## Dienste für Schulen ### Grundsätzliches Deadline bis 14.7.21. Beschreibung der Dienstkörbe/-bundles die wir anbieten: https://www.belwue.de/angebot/dienste.html Es gibt keine individuellen Verträge sondern jede Schule bekommt die Dienste nach aktueller Dienstbeschreibung und Preisliste. Für Schulen gelten zunächst einmal die Leistungen der Preisliste unter https://www.belwue.de/angebot/preisliste.html. Demzufolge erhalten Schulen bis zu 3 Webauftritte mit jeweils einem SCP-Zugang, jeweils einer Datenbank, 30 GB Gesamtspeicherplatz, kostenfreien Domains der Form <Subdomain>.<Schulkürzel>.<KFZ-Kennzeichen>.schule-bw.de und 200 Mailkonten als Basis- bzw. Inklusivleistung. Weitere Domains und Mailboxen sowie weiterer Speicherplatz sind auf Nachfrage möglich und werden gemäß o.g. Preisliste gesondert bepreist. ### Konnektivität: #### Wieviele DSL-Anschlüsse? 2481 erreichbare Router #### Wieviele Schulen sind mit Glasfaser angebunden? Dies ist in unseren Datenbanken nicht erfasst da es keine individuellen Anbindungen, sondern in der Regel Sammelanschlüsse sind. Städtischen Schulnetze: ca. 400 #### Wieviele Schulen sind über eine Funk/Standleitung angebunden? Ca. 80 #### Wieviele Schulverwaltungsanschlüsse? Insgesamt gibt es 2.250 KISS/SVN Zugänge. Davon sind ca. 1.300 BelWü-Router an einem DSL/Kabelanschluss, der nur SVN/KISS bereitstellt. Ein pädagogisches Netz gibt es in diesem Fall entweder nicht oder wird davon getrennt über einen zweiten BelWü-Router an einem zweiten DSL/Kabelanschluss bereitgestellt. ### Jugendschutzfilter: Jeder, der eine IP-Adresse im BelWü hat, kann den DNS-Server eintragen und nutzen. Der DNS-Server führt bei problematischen Domainnamen zur Nichterreichbarkeit der betreffenden Seiten. #### Wieviele Schulen nutzen den Dienst Dies lässt sich nicht ermitteln da keine explizite Anmeldung erforderlich ist. Ca. 700 unterschiedliche IP-Adressen, die innerhalb eines normalen Schultages zugegriffen haben. > [name=Stefan Wesner Vielleicht eine Frage für den Fragebogen?] #### Software-Stack Derzeit haben wir 2 virtuelle Linux-Maschinen (CentOS 7) an 2 verschiedenen Standorten. Per BGP-Routing wird bei Ausfall einer der Maschinen der gesamte Verkehr auf den anderen Server geroutet. Loadbalancing findet derzeit nicht statt. > [name=Stefan Wesner Vielleicht eine Frage für den Fragebogen?] Wir nutzen im Hintergrund einen kommerziellen DNS-Filter (in diesem Fall von Webroot, aber es gibt auch ähnliches von Cisco, Symantec,...). Aus Datenschutzgründen, damit Anfragen der Schulen nicht in USA landen, haben wir einen eigenen DNS-Cache und Webserver auf Open-Source-Basis davorgeschaltet. DNS-Server: pdns-recursor Webserver: openresty (ein nginx mit lua-Support) Im pdns-recursor werden DNS-Antworten nochmals so manipuliert, so daß gesperrte Zugriffe nicht in USA sondern bei uns landen. lua-Code im Webserver ordnet dynamisch den Sperrseiten passend zum aufgerufenen Namen selbstgebaute Zertifikate zu, die ggf. mit openssl on the fly erzeugt werden. Es gibt noch Black- und Whitelists, um manuell Fehlsperrungen zu deaktivieren. ### Webhosting: #### Wieviele Schulen nutzen den Dienst 1664 Schulen (KdNr. 2xxxx) #### Wieviele Accounts 2258 Webauftritte #### Software-Stack Technische Infrastruktur: - Server-OS: CentOS 7.9 - Webserver: Apache 2.4.6 - Datenbankserver: MariaDB 10.2.33 - Datenbankverwaltungsprogramm: phpMyAdmin 4.4.15.10 - PHP 7.3.20 mit einigen Zusatzmodulen - TLS-Zertifikate des DFN #### Wieviel Speicher wird derzeit belegt? Ca. 13 TByte und zusätzlich ca. 283 GByte für Datenbanken #### Wieviele Server werden dafür eingesetzt? 53 VMs auf 13 Server - allerdings sind nicht alle komplett mit WebVMs belegt - Interessant ist vermutlich RAM und CPU der VMs ``` al30-web15.belwue.de +------------VM-----------+----CPUs---+---------Memory--------+--STATUS--+ | | cur | max | current | max | | +-------------------------+-----+-----+-----------+-----------+----------+ | web14 | 8 | 64 | 25165824 | 33554432 | running | | web15 | 8 | 64 | 16777216 | 33554432 | running | | web16 | 8 | 64 | 16777216 | 33554432 | running | | web17 | 8 | 64 | 16777216 | 33554432 | running | | web18 | 8 | 64 | 16777216 | 33554432 | running | | web19 | 8 | 64 | 16777216 | 33554432 | running | | web20 | 8 | 64 | 16777216 | 33554432 | running | | web21 | 8 | 64 | 16777216 | 33554432 | running | | web22 | 8 | 64 | 16777216 | 33554432 | running | | web23 | 8 | 64 | 16777216 | 33554432 | running | | web24 | 8 | 64 | 16777216 | 33554432 | running | | web25 | 8 | 64 | 16777216 | 33554432 | running | +-------------------------+-----+-----+-----------+-----------+----------+ al30-web18.belwue.de +------------VM-----------+----CPUs---+---------Memory--------+--STATUS--+ | | cur | max | current | max | | +-------------------------+-----+-----+-----------+-----------+----------+ | web35 | 8 | 64 | 16777216 | 33554432 | running | | web38 | 8 | 64 | 16777216 | 33554432 | running | +-------------------------+-----+-----+-----------+-----------+----------+ al30-web43.belwue.de +------------VM-----------+----CPUs---+---------Memory--------+--STATUS--+ | | cur | max | current | max | | +-------------------------+-----+-----+-----------+-----------+----------+ | web34 | 8 | 64 | 16777216 | 33554432 | running | | web33 | 8 | 64 | 25165824 | 33554432 | running | +-------------------------+-----+-----+-----------+-----------+----------+ al30-web47.belwue.de +------------VM-----------+----CPUs---+---------Memory--------+--STATUS--+ | | cur | max | current | max | | +-------------------------+-----+-----+-----------+-----------+----------+ | web04 | 16 | 32 | 25165824 | 67108864 | running | | web01 | 32 | 64 | 50331648 | 67108864 | running | +-------------------------+-----+-----+-----------+-----------+----------+ nwz-ddos01.belwue.de +------------VM-----------+----CPUs---+---------Memory--------+--STATUS--+ | | cur | max | current | max | | +-------------------------+-----+-----+-----------+-----------+----------+ | web39 | 8 | 64 | 16777216 | 33554432 | running | +-------------------------+-----+-----+-----------+-----------+----------+ nwz-web01.belwue.de +------------VM-----------+----CPUs---+---------Memory--------+--STATUS--+ | | cur | max | current | max | | +-------------------------+-----+-----+-----------+-----------+----------+ | web06 | 32 | 64 | 41943040 | 65554432 | running | | web07 | 8 | 64 | 16777216 | 33554432 | running | | web09 | 8 | 64 | 16777216 | 33554432 | running | | web10 | 8 | 64 | 16777216 | 33554432 | running | | web11 | 8 | 64 | 16777216 | 33554432 | running | | web12 | 8 | 64 | 16777216 | 33554432 | running | | web13 | 8 | 64 | 16777216 | 33554432 | running | +-------------------------+-----+-----+-----------+-----------+----------+ nwz-web11.belwue.de +------------VM-----------+----CPUs---+---------Memory--------+--STATUS--+ | | cur | max | current | max | | +-------------------------+-----+-----+-----------+-----------+----------+ | web26 | 8 | 64 | 25165824 | 33554432 | running | | web27 | 8 | 64 | 25165824 | 50331648 | running | | web28 | 8 | 64 | 16777216 | 33554432 | running | | web29 | 8 | 64 | 16777216 | 33554432 | running | +-------------------------+-----+-----+-----------+-----------+----------+ nwz-web12.belwue.de +------------VM-----------+----CPUs---+---------Memory--------+--STATUS--+ | | cur | max | current | max | | +-------------------------+-----+-----+-----------+-----------+----------+ | web08 | 16 | 64 | 33554432 | 33554432 | running | +-------------------------+-----+-----+-----------+-----------+----------+ nwz-web14.belwue.de +------------VM-----------+----CPUs---+---------Memory--------+--STATUS--+ | | cur | max | current | max | | +-------------------------+-----+-----+-----------+-----------+----------+ | web30 | 8 | 64 | 25165824 | 33554432 | running | | web31 | 8 | 64 | 16777216 | 33554432 | running | | web32 | 8 | 64 | 16777216 | 33554432 | running | +-------------------------+-----+-----+-----------+-----------+----------+ nwz-web18.belwue.de +------------VM-----------+----CPUs---+---------Memory--------+--STATUS--+ | | cur | max | current | max | | +-------------------------+-----+-----+-----------+-----------+----------+ | web05 | 16 | 64 | 25165824 | 33554432 | running | | web51 | 8 | 64 | 16777216 | 33554432 | running | | web52 | 8 | 64 | 16777216 | 33554432 | running | | web53 | 8 | 64 | 25165824 | 33554432 | running | +-------------------------+-----+-----+-----------+-----------+----------+ nwz-web19.belwue.de +------------VM-----------+----CPUs---+---------Memory--------+--STATUS--+ | | cur | max | current | max | | +-------------------------+-----+-----+-----------+-----------+----------+ | web40 | 8 | 64 | 16777216 | 33554432 | running | | web41 | 8 | 64 | 16777216 | 33554432 | running | | web42 | 8 | 64 | 25165824 | 33554432 | running | | web43 | 8 | 64 | 16777216 | 33554432 | running | | web44 | 8 | 64 | 16777216 | 33554432 | running | | web45 | 8 | 64 | 16777216 | 33554432 | running | | web46 | 8 | 64 | 25165824 | 33554432 | running | | web47 | 8 | 64 | 25165824 | 33554432 | running | | web48 | 8 | 64 | 16777216 | 33554432 | running | | web49 | 8 | 64 | 16777216 | 33554432 | running | +-------------------------+-----+-----+-----------+-----------+----------+ nwz-web20.belwue.de +------------VM-----------+----CPUs---+---------Memory--------+--STATUS--+ | | cur | max | current | max | | +-------------------------+-----+-----+-----------+-----------+----------+ | web02 | 8 | 64 | 16777216 | 33554432 | running | | web03 | 8 | 64 | 25165824 | 33554432 | running | | web50 | 8 | 64 | 16777216 | 33554432 | running | +-------------------------+-----+-----+-----------+-----------+----------+ nwz-web41.belwue.de +------------VM-----------+----CPUs---+---------Memory--------+--STATUS--+ | | cur | max | current | max | | +-------------------------+-----+-----+-----------+-----------+----------+ | web36 | 8 | 64 | 16777216 | 33554432 | running | | web37 | 8 | 64 | 16777216 | 33554432 | running | +-------------------------+-----+-----+-----------+-----------+----------+ ``` #### Einschränkungen bzw. Informationen für die Schulen: Technische Informationen: Jeder Webauftritt erhält Zugriff auf eine MySQL-Datenbank. Jeder Webauftritt kann mit http oder https angesprochen werden. Optimiert für PHP, Java ist nicht vorhanden (Bitte Hinweis beachten!). Hochladen von Dateien nur verschlüsselt per SFTP/SCP/rsync. Mittels einer .htaccess Datei lassen sich Verzeichnisse mit Passwort schützen und Zugang erzwingen. Sicherheitsbedingte Einschränkungen: PHP: Systemaufrufe über PHP mittels system und shell_exec sind aus Sicherheitsgründen deaktiviert. PHP: popen, procopen, passthru, show_source und curl_multi_exec sind aus Sicherheitsgründen deaktiviert. PHP: Upload limit von 256 MB. Directory Listings sind aus Sicherheitgründen nicht möglich. Kein Shellzugang möglich. Datensicherung muss jeder Nutzer selbst vornehmen. ### Mail: #### Wieviele Schulen nutzen den Dienst 2.149 (Stand 2.7.21) #### Wieviele Accounts Ca. 175.000 Accounts für Schulen in 2.919 Domains (Stand 2.7.21) #### Software-Stack Postfix als Maileingang/ausgang Rspamd mit Kaspersky als AV CommunigatePro als Mailboxserver Loadbalancer von A10 um IMAP/HTTP/POP zwischen den 2 Standorten zu verteilen. #### Wieviel Speicher wird derzeit belegt? Komplett inklusive Snapshots ca. 70 TiB #### Wieviele Server werden dafür eingesetzt? 8x Blech (128 Threads 1TB RAM) darauf 44 VMs Alle Services sind doppelt redundant (Standort und Hardwareausfall) Speicher: Metro-Cluster von NetApp ### VM Setup mit BGP: <kurze Erläuterung, dass die VMs zwischen den beiden Standorten umgezogen werden können. Sowie Anbindung per BGP (weniger wie, sondern dass).> ### Loadbalancer? Fragenkatalog Komm.ONE vom 6.8.21 Fragen zum Webhosting: 1. Wäre es möglich, dass Sie uns eine Demo/Präsentation aus Kundensicht ihres Webhostingangebots zeigen? Wichtig dabei wären: a. Konfigurationsmöglichkeiten (z.B. Apache, PHP, .htaccess, …) b. Zugriff SFTP c. Zugriff PHPMyAdmin d. Zugriff Domainverwaltung e. Usw. BelWü hat kein Kundenportal wie Sie es von Webhostern kennen. Der Zugang ist eine sftp-Shell und ein leerer Auftritt. Mit dem Testzugang können Sie dies nun selbst anschauen. 2. Wäre es möglich, dass Sie uns auch eine Demo/Präsentation aus Adminsicht ihres Webhostingangebots zeigen? a. LAMP 3. Gab es Zugriff von Webhosting auf Server im BelWü-Netz? Webserver schicken ihre E-Mails (die von Kontaktformularen etc. generiert werden) über die BelWü Mailrelays raus. Fragen zum Thema Domain: 1. Haben die Schulen eigene Domains oder läuft alles unter der Subdomain schule-bw.de? Es gibt zwei kostenlose Domains: <KFZ-Kürzel>.schule-bw.de und <KFZ-Kürzel>.bw.schule.de Allerdings kann jede Schule einen eigene Secondleveldomain (überlicherweise unterhalbe von *.de) gegen Entgelt bekommen. 2. Wie sieht die „Domainstruktur“ (Domains/Subdomains)aus? Bei schule-bw.de und bw.schule.de kann die Schule den Kürzel links vom KFZ-Kürzel frei wähelen. Bei "normalen" SLDs gibt es alles was DNS erlaubt. Fragen zum Thema E-Mail: 1. Allgemeine Infos zu den Postfächern, wie: a. Anzahl der Postfächer pro Schule Ca. 175.000 Postfächer für 2.149 Schulen b. Größe der Postfächer 100 GByte nutzbarer Platz pro Postfach. Ca. 80 TByte genutzt für ca. 210.000 Postfächer nach folgender Verteilung: Total: 88568131.70 MB 211000 Accounts 0 MB =< size < 10 MB 93113 (117727.01 MB) 10 MB =< size < 100 MB 39092 (1673929.78 MB) 100 MB =< size < 500 MB 36440 (9277142.24 MB) 500 MB =< size < 1 GB 16565 (11930366.90 MB) 1 GB =< size < 2 GB 13699 (19529420.12 MB) 2 GB =< size < 3 GB 5949 (14417740.78 MB) 3 GB =< size < 5 GB 4084 (15412162.60 MB) 5 GB =< size 2058 (16209642.27 MB) c. Funktionen der Postfächer IMAP/POP3/Webmail/Kalender (CalDav)/Exchange-Active-Sync d. Backup- und Restore-Funktion der Postfächer? – z.B. muss eine versehentlich gelöschte E-Mail wiederhergestellt werden können? Nein. Wird von uns auf Anfrage und aus Kulanz gemacht, kommt häufiger (ca 2-3x im Monat) vor. 2. Liegen die Postfächer im KVN, bzw. besteht eine Anbindung ans KVN? Die Postfächer liegen im öffentlichen Internet. Aus dem KVN ist das Webmail erreichbar. 3. Wie sieht der Service von BelWü hinsichtlich der Bereitstellung der Postfächer aus/welche Leistungen liefern Sie den Schulen? Es wird ein Admin-Interface angelegt, alles weitere Macht die Schule. Wir helfen bei technischen Problemen, soweit es die Zeit zulässt.