LNI Weekly #5 (2024-04-30)
Daniel Baumann
daniel.baumann at bfh.ch
Wed May 15 07:02:42 CEST 2024
LNI Weekly #5 (2024-04-30)
##########################
1. Fachliches
=============
1.1 Ceph Lifecycle
------------------
* wir beschaffen die E.1 NVMe Variante und pruefen eine
Weiterverwendung der knapp 300 U.2 NVMe SSDs im Sommer/Herbst auf
Wirtschaftlichkeit wenn/falls ein U.2 Server-Modell von Supermicro
verfuegbar ist.
1.2 Arista Advanced Services
----------------------------
* weitere Advanced Services in 2024 werden voraussichtlich fuer
folgende Dinge in Anspruch genommen werden koennen:
* Abschluss der Entwicklung EVPN IPv6 Gateway in EOS, bisher
transportiert das Gateway IPv4 und IPv6, hat selbst aber nur eine
IPv4 Adresse. Das ist der letzte offene Punkt damit wir ein
vollstaendig IPv6-only Underlay haben koennen das den Betrieb
und Rollout massiv vereinfacht.
* Review Wireless
1.3 Resetup Debian Repositories
-------------------------------
* Aktueller Stand:
* hab im vergangenen Wochenende versucht, noch soviel zu machen
wie moeglich bevor wir zur Mai Arbeitsstillstands-Phase kommen:
im Mai werden wir aufgrund SAFe und weiterer Termine
grundsaetzlich kaum arbeiten, neben Daily Business ist es
unrealistisch dass wir irgendwas zusaetzlich machen koennen.
Arbeiten, wie diese, welche nicht staendig unterbrochen werden
koennen, sind so nicht moeglich auszufuehren. Daher neue
Einschaetzung erst Anfang Juni.
* die Repositories sind noch ungetestet, BFH-spezifisches
(metapackages etc.) fehlen noch, Key side-loading wieder noetig.
* da es in der gegeneben Arbeitssituation nicht realistisch ist,
dass wir den Lifecycle "auf einmal" machen duerfen, muessen wir
die alten Linux-Systeme weiterhin updaten koennen. Daher ist
das wiedererstellen von oldstable und oldoldstable notwendig.
* *oldstable* zu ~80% fertig (Updates unserer Server ist erst mit
*oldstable-backports* dann moeglich), *oldoldstable* und
*testing* fehlen noch.
* bisher keine Kompromitierten Repos gefunden.
1.4 Arbeitswelt 4.0 Dammweg
---------------------------
* Grundsaetzlich gilt im Rahmen der Netzwerk-Gesamterneuerung
"Wireless first"-Prinzip, d.h. nur dort wo es Sinn ergibt werden
Arbeitsplaetze mit LAN-Kabel ausgestattet:
* z.B. bei Labors
* z.B. bei Performance/Latenz Anforderungen
* Alle Arbeitsplaetze am Dammweg werden aus Redundanz und
Test-Gruenden vom Grundsatz abweichend durchgehend mit LAN-Kabel
erschlossen.
* bcp1 hat Kabel bestellt, FSS wird die Kabel fuer alle nicht-LNI
Arbeitsplaetze einziehen.
1.5 Anfrage Netzwerk-Dokumentation
----------------------------------
* TI-Dozent hat nach Netzwerk-Dokumentation zur
Verwendung im Modul "Enterprise Infrastructure" nachgefragt.
* mit Abschluss des Reviews der Arista Dokumente in ca. Q3/2024
war geplant, diese BFH-intern zu veroeffentlichen.
* Aufgrund der Anfrage werden wir die Vorabversion (mit ensprechendem
Disclaimer) schon vorher zur Verfuegung stellen (Announcement auf
Mailingliste).
1.6 Knowhow: Wireguard [krj2]
-----------------------------
* Folien: `WireGuard_30Apr2024.pdf <WireGuard_30Apr2024.pdf>`_
* Whitepaper: `https://www.wireguard.com/papers/wireguard.pdf
<https://www.wireguard.com/papers/wireguard.pdf>`_ (`local copy
<wireguard.pdf>`_)
* Grundsaetzlich haben wir folgende Varianten fuer die Abloesung der
Cisco ASA:
* Beschaffung neue Cisco ASA
* Evaluation und Beschaffung einer andere "Enteprise Appliance"
(Fortinet, etc.)
* Engineering und hoeherer Integrationsaufwand durch Migration auf
Wireguard
* Engineering und weniger hoher Integrationsaufwand durch
uebergangsweise Migration auf OpenVPN bis mehr Ressourcen fuer
Wireguard zur Verfuegung stehen
* Unbhaengig von der Cisco ASA Abloesung koennen wir Wireguard fuer
uns selber und ggf. andere fortgeschrittene User, so oder so
parallel machen.
* Weiteres Vorgehen:
* Nach Install-Party Erarbeiten der genauen Integrationsarbeiten
* Diskussion mit IDS bzgl. IDM Ressourcenverfuegbarkeit
* Entweder Wireguard oder als Fallback OpenVPN umsetzen
* Notizen zu noch offenen Punkten:
* wollen wir Wireguard zu Wireguard verbindungen (mesh)?
* IPv4 Public oder Private Adressen?
* Pflege der Verlags-Prefixes?
* wie verwalten wir die zugewiesenen IP Adressen?
* wie kommt die zugewiesene IP Adresse auf den Client?
* wie sieht der Update Fall einer zugwiesenen IP Adresse aus?
* User/Geraete Lifecycle: wieviele User (IDS) und Geraete (FSS)
Fluktiation gibt es?
* IDM Integration?
* wie sieht die App/Software Deployment fuer Enduser aus?
* IPv6-only realistisch/moeglich?
* Port-Konfiguration auf Server (Konvention vs. z.B. 443 fuer
"Enterprise" Firewall Compatibility)?
1.7 Knowhow: DNS and Caching [keh3]
-----------------------------------
* Folien: `DNSandCaching.pdf <DNSandCaching.pdf>`_
1.8 Knowhow: Letsencrypt, ACME, and dehydrated [kud3]
-----------------------------------------------------
* Folien: `lets-encrypt.pdf <lets-encrypt.pdf>`_
1.9 Decision: Terminal multiplexer [shs1]
-----------------------------------------
* Howto: `tmux-howto <tmux-howto.html>`_
* Weiteres Vorgehen:
* Simon und Daniel erarbeiten eine defensive Vorkonfiguration
(tmuxp, powerline, Ctrl-b)
* Deployment auf ssh.bfh.info fuer Feedback
* Wenn gut, Wechsel auf allen Systemen von screen auf tmux
1.10 Varia
-----------
* Normen und Werte
* Skillsmatrix
* Kommunikation
* Mismanagement
* Yubikeys / Installparty
2. Administratives
==================
2.1 Wartungsfenster KW18
------------------------
* geplante Wartungsfenster:
* 2024-04-30 17:00-20:00:
https://lists.bfh.science/private/bfh-linux-sysadmin/2024-April/003295.html
3. Organisatorisches
====================
3.1 Backlog
-----------
* https://bfh.info/team/backlog
* keine Aenderungen
3.2 Priorisierung gbs4 KW18
---------------------------
* Netz: gemaess Backlog (shs1)
* Rollout: gemaess Backlog (bcp1/gau1)
* Linux: keine koordinierten Arbeiten bis wir wieder Container
erstellen koennen
* Supermicro Bestellung
* xz-backdoor Mail auf bfh-linux-announce
* Repository Resetup
-- Daniel Baumann <daniel.baumann at bfh.ch> Tue, 30 Apr 2024 07:25:47 +0200
More information about the bfh-linux-news
mailing list