SH:Fraktion/Beschaffung/Server

Aus Piratenwiki
Wechseln zu: Navigation, Suche

Beschaffung Fraktionsserver

Das Konzept

  • 2-Tier-Architektur
  • Wir haben ein Rack im Keller des Landtages mit ca. 20HE und USV
  • Fileserver+Anwendungsserver kommen in das Rack in den Keller
  • Backupserver kommt in die Fraktionsräume in den dritten Stock
    • Räumliche Trennung wegen Katastrophenvorsorge Überflutung/Feuer etc.
  • Netzwerkverbindung zwischen Rack im Keller und Fraktionsräumen im dritten Stock ist Glasfaser Der Landtag stellt Konverter auf 100MBit bereit. Nach Möglichkeit soll 1Gigabit durch die Leitung gehen.
  • Von jeder Softwarekonfiguration wird eine umfassende Dokumentation erwartet (A)
    • Dokumentation und Konfiguration muss unter CC-0 Lizenz stehen ( http://creativecommons.org/publicdomain/zero/1.0/ ) (A)
    • Dokumentation soll als Wiki erstellt werden. (B) (15)
    • Mithilfe der Dokumentation muss die gesamte Konfiguration für versiertes Fachpersonal wiederherstellbar sein. (B) (35)

Komponenten

Für alle Komponenten:

  • SLA: Hardwaretausch innerhalb eines Werktages über 3 Jahre, Option auf Verlängerung auf 5 Jahre (A)
  • Alle Treiber müssen in aktuellen Linux-Kerneln enthalten sein, alternativ: OpenSource verfügbare und aktiv maintainte Treiber. (A)
  • Alle Server müssen verschlüsselt werden können (B) (40)
  • Netzwerkanbindung der Komponenten muss über eine Switch-Infrastruktur erfolgen (A)
    • Die Switch-Infrastruktur muss redundant sein (B) (10)

USV für Backup-Server

  • VFI (A)
  • 15 Minuten Puffer für Backup-Server (A)

Applikationsserver (2x)

  • Debian basiertes Betriebssystem (64bit) (A)
  • Virtualisierung: KVM mit libvirt (A)
  • App-Server müssen Ressourcen für weitere virtuelle Maschinen außer den angegebenen Diensten bereithalten (A)

Hardware

  • RAM: >= 64 GB (A)
    • Aufrüstoption auf 96 GB (A)
  • CPU: >= 2GhZ (A)
    • AES-NI Unterstützung (A)
    • >= 6 Kerne (A)
    • >= 15MB L3-Cache (A)
  • USV-Unterstützung des Systems (A)
  • Netzwerkanbindung: Gigabit oder schneller (A)
    • Netzwerkinterface für Remotewartung (B) (10)
  • Redundante Netzteile (A)



iSCSI / Schnelles Storage (für virtuelle Maschinen)

Hardware

  • RAM: >= 32 GB (A)
  • CPU: >= 2GhZ (A)
    • AES-NI Unterstützung (A)
    • >= 4 Kerne (B)
      • 5-6 Kerne: (10)
      • 7-8 Kerne: (20)
    • >= 6MB L3-Cache (B)
    • 6-8MB (5)
    • >8MB (10)
  • USV-Unterstützung des Systems (A)
  • Netzwerkanbindung: Gigabit oder schneller (A)
    • Netzwerkinterface für Remotewartung (B) (10)
  • Redundante Netzteile (A)
  • Muss für die Systemdaten der virtuellen Maschinen verwendet werden und dementsprechend genug Speicherplatz haben (A)
  • Speicherplatzgröße: (B)
    • 1TB - 1.5TB (0)
    • 1.5TB - 2TB (5)
    • 2TB - 3TB (10)
    • iSCSI(A)


NAS / Langsames Storage (für Multimediadaten / Nutzdaten)

  • Fileserver als dedizierte Maschine (NAS) (A)
  • Authentifikation via LDAP (A)
  • Freigaben über SMB (A)
  • NFS4 (B) (70)
  • SFTP-Zugang (ohne Shell-Zugang für normale Anwender) (A)

Hardware

  • 18 TB Nettospeicher (A)
    • Mit Downtime < 1 Stunde ohne Umkopieren über externe Datenträger erweiterbar (B) (25)
    • Mindestens 2 Platten Redundanz (A)
  • Redundante Netzteile (A)
  • Netzwerkinterface für Remotewartung (B) (10)
  • USV-Unterstützung (A)
  • Verschlüsselung für Daten muss möglich sein (evtl. mit entsprechender CPU-Erweiterung wie AES-NI) (B) (10)
  • Lese-/Schreibraten und Netzwerkanbindung (mindestens Gigabit) müssen 20 gleichzeitige Nutzer zulassen (A)
  • Groß dimensionierter Cache (B)

3-6MB: (5) >6MB: (10)

Backup-Server

Hardware

  • RAM: >= 32 GB (A)
  • CPU: >= 2GhZ (A)
    • AES-NI Unterstützung (A)
    • >= 4 Kerne (A)
    • >= 6MB L3-Cache (A)
  • Nettospeicher: >= 18 TB (A)
  • RAID 6 Hardware-Controller (A)
    • Mindestens 2 Platten Redundanz (A)
  • USV-Unterstützung des Systems (A)
  • Erweiterung des Speicherplatzes
    • Speicherplatz ist ohne Umkopieren über externe Datenträger erweiterbar (A)
    • Mögliche Lösungen könnten sein: neue Shelves nachstecken
    • Erweiterung muss mit < 1 Stunde Downtime möglich sein (B) (10)
  • Netzwerkanbindung
    • >= 100MBit für Daten für Backups (A)
      • Nach Möglichkeit >= Gigabit von Fibre (B) (20)
    • Netzwerkinterface für Remotewartung (A)
  • Redundante Netzteile (A)

Software

  • Deduplikation (B) (20)
  • Wiederherstellen von einzelnen Dateien muss einfach möglich sein (B) (50)
  • Komplettwiederherstllung einzelner Systeme muss einfach möglich sein (A)
  • Steuerung per Webinterface (B) (15)


Dienste

Allgemeine Anforderung für alle Dienste

  • Alle Dienste sollten wenn irgendwie möglich mithilfe von OpenSource-Software unter freier Lizenz realisiert werden (A)
  • Wenn möglich Authentifikation über LDAP (A)
  • Debian basiertes 64bit-Betriebssystem mit langem Update-Support (>= 3 Jahre) (A)
    • Anwendungen in einer 64bit-Version (A)
  • Backup (A)
    • Image der virtuellen Maschinen muss regelmäßig in größeren Abständen auf Backup-Server gespeichert werden (A)
    • Tägliche Backups der für die vollständige Wiederherstellung des Systems notwendigen Daten (z.B. Konfigurationsdateien, Nutzdaten) (A)
  • Alle Dienste sind potentiell aus dem Internet erreichbar und sind dementsprechend abzusichern. (A)
    • Wenn Absicherung nicht möglich muss eine Firewall existieren, die Zugriff nur aus dem LAN erlaubt (A)
  • Pro Dienst wird eine eigene virtuelle Maschine aufgesetzt.(A)
  • Zugriff auf alle Dienste muss verschlüsselt werden (Ausnahmen explizit aufgeführt). (A)
  • Automatische Updates aller Systeme und Dienste (A)
  • Daten, die langfristig > 500 MB groß werden, sollen nicht auf der virtuellen Maschine sondern auf dem NAS gespeichert werden. (A)
  • Datenschutzkonforme Logdateien (Keine speicherung von IP-Adressen: https://www.datenschutzzentrum.de/ip-adressen/ ) (A)
  • Fehlermeldungen, Cronjob-Ausgaben etc. müssen per Mail an eine konfigurierbare Admin-Mailadresse gesendet werden (A)

Monitoring

  • Alle Dienste müssen auf Verfügbarkeit gemonitored werden (A)
  • Alle Dienste müssen mit einfachen Mitteln auf Funktion gemonitored werden. (A)
  • Grundlegende Systemparameter (zwingend: freier Festplattenspeicher pro Partition und pro Platte, CPU Last, S.M.A.R.T. für alle physikalischen Platten, Netzwerklast, RAM-Auslastung) müssen gemonitored werden. (A)
  • Monitoring erfolgt über ein externes System. Dies kann entweder als Dienstleistung durch einen externen Anbieter erfolgen (bitte Angebot beilegen) oder als eigenes, physikalisch getrenntes, System als Teil des Angebots. (A)


LDAP/Kerberos

  • Webinterface für Administration (A)

E-Mail / Kalender

  • Zarafa (Mitarbeiter sind bereits geschult) (A)
  • Zwingende LDAP-Integration des Fraktions-LDAP-Servers (A)
    • LDAP-Server des Landtages und des Landes sollen in Adressbuch etc. integriert werden (B) (30)
  • zpush Unterstützung (A)
    • Z-Push Provisioning muss deaktiviert sein (A)
  • Export von freigegebenen Kalendern via CalDAV/ical ohne Nutzerauthentifikation möglich (A)
  • Einbindung ins Piwik (B) (10)

Streaming (Nachbearbeitung/Konvertierung)

  • Stream-Nutzer können unverschlüsselten Stream nutzen (A)
  • Audiostreaming (A)
  • Videostreaming (B) (20)
  • Software: Icecast (A)
  • Software: Liquidsoap (A)
    • Unterstützung für ogg- und mp3-Streams (A)
    • Automatische Aufzeichnung von Streams und Speicherung auf NAS (B) (20)
      • Keine Aufzeichnung von Pausenmusik (B) (10)
  • Einbindung ins Piwik (B) (5)

Webserver für Website

  • nginx (A)
  • PHP (A)
    • Muss Mails senden können (A)
    • Erweiterungen, um Wordpress installieren zu können (A)
  • Einbindung ins Piwik (B) (20)

Piwik

Datenbankserver: MySQL

  • phpMyAdmin muss installiert sein (A)
    • nur von localhost erreichbar aus Sicherheitsgründen (A)

Online Dokumentenkolaboration

  • Software: Etherpad (kein Etherpad Lite) (A)
    • möglichst aktueller Fork von Etherpad

Wiki

  • Software: Mediawiki (A)
    • Zu installierende Erweiterungen:
    • Variables (B) (5)
    • DynamicPageList (B) (5)
    • SemanticForms (B) (5)
    • Semantic Mediawiki (B) (5)
    • WikiArticlesFeed oder andere RSS-Extension (B) (5)
    • Extension zur LDAP-Authentifizierung (B) (10)
    • ParserFunctions (B) (5)
    • InputBox (B) (5)
    • Cite (B) (5)
  • Einbindung ins Piwik (B) (10)

Bürgerbeteiligung

  • LimeSurvey (A)
    • Einbindung ins Piwik (B) (10)

VPN

  • OpenVPN (A)
    • Einwahl von außen möglich (A)
    • VPN muss als default route möglich sein (A)
    • DNS Server des Landtages muss für VPN Clients erreichbar sein (A)

Druckserver

  • CUPS (A)
    • keine Speicherung von Druckaufträgen (A)

Dokumentenmanagement / Versionsverwaltung

  • Alfresco (A)
    • LDAP-Anbindung (B) (50)
  • Einbindung ins Piwik (B) (5)

Mailinglisten

  • Verschlüsselung für Mails auf Mailinglisten nicht zwingend erforderlich (A)
  • Mailinlistensoftware mit GPG-Integration wünschenswert (z.B. für mailman verfügbar) (B) (10)
Abgerufen von „https://wiki.piratenpartei.de/wiki/index.php?title=SH:Fraktion/Beschaffung/Server&oldid=2002776