IaaS

Aus TERRA CLOUD WIKI

Sprachen:

Einleitung

Dieses Handbuch dient als Grundlage zur Verwaltung von virtuellen Systemen innerhalb der terra CLOUD.
Die Basis einer IaaS terra CLOUD besteht immer aus einer Firewall. Ein Zugriff auf die Systeme innerhalb einer Cloud kann über mehrere Wege erfolgen:

Service Informationen

Bitte entnehmen Sie alle benötigten Informationen den Serviceinformationen.
Diese enthalten unter anderem Ihre öffentliche IP Adresse, Initialkennwörter usw.
Die Service Informationen finden Sie im Cloud Center unterhalb der jeweiligen Bestellung, siehe auch Service-Informationen.

Verbindung zur Firewall

Sprachen:

Private Cloud Strategie

Grundsätzlich wird jedes Private Cloud Paket aus der TERRA CLOUD mit einer virtuellen Securepoint UTM Appliance ausgeliefert.
Dieses Einstiegshandbuch dient als Grundlage zum Aufbau eines VPN-Tunnels, sowie den Zugriff auf die Weboberfläche der Firewall.

Voraussetzungen für den Zugriff

OpenVPN Client:

VPN Konfigurationsdatei:
Die VPN-Daten für den Administrator-Zugang finden Sie im Cloud Center unterhalb der jeweiligen Bestellung innerhalb der Service-Informationen, siehe auch Service-Informationen.

Der Punkt "zum Download-Bereich" bringt Sie zu einem zentralen Share im Terra Drive, in dem sich all Ihre VPN-Daten zu den gebuchten virtuellen Umgebungen in der Terra Cloud befinden. Voraussetzung dafür sind die Zugangsdaten Ihres Drive NFR-Accounts.
Bitte beachten Sie, dass sich in dem zentralem Share ausschließlich die VPN-Daten der Umgebungen befinden, die Sie im Terra Cloud Center gebucht haben.

VLAN-Anforderungen

Jede virtuelle SecurePoint UTM hat von Hause aus 2x virtuelle Netzwerkschnittstellen.
Eine davon kommuniziert mit dem Internet, die andere kommuniziert mit den Systemen im Paket.
Da eine Hyper-V VM max. 8x Netzwerkkarten angehängt haben kann, können wir max. 6x zusätzliche VLANs bereitstellen.

Verbindung zur Firewall herstellen

Voraussetzung für die Verbindung zur Firewall ist ein bestehender VPN-Tunnel.
Bitte prüfen Sie vor dem Verbindungsaufbau, ob an Ihrer lokalen Firewall der Standard-Port 1194 für VPN-Verbindungen freigegeben ist.
Wenn der Port 1194 geblockt ist, schlägt der Aufbau des VPN-Tunnels fehl.

Ersteinrichtung der VPN - Verbindung im Securepoint VPN Client

  • Installieren Sie den jeweiligen VPN Client, wir gehen in diesem Beispiel von dem Securepoint VPN Client aus.
  • Öffnen Sie den VPN-Client und klicken Sie unten rechts auf das Zahnrad, um das Einstellungsmenü zu öffnen..

Einstellungen des VPN-Clients öffnen

  • Im Kontextmenü unter Quelldatei klicken Sie dann auf die drei Punkte, um die Quelldatei auszuwählen, welche vorher aus dem Cloud Portal heruntergeladen wurde.

Importieren der Konfiguration

  • Wählen Sie die opvn-Datei aus der zuvor extrahierten zip-Datei und klicken Sie auf „Importieren“.
  • Wahlweise kann der Konfiguration unter „Importieren als:“ noch ein Name zugeteilt werden, unter welchem die Konfiguration im VPN Client später sichtbar ist.
  • Starten Sie über das Pfeil-Schaltfläche den Aufbau der VPN-Verbindung

Verbindung hertellen
Die benötigten Erstzugangsdaten lauten:
Benutzer: ssluser-admin
Passwort: ChanTroFar93!


Verbindung zur Firewall Weboberfläche

Nachdem die VPN Verbindung erfolgreich aufgebaut ist, rufen Sie in einem beliebigen Browser folgende Adresse auf:
https://<IP-Adresse der Firewall>:11115

Die IP-Adresse der Firewall wurde von Ihnen während der Bestellung der Umgebung vergeben und kann im Nachhinein im Cloud Center
unterhalb der jeweiligen Bestellung innerhalb der Service-Informationen eingesehen werden, siehe auch Service-Informationen.

FW_Login

Die benötigten Erstzugangsdaten lauten:
Benutzer: fwadmin
Passwort: Terra001

Erstzugriff auf die Firewall Weboberfläche

Beim ersten Aufruf der Firewall Weboberfläche müssen einige Dinge durchgeführt werden:

Firewallname vergeben

Firewallname_vergeben
Bitte vergeben Sie einen Firewallnamen, dieser muss einem FQDN entsprechen, z.B. meinefirewall.local.
Der Firewallname darf keine Umlaute, Sonderzeichen oder Großbuchstaben enthalten.

Anschließend klicken Sie auf den Button Abschließen.

Firmware Update

Je nach vorinstallierter Firmware Version, erhalten Sie eine Meldung, dass eine neuere Firmware verfügbar ist.
In diesem Beispiel gehen wir davon aus, dass die Version 11.8.9 vorinstalliert ist.

Firmwareupdate_verfügbar

Diese Abfrage sollte bei der Erstinbetriebnahme der Umgebung mit Ja beantwortet werden.
Daraufhin erhalten Sie eine Ansicht der verfügbaren neuen Firmware, welche über den Button „Probelauf starten“ eingespielt wird.

Verfügbare_Firmwares

Damit die neue Firmware genutzt werden kann, müssen mehrere Lizenzvereinbarungen geprüft und akzeptiert werden.
Firewall-Lizenzvereinbarung

Abschließend muss ein Neustart erfolgen. Dieser kann bis zu 5 Minuten dauern.
Sie können den Neustart über die Konsolenverbindung über das Technical Center (https://manage.terracloud.de) verfolgen.

Firmware_Neustart

Nachdem die Firewall erfolgreich neugestartet ist und Sie sich wieder eingeloggt haben, muss die neue Firmware als neue Standard-Firmware bestätigt werden.

Firewall-Firmware-ReleaseNotes

Meldung zum Virenscanner bestätigen

Wenn Sie die Firewall mit nur einem vCore gebucht haben, erhalten Sie eine Meldung, dass die Anzahl der Virenscanner auf der Firewall aus Stabilitäts- und Performancegründen verringert wurde.
Diese Meldung ist normal und muss bestätigt werden.
Virenscanner-Meldung

Cloud-Backup Passwort setzen

Bitte vergeben Sie ein Passwort für die Sicherung Ihrer Firewall Konfiguration in die Cloud von Securepoint.
Dadurch haben Sie die Möglichkeit nach einer Neuinstallation der Firewall die Konfiguration der Firewall aus der Securepoint Cloud einzuspielen.
Cloudbackup-Passwort

Danach Ist Ihre Firewall fertig ersteingerichtet.

Firewall-WebGUI

Änderung der initialen Kennwörter

Wir empfehlen nach der Übergabe die initialen Kennwörter zu ändern.

  • Öffnen Sie in der Firewall-Oberfläche den Menüpunkt Authentifizierung --> Benutzer


Kennwort_aendern

  • Klicken Sie hinter dem jeweiligen Benutzer auf das Konfigurationssymbol (Schraubenschlüssel) und geben Sie im Feld Passwort und Passwort bestätigen das neue Passwort ein.
  • Abschließend klicken Sie auf Speichern.


Übersicht

Kennwort_aendern

Der Benutzer "admin" kann nicht von Ihnen angepasst werden.
Es handelt sich hierbei um einen administrativen Account der lediglich im Hintergrund für die Dienste der Firewall genutzt wird.
Anleitungen und Informationen zur Konfiguration der Firewall finden Sie unter:
http://wiki.securepoint.de/index.php/Howtos-V11

E-Mail-Schutz: Spam-Filter mit Anti-Viren-Paket (optional)

Der Schutz wird direkt auf der in der Cloud-Umgebung enthaltene Firewall implementiert.
Folgende Optionen können eingerichtet werden:


Internet-Schutz: Content-Filter mit Anti-Viren-Paket (optional)

Der Internetschutz wird auf der Cloud-Firewall in Ihrer Cloud-Umgebung implementiert. Folgende Optionen können eingerichtet werden:

UMA Mailarchivierung

Sprachen:

Anmelden an der Securepoint UMA

Sofern die Mail-Archivierung gebucht wurde steht Ihnen eine Securepoint UMA in Ihrem Paket zur Verfügung.
Die Weboberfläche zur Konfiguration kann über die folgende Adresse aufgerufen werden:

Voraussetzung hierfür ist ein aufgebauter VPN Tunnel oder der Aufruf über eine VM innerhalb des Netzwerkes.
Die Zugangsdaten hierzu lauten „admin“ und das von Ihnen vergebene Kennwort.


Weiterführende Informationen zur Konfiguration und Inbetriebnahme der Securepoint UMA finden Sie unter folgenden Link:
https://wiki.terracloud.de/index.php/UMA

Rolleninstallation

Zusätzlich zum Bereitstellen das Basis Betriebssystems werden bei VM Rollen bestimmte Installationsskripte durchgeführt, die Ihnen die gewünschte Funktionalitäten zur Verfügung stellen,
so dass Sie bspw. eine Actice Directory oder Windows Terminal Services direkt nach Übergabe an Sie nutzen können.
Die Installationen erfolgen dabei standardisiert, so dass alle von uns ausgerollten „Rollen-VMs“ den gleichen Installations- und Konfigurationsstand aufweisen.

Die Vorinstallation von Rollen ist bis einschließlich Server 2019 buchbar.

IaaS AD Rolle

Nach dem Standard VM-Deployment wird auf dem System eine Active Directory installiert mit den in der Bestellung angegebenen Domänen- bzw. NetBIOS Namen. Außerdem wird eine OU-Struktur erstellt, die wie folgt aussieht:

  • OU<DomainName>
  • Benutzer
  • Computer
  • Gruppen

Das AD wird entsprechend so konfiguriert, dass neue Benutzer-Objekte und Computer-Objekte direkt in die entsprechende OU erstellt werden.

IaaS WTS Rolle

Wurde bei der Bestellung die WTS Rolle mit aktiviert, erfolgt nach dem Standard VM-Deployment noch eine zusätzliche Installation und Konfiguration der Windows Terminal Services.
Der Terminal Server ist nicht direkt lizensiert. Um die Lizensierung abzuschließen folgen Sie bitte den Schritten in dem entsprechenden Dokument -> RDS-Aktivierung Die WTS Dienste werden standardmäßig NICHT nach außen (über Internet) verfügbar gemacht, sondern sind lediglich intern oder über VPN erreichbar. Der Zugriff auf das Web Access ist über die Adresse https://<Server FQDN>/RDWeb möglich. Hierzu muss die Namensauflösung vom Client aus möglich sein (entweder Mitglied der Domäne, Zugriff auf DNS oder entsprechenden Eintrag im HOST File erstellen). Die Anmeldung erfolgt nach der Bereitstellung über den User <NetBIOS>\Administrator mit dem entsprechenden Kennwort. Nach dem initialen Deployment sind die folgenden Applikationen veröffentlicht:

  • Office 365 ProPlus
  • Excel
  • One Note
  • Outlook
  • PowerPoint
  • Skype for Business
  • Visio
  • Word
  • System Tools
  • Calculator
  • Paint
  • Remote Desktop

Migration-VM

Unterschiede Hyper-V Generationen

Unter Hyper-V kann man zwischen Generation 1 und Generation 2 einer virtuellen Maschine auswählen.
Grundsätzlich unterscheidet sich der Bootvorgang. Während es bei Generation 1 noch auf das ältere BIOS gesetzt wird ist es bei Generation 2 bereits UEFI.
Die korrekte Angabe der Generation bei der Bestellung ist wichtig, da bei falscher Auswahl die virtuelle Maschine nicht korrekt bootet!

Vorteile der Generation 1 zur Generation 2

  • Unterstützung älterer Betriebssysteme: Windows Server 2008/R2 benötigen um in den UEFI-Modus starten zu können bestimmte Komponenten des Hyper-V, die nicht zu der Hyper-V Grundinstallation gehören.
Einige Linux-Betriebssysteme haben Startprobleme als Generation 2-VM.
  • VHD-Format wird benötigt
  • Virtuelle COM-Ports werden unterstützt

Vorteile der Generation 2 zur Generation 1

  • Mehr Sicherheit durch Secure Boot (Schutz gegen Bootloader), TPM, Device Guard und Credential Guard
  • PXE-Boot mit Synthetic Adapter
  • Schnellere Boot- bzw. Rebootzeit

Definition der Generation und Datenträger für Migrationssysteme

Die Migrations-VMs sind in erster Linie dafür vorgesehen bestehende IT Infrastrukturen in die Terra Cloud umzuziehen.
Hierbei wird eine leere VM ohne Betriebssystem bereitgestellt und ein FTP Zugang an den Kunden versendet.
Hier besteht die Möglichkeit bestehende Datenträger im VHD bzw. VHDX Format hochzuladen.

Wichtig ist, dass die eingesendeten virtuellen Datenträger bezüglich Ihrer Größe von der IaaS Bestellung abgedeckt werden und es sich um dynamische Datenträger handelt.

Beispiel:
Wurde eine Mig-VM mit 100GB Systemstorage und 100GB Datenstorage bestellt, darf diese Größe (je 100GB) mit den eingesendeten Datenträgern nicht überschritten werden.

Zudem muss auch die Generation des Betriebssystems der virtuellen Datenträger mit der bestellten Generation übereinstimmen (Siehe Unterschiede Hyper-V Generationen).

Alternativ können wir Ihnen den gebuchten Storage leer an die VM anhängen und Sie laden ein Installations - ISO auf den FTP Server, welches wir im Nachgang an der Maschine bereitstellen.
So können Sie auch Betriebssysteme in der Cloud betreiben, die so standardmäßig nicht von uns angeboten werden und die Installation eigenständig vornehmen.

Paketaktualisierung

Bitte wählen Sie hierzu den jeweiligen Kunden im Center aus.
Anschließend unter dem Punkt "Bestellungen" -> "Bestellung Unterpositionen" -> "Bestellungen Details" und dem Punkt 3 "Konfiguration" klicken Sie auf das gewünschte Terra Cloud Paket.
Dort können Sie das Paket nach Belieben bearbeiten. Wie zum Beispiel Anpassung der Ressourcen, neue VMs hinzufügen oder stornieren.

Sofern es sich um eine Bestellung von ihnen selbst handelt (NFR), finden Sie diese wie folgt:
"Zahnrad(Einstellungen)" -> "Meine Bestellungen" ->"Bestellungen" -> "Bestellung Unterpositionen" -> "Bestellungen Details" und dem Punkt 3 "Konfiguration"

Nach Buchung werden die Anpassungen von uns bearbeitet und nach Abschluss wird das Paket im Cloud Center wieder zur weiteren Bearbeitung freigeschaltet.

Erweiterung einer zusätzlichen Partition (IaaS / SaaS)

Sofern es sich um ein ein Paket handelt, welches unter portal.terracloud.de bestellt worden ist (P0000XXXXX), schreiben Sie bitte eine Mail an support@terracloud.de
Bitte geben Sie anschließend an wie groß die Partition aktuell ist und auf wie viel diese erweitert werden soll.
Falls mehrere zusätzliche Partitionen mit gleicher Größe an Ihrer VM angebunden sind, benötigen wir die Angabe des Speicherortes der Partition.
Navigieren Sie zur Datenträgerverwaltung und öffnen Sie die Eigenschaften der zur erweiternden Partition. Nun auf den Reiter Hardware.
Hier wird der Speicherort im folgenden Format angezeigt: „Bus Number 5, Target Id 0, LUN 0“.

Erweiterung der System Partition

Für die Erweiterung der System Partition ist in jedem Fall eine Downtime innerhalb der Geschäftszeiten notwendig (Mo.-Do. 8-17Uhr, Fr. 8-16Uhr).

Linux Systempartion erweitern

In dem folgenden Link finden Sie eine Anleitung zum Erweitern einer Systempartition im laufenden Betrieb.
Bitte beachten Sie, dass dies eine Hilfestellung von unserer Seite darstellt und wir keine Haftung für Folgeschäden übernehmen können.

https://wiki.terracloud.de/index.php/Linux_Systempartition_erweitern

Insofern Sie die Partition mit "gparted" erweitern möchten, können wir ein entsprechendes ISO anhängen. Dazu benötigen wir einmal die Paketnummer/Bestellnummer und den Hostnamen der VM.

CPU/RAM Änderungen einer VM

Sofern die Ressourcen einer virtuellen Maschine angepasst werden sollen (RAM /vCores) ist eine Downtime der Maschine notwendig.
Sie können uns hierzu einen gewünschten Termin (auch außerhalb der Geschäftszeiten) mitteilen.

Wir empfehlen die VM rechtzeitig vor dem genannten Termin herunterzufahren, so dass sichergestellt ist das alle Dienste ordnungsgemäß beendet werden können.
Sollte die VM nicht beendet sein, so wird ein Shutdown initiiert. Sollte die VM nicht ordnungsgemäß auf den Shutdown reagieren wird die VM ausgeschaltet.

Im Anschluss an die Erweiterung wird die VM automatisch wieder gestartet.

Termine für eine Downtime außerhalb der Geschäftszeiten können in der Regel bis 16 Uhr des selbigen Werktages entgegengenommen und realisiert werden.

Sonstiges

PTR-Record

Der PTR Record bildet den Reverse Lookup bei DNS Abfragen.
Der zuständige MX Record einer Domäne verweist mittels A-Record auf eine öffentliche IP.

Es werden daher folgende Namensauflösungen erstellt:
mail.terracloud.de -> 185.35.12.58

Nun setzen viele Mail-Server zur SPAM-Abwehr einen Reverse Lookup ein und fragen im gleichen Zug die IP-Adresse ab.
185.35.12.58 -> mail.terracloud.de (PTR)
Der PTR-Record verweist also mittels IP auf einen A-Record.

Ist diese Konstellation nicht vorhanden oder stimmt nicht überein können einige Mail-Systeme Ihre Mails als SPAM verwerfen.

Der PTR Record kann über eine Nachricht an unseren Support gesetzt werden.

Netzadressen als Laufwerk unter Windows einbinden und trennen

Sie haben die Möglichkeit, unter Windows eine Netzadresse als Laufwerk einzubinden.
Die eingebundene Netzadresse wird dann unter „Dieser PC“ im Abschnitt „Netzwerkadressen“ wie ein normales Laufwerk angezeigt und Sie können wie auf einen Ordner darauf zugreifen.
Eine Netzadresse können Sie wie folgt als Laufwerk einbinden:
  • Öffnen Sie „Dieser PC“ im Windows Explorer. Klappen Sie in der linken oberen Ecke neben Datei das Untermenü „Computer“ aus.
  • Wählen Sie die Option „Netzlaufwerk verbinden“ an. Es erscheint folgendes Fenster:

Netzlaufwerk einbinden

  • Bestimmen Sie einen beliebigen Laufwerkbuchstaben (in diesem Beispiel A:).
  • Geben Sie den Pfad, die IP-Adresse oder die URL der zugehörigen Netzadresse ein.
Ein Beispiel ist: https://terracloud.de.
Markieren Sie nun noch die Option „Verbindung mit anderen Anmeldeinformationen herstellen“ und drücken Sie auf „Fertig stellen“.
  • Es folgt ein Windows-Sicherheits Fenster, bei der die Login Daten für die betreffende Website angefordert werden. Wählen Sie „Anmeldedaten speichern“,
wenn Sie ohne erneute Passwortabfrage bei einem Neustart des PCs Zugriff behalten wollen.
  • Es öffnet sich automatisch der Windows Explorer mit dem betreffenden Laufwerk.
Sie haben nun Zugriff auf die Dateien aus der Netzadresse. Das Laufwerk wird außerdem unter „Dieser PC“ angezeigt und kann auch darüber angewählt werden.
  • Sie können ein Netzlaufwerk trennen, indem Sie unter „Dieser PC“ auf „Computer“ klicken und unter „Netzlaufwerk verbinden“ auf den schwarzen Pfeil klicken.
  • Es öffnet sich ein weiteres Menü, mit den Optionen „Netzlaufwerk verbinden“ und „Netzlaufwerk trennen“. Wählen Sie „trennen“ und es öffnet sich folgendes Fenster:

Verbindungen trennen

  • Wählen Sie das entsprechende Netzlaufwerk aus und bestätigen Sie Ihre Auswahl mit „OK“.

Downloadaktivierung nach der Bereitstellung einer VM

Nach der Bereitstellung einer VM ist der Dateidownload mit dem Internet Explorer und dem Explorer standardmäßig deaktiviert.
Sie erhalten die Fehlermeldung „Die aktuellen Sicherheitseinstellungen erlauben keinen Download dieser Datei“. Sie können diesen wie folgt freigeben:

  • Öffnen Sie in Ihrer VM die Systemsteuerung
  • Wählen Sie den Abschnitt „Netzwerk und Internet“ an. In dem Bereich gibt es zwei Unterthemen
  • Öffnen Sie „Internetoptionen“. Es erscheint folgendes Fenster:

Eigenschaften von Internet

  • Gehen Sie auf den Reiter „Sicherheit“ und im Abschnitt „Sicherheitsstufe für diese Zone“ auf „Stufe anpassen“.
  • Aktivieren Sie den Dateidownload im Abschnitt „Download“.

Dateidownload Aktivieren

  • Bestätigen Sie die neuen Einstellungen. Sie können nun Dateien downloaden.


USB-Dongle

Sprachen:

Zusendung


Zur Einsendung des USB-Sticks verwenden Sie bitte das Einsendeformular.
Dieses finden Sie hier:

https://download.terracloud.de/files/Formulare%20&%20Zertifikate/terra%20CLOUD_Einsendeformular.pdf

Ersteinrichtung

Verbinden Sie sich von dem System innerhalb Ihrer TERRA CLOUD Umgebung, indem der USB-Dongle eingebunden werden soll mit unserem FTP-Server.
Die notwendige Client-Software finden Sie unter dem folgendem Link:
ftp://ftp44.terracloud.de/SEH%20Dongelserver%20Manager/

ftp44.terracloud.de

Laden Sie zunächst die Datei "sehutnmanager-win-3.0.8.zip" oder neuer herunter. Bitte achten Sie darauf, welches Betriebssystem Sie nutzen.
Entpacken Sie anschließend nun diese Datei in Ihr gewünschtes Verzeichnis und führen Sie die Datei "sehutnmanager-win-3.0.8.exe" aus.

Datei öffnen

Im Anschluss klicken Sie bitte auf "Fertig stellen" und führen das Tool aus.

Fertig stellen

Sofern das Tool Ihren Dongle nicht automatisch erkennt, klicken Sie bitte auf „Suchen“.

Suchfunktion

Die Angabe des Netzwerkbereiches ist optional, kann aber bei der spezifischen USB-Dongle Suche helfen.

Suchoptionen

Nach der Suche des USB-Dongles fügen Sie Ihn mit dem Button „Hinzufügen“ hinzu.
Als nächstes wird Ihnen der Hostname des USB-Dongle Servers, der Name des USB-Dongles, die IP und der zugehörige Port angezeigt.

Aktivieren des Dongle

Im letzten Schritt klicken Sie bitte auf „Aktivieren“ um den USB-Port zu aktivieren.

Aktiviert

FAQ

USB-Dongle nach Neustart automatisch aktivieren

Bitte klicken Sie mit der rechten Maustaste im SEH-UTN-Manager auf dem Dongleserver. Wählen Sie anschließend "Auto-Connect aktivieren..." aus.

Auto-Connect

Im folgendem Fenster wählen Sie den zugehörigen Port (der Ihnen zugewiesen worden ist) aus. Bestätigen Sie im Anschluss mit "Ok".

Port auswählen

In Supportfällen

Bei Supportanfragen zu Ihrem gebuchten USB-Dongle senden Sie uns bitte einen Screenshot des SEH UTN Managers von dem betroffenen Client zu.
Alternativ lassen Sie uns bitte die gelb markierten Informationen (siehe unten) zukommen.

benötigte Informationen im Support-Fall