imported>Uli: /* Hardware */ Prio

2013-02-19T16:44:53Z

Hardware: Prio

Neue Seite

= Beschaffung Fraktionsserver =
== Das Konzept ==

* 2-Tier-Architektur
* Wir haben ein Rack im Keller des Landtages mit ca. 20HE und USV
* Fileserver+Anwendungsserver kommen in das Rack in den Keller
* Backupserver kommt in die Fraktionsräume in den dritten Stock
** Räumliche Trennung wegen Katastrophenvorsorge Überflutung/Feuer etc.
* Netzwerkverbindung zwischen Rack im Keller und Fraktionsräumen im dritten Stock ist Glasfaser Der Landtag stellt Konverter auf 100MBit bereit. Nach Möglichkeit soll 1Gigabit durch die Leitung gehen.

* Von jeder Softwarekonfiguration wird eine umfassende Dokumentation erwartet (A)
** Dokumentation und Konfiguration muss unter CC-0 Lizenz stehen ( http://creativecommons.org/publicdomain/zero/1.0/ ) (A)
** Dokumentation soll als Wiki erstellt werden. (B) (15)
** Mithilfe der Dokumentation muss die gesamte Konfiguration für versiertes Fachpersonal wiederherstellbar sein. (B) (35)

== Komponenten ==

Für alle Komponenten:
* SLA: Hardwaretausch innerhalb eines Werktages über 3 Jahre, Option auf Verlängerung auf 5 Jahre (A)
* Alle Treiber müssen in aktuellen Linux-Kerneln enthalten sein, alternativ: OpenSource verfügbare und aktiv maintainte Treiber. (A)
* Alle Server müssen verschlüsselt werden können (B) (40)

* Netzwerkanbindung der Komponenten muss über eine Switch-Infrastruktur erfolgen (A)
** Die Switch-Infrastruktur muss redundant sein (B) (10)

=== USV für Backup-Server ===
* VFI (A)
* 15 Minuten Puffer für Backup-Server (A)

=== Applikationsserver (2x) ===
* Debian basiertes Betriebssystem (64bit) (A)
* Virtualisierung: KVM mit libvirt (A)
* App-Server müssen Ressourcen für weitere virtuelle Maschinen außer den angegebenen Diensten bereithalten (A)

==== Hardware ====

* RAM: >= 64 GB (A)
** Aufrüstoption auf 96 GB (A)
* CPU: >= 2GhZ (A)
** AES-NI Unterstützung (A)
** >= 6 Kerne (A)
** >= 15MB L3-Cache (A)
* USV-Unterstützung des Systems (A)
* Netzwerkanbindung: Gigabit oder schneller (A)
** Netzwerkinterface für Remotewartung (B) (10)
* Redundante Netzteile (A)

=== iSCSI / Schnelles Storage (für virtuelle Maschinen) ===

==== Hardware ====

* RAM: >= 32 GB (A)
* CPU: >= 2GhZ (A)
** AES-NI Unterstützung (A)
** >= 4 Kerne (B)
*** 5-6 Kerne: (10)
*** 7-8 Kerne: (20)
** >= 6MB L3-Cache (B)
** 6-8MB (5)
** >8MB (10)
* USV-Unterstützung des Systems (A)
* Netzwerkanbindung: Gigabit oder schneller (A)
** Netzwerkinterface für Remotewartung (B) (10)
* Redundante Netzteile (A)
* Muss für die Systemdaten der virtuellen Maschinen verwendet werden und dementsprechend genug Speicherplatz haben (A)
* Speicherplatzgröße: (B)
** 1TB - 1.5TB (0)
** 1.5TB - 2TB (5)
** 2TB - 3TB (10)
** iSCSI(A)

=== NAS / Langsames Storage (für Multimediadaten / Nutzdaten) ===
* Fileserver als dedizierte Maschine (NAS) (A)
* Authentifikation via LDAP (A)
* Freigaben über SMB (A)
* NFS4 (B) (70)
* SFTP-Zugang (ohne Shell-Zugang für normale Anwender) (A)

==== Hardware ====

* 18 TB Nettospeicher (A)
** Mit Downtime < 1 Stunde ohne Umkopieren über externe Datenträger erweiterbar (B) (25)
** Mindestens 2 Platten Redundanz (A)
* Redundante Netzteile (A)
* Netzwerkinterface für Remotewartung (B) (10)
* USV-Unterstützung (A)
* Verschlüsselung für Daten muss möglich sein (evtl. mit entsprechender CPU-Erweiterung wie AES-NI) (B) (10)
* Lese-/Schreibraten und Netzwerkanbindung (mindestens Gigabit) müssen 20 gleichzeitige Nutzer zulassen (A)
* Groß dimensionierter Cache (B)
3-6MB: (5)
>6MB: (10)

=== Backup-Server ===

==== Hardware ====

* RAM: >= 32 GB (A)
* CPU: >= 2GhZ (A)
** AES-NI Unterstützung (A)
** >= 4 Kerne (A)
** >= 6MB L3-Cache (A)
* Nettospeicher: >= 18 TB (A)
* RAID 6 Hardware-Controller (A)
** Mindestens 2 Platten Redundanz (A)
* USV-Unterstützung des Systems (A)
* Erweiterung des Speicherplatzes
** Speicherplatz ist ohne Umkopieren über externe Datenträger erweiterbar (A)
** Mögliche Lösungen könnten sein: neue Shelves nachstecken
** Erweiterung muss mit < 1 Stunde Downtime möglich sein (B) (10)
* Netzwerkanbindung
** >= 100MBit für Daten für Backups (A)
*** Nach Möglichkeit >= Gigabit von Fibre (B) (20)
** Netzwerkinterface für Remotewartung (A)
* Redundante Netzteile (A)

==== Software ====

* Deduplikation (B) (20)
* Wiederherstellen von einzelnen Dateien muss einfach möglich sein (B) (50)
* Komplettwiederherstllung einzelner Systeme muss einfach möglich sein (A)
* Steuerung per Webinterface (B) (15)

== Dienste ==

=== Allgemeine Anforderung für alle Dienste ===
* Alle Dienste sollten wenn irgendwie möglich mithilfe von OpenSource-Software unter freier Lizenz realisiert werden (A)
* Wenn möglich Authentifikation über LDAP (A)
* Debian basiertes 64bit-Betriebssystem mit langem Update-Support (>= 3 Jahre) (A)
** Anwendungen in einer 64bit-Version (A)
* Backup (A)
** Image der virtuellen Maschinen muss regelmäßig in größeren Abständen auf Backup-Server gespeichert werden (A)
** Tägliche Backups der für die vollständige Wiederherstellung des Systems notwendigen Daten (z.B. Konfigurationsdateien, Nutzdaten) (A)
* Alle Dienste sind potentiell aus dem Internet erreichbar und sind dementsprechend abzusichern. (A)
** Wenn Absicherung nicht möglich muss eine Firewall existieren, die Zugriff nur aus dem LAN erlaubt (A)
* Pro Dienst wird eine eigene virtuelle Maschine aufgesetzt.(A)
* Zugriff auf alle Dienste muss verschlüsselt werden (Ausnahmen explizit aufgeführt). (A)
* Automatische Updates aller Systeme und Dienste (A)
* Daten, die langfristig > 500 MB groß werden, sollen nicht auf der virtuellen Maschine sondern auf dem NAS gespeichert werden. (A)
* Datenschutzkonforme Logdateien (Keine speicherung von IP-Adressen: https://www.datenschutzzentrum.de/ip-adressen/ ) (A)
* Fehlermeldungen, Cronjob-Ausgaben etc. müssen per Mail an eine konfigurierbare Admin-Mailadresse gesendet werden (A)

==== Monitoring ====
* Alle Dienste müssen auf Verfügbarkeit gemonitored werden (A)
* Alle Dienste müssen mit einfachen Mitteln auf Funktion gemonitored werden. (A)
* Grundlegende Systemparameter (zwingend: freier Festplattenspeicher pro Partition und pro Platte, CPU Last, S.M.A.R.T. für alle physikalischen Platten, Netzwerklast, RAM-Auslastung) müssen gemonitored werden. (A)
* Monitoring erfolgt über ein externes System. Dies kann entweder als Dienstleistung durch einen externen Anbieter erfolgen (bitte Angebot beilegen) oder als eigenes, physikalisch getrenntes, System als Teil des Angebots. (A)

=== LDAP/Kerberos ===
* Webinterface für Administration (A)

=== E-Mail / Kalender ===
* Zarafa (Mitarbeiter sind bereits geschult) (A)
* Zwingende LDAP-Integration des Fraktions-LDAP-Servers (A)
** LDAP-Server des Landtages und des Landes sollen in Adressbuch etc. integriert werden (B) (30)
* zpush Unterstützung (A)
** Z-Push Provisioning muss deaktiviert sein (A)
* Export von freigegebenen Kalendern via CalDAV/ical ohne Nutzerauthentifikation möglich (A)
* Einbindung ins Piwik (B) (10)

=== Streaming (Nachbearbeitung/Konvertierung) ===
* Stream-Nutzer können unverschlüsselten Stream nutzen (A)
* Audiostreaming (A)
* Videostreaming (B) (20)
* Software: Icecast (A)
* Software: Liquidsoap (A)
** Unterstützung für ogg- und mp3-Streams (A)
** Automatische Aufzeichnung von Streams und Speicherung auf NAS (B) (20)
*** Keine Aufzeichnung von Pausenmusik (B) (10)
* Einbindung ins Piwik (B) (5)

=== Webserver für Website ===
* nginx (A)
* PHP (A)
** Muss Mails senden können (A)
** Erweiterungen, um Wordpress installieren zu können (A)
* Einbindung ins Piwik (B) (20)

=== Piwik ===
* piwik (A)
** Datenschutzkonform konfiguriert: https://www.datenschutzzentrum.de/tracking/piwik/ (A)

=== Datenbankserver: MySQL ===
* phpMyAdmin muss installiert sein (A)
** nur von localhost erreichbar aus Sicherheitsgründen (A)

=== Online Dokumentenkolaboration ===
* Software: Etherpad (kein Etherpad Lite) (A)
** möglichst aktueller Fork von Etherpad

=== Wiki ===
* Software: Mediawiki (A)
** Zu installierende Erweiterungen:
** Variables (B) (5)
** DynamicPageList (B) (5)
** SemanticForms (B) (5)
** Semantic Mediawiki (B) (5)
** WikiArticlesFeed oder andere RSS-Extension (B) (5)
** Extension zur LDAP-Authentifizierung (B) (10)
** ParserFunctions (B) (5)
** InputBox (B) (5)
** Cite (B) (5)
* Einbindung ins Piwik (B) (10)

=== Bürgerbeteiligung ===
* LimeSurvey (A)
** Einbindung ins Piwik (B) (10)

=== VPN ===
* OpenVPN (A)
** Einwahl von außen möglich (A)
** VPN muss als default route möglich sein (A)
** DNS Server des Landtages muss für VPN Clients erreichbar sein (A)

=== Druckserver ===
* CUPS (A)
** keine Speicherung von Druckaufträgen (A)

=== Dokumentenmanagement / Versionsverwaltung ===
* Alfresco (A)
** LDAP-Anbindung (B) (50)
* Einbindung ins Piwik (B) (5)

=== Mailinglisten ===
* Verschlüsselung für Mails auf Mailinglisten nicht zwingend erforderlich (A)
* Mailinlistensoftware mit GPG-Integration wünschenswert (z.B. für mailman verfügbar) (B) (10)

[[Kategorie:SH-Fraktion]]

SH:Fraktion/Beschaffung/Server - Versionsgeschichte

imported>Uli: /* Hardware */ Prio