News

Nächste planmäßige Wartung:

Mittwoch, 4. Dezember 2019


Fachbereich Mathematik und Informatik, IT-Dienst

Dateiserver am Fachbereich

IT-Dienst::ServicesFile - Zusammenfassung

Tabelle der Dienste, Server, Zugangspunkte und Quoten ...
Dienst: Zugriffspunkt Linux Zugriffspunkt Windows/Mac Volume-Größe
Quota help
Backup
home /home/mi/<username> \\mi-home.imp.fu-berlin.de\<username> 16TB 8GB/10GB daily, ZEDAT
storage /storage/mi/<username> \\mi-storage.imp.fu-berlin.de\<username> 50TB 25GB/50GB weekly, ZEDAT
group /group/<groupname> \\mi-group.imp.fu-berlin.de\<groupname> 23TB shared + individuelle Größen 25GB/50GB daily, ZEDAT
buffer /buffer/<groupname>/<orga_structure> \\mi-buffer.imp.fu-berlin.de\<groupname>\<orga_structure> 30TB individuell ALERT! no backup
web /web/<webserver> \\web.imp.fu-berlin.de\<webserver> 2TB individuell daily, ZEDAT
windows kein Zugriff \\akte.imp.fu-berlin.de\<sharename> 10TB individuell daily, ZEDAT

IT-Dienst::ServicesFile - Konzept

Für die Ablage von Daten/Dateien stehen den Mitarbeitenden und Studierenden des Fachbereichs diverse Optionen zur Verfügung. Wichtige Kernpunkte der Dateiablage sind gemäß der IT-Sicherheitsrichtlinie die Verfügbarkeit und Integrität der gespeicherten Daten. Daher sind Daten bevorzugt auf zentralen Systemen zu speichern und zu nutzen. Arbeitsgruppen, die über diesen Service hinausgehende Anforderungen haben (höherer Platzbedarf, umfangreichere oder länger aufzubewahrende Datensicherung usw.), können sich bei der IT-Abteilung über die Möglichkeit der Umsetzung und die entstehenden Kosten informieren und erhalten einen bedarfsgerecht eingerichteten Dateidienst bereitgestellt.

IT-Dienst::ServicesFile - IT-Richtlinie

Ident Inhalt Implementierung
M21 Der unbefugte Zugang zu Geräten und die Benutzung der IT muss verhindert werden. [...]
Zutritt zum Serverraum ist auf wenige Personen beschränkt (IT-Dienst, ZEDV des FB Physik, einige ZEDAT-Mitarbeiter, Hausmeister, Handwerker nur wenn und solange notwendig). Kein unbeaufsichtigter Zutritt für Reinigungspersonal
M26, M27 Alle wichtigen IT-Systeme dürfen nur an eine ausreichend dimensionierte und gegen Überspannungen abgesicherte Stromversorgung angeschlossen werden. Alle IT-Systeme, die wichtige oder unverzichtbare Beiträge zur Aufrechterhaltung eines geordneten Betriebes leisten, sind an eine unterbrechungsfreie Stromversorgung (USV) zur Überbrückung von Spannungsschwankungen anzuschließen.
Der FB implementiert ein komplexes Stromversorgungssystem aus USVs (Netzersatzanlagen) mit Batteriepufferung, redundanten Stromkreisen, Überspannungsschutz u.v.m. Diese Systeme werden regelmäßig durch Fachfirmen gewartet. Im Störfall kann die Infrastruktur bis zu 15 Minuten gestützt werden. Ein softwaregestütztes Abschaltsystem bringt die angeschlossenen Server rechtzeitig in einen lastfreien Zustand.
M28 Die Regeln des vorbeugenden Brandschutzes sind zu beachten und einzuhalten. Insbesondere gilt dies für Räume mit wichtiger Informationstechnik, wie beispielsweise Serverräume. ...
Keine Brandlasten oder Lagerflächen im Serverraum (z.B. Kartons), Brand- und Rauchmelder angeschaltet an die zentrale Brandmeldeanlage. Separate Brandlöschanlage
M29 IT-Systeme, die wichtige oder unverzichtbare Komponenten zur Aufrechterhaltung eines geordneten Betriebes darstellen, sind nicht in direkter Nähe zu oder unter wasserführenden Leitungen aufzustellen. ...
Nur Kühlmittelleitungen im Serverraum, Ständerboden mit einer Wasserkapazität von 50 qm, Wasser- und Lecksensoren, Bodenabläufe
M30 Der Einbau von Klimatisierungsanlagen wird erforderlich, wenn der Luft- und Wärmeaustausch von Server- und Rechnerräumen unzureichend ist bzw. hohe Anforderungen an die Be- und Entfeuchtung eines Raums und an die Schwebstoffbelastung gestellt werden. ...
Redundantes Kühlsystem mit 280KW maximler Kühlleistung in der Aufteilung [KW] (70,70,35,35,35,35), Kaltgang-Einhausung, Luftfilter, Leitwartenanschluss, unabhängiges Termperatursensorsystem mit Monitoring am FB
M25, M9 Fremde Personen, die in gesicherten Räumen mit IT (z. B. Serverräume) Arbeiten auszuführen haben, müssen beaufsichtigt werden. Personen, die nicht unmittelbar zum IT-Bereich zu zählen sind, aber Zugang zu gesicherten IT-Räumen benötigen, müssen über die Notwendigkeit besonderer Vorsicht beim Arbeiten in gesicherten Räumen belehrt werden. Beispielsweise müssen sie darauf hingewiesen werden, dass Stecker nicht einfach aus Steckdosen herausgezogen werden dürfen.
Wartung durch Externe nur an der Hardware und damit nur vor Ort (keine Fernwartung), Einweisung und Begleitung/Beaufsichtigung von Handwerkern/Dienstleistern, die Arbeiten im Serverraum durchführen, durch Mitarbeiter des IT-Dienstes, Serverraum ist von der beauftragten Raumreinigung im Gebäude ausgenommen
M37 Sicherheitsrelevante Updates und Patches müssen, soweit möglich, zeitnah eingepflegt werden. Ausnahmen müssen dokumentiert werden.
zenrale Softwareverteilung und Patchmanagement, monatliche Wartungsintervalle, nur unter Support stehende Betriebssysteme, Personalvertretungsregelungen
M41 Maßnahmen zur Ausfallsicherheit sind entsprechend der jeweiligen Anforderung an die Verfügbarkeit zu ergreifen. IT-Systeme, die zur Aufrechterhaltung eines geordneten Betriebs notwendig sind, müssen durch Ausweichlösungen (redundante Geräteauslegung oder Übernahme durch gleichartige Geräte mit leicht verminderter Leistung) oder Wartungsverträge mit entsprechenden Reaktionszeiten hinreichend verfügbar gehalten werden.
3-5 Jahre Herstellergarantie mit Reparatur vor Ort, redundante Netzteile, Parallelbetrieb alles Softwareinfrastruktursysteme wie DNS, LDAP, jounaled file systems. Trennung von Storage und CPU im SAN uvm.
M55 Die IT-Dienstleister der Freien Universität Berlin sind verpflichtet, ein geeignetes System zur zentralen Identity- und Passwortverwaltung bereit zu stellen. Zur Authentifizierung und Autorisierung müssen alle zugangskontrollierten Systeme das zentral angebotene Identity- und Passwort-Managementsystem nutzen, soweit dies technisch umsetzbar und organisatorisch sinnvoll ist.
Anbindung der Server an und Zugriff von ihnen auf die von FUDIS zentral bereitgestellten FU-Identitätsdaten für Authentisierung und Autorisierung (Umstellung von Fachbereichs- auf FU-Accounts wurde 2009 vollzogen); Windows: Anbindung ans Active Directory der FU Berlin
M61 Je nach den Möglichkeiten des Betriebssystems sind alle Zugangsversuche, sowohl die erfolgreichen als auch die erfolglosen, automatisch zu protokollieren. Das Ändern wichtiger Systemparameter und auch das Herunterfahren bzw. das Hochfahren des Systems sollten ebenfalls protokolliert werden.
Logins (sowohl erfolgreiche als auch erfolglose Versuche), Shutdowns und Reboots werden automatisch sowohl auf dem jeweiligen Server als auch in Kopie auf einem zentralen Log-Host protokolliert. Zugriff auf diese Systemprotokolle haben nur die Mitarbeiter des IT-Dienstes. Das Abschalten/der Ausfall zentraler Server und Dienste wird von Monitoring-Werkzeugen (Nagios/Icinga) detektiert und die jeweils dafür konfigurierte Alarmierung veranlasst, daher erfolgt die Auswertung der Protokolle nur anlassbezogen (d.h. bei der Fehlersuche oder bei Sicherheitsvorfällen)
M63 Es muss geregelt und sichergestellt sein, dass die Administration des lokalen Netzwerks nur von dem dafür vorgesehenen Personal durchgeführt wird. Aktive und passive Netzkomponenten sowie Server sind vor dem Zugriff Unbefugter zu schützen. [...]
Netztrennung über Firewalls in Management-Netz, Server-Netz, Netz für Mitarbeiter des IT-Dienstes, Wartungszugriff auf Server und Netzkomponenten nur aus den dafür vorgesehenen Sub-Netzen, Netzwerkmanagement am FB MI durch eine Teilmenge der Mitarbeiter des IT-Dienstes in Abstimmung mit der AG Netze der ZEDAT
M68, M70 Datensicherung, Konsistenzsicherung der Backups
Beschreibung der Datensicherung auf unserer öff. Wiki-Seite: ItServices#Backup_und_Archiv, Beschreibung der Standard-Datensicherung durch die ZEDAT unter http://www.zedat.fu-berlin.de/Backup/Backup-Details, Sicherungsintervalle und Art siehe entsprecher Absatz im Dokument, Überwachung der Backupjobs durch E-Mailsignalisierung, Monitoring, Restorestichproben und reale Restores nach Benutzeranfragen. Ein Komplett-Restore wird aufgrund der Größe/Dauer nicht regelmäßig getestet, wurde aber anlässlich der Dateiserver-Umbauten Anfang September 2013 für einen der - damals noch mehreren - Homeserver durchgeführt (Dauer: ca. 30 Stunden)
M72 Die Sicherungsdatenträger sind getrennt vom jeweiligen Rechner aufzubewahren.
Backupstandort ist in der ZEDAT, Pflege und Konsistenzerhalt der Daten erfolgt durch Spezialisten in der ZEDAT.

IT-Dienst::ServicesFile - Dateiablage-Kategorien

Wir unterscheiden mehrere konzeptionell unterschiedliche Dateiablage-Kategorien:
  1. Der eigentliche Heimatbereich und somit persönliche Dateiablagebereich: Hier werden Konfigurationsdaten der Unixprogramme (Mail, Browser ...) und Dokumente (Textdateien, Dissertation, aktuelle Forschungsarbeiten ...) gespeichert. Die Änderungsrate ist mittel bis hoch und die Daten werden täglich benötigt. Private Daten werden geduldet, sollen aber in einem eindeutig gekennzeichneten Unterbereich liegen, wie z.B. /home/mi/<username>/private .
  2. Der Storage-Bereich : Hier werden erweiterte persönliche Daten gespeichert, die den normalen Umfang des Heimatbereichs sprengen. Zum Beispiel liegen hier Berechnungsdaten, die mehrere Gigabytes umfassen, Laufzeitprotokolle von Berechnungen und/oder Logfiles eigener Programme. Auch finden sich hier Filme, die den Flug eines selbst entwickelten Roboters zeigen.
  3. Group-Bereich : Hier werden alle Arbeitsgruppen-relevanten Daten gespeichert. Das sind z.B. gemeinsame Forschungsprojekte, Dokumente einer Arbeitsgruppe, ein gemeinsam von Sekretariat und AG-Leitung genutzer Bereich usw. Hier können auch Massendaten von Genomsequenzierungen als Teile ihrer Abarbeitungsketten gespeichert werden. Dieser Bereich wird auf Anforderung der Arbeitsgruppen-Leitung oder einer Projektleiterin angelegt und vom IT-Dienst konfiguriert. Hier sind auch auf Gruppenebene individuelle Absprachen in Bezug auf Quota, Dateisystemgröße oder Geschwindigkeit möglich.
  4. Puffer-Bereich : Hier handelt es sich um einen den Arbeitsgruppen zugeordneten Speicherbereich, der - anders als der Gruppenbereich - grundsätzlich nicht gesichert wird. Daten, die hier liegen, sollten daher wenigstens an einem weiteren Ort existieren. Bevorzugt werden hier Backups von Laptops oder anderen Mobilgeräten gesichert, die sonst im Falle eines Datenverlustes nicht einfach zu rekonstruieren wären. Beispiele:
    • Backupbereich für Apple MacBooks: IT-Dienst erteilt 100GB Backup-Puffer pro Gerät zum Zugriff via scp , rsync oder SMB
    • Backupbereich für Steuerungsrechner der Spirit of Berlin (Fahrzeugsteuerung)
  5. Web-Bereich :
    siehe auch
  6. Windows-Dateiserver : Der Bereich Windows Dateiserver stellt einen unter Windows betriebenen gemeinsamen Dateiserver für persönliche Heimatbereiche und Gruppenablagen bereit. Die Systeme werden ausschließlich individuell eingerichtet und sind somit in allen Kategorien individuell zugeschnitten.

IT-Dienst::ServicesFile - Zugriff auf Dateibereiche

Auf zentral verwalteten Linux-Rechnern des Fachbereichs können Sie direkt per NFS auf die Dateibereiche zugreifen. Den konkreten Zugriffspunkt finden Sie in der Tabelle oben auf dieser Seite. Der Zugriff über Windows, Linux, Apple/MAC oder generell über das CIF/CIFS2-Protokoll ist aus dem gesamten Campus-Netz der FU Berlin möglich. Dies schließt auch den Zugriff aus dem VPN der ZEDAT und aus dem EDUROAM der FU ein.

IT-Dienst::ServicesFile - Zugriff auf Dateibereiche - SMB/CIFS

Authentifizierung mit FU-accountname und Passwort
Betriebssystem Pfad bzw. Kommando
Linux nautilus/'Mit Server verbinden'
smb://FU-BERLIN;accountname@mi-home.imp.fu-berlin.de/accountname
Mac OS X 'Gehe zu' -> 'Mit Server verbinden'
smb://FU-BERLIN;accountname@mi-home.imp.fu-berlin.de/accountname
Windows \\mi-home.imp.fu-berlin.de\Accountname
Windows 10 FU-BERLIN\Accountname

Falls Sie nicht auf den Home-Bereich zugreifen wollen sondern auf einen der Bereiche storage, group, buffer oder web , dann ersetzen Sie bitte mi-home.imp.fu-berlin.de in den obigen Aufrufen entsprechend der folgenden Tabelle:

Dienst: Server
home mi-home.imp.fu-berlin.de
storage mi-storage.imp.fu-berlin.de
group mi-group.imp.fu-berlin.de
buffer mi-buffer.imp.fu-berlin.de
web web.imp.fu-berlin.de
windows akte.imp.fu-berlin.de

IT-Dienst::ServicesFile - Zugriffsberechtigungen der Dateibereiche

Die Standard-Zugriffsberechtigungen, mit denen Nutzer-Heimatverzeichnisse angelegt werden, und die Gründe dafür sind auf einer separaten Wiki-Seite beschrieben.

IT-Dienst::ServicesFile - Quota/Speicherplatzbeschränkung

Der Speicherplatz pro Bereich, Dienst oder User ist generell limitiert. Dies geschieht, um den zur Verfügung stehenden Speicherplatz möglichst fair auf alle Benutzer zu verteilen. Gleichzeitig verhindert eine Speicherplatzbegrenzung aber auch, dass Prozesse ohne Wissen eines Benutzers beliebig viele Daten schreiben können (und damit den ganzen Server lahmlegen würden).

Sollte der bereitgestellte Speicherplatz nicht ausreichen, so wenden Sie sich bitte mit Begründung an den IT-Support. Studierende lassen ihren Speicherplatz bitte über ihre Dozentin oder ihren Dozenten erhöhen.
Dienst: Volume-Größe Quota
home 16TB 8GB/10GB
storage 100TB 25GB/50GB
group 16TB shared + individuelle Größen 25GB/50GB
buffer 30TB individuell
web 2TB individuell
windows individuell individuell

IT-Dienst::ServicesFile - Datensicherung

Die Datensicherung erfolgt direkt durch die ZEDAT über den zentralen Backupservice der FU Berlin. Dienste wie storage oder der Clusterbereich werden direkt vom IT-Dienst auf interne Pufferspeicher synchronisiert. Von den Bereichen home und group gibt es regelmäßige Kopien direkt am Fachbereich, um im Desaster-Fall (Ausfall des Speichersystems) schneller die Backups auf differentieller Basis zurücklesen zu können.

Hier zusammengefasst die Backupmethodik der einzelnen Dienste/Speicherbereiche:
Dienst: Volumegröße Quota Backup
home 16TB 8GB/10GB tägliche, inkrementelle Sicherung durch die ZEDAT, alle sechs Wochen eine Voll-Sicherung
storage 100TB 25GB/50GB wöchentlich inkrementelle Sicherung durch die ZEDAT, alle sechs Wochen eine Voll-Sicherung  
group 16TB shared + individuelle Größen 25GB/50GB tägliche, inkrementelle Sicherung durch die ZEDAT, alle sechs Wochen eine Voll-Sicherung
buffer 30TB individuell ALERT! no backup
web 2TB 90MB/100MB tägliche, inkrementelle Sicherung durch die ZEDAT, alle sechs Wochen eine Voll-Sicherung
windows individuell individuell tägliche, inkrementelle Sicherung durch die ZEDAT, alle sechs Wochen eine Voll-Sicherung

Soll ein Ordner aus der Sicherung ausgenommen werden, so kann man dies trotz Speicherung auf einem Bereich mit regelmäßiger Sicherung tun, indem man einen Ordner NO_BACKUP anlegt und dort die nicht zu sichernden Daten ablegt.

Keine automatische Archivierung

Es findet keine automatische Archivierung von Daten in Heimatbereichen statt! Die Archivierung dienstlicher Daten kann bei der IT-Abteilung angefordert werden. Alternativ muss diese selbst vorgenommen werden. Mehr zur Archivierung erfahren Sie hier.

IT-Dienst::ServicesFile - FAQ

  • F: Wo finde ich jetzt was?
    A: Alle homes liegen nun auf einem Server: mi-home.imp.fu-berlin.de . Sehen Sie sich bitte auf dieser Seite den Absatz Services - Zusammenfassung an
  • F: Wo ist mein RAID geblieben?
    A: Unter /storage/mi/<username> Sie könnne sich diesen Links selbst wieder anlegen mit
    ln -s /storage/mi/$USER /home/mi/$USER/storage
    .
  • F: Ist es wirklich so, dass die neuen Speicherbereiche "home", "storage" und "buffer" von allen Rechnern aus sichtbar sind? Auch von den Clustern "Adagio"/"Allegro" aus? Und ersetzt das die lokalen Platten, die wir vorher dort benutzt haben, oder ist das ein zusätzliches Angebot?
    A: Cluster 'adagio' und seine Knoten verhalten sich wie jeder andere Arbeitsplatzrechner, d.h. die o.g. Speicherbereiche sind von dort aus sicht- und ansprechbar. Gleiches gilt für den Cluster- Kopf 'allegro'. Von den Knoten des allegro-Clusters aus sind die Speicherbereiche nicht ansprechbar.
  • F: Kann man keine ACLs ( access control lists ) mehr im Heimatverzeichnis einrichten? Das ist sicher nicht beabsichtigt, oder?
    A: Doch doch, das geht weiterhin! Nur das Tool zum Setzen/Auslesen der ACLs ist jetzt ein anderes: Statt setfacl / getfacl muss jetzt nfs4_setfacl bzw. nfs4_getfacl verwendet werden, da die Netzlaufwerke seit der Umstellung mit NFS Version 4 gemountet werden und diese Version ein neues ACL-Modell mit sich bringt (siehe man nfs4_acl ).
  • F: Ich habe in den letzten Tagen mehrere Mails mit dem Hinweis erhalten, dass mein Home-Verzeichnis zu voll ist. Dabei habe ich dort schon nach Kräften aufgeräumt (gelöscht), es wird aber immer noch derselbe von mir belegte Platz angezeigt wie vorher. Woran liegt das? Wie lösche ich wirksam, so dass wieder Platz frei wird?
    A: Es gibt auf dem Homeserver analog zum "Papierkorb" auf der Schreibtisch-Oberfläche gängiger Betriebssysteme einen ausgezeichneten Ordner "Recycle.Bin" in vielen Heimatverzeichnis. Der wird vom Samba-Server auf dem betreffenden Dateiserver automatisch dort angelegt, wenn über das smb-Protokoll auf das Heimatverzeichnis zugegriffen wird und dort Dateien oder Verzeichnisse gelöscht werden. In diesem "Papierkorb" landen dann (wie bei der Schreibtisch-Metapher auf dem Desktop) die vom jeweiligen Nutzer/der jeweiligen Nutzerin gelöschten Dateien (und belegen erst einmal weiterhin Platz auf dem Server). Dieser Platz auf dem Server wird erst dann wirklich freigegeben, wenn die Dateien, die schon in diesem "Papierkorb" liegen, endgültig gelöscht werden (wenn also der Papierkorb sozusagen "ausgeleert" wird, um in dem entsprechenden Bild zu bleiben). Dieses "Ausleeren" geschieht nicht automatisch, sondern es muss von der Inhaberin des jeweiligen Heimatverzeichnisses selbst vorgenommen werden (via Kommandozeile geht das z.B. mit rm -r ~/Recycle.Bin/).
Topic revision: r35 - 16 May 2017, IngmarCamphausen
 
  • Printable version of this topic (p) Printable version of this topic (p)