regel hinzufügen möchten, klicken Sie auf die Schaltfläche Regel hinzufügen. Es öffnet sich ein Dialog, in dem Sie die neue Regel beschreiben können.
      • Wenn Sie z.B. den Zugriff über HTTPS erlauben wollen, wählen Sie im Dropdown-Menü des ersten Punktes ("Regel") HTTPS aus.
      • Soll der Webserver von überall von außen erreichbar sein, geben Sie im Feld "CIDR" den Wert 0.0.0.0/0 ein. Hier können Sie den Zugriff auf ein bestimmtes Netzwerksegment beschränken.
      • Klicken Sie anschließend auf Hinzufügen. Die Übersicht wird neu geladen und die neue Regel erscheint in der Liste.
      • Soll ein individueller Port geöffnet werden, wählen Sie im Dialog unter "Regel" die Option Custom TCP Rule.
      • Im Feld "Port" können Sie die entsprechende Portnummer eingeben.
      • Im Feld "CIDR" können Sie den Zugriff auf einzelne Netzwerksegmente einstellen. Wenn Sie eine IPv6-Regel erstellen wollen, geben Sie hier das Netzwerksegment in IPv6-Notation an ("0.0.0.0/0" wird so zu "::/0").
      • Die Richtung kann im Feld "Richtung" angegeben werden: Ingress = eingehende Verbindungen, Egress = ausgehende Verbindungen.
      • Klicken Sie auf Hinzufügen und die neue Regel wird erstellt.
      • Sobald sich die Regeln einer Sicherheitsgruppe ändern, werden diese Änderungen für alle mit ihr verbundenen Instanzen wirksam. Die virtuellen Maschinen müssen also nicht neu gebootet werden!

 

FAQ - allgemein

Ich benötige mehr als 32 GB RAM in meiner virtuellen Maschine. Sind Instanzen mit mehr als 32 GB RAM möglich?

Nein. Derzeit ist der maximal verfügbare Arbeitsspeicher auf 32 GB pro VM begrenzt.

Nach dem Start einer neuen VM möchte ich über http, https oder einen anderen Port (z.B. Port 5900 für VNC) auf diese zugreifen. Die Verbindung funktioniert jedoch nicht. Was kann der Grund dafür sein?
Sicherheitsgruppen mit Sicherheitsregeln werden in bwCloud verwendet, um Firewalls auf Instanzebene zu implementieren, die zur Laufzeit einer Instanz angepasst werden können. Ohne Anpassung durch den Benutzer wird nach dem Start der VM der eingehende Verkehr nur über Port 22 (SSH) durch die Sicherheitsgruppe "Default" zugelassen. Möchte der Anwender über andere Ports auf die VM zugreifen, muss er dies als Regel in einer Sicherheitsgruppe einstellen und der VM die entsprechende Sicherheitsgruppe zuweisen. Jede Sicherheitsregel kann so konfiguriert werden, dass sie aus Sicht der VM entweder Ingress oder Egress ist. Ausgehende Sicherheitsregeln erlauben zusätzlich den Empfang der entsprechenden Antwortpakete, es handelt sich um eine Stateful Firewall. Als Quelle/Ziel können sowohl Adressbereiche (CIDR) als auch Sicherheitsgruppen angegeben werden. Unabhängig davon können die Firewall-Mechanismen innerhalb der VM weiter genutzt werden (z.B. Windows Firewall, ufw, firewalld, iptables...). Wenn die Verbindung trotz Freigabe in einer Sicherheitsgruppe nicht funktioniert, ist zu prüfen, ob durch die Installationen in der VM eine eigene Firewall im Betriebssystem der VM läuft, die den Zugriff blockiert. Gegebenenfalls muss auch dort der entsprechende Port freigegeben werden.
Wie kann ich von einem virtuellen Server in der bwCloud auf interne Server oder Dienste im KIT-Netzwerk zugreifen?
VMs der bwCloud befinden sich im BelWue-Netzwerk und damit außerhalb des KIT-Netzwerks. Der Zugriff auf interne Ressourcen ist derzeit nur über VPN möglich. Wie man eine VM der bwCloud über VPN an das interne KIT-Netz anbindet, ist in den Erläuterungstexten zu VPN am KIT beschrieben.

 

FAQ - Windows-VM

Ist der Betrieb von VMs mit Windows möglich?
Der Betrieb von VMs mit Windows-Betriebssystem in der bwCloud ist aufwändig und nur für KIT-Nutzer möglich. Zu diesem Zweck können KIT-Nutzer der bwCloud ein intern bereitgestelltes Windows-Image in der bwCloud starten. Der Zugriff auf dieses Image ist für Nutzer auf Anfrage über das Ticketsystem im bwSupport-Portal möglich.
Was ist beim erstmaligen Start von Windows zu beachten?
Vergeben Sie ein sicheres Passwort über die Webkonsole der Instanz im bwCloud-Portal. Achten Sie darauf, dass Sie die VM nach der jeweiligen Arbeit daran immer sperren (über einen Klick auf "Send StrAltEntf" oben rechts im Konsolenfenster und anschließender Auswahl von "Lock"). Installieren Sie alle Windows-Updates auf Ihrem Server über Windows Update, bevor Sie mit ihm arbeiten. Wenn der Festplattenspeicherplatz auf C:\ dafür nicht ausreicht, lesen Sie den nächsten FAQ-Punkt.
Nach dem Start von Windows beträgt meine Systemfestplatte nur noch 15 GB. Wie kann ich den Festplattenspeicher vergrößern, um mehr Software und Windows-Updates zu installieren?
Um den verbleibenden Speicherplatz auf der Systemfestplatte freizugeben, klicken Sie mit der rechten Maustaste auf die Windows-Startschaltfläche, um die Datenträgerverwaltung zu öffnen. Klicken Sie mit der rechten Maustaste auf das Volume C: und wählen Sie "Volume erweitern". Dann können Sie das Volume C: auf die maximale Größe erweitern. Nach einem Klick auf "Weiter" steht Ihnen die gesamte Volume-Größe des jeweiligen Flavors als C:-Systempartition in der Instanz zur Verfügung.
Wie aktiviere ich mein gestartetes Windows als bwCloud-Nutzer am KIT?
Derzeit ist die Aktivierung von Windows-Server-VMs über einen VPN-Zugang für KIT-Nutzer möglich. Installieren Sie den OpenVPN-Client für Windows 10 in Ihrer Windows-VM wie unter Remote Access (VPN) beschrieben. Konfigurieren Sie das VPN wie in dieser Anleitung beschrieben und verbinden Sie Ihre VM über VPN. Anschließend können Sie das Windows über den internen KMS-Dienst aktivieren. Folgen Sie dazu der Anleitung zur manuellen Aktivierung für Windows unter Windows Key Management Service (KMS).