Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften. Jahresbericht Juli 2013 LRZ-Bericht

Größe: px
Ab Seite anzeigen:

Download "Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften. Jahresbericht 2012. Juli 2013 LRZ-Bericht 2013-01"

Transkript

1 Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften Jahresbericht 2012 Juli 2013 LRZ-Bericht Direktorium: Prof. Dr. A. Bode (Vorsitzender) Prof. Dr. H.-J. Bungartz Prof. Dr. H.-G. Hegering Prof. Dr. D. Kranzlmüller Leibniz-Rechenzentrum Boltzmannstraße Garching b. München UST-ID-Nr. DE Telefon: (089) Telefax: (089) Internet: Öffentliche Verkehrsmittel: U6: Garching-Forschungszentrum

2

3 Jahresbericht 2012 des Leibniz-Rechenzentrums i Vorwort Überblick Hochleistungsrechnen und Grid Schwerpunkte der Arbeit und neue Abteilungsstruktur Supercomputing SuperMUC: Ein neuer Höchstleistungsrechner für Europa Installation und Inbetriebnahme des SuperMUC Betrieb des Höchstleistungsrechners SuperMUC Benutzerverwaltung für die Hochleistungssysteme Nutzungsstatistik Linux-Cluster Übersicht über die Cluster-Systeme Erweiterung des wassergekühlten Clusters von MEGWare / MAC-Cluster Betrieb der Cluster-Systeme Tests und Prototypen GPGPU-System Nutzungsstatistiken Technisch-wissenschaftliche Software Remote Visualisierung Projekte im Hochleistungsrechnen Gauss Centre for Supercomputing (GCS) KONWIHR Partnership for Advanced Computing in Europe: PRACE DEEP Mont-Blanc AutoTune ScalaLife Arbeiten für die Antragstellung REACT Arbeiten für die Antragstellung FEPA PROSPECT e.v ETP4HPC Benutzerunterstützung für Hochleistungssysteme Benutzeranfragen Kurse und Ausbildung Standardisierungs-Aktivitäten im Bereich der parallelen Programmierung Öffentlichkeitsarbeit Grid-Dienste Projekte im Grid-Computing Initiative for Globus in Europe (IGE) D-Grid (Förderung e-science und vernetztes Wissensmanagement des BMBF) EGI-InSPIRE VERCE MAPPER DRIHM e-infrastructure Reflection Group Support Programme 3 (e-irgsp3) Tier-2-Zentrum des Large Hadron Collider Computing Grids (LCG)... 28

4 ii Inhaltsverzeichnis 3 Serverbetrieb Linux-Server Windows Datenhaltung Überblick Datenhaltung Archiv- und Backupsystem Konfiguration Aktivitäten Statistik Plattform für digitale Langzeitarchivierung Projekt Rosetta Projekt Google Datenbanken und Web-Schnittstellen für den Betrieb der Supercomputer am LRZ Online-Speicher Konfiguration und Entwicklung im Überblick Hochverfügbarer Speicher für virtuelle Server MWN-Speicher Sonstige Aktivitäten Daten- und Archivräume Internetdienste Ersatz des Dienstes Mailout durch Postout Neuer Webmailer Roundcube Spezielle Markierung von Newslettern Snowshoe-Spam Virenabwehr SRS Sender Rewriting Scheme Einsatz von Puppet mit Subversion Maximale Mailgröße erhöht Statistiken Exchange Statistik zur Nutzung des Exchange-Dienstes Sharepoint Webhosting E-Learning TUM-Portal Userweb und Research Downloadbereiche zur Softwareverteilung Neuauflage des Webauftritts der BAdW Redesign des Webauftritts des LRZ Webhosting-Statistik Serveradministration und Applikationsunterstützung Serveradministration in BDS Streamingserver... 63

5 Jahresbericht 2012 des Leibniz-Rechenzentrums iii 6 Netzdienste für Institutionen Struktur und Betrieb des Münchner Wissenschaftsnetzes (MWN) Struktur des Backbone Netzes Router Auswahl Struktur der Gebäude-Netze im MWN Struktur des Rechenzentrumsnetzes (RZ-Netz) Anschluss ans MWN; Wesentliche Änderungen im Netz Wesentliche Netzänderungen im Jahr Netzausbau (Verkabelung); Netzinvestitionsprogramm Anbindung Studentenwohnheime DNS und Sicherheit im DNS DNS-Amplifikation-Attacks und offene Resolver DHCP Radius Netzkomponenten-Beratung Switch-Auswahl Telefonie Zugang über UMTS Unterstützende Infrastruktur-Dienste Service Load Balancer (SLB) IPv Wellenlängenmultiplexer IP-Multiplexer Netzmanagement und monitoring Netzmanagement Netzdokumentation Überwachung der Dienstqualität Evaluation VistaFoundation Kit Reporting für Netzverantwortliche Projekte im Bereich Netze D-Grid GIDS SASER Customer Network Management (CNM) Projekte im Rahmen von Géant Projekte im Rahmen von Geant Netzdienste für Endanwender Internetzugang und LAN WLAN und Eduroam WLAN-Ausbau im Gebäude der Fakultät Maschinenwesen WLAN-Auswahl Eduroam Unterstützung von Veranstaltungen VPN Technik VPN-Software Telearbeitsplätze von LRZ-Mitarbeitern

6 iv Inhaltsverzeichnis Entwicklung des Datenverkehrs über die VPN-Server Modem / ISDN Virtual Reality und Visualisierung Sichtbarkeit und Öffentlichkeitsarbeit Kooperationen Forschung und Lehre IT-Service-Management IT-Service-Management: Einführung von ISO/IEC Incident-Management Weitere ITSM-Prozesse Sonstige Aktivitäten Service-Management-Plattform Action Request System Servicedesk Informationen und Weiterbildung Kurse und Veranstaltungen Kursübersicht, Statistik Kurse und Ausbildung im Bereich Hochleistungsrechnen Vorträge Schattenseiten des Internet Öffentlichkeitsarbeit Software-Bezug und Lizenzen Bundesweiter Rahmenvertrag für Microsoft-Lizenzen Überregionaler Rahmenvertrag zum Bezug von Beratungs- und Supportdienstleistungen zu Microsoft-Produkten Bayernweiter Mietvertrag für Adobe-Lizenzen Vereinfachung der Versorgung mit ESRI-Lizenzen an der TU München Vereinfachung der Versorgung mit Mathematica-Lizenzen an der LMU München Weitere laufende Verhandlungen und Planungen Tagesgeschäft Abläufe und Änderungen bei der Versorgung der Kunden des LRZ Routinemäßige Verlängerung und Ausbau bestehender Verträge Betrieb von Lizenzservern für Kunden des LRZ Benutzerverwaltung und Verzeichnisdienste Benutzerverwaltung für LRZ-Dienste Für LRZ-Systeme vergebene Kennungen Identity Management und Verzeichnisdienste CampusLMU und TUMonline CampusLMU-Anbindung TUMonline-Anbindung MWN Active Directory DFN-AAI/Shibboleth

7 Jahresbericht 2012 des Leibniz-Rechenzentrums v Entwicklungen im Identity-Provider-Dienstbetrieb Anpassungen für spezielle Service Provider Dienste mit Sondervereinbarungen Bibliotheksverbund Bayern Managed Hosting für hochschulstart.de IT-Sicherheit Antivirus WSUS Virtuelle Firewall Sicherheitswerkzeuge und Sicherheitsmanagement Secomat Security Information & Event Management Nessi Nyx Server- und Benutzerzertifizierung nach X Arbeitsplätze Windows Linux-Mitarbeiter-PCs Rechnerpools und Spezialarbeitsplätze Interna Personal Personalausstattung Personalveränderungen Gebäude und Infrastruktur Gebäudemanagement Energieeffizienz Das LRZ als Ausbildungsbetrieb Dienstleistungskatalog Management-Tools, Dokumentation und Dienstleistungsbaum Mitarbeit in Gremien Abteilung Benutzernahe Dienste und Systeme Abteilung Hochleistungssysteme Abteilung Kommunikationsnetze Abteilung Zentrale Dienste Veranstaltungen am LRZ Mitarbeit bei und Besuch von Tagungen und Fortbildungsveranstaltungen Abteilung Benutzernahe Dienste und Systeme Abteilung Hochleistungssysteme Abteilung Kommunikationsnetze Abteilung Zentrale Dienste Betreuung von Diplom-, Bachelor-, Master- und Studienarbeiten Veröffentlichungen der Mitarbeiter

8 vi Inhaltsverzeichnis Promotionen und Habilitationen am LRZ Technische Ausstattung Datenspeicher Rechner und Server Höchstleistungsrechner SuperMUC Migrationssystem SuperMIG (IBM BladeCenter HX5) Hochleistungs-Linux-Systeme Grid-Rechner Hochleistungs-Graphik-System Server-, Benutzer- und Mitarbeiter-Arbeitsplatzrechner Netzkomponenten Router Switches WLAN-Komponenten Netz-Server

9 Jahresbericht 2012 des Leibniz-Rechenzentrums, Vorwort 1 Vorwort 2012 war ein außergewöhnliches Jahr für das Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften: unter großer Anteilnahme hochrangiger und internationaler Festgäste, aktueller und ehemaliger Mitarbeiter, Kunden und Kooperationspartner konnte das LRZ am 20. Juli nicht nur seinen 50. Geburtstag feiern, sondern auch die äußerst erfolgreiche Inbetriebnahme des Höchstleistungsrechners SuperMUC, leistungsfähigster Rechner in Europa und Platz vier der Welt! Der vorliegende Jahresbericht dokumentiert wiederum die gestiegene regionale, nationale und internationale Bedeutung des LRZ als Wissenschafts-Rechenzentrum mit vielfältigen Dienstleistungen für Forschung, Lehre und Verwaltung. Die von allen anerkannte Stellung des LRZ konnte nur erreicht werden, weil die Förderer des LRZ mit großer Weitsicht nachhaltig die Arbeit dieser einmaligen Einrichtung finanzieren, allen voran die Bayerische Staatsregierung und speziell das Bayerische Staatsministerium für Wissenschaft, Forschung und Kunst, dem wir zu großem Dank verpflichtet sind. Den Mitarbeiterinnen und Mitarbeitern des LRZ möchte ich für ihre engagierte Arbeit danken. Mein besonderer Dank gilt aber auch der Bayerischen Akademie der Wissenschaften, den Mitgliedern des Lenkungsausschusses und der Kommission für Informatik, die die Arbeit des LRZ mit konstruktiver Kritik stets fachkundig unterstützt haben. Persönlich danke ich insbesondere den Mitgliedern des Direktoriums des LRZ, den Kollegen Hans- Joachim Bungartz, Dieter Kranzlmüller und Heinz-Gerd Hegering, die ihre große Fachkompetenz in die Prof. Dr. Karl-Heinz Hoffmann, Präsident der BAdW, Martina Koederitz, Geschäftsführerin IBM Deutschland GmbH, Bundesministerin Prof. Dr. Annette Schavan, Prof. Dr. Bernd Huber, Präsident der LMU, Staatsminister Dr. Wolfgang Heubisch, Prof. Dr. Wolfgang A. Herrmann, Präsident der TUM, Prof. Dr. Arndt Bode, Vorsitzender des Direktoriums des LRZ, Prof. Dr. Heinz- Gerd Hegering, Direktoriumsmitglied des LRZ und Prof. Dr. Achim Bachem, Vorstandsvorsitzender des Forschungszentrums Jülich (v.l.n.r.) bei der Feier am 20. Juli 2012 Leitung des LRZ mit eingebracht haben. Der vorgelegte Jahresbericht geht wieder bewusst über das Zahlenwerk üblicher Jahresberichte hinaus. Wir versuchen wie in den letzten Jahren, viele unserer Dienste und Geschäftsprozesse zu erklären und unsere Konventionen und Handlungsweisen zu begründen. Dies soll die Komplexität unserer Aufgaben-

10 2 Vorwort stellung und das LRZ als Institution transparenter machen. Das LRZ nimmt aufgrund seiner Größe und Organisationsform, des Umfangs seines Versorgungsbereiches, der Anzahl seiner Nutzer, Anzahl, Vielfalt und Heterogenität der Systeme, Beteiligung an Entwicklungsprojekten usw. eine deutliche Sonderstellung ein, die auch im Bericht sichtbar wird. Eine moderne IT-Infrastruktur ist essentiell für die Wettbewerbsfähigkeit der Hochschulen und des Landes, und so muss auch das IT-Kompetenzzentrum fest im Hochschulumfeld verankert sein. Das Leibniz- Rechenzentrum als das technisch-wissenschaftliche Rechenzentrum für die Münchner Hochschulen wird sich auch in Zukunft den Anforderungen eines modernen IT-Kompetenzzentrums stellen, und das nicht nur durch den zuverlässigen Betrieb von IT-Infrastruktur, sondern auch durch aktive Beteiligung an Forschung und Entwicklung in den Bereichen Kommunikationssysteme, IT-Managementprozesse, Computational Science und Grid-Computing. Hierzu zählen auch die Initiativen im Rahmen von ISO/IEC Ich danke für die gute Zusammenarbeit mit Ihnen im Jahr 2012 und freue mich auf alle gemeinsamen Vorhaben im Jahr Univ.-Prof. Dr. Arndt Bode Vorsitzender des Direktoriums des Leibniz-Rechenzentrums

11 Jahresbericht 2012 des Leibniz-Rechenzentrums 3

12 4 Überblick 1 Überblick Herausragende Ereignisse waren im Jahr 2012 die Verleihung des Deutschen Rechenzentrumspreises 2012 in der Kategorie "Energie- und Ressourceneffiziente Rechenzentren", die Festveranstaltung zum 50- jährigen Bestehen der Kommission für Informatik sowie zur Inbetriebnahme des neuen europäischem Höchstleistungsrechners am 20. Juli 2012 im Beisein von Bundesministerin Annette Schavan und des bayerischen Wissenschaftsministers Wolfgang Heubisch und die erfolgreiche Installation und Eröffnung des Zentrums für virtuelle Realität und Visualisierung (V2C). Abbildung 1 Prof. Dr. Karl-Heinz Hoffmann, Präsident der BAdW, Prof. Dr. Arndt Bode, Vorsitzender des Direktoriums des LRZ, Martina Koederitz, Geschäftsführerin IBM Deutschland GmbH, Bundesministerin Prof. Dr. Annette Schavan und Staatsminister Dr. Wolfgang Heubisch (v.l.n.r.) bei der Feier am 20. Juli 2012 Nach der erfolgreichen Inbetriebnahme des SuperMUC (Platz 4 weltweit, Platz 1 in Europa auf der Top500-Liste vom Juni 2012) sind hier die Aktivitäten zum Ausbau der Stellung des LRZ als ein Europäisches Zentrum für Supercomputing, das seine Dienste eingebettet in GCS und die europäische Infrastruktur PRACE (Partnership for Advanced Computing in Europe) einbringt, zu benennen. Im Hinblick auf die zukünftige Versorgung mit Höchstleistungsrechnerkapazität haben Bund und Länder im Jahr 2012 zusätzliche Mittel im Rahmen des Förderprojektes PetaGCS in Höhe von weiteren 52 Mio. (damit insgesamt 400 Mio.) für das GCS für Phase 2 zur Verfügung gestellt. Personell ist und war das LRZ bzw. das Direktorium durch Prof. Hegering als Leiter des GCS e.v. (Verlängerung bis Frühjahr 2013), mit Prof. Bode als Vertreter der Bayerischen Akademie der Wissenschaften im Vorstand von GCS sowie als Deutscher Vertreter im PRACE Council, als Mitglied des Verwaltungsrates der European Open File Systems Initiative (EOFS) sowie Gründungmitglied der European Technology Platform for High Performance Computing ETP4HPC und mit Prof. Kranzlmüller als deutschem Vertreter des NGI-DE in EGI in nationale und europäische Aktivitäten eingebunden.

13 Jahresbericht 2012 des Leibniz-Rechenzentrums 5 Weitere herausragende Ereignisse im Jahr 2012 waren: Ausbau der Mail-, Groupware- und E-Learning-Dienste für die Münchner Hochschulen, auch bedingt durch den doppelten Studienjahrgang Ausbau des Münchner Wissenschaftsnetzes, ebenfalls bedingt durch den doppelten Studienjahrgang Ausbau der Dienstleistungen in den Bereichen Virtuelle Server, Desktop Management, elearning Plattformen und Digitale Langzeitarchivierung Professionalisierung verschiedener Dienste (u.a. Sicherheit) Weitere Rezentralisierung (Übernahme überregionaler Aufgaben) Einwerbung weiterer Drittmittelprojekte; das LRZ ist aktuell an 13 EU- und 2 BMBF-Projekten beteiligt Tag der offenen Tür am mit etwa Besuchern Antrag und erfolgreiche Umsetzung zahlreicher Großgeräteanträge der DFG (insbes. zum Aufbau eines Visualisierungs- und Virtual-Reality-Zentrums, für ein Hochleistungs-Archiv- und Backup- System, zum Ausbau des Kommunikationsnetzes und zur Modernisierung der IT-Infrastruktur des Bibliotheksverbunds Bayern). Die Planung aller Aktivitäten erfolgt in direkter Absprache mit den Hochschulleitungen von LMU und TUM. Der Umfang der Dienstleistungen des LRZ nahm auch im Berichtsjahr weiter zu. Allerdings ist anzumerken, dass die vielfachen Aktivitäten im EU-Umfeld sowie der Inbetriebnahme des SuperMUC und der Planung der Erweiterung des Höchstleistungsrechners (SuperMUC Phase 2) große personelle Ressourcen binden, die nur durch einen außerordentlichen persönlichen Einsatz der Mitarbeiter erfolgreich zu erledigen waren. Darüber wird im Folgenden ausführlich berichtet.

14 6 Hochleistungsrechnen und Grid 2 Hochleistungsrechnen und Grid 2.1 Schwerpunkte der Arbeit und neue Abteilungsstruktur Der Schwerpunkt der Aktivitäten der Abteilung Hochleistungssysteme bestand in der Installation und Abnahme des zum Lieferzeitpunkt leistungsfähigsten Rechensystems in Europa SuperMUC und der zu seinem Betrieb notwendigen Infrastruktur. Diese Aktivitäten gingen einher mit der Umstrukturierung der Abteilung Hochleistungssysteme, in der es seit Mai statt bisher vier Gruppen nunmehr fünf gibt: APP: Applikationsunterstützung HPC: HPC Server u. Dienste DAT: Datenhaltung ITS: IT-Infrastruktur Server und Dienste VER: Verteilte Ressourcen 2.2 Supercomputing SuperMUC: Ein neuer Höchstleistungsrechner für Europa Nach einer Betriebszeit von fünf Jahren wurde der Höchstleistungsrechner in Bayern (HLRB II), eine SGI Altix 4700, Ende Oktober 2011 außer Betrieb genommen und durch ein wesentlich leistungsfähigeres System mit dem Namen SuperMUC ersetzt. Bei SuperMUC handelt es sich um die erste Ausbaustufe eines Clustersystems der Firma IBM, das aus 19 miteinander gekoppelten Rechnerinseln besteht. Das System wurde im obersten Stockwerk des erweiterten Rechnerkubus des LRZ installiert. Die für 2014/2015 geplante zweite Installationsstufe wird dann zusätzlich den Platz des bisherigen Rechners im Bestandsbau einnehmen. Die Leistungsdaten des neuen Systems sind bereits in der ersten Ausbaustufe imposant: SuperMUC besteht aus Rechenknoten mit insgesamt Prozessorkernen. Die Spitzenleistung des Systems beträgt 3,2 Petaflops (drei PetaFlop/s, das sind drei Billiarden Rechenoperationen pro Sekunde oder eine 3 mit 15 Nullen). Darüber hinaus ist der Supercomputer mit über 300 TByte Arbeitsspeicher sowie 12 PByte Hintergrundspeicher ausgestattet. Alle Rechenknoten sind über ein FDR10-Infinibandnetz mit einer Bisektrionsbandbreite von 35,6 TByte/s untereinander verbunden. Nach den fast vier Monate dauernden Installationsarbeiten konnte rechtzeitig zur Internationalen Supercomputing Konferenz in Hamburg im Juni 2012 ein LINPACK-Leistungswert von beeindruckenden 2.9 PFlop/s demonstriert werden, womit die Einstufung als viertschnellstes System der Welt und schnellstes System Europas verbunden war. Auch in der Top500-Liste vom November 2012 lag SuperMUC noch auf Platz 6. Während der bisherige Rechner vor allem für Projekte aus Wissenschaft und Forschung innerhalb Deutschlands genutzt wurde, stellt der neue Rechner auch einen Teil des deutschen Beitrags zur europäischen Höchstleistungsrechner-Infrastruktur innerhalb von PRACE (Partnership for Advanced Computing in Europe) dar. Der deutsche Beitrag zur PRACE-Infrastruktur wird zusammen mit den beiden anderen Partnern Jülich und Hochleistungsrechenzentrum Stuttgart (HLRS) vom Gauss-Zentrum für Supercomputing (GCS e.v.) erbracht.

15 Jahresbericht 2012 des Leibniz-Rechenzentrums 7 Abbildung 2 SuperMUC im Rechnerraum: dieses Bild ist keine Photographie sondern wurde künstlich auf dem Rechner aus den vorhandenen Geometriedaten berechnet Architektur des Systems Bei der Beschaffung des Rechners SuperMUC standen drei Aspekte im Vordergrund: eine breite und einfache Nutzbarkeit des Systems für verschiedene Wissenschaftsdisziplinen, hohe Zuverlässigkeit sowie eine möglichst hohe Energieeffizienz. Diese Ziele des LRZ wurden ab Mai 2009 mit Herstellern im Rahmen einer Markterkundung diskutiert. Nach dem europaweiten Teilnahmewettbewerb wurde ab März 2010 in einem Wettbewerblichen Dialog mit vier Firmen intensiv verhandelt und eine umfangreiche Leistungsbeschreibung erstellt, die auch Benchmark-Programme beinhaltete. Die Entscheidung fiel dann im November 2010 zugunsten von IBM mit dem System X idataplex, das auf 64 Bit Intel Standard- Prozessoren der neuesten Generation basiert. Die wichtigsten Charakteristiken des neuen Rechners werden im Folgenden dargestellt: Thin Node Insel Fat Node Insel (zugleich Migrationssystem) Anzahl Inseln 18 1 Anzahl Cores Anzahl Knoten Prozessor Intel Sandy Bridge-EP Intel Westmere-EX Peak-Rechenleistung (PFlop/s) Gesamter Hauptspeicher (TByte) Gemeinsamer Hauptspeicher pro Knoten (GByte) Bandbreite zum Hauptspeicher pro Core (GByte/s) Verbindung innerhalb einer Insel FDR10 QDR Verbindungstopologie innerhalb einer Insel Non-blocking Fat Tree Non-blocking Fat Tree Verbindung zwischen den Inseln FDR10 Verbindungstopologie zwischen Inseln Ausgedünnter (4:1) Fat Tree Bisektionsbandbreite des Verbindungsnetzwerkes 35.6 TByte/s Größe und Bandbreite des parallelen Dateisystems 10 PByte mit 200 Gbyte/s GPFS Größe und Bandbreite des Home Dateisystems 1.5 PByte mit 10 GByte/s Stromverbrauch des Systems (MW) <3 Tabelle 1: SuperMUC-Kennzahlen

16 8 Hochleistungsrechnen und Grid Das Gesamtsystem ist in 19 Compute-Inseln mit jeweils etwa Rechenkernen unterteilt. Eine dieser Inseln ist mit Knoten mit besonders viel Hauptspeicher ausgestattet (Fat-Node Insel mit 205 Rechenknoten). Die hierbei verwendete Prozessortechnologie ist Intel Westmere-EX. Dabei besteht ein Rechenknoten aus 40 Cores, die auf einen gemeinsamen Hauptspeicher von 256 Gigabyte zugreifen. Diese Insel wurde schon im Jahr 2011 für den Einsatz als Migrationssystem (SuperMIG) vorab geliefert; sie soll nach der Integration ins Gesamtsystem durch Programme benutzt werden, die extrem viel gemeinsamen Hauptspeicher benötigen, etwa für Pre- oder Postprocessing. Der Hauptteil des Systems besteht aus Rechenknoten mit deutlich weniger Cores und Hauptspeicher pro Knoten (Thin-Node Inseln mit 16 Cores und 32 Gigabyte pro Knoten), da bei hochskalierbaren Programmen die Daten über die Knoten verteilt abgelegt werden. Jede dieser Inseln besteht aus 512 Knoten (zuzüglich Ausfallreserve und Serviceknoten). Ein Knoten besteht aus jeweils zwei 8-Core Sandy Bridge-EP Sockeln, deren Eigenschaften besonders für das Hochleistungsrechnen geeignet sind. Abbildung 3 Schematischer Aufbau des SuperMUC Energieeffizienz Der Energieverbrauch des neuen Rechners von etwa 3 Megawatt unter Volllast, zu dem noch der Aufwand für die Kühlung hinzukommt, hat das LRZ vor hohe finanzielle und technische Probleme gestellt und entscheidend die Verhandlungen mit den Herstellern geprägt. So wurde beschlossen, bei der Kühlung des Rechners einen völlig neuen Weg zu beschreiten. Die meisten der Knoten des SuperMUC nutzen eine Wasserkühlung, die aufgrund hoher Vorlauftemperaturen gleich mehrere Vorteile verbindet: Etwa 10 Prozent Energie werden durch die reine Wasserkühlung gespart, da auf den Knoten weniger bis gar keine aktiven Lüftungskomponenten mehr benötigt und Leckströme verringert werden. Außerdem werden keine energieintensiven Kältemaschinen für das Rechenzentrum benötigt, was den Energieverbrauch des Gesamtsystems erheblich reduziert. Die Warmwasserkühlung bringt zudem wertvolle Wärmeenergie zurück, die sich vielfältig verwenden lässt, etwa zur Gebäudeheizung. Im Vergleich zu konventionellen, kaltluftgekühlten Systemen reduzieren sich die CO2-Bilanz und auch der Lärmpegel im Rechnerraum signifikant. Die Warmwasserkühlung, die die Chips des Systems direkt kühlt, wurde eigens durch IBM entworfen und implementiert. Der SuperMUC kombiniert diese Warmwasserkühlung mit den energieeffizienten Intel Xeon Prozessoren und einer anwendungsorientiert arbeitenden Systemsoftware, die gemeinsam von IBM und LRZ weiterentwickelt wird, um den Energieverbrauch weiter zu senken. So wird aufgrund von Messungen des Energieverbrauchs und der Programmcharakteristiken die Taktung der Prozessoren opti-

17 Jahresbericht 2012 des Leibniz-Rechenzentrums 9 mal eingestellt, ohne die Rechenleistung zu sehr zu beeinträchtigen. Außerdem werden Prozessoren, die für einen gewissen Zeitraum nicht benötigt werden, herunter getaktet, bzw. vollständige Knoten in einen energiesparenden Schlafzustand versetzt. Durch all diese Maßnahmen soll der Gesamt-Energieverbrauch um 30 bis 40 Prozent gesenkt und ein wesentlicher Beitrag zum Klimaschutz geleistet werden. Abbildung 4 Rechenknoten mit Warmwasserkühlung Installation und Inbetriebnahme des SuperMUC Die physische Installation des Phase-1 Systems (Rechenknoten, Massenspeicher und Verbindungsnetzwerk) erstreckte sich über die Monate Februar bis April; nach Anlieferung der ersten Compute-Inseln wurden die ersten LINPACK-basierten Burn-in Tests ab Anfang März vorgenommen. Der für die TOP- 500 Liste relevante LINPACK-Lauf wurde dann im Laufe des Monats Mai vorbereitet und durchgeführt. Das Resultat von PFlop/s platzierte den Rechner als weltweit schnellstes Intel-basiertes System auf Rang 4 dieser Liste und damit auch als schnellsten Rechner in Europa. Ende Juni begann dann nach einigen weiteren notwendigen Arbeiten, die IBM an der Skalierung der eingesetzten Systemsoftware vornehmen musste die Abnahme des Systems, die sich aus der Leistungsprüfung (also der Verifikation der von IBM zugesicherten Rechenleistung für einen definierten Satz von Benchmark-Programmen), der Funktionsprüfung (also der Verifikation von zugesicherter Funktionalität), sowie der Zuverlässigkeitsprüfung (also der Betriebsstabilität im normalen Benutzerbetrieb) zusammensetzte. Leistungs- und Funktionsprüfung waren größtenteils bis Mitte August abgeschlossen; danach folgte die Zuverlässigkeitsprüfung im Benutzerbetrieb. Im Anschluss daran wurden noch einige Benchmarks wiederholt, und noch ausstehende Funktionen nachträglich geprüft. Die Abnahme des Rechensystems wurde am 11. September erklärt. Die während der Zuverlässigkeitsprüfung gemessene Systemverfügbarkeit betrug 99,23%. Im Rahmen der Zuverlässigkeitsprüfung wurde noch eine Reihe von nicht betriebsgefährdenden Software-Mängeln festgestellt, die sich erst durch programm-spezifische Nutzungsmuster manifestierten. Diese Mängel wurden entweder durch die üblichen IBM-seitigen Bereinigungsprozesse zumeist bis Ende des Jahres behoben oder den Benutzern wurden Workarounds zur Verfügung gestellt. Ein im Berichtsjahr offener Abnahmepunkt ergab sich im Bereich der Datenhaltung: Für die dem parallelen Dateisystem zugeordnete Storage-Infrastruktur war bereits vorab wegen Liefer-Verzögerungen der Storage Controller eine Nachlieferung und verzögerte Abnahme vereinbart worden. Die Abnahme des Hintergrundspeichers konnte aufgrund von Schwierigkeiten bei der Demonstration der vertraglich vereinbarten I/O-Leistung erst im Folgejahr erfolgen Betrieb des Höchstleistungsrechners SuperMUC In der ersten Jahreshälfte stand für SuperMUC-Benutzer nur das Migrationssystem SuperMIG zur Verfügung. Ausgewählte Nutzer konnten ab August Ihre Berechnungen auf dem neuen System durchführen. Der allgemeine Nutzerbetrieb wurde Mitte September aufgenommen. Ab November hatte sich der Benut-

18 10 Hochleistungsrechnen und Grid zerbetrieb dann soweit normalisiert, dass eine Abrechnung der des Rechenzeitverbrauchs auf die Kontingente der Benutzer vorgenommen wurde. Ab September wurden auf dem Rechner dann auch die ersten Projekte von PRACE zugelassen. Dabei wurde für die Dauer eines Jahres Rechenzeit im Umfang von 200 Millionen Core-Stunden für diese Projekte bereitgestellt, die als deutscher Betrag für das europäische Projekt vorgesehen sind. Eine Reihe von Stabilitätsproblemen, die sich teilweise bereits während der Zuverlässigkeitsprüfung angedeutet hatten (allerdings dort noch in viel zu geringem Umfang, um deren Bestehen zu gefährden), verschärften sich im regulären Benutzerbetrieb im Laufe des Spätherbstes zunehmend. Das Problem äußerte sich in erster Linie durch Abstürze und Fehlstarts insbesondere größerer Jobs; hierbei traten eine Reihe von Signaturen auf (in erster Linie Fehler bei I/O Zugriffen sowie Wegbrechen einzelner Rechenknoten), die sich jedoch erst im Lauf der Zeit auf die wesentlichen Ursachen reduzieren ließen: eine im Laufe der Zeit stark zunehmende Anzahl von Defekten bzw. Performance-Verlusten an Infiniband-Kabeln, bedingt durch überschnelle Alterung der integrierten Transceiver, Defekte in der auf dem Verbindungsnetzwerk eingesetzten Managementsoftware, die zum Absturz von ganzen Netz-Segmenten führen konnte, Auftreten von gehäuften Latenzen auf der gelieferten Charge von Festplatten, die zu einer deutlichen Verringerung der verfügbaren I/O Bandbreite sowie gelegentlich auch zu Hängern des parallelen Dateisystems führten. Die Behebung oder wenigstens Beherrschung dieser Stabilitätsprobleme reichte noch bis in den Januar des Folgejahres; ein wesentlicher Punkt hierbei war die Implementierung eines datenbankgestützten Fehleraufzeichnungsverfahrens, damit eine schnellere Korrelation von Job zu möglichen Hardware- Problemen möglich ist, sowie auch als defekt erkannte Knoten möglichst schnell offline zu nehmen zu können. Sowohl der Betrieb des Migrationssystems als auch die Inbetriebnahme des SuperMUC haben zu einer deutlichen Zunahme von Benutzeranfragen geführt. Die Stabilisierung des Benutzerbetriebes und die Beantwortung von Benutzeranfragen bereite den Gruppen APP und HPC bis zum Jahresende (und darüber hinaus) viel Arbeit und führte in einigen Fällen zu einer zeitweiligen Überlastung der mit der Bearbeitung befassten Mitarbeiter. Zusammenfassend sind folgende Arbeitsschwerpunkte zu nennen: Ein- und Ausgabe von Daten über Infiniband auf das parallele Dateisystem (GPFS) Die Behebung von Software-Fehlern in den parallelen Schnittstellen Die Anbindung und Erweiterung der Archivierungs- und Grid-Infrastrukturen Implementierung von skalierbaren Mechanismen zum Budgeting, Accounting und System- Monitoring Implementierung von datenbankgestützten Mechanismen zur Fehlererkennung Die Einbindung des von IBM gestellten Support-Personals in die LRZ-Prozesse Die Implementierung von Maßnahmen zur Einsparung von elektrischer Energie Benutzerverwaltung für die Hochleistungssysteme Neben den klassischen Arbeiten der Benutzerverwaltung wie Organisation der Begutachtung der Rechenzeitanträge, Verwaltung der Benutzerkennungen und Rechenzeitabrechnung kamen im Berichtsjahr noch umfangreiche neue Aufgaben für die Rechenzeitvergaben bei den HPC-Calls von PRACE und GAUSS hinzu, nämlich Organisation und Vorbereitung dieser Calls, die Abstimmung mit den Partnern sowie die technische Begutachtung der Projektanträge. Ein weiterer Punkt war die Klärung der Fragen in Zusammenhang mit Embargobestimmungen und der Zulassung von Nutzern aus Nicht-EU-Ländern auf den Hochleistungsrechnern Nutzungsstatistik Die folgende Tabelle gibt eine Übersicht über die Anzahl der durchgeführten Projekte in den vergangenen Jahren auf den verschiedenen Höchstleistungsrechnern des LRZ wieder. Insgesamt haben auf den Rechner 702 Projekt Rechenzeit erhalten, davon sind 465 beendet und 237 noch aktiv.

19 Core-Stunden Jahresbericht 2012 des Leibniz-Rechenzentrums 11 Jahr Rechner Projekte Projekte Projekte begonnen beendet aktiv 2000 HLRB I 65 0* HLRB I 21 0* HLRB I 29 0* HLRB I 14 0* HLRB I 17 0* HLRB I 16 0* HLRB I/HLRB II HLRB II HLRB II HLRB II HLRB II HLRB II/SuperMIG 61 h SuperMIG/SuperMUC Gesamt Tabelle 2: Anzahl der begonnen, beendeten und aktiven Projekte (* In diesem Jahr wurde noch kein explizites Projektende in der Datenbank gespeichert). Die Gesamtzeit der abgegebenen Rechenzeit im Jahr 2012 an den Systemen SuperMIG und SuperMUC ist in der folgenden Tabelle angegeben. SuperMIC SuperMUC Gesamt Core-Std.- Jobs Core-Std.- Jobs Core-Std.- Jobs 59,7 Mio ,6 Mio ,3 Mio Tabelle 3: Abgegebene Rechenzeit und Anzahl Jobs an den Höchstleistungssystemen im Jahr ,0 40,0 35,0 30,0 25,0 20,0 15,0 10,0 5,0 0, SuperMUC SuperMIG Abbildung 5 Abgegebene Rechenzeit pro Monat für 2012 an SuperMIG und SuperMUC

20 12 Hochleistungsrechnen und Grid Abbildung 5 gibt die abgegebene Rechenzeit für jeden Monat in Core-Stunden von SuperMIG und von SuperMUC nach Beendigung der Friendly User Period und Aufnahme des allgemeinen Benutzerbetriebs im November 2012 wieder. Die Rechenzeitabgabe am SuperMIG mit etwa 5 Mio. Core-Stunden pro Monat entspricht etwa der Leistung des vorherigen Höchstleistungsrechners HLRB II. November 2012 wurde auch das Accounting von Rechenzeit am SuperMUC aktiviert, wobei die Grafik einen ersten Eindruck über die Zunahme an Rechenleistung am LRZ durch die Verfügbarkeit von SuperMUC vermittelt. Die Aufteilung der abgegebenen Rechenzeit nach institutioneller Zugehörigkeit ist in der folgenden Tabelle aufgeführt Institutionskategorie SuperMIG SuperMUC Gesamt Universitäten 75.2% 27.4% 48.6% Helmholtz-Gemeinschaft 9.8% 17.0% 13.8% Leibniz-Gemeinschaft 2.4% 16.0% 9.9% Leibniz-Rechenzentrum 0.7% 16.3% 9.3% Max-Planck-Gesellschaft 9.2% 5.6% 7.2% Sonstige 0.9% 9.5% 5.7% PRACE 0.0% 8.2% 4.5% Deisa 1.7% 0.2% 0.9% Tabelle 4: Verteilung der abgegebenen Rechenzeit nach Institutionen Hier wird deutlich, dass der SuperMUC im Jahr 2012 viel stärker für Projekte der Großforschungseinrichtungen und für PRACE benutzt wird als der SuperMIG. Der aktuell hohe Anteil an Rechenzeit für das LRZ am SuperMUC ist durch Tests und Abnahmebenchmarks bestimmt und wird in den nächsten Monaten deutlich zurückgehen. Die jeweils fünf größten wissenschaftlichen Projekte auf SuperMUC und SuperMIG sind in der folgenden Tabelle aufgeführt. Auch hier wird das unterschiedliche Nutzungsspektrum deutlich, nämlich dass die Nutzung des SuperMUC von einigen Großprojekten dominiert wird. Projekt Title Principal Investigator Usage Average Core SuperMUC pr63po Chiral Symmetry and topological properties in Lattice QCD with Wilson twisted mass quarks Urbach/Rheinische Friedrichs- Wilhelms Universitaet 15% 1072 h009z Local Supercluster Simulation Gottlöber/Leibniz-Institut für 13% 5645 Astrophysik Potsdam (AIP) pr86go Full-f gyrokinetic simulation of edge pedestal in Textor Kiviniemi/DEISA PRACE 5% 3647 pr86ba Electrophysiology - Atomistic modeling Tarek/DEISA PRACE 4% 1814 pr58fa Structure Formation in Models Beyond LambdaCDM Smith/Bonn 4% 1638 SuperMIG pr63ce Ab initio Metadynamics Simulations of Methanol Synthesis Frenzel/RUB Chemie 5.61% 417 over Cu/ZnO catalyst surfaces h0983 Large Scale CFD for Complex Flows Stemmer/TU München 5.15% 137 h006z h1142 pr47bu Simulation of N_f equal 2+1 lattice QCD at realistic quark masses Simulation of the unsteady flow around the Stratospheric Observatory For Infrared Astronomy SOFIA Numerical Investigation of the Vortical Flowfield about the VFE-2 Delta-Wing Schierholz/DESY Zeuthen 4.67% 898 Engfer/Uni Stuttgart 4.55% 147 Hickel/TU München 3.38% 413 Tabelle 5: Die jeweils fünf größten wissenschaftlichen Projekte auf SuperMUC und SuperMIG

21 Jahresbericht 2012 des Leibniz-Rechenzentrums 13 Auch in der Übersicht der Nutzung durch die einzelnen Fachgebiete wird das unterschiedliche Nutzungsspektrum der beiden Systemteile deutlich. Wie auch auf den bisherigen Höchstleistungsrechnern des LRZ, dominieren auf dem SuperMIG die Anwendungen aus dem Bereich der Fluiddynamik, gefolgt von der Astrophysik, die in den letzten Jahren beständig an Rechenzeit zugenommen hat. Die Anwendungen in der Fluiddynamik stammen zum Großteil aus Universitätsinstituten. Auf dem SuperMUC stellt sich aber eine ganz andere Verteilung dar. Hier haben zum ersten Mal die Astrowissenschaften die meiste Rechenzeit verbraucht, da es mittlerweile in diesem Wissenschaftsbereich eine ganze Reihe hochskalierbarer Applikationen gibt. Abbildung 6 Anteilige Nutzung von SuperMUC und SuperMIG 2.3 Linux-Cluster Übersicht über die Cluster-Systeme Das Linux-Cluster am LRZ ist über die Zeit immer weiter erweitert worden und wird als heterogenes Cluster mit verschiedenen Segmenten betrieben. Cluster-Segment Anzahl Cores Gesamtleistung (TFlop/s) elektr. Leistung (kw) Beschaffungsjahr Serielles Cluster (inklusive housing) /2008/2010 Myrinet 10 GE Systeme (jetzt SGI Altix serial) ICE MPP Infiniband Cluster SGI Altix UltraViolet Munich Adv. Comp. Infiniband Cluster Gesamt: Tabelle 6: Übersicht über die wichtigsten Segmente des Linux-Cluster Aus dieser Übersicht wird ersichtlich, dass für die bis 2007 beschafften Systeme dringend Ersatz beschafft werden muss. Eine entsprechende Antragstellung ist für 2013 geplant Erweiterung des wassergekühlten Clusters von MEGWare / MAC-Cluster Das bereits 2011 gelieferte wassergekühlte Cluster wurde um zwei Racks erweitert, von denen eines in die bestehende Kühl-Infrastruktur eingebunden wurde, und das andere mit einer über eine Absorptions-

22 14 Hochleistungsrechnen und Grid kühlmaschine versorgte Luftkühlung versehen ist. Dieses für die Informatik der TU gehouste System (MAC = Munich Centre of Advanced Computing) ist für Forschungszwecke ausgelegt und daher sehr heterogen aus unterschiedlichen Prozessor- und Beschleuniger-Architekturen zusammengesetzt Betrieb der Cluster-Systeme Im Laufe des Jahres konnte die schon länger geplante Migration der Cluster-Systeme von dem nicht mehr längerfristig unterstützten SLES10 auf das neue Betriebssystem-Release, SLES11 durchgeführt werden. Auf den parallelen Cluster-Segmenten kam hier zunächst SLES11 SP1 zum Einsatz, auf den seriellen - nach dessen Verfügbarkeit SLES11 SP2. Fast alle Cluster-Segmente wurden in die bestehende SLURM-Infrastruktur integriert. Auch das Job Accounting unter SLURM konnte in Betrieb genommen werden. Als letzte verbleibende SGE-Insel wird das für LCG gehostete Cluster noch eine Zeitlang mit Sun Grid Engine (SGE) betrieben. Insgesamt kann der Betrieb des Linux-Clusters als stabil bezeichnet werden. Es zeigt sich allerdings, dass auf Grund der sehr angespannten Personalsituation und der wachsenden Komplexität der Infrastruktur und des Betriebsmodells die Beseitigung von Störungen zunehmend längere Zeit in Anspruch nahm. Auch geplante Wartungsmaßnahmen am wassergekühlten Cluster mussten meist über den ursprünglich vorgesehenen Zeitrahmen hinaus ausgedehnt werden Tests und Prototypen Das LRZ wurde bereits 2010 als eines von weltweit 4 Zentren ausgewählt, um die neue Intel MIC ( Many Integrated Core ) Architektur zu evaluieren. Seitdem wurden dem LRZ verschiedene Prototypen dieser Architektur, wie Knights Ferry und Knights Corner (kürzlich umbenannt in Intel Xeon Phi ), von Intel zur Verfügung gestellt. Seitens des LRZ lag das Schwergewicht bei der Untersuchung mehrerer Programmiermodelle hinsichtlich ihrer Eignung für die MIC Architektur. Hierbei wurden innerhalb des KONWIHR-Projektes verschiedene Benchmarks und Applikationen auf MIC portiert. Während eines von IBM und Intel veranstalteten Workshops in Montpellier wurde im September 2012 über die am LRZ gewonnenen Erfahrungen referiert. Diese fließen derzeit in den im Rahmen von PRACE erstellten Best Practice Guide für die Intel MIC Architektur ein. Eine erste Fassung ist unter Practice-Guide-Intel-MIC.pdf verfügbar GPGPU-System Als PRACE-Prototyp für ein wassergekühltes GPU-beschleunigtes Cluster war vorgesehen, ein bereits früher von der russischen Firma T-Platforms geliefertes System von Luftkühlung auf Wasserkühlung umzustellen; auf Grund von konzeptionellen Problemen konnte diese Umstellung jedoch im Berichtszeitraum nicht fertiggestellt werden. Das System besteht aus vier Intel-Westmere basierten Rechenknoten mit jeweils zwei NVidia Fermi Beschleunigerkarten Nutzungsstatistiken Die Nutzung der unterschiedlichen Segmente des Linux-Cluster ist in Abbildung 7 dargestellt. Aufgrund der sehr angespannten Personalsituation konnte die Abrechnung der abgegebenen Rechenzeit erst ab Juni 2012 und für den seriellen Teil sogar erst ab November 2012 realisiert werden. Die Nachfrage nach Rechenzeit am Linux-Cluster übersteigt weiterhin die zur Verfügung stehenden Resourcen. Entsprechend lang sind die Wartezeiten bis ein Job zur Ausführung kommen kann (siehe Abbildung 8). Auch hier wird deutlich, dass dringend eine Erweiterung für den seriellen Teil des Clusters beschafft werden muss. Die SGI Altix UltaViolet Systeme sind wegen ihres großen Hauptspeichers eine begehrte Ressource mit ebenfalls mit sehr langen Wartezeiten. Auch wenn nicht für das vollständige Jahr 2012 Daten vorliegen, so lässt sich doch aus dem Vergleich mit den vergangenen Jahren feststellen, dass die anteilige Nutzung des Linux-Clusters durch Hochschulen außerhalb Münchens in den vergangenen Jahren weiter zurückgegangen ist. Die Nutzung wird nun durch die beiden großen Münchner Universitäten dominiert. Dies ist vor allem auf den Ausbau der Linux- Kapazitäten in Erlangen zurückzuführen.

23 Jahresbericht 2012 des Leibniz-Rechenzentrums 15 Abbildung 7 Nutzung des Linux-Cluster (ab Juni bzw. November 2012 für seriellen Teil) Abbildung 8 Durchschnittliche Wartezeit bis zur Jobausführung auf den verschiedenen Segmenten des Clusters

24 16 Hochleistungsrechnen und Grid Institution/Fachgebiet Core-h Jobs Bayerische Akademie der Wissenschaften Bayerische Hochschulen und Fachhochschulen soweit nicht gesondert erfasst Hochschule München Ludwig-Maximilians-Universität München Biologie Chemie / Pharmazie Geowissenschaften Mathematik / Informatik Medizin Physik Nutzer am Höchstleistungsrechner Bayern Öffentlich-Rechtliche und Gemeinnützige Körperschaften Technische Universität München Bauingenieur- und Vermessungswesen Chemie / Pharmazie Elektrotechnik und Informationstechnik Maschinenwesen Mathematik / Informatik Physik Sonstige Wissenschaftszentrum Weihenstephan Zentralinstitute / Verwaltung Gesamtergebnis Tabelle 7: Nutzung des Linux-Clusters im November und Dezember 2012 nach Institution und Fachgebiet 2.4 Technisch-wissenschaftliche Software Die Überarbeitung des Software-Portfolios, die durch den Umstieg auf neue Betriebssoftware und Scheduling-Systeme erforderlich geworden war, konnte im Verlauf des Jahres im Wesentlichen abgeschlossen werden. Im Software-Portfolio erfolgten Aktualisierungen und Erweiterungen. Aus dem Bereich der Quantenchemie sind neue Releases von NWChem, Quantum-Espresso, CPMD, CP2K, GROMACS, NAMD und Molpro sowie zusätzliche Pakete wie Abinit, Desmond oder Schrödinger zu nennen. 2.5 Remote Visualisierung Für die Benutzer des Linux-Clusters standen während des gesamten Jahres drei dedizierte Remote- Visualisierungs-Server zur Verfügung (GVS2, GVS3 und GVS4). Aus Effizienzgründen wurde die Systemadministration der Remote-Visualisierungs-Server an die Firma MEGWare vergeben, die ein Upgrade auf SLES 11 SP1, die automatisierte Installation per xcat, sowie die Integration der Maschinen in das neue Batch-Queueing System SLURM durchführte. Die Systeme sind durch die Benutzer des Linux- Clusters nach wie vor gut ausgelastet. Von einigen Benutzern von SuperMIG und SuperMUC wurde eine Möglichkeit zur Remote- Visualisierung nachgefragt. Aufgrund fehlender Investitionsmittel und Personalknappheit kann ein solcher Service für SuperMIG und SuperMUC aber leider derzeit nicht angeboten werden. 2.6 Projekte im Hochleistungsrechnen Gauss Centre for Supercomputing (GCS) Ziele Mit der Gründung des Gauss Centre for Supercomputing (http://www.gauss-centre.eu) im Jahr 2007 durch die Kooperation der drei Bundeshöchstleistungsrechenzentren in Jülich, Garching und Stuttgart wurde der Grundstein für die optimale Unterstützung der Wissenschaft, Wirtschaft und Politik durch computergestützte Simulation der obersten Leistungsklasse (Tier-0) gelegt. Durch das Projekt PetaGCS

25 Jahresbericht 2012 des Leibniz-Rechenzentrums 17 konnte das Gauss Centre for Supercomputing (GCS) die leistungsfähigste nationale Infrastruktur für Supercomputing in Europa aufbauen. Darüber hinaus hat GCS den organisatorischen Rahmen dafür geschaffen, dass Wissenschaftler und Forscher nicht mehr aufgrund regionaler oder institutioneller Strukturen, sondern aufgrund fachlicher Kriterien das für ihre Bedürfnisse am besten geeignete Supercomputer- Zentrum für ihre Anwendung wählen können. Es wurde ein gemeinsames Zugangsverfahren entwickelt und implementiert, das nach abgestimmten Regeln und ausschließlich wissenschaftlichen Kriterien in einem peer-review Verfahren den einheitlichen und fairen Zugang sicherstellt. Die hohe Attraktivität und der hohe Bedarf zeigen sich in der konstant 3-4 fachen Überzeichnung der ausgeschriebenen Rechenzeit (Verhältnis von beantragter zu verfügbarer Rechenzeit). In Summe werden jährlich etwa 200 herausragende Projekte mit Rechenzeitvolumen auf GCS-Systemen gefördert. Die bereits jetzt erzielten wissenschaftlichen Ergebnisse zeigen deutlich die Wichtigkeit der Verfügbarkeit dieser Forschungseinrichtung für Deutschland. Weiterentwicklung Die gemeinsamen Arbeiten im Jahr 2012 bestanden vor allem in der Erstellung des Strategiepapiers Weiterentwicklung des Gauss Centre for Supercomputing Aus der Ausrichtung des GCS als eine Einrichtung für High Performance Computing sowie wichtigen wissenschaftlichen und gesellschaftlichen Herausforderungen wurden folgende wesentliche Zieldimensionen für die zukünftige Entwicklung des GCS abgeleitet: Wissenschaftliche Exzellenz, HPC-Technologie, Anwendungsunterstützung, Brückenfunktion und Vernetzung, Aus- und Weiterbildung, Wettbewerb in Wirtschaft und Industrie, Gesellschaft / Politikberatung Thematisch werden sich die Partner im Gauss Centre for Supercomputing zukünftig durch eigene Forschung auf folgende Gebiete konzentrieren und dabei neue Akzente im Hochleistungsrechnen setzen. Energie Mobilität Gesundheit Umwelt Gemeinsames Rechenzeitvergabeverfahren Der Zugang zu den Systemen wurde vor der Gründung von GCS in unabhängigen Verfahren durch die jeweiligen Vergabegremien der einzelnen Zentren geregelt. Dies war nicht mehr ausreichend, weil nicht garantiert werden konnte, dass Wissenschaftlern ein vergleichbarer Zugang zu allen GCS-Systemen möglich ist. Im Rahmen des Projektes wurde deshalb ein gemeinsames Zugangsverfahren entwickelt und implementiert, das nach einheitlichen Regeln und ausschließlich wissenschaftlichen Kriterien in einem peerreview Verfahren den einheitlichen und fairen Zugang sicherstellt. Es wurden dabei verschiedene Klassen von Projektgrößen definiert, damit wissenschaftlich exzellente Projekte, die viel Rechenzeit benötigen, besonders gefördert werden können. So wird zweimal jährlich ein nationaler Call für sogenannte Large Scale-Projekte veröffentlicht, die mindestens 2% der Leistung des Supercomputers über eine Laufzeit von 12 Monaten benötigen. GCS Lenkungsausschuss Der gesamte Prozess der Rechenzeitvergabe wird durch den neu gegründeten gemeinsamen GCS- Lenkungsausschuss gesteuert und überwacht. Mitglieder des gemeinsamen GCS-Lenkungsausschusses sind Vertreter der wissenschaftlichen Vergabegremien der GCS-Zentren. So wird die Kohärenz mit den lokalen Vergabeverfahren sichergestellt. Gemeinsames Ausbildungs- und Schulungsprogramm Innerhalb von Gauss wird ein umfangreiches Ausbildungs- und Trainingsprogramm koordiniert (http://www.gauss-centre.eu/events/). Viele der Kurse und damit auch diejenigen vom LRZ werden auch auf europäischer Ebene innerhalb der PRACE Advanced Training Centers (PATC, angeboten.

26 18 Hochleistungsrechnen und Grid KONWIHR Im Rahmen des Kompetenznetzwerkes für Hoch- und Höchstleistungsrechnen in Bayern (KONWIHR) wird am LRZ und RRZE Erlangen das Projekt OMI4papps: Optimierung, Modellierung und Implementierung hoch skalierbarer Anwendungen seit September 2008 durch das Bayerische Staatsministerium für Wissenschaft, Forschung und Kunst gefördert. Die Evaluierung neuer Programmiersprachen und paradigmen insbesondere für Akzeleratoren steht seit Beginn dieses KONWIHR-Projektes neben der synthetischen Applikationsmodellierung im Zentrum der Arbeiten am LRZ. Wurden in der Anfangsphase des Projektes 2008 noch Cell-basierte Systeme untersucht, so konzentrierten sich die weiteren Arbeiten auf GPGPU-basierte Systeme und zunehmend auf Intels neue MIC-Architektur. Im Bereich der GPU-Programmierung wurde insbesondere die Programmierung mit NVIDIA CUDA, Pragma-basierten Programmiermethoden wie HMPP (Hybrid Multicore Parallel Programming Workbench der französischen Firma CAPS), PGI Accelerator Compiler, sowie mit Bibliotheken wie CUBLAS, CUFFT, cusparse und der Sprache OpenCL näher untersucht. Die Intel MIC-Architektur ist als Kandidat für einen Teil der zweiten Ausbaustufe des SuperMUC ( ) am LRZ von besonderem Interesse. Im Rahmen der Portierung mathematischer Kernel und ausgewählter Benchmarks der SuperMUC Benchmark-Suite auf Intel Xeon Phi Coprozessoren wurden diverse Programmiermodelle für die MIC-Architektur evaluiert. Verglichen wurden native Implementierungen mit OpenMP, MKL und Intrinsics, die direkt auf dem Coprozessor gestartet werden mit Implementierungen mit Offload Pragmas, die auf dem Host gestartet werden und rechenintensive Teile des Programms auf den Coprozessor auslagern. Auch die verschiedenen Modi der MKL Bibliothek (native mode, compiler assisted offload und automatic offload) wurden detailliert getestet. Mit der Portierung von Applikationen wie SEISSOL oder BQCD konnten erste Erfahrungen mit der MPI-Programmierung und den unterschiedlichen Ausführungsmodi (MPI Prozesse nur auf dem Coprozessor, auf Coprozessor und Host etc.) gewonnen werden. Das dabei gewonnene Knowhow fließt derzeit in den im Rahmen von PRACE federführend vom LRZ erstellten Best Practice Guide für die Intel MIC Architektur ein. Durch die Ressourcen aus KONWIHR konnte auch das Kursangebot des LRZ und RRZE erneut erweitert werden. Folgendes KONWIHR Projekt wurde vom LRZ unterstützt: GeoPF: Geophysik für PetaFlop Rechner: Projektleiter: Prof. Dr. Heiner Igel, Department für Geo- und Umweltwissenschaften, Ludwig-Maximilians-Universität München, Projektlaufzeit: September 2008 voraussichtlich August 2013 Im Rahmen der KONWIHR Software Initiative wurden am LRZ folgende Projekte betreut: Resamplingbasierte Modellierung und Evaluation bei Genexpressionsdaten, Institut für medizinische Informationsverarbeitung, Biometrie und Epidemiologie der Ludwig- Maximilians-Universität München und LRZ, Projektlaufzeit: November November 2012 Tuning a cosmo Gadget for SuperMUC, Universitäts-Sternwarte München (USM) und LRZ, Projektlaufzeit: Dezember Juni Partnership for Advanced Computing in Europe: PRACE PRACE ist ein europäisches Projekt mit 25 Partnerländern. Das Ziel von PRACE ist die Entwicklung einer europäischen Höchstleistungsrechner-Infrastruktur. Das LRZ war das ganze Berichtsjahr federführend in den beiden Projekten PRACE First Implementation Phase Projekt (PRACE-1IP) und Second Implementation Phase Projekt (PRACE-2IP) involviert. Seit seinem Start im September ist das LRZ auch an dem Third Implementation Phase Projekt (PRACE-3IP) beteiligt. In PRACE-1IP und PRACE-2IP leitet das LRZ das Arbeitspaket zum Thema Prototypen für neue Technologien, und in PRACE-2IP zusätzlich auch die Säule Technology & Industry. Im Softwarebereich koordinierte das LRZ im Rahmen von PRACE-1IP die Evaluierung neuer Programmiersprachen und beobachtete insbesondere die Entwicklung höherer Programmiersprachen für den Einsatz von Beschleunigern wie GPGPUs oder Intel Xeon Phi Coprozessoren. Hierbei wurden die Ergebnis-

27 Jahresbericht 2012 des Leibniz-Rechenzentrums 19 se der Evaluierung der Programmiersprache Intel Array Building Blocks in einem PRACE Whitepaper publiziert. In PRACE-2IP ist das LRZ ferner federführend an der Erstellung eines Best Practice Guides für SuperMUC beteiligt. Im Rahmen von PRACE-3IP koordiniert das LRZ die Erstellung eines Best Practice Guides für die neue Intel MIC-Architektur und kooperiert hierbei mit Partnern in Bulgarien, Finnland und Schweden. Im Bereich HPC-Hardware war das LRZ über den gesamten Berichtszeitraum für die Koordination und Auswertung der PRACE-Prototyp Aktivitäten im Bereich Energy-to-Solution federführend verantwortlich. Diese Untersuchungen dienen der Evaluierung des Energieverbrauchs von HPC-Systemen und - Infrastruktur, bzw. der Untersuchung von potentiellen Einsparungsmöglichkeiten durch neue Prozessortechnologien (GPUs, FPGAs & ARM) und innovativer Rechenzentrums-Infrastruktur. Das LRZ kooperiert hierfür mit Partnern in Barcelona (ARM/GPU), Poznan/Posen (GPU), Linz (FPGA) und Stockholm (ARM/DSP). Am LRZ wird die Möglichkeit untersucht, mit Hilfe von Warmwasserkühlung und Trigeneration (Kraft-Wärme-Kälte-Kopplung), den für den Betrieb der Infrastruktur und der Rechner notwendigen Energiebedarf zu minimieren (z.b. durch das Ausnutzen freier Kühlung ) und andererseits die Rechnerabwärme zur Gebäudeheizung und Kühlung wiederzuverwenden (z.b. mit Hilfe von Adsorbtionskältemaschinen). Zur Messung des Energieverbrauchs wurde die PRACE energy benchmark suite definiert, welche - im Vergleich zur Green500 - Aussagen für verschieden wissenschaftliche Anwendungen erlaubt. Die im Rahmen des 4. und 5. PRACE Access Call akzeptierten Projekte wurden erfolgreich betreut. Das LRZ unterstützte dabei Projekte aus folgenden drei verschiedenen wissenschaftlichen Gebieten: Chemistry and Materials Astrophysics Engineering and Energy Diese insgesamt 10 Projekte stammen aus 7 Ländern und nutzen die Infrastruktur des SuperMUC am LRZ im Rahmen von PRACE mit insgesamt 200 Millionen CPU-Stunden DEEP DEEP ist ein von der Europäischen Kommission gefördertes und vom Forschungszentrum Jülich geleitetes Exascale-Projekt mit dem Ziel, eine neuartige 'Cluster Booster Architektur' zu entwickeln. Ein wichtiges Element dieser Architektur sind die kürzlich veröffentlichten XEON Phi Prozessoren von Intel, welche speziell für das Parallelrechnen ausgelegt sind und über 60 Rechenkerne auf einem Chip vereinen. Die Kommunikation zwischen diesen Prozessoren übernimmt ein neuartiges Verbindungsnetz, welches an der Universität Heidelberg entwickelt wurde. Seit dem Projektstart im Dezember 2011 leitet das Leibniz-Rechenzentrum die Öffentlichkeitsarbeit des Projektes und konnte durch seine Expertise im Bereich des energieeffizienten Höchstleistungsrechnens die Hardwareentwicklung maßgeblich beeinflussen. So wird das finale DEEP System, von dem übrigens auch ein kleinerer Teil im kommenden Jahr am Leibniz-Rechenzentrum in Betrieb geht, über umfassende Überwachungsmöglichkeiten zur Erfassung und Optimierung des Energieverbrauchs verfügen. Die Fortschritte und Zwischenergebnisse der Projektarbeit, welche zu großem Teil auch unmittelbar zur Optimierung des Betriebs am Leibniz-Rechenzentrum beitragen konnten, wurden in mehreren Projektberichten dokumentiert Mont-Blanc Mont-Blanc ist ein von der Europäischen Kommission gefördertes Exascale-Projekt, dessen Ziel es ist, auf Basis der ARM-Prozessorarchitektur eine neue, besonders energieeffiziente Systemarchitektur für zukünftige Hochleistungsrechner zu entwickeln. Das Projekt startete im Oktober 2011 unter der Leitung des Barcelona Supercomputing Center. Im ersten Projektjahr konnte durch das Leibniz-Rechenzentrum bereits eine wissenschaftliche Anwendung aus dem Bereich der Quantenchromodynamik auf einem Vorläufer des finalen Mont-Blanc-Systems zur Ausführung gebracht werden. Zudem konnte, ähnlich wie im DEEP Projekt, in enger Absprache mit den an der Hardwareentwicklung beteiligten Firmen ein Konzept zum energieeffizienten Betrieb des Systems entwickelt werden.

28 20 Hochleistungsrechnen und Grid Mit der Durchführung der beiden Exascale Projekte DEEP und Mont-Blanc sind am Leibniz- Rechenzentrum derzeit mehr als 7 wissenschaftliche Mitarbeiter beauftragt AutoTune Das LRZ ist Projektpartner innerhalb des FP7-Projektes Automatic Online Tuning (AutoTune). Das seit Oktober 2011 durch die EU für drei Jahre geförderte Projekt wird von der TUM koordiniert und hat die automatische Optimierung von Applikationen im HPC-Umfeld bezüglich Performancesteigerung und Energieeffizienz zum Ziel. IBM unterstützt das LRZ bei der Realisierung der Ziele auf dem neuen LRZ- Höchstleistungsrechner SuperMUC. In der ersten Phase des Projektes entwickelte das LRZ verschiedene Modelle für eine energieeffiziente Nutzung von SuperMUC. Die Modelle basieren auf der Regelung der CPU-Frequenz in Abhängigkeit verschiedener Frequenz-Parameter (CPU-Governor und Taktfrequenz- Bereich) sowie der Berücksichtigung des Laufzeitverhaltens verschiedener paralleler Applikationen. Für die praktische Umsetzung der Modelle wurde eine Energie-Optimierungs-Bibliothek entwickelt, die eine einfache Instrumentierung des Programmcodes hinsichtlich Messung der Energie und Performance sowie des Setzens der Frequenzparameter auf CPU-Ebene erlaubt. Sie bildet die Grundlage für die momentan anstehende Implementation von Energie-Plugins für Periscope, die Teil des Periscope-Tool-Framework (PTF) von AutoTune bilden ScalaLife Das EU-Projekt ScalaLife (Scalable Software Services for Life Science), bei dem das LRZ die Leitung eines Workpackages übernommen hat, soll die Grundlage für die e-infrastruktur im Bereich Life Science in der EU bilden. Das LRZ hat in diesem Rahmen eine Benchmark- und Validierungssuite entwickelt, die es Hochleistungsrechenzentren erlaubt, automatisierte Performanceanalysen durchzuführen. Von Anwendern wurden Inputdaten für Tests und Benchmarks zur Verfügung gestellt. Das Projekt hat noch eine Laufzeit bis September Im Herbst 2012 wurde das Projekt von der EU positiv begutachtet Arbeiten für die Antragstellung REACT Im Rahmen des zehnten ICT-calls FP7-ICT hat das LRZ an einen Projektantrag Resource- Aware Dynamic Application Tuning (REACT) mitgewirkt. Neben dem LRZ sind die Technische Universität München, die Universität Wien, die Universitat Autònoma de Barcelona und die National University of Irland, Galway sowie CAPS Enterprise an dem Projektantrag beteiligt. REACT soll die Arbeiten des FP7-Projektes AutoTune fortsetzen bzw. ergänzen, indem das in AutoTune realisierte Periscope Tuning Framework (PTF) für massiv parallele Applikationen weiterentwickelt werden soll. Es soll das innerhalb des PTF realisierte statische Tuning bezüglich Performance und Energieersparnis dynamisch und in Abhängigkeit aktuell bereitstehender System-Ressourcen erfolgen. Über den Antrag wird im Jahr 2013 entschieden Arbeiten für die Antragstellung FEPA Innerhalb des dritten BMBF-Call HPC-Software für skalierbare Parallelrechner hat das LRZ mit dem Regionales Rechenzentrums Erlangen (RRZE) und mit dem Industriepartner NEC Deutschland GmbH die Projektskizze Ein flexibles Framework zur Energie- und Performanceanalyse hochparalleler Applikationen im Rechenzentrum (FEPA) eingereicht. Das Ziel von FEPA ist die Realisierung einer Überwachungssoftware zur systematischen Effizienzanalyse von Applikationen in Abhängigkeit des zu Grunde liegenden HPC-Systems. Neben der gezielten Optimierung bezüglich Performance und Energieverbrauch von kritischen Applikationen sollen im Projekt Erkenntnisse gewonnen werden, die eine Senkung des Energieverbrauchs durch angepasste Ausführungs-Modalitäten (Frequenzanpassung, Nutzung weniger Cores/Sockel, etc.) bei vertretbaren Laufzeit-Zugeständnissen ermöglichen. Für das LRZ würde dabei eine Projektstelle geschaffen, mit der u.a. das im LRZ produktiv eingesetzte Monitoring-Tool PerSyst weiterentwickelt werden könnte. PerSyst wurde während des BMBF-Projektes ISAR entwickelt, welches 2011 erfolgreich abgeschlossenen wurde. Über den Antrag wird im Jahr 2013 entschieden werden.

29 Jahresbericht 2012 des Leibniz-Rechenzentrums PROSPECT e.v. Das LRZ ist gemeinsam mit dem FZ Jülich und dem Barcelona Supercomputing Center Gründungsmitglied von PROSEPCT e.v. Der Fokus der Arbeiten lag auch 2012 auf den Themen European OFS und European Technology Platform (ETP) for HPC ETP4HPC Die European Technology Platform for High Performance Computing (ETP4HPC) wurde nach intensiven Abstimmungsgesprächen mit anderen europäischen HPC-Akteuren im Juni 2012 als niederländischer Verein mit Büros in Barcelona, Bologna, München und Paris gegründet. Ziel der ETP4HPC ist es, mit Hilfe eines noch auszuarbeitenden Forschungs- und Entwicklungsprogrammes sowohl die Anwendung als auch die Herstellung von HPC-Technologien in Europa zu fördern. Das LRZ ist ein Gründungsmitglied und im Lenkungsausschuss mit einer Stimme vertreten. 2.7 Benutzerunterstützung für Hochleistungssysteme Benutzeranfragen Die in den vergangenen Jahren deutlich gestiegene Anzahl von Nutzern und der große Job-Durchsatz an den Höchstleistungssystemen und am Linux-Cluster haben zu einer kontinuierlichen Steigerung von Supportanfragen geführt, die nur mittels des Troubleticket-System kontrolliert abgearbeitet werden können (siehe Abbildung 9). Diese Möglichkeit der Kontaktaufnahme wurde von den Benutzern sehr gut angenommen und hat die Kontaktaufnahme via oder Telefon fast völlig ersetzt. Die leichte Benutzung des Servicedesk-Portals verleitet leider manche Benutzer dazu, einfache Fragen direkt in das System einzustellen, ohne vorher die Dokumentation oder die aktuellen Meldungen des LRZ gelesen zu haben Abbildung 9 Entwicklung der Anzahl der Supportanfragen im Bereich Hochleistungsrechnen Kurse und Ausbildung Der hohe Stand des Aus- und Weiterbildungsangebots mit den etablierten Kursen zu Programmiersprachen und Programmentwicklung, Parallelisierung und Optimierung, Fluid-Dynamik sowie Life-Sciences und Visualisierung wurde gehalten. Darüber hinaus wurden das erste Mal eine Reihe von Kursen im PRACE Advanced Training Centre (PATC) Programm angeboten, in dem die drei Gauß-Zentren partizipieren. Neben dem traditionellen, halbjährlich stattfindenden Workshop zum parallelen Programmieren fanden auch ein einwöchiger Fortran-Kurs sowie mehrere eintägige Einführungen in Tools zur parallelen Performance-Analyse statt. Als PATC-Kurse fanden statt: Eine einwöchige Veranstaltung zur Programmierung und Optimierung am neuen Supercomputer des LRZ in Zusammenarbeit mit den Lieferfirmen IBM und Intel, ein einwöchiger

30 22 Hochleistungsrechnen und Grid Workshop zu fortgeschrittenen HPC Themen, sowie ein einwöchiger Kurs zu fortgeschrittenen Fortran Themen. Die Aktivitäten zu parallelen Programmiersprachen (PGAS) wurden mit einem Tutorial auf der Supercomputing Conference in Salt Lake City fortgeführt Standardisierungs-Aktivitäten im Bereich der parallelen Programmierung Die technische Spezifikation ISO/IEC TS29113, die als Erweiterung des Fortran-Standards zusätzliche Interoperabilität mit C definiert, hat ihre Abstimmung erfolgreich bestanden und ist damit veröffentlichungsreif. Diese Spezifikation ist eine wesentliche Grundlage für die Fortran-spezifischen Neuerungen im ebenfalls veröffentlichten MPI-3 Standard, der darüber hinaus signifikante Erweiterungen für das parallele Programmieren bereitstellt. Im Bereich der PGAS-Funktionalität wurde darüber hinaus vom Standardisierungskomitee die Arbeit an zusätzlicher in Fortran integrierter paralleler Semantik in Angriff genommen, die für eine bessere Skalierbarkeit von Programmieraufwand und erzielbarer Rechenleistung ausgelegt ist. Als Vertreter der deutschen Delegation in der internationalen Standardisierungskommission JTC1/SC22/WG5 für die Programmiersprache Fortran wirkte und wirkt der LRZ-Mitarbeiter Dr. Reinhold Bader an der Erstellung der vorgenannten Technischen Spezifikationen mit; er hat darüber hinaus auch bei der Definition der neuen Fortran-Schnittstelle für MPI-3 in beratender Funktion an der diesbezüglichen Diskussion im MPI-Forum teilgenommen Öffentlichkeitsarbeit Das LRZ hat sich wieder auf den Supercomputing-Konferenzen ISC12 in Hamburg und SC12 in Salt Lake City präsentiert. Dabei traten die drei Gauss-Mitgliedszentren auf der ISC zum ersten Mal mit einem neu gestalteten, gemeinsamen Stand auf. Das LRZ verwendete wieder sein verteiltes Display mit vier großen HD-Monitoren, das mit Informationen, Filmen, Animation oder Simulationen beschickt wurde, die alle Bereiche des LRZ vorstellen und zudem einen Ausblick auf den Neubau und den SuperMUC boten. Abbildung 10 Neuer GCS Stand auf der ISC Während der CeBIT vom März 2012 war das LRZ erneut mit seinen GCS Partnern am Stand des Bundesministeriums für Bildung und Forschung unter dem diesjährigen Motto Energie vertreten. Gezeigt wurden primär Simulationen zum Thema Supercomputing im Bereich regenerativer Energieerzeugung, z.b. eine 3-D Virtual Reality Simulation eines von EnBW geplanten Pumpspeicherkraftwerkes

31 Jahresbericht 2012 des Leibniz-Rechenzentrums 23 im nördlichen Schwarzwald und eine Augmented Reality -Simulation einer Kaplan-Turbine, bei der dem Kamerabild einer real aufgebauten Turbine der hydrodynamisch berechnete Wasserfluss durch die Turbinenschaufeln überlagert werden konnte. Neben den auf einem 152 Zoll großen Monitor gezeigten 3- D Simulationen liefen an einer Info-Säule u.a. diverse wissenschaftliche Simulationen, die auf dem HLRB II berechnet wurden. Viele der im Schnitt täglich Besucher am Stand waren an näheren Informationen zu den gezeigten Filmen u.a. aus Astrophysik, CFD und Biochemie interessiert. Abbildung 11 Bundesministerin Annette Schavan verfolgt eine 3-D Simulation am BMBF-Stand auf der CeBIT 2012 Anfang 2012 wurde ein abschließender Berichtsband über die Arbeiten am HLRB II erstellt. Der Berichtsband enthält mehr als 90 Artikel aus den Fachgebieten Astrophysik, Chemie, Fluiddynamik, Informatik und Mathematik, Geowissenschaften, Hochenergiephysik, Lebenswissenschaften und Festkörperphysik. Das Buch liefert einen Überblick über das breite Anwendungsspektrum von Problemen, die eine Nutzung von Höchstleistungsrechnern erfordern. Die Artikel liefern Informationen über den wissenschaftlichen Hintergrund, die erzielten Resultate und über die eingesetzten Methoden. Das Buch bietet auch Einblicke in die erreichte Rechenleistung sowie in die Skalierbarkeit der Anwendungen. Viele Autoren geben auch einen Ausblick auf die Probleme die sie mit dem neuen Höchstleistungsrechner lösen wollen. Dieser Berichtsband und auch Berichtsbände aus den Vorjahren können beim LRZ angefordert werden oder sind unter der folgenden Adresse abrufbar: Der Berichtsband wurde auch bei der Einweihungsfeier für den SuperMUC verteilt. Für die Einweihungsfeier des SuperMUC wurde auch ein 10-minütiger 3-D Film erstellt, der mit Animationen das Gebäude des LRZ, den Rechner selbst aber auch viele Aspekte des wissenschaftlichen Rechnens am LRZ aufzeigt. Ein Ausschnitt davon (Animation des SuperMUC) findet sich unter folgender Adresse: 2.8 Grid-Dienste Grid-Computing bezeichnet die Vernetzung weltweit vorhandener heterogener Ressourcen wie Rechner, Instrumente, Software und Daten zur koordinierten Lösung sogenannter großer Herausforderungen

32 24 Hochleistungsrechnen und Grid (grand challenges). Die Grid middleware abstrahiert dabei von den Eigenheiten der Hardware und stellt dem Benutzer ein einfach zu bedienendes, homogenes Interface zur Verfügung. Typische Grid- Anwendungen sind daher datenintensive (Big Data) oder rechenintensive Berechnungen, die auf Ressourcen innerhalb sogenannter virtueller Organisationen (VOs) verteilt werden. Beispiele finden sich in der Wettervorhersage, in Astronomie-Projekten, der Hochenergiephysik, in biologischen Genom-Projekten, in der Medikamentenforschung oder in den Wirtschaftswissenschaften. Schon heute sind sich deshalb viele Analysten darüber einig, dass sich verteilte Systeme, insbesondere Grid-Computing und das in seiner Bedeutung rapide zunehmende Cloud-Computing, das besonders zur Deckung von Bedarfsspitzen geeignet ist, mit zu den wichtigsten Technologien der nächsten Jahre und zum Motor völlig neuer Anwendungen entwickeln werden. Der große Unterschied zwischen Grid-Computing und Cloud-Computing ist der föderale Aspekt beim Grid-Computing, der beim Cloud-Computing fehlt: eine Gruppe von Ressourcenanbietern, z.b. Rechenzentren wie das LRZ, stellen ihre Rechner ins Grid, das dann den Grid- Benutzern eine sehr hohe Gesamtrechenkapazität bieten kann. Dank Grid-Middleware wie Globus, Unicore oder glite, welche die Unterschiede in der Bedienung der verschiedenen Ressourcen nivelliert, erscheint das Grid dem Benutzer wie eine einzige große, homogene Ressource. Bis zu 10% der Rechenleistung der LRZ-Höchstleistungsrechner SuperMUC und SuperMIG sowie ein nicht unerheblicher Teil der Rechenleistung unseres Linux Clusters werden über Grid-Middleware von den Wissenschaftlern in Deutschland und Europa abgerufen. Der Regelbetrieb der Grid-Dienste wurde durch die Mitarbeiter der Gruppe Verteilte Ressourcen betreut und ausgebaut. Derzeit betreut die Gruppe etwa 70 Server auf denen ca. 40 Dienste in Produktionsund Testbetrieb laufen. Bei den seit Anfang 2012 in Produktion befindlichen Systemen lag die Verfügbarkeitsquote bei %. Um die Ausfallsicherheit der Dienste weiter zu erhöhen, wurde fortgefahren, sie von physischer Hardware auf virtuelle Maschinen aus dem LRZ VMware-Pool zu migrieren. Außerdem wurde die automatische Überwachung der Maschinen und Dienste deutlich erweitert, sowie regelmäßige Kernel-Updates und Security-Checks durchgeführt. Das LRZ bot seinen Benutzern die folgenden Grid-Dienste an Interaktiver Zugang über Globus GsiSSH Datentransfer (Globus GridFTP, Unicore, glite dcache). Das LRZ installierte weltweit sichtbare Einstiegspunkte für die LRZ Hoch- und Höchstleistungsrechner im neuen europäischen Globus- Online Service (http://www.globusonline.eu/). Job-Submission (Globus, Unicore, glite). Auf dem Linux-Cluster wurden Grid-Jobs mit insgesamt CPU-h gerechnet. Grid-FTP, Gsi-SSH und GRAM Door Node für PRACE Proxyzertifikatsmanagement (Globus MyProxy) für PRACE und D-Grid Ausstellen von langlebigen Grid-Zertifikaten im Rahmen des Betriebs der Registration Authorities für die großen Münchner Universitäten (TUM, LMU, Universität der Bundeswehr) wie auch für das LRZ selbst. Insgesamt wurden Zertifikate ausgestellt. Der Rückgang dieser Zahl gegenüber dem Vorjahr begründet sich in einer zunehmenden Nutzung des Short Lived Credential Services (SLCS) des DFN, der ein langlebiges Zertifikat überflüssig macht. Grid-Überwachungs- und -Informationsdienste (Inca, MDS, WebMDS, D-MON, DMOS, NAGIOS) Grid Test Bed (für die Projekte IGE, SLA4D-Grid, VERCE und DGSI) Download-Site (sog. Repository) für das Projekt IGE Web-Server für das European Globus Community Forum (EGCF) Grid Anwenderprogramme: GlobusOnline, gtransfer, GSI-SSHTerm, JSAGA, UNICORE Training-Kurse für die Globus Middleware Grid-Benutzerunterstützung (Helpdesk) Grid-Portal (http://www.grid.lrz.de/) Grid-Benutzerverwaltung (GUA) als Bindeglied zwischen den unterschiedlichen Benutzerverwaltungssystemen der Grid-Projekte (siehe nächster Abschnitt) und dem am LRZ verwendeten System LRZ-SIM. Die Zahl der Grid-Accounts betrug ca Als abteilungsübergreifende Einrichtung war und ist der Arbeitskreis Grid Computing (AK-Grid) maßgeblich an der Koordinierung der verschiedenen Grid-Projekte (DGI-2, PRACE-1IP, PRACE-2IP, PRACE-3IP, LCG Tier-2, EGI-InSPIRE, IGE, VERCE, Grid Aktivitäten an LMU, TUM, RZG, UniBW

33 Jahresbericht 2012 des Leibniz-Rechenzentrums 25 und LRZ) innerhalb des LRZ und im Münchner Raum beteiligt, hilft Synergien auszunutzen und Doppelarbeit zu vermeiden. 2.9 Projekte im Grid-Computing Das LRZ ist aktiv beteiligt an vielen nationalen und internationalen Grid-Projekten Initiative for Globus in Europe IGE, European Grid Initiative - Integrated Sustainable Pan-European Infrastructure for Researchers in Europe EGI-InSPIRE, Partnership for Advanced Computing in Europe, 1st Implementation Phase - PRACE-1IP, Partnership for Advanced Computing in Europe, 2nd Implementation Phase - PRACE-2IP, Partnership for Advanced Computing in Europe, 3rd Implementation Phase - PRACE- 3IP, Virtual Earthquake and seismology Research Community e-science environment in Europe VERCE, den D-Grid-Projekten DGI2, SLA4D-Grid sowie DGSI, LHC-Grid (LCG) und e- Infrastructure Reflection Group Support Programme 3 (e-irgsp3)" beteiligt. Dabei hat das LRZ bei IGE erstmalig die Führungsrolle in einem europäischen Projekt inne. Im Folgenden beleuchten wir einige der in den Grid-Projekten durchgeführten Arbeiten ausführlicher Initiative for Globus in Europe (IGE) IGE will hauptsächlich koordinierend eingreifen und die europäischen Wünsche zur Globus Middleware bündeln und abstimmen, um sie dann mit einer gewichtigen Stimme gegenüber den anderen Globus-Entwicklern vorzutragen. IGE integriert zehn europäische Partner sowie die University of Chicago, die die zentrale Globus-Codebasis pflegt. IGE liefert die Globus Middleware für die europäischen Grid-Infrastrukturen wie EGI, PRACE, VERCE, DRIHM, etc., und führt neben Benutzerunterstützung und Training auch Anpassungen von Globus an europäische Bedürfnisse durch. Dieses Projekt stärkt die Rolle Europas und natürlich auch des LRZ im Globus-Projekt, dem weltweit führenden Middleware-Projekt. Das LRZ hat hier erstmals die Konsortialführerschaft eines EU Projekts inne und organisierte im November 2012 das zweite EU Review Meeting von IGE in Brüssel. Die Gutachter konstatierten dem Projekt gute bis sehr gute Fortschritte. Es wurde das zweite Treffen des European Globus Community Forums (EGCF: am LRZ ausgerichtet und die zweite GlobusEUROPE-Konferenz, das europäische Pendant zur amerikanischen GlobusWORLD-Konferenz, in Prag organisiert. IGE lieferte Software-Releases der Globus Tools für die europäischen e-infrastrukturen aus, die auch Eingang in die Unified Middleware Distribution (UMD) von EGI fanden D-Grid (Förderung e-science und vernetztes Wissensmanagement des BMBF) In Deutschland hat insbesondere die D-Grid-Initiative (www.dgrid.de) die Auswirkungen der neuen Technologie Grid auf das wissenschaftliche Arbeiten thematisiert und ein entsprechendes Forschungs- und Entwicklungsprogramm vorgeschlagen. D-Grid hat es sich zum Ziel gesetzt, alle Grid-Aktivitäten in Deutschland zu bündeln, um so intern Synergieeffekte auszunutzen und nach außen mit einer einheitlichen Stimme sprechen zu können. Die vom BMBF für den Zeitraum von 2005 bis 2012

34 26 Hochleistungsrechnen und Grid geförderte D-Grid Initiative will in Deutschland eine e-science-kultur ähnlich der überaus erfolgreichen britischen e-science initiative aufbauen. Im Rahmen von D-Grid nahm das LRZ 2012 an vielen Workshops und Treffen teil. Da D-Grid zum Jahresende 2012 zu Ende ging, wurden die Aktivitäten im letzten Jahr schrittweise an NGI-DE (National Grid Initiative Deutschland) übergeben. NGI-DE ist die deutsche Vertretung im Rahmen des europäischen Grid-Verbunds, der European Grid Infrastructure (EGI) D-Grid Integrationsprojekt (DGI) Als Rechenzentrum und damit als Ressourcenanbieter war das LRZ vorrangig am D-Grid Integrationsprojekt (DGI, Laufzeit Jan bis Dez. 2012) beteiligt. Aufgrund langjähriger guter Kontakte zu HPC- Benutzern aus Astro- und Hochenergiephysik trat das LRZ aber auch als assoziierter Partner der Astrophysik- und der Hochenergiephysik-Community auf. Außerdem war zur Vertretung der Globus- Ressourcen-Anbieter ein Mitarbeiter des LRZ im Technical Advisory Board (TAB) des D-Grid vertreten. Das LRZ stellt im verteilten Kompetenzzentrum Middleware vielfältiges Know-how für die Unterstützung von Benutzern und Ressourcenanbietern bezüglich Globus bereit. Auf den Produktionssystemen des LRZs wurde Globus von GT5.0.3 auf GT5.2.2 angehoben. Das LRZ hat die Ressourcen, die im Rahmen früherer Sonderinvestitionen beschafft wurden, weiterbetrieben und für das D-Grid verfügbar gemacht. Im Jahr 2012 wurden auf diesen Ressourcen fast 4,5 Mio. Jobs submittiert, die ca. 10 Mio. CPUh verbraucht haben. Der Speicherplatz im dcache-pool belief sich auf ca. 560 TB. Als zentrale Dienste für D-Grid hat das LRZ Grid-Monitoring mittels der Werkzeuge RFT, MDS, WebMDS, GridCSM, D-MON und Inca sowie den zentralen MyProxy-Server zur Authentisierung der Nutzer betrieben. Es wurde intensiver Globus-Support für alle Communities, allen voran die Astro- Community, geleistet. Das LRZ arbeitete an der Weiterentwicklung des Monitoringdienstes D-MON, sowie der Durchführung der Zertifizierung der Globus-Installation auf den D-Grid Ressourcen, die Voraussetzung für eine Integration der deutschen Ressourcen in den europäischen EGI-Verbund ist DGSI Das D-Grid-Projekt D-Grid Scheduler Interoperability (DGSI) entwickelte eine Interoperabilitätsschicht für Scheduling in Service Grids, die es Benutzern einer Community erlaubt, bei freien Ressourcen Arbeitslast auf Ressourcen einer anderen Community zu verlagern. LRZ-Mitarbeiter beteiligten sich dazu an Telefonkonferenzen und Projekttreffen und brachten so die Sichtweise des LRZ in das Projekt ein. Das LRZ war als Leiter von Task 4 für die Anbindung lokaler Resource Management-Systeme verantwortlich. Im Rahmen dieses Tasks installierte das LRZ die in DGSI entwickelten Ressource-Delegation-Mechanismen der zweiten Generation sowie advance reservation Adaptoren in seinem Testbed. DGSI wurde Mitte 2012 erfolgreich abgeschlossen SLA4DGRID Das D-Grid-Projekt Service Level Agreements for D-Grid (SLA4D-GRID) realisierte eine Service Level Agreement-Schicht (SLA-Schicht) für das D-Grid. Diese Schicht zur Vereinbarung einer festgelegten Dienstgüte bietet einzelnen Benutzern, ganzen D-Grid Communities, sowie den Anbietern von D- Grid-Ressourcen die Gewährleistung der Ressourcennutzung unter wirtschaftlichen Bedingungen. Das LRZ entwickelte D-MON, eine D-Grid Eigenentwicklung im Monitoring-Bereich, zu einem in SLA4DGRID verwendbaren Werkzeug weiter. Vom LRZ wurde das Testbed mit sechs Servern den aktuellen Erfordernissen angepasst. SLA4DGRID wurde zum ebenfalls Mitte 2012 erfolgreich abgeschlossen EGI-InSPIRE Mit der Beteiligung an EGI-InSPIRE spielt das LRZ auch eine wesentliche Rolle in der zweiten großen europäischen e-infrastruktur EGI. Zusammen mit der Beteiligung an PRACE fällt damit dem LRZ eine

35 Jahresbericht 2012 des Leibniz-Rechenzentrums 27 wichtige Funktion für die Integration der Infrastrukturen zu, an der auch in 2012 mit Hochdruck gearbeitet wurde. Die Anforderungen dazu kommen unter anderem aus den Nutzer-zentrierten Projekten MAP- PER, VERCE und DRIHM. Im Projekt EGI-InSPIRE beteiligt sich das LRZ an den Arbeitspaketen zum Entwurf der notwendigen Policies und zur Definition der Grid-Management-Infrastruktur auf europäischer Ebene. Es arbeitet mit am verlässlichen Betrieb der Grid-Dienste, die von der deutschen Grid-Infrastruktur der EGI zur Verfügung gestellt werden. Darüber hinaus leistet das LRZ den europaweiten 2 nd -Level-Support für das Globus Toolkit VERCE VERCE hat sich die Unterstützung der Seismologen in Europa zum Ziel gesetzt. VERCE beabsichtigt, die in der Wissenschafts-Community vorhandene Dateninfrastruktur mit den Grid und HPC Infrastrukturen (vorrangig PRACE und EGI) zu verschmelzen. Dem LRZ fällt hierbei die herausragende Rolle zu, einer der Lieferanten von VERCEs service-orientierter Infrastruktur zu sein. Das LRZ leitet das Arbeitspaket Integration and evaluation of the platform services und ist auch in den Arbeitspaketen Training and User Documentation, Management and operation of research platform, Harnessing data-intensive applications und VERCE Architecture and Tools for Data Analysis and Data Modelling Applications beteiligt. Für die Integration der verschiedenen Software-Produkte in die VERCE Software-Platform wurden zwei Qualitätmanagementzyklen in Anlehnung an die Vorgaben des ISO Standards durchgeführt. Durch die Leitung einer HPC Taskforce konnte das LRZ maßgeblich zur Erstellung eines Use cases beitragen, der erstmalig einen vollständig automatisierten seismologischen Workflow von den Sensordaten bis zum wissenschaftlichen Endergebnis demonstrierte. Im April erhielt das Projekt beim ersten EU-Review eine sehr gute Bewertung MAPPER MAPPER (Multiscale Applications on European e-infrastructures, konzentriert sich darauf, die für die Forschung immer wichtiger werdenden Multi-Skalen-Systeme, die mehrere wissenschaftliche Gebiete (wie etwa die Fluiddynamik, die Strukturmechanik und die Chemie der Verbrennungsvorgänge) gemeinsam betrachten, effizient auf die europäischen Infrastrukturen wie EGI und PRACE abzubilden. Solche interdisziplinären Multi-Skalen-Systeme erfordern zu ihrer Simulation höchste Rechenleistung. Das LRZ fungiert hier als Unterstützung für die LMU, einem der MAPPER Partner, und stellt in diesem Rahmen Hardware und Software sowie weitere umfassende Unterstützung für das Projekt zur Verfügung. So unterstützte das LRZ letztes Jahr das MAPPER-Konsortium bei der Umsetzung und Durchführung von Multi-Skalen-Simulationen auf dem Linux-Cluster und den SuperMUC/SuperMIG HPC-Systemen. Insgesamt wurden drei unterschiedliche Multi-Skalen-Szenarien aus den Bereichen Plasma-Physik, Hydrologie und Medizin auf den LRZ-Systemen aufgesetzt, getestet und durchgeführt. Das Hydrologie- Szenario wurde beim MAPPER EU Review Meeting im Novenber dazu verwendet, die Fähigkeiten und Vorteile des Multi-Skalen-Ansatzes zu demonstrieren DRIHM DRIHM (Distributed Research Infrastructure for Hydro-Meteorology) baut eine prototypische e-science- Umgebung für die Hydrometeorologie in Europaauf. Die Hydrometeorologie beschäftigt sich mit der Wechselwirkung zwischen Wetter, insbesondere Regen, dem Boden und den Wasserabflüssen, die zu Überschwemmungen und Erdrutschen führen können. Ziel ist, durch rechtzeitige Gefahrenvorhersage und Evakuierungen Menschenleben retten zu können. Durch mehrere Meetings am LRZ konnte die Zusammenarbeit mit dem DRIHM-Konsortium, in dem wir bei MAPPER die LMU als Partner fungiert, intensiviert werden. Unter anderem konnte das LRZ die Schwierigkeiten beim Transfer großer Datenmengen zwischen den Partner-Standorten durch Beratung und Unterstützung bei der Verwendung der Globus- Werkzeuge (GridFTP, Globus Online) deutlich reduzieren

36 28 Hochleistungsrechnen und Grid e-infrastructure Reflection Group Support Programme 3 (e-irgsp3) Die e-infrastructure Reflection Group (e-irg) ist ein Beratergremium der EU, das Empfehlungen zu Best Practices für europäische e-infrastrukturen ausspricht. Das Gremium setzt sich aus jeweils zwei Delegierten der Regierungen aller EU-Staaten zusammen. Es erstellt Weißbücher, Fahrpläne und Empfehlungen und analysiert die zukünftigen Grundlagen der europäischen Wissensgesellschaft. Dieses Beratergremium wird durch das auf drei Jahre angelegte Projekt e-infrastructure Reflection Group Support Programme 3 (e-irgsp3)" in seiner Arbeit unterstützt. Das LRZ leitet in diesem Zusammenhang das Arbeitspaket "Policy Support", das unter anderem die bestehenden Policies analysiert und die Erstellung der Policy-Dokumente (Weißbücher, Fahrpläne, etc.) vorbereitet, koordiniert und publiziert. Das LRZ leitete die Erstellung des Strategiepapiers e-irg Policy Paper on Scientific Software sowie der e-irg Roadmap Weitere unter der Koordination des LRZ entstandene Strategiepapiere waren e-irg e-infrastructures in Support of the Digital Agenda, e-irg Reaction on the GÉANT Expert Group Report, e-irg Task Force Report on Cloud Computing, e-irg Blue Paper on Data Management und ein Dokument über die Neuausrichtung der Stategie der e-infrastructure Reflection Group. Im Jahr 2012 wurde die bisher größte Anzahl von Strategiepapieren in der neunjährigen Geschichte der e-irg veröffentlicht Tier-2-Zentrum des Large Hadron Collider Computing Grids (LCG) Bei den Experimenten der bedeutenden Wissenschaftsprojekte am CERN entstehen gewaltige Mengen an Daten im PetaByte-Bereich. Für die Auswertung wurde von Anfang an auf verteilte Ressourcen gesetzt. Heute sind dafür weltweit hunderte Cluster im LHC Computing Grid (LCG) vernetzt. Das LRZ betreibt dabei zusammen mit dem MCSC-Partner RZG und dem Lehrstuhl für Hochenergiephysik der LMU ein Tier-2-Zentrum (siehe Abbildung 12). Abbildung 12 Tier-Struktur des LHC Computing Grids. Speicher- und Rechenknoten des Tier-2 Zentrums wurden im Rechnerwürfel des LRZs installiert. Den Betrieb bis zur Vermittlungsschicht, der Middleware glite, übernimmt das LRZ, die Middleware und die darüber liegende Experiment-Software wird von den Physikern der LMU betreut. Derzeit steht am LRZ für die Speicherung von Experimentdaten und Auswertungsergebnissen ca. 1 PetaByte zur Verfügung. Durch die Absicherung als RAID beträgt die Nettokapazität aber nur 777 TB, die über die dcache-

37 Jahresbericht 2012 des Leibniz-Rechenzentrums 29 Speicherverwaltung bereitgestellt werden. Die LCG-Rechenknoten sind in den LRZ-Linux-Cluster integriert. Dadurch können Kapazitätsengpässe sowohl bei LCG-Aufgaben als auch bei LRZ-Aufgaben umgangen und insgesamt alle Ressourcen besser ausgelastet werden. Im Moment verwaltet das LRZ LCG- Rechenknoten mit Cores. Das LRZ stellt dem LCG-Projekt auch virtuelle Maschinen zur Verfügung. Dabei werden die speziellen LCG-Anforderungen etwa bezüglich des Betriebssystems Scientific Linux unterstützt.

38 30 Serverbetrieb 3 Serverbetrieb 3.1 Linux-Server Das Jahr 2012 war im Großen und Ganzen durch die Aufrechterhaltung der Vielzahl bestehender Dienste, basierend auf vermehrt virtueller und vereinzelt noch physischer Hardware geprägt. Die zahlenmäßige Entwicklung installierter Linux-Systeme verdeutlicht folgende Abbildung: Abbildung 13 Anzahl der Linux-Hosts im Leibniz-Rechenzentrum Zu den anstehenden Arbeiten zählte in diesem Jahr die ServicePack-Aktualisierung der meisten Server mit SUSE Linux Enterprise Server 11 von Version SP1 auf SP2. Die Zunahme an gehosteten, virtuellen Servern für externe Kunden ließ auch die Zahl abzuarbeitender Kunden-Tickets anwachsen. Ein spürbarer Anstieg war in der Kundenberatung für die Bayerische Staatsbibliothek (BSB) zu verzeichnen. Hier gab es die deutlichste Zunahme neuer Kunden-Server. Eine Übersicht über den Anstieg virtueller Server verdeutlicht Abbildung 14. Aufgrund der Fülle an Aufgaben wurde das Team Linux-Server und -Mitarbeiter-Arbeitsplätze (Team- LSM) in der ersten Jahreshälfte durch Zusammenführung mit den Verantwortlichen für das Hochschulstartsystem (HSS) zu einer eigenständigen Gruppe IT-Infrastruktur Server und Dienste (ITS) innerhalb der Abteilung Hochleistungssysteme. Verstärkt mit zusätzlichem Personal erfuhr das Thema Sicherheit im Bereich der Linux-Server eine spürbare Erweiterung. Neben Arbeiten zur Umsetzung einer Passwort-Policy etablierte sich ein zentrales Systemmonitoring auf Basis der Analyse-Software Splunk. Die mittels Überwachungssoftware LRZmonitor erfassten hostspezifischen Daten wurden zusammen mit den Daten virtueller Hosts aus dem VMware vcenter in eine MySQL-Datenbank integriert. Auf dieser gemeinsamen Datenstruktur können fortan Dienste, wie das in Entwicklung befindliche Self- Service-Portal zum Managen virtueller Hosts, operieren.

39 Jahresbericht 2012 des Leibniz-Rechenzentrums 31 Abbildung 14 Anzahl virtueller Hosts im Leibniz-Rechenzentrum Die Virtualisierungsinfrastruktur des LRZ bestand 2012 aus 80 Blade-Systemen mit 640 Kernen, 7,6 TB RAM und 100 TB Hintergrundspeicher unter VMware sowie einigen zusätzlichen Testsystemen. Auf dieser Infrastruktur werden über 820 virtuelle Server unter Windows und Linux betrieben. Seit die Virtualisierung von Servern allgemein akzeptiert wurde, werden immer anspruchsvollere und größere Anwendungen auf diese Art betrieben. Aus diesem Grund werden auch große virtuelle Systeme mit mehreren Kernen stark nachgefragt. Die organisatorischen Abläufe bei der Bereitstellung von Servern wurden optimiert und der Kundenservice konnte dank zusätzlicher Mitarbeiter verbessert werden. Seit Mitte des Jahres wird im Hinblick auf die Ablösung der aktuellen Server-Blade-Infrastruktur neue Hard- und Software u.a. der Fa. Cisco untersucht. Zu Testzwecken befindet sich deshalb ein Chassis: Cisco UCS 5108 und darin eingebaut: zwei Fabric Interconnects: Cisco UCS 6248UP, zwei Blades: Cisco UCS B200-M3 mit 16 Kernen und 126 GB RAM sowie ein Beta-Blade: Cisco UCS B420-M3 mit 32 Kernen und 256 GB RAM im Serverraum. In der zweiten Jahreshälfte gelangte das Thema Cloud-Computing in den Fokus der Diskussion und Analyse: erste Tests verschiedener Anbietersoftware wurden durchgeführt. Im September 2012 fand eine Life-Demo der OpenStack-basierten Private Cloud-Suite durch den Anbieter SUSE statt. 3.2 Windows Am LRZ werden zurzeit rund 100 physische oder virtuelle Windows Server betrieben. Der Anteil der virtuellen Systeme liegt bei 80%. Es hat sich aber in den vergangenen Jahren wiederholt gezeigt, dass es unter Umständen nicht sinnvoll ist, bestimmte Systeme zu virtualisieren. So wurden die Mailbox-Server für die Exchange-Infrastruktur in 2012 neu mit physischer Hardware aufgebaut um den Storage direkt anbinden zu können. Aus Performancegründen werden noch ein physisches SQL-Cluster und alle Domain Controller des MWN-Active Directory betrieben, da die Leistungsfähigkeit der virtuellen Maschinen zu schlecht ist. Auch verhindern bestimmte Anwendungen wie z.b. für das Gebäudemanagement am LRZ oder Überwachungskomponenten, die möglichst unabhängig von weiterer Infrastruktur betrieben werden müssen, eine Virtualisierung. Die momentan unterstützten Betriebssystemversionen am LRZ reichen dabei von Windows 2000 Server bis zur aktuellen Version Windows Server Windows Server ist dabei das Basisbetriebssystem für verschiedene höherwertige Dienste am LRZ wie Active Directory, Exchange oder Terminalserver. Die Installation, Pflege und Reporting der Systeme erfolgt über den zentralen Microsoft System Center Configuration Manager 2012 (SCCM) am LRZ, der auch für die Clientsysteme Verwendung findet. Für Monitoring und Alerting findet der Microsoft System Center Operation Manager 2012 (SCOM) von

40 32 Serverbetrieb Microsoft Verwendung, der mit seinen vorgefertigten Management Packs gezielt, nicht nur das Betriebssystem, sondern auch die auf den Servern betriebenen Dienste wie Active Directory, Exchange oder MS SQL überwacht. Unterstützt wird das Monitoring der Hardware bei den physischen Servern durch DELL Openmanage, wodurch Hardwareprobleme an den SCOM gemeldet werden.

41 Jahresbericht 2012 des Leibniz-Rechenzentrums 33 4 Datenhaltung 4.1 Überblick Datenhaltung Hinsichtlich der Art der Datenträger gliedert sich die Datenhaltung am LRZ im Wesentlichen in zwei Bereiche, den Bereich der Massenspeicher der Archiv- und Backupsysteme mit ihren Bandbibliotheken (Abschnitt 4.2), auf die sich unter anderem die Langzeitarchivierung (Abschnitt 4.2.4) abstützt, und in den Bereich der Online-Speicher (Abschnitt 4.3) vorwiegend auf der Basis von Network Attached Storage (NAS). Bezeichnend für den rasanten Datenzuwachs ist die Tatsache, dass inzwischen Petabyte als Einheit zur Angabe größerer Datenmengen die noch im Jahresbericht 2011 benutzte Einheit Terabyte abgelöst hat (ein Petabyte = Terabyte =10 15 Byte = Byte). Für Sicherungssysteme zweiter Ordnung sowie für die Archivierung von großen Datenmengen sind Bänder als Datenträger gestern wie heute unverzichtbar. Der Umfang der in den Bandbibliotheken des LRZ gespeicherten Daten wuchs im Jahr 2012 von 20 PetaByte auf 28 PetaByte an. Die Zusammenarbeit mit der Bayerischen Staatsbibliothek und dem Bibliotheksverbund Bayern wurde weiter intensiviert. Dabei fungiert das LRZ als IT Service Provider in den Bereichen Serverhosting, Clusterhousing, Storagehousing einerseits und als Projekt- und Kooperationspartner in verschiedenen Projekten andererseits. Die Bayerische Staatsbibliothek verfügt über einen eigenen Online-Speicher mit 0,7 Petabyte Kapazität am LRZ, der von verschiedenen Arbeitsgruppen und Projekten genutzt wird. Dieser Speicher ist auch Ausgangspunkt für die Übertragung der Daten ins Langzeitarchiv des LRZ, in dem sich mittlerweile knapp 0,5 Petabyte Archivdaten befinden. Am LRZ und an den anderen Kommissionen der Bayerischen Akademie der Wissenschaften wird gemeinsam nutzbarer, hoch verfügbarer und optimal gesicherter Speicher auf Basis der NAS-Technologie eingesetzt. Dieser sogenannte MWN-Speicher oder Speicher für Wissenschaft steht als Grundversorgungsangebot auch Mitarbeitern und Studierenden der TU München und der LMU zur Verfügung und ersetzt dort immer häufiger lokale Lösungen. Im Zuge der Installation des SuperMUC wurden sowohl die Online-Speichersysteme als auch die Archivund Backupsysteme erheblich erweitert. Das gesamte Jahr 2012 war geprägt von den umfangreichen Arbeiten in diesem Zusammenhang, insbesondere die Verlagerung der Daten auf die neuen Systeme. Insgesamt ist der zur Verfügung stehende Online-Speicherplatz auf NAS-Basis auf mehr als 9 Petabyte brutto angewachsen. Zusammen mit dem SAN-Speicherplatz beträgt die Bruttokapazität der Plattenspeicher über 12 Petabyte verteilt auf über Festplatten. Hinzu kommen 10 PB für das parallele Filesystem des SuperMUC. 4.2 Archiv- und Backupsystem Konfiguration Das Archiv- und Backupsystem des LRZ besteht aus drei großen Systemen mit Bandrobotern: einem Hochleistungssystem HABS, das Anfang 2006 installiert und seitdem dreimal (Ende 2007, 2010 und Mitte 2012) erweitert wurde, und einem System mit LTO-Bandlaufwerken in mehreren Bibliotheken (LABS), das 2010 neu installiert wurde. Zusätzlich wurde mit der jüngsten HABS Erweiterung im Jahr 2012 ein Desaster Recovery System (DRABS) beschafft, das eine zweite Kopie der Archivdaten vorhält. Dieses System ist, um die Ausfallsicherheit zu erhöhen, räumlich getrennt am Rechenzentrum Garching der Max-Plack- Gesellschaft installiert. Ebenfalls aus Gründen der Ausfallsicherheit befinden sich die Komponenten der drei Systeme in getrennten Speichernetzen (SAN-Fabrics). An die SAN-Fabrics sind die Storageserver, alle Bandlaufwerke der Libraries und alle Serversysteme mit hohem Datenverkehr, insbesondere die File- und Backupserver an-

42 34 Datenhaltung geschlossen. Die SAN-Fabrics sind Grundlage für einen effizienten Transport von großen Datenmengen, durch sie wird die Last am LAN reduziert und eine dynamische Zuordnung der Speicherkomponenten zu den Verbrauchern ermöglicht. Archive and Backup System, Dec 2012 IBM SUN Brocade DELL Brocade 6510 Brocade 6510 Disk Cache + DB IBM DS TB Library IBM TS tape devices IBM LTO5 19,137 slots 2 TSM Servers TSM DRABS Desaster Recovery Archive and Backup System (RZG) 10 GBit Ethernet 2-8 TSM Servers 8 machines 2-8 TSM Servers DB 3 TSM Servers 12 machines 3 TSM Servers TSM TSM IBM X3850x5 IBM X3550 M3 TSM TSM IBM StorWize V TB SSD TSM SUNFire X4270 TSM Disk Cache SAN Disk Cache + DB SAN Brocade 5300 Disk Cache + DB IBM DS TB Brocade DCX Brocade DCX DELL PowerVault MD36XXf 281 TB Brocade 5300 Brocade 5300 Brocade 5300 SUN TB Library SUN SL tape devices SUN T10K-B 10,000 slots Library IBM TS tape devices IBM LTO5 17,333 slots Library SUN SL tape devices IBM LTO5 16 tape devices IBM LTO4 10,000 slots Library IBM TS3500 L52 10 tape devices IBM LTO4 8 tape devices IBM LTO5 5,039 slots HABS High Performance Archive and Backup System LABS LTO Archive and Backup System Abbildung 15 Überblick Archiv- und Backupsysteme Die wesentlichen Komponenten des Systems sind: 21 Rechner (Vorwiegend Intel Nehalem EP und EX), 388 Cores, GB Memory 6 Fibre Channel Switches (8 Gbit/16 Gbit) und 2 Fibre Channel Direktoren (8/16 Gbit) GE LAN Ports mit 100 Gbit/s Uplink zum LRZ Backbone 18 Storage Servern mit insgesamt TB (Brutto) verteilt auf Disks und 38 SSDs mit 70 GB/s theoretischer Gesamtdurchsatz 5 Tape Libraries mit insgesamt Slots 98 Bandlaufwerke (LTO-4, LTO-5, T10K) mit 24 GB/s theoretischem Gesamtdurchsatz Softwareseitig wird die gesamte Architektur mit dem Tivoli Storage Manager von IBM betrieben. Auf den 21 Rechnern des Systems laufen jeweils mehrere Instanzen des Tivoli Storage Manager, insgesamt waren Ende TSM-Server in Betrieb Die Abbildungen auf den folgenden Seiten zeigen die drei Teil-Konfigurationen des HABS, LABS bzw. DRABS im Detail.

43 Jahresbericht 2012 des Leibniz-Rechenzentrums 35 High Performance Archive and Backup System 2012 Cur. tape capacity: Max. tape capacity: Tape devices: Disk capacity: TB, T10K cartridges LTO-5 cartridges TB, T10K cartridges LTO-6 cartriges 26 x T10K-B, 15 x LTO-5 10 TB SSD, 117 TB SAS, 1702 TB NL-SAS Munich Scientific Network Linux Compute Cluster Router MWN 10 Gbit 10 Gbit SuperMUC Network Switches HP E XG Switch 24 x 10 GbE Ports HP E XG Switch 24 x 10 GbE Ports 4 x 10 Gbit Ethernet HPC special 12 x 10 Gbit Ethernet 11 x 10 Gbit Ethernet 1 x 10 Gbit Ethernet HPC special 4 x IBM X3850 X5 Pentium 4 Pentium OPTERON S14 Worker Server S1 Sn XEON 27x X core Sn 7 4 x 8 Core 4 x Intel Xeon X GHz GB Memory 8 x FC 8 Gbit 4 x 10 GbE Trunk SLES 11 SP2 TSM Server x IBM X3850 X5 OPTERON Worker OPTERON Server 2 x 2 core XEON 2 x 2 X7550 core 4 x 10 Core 4 x Intel Xeon E GHz 512 GB Memory 8 x FC 8 Gbit 4 x 10 GbE Trunk SLES 11 SP2 TSM Server x IBM X3550 M3 Mgmt. Server XEON E x 4 core 2 x Intel Xeon E GHz 16 GB Memory 4 x FC 8 Gbit 2 x 1 GbE SLES 11 SP2 TSM Server 6.3 National Supercomputer SuperMUC 8 x 8 Gbit FC 72 x 8 Gbit FC Storage Area Network FC-Direktor 48 Port 8Gb + 64 Port 16Gb FC-Direktor 48 Port 8Gb + 64 Port 16Gb 26 x 4 Gbit FC 104 x 8 Gbit FC 15 x 8 Gbit FC Dell MD3620f SAS 39 TB Dell MD3620f SAS 39 TB Dell MD3620f SAS 39 TB Dell MD3660f NL-SAS 163 TB IBM TS3500 tape library 15 FC tape drives LTO-5 Max library capacity: Cur. library capacity: TB uncompressed TB uncompressed IBM DS3500 NS-SAS 212 TB IBM DS3500 NS-SAS 212 TB IBM DS3500 NS-SAS 212 TB IBM DS3500 NS-SAS 212 TB IBM DS3500 NS-SAS 229 TB IBM DS3500 NS-SAS 229 TB IBM DS3500 NS-SAS 229 TB STK SL8500 tape library 26 FC tape drives Titanium B Max library capacity: Cur. library capacity: TB uncompressed TB uncompressed IBM V7000 SSD 5TB IBM V7000 SSD 5TB 1118 disks total capacity: 1830 TB Abbildung 16 Hochleistungs-Archiv-und Backupsystem Ende 2012

44 36 Datenhaltung LTO Archive and Backup System 2012 Cur. tape capacity: Max. tape capacity: Tape devices: Disk devices: TB, LTO-4 cartridges LTO-5 cartridges TB, LTO-5 cartridges 26 x LTO LTO5 drives 222 TB FC-AL, 262 TB SATA Router MWN 10 Gbit HP E XG Switch 24 x 10 GbE Ports HP E XG Switch 24 x 10 GbE Ports Munich Scientific Network 28 x 10 Gbit Ethernet 12 x Sun Fire X4270 Pentium 4 Pentium 4 Pentium 4 Pentium Sn4 Sn Pentium Sn4 Sn Pentium Sn4 Sn Pentium Sn4 Sn Pentium Sn4 Sn Sun Sn Sn S1 Sn Fire X4270Sn 9 Worker / 3 Mgmt. Sn 7 2 XEON x 4 Core 2 x INTEL X GHz 72/16 GB Memory 4 x FC 8 Gbit 2 x 10 GbE (Failover) SLES 11 SP2 TSM Server x 8 Gbit FC Storage Area Network 8 GBit FC-Switch 80 Port 8 GBit FC-Switch 80 Port 8 GBit FC-Switch 80 Port 8 GBit FC-Switch 80 Port 26 x 4 Gbit FC 24 x 8 Gbit FC 48 x 8 Gbit FC slots total capacity: TB IBM TS 3500 tape library 10 x LTO x LTO slots total capacity: TB SUN SL8500 tape library 16 x LTO x LTO-5 Max library capacity: Cur. library capacity: TB uncompressed TB uncompressed SUN 6780 FC-AL 65 TB SATA 87 TB SUN 6780 FC-AL 65 TB SATA 87 TB 1152 disks, total capacity: 484 TB SUN 6780 FC-AL 61 TB SATA 87 TB Abbildung 17 LTO-Archiv-und Backupsystem Ende 2012

45 Jahresbericht 2012 des Leibniz-Rechenzentrums 37 Desaster Recovery Archive and Backup System 2012 Cur. tape capacity: TB, LTO-5 cartridges Max. tape capacity: TB, LTO-6 cartriges Tape devices: 7 x LTO-5 Disk capacity: 6 TB SAS, 393 TB NL-SAS Munich Scientific Network Router MWN 10 Gbit HP E XG Switch 24 x 10 GbE Ports 4 x 10 Gbit Ethernet 1 x IBM X3850 X5 Worker Server XEON X x 10 Core 4 x Intel Xeon E GHz 512 GB Memory 8 x FC 8 Gbit 4 x 10 GbE Trunk SLES 11 SP2 TSM Server x 8 Gbit FC Storage Area Network FC-Switch 24 Port 16Gb FC-Switch 24 Port 16Gb 7 x 8 Gbit FC 16 x 8 Gbit FC IBM TS3500 tape library 7 FC tape drives LTO-5 IBM DS3500 SAS 3 TB NL-SAS 196 TB IBM DS3500 SAS 3 TB NL-SAS 196 TB Max library capacity: Cur. library capacity: TB uncompressed TB uncompressed 192 disks total capacity: 399 TB Abbildung 18 Desaster Recovery Archiv- und Backupsystem Ende 2012

46 38 Datenhaltung Aktivitäten Beschaffung und Inbetriebnahme eines Hochleistungsarchivs für den SuperMUC Der Schwerpunkt im Jahr 2012 lag bei den Aktivitäten rund um das neue Archiv-System für den Super- MUC, welches auch das neue Desaster Recovery Archiv- und Backupsystem (DRABS) umfasste. An der europaweiten Ausschreibung im ersten Quartal 2012 beteiligten sich die Firmen IBM, Oracle und SpectraLogic/SGI, vertreten jeweils durch deren Businesspartner. Den Zuschlag konnte die Firma IBM vertreten durch die SVA GmbH für sich entscheiden. Das IBM-Angebot erfüllte alle Kriterien und konnte an einigen Stellen sogar mit deutlicher Übererfüllung hinsichtlich Kapazität und Leistungsfähigkeit punkten. Im zweiten Quartal 2012 wurde die Hardware für das SuperMUC-Archivs am LRZ und das Desaster Recovery Archiv- und Backupsystems am RZG geliefert und aufgebaut. Es wurden 5 Server, 4 SAN Switche, 9 Storagesysteme mit 750 Platten und zwei Libraries mit insgesamt fast Stellplätzen innerhalb weniger Wochen installiert und in Betrieb genommen. Der Hardwareaufbau inklusive Verkabelung (etwa 250 Kabel) und Beschriftung wurde wie in der Ausschreibung gefordert, von den Firmen IBM und SVA übernommen. Der Aufbau verlief sehr zügig und reibungslos, so dass das System bereits im Juni betriebsbereit erklärt wurde. Parallel dazu wurde das neue SuperMUC-Archiv und das vorhandene HABS durch den Umzug der HABS-Server in den hochverfügbaren Rechnerraum DAR1 zu einem System zusammengeschlossen (siehe unten). Nach Installation der Geräte durch den Lieferanten konnte die Konfiguration der Hardware wie z.b. die Storagesysteme und SAN-Switche durch das LRZ relativ schnell bewerkstelligt werden, da fast sämtliche Systeme bzw. deren Vorgänger bereits am LRZ im Einsatz waren und dadurch das entsprechende Know- How bereits vorhanden war. Ebenso effizient konnte die Installation und Konfiguration der Software und die Provisionierung der TSM Instanzen auf den neuen Servern erfolgen, da hier mittlerweile einen sehr hohen Automatisierungsgrad durch den Einsatz von CF-Engine erreicht ist. Die Abnahme des SuperMUC Archivs begann mit einem Fehler an einem Storagecontroller, der nur durch den Tausch der sogenannten Midplane (ein Teil, an dem laut Hersteller äußert selten Defekte auftreten) behoben werden konnte. Da dieser Austausch sehr kompliziert und langwierig war, konnte die Verfügbarkeitsprüfung auf Anhieb nicht bestanden werden und musste um 11 Tage verlängert werden. Bis auf diesen Vorfall verlief die Verfügbarkeitsprüfung relativ reibungslos und ohne größere Zwischenfälle. Während der Abnahme wurden die Archivdaten des Migrationssystems SuperMIG, sowie die Bestandsdaten des Vorgängers des SuperMUC (HLRB II) in das neue Archiv verlagert sowie die Zweitkopie der Archive des HABS und des LABS auf dem Desaster Recovery System angelegt (siehe unten). Durch diese Maßnahme wurde hohe Last erzeugt, so dass die Abnahme unter realen Produktionsbedingungen stattfinden konnte. Umzug der HABS Server in DAR1 und Zusammenschluss mit SuperMUC Archiv Anfang 2012 hätte für die 6 SGI IS4500 Storagesysteme, auf denen die TSM-Datenbanken des HABS lagen, der Wartungsvertrags verlängert werden müssen. Die Kosten für drei Jahre Wartung überstiegen die Kosten für die Ersetzung durch ein neues System inkl. drei Jahren Wartung. Deshalb wurden aus Restmitteln drei Dell PowerVault MD3620f Storagesysteme mit je TB SAS Platten als Ersatz beschafft. Zudem musste Mitte 2012 die Wartung für die alten HABS SAN Direktoren und Storageserver verlängert werden. Da dies ebenso unverhältnismäßig hohe Kosten verursacht hätte, wurde entschieden, die alte Storage-Infrastruktur (SAN und Platten) des HABS komplett abzuschalten und stattdessen die Server und die Dell-Storagesysteme mit dem SuperMUC Archiv zum HABS 2.0 zu verschmelzen. Im Rahmen der Beschaffung des SuperMUC Archivs wurden zusätzliche SAN Ports durch das LRZ gekauft, über die die HABS 1.0 Komponenten (Server, Dell Storagesysteme, Tapes) integriert wurden. Weiterhin wurde das 2011 aus Eigenmitteln finanzierte SuperMIG-Backup- und Archivsystem, bestehend aus einem IBM X3850 X5 und zwei DS3500 Storageservern mit 144 TB Kapazität in das HABS 2.0 integriert. Die Dell Storagesysteme wurden im neuen Serverraum DAR1 aufgestellt und die neue Verkabelung vorbereitet. Danach konnte der Umzug der verbliebenen HABS 1.0 Komponenten mit weniger als 8 Stunden Dienstausfallzeit bewerkstelligt werden.

47 Jahresbericht 2012 des Leibniz-Rechenzentrums 39 Migration der Archivkopien in das neue DRABS-System Um einen Verlust von Archivdaten im Falle eines Mediendefekts oder einer Katastrophe wie z.b. eines Brandes zu vermeiden, wird von den Archivdaten eine Zweitkopie erstellt. In der Vergangenheit wurde diese Zweitkopie auf Grund eines bilateralen Abkommens zwischen LRZ und RZG im TSM-System des RZGs gespeichert. Um mehr Unabhängigkeit bei der verwendeten Software bzw. Softwarekonfiguration zu bekommen, entschieden sich das LRZ und das RZG 2011 dafür, in Zukunft nicht mehr die Daten im TSM-System des jeweiligen Partners zu speichern, sondern im Partnerrechenzentrum eigene Hardware zu installieren. Seit 2012 betreibt das LRZ sein Desaster Reocvery-System am RZG und ab 2013 wird das RZG umgekehrt ein eigenes System am LRZ installieren. Nachdem das LRZ-eigene Desaster Recovery-System zusammen mit dem SuperMUC-Archiv im Frühjahr 2012 installiert wurde, musste die Migration der Zweitkopie in das neue System erfolgen. Dafür mussten alle Archivdaten auf der Primärseite mit einem Gesamtumfang von etwa 6 PB erneut gelesen und per 10 Gbit Netzwerk in das neue System kopiert werden. Danach konnte die alte Zweitkopie im RZG TSM System gelöscht werden. Einführung einer neuen Reporting-Software als Ersatz für DatWEB Ende 2012 wurde die Software TSM-Reporter als Teilersatz für das vom LRZ in den 90er Jahren selbst programmierte DatWEB eingeführt. Die neue Software stammt von der niederländischen Firma PLCS welche sich auf Produkte und Services rund um TSM spezialisiert hat. Die Software sammelt täglich wichtige Kenndaten aus der TSM Datenbank und erzeugt daraus Reports. Das ermöglicht den TSM- Administratoren Trends, die zu Engpässen führen, proaktiv zu Erkennen und frühzeitig darauf zu reagieren. Zudem stellt es u.a. Prognosen über das Datenwachstum an. Durch den Einsatz dieser Software konnte der benötigte Funktionsumfang eines Nachfolgersystems für DatWEB, das zwangsläufig wieder großteils eine Eigenentwicklung sein wird, deutlich verschlankt werden. Zudem ist die Weiterentwicklung und Support durch die Firma PLCS garantiert. Neues Backupverfahren für Exchange-Server Im Rahmen einer Ausschreibung wurde 2012 eine neue Storagelösung für die Microssoft Exchange- Umgebung des LRZ beschafft. Das alte System, basierend auf virtuellen Servern, stützte sich auf die NAS-Speicher von NetApp und konnte die inhärenten Exchange Features zur Erhöhung von Redundanz und Sicherheit nicht nutzen, jedenfalls nicht zu vertretbaren Kosten. Das neue System besteht aus physischen Servern mit Direct Attached Storage. Ein neues, effizientes Backupverfahren wurde aufgesetzt, das die im Rahmen des Tivoli Landeslizenzvertrags vorhandenen Lizenzen nutzt. Mit TSM for Mail ist es möglich, die Exchangedatenbanken im laufenden Betrieb in TSM zu sichern. Um einen schnellen Restore zu gewährleisten, werden die Daten nicht nur auf Band, sondern auch auf Festplatten in TSM gespeichert. Damit sich der benötigte Festplattenplatz aber auf ein Mindestmaß beschränkt, wurde hier zusätzlich noch die Deduplizierungsfunktion von TSM eingesetzt. Dadurch konnte der tatsächlich belegte Platz auf den Storagesystemen um 75% reduziert werden. Um höchste Datensicherheit des Backups zu gewährleisten, wird zusätzlich eine Kopie auf Band im neuen DRABS am RZG gespeichert. Tivoli Landeslizenzvetrag LL3 Der im September 2008 abgeschlossene Landeslizenzvertrag für IBM-Softwareprodukte, mit dem auch die TSM-Lizenzen und Support beschafft wurden, wird im September 2013 auslaufen. Im Herbst 2012 wurden in einem ersten, konkret diesem Zweck gewidmeten Treffen, der Bedarf und die Möglichkeiten für einen weiteren Nachfolgevertrag mit den interessierten bayerischen Hochschulrechenzentren und IBM diskutiert. Danach wurde der aktuelle Bestand erfasst und basierend auf den Erfahrungen der vergangenen Jahre eine detaillierte Trendanalyse für den zu erwartenden Fünfjahresbedarf erstellt. Erwartungsgemäß konzentrierten sich die Anforderungen auf die Tivoli-Produktsuite, durch die die Bereiche Speicher-, Netz- oder Systemmanagement abgedeckt werden. Hier ist die landesweite Synergie am größten. Die Hinzunahme von anderen Produkten hat sich nur bedingt bewährt, da sich IBM nicht dazu bewegen ließ, diese Produkte in der gleichen sogenannten Austauschkategorie zu platzieren und der Bedarf nicht groß war. Dadurch ging viel an Flexibilität verloren. Die Universität Regensburg war zum Bei-

48 40 Datenhaltung spiel der einzige Nutzer von Informix-Lizenzen. Die Hochschule wird nun die Lizenzen in Eigenregie verlängern, das Produkt wird aber nicht Bestandteil eines neuen Landeslizenzvertrags. Anhand der Bedarfsmeldungen der Hochschulen von Ende 2012 wurde von IBM ein Informationsangebot erstellt, das Grundlage für einen Großgeräteantrag (LL3) werden wird, der Anfang 2013 vorbehaltlich einer gesicherten Finanzierung gestellt werden soll Statistik Ende 2012 waren in den 5 Libraries des Archiv- und Backupsystems 28 Petabyte, verteilt auf 14 Milliarden Dateien gespeichert. Täglich wurden auf die Systeme durchschnittlich 70 Terabyte neu geschrieben. Die Daten stammten von rund Servern des MWN aus über 400 Einrichtungen der Münchner Hochschulen. Im Vergleich zum Vorjahr sind Last und Datenmenge im Rahmen der Erwartungen, d.h. nicht schneller als in den Vorjahren, weiter gestiegen. Es bleibt abzuwarten, ob sich dieser Trend fortsetzt, oder ob die Archivdaten des SuperMUC das Wachstum wieder beschleunigen. Hauptsächlich bedingt durch die Kassetten, die Teil der Beschaffung des SuperMUC Backup- und Archivsystems waren, ist die Anzahl der in den Libraries nutzbaren Kassetten stark gestiegen. Ende 2012 befanden sich Kassetten in den Slots der 5 Libraries. Die Gesamtanzahl der Kassetten ist nur bedingt als Indikator für den Zuwachs tauglich, da die Kapazitäten der Kassetten je nach Technologie stark variieren. Jeder Rechner oder jeder Rechnerverbund, der auf das Archiv- und Backupsystem zugreifen will, muss unter TSM als sogenannter Node registriert sein. Die Anzahl der Nodes entspricht damit in etwa der Anzahl der Systeme, die ihre Daten im Archiv- und Backupsystem ablegen wurden Nodes neu registriert und 600 alte Nodes inklusive ihrer gespeicherten Daten gelöscht. Durch das explizite Löschen von Nodes sowie durch automatische Löschprozesse nicht mehr benötigter Daten wird dafür gesorgt, dass das Archiv- und Backupsystem nicht zum Datengrab wird. Um die Datenflut soweit wie möglich zu begrenzen, ist es notwendig, den Kunden des Archiv- und Backupsystems den Umfang ihrer abgelegten Daten immer wieder bewusst zu machen und sie zum sinnvollen Umgang mit den vom LRZ zur Verfügung gestellten für sie vorläufig noch kostenlosen Ressourcen anzuhalten. Ein eigens für diesen Zweck bereitgestellter Server erlaubt es den Kunden, sich direkt umfassend über den eigenen Datenbestand zu informieren. Gleichzeitig werden die Nutzer in regelmäßigen Abständen von diesem Server über die von ihnen verbrauchten Speicherressourcen via informiert. Integriert sind Werkzeuge, die der betrieblichen Überwachung und Analyse der Systeme dienen. Nutzer mit besonders auffälligem Datenprofil werden direkt angesprochen. Unter anderem um diese auffälligen Profile schnell zu erfassen wurde 2012 die Software TSM-Reporter beschafft (siehe Abschnitt 4.2.2). Alle Kontaktdaten werden zusätzlich regelmäßig auf ihre Aktualität überprüft. Entsprechend den Benutzungsrichtlinien werden Daten, zu denen sich keine Ansprechpartner mehr ermitteln lassen, nach Ablauf einer festgelegten Frist gelöscht. Den Zuwachs von Speicherbelegung und Dateneingang im Laufe des Jahres 2012 zeigen Abbildung 19 und 20.

49 Jahresbericht 2012 des Leibniz-Rechenzentrums 41 Abbildung 19 Datenverkehr (GB pro Monat) Abbildung 20 Datenumfang in TB Der Archiv-Anteil am Datenbestand ist relativ statisch, d.h. es gibt nur wenige Änderungen an den Dateien im Archiv. Archivdaten werden in der Regel einmal ins Archiv übertragen und dort sehr lange aufbewahrt, im Fall der Langzeitarchivierung für Jahrzehnte. Der Buckel der Archivkurve im Zeitraum September bis Dezember wurde durch den Aufbau der Zweitkopie im neuen Desaster Recovery Archiv- und Backupsystem verursacht. Hier gab es vorübergehend drei Kopien der Archivdaten (eine im LRZ, eine im TSM System des RZGs und eine im LRZ System am RZG), wobei die dritte Kopie im TSM System des RZGs nach dem erfolgreichen Verschieben in das DR System gelöscht wurde. Datensicherungen finden regelmäßig statt. Backupdaten werden daher häufig ins System geschrieben. Die veralteten Backup-Daten werden automatisch aus dem Bestand gelöscht. Durch diese Dynamik erklärt sich die im Vergleich zur Archivierung deutlich höhere Dateneingangsrate bei geringerer Steigerung des Datenumfangs. Die Entwicklung seit der Installation des ersten unabhängigen Archiv- und Backupsystems im Jahr 1995 zeigt Abbildung 21. Das Diagramm zeigt ein kontinuierliches exponentielles Wachstum des Datenbestands über die Jahre hinweg.

50 42 Datenhaltung Abbildung 21 Speicherbelegung Plattform für digitale Langzeitarchivierung Veröffentlichungen in digitaler Form nehmen im Wissenschaftsbetrieb wie auch im gesellschaftlichen Leben einen immer höheren Stellenwert ein. Oft wird, wie z. B. bei Dissertationen und bei amtlichen Publikationen, auf ein gedrucktes Pendant ganz verzichtet. Während die Digitalisierung für die Nutzer den Zugang und den Umgang mit der Information beschleunigt und insgesamt erleichtert, entstehen aus organisatorischer, rechtlicher und technischer Sicht neue Herausforderungen. Die Objekte sollen nicht nur verwaltet und gespeichert, sondern auch langfristig zugänglich gemacht werden. Diese Aufgabe wird erschwert durch den raschen technologischen Wandel im Bereich der Hard- und Software und der Datenträger. Seit 2004 besteht eine Kooperation zwischen der Bayerischen Staatsbibliothek (BSB) und dem Leibniz- Rechenzentrum, die inzwischen durch drei DFG-geförderte Projekte (BABS, BABS2 und vd16digital), die BSB-Google Partnerschaft und die Einführung des LZA-Managementsystems Rosetta der Firma Ex Libris an der BSB ausgeweitet wurde. Dabei tritt das LRZ für die BSB als Dienstleister für die Langzeitarchivierung, das Bereitstellen von Online-Speicher, das Attended Housing von Clusterknoten und Hosting von virtuellen Servern auf. Die langfristige Speicherung der Daten übernimmt bei allen Projekten ein NAS-System und das Archiv- und Backupsystem des LRZ mit dem Softwarepaket Tivoli Storage Manager (TSM). TSM verfügt über alle wesentlichen Funktionalitäten, die für Langzeitarchivsysteme Voraussetzung sind. Das Gesamtsystem deckt damit alle wichtigen Bereiche eines langfristig funktionierenden Archivs ab und folgt dem allgemeinen Open Archival Information Systems -Referenzmodell (OAIS). Abbildung 22 und 23 zeigen die Entwicklung der Anzahl der Archivobjekte und des Datenvolumens des Langzeitarchivs von Januar 2006 bis Januar Der starke Anstieg der Dateianzahl ab März 2009 ist durch den Produktivbeginn der Archivierung der Google-Digitalisate (siehe Abschnitt 4.2.6) zu erklären. Bisher wurden von der BSB mehr als 975 Millionen Objekte mit einem Datenvolumen von mehr als 459 TB am LRZ archiviert. Der Datenzuwachs im Jahr 2012 betrug ca. 210 Mio. Dateien mit einem Volumen von ca. 76 TB. Noch im ersten Quartal 2013 wird die Anzahl der Objekte die Schwelle von 1 Milliarde Datengrenze überschreiten. In Abbildung 23 ist dieser Anstieg weniger auffällig, da die Größe der einzelnen Google-Digitalisate im Vergleich zu den übrigen Digitalisaten eher gering ist. Die aus Sicherheitsgründen erstellte Zweitkopie auf einem weiteren Magnetband verdoppelt in der Praxis die Objektanzahl und das Datenvolumen. Sie ist in den Diagrammen nicht berücksichtigt.

51 Jahresbericht 2012 des Leibniz-Rechenzentrums 43 Abbildung 22 Objektanzahl im LRZ-Archiv Abbildung 23 Datenvolumen im LRZ-Archiv Die gespeicherten Daten werden auf Systemen aufbereitet, archiviert und als Webpräsenz bereitgestellt, die zum überwiegenden Teil auf der virtuellen Serverplattform des LRZ betrieben werden. Zu diesen Systemen gehören unter anderem die Verkündungsplattform Bayern, der Web Server der Bayerischen Landesbibliothek oder ein Server, der die Volltextindizierung der Digitalisate steuert, um nur einige Beispiele zu nennen. Die Anzahl dieser am LRZ für das Münchner Digitalisierungszetrum der Staatsbibliothek gehosteten virtuellen Linux-Server ist im Jahr 2012 von 40 auf 76 angewachsen. Im Folgenden werden die beiden aktuell prominentesten Projekte beschrieben. Auf der LRZ-Homepage im Bereich Projekte (http://www.lrz.de/projekte_2012/forschung-daten/) finden sich weitere Details zu diesem Thema Projekt Rosetta Im Frühjahr 2010 hat sich die BSB für die Einführung des Langzeitarchivsystems Rosetta der Firma Ex Libris als neue strategische Plattform für die Langzeitarchivierung in Bayern entschieden. Diese Entscheidung wurde auch dadurch beeinflusst, dass das bislang verwendete System Digitool der Firma Ex Libris nicht mehr weiterentwickelt wird. Eine wesentliche Anforderung an das neue Langzeitarchivsystem Rosetta war der Anspruch, dass pro Tag mindestens Bücher in das System eingefügt werden können. Dies entspricht einem geschätzten Zuwachs des Datenvolumens von 100 TB pro Jahr. Mittelfris-

52 44 Datenhaltung tig ist geplant den bisher archivierten Datenbestand (459 TB; 975 Mio. Dateien) nach Rosetta zu migrieren. Gegenüber der bisherigen Konfiguration werden neben den Bereitstellungsdaten auch die digitalen Masterdateien auf einem Online-Speichersystem vorgehalten. Diese ambitionierten Pläne haben dazu beigetragen, dass der bestehende Online-Speicher (NAS-System) der BSB im Oktober 2010 durch ein performanteres und skalierbareres NAS-System ersetzt wurde. Die Bruttokapazität des NAS-Filers wurde von 586 TB auf 730 TB erweitert. Das LRZ betreibt für die BSB die Systeminfrastruktur des Langzeitarchivsystems Rosetta (virtuelle Server, Online-Speicher und Archivspeicher). Abbildung 24 Rosetta-Speicherarchitektur Das Hauptaugenmerk des LRZ bezüglich Rosetta im Jahr 2012 galt der weiteren Verfeinerung des Speicherkonzeptes und der Umsetzung der Langzeitsicherungsaufgaben. Seitens Ex Libris wurden neben der funktionalen Systemerweiterung und Fehlerbehebung zahlreiche Versuche unternommen, die geforderte Tagesproduktion von Büchern zu erreichen, was bisher noch nicht gelungen ist. Aufgrund von wiederholten Verzögerungen seitens Ex Libris erfolgte der Produktivgang erst im Sommer 2012 mit ausgewählten Kollektionen Projekt Google Im Rahmen einer im Jahr 2007 entstandenen Public-Private-Partnership digitalisiert Google über einen Zeitraum von mehreren Jahren mehr als 1 Million urheberrechtsfreie Druckwerke aus dem Bestand der BSB. Die BSB erhält Kopien der Digitalisate, die am LRZ gespeichert, archiviert und über den OPAC der BSB weltweit zugänglich gemacht werden. Das LRZ unterstützt die BSB in diesem Projekt als Dienstleister und ist für die Langzeitarchivierung der Digitalisate, das Housing von Clusterknoten für die Formatmigration als Vorbereitung für die Web-Bereitstellung, das Hosting des Speichersystems und das Hosting virtueller Server für Archivierung und Web-Bereitstellung zuständig. Konkret stellt das LRZ als interne und externe Schnittstelle virtuelle Server bereit, die sich um den Download, die Verarbeitung, Archivierung und Bereitstellung der Daten im Internet kümmern. Die Originaldateien, die die BSB von Google erhält, werden im Archiv- und Backupsystem des LRZ abgelegt. Die Dateien, die im Internet angeboten werden, werden am LRZ auf einem NAS-System gehostet. Die Umwand-

53 Jahresbericht 2012 des Leibniz-Rechenzentrums 45 lung aller originalen Bilddateien in jeweils zwei Bilddateien mit niedriger Auflösung geschieht am LRZ auf dem Linux Cluster. In Abbildung 25 sind die Infrastruktur sowie der Workflow schematisch dargestellt. Abbildung 25 Workflow im Google Projekt Aufgrund der guten Erfahrungen mit der Formatkonvertierung auf dem Linux-Cluster im Google-Projekt wurde für ein weiteres Projekt der BSB die Konvertierung von hochauflösenden TIFF-Bildern in zwei niedriger auflösenden JPEG-Formaten auf dem Linux-Cluster produktiv genommen. Weiterhin wurden 2012 die Konvertierungsroutinen auf das neue Batch-Processing System SLURM (früher SGE) umgestellt. Bis Ende 2012 wurden rund Bücher heruntergeladen und verarbeitet, der Bestand an Archivdaten im Google-Projekt ist so auf fast 160 TB angewachsen. Der stagnierende Datenzuwachs im Zeitraum von Februar 2011 bis Juli 2011 wurde dadurch verursacht, dass primär keine neuen Digitalisate in das Archiv eingepflegt, sondern eine Vielzahl an Objekten im Archiv durch überarbeitete und verbesserte Versionen (z.b. Bildqualität und OCR) ausgetauscht wurde. Abbildung 26 Archivierte Daten in TB

54 46 Datenhaltung Ab dem Jahr 2012 steht ein Teil der digitalisierten Bücher auch als Farb-Image zur Verfügung. Für diese Exemplare verdoppelt sich der Speicherbedarf und es ist notwendig, diese Bücher erneut von Google zu holen und in den Langzeitarchivierungsprozess einzupflegen. 4.3 Datenbanken und Web-Schnittstellen für den Betrieb der Supercomputer am LRZ Beim Betrieb der Hochleistungsrechner (Früher SGI, jetzt SuperMIC und SuperMUC) und des VMware- Clusters fallen große Mengen Leistungs- und Abrechungsdaten an, die intern ausgewertet und teilweise auch den Nutzern zur Verfügung gestellt werden. Die zur Auswertung allein nur für diese beiden Bereiche bereitgestellte Datenbankinfrastruktur umfasst derzeit 8 eigene Datenbankserver für HPC und einen für das VMware-Cluster. Die Arbeiten daran beinhalten den Aufbau sowie die laufende Pflege dieser Datenbanksysteme sowie den hausinternen Support bei Fragen und Problemen mit den darauf laufenden Anwendungen. Vier der Datenbankserver sind im aktuellen Jahr neu hinzugekommen, also eine Verdopplung der benötigten Infrastruktur. Zur Darstellung von Übersichten wie Statistiken und Betriebszustandsdaten wurden Schnittstellen zum Content-Management-System Fiona des LRZ-Webservers geschaffen, die es erlauben, diese Daten auch über den Webserver des LRZ abzurufen. 4.4 Online-Speicher Konfiguration und Entwicklung im Überblick Die NAS-Systeme am LRZ haben sich als Speicherplattform aufgrund ihrer Stabilität, Ausfallsicherheit und hohen Datensicherheit durch die Spiegelung auf ein Replikationssystem seit mehreren Jahren bewährt und als strategische Plattform etabliert. Die rapide wachsenden Datenmengen erfordern die gute Skalierbarkeit der eingesetzten Systeme. Abbildung 27 zeigt die Entwicklung der am LRZ betriebenen NAS-Infrastruktur seit ihrer Einführung im Jahr Abbildung 27 Links: Entwicklung Datenvolumen und Anzahl Festplatten in den Jahren 2005 bis 2012 Rechts: Entwicklung der Anzahl an Filer-Köpfen (Storage Controller) In der linken Abbildung ist Ende 2011 ein sehr deutlicher Zuwachs zu erkennen. Diese Steigerung wird durch die Inbetriebnahme des Speichersystems der Home-Verzeichnisse des SuperMUC bedingt. Die NAS-Datenkapazität steigt um einen Faktor 4,5 von TB auf über TB an. Die Anzahl der Festplatten wachsen um einen Faktor 2 auf Im Jahr 2005 betrug das Bruttospeichervolumen der gesamten NAS-Infrastruktur überschaubare 54 TB (ca. 350 Festplatten). Die Anzahl an Filer-Köpfen (Storage Controller) ist im Zeitraum von 2005 bis 2012 von 5 auf 42 Filer-Köpfe angestiegen (Steigerungsfaktor: 10,5). Das Personal zur Betreuung der NAS-Systeme ist im gleichen Zeitraum nur um einen Faktor 1,5 bis 2 gestiegen. Abbildung 28 zeigt die Konfiguration der Speicherinfrastruktur aller Primärspeichersysteme (Produktivsysteme) inklusive der Replikations- und Backupsysteme. Zwischen Primär- und Replikationsspeicher-

55 Jahresbericht 2012 des Leibniz-Rechenzentrums 47 systemen werden die Daten in der Regel asynchron, im VMware-Umfeld, wo die Verfügbarkeit eine besonders große Rolle spielt, werden die Daten synchron gespiegelt. Zur weiteren Erhöhung der Datensicherheit werden die Daten von den Replikationssystemen zusätzlich über NDMP (Network Data Management Protocol) auf Magnetbänder gesichert. Die Primär- und Replikationssysteme befinden sich in getrennten Brandabschnitten des Rechnergebäudes. Abbildung 28 Primärsysteme, Replikation und Backup Ein Cluster von Filerköpfen (supernasnn rechts in Abbildung 28) liefert den Speicher für die Homeverzeichnisse der Nutzer des neuen Höchstleistungsrechners. Das Cluster besteht aus 12 Storage-Controllern (FAS 6820) der Firma NetApp und verfügt in der ersten Ausbaustufe über ein Speichervolumen von brutto TB. Das zugehörige Replikationssystem (nasrepnn) verfügt über 4 Storage Controllern (FAS 6820), denen eine Kapazität von TB Brutto zur Verfügung steht Hochverfügbarer Speicher für virtuelle Server Um die notwendige hohe Verfügbarkeit bei der Speicherversorgung der VMware-Infrastruktur zu erreichen, wird ein Speichersystem eingesetzt, das seine Daten synchron spiegelt und zusätzlich repliziert (nas3170a/b). Als nutzbarer Speicherplatz standen VMware seit Frühjahr 2010 ca. 55 TB zur Verfügung. In einem Speicherantrag, der im Frühjahr 2011 eingereicht wurde, wurde mindestens eine Verdopplung der aktuellen Speicherkapazität dieses System angestrebt, um der steigenden Zahl an virtuellen Maschinen gerecht zu werden. Die Beschaffung der Speichererweiterung erfolgte im Frühjahr Der virtuellen Infrastruktur steht seitdem ca. 150 TB nutzbarer Speicherplatz zur Verfügung. Das in die Jahre gekommene Replikationssystem (nas6070r), das ursprünglich für den MWN-Speicher beschafft wurde und übergangsweise auch für das hochverfügbare VMware-Speichersystem gedient hat, wurde durch ein neues System (nas6280r2) ersetzt. Dabei wurde zunächst ein zusätzlicher Spiegel aufgebaut und im Anschluss der alte Replikationsdatenbestand gelöscht. Abbildung 29 zeigt das hochverfügbare NAS-System inkl. Replikations- und Backupsystem, das in räumlich getrennten Brandabschnitten aufgebaut und installiert wurde. Im Rahmen des Hostings für das Dialogorientierte Serviceverfahren der Stiftung für Hochschulzulassung ist eine analog aufgebaute Konfiguration (2 x NetApp FAS 3170, 50 TB) mit synchroner Spiegelung in Betrieb.

56 48 Datenhaltung Abbildung 29 Hochverfügbares NAS-System für VMware inkl. Replikation und Backup MWN-Speicher Das LRZ bemüht sich um die Bereitstellung von Speicherkapazitäten für alle Studierenden und Mitarbeiter der Hochschulen und stellt seit Mitte 2008 eine einfach zu bedienende, sichere und zentral administrierte Speicherlösung bereit. Durch eine enge Kopplung mit Verzeichnisdiensten verfügen alle Mitarbeiter und Studierenden sowohl über persönlichen Speicherplatz als auch über den Zugang zu Projektablagen. Gemeinsamer Projektspeicherplatz ermöglicht eine neue Art der Kooperation zwischen verschiedenen Einheiten, die bisher wegen der dezentralen Strukturen nicht möglich war. Weiteres Ziel ist die Versorgung anderer hochschulweiter Dienste mit sicherem, hochverfügbarem Speicherplatz. Der sogenannte Speicher für die Wissenschaft oder MWN-Speicher wird vor allem von Seiten der TU München - sehr gut angenommen, was die stetig steigende Anzahl der eindeutigen Benutzer-Kennungen (ohne Funktions- und lokale Benutzerkennungen) mit simultanen Zugriffen zeigt (siehe Abbildung 30). Die Zugriffe haben sich innerhalb der letzten beiden Jahre (2011/12) von auf simultane Zugriffe fast verdreifacht. Deutlich zu erkennen sind in den Diagrammen die betriebsschwachen Zeiten an den Wochenenden und zwischen Weihnachten und Neujahr. Wegen des schnellen Wachstums mussten die Daten des Speichers für die Wissenschaft auf ein neues Speichersystem verlagert werden. Dabei war die Herausforderung, die Unterbrechung für die Kunden möglichst gering zu halten. Deshalb fand die Verlagerung an einem Feiertag im August statt. Die Daten wurden bereits im Vorfeld im Hintergrund periodisch auf das neue Speichersystem gespiegelt. Am Umschalttag wurde der letzte Abgleich durchgeführt und die Konfiguration des neuen Speicherbereiches angepasst. Auch das Replikationssystem wurde durch ein neues System ersetzt. Nach dem Datenumzug des Primärsystems wurde der asynchrone Spiegel neu aufgebaut.

57 Jahresbericht 2012 des Leibniz-Rechenzentrums 49 Abbildung 30 Durchschnittliche Anzahl simultan zugreifender Kennungen Abbildung 31 Infrastruktur des Speichers für die Wissenschaft Abbildung 31 zeigt die Zugriffswege und den strukturellen Aufbau des MWN-Speichers. Hauptnutzer des MWN-Speichers war auch 2012 die TU München. Aber auch die LMU nutzt zunehmend den MWN-Speicher, wenn auch noch nicht in dem Maße wie die TUM. Die organisationsübergreifende Bereitstellung von Speicherplatz ist eine Herausforderung, die weit über die Grenzen des MWNs hinausgeht. In einigen Bundesländern wird bereits landesweit Speicher bereitgestellt. Gemeinsam mit dem DFN wurde 2012 über einen föderierten Dienst nachgedacht, der bundesweit genutzt werden kann. Die Diskussion, an der sich das LRZ im Rahmen seiner Möglichkeiten beteiligt, wird 2013 fortgesetzt.

58 50 Datenhaltung Sonstige Aktivitäten Hochleistungs-NAS-Systeme für HPC-Anwendungen Im Juni 2012 wurden die Homeverzeichnisse des SuperMUC und die Bereiche SCRATCH und WORK vom temporären Speicherort auf dem Replikationssystem auf das Hauptsystem verlagert. Abbildung 28 (rechte Seite) zeigt die schematische Konfiguration, bestehend aus 12 Filerköpfen für das Primärsystem und 4 Filerköpfen für das Replikationssystem. Leider hat sich gezeigt, dass die neue Controller-Generation von NetApp (FAS 6280) aufgrund eines Hardware-Problems häufiger ohne Vorwarnung abstürzen, bzw. einfrieren. Aufgrund des Hardware- Defektes mussten bei allen 20 Controllern die Mainboards, Erweiterungsboard, SAS-HBAs und NV- RAM-Karten getauscht werden. Auch die Stabilität der neusten Software-Version der NetApp Cluster Mode System ließ anfänglich zu wünschen übrig. Diese Instabilitäten haben in der zweiten Jahreshälfte erhebliche Personalressourcen gebunden und konnten erst im Januar 2013 endgültig behoben werden. Das Linux-Compute-Cluster des LRZ verfügt über ein NAS-Speichersystem mit 300 TB Kapazität. Aufgrund der gestiegenen Performance- und Kapazitätsanforderungen wurde entschieden, die Daten auf das neue Speichersystem für den SuperMUC zu konsolidieren. Die Planungen und Vorbereitungen dazu fanden Ende 2012 statt, die Datenmigration der 250 TB ist für Januar 2013 geplant. Das alte Speichersystem soll noch bis Ende März 2013 parallel betrieben werden, um gegebenenfalls auf Daten noch zugreifen zu können. Danach wird das System abgeschaltet und evtl. anderweitig verwendet. Konsolidierung verschiedener Speicherbereiche Da das 2007 beschaffte Speichersystem, bestehend aus einem Primärspeichersystem (2 x FAS6070) und einem Replikationssystem (FAS6070) zum Jahreswechsel außer Dienst gestellt werden sollte, mussten die Daten verschiedener Dienste, wie z.b. Exchange, VMware-Testumgebung und die Fakultät 11 der LMU verlagert werden. Bei dieser Gelegenheit wurden die Daten der Fakultät 11 der LMU, welche als Pilotkunde einen eigenen, gesonderten Speicherbereich hatte, in den Speicher für die Wissenschaft integriert. Speicher für NFS-Dateidienste und Linux-Mailsysteme Die in die Jahre gekommene Speichersysteme für die NFS-Dateidienste und der Linux-Mailsysteme wurden durch neue Speichersysteme ersetzt. Diese Geräte sind Systeme der ersten Stunde im damaligen Neubau in Garching. Im Zeitraum von August bis September 2012 wurden daher die Speicherbereiche schrittweise auf das neue Speichersystem (nas6280b) verlagert. Aufgrund der Individualität der Speicherbereiche musste die Verlagerung schrittweise mit den Dienste-Administratoren geplant und durchgeführt werden. Diese individuelle Betreuung hat einen hohen zeitlichen Aufwand bedeutet. Nach gründlicher Vorplanung verlief die Verlagerung der Speicherbereiche für die NFS-Dateidienste und der Linux- Mailsysteme problemlos. Es gab jeweils eine kurze Diensteunterbrechung von ca. 2 5 Minuten. Nach der Verlagerung der Daten wurde die asynchrone Spiegelung auf ein ebenfalls neues Replikationssystem aufgesetzt. Die alten Speichersysteme nas3050a, nas3050b und das angebundene Replikationssystem r200 wurden im Oktober außer Dienst gestellt und abgeschaltet. Insgesamt war das Jahr 2012 geprägt durch zahlreiche aufwändige Datenverlagerungen, die sowohl während der Planung, als auch bei der Durchführung einen hohen personellen Einsatz erforderten. Ein Großteil der in diesem Abschnitt beschriebenen Aktivitäten handelt von diesen Verlagerungen. Die raschen Innovationszyklen in der IT und die damit bedingten häufigen Ersetzungen der Hardware wirken sich hier besonders stark aus. Anders als bei der Ersetzung eines Rechners oder Rechner-Clusters kann das zu ersetzende Speichersystem erst abgeschaltet werden, wenn alle Daten, die darauf gespeichert waren, verlagert worden sind. Die Verlagerung dieser Daten verursacht immer wieder erheblichen Aufwand und zieht sich durch die gesamte Geschichte seit Einführung der unabhängigen Datenhaltung Anfang der Neunziger Jahre. Auch der nächste Abschnitt ist dafür ein gutes Beispiel. AFS Seit 1992 wurde am LRZ das verteilte Filesystem AFS (Andrew Filesystem) eingesetzt. AFS war in den 90er Jahren das zentrale Filesystem am LRZ, das von allen Diensten genutzt wurde. Im Rahmen des TUM-Großprojekts IntegraTUM wurden auch die Alternativen für ein hochschulübergreifendes hochver-

59 Jahresbericht 2012 des Leibniz-Rechenzentrums 51 fügbares Filesystem evaluiert. Bereits 2005 fiel dann die Entscheidung zu Gunsten einer NAS-basierten Lösung. Seitdem wird an der Ablösung von AFS gearbeitet. Die tiefe Verwurzelung von AFS in zahlreiche Teilbereiche des LRZ-Dienstespektrums machte die Ablösung zu einem langwierigen Unternehmen, das bis heute noch nicht gänzlich abgeschlossen ist. Nach und nach wurden die Speicherbereiche verschiedener Dienste aus AFS herausgelöst, zunächst der Mailbereich, der am wenigsten mit der speziellen Filesystemarchitektur von AFS zurechtkam, dann die Daten der Compute-Cluster. Mitte 2010 fand eine große Bereinigungsaktion nicht mehr oder kaum genutzter AFS-Homeverzeichnisse und damit gekoppelt der AFS-Kennungen statt. Dadurch konnte die Anzahl der AFS-Kennungen von vormals über auf reduziert werden. Mit der Einstellung des Betriebs des öffentlichen und internen SUN-Cluster sind die Restdaten in AFS nur noch über einen speziellen FTP-Zugang erreichbar konzentrierten sich die Migrationsarbeiten auf die Verlagerung der Web-Bereiche nach NAS. Die Vorarbeiten dazu stellten sich einmal mehr als sehr zeitaufwändig heraus. Die Verlagerung der letzten 300 Webserver wird erst 2013 abgeschlossen werden können. Bemerkenswert ist in diesem Zusammenhang auch die Stabilität des Systems. Natürlicherweise steigt die Stabilität zwar mit dem Rückgang der Nutzung, trotzdem ist es nicht selbstverständlich, dass die teilweise 10 Jahre alte Hardware noch ohne größere Ausfälle funktioniert. Auch wird die komplexe Software, die zum Betrieb von AFS nötig ist, seit dem Weggang des letzten AFS-Administrators Mitte 2012 nicht mehr gepflegt. Diverse Stromabschaltungen Für die gesetzlich vorgeschriebene Sachverständigenprüfung der LRZ-Brandmeldesysteme und Brandmeldebekämpfungssysteme im Rechnergebäude mussten mehrere Rechnerräume stromlos geschaltet werden. Um den Betrieb der Speichersysteme auch während der Stromabschaltung aufrecht zu erhalten mussten mit hohem Aufwand die Systeme über eine provisorische Stromversorgung betrieben werden. Eine zusätzliche Stromabschaltung musste aufgrund defekter Abgangskästen und Formstücke der Stromschiene im DAR1 durchgeführt werden. Auch hier wurde der Betrieb der Speichersysteme nicht unterbrochen. Die Sicherstellung des unterbrechungsfreien Betriebs während dieser Maßnahmen band zusätzliche Personalressourcen ebenso wie die schon beschriebenen Instabilitäten und Hardware-Probleme. Diese Herausforderungen mussten zusätzlich zu den normalen Tagesaufgaben bewältigt werden. Die Belastung für die Mitarbeiter war während des ganzen Jahres enorm hoch. 4.5 Daten- und Archivräume Im Rechnerwürfel des LRZ steht für die Geräte des Archiv- und Backupbereichs nahezu ein gesamtes Stockwerk des Altbaus mit 560 m 2 Nutzfläche zur Verfügung, der sogenannte DAR0 (Daten- und Archiv- Raum). Der Raum würde, wie alle anderen Brandabschnitte in diesem Stockwerk auch, im Brandfall mit Argon geflutet werden, d.h. Daten und Geräte würden keinen Schaden nehmen. Die sicherheitstechnischen und klimatischen Randbedingungen sind im Prinzip gut geeignet für die langfristige, sichere Aufbewahrung großer Datenmengen. Die Dimensionierung erlaubte bisher eine optimale Aufstellung der Geräte. Den meisten Raum nehmen 5 Bandbibliotheken ein. Neben den Bandbibliotheken wird der Raum allerdings zunehmend für die Aufstellung der umfangreichen NAS-Plattenbasis (Replikatsysteme) genutzt. Anders als leistungsstarke Server haben Platten eine relativ geringe Leistungsaufnahme. Die durch die Platten verursachte Wärmeentwicklung und damit Änderung der klimatischen Verhältnisse im Archivraum wird als vertretbar erachtet. Wie an vielen anderen Stellen auch, musste hier ein vernünftiger Kompromiss zwischen Kosten und Nutzen gefunden werden. Mit einer durchschnittlichen Leistungsaufnahme von unter 60 KW ist der Raum DAR0 ein Aushängeschild für Green-IT. Der geringe Energiebedarf ist darauf zurückzuführen, dass in dem Raum primär Bandbibliotheken und Plattensysteme stehen, deren Stromverbrauch verglichen mit den energiehungrigen Prozessoren der Serverracks in den anderen Räumen sehr gering ist.

60 52 Datenhaltung Abbildung 32 Daten- und Archivraum DAR = DAR0 +DAR1 + DAR2 Diese Gleichung steht für die substantielle Erweiterung des Daten- und Archivraums im Zuge der Erweiterung des Rechnergebäudes. Während der alte, 2006 in Betrieb genommene DAR0 und der neue DAR2 primär für die Archiv- und Backupsysteme vorgesehen sind, wird der sogenannte DAR1 neben hochverfügbaren Plattenspeichern auch hochverfügbare Server beherbergen. In diesem Raum wurden über 50 Geräteschränke zur Trennung von kalter und warmer Luft speziell eingehaust. Die Trennung der Luftströme erhöht die Energieeffizienz der Klimatisierung erheblich. Hochverfügbarkeit geht oft einher mit Hochsicherheit. Künftig soll daher der DAR1 als getrennte Sicherheitszone mit eigener Schließberechtigung betrieben werden. Abbildung 33 Brandabschnitte im Rechnerwürfel Durch die Gebäuderweiterung wurde auch die Anzahl der Brandabschnitte insgesamt erhöht. Dadurch wurde es möglich, die Komponenten vieler wichtiger Dienste redundant aufzustellen, was vorher nicht immer möglich war. Hochverfügbare Datenspeicher konnten so auf die Räume verteilt werden, dass der Dienst, für den sie benötigt werden, bei Abschaltung kompletter Brandabschnitte nicht beeinträchtigt wird. Bei der Aufstellungsplanung wurden dabei noch weitere Faktoren berücksichtigt, wie eine redundante Einbindung in die Klimainfrastruktur oder eine unterbrechungsfreie Stromversorgung (grüne Bereiche in Abbildung 33).

61 Jahresbericht 2012 des Leibniz-Rechenzentrums 53 5 Internetdienste Ersatz des Dienstes Mailout durch Postout Anfang August wurde ein neuer Dienst zum Versenden von Mails für den Benutzerbetrieb freigegeben. Im Unterschied zum bisherigen Mailout-Dienst können Mails beim neuen Postout-Dienst nur nach vorheriger Authentifizierung und nur mit Absenderadressen, für die der jeweilige Nutzer nutzungsberechtigt ist, verschickt werden. Der neue Dienst ist dadurch wesentlich besser gegen missbräuchliche Nutzung (wie Versand von Spammails) abgesichert. Ein weiterer Vorteil gegenüber dem Mailout-Dienst ist, dass er weltweit nutzbar ist und nicht nur innerhalb des MWN bzw. nach Aufbau einer entsprechenden VPN- Verbindung eine Einschränkung, die insbesondere für die Nutzer von mobilen Geräten unbequem war. Der bisherige Mailout-Dienst wird noch für eine gewisse Übergangszeit parallel zum neuen Postout- Dienst verfügbar bleiben. Mittelfristig wird Mailout in etwas veränderter Form nur noch für lokale Mailserver im MWN, aber nicht mehr für einzelne Benutzer angeboten werden Neuer Webmailer Roundcube Grund für den Wechsel auf einen neuen Webmailer war, dass das bisher eingesetzte Produkt SquirrelMail nicht mehr in ausreichender Weise weiterentwickelt wurde. Nach Sondierung der verfügbaren (freien) Alternativen haben wir uns für Roundcube als neuen Webmailer entschieden, ein gut gepflegtes Produkt mit einer modernen, intuitiv zu bedienenden Benutzeroberfläche. Der Roundcube-Betrieb wurde Anfang Mai aufgenommen und nach einem zweimonatigen Parallelbetrieb mit SquirrelMail, während dem sich die Benutzer an die neue Umgebung gewöhnen konnten, wurde der alte Webmailer Anfang Juli abgeschaltet. Mit Roundcube ist es jetzt auch möglich server-side Filter anzulegen. D.h. s können direkt bei der Auslieferung in die Mailbox gefiltert werden, ohne dass ein Client aktiv werden muss. Dadurch können entsprechend markierte Spammails unmittelbar in den Spamordner verschoben werden. Spammails, die nicht als solche markiert wurden und sich daher weiterhin im Posteingang befinden, können mit dem Spam-Button verschoben und gleichzeitig ans LRZ gemeldet werden. Diese s werden dann vom LRZ untersucht und dienen der Optimierung der Spamabwehr Spezielle Markierung von Newslettern Der neue Spam-Button von Roundcube wird von den Nutzern fleißig betätigt. Es zeigte sich dabei aber, dass oft korrekt markierte Spammails gemeldet wurden (d.h., es wurde vom Nutzer kein Spamfilter konfiguriert, der die s direkt in den Spamordner befördert), die meisten gemeldeten s (> 90%) sich als Newsletter herausstellten, nur sehr wenige s nicht ausreichend als Spam markiert wurden. Um die Masse der gemeldeten s zu ordnen, wurde ein neues Verfahren zur Markierung der Newsletter begonnen. Bei den meisten Newslettern handelt es sich nicht um solche, die der Nutzer explizit abonniert hat, sondern um Werbung von Firmen ( -Marketing). Landet ein Nutzer in der Datenbank einer solchen Marketingfirma, erhält er oft eine Vielzahl an Newslettern. Wir haben nun die IP- Adressbereiche von inzwischen 75 Marketingfirmen ermittelt und markieren ihre Newsletter beim Empfang aus dem Internet mit einer extra Headerzeile X-Newsletter-ISP: name anhand dieser IP- Adressbereiche. Somit können auch die Newsletter analog zu Spammails in extra Ordner ausgefiltert werden.

62 54 Internetdienste Snowshoe-Spam Der größte Teil des Spamaufkommens besteht aus Botnet-Spam, d.h. infizierte PCs verschicken mit spezieller Software die Spammails. Diese Art an Spam lässt sich inzwischen mit Hilfe der DNS-basierten Blacklists von Spamhaus zum größten Teil direkt ablehnen. Dies scheinen auch die Spammer bemerkt zu haben. War früher der Anteil des Spams auf 95% des Gesamtvolumens an s gestiegen, so haben wir inzwischen vor allem tagsüber Zeiten, an denen sich Spam- und Ham-Mails die Waage halten. Probleme bereiten inzwischen die Spammails, die über gephishte Accounts verschickt werden. Da diese s somit von regulären Mailservern verschickt werden, kann man nicht einfach den Mailserver blockieren. Oft greift auch die struktur-basierte Erkennung der s (SpamAssassin) nicht mehr, da zum Versand reguläre Mailprogramme verwendet werden. Solche s lassen sich nur inhaltsbasiert als Spam identifizieren und diese Art der Erkennung ist wesentlich fehleranfälliger. Daher sind wir auf die Meldungen bzgl. falsch markierter s unserer Nutzer angewiesen (s. Spam-Button von Roundcube). Einen anderen Weg gehen die Spammer mit dem sogenannten Snowshoe-Spam. Hierbei mietet sich der Spammer eine größere Anzahl an IP-Adressen und verschickt über jede IP-Adresse nur eine geringe Anzahl an Spammails, um sozusagen unter dem Radar der Spamalarmierung zu bleiben. Sind die IP- Adressen verbrannt, d.h. tauchen sie doch in Blacklists auf, so zieht der Spammer zum nächsten IP- Adressbereich weiter. Die Abwehr dieser Art von Spam wird noch nicht ausreichend durch Blacklists unterstützt, so dass hier noch viel Handarbeit notwendig ist. Bei den oben angesprochenen Newslettern hat sich herausgestellt, dass es Firmen gibt, deren Newsletter zwar wie normale Marketingnewsletter aussehen, die aber mit Snowshoe-Methoden verbreitet werden, es handelt sich also um normalen Spam. Andere Newsletterversender bewegen sich in der Grauzone zwischen Snowshoe-Spam und regulären Newslettern. Man sieht das daran, dass die Newsletter solcher Firmen extrem oft als Spam gemeldet werden. Da die Firmen sich aber anscheinend noch gerade auf der legalen Seite befinden, können wir den Versand nicht blockieren, sondern nur obige Markierung zur nutzerseitigen Filterung bereit stellen Virenabwehr Wie aus der Statistik weiter hinten zu ersehen ist, ist die Anzahl der pro Tag ausgefilterten vireninfizierten s relativ gering verglichen mit den großen Virenausbrüchen früherer Jahre. Trotzdem machen vireninfizierte s seit einiger Zeit ziemlich Probleme. Insbesondere ein bestimmtes Botnet versucht neue Rechner zu infizieren, indem es entweder s verschickt, die einen Link auf eine infizierte Webseite enthalten, oder die s enthalten den Virus direkt in einem Anhang. Damit der Virenscanner diesen Virus nicht sofort feststellen kann, wird der Virus in kurzen Zeitabständen so modifiziert, dass der Virenscanner eine neue Signatur zur Erkennung braucht. Da das Erstellen und Aktivieren einer Signatur mehrere Stunden dauert, nutzt das Botnet diese Zeit um große Mengen an vireninfizierten s zu verschicken, die dann nicht ausgefiltert, sondern dem Benutzer zugestellt werden. Um dies zu verhindern, wurde am LRZ eine Reihe von Signaturen entwickelt, die nicht versuchen, den Virus selbst zu erkennen, sondern die Software mit der der Virus verschickt wird. Mit Hilfe dieser Signaturen werden die infizierten s als Spam markiert und können somit in den Spamordner ausgefiltert werden. Leider ist das nicht für alle Viren möglichl, so dass jeder davon ausgehen muss, dass ein Anhang einer einen Virus enthalten kann, der nicht vom Virenscanner erkannt wird SRS Sender Rewriting Scheme Sender Policy Framework (SPF) ist ein Verfahren, bei dem im DNS beschrieben wird, von welchen IP- Adressen s mit einer bestimmten Absenderdomain verschickt werden dürfen und wie mit s umzugehen ist, die von anderen Mailservern kommen, z.b. diese ablehnen. Damit soll sichergestellt werden, dass Absenderdomains nicht gefälscht werden. Dieses Verfahren hat aber einige gravierende Nachteile, so dass es von der IETF nicht als Standard akzeptiert wurde. Der größte Nachteil ist, dass s nicht mehr wie bisher weitergeleitet werden können, da die Absenderadresse dabei nicht verändert wird und der weiterleitende Mailserver nicht in der Liste der erlaubten Mailserver enthalten ist. Die Absenderadresse muss daher vor der Weiterleitung so verändert werden, dass die Domain zum sendenden Mailserver passt. Dies ist mit dem Sender Rewriting Scheme (SRS) möglich.

63 Jahresbericht 2012 des Leibniz-Rechenzentrums 55 Da einige ISPs, z.b. GMX und Google, SPF trotz der Nachteile einsetzen und daher vom LRZ weitergeleitete s entweder abgelehnt wurden oder im Nirwana verschwanden, hat sich das LRZ trotz seiner ablehnenden Haltung gegenüber SPF dazu entschlossen, SRS für die weitergeleiteten s einzusetzen, um die Probleme für seine Kunden zu minimieren Einsatz von Puppet mit Subversion Um eine so komplexe Umgebung wie das Mailsystem des LRZ von einem Team administrieren zu können, ist es notwendig, jeden Service vollständig zu beschreiben und für jede einzelne Konfigurationsänderung festzuhalten: Was wurde geändert? Wann wurde etwas geändert? Wer hat etwas geändert? Aus dieser Dokumentation muss dann automatisch die Konfiguration des Services generiert, installiert und auf aktuellem Stand gehalten werden. Dazu verwenden wir das Tool Puppet, mit dessen deklarativer Sprache ein Service beschrieben wird. Diese Beschreibung und alle Änderungen werden zentral im Versionsverwaltungssystem Subversion gespeichert. Mit Hilfe dieser Daten installiert Puppet automatisch alle benötigten Softwarekomponenten mit zugehöriger Konfiguration und überprüft in kurzen Zeitabständen den Ist- mit dem Soll-Zustand. Dadurch wird verhindert, dass undokumentiert lokale Änderungen an einem Service vorgenommen werden. Auch im Extremfall der physischen Zerstörung des Mailsystems ist nach Bereitstellung neuer Hardware in kürzester Zeit ein Desaster-Recovery durch die automatische Neuinstallation des Mailsystems möglich. In 2012 wurde mit dem Aufbau dieses Administrationssystems begonnen und bereits ein Teil der Services migriert. Bis Ende 2013 ist geplant alle Mailservices auf Linux-Basis über Puppet zu administrieren Maximale Mailgröße erhöht Auf vielfachen Wunsch wurde die maximale Mailgröße im Juni 2012 von 30 auf 50 MByte erhöht, um so den Versand von noch größeren Dokumenten zu ermöglichen. Für den Austausch größerer Dateien steht der FTP-Server des LRZ zur Verfügung Statistiken Spam- und Virenabwehr Das Gros der Spam- und Virenmails wird bereits von den Postrelays, die für die Annahme von s aus dem Internet zuständig sind, durch die dort implementierten Abwehrmechanismen abgewiesen. Die angenommenen s werden von den Postrelays über die Mailrelays an ein Cluster von Scan- Rechnern weitergeschickt. Dort werden Virenmails ausgefiltert (und die Empfänger darüber informiert) und die verbleibenden s markiert, ob es sich vermutlich um Spammails handelt oder nicht. Diese Markierung kann dann dazu verwendet werden, die betreffenden s durch Konfiguration entsprechender Regeln in Roundcube oder im eigenen Mailprogramm auszufiltern. In der folgenden Graphik ist die Entwicklung von ausgefilterten Virenmails, markierten Spammails und regulären erwünschten s (Ham-Mails) für die Jahre 2006 bis 2012 graphisch dargestellt. Dabei sind nur die s berücksichtigt, die aus dem Internet angenommen wurden, also ohne die abgewiesenen Spam- und Virenmails. Wie man sieht, steigt der Anteil der Ham-Mails seit Jahren nur relativ langsam an, während der Anteil der Spammails in den letzten Jahren auf gleichem Niveau verharrt. Der Anteil an Virenmails ist so klein, dass man ihn in der Graphik ab 2008 nicht mehr erkennen kann. Die Werte liegen bei ca. 87 erkannten Viren pro Tag (Vorjahr: 95).

64 Jan Apr Jul Okt Jan Apr Jul Okt Jan Apr Jul Okt Jan Apr Jul Okt Jan Apr Jul Okt Jan Apr Jul Okt Jan Apr Jul Okt 56 Internetdienste Ham Spam Viren Abbildung 34 Monatliches Ham-, Spam- und Virenaufkommen in den Jahren 2006 bis Relaydienst Am Übergang vom Internet in das Münchner Wissenschaftsnetz (MWN) ist an den Routern der Port für das SMTP-Protokoll für fast alle Rechner gesperrt. Nur einige ausgewählte Mailserver neben den Postrelays des LRZ sind das in der Regel große Fakultätsmailserver können daher s direkt aus dem Internet annehmen. Alle anderen Mailserver im MWN müssen diese speziellen Mailserver als Relay- Server benutzen. Der Vorteil ist, dass sich ein lokaler Mailserver im MWN nicht um Viren- und Spamfilterung kümmern muss; das wird bereits durch den Relay-Server erledigt. Den Relay-Service des LRZ nehmen zurzeit 170 Mailserver im MWN mit insgesamt 440 verschiedenen Maildomains in Anspruch. Die auffällige Abnahme an Servern und Domains bei der TUM ist bedingt durch die Migration auf den zentralen Exchange-Server. Einrichtung Ludwig-Maximilians-Universität München Technische Universität München andere Hochschulen und hochschulnahe Einrichtungen Mailserver im MWN 53 (58) 81 (94) 36 (31) Domains 115 (117) 195 (219) 130 (120) Gesamt 170 (183) 440 (456) Mailhosting (virtuelle Mailserver) Das LRZ bietet Hochschul- und hochschulnahen Einrichtungen, die keinen eigenen Mailserver betreiben wollen, an, den Maildienst am LRZ zu hosten. Es wird dann ein virtueller Mailserver eingerichtet, in dem sich der Name der betreffenden Einrichtung widerspiegelt (z.b. jura.uni-muenchen.de) und Angehörige dieser Einrichtungen erhalten entsprechende Mailadressen. Ein virtueller Mailserver kann wiederum mehr als eine virtuelle Maildomain haben, z.b. im Zuge einer Umbenennung der zugehörigen Einrichtung. Die zu den virtuellen Mailservern gehörenden Mailboxen können sich sowohl auf dem POP/IMAP- Server mailin.lrz.de als auch auf dem vom LRZ betriebenen Exchange-Server befinden. Die Entscheidung, an welchen Server eine auszuliefern ist, übernimmt der sogenannte Forwarder, der sich die notwendige Information dafür aus der jeweiligen Benutzerverwaltung holt. Ende 2012 waren am LRZ 216 (Vorjahr: 220) virtuelle Mailserver eingerichtet. Eine Aufteilung auf die Hauptnutzer ist der folgenden Tabelle zu entnehmen. Auch hier ist an den Zahlen die Migration der TUM auf den Exchange-Server zu sehen.

65 Jahresbericht 2012 des Leibniz-Rechenzentrums 57 Einrichtung Ludwig-Maximilians-Universität München Technische Universität München Bayer. Akademie der Wissenschaften (inklusive LRZ) andere Hochschulen und hochschulnahe Einrichtungen virtuelle Mailserver 90 (93) 44 (54) 40 (38) 42 (35) Domains 144 (137) 99 (110) 79 (77) 46 (46) Gesamt 216 (220) 368 (370) POP/IMAP-Messagestores Die Anzahl der Mailboxen an den POP/IMAP-Servern war aufgrund der verstärkten Nutzung des Exchange-Dienstes etwas rückläufig. Ende 2012 gab es Mailboxen (Vorjahr: ). Nachfolgend eine Aufteilung nach Server bzw. Benutzergruppen: POP/IMAP-Server für Mitarbeiter der vom LRZ bedienten Einrichtungen (Mailserver mailin ): Ludwig-Maximilians-Universität München Technische Universität München Bayer. Akademie der Wissenschaften (inklusive LRZ) 556 Hochschule München 267 andere bayerische Hochschulen 41 andere wissenschaftliche Einrichtungen Mitarbeiter und Studenten der TU München (Mailserver mytum ) Studenten der Ludwig-Maximilians-Universität München (Campus LMU ) (inkl. Mitarbeiter, die ihre Campus LMU -Mailadresse behalten haben) Studenten anderer Münchner Hochschulen Anzahl Benutzer Gesamt Weiterleitungsservice Der oben bereits erwähnte Forwarder, der für die Verteilung von s an den richtigen Messagestore zuständig ist, übernimmt neben individuell eingerichteten Weiterleitungen auch einen Weiterleitungsservice für ganze Domains, zu denen es keine Mailboxen gibt. Bei der LMU handelt es sich dabei um die Domain lmu.de, bei der TUM um die Domain alumni.tum.de. Einrichtung Ludwig-Maximilians-Universität München Technische Universität München Weiterleitungen Gesamt Verteilerlisten Das LRZ bietet seinen Nutzern die Möglichkeit eigene -Verteilerlisten einzurichten (auf Basis des Programms Mailman). Ende 2012 gab es 714 Listen (Vorjahr: 612), die sich wie folgt verteilten:

66 58 Internetdienste Einrichtung Ludwig-Maximilians-Universität München Technische Universität München Bayer. Akademie der Wissenschaften (inklusive LRZ) andere Hochschulen und hochschulnahe Einrichtungen - Verteilerlisten Gesamt Exchange Beim Exchange-Dienst war auch in 2012 ein starkes Wachstum zu verzeichnen. Im Zeitraum November 2011 bis November 2012 kletterte die Nutzerzahl um ca auf ca und der Netto- Speicherbedarf hat sich von 2 auf knapp 4 TByte nahezu verdoppelt (brutto wird wegen des zusätzlichen Bedarfs für Replikate und Snapshots sogar das 3- bis 4-Fache davon benötigt). Um der anhaltend großen Nachfrage nach Exchange gerecht werden zu können, wurde gemeinsam mit den für die Speichersysteme zuständigen Kollegen ein Nachfolgesystem konzipiert, ausgeschrieben, beschafft und Ende des Jahres in Betrieb genommen, inkl. Migration der Nutzer. Da sich das bisherige System mit virtuellen Mailbox-Servern und einem über iscsi angeschlossenen NAS-Filer im Betrieb leider als wenig fehlertolerant gegenüber Netzstörungen erwiesen hat, wurde nun eine Konfiguration mit physischen Mailbox-Servern und direkt daran angeschlossenem SAS-Speicher gewählt. Das neue System ist für bis zu Benutzer mit einem Speicherbedarf von bis zu 20 TByte (netto) ausgelegt. Im Jahresverlauf 2012 konnte auch eine große Erweiterung der automatischen Provisionierung für Exchange aus den Identity-Management Systemen der Kunden in Betrieb genommen werden. Neben der Treiberunterstützung für die Anlage von Benutzern wird jetzt auch die Anlage von Funktionsmailboxen zusammen mit ihren Berechtigungsgruppen unterstützt. Damit ist es jetzt möglich neben den klassischen Benutzermailboxen auch gemeinsam genutzte Mailboxen (shared Mailboxen), Raum- und Gerät boxen (Room- und Equipment-Mailboxen) sowie Exchange-Verteilerlisten anzulegen und zu nutzen. Die Funktionsmailboxen und Verteilerlisten haben zudem den Vorteil, dass sie spezielle Berechtigungskonzepte aufweisen, die z.b. den Zugang und die Nutzung zu den Mailboxen begrenzen können oder den Kalender veranlassen auf Terminanfragen automatisch zu antworten Statistik zur Nutzung des Exchange-Dienstes Wie eben bereits erwähnt, sind die Benutzerzahlen bei Exchange im Jahr 2012 stark angestiegen. Ende 2012 gab es auf dem Exchange-Cluster Mailboxen (Vorjahr: ), die sich wie folgt verteilten: Einrichtung Ludwig-Maximilians-Universität München Technische Universität München Bayer. Akademie der Wissenschaften (inklusive LRZ) Exchange- Mailboxen Domains Gesamt Sharepoint SharePoint ist zum einen die Ergänzung der Groupwarelösung von MS Exchange, da hier die public Folder entfallen sind und diese durch SharePoint ersetzt wurden. Zum anderen bietet SharePoint die Möglichkeit, für Gruppen die Zusammenarbeit zu verbessern, um z.b. gemeinsam an Dokumenten zu arbeiten oder die Zusammenarbeit über Gruppenkalender, Besprechungsbereiche, Benachrichtigungen, Wikis oder gemeinsame Aufgaben zu organisieren. Der Zugriff auf die Ressourcen erfolgt webbasiert.

67 Jahresbericht 2012 des Leibniz-Rechenzentrums 59 Es gab zahlreiche Anfragen in 2012 für die Nutzung des Dienstes, es wurden auch einige Testsites aufgebaut, aber nur drei Einrichtungen waren bereit den kostenpflichtigen Dienst zu beauftragen. So werden momentan sechs Sites für zahlende externe Kunden betrieben. Der interne Nutzerkreis umfasste zum Ende des Jahres 2012 neben mehreren Sites für die Gruppenkoordination, Ausbildung und Hotline auch Sites zur Koordination mit externen Dienstleistern des LRZ für den neuen Höchstleistungsrechner SuperMUC. In 2012 wurde das Backup um den Data Protecton Manager DPM erweitert, wodurch nun auch einzelne Objekte innerhalb der Sites wiederhergestellt werden können. Mit dem Release von MOSS 2013 im Sommer 2012 haben die ersten Tests der neuen Version begonnen. 5.4 Webhosting E-Learning Die laufenden E-Learning-Projekte für TUM und LMU wurden mit Unterstützung und Beratung des LRZ weiter ausgebaut. Dabei lag einer der Schwerpunkte bei der technischen Beratung und der Planungsmithilfe. Insbesondere beim Moodle-Team der TUM musste aufgrund personeller Engpässe der produktive Betrieb der E-Learning-Plattform besonders sorgfältig erfolgen. Dank der vorsichtigen Planung kam es im Betriebsjahr auch zu keinen größeren Störungen. Unterstützung wurde auch bei der zunächst probeweisen Bereitstellung eines Video-Konferenzsystems ("Adobe Connect") in Zusammenarbeit mit dem DFN geleistet. Bei der LMU wurde unter anderem auch bei der Erstellung einer Verfahrensbeschreibung zum Datenschutz für die Moodle-Instanzen mitgewirkt. Außerdem wurden die Instanzverantwortlichen der Moodle-Server bei Upgrades durch Beratung und Bereitstellung zusätzlicher Backups unterstützt TUM-Portal Für die TUM wurde zu dem bisherigen Typo3-Webhosting-Projekt ein auf dieses Rahmenkonzept aufsetzendes Sonderprojekt begonnen. Es handelt sich dabei um den Betrieb des zentralen Webservers der TUM, der Zug um Zug in die Webhosting-Umgebung am LRZ migriert werden soll. In einem ersten Schritt wurde dazu Mitte des Jahres die Betriebsumgebung am LRZ aufgesetzt, so dass bereits ein erster Teil-Umzug der zentralen TUM-Website erfolgen konnte. Die TUM will nach und nach die bisher selbst gehostete Portal-Lösung auf die LRZ-Systeme umziehen, einzelne Teilbereiche liegen bereits zur Entwicklung am LRZ Userweb und Research Alle gehosteten persönlichen Homepages (ungefähr 650), die bisher über den externen Webserver des LRZ erreichbar waren, wurden im September 2012 auf einen eigenen Webserver (userweb.mwn.de) migriert. Dabei wurden gleichzeitig auch die zugehörigen Webdaten aus dem nicht mehr unterstützten Dateisystem AFS nach NFS umgezogen. Ziel des Umzugs war insbesondere auch, eine klarer erkennbare Trennung zwischen dem Webauftritt des LRZ und den persönlichen Seiten der Nutzer zu erreichen, die bei der Verwendung des gleichen Domainnamens bisher nicht gegeben war Downloadbereiche zur Softwareverteilung Für den Download von Softwarepaketen (ISO-Images, ZIP-Files, etc), die vom LRZ im MWN bereitgestellt werden, wurde ein Downloadserver bereitgestellt. Die zuvor relativ unterschiedlichen Methoden zum Download von Software wurden durch diesen Downloadserver stark vereinheitlicht und kundenfreundlicher realisiert. Der früher viel verwendete Download per FTP war im Kontext von dezentralen Firewalls zunehmend problematisch. Durch die Umstellung auf den Download per HTTP-Protokoll treten für die Anwender wesentlich weniger Probleme auf. Auf der Seite der Anwendungsbetreuer am LRZ, die Softwarepakete für den Download bereitstellen, wurde durch die Inbetriebnahme eines Gateway Servers für diesen Zweck auch eine einheitliche Transferschnittstellen zur Verfügung gestellt.

68 60 Internetdienste Neuauflage des Webauftritts der BAdW Die BAdW plant für 2013 eine vollständige Neuauflage des bestehenden Webauftrittes. Dieser wird wie auch bisher im Content-Management-System Fiona erstellt werden. Die Entwicklung innerhalb von Fiona wurde an eine externe Firma vergeben (Oestreicher und Wagner). Der gesamte Betrieb wird am LRZ ablaufen. Das dazu notwendige Webhosting-Konzept wurde dem Bedarf entsprechend am LRZ konzipiert und bereitgestellt, dazu wurden u.a. drei neue Maschinen eingerichtet, die das CMS, die dazugehörige Datenbank und eine Suchmaschine aufnehmen werden. Weiterhin gehört eine separate Datenbank der BAdW zum System, die die Daten der Mitarbeiter, Projekt- und Pubikationslisten sowie Termine enthält und die in die neue Website eingebunden werden soll. Neben der serverseitigen technischen Beratung für dieses Projekt erfolgte auch eine umfangreiche Beratung zum Konzept des Webauftrittes selber, u.a. im Hinblick auf Nutzbarkeit und Bedienung sowie Barrierefreiheit. In der folgenden Abbildung ist die Konfiguration der am LRZ betriebenen Komponenten des neuen BAdW Webauftritts und ihre Integration in das allg. Webserverkonzept des LRZ dargestellt. Abbildung 35 Konfiguration des BAdW Webauftritts Redesign des Webauftritts des LRZ Anlässlich der Inbetriebnahme des SuperMUC wurde auch das Layout des Webauftritts des LRZ grundlegend überarbeitet und modernisiert, wobei die bessere Erreichbarkeit der Inhalte mit mobilen Endgeräten im Fokus stand Webhosting-Statistik Auf die zentralen Webserver am LRZ wurde im Jahr 2012 durchschnittlich ca. 86 (Vorjahr: 67) Millionen Mal pro Monat zugegriffen. Diese Zahl ist allerdings aus mehreren Gründen nur bedingt aussagekräftig. Zum einen ist eine echte Zählung der Zugriffe gar nicht möglich, da auf verschiedenen Ebenen Caching- Mechanismen eingesetzt werden (Browser, Proxy). Andererseits werden nicht Dokumente, sondern http-

69 Jahresbericht 2012 des Leibniz-Rechenzentrums 61 Requests gezählt. Wenn also z.b. eine HTML-Seite drei GIF-Bilder enthält, so werden insgesamt vier Zugriffe registriert. Die Zugriffe auf TUM-Webserver stiegen nochmals um ca 50%, nachdem sie sich bereits von 2010 auf 2011 verdoppelt hatten. Das liegt haupsächlich an TUM-Moodle, für das 2012 das erste vollständige Betriebsjahr war (Beginn war SS 2011). Hinzu kommt die Verlagerung von ans LRZ. Die folgende Tabelle zeigt die durchschnittliche Zahl der Zugriffe und den durchschnittlichen Umfang der ausgelieferten Daten pro Monat; die Daten sind nach den vom LRZ betreuten Bereichen aufgeschlüsselt. Zusätzlich wird die Zahl der Seitenaufrufe, das ist die angeforderte Zahl der echten Dokumente, genannt. Als echte Dokumente gelten dabei Textdokumente, also keine Bilder oder CGI-Skripte. Server Zugriffe Seitenaufrufe Mio. Datenumfang GByte Leibniz-Rechenzentrum 11,47 4, Ludwig-Maximilians-Universität München 5,68 1,79 292,1 Technische Universität München 53,82 12, ,9 Einrichtungen im Münchner Hochschulnetz 2,75 0,93 73,2 Einrichtungen im Münchner Wissenschaftsnetz 3,38 0,73 299,4 Bayerische Akademie der Wissenschaften 0,77 0,17 152,5 Sonstige 8,8 0,72 783,6 Gesamt 86,67 21, ,7 Tabelle 8: Monatliche Zugriffe auf die Webserver am LRZ Ende 2012 unterhielt das LRZ 18 Webserver für eigene Zwecke. Für Hochschulen und hochschulnahe Einrichtungen wurden insgesamt (Vorjahr: 921) Webserver betrieben. Einrichtung Webserver 2012 Webserver 2011 Leibniz-Rechenzentrum Ludwig-Maximilians-Universität München Technische Universität München Bayerische Akademie der Wissenschaften Einrichtungen aus dem Münchner Hochschulnetz (z.b. Stiftung Maximilianeum) Einrichtungen aus dem Münchner Wissenschaftsnetz (z.b. Zoologische Staatssammlung München)

70 62 Internetdienste Andere (z.b. Bayerisches Nationalmuseum) Gesamt Tabelle 9: Anzahl gehosteter Webserver 5.5 Serveradministration und Applikationsunterstützung Der Betrieb von Serversystemen für Internetdienste erfordert eine Reihe von Arbeiten, die inhaltlich eher zum Betriebssystem oder zur systemnahen Software gehören, die aber auf das Applikationsportfolio am jeweiligen Serversystem zugeschnitten sind. Ob dabei das Serversystem eine physische Maschine ist oder aber eine virtuelle, spielt auf dieser Ebene kaum eine Rolle. Zu diesen Aufgaben gehören beispielsweise die Auswahl und Anpassung des erforderlichen Betriebssystemumfangs, je nach den Voraussetzungen der geplanten Anwendungen, die Deaktivierung von nicht benötigten Netzdiensten aus Sicherheitsgründen und weitere Sicherheitsmaßnahmen wie Zugangsbeschränkungen, OS-Hardening und Security-Patches, die Überwachung der Verfügbarkeit, der Performance und der Funktion auf System- und Applikationsebene, die Messung und geeignete Aufzeichnung der Systemauslastung unter Berücksichtigung der Erfordernisse der Applikationen zum Tuning und zur proaktiven Ressourcenplanung, die Erstellung von Betriebs- und Notfallanleitungen für Anwender, Operateure, Dienst- und Systemadministratoren, die Unterstützung und Beratung der mit der Applikation betrauten Mitarbeiter, um eine optimale Nutzung des Systems zu erreichen sowie die Fehlersuche an der Schnittstelle zwischen Applikation und Betriebssystem. Da diese Systemadministration sowohl mit dem eigentlichen Rechnerbetrieb (Inbetriebnahme und sichere Außerbetriebnahme von Systemen, Installation und Update des Betriebssystems, Firmwareupdates, Anbindung ans Rechnernetz, hardware- und netznahe Funktionsüberwachung) als auch mit der Applikationsadministration eng verwoben ist, können diese Aufgaben im einen oder im anderen Bereich angesiedelt sein, und es ist in jedem Fall eine enge Zusammenarbeit erforderlich. Die Ansiedlung beim Rechnerbetrieb bietet sich an, wenn die Applikationen von den Endbenutzern oder von den Kunden des LRZ eingebracht werden, wenn eine hohe Anzahl gleichartiger Systeme vorliegt oder wenn die Applikationsadministratoren dem Betrieb organisatorisch benachbart sind. Bei den Internetdiensten mit ihrem eher individuellen Applikationsprofil hat es sich bewährt, die Systemadministration organisatorisch im Umfeld der Applikationen anzusiedeln Serveradministration in BDS Der Abteilung BDS oblag Ende 2012 die Administration folgender Serversysteme: 62 (Vorjahr 52) virtuelle Maschinen mit Linux-Betriebssystem 33 (Vorjahr 35) physische Maschinen mit Linux-Betriebssystem 7 (Vorjahr 11) physische Maschinen mit Solaris-Betriebssystem 73 (Vorjahr 81) physische Serversysteme für die IT-Infrastruktur des Bibliotheksverbundes Bayern 100 Systeme mit Windows-Betriebssystem Diese Maschinen wirken im Umfeld der Webservices (Webserver, Content-Management, verschiedene Backendserver), der Datenbanken, der Lizenzverwaltung und weiterer Netzdienste (FTP, Radius, Groupware). Sie beherbergen auch einige Dienste der Rechnerüberwachung und -steuerung (Nagios, Zugangsgateways) sowie des Netzmanagements und der Netzüberwachung. Bei den virtuellen Systemen liegt der Rechnerbetrieb bei der Betreibergruppe der VMware-Systeme in der Abteilung HLS; bei den physischen Systemen werden die Maschinen von den Systemadministratoren auch betrieben.

71 Jahresbericht 2012 des Leibniz-Rechenzentrums 63 Im Jahr 2012 sind neben den oben erwähnten permanenten Aufgaben im Rahmen des Systemmanagement auch viele Einzelprojekte durchgeführt worden. Im Folgenden eine Auswahl von Einzelprojekten aus dem Jahr 2012 im Kontext des Serverbetriebs. MySQL Server Inbetriebnahme von weiteren virtuellen Maschinen für MySQL Server, u.a. für Content Management, Accounting und als DB-Server im LAMP Stack. Einige bereits vorhandene MySQL Server VMs wurden grundlegend überarbeitet und an geänderte Erfordernisse angepasst. Maßnahmen zur Außerbetriebnahme von AFS Inbetriebnahme neuer Maschinen als Nachfolgesysteme für Maschinen die stark mit AFS verbunden sind. Bei dem Austausch der Systeme war in vielen Fällen auch eine weitgehende Änderung des Betriebskonzepts der betroffenen Dienste notwendig um den Dienst im geänderten Environment sinnvoll zu betreiben. FTP-Server Durch die Außerbetriebnahme von AFS gewinnt der FTP-Server des LRZ als Schnittstelle zu den Daten auf den diversen Filesystemen wieder mehr Bedeutung. Der FTP-Server wurde deshalb passend zu den laufend dazukommenden Anforderungen schrittweise weiter optimiert. Server Zugangskonzept Das Server Zugangskonzept, das zuvor hauptsächlich auf AFS gestützt war, wurde auf das LRZ- SIM Environment umgestellt und vereinheitlicht. Durch die Änderung des Zugangskonzepts wurden auch einige Voraussetzungen zur Erfüllung der LRZ Sicherheitspolicies geschaffen. Verlagerung von Diensten auf virtuelle Maschinen Wie bereits in früheren Jahren wurden weitere Dienste von realer Hardware auf virtuelle Maschinen unter VMWare verlagert. Im Rahmen der Verlagerung fand teilweise auch ein Wechsel des Betriebssystems von Solaris nach Linux statt. 5.6 Streamingserver Das LRZ betreibt seit 2001 einen Streamingserver. Die Nutzung dieses Servers hat in den letzten Jahren kontinuierlich zugenommen. Dies gilt insbesondere für die Menge des dafür speziell aufbereiteten Videomaterials. Insgesamt liegen derzeit auf dem Streamingserver mehrere tausend Filmbeiträge mit einem kumulierten Datenvolumen von 2,3 Terabyte. Die einzelnen Filme sind meist Aufzeichnungen von Vorlesungen oder Vorträgen mit einer Länge von Minuten, aber auch kürzere Lehrvideos, die zum Beispiel die Ausbildung in der Medizin unterstützen. Je nach Dauer und gewählter Auflösung bzw. Bildgröße ist ein typischer Filmbeitrag zwischen 200 und 700 MByte groß. Der ursprüngliche Streamingserver basiert auf QuickTime und für die Wiedergabe der Medieninhalte ist das QuickTime-Plugin notwendig. Für eine spezielle Anwendung, die für das Videoonline-Angebot der LMU entwickelt wurde und die mit Flash realisiert wurde, wird ein Flash-Streamingserver benötigt. Ende 2010 wurde deshalb zusätzlich ein Flash-Streamingserver von Wowza Media Systems aufgebaut, der seit dem Wintersemester 2010/2011 in Produktionsbetrieb ist. Mittlerweile ist die Nutzung des Flash- Streamingservers stark angewachsen. Nahezu zu jeder Tageszeit sind am Server zwischen 50 und 150 gleichzeitige Streams zu beobachten. Der Wowza-Server kann neben Flash-Videos (flv) auch MPEG-4- Videos (mp4) ausliefern, die für den QuickTime-Streamingserver erstellt wurden. Dadurch brauchen Aufzeichnungen nur einmal geeignet kodiert und können über beide Streamingserver verteilt werden.

72 64 Netzdienste für Institutionen 6 Netzdienste für Institutionen Das Münchner Wissenschaftsnetz (MWN) verbindet vor allem Standorte der Ludwig-Maximilians- Universität München (LMU), der Technischen Universität München (TUM), der Bayerischen Akademie der Wissenschaften (BAdW), der Hochschule München (HM) und der Hochschule Weihenstephan- Triesdorf miteinander. Es wird aber auch von anderen wissenschaftlichen Einrichtungen (u. a. Max- Planck-Gesellschaft, Fraunhofer-Gesellschaft, Kunst-Hochschulen, Museen) mit genutzt. Das Münchner Wissenschaftsnetz bildet die Grundlage für die Kommunikation und Kooperation innerhalb und zwischen den angeschlossenen Institutionen sowie mit Kooperationspartnern in Deutschland, Europa und auch international. Auf Basis der Infrastruktur des MWN werden Dienste sowohl für Institutionen als auch für Endanwender erbracht. In diesem Kapitel werden neben der Struktur und den wesentlichen Änderungen im MWN die Netzdienste für Institutionen (DNS, DHCP, Radius, Netzkomponenten-Beratuung) sowie unterstützende Infrastrukturdienste (Netzmanagement, Telefonie, SLB, IPv6, Multiplexer, etc.) sowie wissenschaftliche Projekte im Bereich KOM vorgestellt. Die Netzdienste für Endanwender werden im nächsten Kapitel präsentiert. 6.1 Struktur und Betrieb des Münchner Wissenschaftsnetzes (MWN) Die Standorte der angeschlossenen Institutionen sind insbesondere über die gesamte Münchner Region (i. W. Münchner Stadtgebiet, Garching, Großhadern/Martinsried und Weihenstephan) verteilt, es gibt aber auch weitere Standorte in Bayern. Abbildung 36 gibt einen Überblick über die räumliche Ausdehnung des MWN. Die Lage von Standorten, die außerhalb des Münchner Stadtgebietes liegen, ist in der Abbildung nicht maßstabsgetreu dargestellt, sondern lediglich schematisch (Himmelsrichtung) angedeutet. Derzeit sind an das MWN mehr als 440 als Unterbezirke bezeichnete Gebäudegruppen angebunden und es werden mehr als Geräte über das MWN versorgt, wobei während des Semesters die Anzahl der mobilen Geräte überwiegt. Die Größe der zu versorgenden Areale ist sehr unterschiedlich; sie reicht von einem einzelnen Gebäude bis zu einem gesamten Campusbereich (z.b. Garching, Weihenstephan) mit mehr als 30 Gebäuden und mehr als angeschlossenen Endgeräten. Derzeit sind bereits 57 Studentenwohnheime mit insgesamt mehr als Wohnheimplätzen am MWN angeschlossen. Abbildung 37 zeigt die Ausdehnung und Größe des MWN auf einer Karte. Die Nadeln repräsentieren dabei die Unterbezirke. Sind mehere Unterbezirke an einem Ort so werden diese in einem Kreis zusammengefasst und die Zahl gibt an wie viele Unterbezirke zusammengefasst wurden. Weitere Informationen zu dieser Darstellung finden sich in Abschnitt Das LRZ ist für das gesamte Backbone-Netz und einen Großteil der angeschlossenen Institutsnetze zuständig. Eine Ausnahme bilden die internen Netze der Medizinischen Fakultäten der Münchner Universitäten (u. a. Rechts der Isar (TUM), Großhadern und Innenstadt-Kliniken (LMU)) sowie der Informatik der TUM. Sie werden von den jeweiligen Rechenzentren der Fakultäten selbst betrieben und betreut. Das LRZ ist jedoch für die Anbindung dieser Netze an das MWN zuständig. Das MWN ist mehrstufig realisiert: Das Backbone-Netz verbindet mittels Routern die einzelnen (Hochschul-)Standorte (Areale) und Gebäude innerhalb der Areale. Innerhalb eines Gebäudes dient das Gebäudenetz mittels Switches zur Verbindung der einzelnen Rechner und der Bildung von Institutsnetzen. Eine Sonderstellung nimmt das Rechenzentrumsnetz ein, das die zentralen Rechner im Rechnerwürfel des LRZ miteinander verbindet.

73 Jahresbericht 2012 des Leibniz-Rechenzentrums 65 Abbildung 36 Räumliche Ausdehnung des Münchner Wissenschaftsnetzes (nicht maßstabsgerecht) Etwas genauer lässt sich diese Realisierung wie folgt beschreiben: Die Router werden über das Backbone-Netz miteinander verbunden und bilden den inneren Kern des MWN. Die Verbindungsstrecken des Backbone-Netzes sind je nach Nutzungsgrad verschieden ausgeführt. Im Normalfall sind die Strecken Glasfaserverbindungen, die langfristig von der Deutschen Telekom und M-net angemietet sind. Auf den Glasfaserstrecken wird mit 10 Gbit/s übertragen. Die Verbindung der Strecken übernehmen fünf Backbone-Router, die untereinander aus Redundanzgründen mehrere Ringe bilden (vgl. Abbildung 40). Netze mit einer geringen Zahl von Endgeräten werden überwiegend mit SDSL-Verbindungen (bis zu 20 Mbit/s) von M-net oder der Telekom oder über WLAN-Verbindungen auf Basis von IEEE a, g oder n (bis zu 150 Mbit/s) angebunden. Das Backbone-Netz wird genauer im folgenden Abschnitt beschrieben.

74 66 Netzdienste für Institutionen Die Switches eines Gebäudes oder einer Gebäudegruppe werden mittels Glasfaser zum allergrößten Teil mit 1 Gbit/s, aber auch mit 10 Gbit/s an die Router herangeführt. Abbildung 37 MWN Unterbezirke und Ausdehnung In den Gebäuden geschieht die Anbindung von Datenendgeräten über Ethernet. Die Anbindung wird entweder über Twisted-Pair -Kupferkabel (100/1.000 Mbit/s) und Lichtwellenleiter (100 Mbit/s oder zum Teil Mbit/s) oder zu einem sehr geringen Teil noch über Koaxial-Kabel (10 Mbit/s) realisiert. Server-Rechner werden in der Regel mit 1 Gbit/s zum Teil auch mit 10 Gbit/s angeschlossen. Die Gebäudenetze werden in Abschnitt erläutert. Die zentralen Rechner im LRZ (der Höchstleistungsrechner SuperMUC, die Linux-Cluster, die Server des Backup- und Archivsystems und die zahlreichen Server-Systeme) sind untereinander mit mehrfach 10 Gbit/s mittels Switches verbunden. Diese Netzstruktur der zentralen Rechner ist über einen Router (10 Gbit/s) mit dem MWN-Backbone verbunden. Die Struktur des Rechenzentrumsnetzes beschreibt Abschnitt Im MWN wird ausschließlich das Protokoll IP benutzt. Abbildung 38 und 39 zeigen die für das Backbone-Netz verwendeten Strecken, deren Übertragungsgeschwindigkeiten und Endpunkte. Hieraus lässt sich die Ausdehnung des Netzes ablesen. Die Areale des MWN werden zu Dokumentationszwecken auch mit Kürzeln aus ein oder zwei Zeichen (Unterbezirke) benannt (eine Liste der in der Abbildung verwendeten Unterbezirke findet sich im MWN-Netzkonzept (s. https://www.lrz.de/services/netz/mwn-netzkonzept/mwn-netzkonzept.pdf).

75 Jahresbericht 2012 des Leibniz-Rechenzentrums Abbildung 38 Standorte und Verbindungen im MWN 67

76 68 Netzdienste für Institutionen Abbildung 39 Standorte und Verbindungen (Fortsetzung)

77 Jahresbericht 2012 des Leibniz-Rechenzentrums Struktur des Backbone Netzes Während die Abbildungen 38 und 39 die topologische Struktur, die Standorte und deren Verbindungen zeigen, stellt Abbildung 40 die technische Struktur des Kernnetzes dar. Den Kern des Backbones bilden Cisco Catalyst 6509 Switch/Router, die untereinander mit 10 GBit/s verbunden sind. Die Anbindung der Standorte erfolgt über LWL (Lichtwellenleiter). Das LRZ selbst ist über einen virtuellen Router (bestehend aus zwei Cisco Catalyst 6509) an das Backbone angebunden. Die meisten Telekom-Glasfasern enden im zentralen Netz Raum des TUM-Stammgeländes. Die M-net Glasfasern enden im zentralen Netzraum des LMU-Stammgeländes. Abbildung 40 Struktur des Kernnetzes Das Router-Backbone bildet mehrere Zyklen, die der Redundanz dienen. Bis auf den Router an der Hochschule München haben alle eine mindestens doppelte Anbindung an das Backbone. Im Jahr 2012 konnte auch der Standort Weihenstephan über eine Glasfaser redundant erschlossen werden. Diese Anbindung konnte nur durch eine enge Kooperation mit dem Deutschen Forschungsnetz (DFN) und Gasline realisiert werden. Gasline baute in Freising für die wegeredundante Faser eine neue Trasse von insgesamt 9 km Länge zu einem Verstärkerstandort des DFN, von dort konnte die Faserinfrastruktur des DFN mitgenutzt werden. Die redundante Faser endet in Garching. Mit einer Gesamtlänge von 52 km ist dies die längste LWL-Verbindung im MWN. Im Jahr 2013 ist geplant auch die Hochschule München redundant ans MWN anzubinden. Die Router unterhalten sich über Punkt-zu-Punkt Verbindungen mittels OSPF (Open Shortest Path First). Der Verkehr fließt von der Quelle zum Ziel über die Leitungen mit der kleinsten Hop -Anzahl (Weg, der über die wenigsten Router führt). Ausnahmen zu dieser generellen Regel bilden der über Policy-Based-Routing geführte Verkehr, der in einem eigenen VLAN (Virtual LAN) fließt, und spezielle VLANs, die über das gesamte MWN gezogen wurden. Dies ist nötig, um die besonderen Anforderungen von MWN-Mitnutzern (MPG-Institute, Staatsbibliothek, etc.) zu erfüllen.

78 70 Netzdienste für Institutionen Auch die Internet-Anbindung ist redundant ausgelegt. Es gibt eine Anbindung an das X-WiN über einen sog. Port-Trunk mit zweimal 10 GBit/s (vom DFN beschränkt auf zweimal 5,5 Gbit/s) und eine an M-net mit 1 GBit/s. Dabei ist die Hierarchie so gewählt, dass die höchste Priorität die Internet-Anbindung zum DFN X-WiN (siehe Abbildung 40) hat. Fällt diese aus, so wird der Weg über M-net gewählt. Die Umschaltung zwischen den Internet-Anbindungen wird automatisch über ein Routing-Protokoll (BGP, Border Gateway Protocol) gesteuert Router Auswahl Das MWN zeichnet sich aus durch ein erhebliches Wachstum sowohl bei den versorgten Geräten, bei den Nutzern, den angebotenen Diensten und damit auch bei den Bandbreiten und übertragenen Datenvolumina. Um künftig weiter steigende Anforderungen insbesodere auch im Hinblick auf die Bandbreite erfüllen zu können, bedarf es einer Erneuerung der Backbone-Router. Die bestehenden Backbone-Router im MWN (Cisco Catalyst 6509) wurden im Jahr 2000 beschafft und in mehreren Aktualisierungsrunden technologisch modernisiert. Die Supervisor-Engines, die die eigentliche Verarbeitung der Pakete durchführen, wurden 2004 und die Policy Forwarding Cards (PFC), die TODO, 2007 aktualisiert. Allerdings ist die Plattform technologisch auf 10 bzw. 20 Gbit/s beschränkt und stößt damit aber in immer mehr Bereichen sichtlich an ihre Grenzen. Ein Migrationspfad zu Bandbreiten von 40 Gbit/s oder gar 100 Gbit/s ist mit dieser Harware-Plattform nicht möglich. Gleichzeitig steigt der Bandbreitenbedarf im MWN kontinuierlich an. Deshalb wurden bereits im Jahr 2011 erste Überlegungen getroffen, wie die bestehende Router-Generation durch moderne und leistungsfähigere Systeme abgelöst werden kann. Zur Bestimmung und Bewertung geeigneter Komponenten für die neue Router-Plattform wurde von August 2011 bis Februar 2012 ein vierstufiges Auswahlverfahren durchgeführt: 1. Auswahl potentieller Hersteller 2. Auswahl konkreter Testkandidaten 3. Durchführung von Tests 4. Auswahlentscheidung Zu Beginn des Verfahrens wurde eine für das MWN spezifische Anforderungsmatrix erstellt und potentielle Lieferanten auf Basis eines Fragebogens, um konkrete Produktvorschläge aus ihrem Portfolio gebeten, mit dem nach Meinung der Hersteller die Anforderungen umgesetzt werden könnten. Die Firmen mußten ihre Vorschläge mit technischen Spezifikationen und Datenblättern belegen. Acht Firmen gaben entsprechende Vorschläge und Unterlagen ab. Auf Basis der von den Herstellern gelieferten technischen Dokumentation wurden die Produkte im Hinblick auf die Anforderungsmatrix analysiert und bewertet. Da die wichtigste Anforderung bei der Router- Auswahl die Migrationsfähigkeit auf 40 bzw. 100 Gbit/s war, ist vor allem eine hohe Bandbreite zwischen den verschiedenen Slots der Geräte (> 300 Gbit/s) entscheidend für die Auswahl der Testkandidaten gewesen und es wurden Alcatel, Cisco und HP gebeten, Geräte zum Test zur Verfügung zu stellen. Nach Auswahl der Testkandidaten wurde im Herbst 2011 ein Testplan erstellt und die von den Herstellern gelieferten Geräte (Testkandidaten) wurden von November 2011 bis Februar 2012 gemäß diesem Testplan evaluiert. Jeder Testkandidat wurde sowohl im Testlabor untersucht als auch im Münchner Wissenschaftsnetz am Standort Garching produktiv über eine Woche eingesetzt. Dabei wurden jeweils der Testplan abgearbeitet und die erreichten Ergebnisse dokumentiert und bewertet. Für den Feldtest (Live-Test) im MWN wurden von den Herstellern jeweils vergleichbare Hardware-Konfigurationen zum Test angefordert. Die Geräte sollten jeweils einen repräsentativen MWN-Kern-Router am Campus Garching ersetzen. Von Alcatel wurde der OmniSwitch 10k und von Cisco der Nexus 7009 und von HP der A12508 getestet. Die Tests wurden zu Gruppen zusammengefasst und diese Gruppen relativ zueinander bewertet. Konnte eine Anforderung mit dem entsprechenden Gerät umgesetzt werden, wurde dieses Gerät mit 0 bewertet, falls dies nicht möglich war mit -1. Im Falle dass ein Gerät die Anforderung besser als die Konkurenz

79 Jahresbericht 2012 des Leibniz-Rechenzentrums 71 erfüllt wurde eine +1 vergeben. Die Berwertungen wurden am Ende für jedes Gerät aufaddiert. Der klare Gewinner dieser Auswahl waren die Geräte von Cisco. Parallel zu den Tests wurde ein Antrag nach Art. 143 c Grundgesetz, ein sogenannter Großgeräte der Länder -Antrag für den Ausbau des Münchner Wissenschaftsnetzes gestellt. Der Antrag konnte im Mai bei der DFG eingereicht werden und wurde Anfang August 2012 ohne Einschränkungen bewilligt. Daraufhin wurde am 24. August eine EU-weite Ausschreibung für die Ersetzung der Backbone-Router im MWN veröffentlicht und am wurde der Zuschlag an den Gewinner der Ausschreibung, die Firma T-Systems, erteilt Struktur der Gebäude-Netze im MWN In den Gebäuden, die durch das MWN verbunden werden, existiert grundsätzlich eine strukturierte Verkabelung, bestehend aus Kupferkabeln (Kategorie 5/6, Twisted Pair (TP)) oder Multimode- Lichtwellenleiter-Kabeln (50/125µm). In einigen Bereichen ist allerdings nur eine alte Vier-Draht- Verkabelung verfügbar, welche keine Verbindungen mit Gigabit-Ethernet gestattet und beim Betrieb mit modernen Switches Probleme bereitet. Inzwischen wurden Mittel zur Ersetzung durch eine Verkabelung nach Kategorie 6a genehmigt. Zu einem sehr geringen Anteil ist in sehr wenigen Gebäuden auch noch Ethernet-Koax-Kabel (yellow cable) verlegt. Als aktive Komponenten zur Verbindung mit den Endgeräten werden (Layer-2-) Switches eingesetzt. Derzeit sind vor allem Switches der Serien HP ProCurve 4200 und 5400 im Einsatz. Andere stackable HP-Switches vom Typ HP ProCurve 2610 sind in kleineren Netzanschlussbereichen, vom Typ HP Pro- Curve 2910 für Serveranschlüsse bei Instituten und im Rechnerwürfel des LRZ in Betrieb. Auch 2012 wurden HP ProCurve-Switches der Serie 5400 aufgebaut. Kennzeichen dieser Netzkomponenten sind 10GE-Ports und Features wie QoS und Meshing. Alle diese Geräte sind modular aufgebaut und bieten über einzubauende Schnittstellenkarten Anschluss von bis zu 288 Geräten. Im Jahr 2012 wurden 54 HP 4100 mit ca Ports ersetzt. Zum Jahresende 2012 wurden vom LRZ insgesamt Switches betrieben. Einen Vergleich zu den Vorjahren zeigt Tabelle 10: Ende 2012 Ende 2011 Ende 2010 Ende 2009 Ende 2008 Ende 2007 Anzahl Switches davon HP-Switches davon Cisco-Switches Anzahl TP-Ports Anzahl Glasfaser-Ports Tabelle 10: Anzahl der im MWN eingesetzten Switches Die Verteilung nach Switch-Typen ist im Kapitel 17 Technische Ausstattung des LRZ zu finden. Abbildung 41 Entwicklung bei der Anzahl der Switchports

80 72 Netzdienste für Institutionen Struktur des Rechenzentrumsnetzes (RZ-Netz) Ein wichtiger Punkt für eine möglichst nahtlose und störungsfreie Diensterbringung durch das LRZ sind geeignete Redundanzmechanismen, die sich natürlich auch im zugrundeliegenden Netz widerspiegeln müssen. Abbildung 42 stellt die Struktur des Kernnetzes im Rechnerwürfel des LRZ dar. Das Grundprinzip hierbei ist, dass jede kritische Komponente und jede Verbindung doppelt vorhanden sind. Über geeignete Mechanismen ist dafür zu sorgen, dass bei Ausfall einer Komponente oder einer Verbindung der Datenverkehr vollautomatisch über redundante Wege und Komponenten abgewickelt werden kann. Abbildung 42 Struktur des RZ-Netzes Das Zentrum des Rechenzentrums-Netzes bilden eine Reihe von Switches (HP) mit einer Bandbreite von 2x10 GBit/s (2x10 GE) und ein VSS (Virtual Switching System) von Cisco. Das VSS besteht aus zwei Cisco Catalyst 6509 die, räumlich getrennt, in zwei verschiedenen Brandabschnitten des Rechnergebäudes untergebracht wurden. Das VSS wirkt für den Nutzer wie ein einzelnes Gerät. So können z.b. Verbindungen (sog. Port-Channels) geschaltet werden, die auch beim vollständigen Ausfall eines der beiden Chassis weiterhin funktionieren. Über das VSS wird in dieser Technik eine redundante Anbindung ans MWN-Backbone und ans Internet realisiert. Auch Sicherheitssysteme wie z.b. Firewalls sind doppelt ausgelegt. Die Anbindung der Systeme und Dienste erfolgt über den Verbund von Zentralswitches. Das VSS und die zentralen HP Switches sind mehrfach redundant miteinander verbunden (siehe Abbildung 42). Die dadurch entstehenden Schleifen werden durch den Einsatz des Spanning-Tree-Protokols (STP) verhindert. STP schaltet beim Ausfall einer Verbindung automatisch im Bereich von Millisekunden auf eine andere Leitung um. Die verschiedenen physischen, aber auch die virtualisierten Server sind dann auch wieder

81 Jahresbericht 2012 des Leibniz-Rechenzentrums 73 jeweils redundant über zwei verschiedenen Zentralswitches und über zwei auch räumlich getrennte Verbindungen am Netz angeschlossen. Der SuperMUC und das SuperNAS sind über zwei dedizierte Cisco Catalyst 6509 redundant angebunden (siehe Abbildung 42). Das Linux-Cluster und das Migrationssystem SuperMIG sind über einen Cisco Nexus 7018 Switch angebunden. Für diese Systeme ist derzeit keine netztechnische Redundanz erforderlich bzw. wäre in der Realisierung zu teuer. 6.2 Anschluss ans MWN; Wesentliche Änderungen im Netz Das MWN zeichnet sich, ebenso wie die angeschlossenen Institutionen, durch eine recht hohe Dynamik aus. Neue Gebäude und Anmietungen müssen ans MWN angeschlossen werden und mit neuen Gebäudenetzen versorgt werden. Aber auch Sanierungen und Umbaumaßnahmen erfordern eine Anpassung auch der Datennetze. Steigende Anforderungen führen oft zu gestiegenem Bandbreitenbedarf aber auch die Aufgabe von Gebäuden oder Gebäudeteilen hat Auswirkungen auf das Netz. Der folgende Abschnitt beschreibt diese Netzänderungen. Besonders erwähnenswert ist hier die im letzten Jahr realisierte redundante Anbindung des Campus Weihenstephan. Diese Anbindung konnte nur durch eine enge Kooperation mit dem Deutschen Forschungsnetz (DFN) und Gasline realisiert werden. Gasline baute in Freising für die wegeredundante Faser eine neue Trasse von insgesamt 9 km Länge zu einem Verstärkerstandort des DFN, von dort konnte die Faserinfrastruktur des DFN mitgenutzt werden. Die redundante Faser endet in Garching. Mit einer Gesamtlänge von 52 km ist dies die längste LWL-Verbindung im MWN. An beiden Universitäten gibt es Investitionsprogramme zur Erneuerung der passiven Netzinfrastruktur, dies wird in Abschnitt beschrieben. Auch Studentenwohnheime sind in erheblicher Zahl über das MWN angebunden und mit Netzdiensten versorgt. Abschnitt gibt einen Überblick über die angebundenen Wohnheime Wesentliche Netzänderungen im Jahr 2012 Im Jahr 2012 gab es folgende in chronologischer Reihenfolge aufgeführte wesentliche Netzveränderungen: Neuanschluss des Studentenwohnheims Garching Living Center (GLC) in Garching per privat verlegter LWL Rückbau der Netzkomponenten der Hochschule für Fernsehen und Film in der Frankentalstraße wegen Aufgabe des Standortes Neuanschluss des Neubaus Dachauer Str. 100 a der Hochschule München per LWL Neuanschluss der Forschungsstation Mülverstedt, Türingen der TUM per LTE Rückbau der Netzkomponenten am Olympiagelände, ZHS wegen Generalsanierung Erhöhung der Bandbreite für das Gate in Garching auf 1 Gbit/s Erhöhung der Bandbreite des Wohnheims Freising II auf 1 Gbit/s Redundante Anbindung des Campus Freising-Weihenstephan über eine zweite LWL Neuanschluss des Center for Advanced Laser Applications (CALA) der TUM am Campus Garching per LWL Änderung der Anbindung der TUM Geodäsie Außenstelle Eichenau von WiNShuttle auf DSL mit gleichzeitiger Bandbreitenerhöhung auf 16 Mbit/s Umstellung der Anbindung Thalhausen von Satelliten-DSL auf DSL mit gleichzeitiger Bandbreitenerhöhung auf 6 Mbit/s Neuanschluss des Wohnheims Enzianstr. 3-5 in Garching per privat verlegter LWL Aufgabe des Versuchsgutes Hirschau der TUM Neuanschluss des Neubaus der Reptilienklinik in Oberschleißheim

82 74 Netzdienste für Institutionen Neuanschluss des Erweiterungsbaus des Zentrums für angewandte Energieforschung (ZAE) in Garching Mitnutzung des MWN durch den Verein Munich Creative Networks (Spin-Offs der Hochschule München) Neuanschluss der Containerburg der Hochschule Weihenstephan-Triesdorf in Freising- Weihenstephan per LWL Studentenwohnheim Georg-Lanzenstiel-Haus nicht mehr über MWN angebunden Studentenwohnheim Geschwister-Scholl nicht mehr über MWN angebunden Redundante Anbindung der TUM Informatik / Mathematik in Garching per LWL Umstellung der Anbindung des LMU Seniorenstudiums von DSL auf FibreDSL mit gleichzeitiger Bandbreitenerhöhung auf 10 Mbit/s Neuanschluss des Business Campus Garching II der TUM per LWL Bandbreitenerhöhung der Staatsbibliothek auf 10 Gbit/s Aufgabe des Studentenwohnheims im Maschinenwesen; ehemalige Hausmeisterwohnung Datennetzsanierung im 2. OG im Flügel 6 im Maschinenwesen in Garching Erhöhung der Bandbreite des FRM II auf 1 Gbit/s Anbindung des Business Campus in Garching mittels LWL Neuanschluss des Studentenwohnheims Freimann (Josef-Wirth-Weg 21) Bandbreitenerhöhung des Wohnheims Studentenstadt auf 2 Gbit/s Erhöhung der Funkbrücke des Staatsinstitut für Schulqualität und Bildungsforschung auf 150 Mbit/s Aufgabe des Gutshofes Grünschweige der TUM Netzausbau (Verkabelung); Netzinvestitionsprogramm Mit NIP (Netzinvestitionsprogramm in Bayern) wurde zwar eine flächendeckende Vernetzung erreicht, diese ist jedoch an der TUM in München und Garching noch zu einem sehr geringen Teil in Koax ausgeführt. Bis Ende 2008 sollte diese Koax-Verkabelung durch eine strukturierte Verkabelung (Kupfer oder Glasfaser) ersetzt werden. Das Ziel wurde aber nicht erreicht, da einige Gebäude noch auf eine endgültige Generalsanierung warten bzw. es unklar ist, welche spätere Nutzung dort sein wird TU München Im Bereich der TU München (ohne Weihenstephan) konnten die im Folgenden aufgeführten Gebäude im Jahr 2012 mit einer strukturierten Verkabelung versehen werden. Innenstadt Stammgelände Gebäude Bauabschnitt Gabelsbergerstraße 49 Cam Derzeit gibt es noch Koax in Bau 0503, 0106 (N6) und zum Teil in Gebäude 5402 (CH2); hier soll aber Koax im Rahmen anderer Maßnahmen ersetzt werden LMU Im Bereich der LMU München sind alle Gebäude mit einer strukturierten Verkabelung versehen. Es gibt jedoch teilweise Defizite in der Verwendung der installierten Medien (nur vier-drahtiger Anschluss (Cable-sharing) oder Installation von Kategorie 5 - Kabeln bzw. Anschlusskomponenten). Dies betrifft noch 20 Gebäude (NIP V 2.Bauabschnitt). Die Kosten für die Sanierung dieser Gebäude in Höhe von 6,6 Mio. wurden vom Landtag freigegeben. Im Rahmen des Konjunkturprogramms wurden im 1. Bauabschnitt bis Anfang 2012 nachgerüstet:

83 Jahresbericht 2012 des Leibniz-Rechenzentrums 75 M-Bogenhausen M-Lehel M-Schwabing M-Maxvorstadt Universitäts-Sternwarte (Neuverkabelung bereits 2009 abgeschlossen) Oettingenstr. 67 (Informatik, Kommunikationswissenschaft, etc.) Leopoldstr Haus 1 3 (Psychologie+Pädagogik) Theresienstr. 37 (Physik, Meteorologie) Theresienstr. 39 (Mathematik) Theresienstr. 41 (Geo- und Umweltwissenschaften) Die verbleibenden 20 Gebäude werden ab 2013 im Rahmen des 2. Bauabschnittes der NIP V-Maßnahme mit einer Verkabelung der Kategorie 6a modernisiert. Außerhalb der NIP V-Maßnahme wird seit Ende 2012 eine Neuanmietung der LMU mit einer strukturierten Verkabelung der Kategorie 6a ertüchtigt: M-Schwabing Leopoldstraße Weihenstephan (TU München) Im Campus Weihenstephan der TU München sind alle Gebäude mit einer strukturierten Verkabelung versehen, entweder Kupfer (Kategorie 6-Kabel) oder Glasfaser (Multimode) LWL-Netze auf den Campus-Geländen Auf den Campusgelände TUM-Stamm/Nordgelände, LMU-Stammgelände, TUM-Garching, TUM- Weihenstephan und LMU Großhadern/Martinsried sind privat verlegte Glasfaserstrecken installiert, die teilweise schon über 15 Jahre existieren. Hier muss in den nächsten Jahren nachgerüstet werden, da bei einem Teil der Strecken die heute benötigten Glasfasertypen (OM3/OM4, Monomode) nicht vorhanden sind, diese aber aufgrund der gestiegenen Übertragungsraten notwendig sind Anbindung Studentenwohnheime Das LRZ ermöglicht Wohnheimen eine feste Anbindung über Standleitung, DSL-Technik oder WLAN an das MWN und damit an das Internet. Die Kosten der Anbindung hat der Heimträger zu übernehmen, für die Netznutzung werden aber keine Gebühren verlangt. Drei Heime sind nicht mehr am MWN angeschlossen (Georg-Lanzenstiel-Haus, Geschwister-Scholl und Maschinenwesen), die Träger wechselten zu einem kommerziellen Internetanbieter. Zum Jahresende 2012 sind Wohnheimplätze in 57 Heimen an das MWN angeschlossen, davon 39 über eine Glasfaserleitung (LWL) mit 100 Mbit/s oder 1 Gbit/s, 10 über Funkstrecken, 5 über DSL, 2 über Mikrowellenfunk und 1 Heim über 100 MBit/s Laserlink. Die nachfolgende Tabelle zeigt die Wohnheime, die Ende 2012 am MWN angeschlossen sind: Name Adresse Träger Plätze Anschluss Studentenstadt Freimann Christoph-Probst- Straße 10 Studentenwerk LWL zu MPI Freimann Studentenviertel auf dem Oberwiesenfeld Helene-Mayer-Ring 9 Studentenwerk LWL zu ZHS Kreittmayrstraße Kreittmayrstraße 14 Studentenwerk 45 LWL zu TUM Adelheidstraße (mit Deutschkurse für Ausländer) Adelheidstraße 13 Studentenwerk 301 LWL zu TUM John-Mott-Haus Theo-Prosel-Weg 16 CVJM München e.v. 67 Funk zu Winzererstr. Oberschleißheim Oberschleißheim Studentenwerk 171 LWL zu Rinderklinik

84 76 Netzdienste für Institutionen Am Schäferanger 9-15 Öekumenisches Studentenheim Steinickeweg 4 Hugo-Maser-Haus Arcisstr. 31 Verein evangelischer Studentenwohnheime Verein evangelischer Studentenwohnheime 78 Funk zu TUM-Uhrenturm 72 Funk zu TUM-Uhrenturm St. Albertus Magnus Haus Avenariusstraße 15 (Pasing) St. Albertus Magnus-Stiftung (Kath.) 108 SDSL M-net Wohnheimsiedlung Maßmannplatz Heß-Straße 77 Wohnheimsiedlung Maßmannplatz e.v. 124 Funk zu HM Dachauerstraße Jakob Balde Haus Theresienstraße 100 Studienseminar Neuburg-Donau 110 LWL zu TUM Internationales Haus Adelheidstraße 17 Studentenwerk 93 über Adelheidstr. 13 angeschlossen Hedwig Dransfeld Allee Hedwig Dransfeld Allee 7 Studentenwerk MBit/s Mikrowellenfunk Stettenkaserne Schwere Reiter Str. 35 Studentenwerk 242 M-net LWL Heidemannstraße Paul-Hindemith-Allee 4 Studentenwerk 310 M-net LWL Felsennelkenanger Felsennelkenanger 7-21 Studentenwerk 531 M-net LWL Heiglhofstraße Heiglhofstraße 64/66 Studentenwerk 415 Telekom LWL Sauerbruchstraße Sauerbruchstraße Studentenwerk 259 M-net LWL Garching I Garching II Dominohaus Garching Jochbergweg 1-7 Garching Enzianstraße 1, 3 Garching Unterer Strassäcker 21 Studentenwerk 110 Telekom LWL Studentenwerk 114 LWL zu TU-Heizkraftwerk Dominobau 82 LWL zu TU-Heizkraftwerk Türkenstraße Türkenstraße 58 Studentenwerk 97 LWL zu Theresienstraße Intern mit Funk vernetzt Weihenstephan II Giggenhauser Str Freising Studentenwerk 226 LWL über Weihenstephan IV Lange Point (Weihenstephan III) Weihenstephan IV Vöttinger Straße (Weihenstephan I) Lange Point Freising Giggenhauserstraße Vöttinger Straße Freising Studentenwerk 384 LWL zu FH Heizhaus Studentenwerk 237 LWL zur Telefonzentrale Studentenwerk 113 LWL zu alter DVS Stiftung Maximilianeum Max-Planck-Str. 1 Stiftung Maximilianeum 26 Funk zu KH Rechts der Isar Studentenheim "Paulinum" Rambergstraße München Studentenwohnheim Paulinum e.v. (Kath.) 58 Funk zu TUM-Uhrenturm Albertia, Ottonia, Erwinia Gabelsbergerstr. 24 Stud.-Verbindungen Albertia, Ottonia, Erwinia 25 Funk zu Richard Wagner Str. 18 Wohnheim Richard Wagner-Str. 16 Richard-Wagner-Str. 16 Ingeborg van-calker Stiftung 33 LWL zu Richard Wagner- Str. 18 Hochschulhaus Garching Enzianstr. 5 Evangelische Studentenwohnheime 95 Funk zu TU-Feuerwehr Spanisches Kolleg Dachauerstraße 145 Katholische Kirche 34 Funk a zur HM Chiemgaustraße Traunsteiner Straße 1-13 Studentenwerk 436 Telekom-LWL zu TUM Am Anger I Unterer Anger 2 Orden der Armen Schulschwestern 50 M-net SDSL Am Anger II Unterer Anger 17 Orden der Armen Schulschwestern 85 M-net SDSL Wohnheim Stiftsbogen Schröfelhofstraße 4 Studentenwerk 588 LWL zu Campus Großhadern

85 Jahresbericht 2012 des Leibniz-Rechenzentrums 77 Priesterseminar St. Johannes der Täufer Georgenstraße 14 Katholisches Ordinariat 28 Funk zu Georgenstr. 11 Johannes-Hanselmann-Haus Kaulbachstr. 25 Ev. Waisenhausverein 117 LWL zu Staatsbibliothek Marie-Antonie-Haus Kaulbachstr. 49 Studentenwerk 96 LWL zu Ludwigstr. 28 Student Living Center 1 Student Living Center 2 Student Living Center 3 Garching Living Center Freisinger Landstraße 47 Garching Freisinger Landstr. 47a Garching Freisinger Landstr. 45a Garching Schleißheimer Str. Garching Fa. Melampus 93 LWL zu TUM Heizhaus Fa. Melampus 107 LWL zu TUM Heizhaus Fa. Melampus 72 LWL zu TUM Heizhaus GLC GmbH 70 LWL zu TUM Heizhaus Studentenwohnanlage Biederstein Biedersteiner Str a Studentenwerk 168 LWL zu Amalienstr. 17 Sophie-Barat-Haus Franz-Josef-Str. 4 Katholisches Ordinariat 106 LWL zu Ordinariat Johann-Michael-Sailer-Haus Preysingstr. 93a Katholisches Ordinariat 26 LWL zu Ordinariat Heinrich-Groh-Str. Heinrich-Groh-Str. 17 Studentenwerk 59 LML zu Amalienstr. 17 Moosacher Straße Moosacher Str. 81 Studentenwerk MBit/s Laserlink Josef-Wirth-Weg 19 Josef-Wirth-Weg 19 Studentenwerk MBit/s Mikrowellenfunk Gästeappartment Musikhochschule Barer Str. 34 Hochschule für Musik und Theater 1 ADSL mit VPN-Tunnel Oskar von Miller Forum Oskar von Miller Ring 25 Oskar von Miller Forum 80 LWL zu Amalienstr. 17 Herzogliches Georgianum Prof. Huber Platz 1 Erzdiözese München-Freising 45 ADSL, intern WLAN Rosenheim I Rosenheim II Marienberger Str Rosenheim Westendorfer Str. 47a-m Rosenheim Studentenwerk 113 über Tunnel und Secomat Studentenwerk 342 über Tunnel und Secomat Frauendorfer Haus Notburgastr Studentenwerk 137 LWL zu Amalienstr. 17 Lothstraße Lothstr. 62 Studentenwerk 62 LWL zu Dachauer Str. 98b Studentenwohnheim Freimann Josef-Wirth-Weg 21 Grammer Immobilien 449 LWL zu Amalien Wohnheime Summe insgesamt DNS und Sicherheit im DNS Der Domain Name Service (DNS) im Internet dient dazu, lesbare Namen anstelle von IP-Adressen verwenden zu können. Im weltweiten Verbund dienen die Domain-Nameserver zur Auflösung (Resolving) der Domainnamen, d.h. sie liefern für einen Verbindungsaufbau die IP-Adresse zum verwendeten Domainnamen. Die Namen sind hierarchisch strukturiert, wobei die einzelnen Stufen durch Punkte getrennt geschrieben werden. Die höchste Ebene (Top Level Domain) steht dabei ganz rechts und bezeichnet häufig das Land (z.b. "de" für Deutschland). Die zweite Stufe steht dann für die Organisation bzw. Firma (z.b. lrz.de). Im Bereich des MWN bietet das LRZ die Möglichkeit, über seine Nameserver den DNS-Dienst zu erbringen. Daneben betreiben einige Fakultäten und Institute für ihre Bereiche auch eigene Nameserver. Ziel ist aber die weitgehende Zentralisierung des Dienstes über die hochverfügbaren und gut gepflegten Server des LRZ. Der DNS-Dienst wird Mandanten-fähig angeboten. Über eine Webschnittstelle (Webdns) können Netzverantwortliche die Ihnen zugewiesenen Namensräume selbstständig verwalten.

86 78 Netzdienste für Institutionen Der Webdns-Dienst wird inzwischen von 306 Nutzern zur Pflege der DNS-Einträge verwendet. Die Anzahl der über Webdns verwalteten DNS-Zonen stieg von auf Es wurden 67 neue Domains unter verschiedenen Toplevel-Domains (z.b. de, org, eu) für Institute und Organisationen registriert, 23 wurden von anderen Providern transferiert. Die folgenden Bilder zeigen die Frequenz der Anfragen für den authoritativen und den Resolving-Dienst. Abbildung 43 Statistik für alle DNS-Server (Autoritativ) Abbildung 44 Statistik für alle DNS-Resolver Eine Übersicht aufgeteilt nach Domains im MWN zeigt die folgende Tabelle. Die reale Anzahl der Zonen und Einträge ist um einiges höher, kann aber nicht ermittelt werden, da manche Instituts-Server keine Auflistungs-Abfragen beantworten. Die Spalte A-Records bezeichnet die IPv4 Einträge, AAAA-Records die für IPv6 und MX-Records beinhaltet die Mail-Server. Zone Zonen Sub- Domains A- Records AAAA- Records Aliase MX- Records Mail- Domains WWW- Records uni-muenchen.de lmu.de tu-muenchen.de tum.de fh-muenchen.de hm.edu fh-weihenstephan.de hswt.de badw-muenchen.de badw.de lrz-muenchen.de lrz.de

87 Jahresbericht 2012 des Leibniz-Rechenzentrums 79 mhn.de mwn.de Sonstige (637 Zonen) Gesamt In den WLAN-Netzen mit öffentlichen IP-Adressen (eduroam- und Konferenznetz) wurde von dynamischen aus der MAC-Adresse abgeleiteten DNS-Einträgen auf statische Einträge der Form dhcp dynamic.eduroam.mwn.de (Beispiel für den Client mit der IP-Adresse ) umgestellt, wodurch einerseits die Anonymität der Clients erhöht, und andererseits die Fehleranfälligkeit stark verringert wurde DNS-Amplifikation-Attacks und offene Resolver Eine sogenannte DNS-Reflection-Attack bzw. DNS-Amplification-Attack (Reflection-Attack mit Verstärkung) dient dazu, das Angriffsziel durch enormes IP-Verkehrsaufkommen zu überlasten. Der Angreifer verschickt dazu DNS-Anfragen (viele, bevorzugt klein und verteilt) mit gefälschter Absenderadresse (der Adresse des Angriffsziels) an einen oder mehrere offene Resolver, d.h. an DNS-Server, die rekursive Anfragen aus dem Internet beantworten. Der Resolver antwortet auf die Anfragen an die gefälschte Absenderadresse (das Angriffsziel) und speichert die Daten in seinem Cache. Diese (möglichst großen) Einträge können auf autoritativen Servern des Angreifers oder auf kompromittierten autoritativen Servern liegen, es können aber auch beliebige normale Einträge (z.b. DNSKEY) sein, die der Angreifer vorher ausfindig gemacht hat. Sowohl große DNS-Records als auch viele Anfragen von einer Adresse (z.b. durch NAT) können legitim sein. Der Angreifer kann den Effekt noch dadurch verstärken, dass er von vielen Rechner (einem sog. Botnet) aus die Anfragen mit der gefälschten Absenderadresse startet. Abbildung 45 stellt das Prinzip des Angriffs dar. Selbst wenn Heuristiken zur Angriffserkennung greifen, kann der Angreifer den Angriff verfeinern (mehr unterschiedliche Records, mehr offene Resolver etc.). Abbildung 45 Funktionsweise der DNS-Amplification-Attack Solange IP-Spoofing nicht verhindert wird, gibt es keine grundsätzliche Lösung für das Problem, die Wirkung von Gegenmaßnahmen beschränkt sich darauf, den Angriff abzuschwächen oder den Aufwand für den Angreifer zu erhöhen. Offene Resolver sind ein essentieller Bestandteil des Angriffs, gleichzeitig gibt es fast nie gute Gründe für den Betrieb eines offenen Resolvers, verständlicherweise sind offene Resolver daher nicht gern gesehen.

88 80 Netzdienste für Institutionen Die Zunahme der DNS-Amplification-Attacks im letzten Jahr war für das LRZ Anlass, Maßnahmen zur Verringerung der Anzahl der offenen Resolver im MWN zu ergreifen. Als Teil der Maßnahmen wurde auch der (bis Mitte Dezember offene) Resolver resolver2.lrz.de auf Anfragen aus dem MWN eingeschränkt. Auf Anfragen aus dem Internet antwortet der resolver nicht mehr. Gleichzeitig wurde versucht, durch Verkehrsanalyse und Scans offene Resolver im MWN zu finden und sie, in Zusammenarbeit mit deren Betreibern, nach Möglichkeit zu schließen. Die Bemühungen werden 2013 fortgesetzt. 6.4 DHCP Seit ca. 9 Jahren betreibt das LRZ einen DHCP-Dienst, der von allen Münchner Hochschulen für die automatische IP-Konfiguration von institutseigenen Rechnern genutzt werden kann. Außerdem wird dieser Dienst für einige zentrale Anwendungen verwendet, wie z.b. für die WLAN-Zugänge im MWN oder die Netzanschlüsse in Hörsälen und Seminarräumen. Insgesamt wird der DHCP-Dienst von 184 Instituten genutzt und verwaltet dabei 825 Subnetze mit über IP-Adressen. Falls gewünscht, tragen die DHCP-Server die Namen der Clients auch automatisch in die zugeordnete Zone auf den zuständigen DNS-Servern ein (Dynamic DNS). In diesem Jahr wurde der DHCP-Dienst von alten physischen Servern auf vier DNS-Server migriert (Standorte: LMU-Stammgelände, TU-Stammgelände, LRZ Garching und Weihenstephan). Gleichzeitig wurde eine neue Architektur eingeführt: Jeden größeren Router-Standort bedient ein eigenes Failover- Paar, wobei die Paare je auf 2 DNS-Server verteilt werden. Die DNS-Server sind räumlich getrennt und über mehrere Routen erreichbar, sollte also einer der Server oder eine Route zum Server ausfallen, übernimmt ein anderer Server bzw. eine andere Route. Die Konfiguration der Server wird zentral in einem Subversion-Repository verwaltet und automatisch auf Fehler überprüft und auf die Server übertragen. Das Monitoring wurde dahingehend erweitert, dass nicht nur Ausfälle eines Servers erkannt werden, sondern u.a. auch ein Synchronisationsausfall der Failover-Peers und Netze ohne verfügbare IP-Adressen. Abbildung 46 DHCP-Infrastrkutur auf den DNS-Servern Der DHCPv6-Dienst wurde ebenfalls auf die DNS-Server migriert. Da das LRZ den DHCPv6-Dienst stateless betreibt, kann der Dienst über Anycast erreicht werden. Fällt einer der Server aus, schwenkt die Anycast-Route automatisch zu einem anderen Server, der DHCP-Dienst ist also mehrfach redundant. 6.5 Radius Über Radiuszonen können einzelne Institutionen für ihre Beschäftigten bzw. Studierenden die Berechtigung für den Wählzugang und andere Netzdienste, wie VPN, Eduroam oder Authentifizierung am Netzrand, selbst verwalten. RADIUS steht für Remote Authentication Dial-In User Service. Ein Schema der physischen Struktur des RADIUS-Dienstes zeigt die folgende Abbildung. Die Funktionsweise ist folgende:

89 Jahresbericht 2012 des Leibniz-Rechenzentrums 81 Nutzer verbinden sich zu einem RAS (Remote Access Server), das kann ein VPN-Server, ein Einwahl- Server, ein WLAN-Access-Point, ein Access-Switch, etc. sein. Diese RAS-Geräte schicken die Authentifizierungs-Anfragen an den RADIUS-Proxy-Dienst weiter der über eine virtuelle IP-Adresse an unseren SLBs (Server-Load-Balancer) erreichbar ist. Der RADIUS-Proxy seinerseits wählt anhand der Zonenbezeichnung (siehe weiter unten) den eigentlichen Authentifizierungs-Service aus, der die eigentliche Benutzerauthentifizierung durchführt. Das kann ein weiterer RADIUS-Server, eine lokale User-Datei, ein LDAP-Server oder ähnliches sein. War die Authentifizierung erfolgreich wird eine entsprechende Freigabe an den RAS geschickt, andernfalls wird die Zugangsanfrage abgeleht. Die von uns eingsetzte RADIUS Software (FreeRADIUS) unterscheidet zwischen Authorisierung und Authentifizierung. So hat nicht jeder Nutzer der authentifiziert wird auch automatisch Zugang zu allen RAS Geräten. Abbildung 47 Radius-Strukur im MWN Zum Jahresende 2012 waren 49 Radiuszonen konfiguriert. Eine Auflistung der Radiuszonen zeigt folgende Tabelle: Zonenbezeichnung aci.ch.tum binfo.wzw.tum.de bl.lmu bmo.lmu campus.lmu.de cicum.lmu cip.informatik.lmu Zonenbezeichnung Lehrstuhl für Anorganische Chemie TUM Genome oriented Bioinformatics Beschleunigerlabor der TU und der LMU München Lehrstuhl für BioMolekulare Optik, LMU Internet und virtuelle Hochschule (LMU) Department Chemie LMU Institut für Informatik der LMU

90 82 Netzdienste für Institutionen cipmath.lmu cipmath.lmu.de eduroam.mwn.de edv.agrar.tum fhm.de fhm.edu fh-weihenstephan.de forst.tum frm2.tum fsei.tum fsmpi.tum hm.edu hswt.de ibe.lmu ikom.tum info.tum lkn.tum lmu.de lpr.tum lrz.de math.lmu math.lmu.de math.tum med.lmu med.lmu.de meteo.lmu mytum.de phy.lmu physik.lmu.de radius.wzw.tum rcs.tum rz.fhm sec.in.tum.de sec.in.tum.gaeste staff.fhm studext studlmu tum.de usm usm.lmu vm08.fhm wzw.tum Mathematisches Institut LMU Mathematisches Institut LMU Eduroam-Nutzer Datenverarbeitungsstelle der TU in Weihenstephan Hochschule München Hochschule München Hochschule Weihenstephan-Triesdorf Forstwissenschaftliche Fakultät Forschungsreaktor Fachschaft Elektro- & Informationstechnik Fachschaften MPI Hochschule München Hochschule Weihenstephan-Triesdorf Institut für med. Informationsverarbeitung, Biometrie und Epidemiologie Fachschaft Elektro- & Informationstechnik Informatik TUM Lehrstuhl für Kommunikationsnetze Verwaltung LMU Lehrstuhl für Prozessrechner LRZ-Mitarbeiter Mathematisches Institut LMU Mathematisches Institut LMU Zentrum Mathematik TU München Medizin der LMU, Großhadern Medizin der LMU, Großhadern Meteorologisches Institut LMU Mitarbeiter und Studenten der TUM Fakultät für Physik der LMU Fakultät für Physik der LMU Informationstechnologie Weihenstephan (ITW) Lehrstuhl für Realzeit-Computersysteme Rechenzentrum der FH München (Studenten) Chair for IT Security, TUM Chair for IT Security, TUM Rechenzentrum der FH München (Mitarbeiter) Studentenrechner LRZ (andere) Studentenrechner LRZ (LMU) Mitarbeiter und Studenten der TUM LMU Sternwarte LMU Sternwarte Fachbereich 08, FH München Informations-Technologie Weihenstephan 6.6 Netzkomponenten-Beratung Im Edge- und Distribution-Bereich werden seit dem Jahr 2000 Switches der Firma HP eingesetzt. Da der Markt in diesem Gerätebereich sehr dynamisch ist, werden in regelmäßigen Abständen (ca. alle 3 Jahre)

91 Jahresbericht 2012 des Leibniz-Rechenzentrums 83 Marktuntersuchungen durchgeführt, um die getroffene Switch-Auswahl zu überprüfen. Nachdem die letzte Auswahl im Jahr 2009 stattgefunden hat, war es 2012 an der Zeit, diese zu wiederholen. Ein weiterer Grund für die neue Switch-Auswahl war der Umstand, dass der bestehende Rahmenvertrag zur Beschaffung von Netzkomponenten im April 2013 ausläuft und daher neu ausgeschrieben werden muss. Über diesen Rahmenvertrag, an dem auch andere bayerischen Hochschulen teilnehmen, können HP- Netzkomponenten zu besonders günstigen Konditionen beschafft werden Switch-Auswahl Für die neue Switch-Auswahl wurde zunächst ein Anforderungskatalog erstellt, in dem die Mindestvoraussetzungen hinsichtlich Hard- und Software definiert sind. Anhand dieser Kriterien wurden dann die Produkte der in Frage kommenden Hersteller auf Basis der Papierform beurteilt. Schließlich wurden daraus 3 Hersteller ausgewählt, deren Switches dann in einem Labortest und einem anschließenden Praxistest genauer untersucht wurden. Auf Grund dieser Ergebnisse wurde dann entschieden, dass auch weiterhin Switches der Firma HP zum Einsatz kommen sollen, da diese bei gleicher Funktionalität deutlich kostengünstiger und energieeffizienter sind als die Geräte der Mitbewerber. 6.7 Telefonie Die seit dem Umzug des LRZ nach Garching installierte VoIP-Telekommunikations-Anlage auf Basis der offenen Software Asterisk unter Linux arbeitet weiterhin zufriedenstellend. Der erneute Test der verschlüsselten Kommunikation zum DFN hat aus Zeitmangel leider nicht stattgefunden. Langfristig soll die Verschlüsselung für Gespräche innerhalb der VoIP-Anlage und zum DFN aktiviert werden. Durch die Ergebnisse des Tests aus 2011 ist zuerst die Einrichtung eines Gateways geplant, um damit langfristige Erfahrungen sammeln zu können. Insgesamt wurden durch die VoIP-Telefonanlage 2012 ca (2. Halbjahr 2011 ca ) Gespräche mit einer durchschnittlichen Länge von 3:24 Minuten oder insgesamt ca (2. Halbjahr 2011 ca , 2010 ca ) Gesprächsminuten vermittelt. Es konnten ca. 400 Gesprächsminuten direkt über SIP zu externen Teilnehmern abgewickelt werden. Der Wert hat sich damit wieder auf das Niveau von 2010 erhöht. Zu den über SIP erreichbaren Zielen gehören die Universitäten Eichstätt, Regensburg, Würzburg, Ulm, Chemnitz, Wien und Innsbruck. Weitere Informationen zur VoIP-Telefonanlage, wie z.b. Aufbau und Vermittlungsstatistik, können den Jahresberichten ab 2006 entnommen werden Zugang über UMTS Nach dem Ende des Sponsorings durch Vodafone wurde die Finanzierung des UMTS Zugangspunkts durch das LRZ übernommen, wodurch die Nutzer der migrierten Verträge weiterhin den gewohnten Weg ins Internet mit MWN IP-Adressen nutzen können. Eine Statistik über das übertragene Datenvolumen liegt leider nicht vor. 6.8 Unterstützende Infrastruktur-Dienste Im Folgenden werden die Infrastrukturdienste beschrieben, die mittels Service Load Balancer, für IPv6 und auf Basis von Multiplexern erbracht werden Service Load Balancer (SLB) Zur Zeit verarbeitet der Server Load Balancer mehr als Verbindungen (diese entspricht gegenüber dem Vorjahr einer Steigerung von 40 %). Daneben wird das System auch als IPv6 to IPv4 Gateway genutzt.

92 84 Netzdienste für Institutionen Übersicht über den Loadbalancer: Virtuelle Server Gruppen (Pools ) Pool members Virtuelle Server stellen Dienste nach außen bereit, die Anzahl der konfigurierten Server ist angegeben, die Anzahl der aktiven Server ist deutlich kleiner. Bei den Pools handelt es sich um Zusammenfassungen von Rechnern zu einem Pool. Da die Rechner auf verschiedenen Ports mehrere Dienste anbieten können, weicht diese Zahl deutlich von der Anzahl der konfigurierten Nodes (insgesamt 124) ab. Als eines der zentralen Geräte stellt der Loadbalancer Dienste für das gesamte MWN und darüber hinaus bereit. Insbesondere wird dieser für den Mail, Webserver und andere Dienste LRZ-intern, MWN-weit und weltweit genutzt. Dienststörungen sind extrem selten und im gesamten letzten Jahr nur auf geplante Wartung zurückzuführen (ca. 4 Minuten). Der Server Load Balancer wurde im Jahr 2012 auf zwei seperate Brandabschnitte verteilt, um die Redundanz zu erhöhen.

93 Jahresbericht 2012 des Leibniz-Rechenzentrums IPv6 Abbildung 48 Anzahl der Verbindungen am Server Load Balancer 1 Die Aktivitäten im Bereich IPv6 waren auch im Jahr 2012 vielfältig. So wird das TSM Backup-System seit Februar 2012 auch über IPv6 angeboten. Seit Mai des Jahres 2012 haben die Nutzer bei Einwahl über das VPN-System neben den IPv4-Adressen die Möglichkeit IPv6-Adressen zu beziehen. Im WLAN ist ein erfolgreicher Testbetrieb mit einer SSID "eduroam-ipv6only", die ausschließlich IPv6 Adressen verwendet, durchgeführt worden. An mehreren Außenstandorten (Wendelstein, Triesdorf, Straubing) wurde IPv6 ebenfalls verfügbar gemacht. Viele Dienste aller Abteilungen wurden ebenfalls IPv6-fähig gemacht, ohne sie hier spezifisch zu erwähnen. Die Endsystemanzahl mit nativem IPv6 in der Datenbank von Nyx, kumulativ über eine Woche, stieg deutlich von auf Jahr Anzahl der IPv6 Endgeräte in der Nyx-Datenbank

94 86 Netzdienste für Institutionen Das LRZ hat am World-IPv6 Day als Netz-Operator teilgenommen. Die Messdaten von (abgerufen am ) zeigen, dass das LRZ auch im internationalen Vergleich bereits anteilsmäßig viel IPv6 Verkehr hat und weltweit auf Platz 13 liegt. Im Jahr 2013 ist geplant, die Sicherheitsfunktionen des Secomat-Systems (vgl. Abschnitt ) auch für IPv6 bereitzustellen. Dies dient vor allem dazu, den Nutzern von privaten IPv4-Adressen ohne den aufwändigen Einsatz von virtuellen Firewalls ein analoges Schutzniveau bieten zu können. Der bereits in den letzten Jahren begonnene forcierte Rollout von IPv6 auf den Institutsnetzen wird damit in diesem Jahr abgeschlossen werden können, so dass nur noch Netze mit einem expliziten Einspruch des Netzverantwortlichen kein IPv6 haben werden. Dabei können nach einer erfolgreichen Testphase auch die über SDSL angebundenen Standorte bedacht werden. Des Weiteren werden in Kooperation mit den anderen Abteilungen im LRZ die verbleibenden nicht IPv6- fähigen Dienste untersucht und migriert. Bereits umgesetzt wurde der Flash-Medienserver, in der näheren Untersuchung befinden sich die verbleibenden großen Verkehrsverursacher SuperMUC und MWN- Speicher Wellenlängenmultiplexer Das LRZ setzt seit 1997 Wellenlängenmultiplexer (Wavelength-Division-Multiplexer, WDM) auf den angemieteten Glasfaserleitungen der lokalen Provider (Telekom und M-net) ein. Hierdurch lassen sich auf Leitungsebene getrennte Strukturen aufbauen. WDM-Systeme werden derzeit im MWN dazu verwendet, um die verfügbaren Glasfaserleitungen parallel zum Produktionsnetz für folgende Dienste zu nutzen: Kopplung von Nebenstellenanlagen (TK-Kopplung) Realisierung von standortübergreifenden Intranets (z.b. Max-Planck-Gesellschaft, Verwaltung)

95 Jahresbericht 2012 des Leibniz-Rechenzentrums 87 Realisierung von Testnetzen parallel (ATM-Pilotprojekte, Fiber-Channel-Kopplung von Speichernetzen usw.) Im MWN werden vom LRZ aktuell auf 4 Verbindungen WDM-Systeme eingesetzt (vgl. Tabelle 11). Verbindung WDM-Typ Zweck TU-Nordgelände LMU-Stammgelände TU-Nordgelände Garching TU-Nordgelände Großhadern LMU-Stammgelände Martiusstraße 4 MRV 800 MRV 800 MRV 800 LambdaDriver LambdaDriver LambdaDriver Pan Dacom T-3009-LC (passiver WDM) Tabelle 11: WDM-Verbindungen Verbindung der Backbone-Router (1 x 10 Gbit/s) ATM-Testnetz Erlangen -- IRT (1 x 2,4 Gbit/s (OC48)) Verbindung der Backbone-Router (1 x 10 Gbit/s) Intranet der Max-Planck-Gesellschaft (1 x 10 Gbit/s) Verbindung der Backbone-Router (1 x 10 Gbit/s) Intranet der Max-Planck-Gesellschaft (1 x 10 Gbit/s) Anbindung des Gebäudes Martiusstr. 4 ans MWN (1 x 1 Gbit/s) Intranet der LMU-Verwaltung ( 1 x 1 Gbit/s) Fiber-Channel-Kopplung der LMU- Verwaltung ( 2 x 4 Gbit/s) Die Hochschule München setzt darüber hinaus noch auf einigen internen Verbindungen WDMs zur Kopplung von TK-Anlagen ein. Die Telefonanlagen sowie deren abgesetzten Telefonanlagenteile der Technischen Universität und der Ludwig-Maximilians-Universität werden zum größten Teil mittels IP, d.h. über das Standardprotokoll im MWN, miteinander gekoppelt IP-Multiplexer IP-Multiplexer dienen zur Verbindung von Telefonanlagen über ein LAN. Sie wandeln die Daten einer S2m-Schnittstelle (30 Sprachkanäle) in einen konstanten Strom von IP-Paketen und schicken diese an einen anderen IP-Multiplexer, der die Rückumwandlung in S2m-Signale übernimmt. Auf diese Art und Weise kann ein bestehendes Datennetz für die Telefonie mitverwendet werden und erbringt somit eine deutliche Kostenersparnis, da keine dedizierten Leitungen mehr für die Kopplung von Telefonanlagen angemietet werden müssen. Im Münchner Wissenschaftsnetz (MWN) werden IP-Multiplexer seit dem Jahr 2005 eingesetzt. Zu-nächst wurden sie dazu verwendet Unteranlagen innerhalb der TU und der LMU mit den zentralen Telefonanlagen zu verbinden. Im Zuge der Ersetzung bzw. der Erneuerung der Telefonanlagen wurden IP- Multiplexer dort aber weitgehend überflüssig, da die neuen Anlagen selbst eine direkte Kopplung über das IP-Protokoll ermöglichen. Lediglich die Backup-Verbindung der Telefonanlagen in Großhadern und Oberschleißheim wird auch weiterhin mit IP-Multiplexern realisiert. Die freigewordenen IP-Multiplexer wurden im Jahr 2006 dazu verwendet, um das sog. Querverbindungsnetz aufzubauen. Dieses verbindet die Telefonanlagen der verschiedenen Münchner Universitäten untereinander, so dass Telefongespräche zwischen den Hochschulen nicht mehr über das öffentliche Telefonnetz geführt werden müssen, sondern hierfür das MWN genutzt werden kann und damit Kosten eingespart werden. Eine direkte Kopplung der Anlagen über das IP-Protokoll (ohne IP-Multiplexer) ist nicht möglich, da in den Universitäten Telefonanlagen verschiedener Hersteller eingesetzt werden und diese keine einheitliche IP-Schnittstelle zur Verfügung stellen. Die Struktur der Querverbindungsnetzes zeigt die folgende Abbildung:

96 88 Netzdienste für Institutionen Abbildung 49 Struktur des Querverbindungsnetzes Den zentralen Mittelpunkt des Querverbindungsnetzes bildet die Telefonanlage in der Obersten Baubehörde. Dort gibt es neben den Verbindungen zu den Hochschulen auch noch eine ganze Reihe weiterer Kopplungen zu Telefonanlagen staatlicher Einrichtungen, wie z.b. Ministerien, Finanz- und Polizeibehörden, Theater usw. Auch diese Verbindungen erfolgen nicht über das öffentliche Telefonnetz, sondern über eigene Leitungen. 6.9 Netzmanagement und monitoring Zur Verwaltung und zum Betrieb des Münchner Wissenschaftsnetzes und seiner Subnetze setzt das LRZ eine Reihe von Standard-Softwaresystemen und komplementäre Eigenentwicklungen ein. In den folgenden Abschnitten wird auf die Werkzeuge zum Netzmanagement, die LRZ-Netzdokumentation und das mandantenfähige Netz-Performancemanagement eingegangen Netzmanagement Das Netzmanagement bildet die Basis für die Qualität der Netzdienstleistungen des LRZ im MWN. Wesentliche Komponenten des Netzmanagements sind das Konfigurations-, das Fehler- und das Performance-Management. Die Aufgaben des Konfigurations- und Fehler-Managements werden im MWN durch den Netzmanagement-Server und der auf dem Server eingesetzten Netzmanagement-Software erfüllt. Die Aufgaben des Performance-Managements werden im Service Level Management Werkzeug InfoVista umgesetzt (siehe Abschnitt Überwachung der Dienstqualität) Netzmanagement-Software und Netzmanagement-Server Im Jahr 2008 wurde der IBM Tivoli Network Manager IP (ITNM) als neue Netzmanagement-Software ausgewählt. Der Auswahlprozess und die Gründe für die Wahl von ITNM sind im Jahresbericht 2008 zusammengefasst. Anfang 2009 war die Version 3.8 des IBM Tivoli Network Manager verfügbar. Mit dieser Version wurde mit der Einführung des Tools am LRZ begonnen. Die Produktivführung des IBM Tivoli Network Manager wurde 2010 durchgeführt. Seitdem übernimmt ITNM die Überwachung des MWN und wird laufend an Änderungen im MWN angepasst. Die wichtigsten in 2012 an ITNM durchgeführten Arbeiten sind: Mehrere Fixpacks wurden eingespielt, die viele kleinere Fehler behoben haben.

97 Jahresbericht 2012 des Leibniz-Rechenzentrums 89 Das "Out of Memory" Problem bei der Discovery, das schon Ende 2011 aufgetreten ist, ist Ende 2012 wieder aufgetreten. Durch die stark gestiegene Zahl von MAC Adressen in den Forwarding Tabellen der Switches bei Semesterbeginn (viele neue Studenten mit Notebooks und/oder Smartphones und WLAN Verbindung) stürzt der Discovery-Prozess mit einem "Out of Memory"- Fehler ab. Das Problem ließ sich durch eine Vorverlegung des Starts der Discovery von 9:15 auf 8:15 vorerst beheben. Zukünftig kann es notwendig werden die Discovery komplett in die Nacht zu verschieben. Zusätzlich zur CPU Auslastung (siehe 2011) wird jetzt auch noch die Last aller WLAN- Accesspoints überwacht und eine an die WLAN Administratoren verschickt, wenn ein WLAN-AP über längere Zeit eine erhöhte Last hat. Webcams am Rechnerwürfel und am Wetterturm wurden in die Überwachung mit aufgenommen. Die Regeln für das Eventmanagement der USVs wurden aktualisiert. Außerdem wird die Batterie Restlaufzeit der USVs überwacht. Alle USVs mit einer Batterie Restlaufzeit von kleiner einer Stunde können abgerufen werden. Das Erstellen und Einspielen von Zertifikaten für den Web-Server von ITNM wurde am Testsystem erprobt. Auf dem Produktionssystem wird ein Zertifikat in 2013 eingespielt. Verschiedene kleinere Fehler in den SNMP-MIBs der Geräte machen es immer wieder nötig, die von ITNM nicht vollständig richtig erkannte Layer 2 Netz-Topologie des MWN durch manuelle Eingriffe zu korrigieren. Die Router-, Switch- und WLAN-Accesspoint-Auswahl wurde durch begleitende Tests bzgl. Konformität zu den IETF SNMP Standards unterstützt. Ende 2012 wurden vom IBM Tivoli Network Manager ca Netzkomponenten und Server (mit netzrelevanten Diensten) überwacht. Das ist eine Steigerung von ca. 350 Geräten gegenüber Der Netzmanagement-Server (nm2.netz.lrz.de), auf dem der IBM Tivoli Network Manager installiert ist, hat außerdem noch folgende Funktionen: Arbeitsserver für die Geräteadministratoren Zentrales Repository für die Gerätekonfigurationen Notfallzugriff auf Geräte über serielle Verbindungen und analoge Modems Server für diverse Skripte, die für den Betrieb und das Management des MWN benötigt werden WWW-Server zum Netzmanagement Auf einem separaten Webserver sind seit 2002 aktuelle Informationen über die Topologie für die Nutzer des Münchner Wissenschaftsnetzes und die Performance des MWN-Backbone abrufbar. Unter werden Performance-Daten zu den wichtigsten Elementen des MWN (Backbone, X-WiN Anbindung, IPv6 Verkehr, Secomat, Demilitarisierte Zone (DMZ) des LRZ, Modem- und ISDN- Zugang, usw.) dargestellt. Die Performance-Daten werden dazu jeweils in Form von MRTG-Statistiken bereitgestellt. MRTG (siehe ist ein Werkzeug zur Überwachung des Verkehrs auf Netzwerkverbindungen, kann aber auch zur Überwachung anderer Kennzahlen eingesetzt werden. Der WWW-Server zum Netzmanagement dient als Schnittstelle zu den Kunden im MWN, um die Netz- Dienstleistung MWN des LRZ transparenter zu machen gab es hier keine wesentlichen Änderungen Netzdokumentation In der LRZ-Netzdokumentation werden für den Betrieb des MWN relevante Informationen (Netzkomponenten, Subnetze, Ansprechpartner, Räume,...) gespeichert. Die Netzdokumentation basiert auf einer relationalen Datenbank, auf die über ein Web-Interface zugegriffen werden kann wurde die Netzdokumentation auf die zum damaligen Zeitpunkt aktuellste Version des zugrunde liegenden Anwendungsservers Zope migriert. Im Zuge der Migration wurden außerdem alle Zope Datenbank-Treiber (für die Oracle-, Postgres- und ODBC-Datenbank-Schnittstellen) auf den Datenbank Treiber SQLAlchemy umgestellt. SQLAlchemy ist Open Source und wird (im Gegensatz zu den alten Datenbank Treibern) aktiv von einer Community gepflegt. Daneben wurde noch die Subnetz- und Subnetzbereichsverwaltung erweitert. Bisher konnte zu jedem Subnetzbereich nur ein zugehöriger Unterbezirk gespeichert werden. In manchen Fällen erstreckt sich ein

98 90 Netzdienste für Institutionen Subnetzbereich aber über mehrere Unterbezirke. Das konnte aber nicht adäquat in der Netzdokumentation abgebildet werden. Deshalb wurden die Datenbank und das Web-Interface der Netzdokumentation so erweitert, dass zu jedem Subnetzbereich jetzt mehrere Unterbezirke abgespeichert werden können MWN Visualisierung mit OpenStreetMap und Google Earth Die Unterbezirke des MWN wurden bereits vor einigen Jahren in die Karten von Google Maps mittels Icon integriert und aus der Netzdokumentation wird auf den jeweiligen Kartenausschnitt in Google Maps verlinkt. Eine direkte Integration der Google-Maps-Karten in die Netzdokumentation ist aus Lizenz- Gründen nicht möglich bzw. würde eine kostenpflichtige Lizenz für die Google Maps API von Google erfordern. Deshalb ist es ein Ziel, die Visualisierung der Unterbezirke im MWN von Google Maps auf OpenStreet- Map umzustellen. In einem ersten Schritt wurden in 2012 die Standort-Koordinaten (Längen- und Breitengrad) und die Art des Unterbezirk (das Icon in Google Maps) per Skript aus Google Maps ausgelesen, auf unterschiedliche Arten aufbereitet und in verschiedenen KML (Keyhole Markup Language) Files abgespeichert. Mittels dieser KML Files kann dann eine direkte Visualisierung des MWN in der Netzdokumentation mit den Karten von OpenStreetMap erfolgen. Die technische Umsetzung dieser Visualisierung beruht wesentlich auf der Javascript Bibliothek OpenLayers (http://openlayers.org/). OpenLayers erlaubt die Visualisierung von beliebigen Overlays über den Kartendaten von OpenStreetMap (wobei auch andere Kartenquellen benutzt werden können, unter anderem auch Google Maps). Mit einem Plugin bzw. einer Ergänzung zu OpenLayers konnte auch eine animierte Cluster Darstellung realisiert werden. Neben der Visualisierung der Unterbezirke wurde auch noch eine Visualisierung der Verbindungen zwischen den Unterbezirken realisiert, indem aus der Netzdokumentation die Verbindungsdaten (Anfang, Ende, Bandbreite,...) ausgelesen werden und zu den KML Files hinzugefügt werden. Außerdem wurde noch eine Darstellung der WLAN Standorte erstellt. Diese soll auch außerhalb der Netzdokumentation für alle Nutzer im MWN zugänglich gemacht werden, so dass die Standorte mit WLAN Zugang im MWN einfach ersichtlich sind. In den folgenden Abbildungen werden die verschiedenen Ansichten der Visualisierung des MWN in OpenStreetMap dargestellt. In der Abbildung "Visualisierung des MWN in OpenStreetMap" ist eine Übersicht über das MWN zu sehen. Die meisten Unterbezirke sind hier zu Clustern (gelbe Kreise) zusammengefasst. Die Cluster Darstellung hat dann Vorteile, wenn zu viele einzelne Icons zu unübersichtlich wären. Die Zahlen in den Clustern entsprechen der Anzahl der Unterbezirke die durch das Cluster repräsentiert werden. Es ist möglich auf die Cluster-Icons zu klicken, dann wird ein Fenster mit allen Standorten des Clusters angezeigt. In dem Auswahlfenster rechts oben kann sowohl die Grundkarte als auch das gewünschte Overlay ausgewählt werden, wobei auch mehrere Overlays gleichzeitig dargestellt werden können.

99 Jahresbericht 2012 des Leibniz-Rechenzentrums 91 Abbildung 50 Visualisierung des MWN in OpenStreetMap In der Abbildung "Unterbezirke und Verbindungen am Campus Garching" ist ein Ausschnitt zu sehen, der den Campus in Garching zeigt. Hier sind alle Cluster aufgrund des höheren Zoom-Faktors aufgelöst. Die Farben der Icons repräsentieren die Organisations-Zugehörigkeit der Standorte (blau für TU München, grün für LMU München, andere Farben für sonstige Standorte z.b. rot für Max-Planck-Institute). Die LRZ-Standorte sind mit dem LRZ-Logo versehen. Verbindungen können auch angeklickt werden, dann wird eine Information zu der Verbindung angezeigt. Die Farben der Verbindungen repräsentieren die Bandbreite der Verbindung, blau steht z.b. für Verbindungen mit größer gleich 10 Gbit/s und rot für Verbindungen mit größer gleich 1 Gbit/s und kleiner 10 Gbit/s. Alle anderen Farben von Verbindungen repräsentieren Verbindungen mit kleineren Bandbreiten.

100 92 Netzdienste für Institutionen Abbildung 51 Unterbezirke und Verbindungen am Campus Garching In der Abbildung "WLAN Standorte in der Münchner Innenstadt" ist eine Übersicht der WLAN- Standorte in der Innenstadt von München zu sehen. Eng zusammen liegende Standorte werden hier ebenfalls zu Clustern (blaue Kreise) zusammengefasst. Die Zahlen in den Clustern entsprechen hier aber nicht der Zahl der Standorte, sondern der Anzahl der WLAN-Accesspoints. Die Zahlen über den ungeclusterten WLAN-Symbolen entsprechen ebenso der Anzahl der WLAN-Accesspoints an diesem Standort. Ein Cluster kann wieder angeklickt werden, dann erscheint ein Fenster mit einer Übersicht der Standorte des Clusters und der WLAN-APs pro Standort.

101 Jahresbericht 2012 des Leibniz-Rechenzentrums 93 Abbildung 52 WLAN-Standorte in der Münchner Innenstadt Im Gegensatz zu obiger Abbildung entspricht die Abbildung "WLAN-Standorte im MWN (Benutzer- Sicht)" einer Ansicht, wie sie für Benutzer im MWN angeboten werden soll. Hier wird ein anderes WLAN-Symbol mit Schattenzeichnung verwendet und die Zahlen entsprechen der Zahl der Standorte und nicht der Zahl der WLAN-APs. Ein einzelner Standort kann auch angeklickt werden, dann erscheinen genauere Information zu diesem Standort.

102 Netzdienste für Institutionen 94 Abbildung 53 WLAN-Standorte im MWN in OpenStreetMap (Benutzer-Sicht) In allen Overlays kann über eine Eingabezeile nach beliebigen Informationen eines Unterbezirks gesucht werden, z.b. nach dem Unterbezirkskürzel oder der Straße. Bei einem Treffer wird der entsprechende Unterbezirk automatisch in der Karte angezeigt. Bei mehreren Treffern kann mit den Cursortasten oder der Returntaste durch die Treffer geblättert werden. Zusätzlich zu der Visualisierung des MWN in OpenStreetMap wurden auch noch KML-Files zu Visualisierung des MWN in Google Earth erstellt. Die KML-Files für Google Earth unterscheiden sich nur sehr geringfügig von denen für OpenStreetMap. Der Hauptunterschied ist, dass hier mehrere KML-Files zu einem KMZ-File zusammengefasst wurden, so dass die Nutzung mit Google Earth einfacher ist. Ein Vorteil von Google Earth ist flexiblere Auswahl der dargestellten Informationen. Z.B. können nur alle Standorte der TU München angezeigt werden oder nur alle 10 Gbit/s Verbindungen. Die KML-Files für OpenStreetMap und das KMZ-File für Google Earth werden zweimal am Tag per Skript aktualisiert. Bis jetzt erfolgt die Pflege der Längen- und Breitengrade der Unterbezirke aber immer noch in Google Maps, da eine Editier-Schnittstelle für diese in der Netzdokumentation noch nicht existiert. Das muss erst noch in einem weiteren Schritt implementiert werden. Bis dahin wird weiterhin die Editier-Schnittstelle von Google Maps genutzt, die Daten per Skript ausgelesen und dann in KML Files abgespeichert Inhaltliche Aktualisierung der Netzdokumentation Um die Aktualität der Informationen zu den Netzverantwortlichen zu sichern, wurde 2012 wieder eine Benachrichtigung und Überprüfung der Kontaktinformationen durchgeführt. Jeder der 898 Netzverantwortlichen erhielt per die Liste der Subnetze und Subnetzbereiche für die er zuständig ist und die

103 Jahresbericht 2012 des Leibniz-Rechenzentrums 95 in der Netzdokumentation gespeicherten persönlichen Daten. Diese Daten sollten entweder bestätigt oder eventuelle Fehler korrigiert werden. In der wurde auch wieder auf das neue NeSSI-Interface für Netzverantwortliche hingewiesen. An die Netzverantwortlichen, die auch nach drei Monaten noch nicht geantwortet hatten, wurde per Skript automatisiert eine zur Erinnerung geschickt. Bei rund 260 Einträgen zu Netzverantwortlichen waren kleinere oder größere Änderungen während der Aktualisierung notwendig. Bei allen anderen Netzverantwortlichen blieben die Einträge unverändert. Neben dieser jährlichen Aktualisierung werden aktuelle Änderungen im MWN laufend in die Netzdokumentation übernommen Überwachung der Dienstqualität Das Service-Level-Management-Werkzeug InfoVista dient dazu, die Qualität von IT-Diensten zu überwachen und in Form von graphischen Reports darzustellen. Es wird seit dem Jahr 2000 zur Überwachung der Dienstqualität im Münchner Wissenschaftsnetz (MWN) eingesetzt. Das InfoVista-System wird ständig an die Entwicklungen im MWN angepasst bzw. Veränderungen im Netz werden in InfoVista übernommen. Im Jahr 2012 wurde der InfoVista-Server auf die neue Version 4.2 und Windows 2008 (64 bit) migriert (bisher 4.0 bzw. Windows 2003). Die Migration wurde durchgeführt, indem der neue Server parallel aufgesetzt wurde und anschließend die InfoVista-Datenbank auf den neuen Server kopiert wurde. Als Nebeneffekt dieser Migration konnte die InfoVista-Datenbank durch das dazu notwendige Backup und Restore von über 35 GB auf ca. 23 GB verkleinert werden. Die Verringerung des Platzbedarfs beruht darauf, dass der schon in 2011 durch eine Aufräumaktion als frei in der Datenbank markierte Platz, nun durch das Backup und Restore tatsächlich nicht mehr belegt wird. Durch die Umstellung auf Windows 2008 und der darin enthalten Firewall war außerdem eine bessere Absicherung des InfoVista-Servers möglich. Damit die Datenbankgröße der InfoVista-Datenbank weiter in etwa gleich bleibt, wurden die bestehenden InfoVista Reports bzgl. ihres Platzbedarfs in der Datenbank untersucht. Dabei wurde der "Switch Device Report" als der Report mit dem mit Abstand größtem Platzbedarf identifiziert. Um hier die Situation zu entschärfen und die Instantiierung weiterer Switch Reports zu ermöglichen, wurde in diesem Report das Abfrage Intervall für die Konfiguration des Switches von 5 Minuten auf eine Stunde erhöht und ein Teil der Konfigurations-Abfrage weggelassen, dadurch sinkt der Platzbedarf des Reports deutlich. Ein wesentlicher Teil der Überwachung der Dienstqualität mit InfoVista sind die stündlichen Mittelwerte der Verkehrsauslastung auf den Interfaces der Backbone-Router. Dabei wird eine wöchentliche Übersicht aller Router-Interfaces erstellt, deren Auslastung im Stundenmittel über 30 Prozent liegt. Um hier eine noch zuverlässigere Erkennung von Engpässen zu ermöglichen wurde schon in 2011 damit begonnen zusätzlich noch eine Überwachung der 15-Minuten-Mittelwerte der Router-Interfaces aufzubauen. In 2012 wurde die Überwachung der Router-Interfaces vollständig auf 15-Minuten-Mittelwerte umgestellt und die Überwachung der stündlichen Mittelwerte beendet. Desweiteren wurde die Router- und Switch-Auswahl in 2012 durch parallele Tests mit InfoVista unterstützt Evaluation VistaFoundation Kit 4.3 Das VistaFoundation Kit (VFK) ist eine Erweiterung des im MWN eingesetzten InfoVista-Server um die Komponenten automatische Discovery des Netzes, eine (Last-)Verteilung der Statistik Abfrage auf mehrere Server, eine Administrations-Konsole und ein erweitertes Web-Interface. Das VistaFoundation Kit basiert dabei auf einer zentralen Oracle-Datenbank zusätzlich zu den ObjectStore Datenbanken auf den InfoVista-Servern (beim VFK können mehrere InfoVista Server zur Last-Verteilung betrieben werden). Die Entwicklung bei der Firma InfoVista scheint in die Richtung zu gehen, nur noch das VFK als Produkt anzubieten und zu unterstützen. Das kann bedeuten, dass in Zukunft kein Support mehr für die im MWN eingesetzte Lösung erhältlich ist (derzeit wird sie aber noch unterstützt). Insbesondere aus diesem Grund wurde in 2012 das VistaFoundation Kit in Version 4.3 getestet. Die Evaluation hat aber ergeben, dass der Einsatz des VFK im MWN derzeit viele Nachteile und Probleme mit sich bringen würde. Diese Nachteile und Probleme sind:

104 96 Netzdienste für Institutionen Die weiteren Komponenten des VFK (Discovery, Last-Verteilung, erweitertes Web-Interface und zentrale Oracle Datenbank) bringen einen erheblichen Mehraufwand bei der Administration mit sich, der durch die spezielle Administrations-Konsole nicht ausgeglichen wird. Speziell die Anpassung von Reports an das MWN bzw. die Neuentwicklung von Reports wird durch die neuen Komponenten erheblich komplexer. Die Unterstützung der im MWN eingesetzten Netz-Geräte ist eher schlecht. Speziell die HP LAN Switches wurden während des Tests nur unzureichend erkannt und es konnten keinerlei Reports darauf aufgesetzt werden. Eine einfache Lösung dieses Problems war auch mit Unterstützung seitens der Firma InfoVista nicht möglich. Eine Migration der bisher bestehenden selbst entwickelten Reports auf die neue Plattform müsste manuell gemacht werden und wäre wahrscheinlich relativ aufwendig. Ein Migration der bisher gesammelten Daten auf die Plattform wäre wahrscheinlich gar nicht möglich oder nur mit unverhältnismäßig großem Aufwand. Das erweiterte Web-Interface des VFK ist ziemlich unübersichtlich und nicht intuitiv benutzbar, da es aus verschiedenen und jeweils etwas anders zu benutzenden Teilen besteht. Z.B. ist ein Teil in Java und Javascript implementiert und ein anderer komplett mit der Flash-Technologie. Die Lizenzkosten für das VFK wären deutlich höher als bisher (ca mal so hoch), insbesondere weil auf eine Device Anzahl basierte Lizenz umgestellt werden müsste (bisher ist die Lizenz unabhängig von der Anzahl der Devices). Aus diesen Gründen wird das VFK im MWN vorerst nicht eingesetzt. Eventuell wird es nochmals getestet, falls eine Konsolidierung beim Web-Interface erfolgt Reporting für Netzverantwortliche Die Institute im MWN haben mit den Switch-Reports für Netzverantwortliche über die WWW- Schnittstelle VistaPortal (http://vistaportal.lrz.de) zu InfoVista eine Übersicht über das Gerät und auch über die Port-Auslastung der Switche, an denen sie angeschlossen sind. Durch die Reports wird die Diensterbringung des LRZ transparenter, außerdem kann die Fehlersuche im Institut dadurch erleichtert werden. Die Reports können in HTML-, GIF-, PNG-, PDF-, Text- oder Excel-Format abgerufen werden. Zu den bereits in den Jahren instantiierten Reports für Netzverantwortliche kamen 2012 noch Reports für das Department für Geo- und Umweltwissenschaften und die Rechtsinformatik an der LMU hinzu. Die Überwachung des Verkehrsvolumens der Firmen im Garchinger Gründerzentrum GATE wurde eingestellt, weil kein Bedarf mehr dafür bestand. Um die Aktualität der hier bereitgestellten Daten sicherzustellen wurden alle konfigurierten Reports und Instanzen für Switche überprüft und falls notwendig korrigiert bzw. durch neue Reports und Switch Instanzen ersetzt. Beim Web-Interface VistaPortal selbst gab es 2012 keine Änderungen. Es wurde aber die Version 4.2 von VistaPortal (derzeit 4.0) in einer Testumgebung aufgesetzt, um speziell die Anbindung an LRZ-SIM zur Benutzer-Authentifizierung zu erproben Projekte im Bereich Netze Auch 2012 wurden die Projektarbeiten im Bereich Netze erfolgreich fortgesetzt. In den folgenden Abschnitten werden die aktuellen Arbeiten am D-Grid-Projekt GIDS, am CELTIC-BMBF-Projekt SASER, am Customer Network Management und im Rahmen des europäischen Forschungsnetzverbunds Géant beschrieben D-Grid GIDS Zur Sicherung der Nachhaltigkeit der deutschlandweiten Grid-Infrastruktur ist insbesondere der Bereich des Sicherheitsmanagements zu berücksichtigen. Das GIDS-Projekt hat die Entwicklung, Projektierung und Inbetriebnahme eines Grid-basierten, föderierten Intrusion Detection Systems (GIDS) sowie die Überführung des GIDS in den D-Grid-Produktionsbetrieb zum Ziel. Die Vision von GIDS ist es, einzelne Sicherheitssysteme, die von Ressourcenanbietern betrieben werden, zu kombinieren, um eine globale Sicht auf Sicherheitsvorfälle im Grid zu erhalten.

105 Jahresbericht 2012 des Leibniz-Rechenzentrums 97 Das Projekt, das zum begonnen und planmäßig zum abgeschlossen wurde, wurde als GAP-Projekt im Rahmen des D-Grids vom Bundesministerium für Bildung und Forschung gefördert. Die Projektlaufzeit betrug 36 Monate und wurde neben dem LRZ vom Regionalen Rechenzentrum für Niedersachsen (RRZN) und der DFN-CERT Services GmbH durchgeführt, mit den assoziierten Partnern Stonesoft GmbH und Fujitsu Technology Solutions GmbH, wobei die Konsortialführung beim LRZ lag. Details zur Problemstellung, zu den Zielen und den bisher abgeschlossenen Arbeitspaketen des Projektes sind in den Jahresberichten 2009, 2010 und 2011 zu finden. Im Projekt wurden im Jahr 2012 folgende Arbeitspakete bearbeitet, deren Ergebnisse nachfolgend näher beschrieben werden: Kalibrierung des GIDS in Bezug auf das D-Grid Umfeld Tragfähigkeitsnachweis / Tests der Leistungsfähigkeit Produktivführung des GIDS Kalibrierung des GIDS in Bezug auf das D-Grid Umfeld Die Aufgabe in diesem Arbeitspaket bestand darin, die Angriffserkennung an die im D-Grid vorherschenden Gegebenheiten anzupassen. Dafür wurden die bereits im LRZ betriebenen Regelsätze des netzbasierten IDS Snort um Grid-spezifische Programme und Protokolle erweitert (z.b. GSISSH statt SSH, GridFTP statt FTP). Diese Anpassung ist nötig, da die herkömmlichen Erkennungsmuster bei Gridspezifischen Programmen nicht mehr greifen, da beispielsweise durch Nutzung von GSISSH nicht der Standard-SSH-Port 22 verwendet wird. Diese Regelsätze wurden im praktischen Einsatz getestet, evaluiert und stetig verbessert, um die Erkennungsrate zu maximieren und die False-Positiv-Rate zu minimieren. Dabei hat sich gezeigt, dass die Erweiterung der Regelsätze in produktiven Umgebungen ohne Seiteneffekte durchgeführt werden konnte. Zusätzlich wurde mit der Integration von OSSEC in die GIDS- Sensorikstruktur eine Host-basierte Erkennung von Rootkits realisiert, die auf Gridknoten lauffähig ist Tragfähigkeitsnachweis / Tests der Leistungsfähigkeit In diesem Arbeitspaket bestand die Aufgabe darin, einen Nachweis für die Leistungsfähigkeit des GIDS- Systems zu erbringen, wobei neben dem Nachweis, dass die zu erwartende Grundlast für die Komponenten zu bewältigen ist, auch ein Nachweis für die Erkennungsleistung des Gesamtsystems zu führen war. Für die D-Grid-Ergebniskonferenz wurde von allen Projektpartnern die Realisierung einer vollständigen GIDS-Instanz durchgeführt, die mit Interaktion der Workshop-Teilnehmer auf dem dortigen GIDS- Workshop vorgestellt und nach und nach in Betrieb genommen wurde. Insbesondere für die Vorbereitung der Ergebniskonferenz wurden die mitgebrachten virtuellen Maschinen vom LRZ konfiguriert und die benötigte Hardware organisiert. In diesem Zuge wurde die vorhandene Dokumentation deutlich erweitert und präzisiert, um den Aufwand für die nötigen Schulungen und den Betrieb der Komponenten zu reduzieren. Insbesondere wurde eine detailierte Installationsanleitung erstellt, die auch in den Anhang von Meilenstein 36 (http://www.grid-ids.de/documents/gids_ms36.pdf ; Juni 2012) mit eingeflossen ist. Um die Erkennungsraten von GIDS reproduzierbar nachzuweisen, wurden in enger Kooperation mit den anderen Projektpartnern diverse Wurmausbreitungen wohlerforschter Wurminstanzen simuliert, unter anderem Scalper Code Red v2 Code Red II Dabei waren die Ziele die Bewertung der Qualität des kooperativen GIDS-Ansatzes und die empirische Beurteilung der Skalierbarkeit von GIDS. Ergebnis dieser Simulationen war, dass auch das Verarbeiten großer Datenmengen von der Infrastruktur ohne Probleme bewältigt wird. Die Leistungsfähigkeit wurde durch mehrere Lasttests mit künstlich erzeugten Events geprüft. Dadurch wurde zum einen die Leistungsfähigkeit der GIDS-Bus-Kommunikationsinfrastruktur gezeigt; zum anderen wurde nachgewiesen, dass zur Teilnahme an GIDS keine besonders leistungsfähige Hardware eingesetzt werden muss: Im Gegenteil wurde z.b. beim Hands-On-Workshop im Rahmen der Abschlusskonferenz gezeigt, dass eine einzige physische Maschine mehr als eine Handvoll virtuelle Maschinen hosten kann, die D-Grid-Ressourcen mit installierten GIDS-Sensoren und den weiteren GIDS-Komponenten betreiben.

106 98 Netzdienste für Institutionen Produktivführung des GIDS Neben der am RRZN, den am DFN-CERT vorhandenen Sensoriken und den aus der prototypischen Entwicklung noch vorhandenen Senoriken am LRZ sind nun mehrere Standorte produktiv mit dem GIDS verbunden. Die Meldungen, die innerhalb von GIDS ausgetauscht werden, können über das GIDS-Portal, das unter https://www.grid-ids.de/index.php?id=3 bzw. unter https://gidsportal.dfn-cert.de/ zur Verfügung steht, eingesehen werden. Es wurde während der Projektlaufzeit ein Konzept zum Betrieb und zur Pflege der GIDS-Komponenten über die Laufzeit von GIDS hinaus erarbeitet, das als Anhang zum Meilenstein 36 (http://www.gridids.de/documents/gids_ms36.pdf ; Juni 2012) veröffentlicht wurde. Weiterhin wurden innerhalb von diesem eine Anleitung zur Benutzung des Portals und eine Anleitung zum Anbinden einer administrativen Domäne an das GIDS fertiggestellt. Übergabe des Produktivsystems ans DFN-CERT. Dabei wurde die Portalsoftware, die während der Projektlaufzeit zu Entwicklungszwecken auf einem virtuellen Server am LRZ gehostet wurde, für die DFN- CERT-Infrastruktur angepasst und die Übertragung der nötigen Daten durchgeführt. Der Betrieb der Korrelationsinfrastruktur wird weiterhin über die Projektförderphase hinaus durch das LRZ aufrechterhalten SASER Das Verbundprojekt Safe and Secure European Routing (SASER-SIEGFRIED), das zum begonnen wurde, wird vom Bundesministerium für Bildung und Forschung gefördert. Die Projektlaufzeit beträgt 36 Monate und wird neben dem LRZ von der Nokia Siemens Networks Management International GmbH (NSN), von der Nokia Siemens Networks Optical GmbH, der Technischen Universität München, der Technischen Universität Berlin, der Fraunhofer Gesellschaft HHI, der Ruhr-Universität Bochum, dem Zuse Institut Berlin (ZIB), der Technischen Universität Braunschweig, der Universität Tübingen, der Universität Würzburg, der FH Potsdam (IxDS GmbH), dem Fraunhofer AISEC und der Technischen Universität Dortmund durchgeführt. Das Internet wurde zu einem unverzichtbaren Teil der Infrastruktur für die meisten Aspekte des täglichen Lebens und hat sich zu einer grundlegenden Infrastruktur für Europa entwickelt. Der ununterbrochene, zuverlässige und sichere Zugriff auf das Internet wird als ein Grundbedürfnis für alle Bürger und als ein signifikanter wirtschaftlicher Faktor gesehen. Der heutigen Infrastruktur Internet fehlen im aktuellen Zustand viele der Merkmale, die ein vertrauenswürdiges, sicheres und geschütztes Kommunikationsmedium in Verbindung gebracht werden. Die Anzahl der Angriffe auf Internet-verbundenen Systemen wachsen und die Angriffe werden im Laufe der Zeit immer technisch komplexer als in der Vergangenheit, so dass die Erkennung und Verhinderung von Schadensfällen immer schwerer ist. Mit der zunehmenden Anzahl von Anwendungen in sensiblen Bereichen, wie beispielsweise E-Government oder E-Commerce, gewinnen insbesondere die folgenden kritischen Fragen und Problemstellungen an Bedeutung: Sicherheit und Datenschutz, Service-Qualität und Zuverlässigkeit, sofortiger und geschützter Zugang zu Systemen und Diensten und Skalierbarkeit. Innerhalb des BMBF-geförderten CELTIC-Projekts SASER-SIEGFRIED werden von allen Projektpartnern in enger Zusammenarbeit Netz-Architekturen und Technologien für sichere zukünftige Netze entwickelt. Das Ziel ist es, Sicherheitslücken der heutigen IP-Schicht-Netze im Zeitrahmen bis etwa 2020 zu korrigieren. Zur Erreichung des Ziels werden die folgenden Aktivitäten durchgeführt: Zum einen wird die Datenübertragung so weit wie möglich in die tieferen Netzwerk-Layer (Physical Layer und Data Layer) zu verlagern, um die Notwendigkeit von IP-Routern zu reduzieren, die in der Vergangenheit als sicherheitskritisch aufgefallen sind. Dies kann erreicht werden, wenn Technologien wie beispielsweise die Netz-Virtualisierung und effiziente Redundanzkonzepte umgesetzt werden, die auf flexiblen und hoch verfügbaren optischen Systemen basiert realisiert werden. Zweitens werden Mechanismen der Sicherheit für zukünftige Netze entwickelt, die auf einer Analyse der verbleibenden Sicherheitsprobleme in der IP-Schicht (zum Beispiel Backdoor- und Anomalie-Detection) basieren. Im Jahr 2012 wurde das Teilprojekt TP-1 ( Komponentenkopplung an Netzmanagementsysteme ) durchgeführt, welches noch planmäßig in Arbeit ist. TP-1 umfasst die Abstimmung der zusätzlichen technischen Schnittstellen in Zusammenarbeit mit den anderen Projektpartnern, die Modellierung der neu zu verwaltenden sicherheitsspezifischen Informationen in einem auf die Aufgaben von Managementsyste-

107 Jahresbericht 2012 des Leibniz-Rechenzentrums 99 men abgestimmten Datenformat, die Festlegung der Kommunikation, die zum Auslesen und zum Schreiben über diese zusätzlichen Schnittstellen erforderlich ist, und eine Implementierung dieser Konzepte. Im Jahr 2012 lag der Schwerpunkt der Arbeiten auf Seiten des Monitoring, das heißt auf dem Auslesen sicherheitsrelevanter Kennzahlen aus aktiven Netzkomponenten durch Netzmanagementsysteme; die Rückrichtung, das heißt die Steuerung und Beeinflussung einzelner Netzkomponenten durch zentrale Netzmanagementsysteme, ist Gegenstand der weiteren Arbeiten. Bei der Analyse der möglichen technischen Schnittstellen zur Übertragung sicherheitsrelevanter Informationen zwischen Netzkomponenten und -managementsystemen wurde zunächst die Problematik identifiziert, dass sich eine allgemeinverbindliche Definition von Sicherheitskennzahlen (engl. meist als security metrics bezeichnet) bisher noch weder in der Praxis noch in wissenschaftlichen Abhandlungen hinreichend durchgesetzt hat. Die Ermittlung und Auswertung von Sicherheitskennzahlen ist für SASER- SIEGFRIED jedoch essentiell, da auf diesen basierend Routingentscheidungen getroffen werden sollen. Somit ist eine allgemeinverbindliche Definition von Sicherheitskennzahlen für die weiteren Schritte in diesem Teilprojekt nötig, da sowohl die Modellierung der Informationen als auch die Implementierung von der Definition dieser abhängen. Um Sicherheitskennzahlen unter Berücksichtigung des State-of-the-Art exakt definieren zu können, wurde im Jahr 2012 eingangs eine breite Literaturrecherche durchgeführt, deren Ziel es war, die aktuellen wissenschaftlichen Arbeiten und praktischen Umsetzungen zu diesem Thema zusammenzusuchen und zu bewerten. Dabei wurden in einem ersten Schritt die Zielsetzungen und Herausforderungen beim Einsatz von Sicherheitskennzahlen herausgestellt; dabei wurde gezeigt, dass einige weit verbreitete sog. Sicherheitsmetriken die mathematischen Grundanforderungen an Metriken, insbesondere die Dreiecksungleichung, nicht erfüllen, so dass der unmittelbare Einbezug derart quantifizierter Sicherheitseigenschaften zum Beispiel in Routingprotokollen zwangsweise zu verfälschten Ergebnissen führen würde. Auf dieser Basis wurden Kriterien erstellt, die Sicherheitskennzahlen erfüllen müssen, um im Rahmen von SASER- SIEGFRIED eingesetzt werden zu können. Neben der Spezifikation eines automatisierenden Messverfahrens zur regelmäßigen Akquisition der Sicherheitskennzahlen wurde damit begonnen, eine Reihe von Sicherheitskennzahlen zu definieren, die projektweit zur Diskussion gestellt werden sollen. Die Koordination mit den Projektpartnern in diesem Bereich ist etwas verzögert, da das SASER-Gesamtarchitektur-Referenzmodell, in das auch die Sicherheitskennzahlen eingebettet werden müssen, erst später als erwartet zur Verfügung stand. Ein Teilziel von TP-1 besteht darin, aus den entwickelten Sicherheitskennzahlen auch einige sog. Security Key Performance Indicators (SKPIs) auszuwählen, die bei der weiteren Konzeption projektpartner-übergreifend immer berücksichtigt werden sollen. Zudem ist noch abzustimmen, wie die in anderen Teilprojektenvon SASER-SIEGFRIED ermittelten Ergebnisse quantitativ in den Netzmanagementsystemen ausgewertet werden sollen. Weiterhin wurde eine Zusammenarbeit mit der Fachhochschule Potsdam (IxDS GmbH) angestoßen. Die Fachhochschule Potsdam ist innerhalb von SASER-SIEGFRIED für das Design und graphische Interface einer Benutzeroberfläche zur Angriffserkennung beteiligt. Das LRZ stand im Rahmen von Interviews und Ideenaustausch auf Basis der langjährigen betrieblichen Erfahrung im Netzmanagement und dem Betrieb großer Netze beratend zur Seite. Auf dieser Basis wurde auch eine im Jahr 2012 noch nicht abgeschlossene Diskussion mit der Universität Würzburg und NSN angestoßen, in der es um die Wahl des Protokolls zum Ansteuern des Netzmanagements geht. Da die zu entwickelnde Lösung auf Software defined networking (SDN) basieren soll, wird voraussichtlich OpenFlow das Mittel der Wahl sein; für Legacy- Umgebungen, in denen unsere Prototypen evaluiert werden sollen, ist jedoch auch das langjährig bewährte SNMP (Simple Network Management Protocol) zu unterstützen. Die vom zum Netzmanagement eingesetzten Protokoll unabhängige Integration in die Control Plane der Netzkomponenten wird parallel dazu mit den Projektpartnern diskutiert Customer Network Management (CNM) Das Customer Network Management (CNM) wurde ursprünglich für das MWN (Münchner Wissenschaftsnetz) entwickelt, dann innerhalb mehrerer DFN-Projekte für das B-WiN, G-WiN und schließlich das X-WiN erweitert. Customer Network Management (CNM) bezeichnet allgemein die kontrollierte Weitergabe von Managementinformationen durch den Anbieter eines Kommunikationsdienstes an die Dienstnehmer sowie

108 100 Netzdienste für Institutionen das Bereitstellen von Interaktionsschnittstellen zwischen Dienstnehmer und Diensterbringer. CNM ermöglicht es den Dienstnehmern, sich über den Zustand und die Qualität der abonnierten Dienste zu informieren und diese in eingeschränktem Maße selbst zu managen. CNM trägt dem Paradigmenwechsel vom komponentenorientierten zum dienstorientierten Management dadurch Rechnung, dass nicht mehr ausschließlich Low-level-Daten - wie z.b. Management Information Base (MIB)-Variablen der Komponenten - betrachtet werden, sondern kundenorientiert aufbereiteten Informationen über die Einhaltung der vertraglich ausgehandelten Dienstvereinbarungen. Die CNM-Anwendung für das X-WiN ist unterteilt in die zwei Anwendungen Topologie und Datenvolumen: Die CNM-Anwendung Topologie dient der Visualisierung der X-WiN-Topologie/des Zustands der IP-Infrastruktur (siehe Abbildung 54). Abbildung 54 Die CNM-Anwendung "Topologie" Anhand dieser Anwendung wird den DFN-Kunden (Anwendern) ein Überblick über den aktuellen und historischen Zustand und Qualität der IP-Infrastruktur gegeben. Für jede im X-WiN bestehende Verbindung werden Bandbreite, Auslastung und Durchsatz graphisch dargestellt; für jeden Knoten (Router) die Rate der weitergeleiteten Pakete. Auf der Netzebene gibt es derzeit 57 Standorte, die jeweils einen Router enthalten. Diese Router sind direkt mit den Kundeninfrastrukturen verbunden und enthalten auch verschiedene Verbindungen zu kommerziellen Netzbetreibern sowie dem europäischen Wissenschaftsnetz Géant. Die mit hierarchischen Karten arbeitende Anwendung wurde im April 2004 für alle X-WiN-Anwender freigegeben und ist seitdem im Betrieb. Die Topologie-Anwendung gibt es zusätzlich auch für das MWN und für Géant, jeweils als getrennte CNM-Server-Instanzen laufend. Die CNM-Anwendung Datenvolumen dient der Bereitstellung von dienstorientierten IP- Interfacestatistiken für die DFN-Anwender. Die DFN-Anwender können mit Hilfe der CNM-Anwendung Datenvolumen die Verkehrsvolumina, die sie aus dem X-WiN empfangen bzw. gesendet haben, abrufen. Für jeden bestellten IP- Dienst wird für den Anwender ein eigenes CNM-Auswahlfenster für IP-Interfacestatistiken bereitgestellt. Es werden Tages-, Wochen-, Monats- und Jahresstatistiken bereitgestellt.

109 Jahresbericht 2012 des Leibniz-Rechenzentrums 101 Bei der CNM-Anwendung handelt es sich um eine verteilte Client/Server-Architektur. Der Client ist als Java-Applet erhältlich. Der Server ist in C++ implementiert. Der Server bedient sich einer XML- Datenbank, GIS2 (Globale X-WiN-Informationssystem), die alle X-WiN-Kunden/Dienst-Daten verwaltet. Als Kommunikationsmiddleware sowohl zwischen dem Client und dem Server als auch zwischen dem Server und GIS2 dient CORBA. Da am LRZ alle Server nach Möglichkeit als virtuelle Server in der VMware-Infrastruktur laufen sollen und diese unter der vorherigen Sparc-Solaris Architektur mit VMware nicht virtualisiert werden konnten, wurde eine Portierung des CNM-Systems auf Linux-x86 gewünscht wurde bereits ein Portierungsplan erstellt für die schrittweise Portierung des kompletten CNM von Sparc-Solaris mit dem kommerziellen CORBA ORB auf Linux-x86 mit einem auszuwählenden frei verfügbaren ORB. Die 2012 auf Intel x86-linux portierte CNM-Architektur wurde seit Anfang des Jahres vom DFN und von den Anwendern pilotiert. Durch kontinuierliche Verbesserungen konnte die Architektur im Juli 2012 vollständig umgeschaltet werden Projekte im Rahmen von Géant Das LRZ ist im GN3-Projekt des europäischen Forschungsnetzverbunds Géant an zwei Tasks der Service Activity 2 beteiligt, in denen drei Software-Werkzeuge für das länderübergreifende Netzmanagement erarbeitet werden. Neben der Implementierung von WebCNM umfasst dies das Design des Planungswerkzeugs I-SHARe und die Entwicklung des End-to-End-Link-Monitoringwerkzeugs E2EMon Géant-Visualisierungswerkzeuge und Performance Monitoring Das bereits aus dem MWN und X-WiN bekannte CNM wird seit 2004 im europäischen Forschungsumfeld als Visualisierungswerkzeug eingesetzt, im Géant2-Projekt von 2004 bis 2009 und in dessen Nachfolger Géant3 seit 04/2009. Mit der CNM-Anwendung Topologie werden die Topologie und aktuelle bzw. historische Kennzahlen vom Géant-Kernnetz sowie einigen der 34 angeschlossenen nationalen Forschungsnetze in hierarchischen Netzkarten visualisiert. Auf Basis des im MWN prototypisch entwickelten WebCNM und der LHCOPN-Wetterkarte, wurde 2011 mit der Entwicklung eines allgemeinen WebCNM-Konzepts begonnen (siehe LRZ-Jahresbericht 2011). Das Ziel dabei war eine flexible, integrierbare, anpassbare Web-Anwendung, die die vollständige Funktionalität der bisherigen JavaWebStart-Applikation und darüber hinausgehende Features bietet. Das CGI- Backend, das auf dem CNM-Server läuft und den Zugriff auf Topologie- und Metrikdaten mit Autorisierung bereitstellt, ist in Perl geschrieben. Das Front-End ist in Java-GWT programmiert und wird mittels Java GWT-Compiler in eine JavaScript-Webseite übersetzt wurden weitere Funktionen hinzugefügt und die Anwendung verbessert. Beispielsweise wurde die Statistikgraphenfunktionalität entwickelt, das GUI flexibler und generischer gestaltet sowie diverse spezielle Karten und Datenquellen angebunden.

110 102 Netzdienste für Institutionen Abbildung 55 Darstellung der perfsonar BUOY OWAMP Daten in WebCNM Abbildung 55 zeigt perfsonar BUOY OWAMP Daten, die 2012 in WebCNM angebunden wurden. Abbildung 56 Management-Interface Ferner wurde mit der Implementierung des Management-Interfaces (siehe Abbildung 56) begonnen, um WebCNM per Web-Interface zu konfigurieren. Neu eingebaute graphdateibasierte Karten können online editiert werden (siehe Abbildung 57). Zusätzlich wurden die interne Hilfe und Tooltips testweise implementiert.

111 Jahresbericht 2012 des Leibniz-Rechenzentrums 103 Abbildung 57 Editiermöglichkeit der graphdateibasierten Karten Für weitere Informationen zum Géant-Projekt siehe Projekte im Rahmen von Geant3 Auch 2012 wurden die beiden GN3-Teilprojekt I-SHARe und E2EMon bearbeitet; die aktuellen Projektergebnisse werden nachfolgend dargelegt I-SHARe Beim Betrieb von Netzdiensten, die die Zusammenarbeit mehrerer unabhängiger Provider erfordern, ergeben sich neuartige Herausforderungen, die von etablierten IT Service Management Frameworks nicht adressiert werden. In GN3 werden diese insbesondere im Zusammenhang mit den Ende-zu-Ende- Verbindungen deutlich, bei denen es sich um dedizierte optische Multi-Gigabit Verbindungen - i.a. jeweils über mehrere heterogene optische Netze - handelt. Die Arbeitsabläufe für die Einrichtung und den Betrieb dieser Verbindungen erfordern ein koordiniertes Vorgehen der beteiligten nationalen Wissenschaftsnetze. Das Ziel der GN-Aktivität I-SHARe ist die Tool-Unterstützung der Multi-Domain-Betriebsprozesse, die alle Phasen des Lebenszyklus von E2E Links abdecken. Der Fokus liegt dabei auf dem erforderlichen Informationsaustausch, der von der Planung einer neuen E2E Link Instanz über deren Betrieb bis hin zu ihrer Abbestellung notwendig ist. Die Aktivität wurde Mitte 2007 mit einer umfangreichen, fundierten Anforderungsanalyse gestartet. Details dazu können im Jahresbericht 2008 nachgelesen werden. Ergebnis dieser Analyse war die Spezifikation und Entwicklung eines Prototyps, der Anfang 2009 im Rahmen eines Piloteinsatzes durch das Betriebspersonal evaluiert wurde. Die Anmerkungen und Wünsche wurden vom I-SHARe-Team erfasst und bildeten die Grundlage für eine Anpassung der Anforderungen. Mitte bis Ende 2009 floss die mit dem Prototyp gesammelte Erfahrung in die Erstellung einer Spezifikation für die Entwicklung einer ersten produktiven Version des I-SHARe Tools ein. Diese Entwicklung wurde Mitte 2010 abgeschlossen, woraufhin eine fundierte und detaillierte Qualitätssicherungsphase folgte, die auf Basis der Spezifikation durchgeführt wurde. Nach erfolgreichem Test konnte das Release für die Pilotphase freigegeben werden. Während der letzten Vorbereitungen für die Pilotphase wurde I-SHARe allen beteiligten und interessierten Partnern auf der TERENA-Konferenz vorgestellt. Die Pilotphase wurde dann mit einer Benutzerschulung eingeleitet, die federführend vom LRZ vorbereitet und durchgeführt wurde. I-SHARe wird derzeit von mehreren NRENs für die Planung neuer End-to-End Links genutzt (siehe Abbildung 58).

112 104 Netzdienste für Institutionen Abbildung 58 I-SHARe Das ISHARe-Team am LRZ bereitet derzeit die Integration der Anwendung in ein standardisiertes Netzmanagement-Framework vor, wie es die GEANT Network Management Architecture (NMA) vorsieht. Dazu wurden die in I-SHARe implementierten Prozesse 2012 als etom-konformes Geschäftsprozess- Modell abgebildet und somit die Voraussetzung für die Zusammenführung mit verwandten Netzwerkmanagement-Anwendungen geschaffen E2E-Link und Dynamisches Circuit-Monitoring mit CMon Neben klassischen IP-Verbindungen können im Rahmen des Géant-Verbundes auch End-to-End (E2E) Links statisch sowie dynamisch eingerichtet werden. Das LRZ arbeitet seit Jahren aktiv in Projektteilen mit, die Konzepte, Verfahren und Tools zum Management dieser Ende-zu-Ende Links bereitzustellen. Ein wesentlicher Bestandteil dieses Projekts ist das E2E Link Monitoring System (E2Emon), das unter Federführung des LRZ konzipiert und entwickelt wurde. Nach jahrelang erfolgreichem Betrieb des E2Emon- Systems im Projekt werden nun neue Anforderungen aufgenommen und das System wird in einer neuen Projektphase unter der Projektname CMon (Circuit Monitoring) weiter entwickelt. Das CMon-System soll dazu in der Lage sein, nicht nur statisch eingerichtete Links, sondern auch dynamisch angelegte Verbindungen zu überwachen. Verglichen mit statischen Links haben die dynamisch eingerichteten Links i.a. kürzere Lebensdauer und sind mit häufigen Veränderungen verbunden. Deshalb ist es notwendig, für das zukünftige CMon-System diese Dynamik eines Links bei Monitoring zu berücksichtigen. Da das Einrichten dynamischer Verbindungen in Géant durch AutoBAHN (Automated Bandwidth Allocation across Heterogeneous Networks) realisiert wird, ist eine Kooperation auf Systemebene zwischen CMon und AutoBAHN vorgesehen.

113 Jahresbericht 2012 des Leibniz-Rechenzentrums 105 Abbildung 59 Hauptanwendungsfall des CMon-Systems als UML Use Case Abbildung 59 zeigt den primären Use Case von CMon. Design und Entwicklung des Systems werden in einer Kooperation zwischen LRZ und NORDUNET durchgeführt, wobei das LRZ die federführende Rolle übernimmt. Ein Prototyp ist in der Endphase der Entwicklung und wird bereits für Tests eingesetzt. Das betriebsbereite System wird in der nachfolgenden Projektphase Géant 3+ entwickelt werden und letztendlich das bisjetzige E2Emon ablösen.

114 106 Netzdienste für Endanwender 7 Netzdienste für Endanwender Für die Endanwender (Studenten und Mitarbeiter der verschiedenen Institutionen) steht der Zugang zum MWN und damit zum Internet im Vordergrund. Die Netzdienste richten sich nach diesen Anforderungen aus. Im Jahr 2012 hat die Zahl der Endanwender weiter zugenommen. Insbesondere die mobile Nutzung von Netzdiensten zeichnete sich durch exteme Wachstumsraten aus. Dies wirkt sich insbesondere auf WLAN und Eduroam aus (vgl. Kap. 7.2). Um einen sicheren Zugang ins MWN über unsichere Netze zu ermöglichen, betreibt das LRZ VPN-Dienste die im Kap. 7.3 beschrieben werden. 7.1 Internetzugang und LAN Der Zugang zum weltweiten Internet wird über das Deutsche Wissenschaftsnetz (WiN) realisiert. Im Jahr 2012 war das MWN technisch mit einem Trunk aus zwei 10 Gbit/s-Schnittstellen am WiN angeschlossen. Dieser Zugang wird vom DFN auf eine Bandbreite von 11 Gbit/s (zweimal 5,5 Gbit/s) beschränkt. Derzeit ist ein zweistufiges Ausfallkonzept mit Backups für den Internetzugang umgesetzt (s.u). Die monatliche Nutzung (übertragene Datenmenge) des WiN-Anschlusses seit Januar 2000 zeigt Abbildung 60. Die Datenmenge pro Monat nähert sich einem Petabyte. Abbildung 60 Entwicklung der Nutzung des WiN-Anschlusses des Münchner Wissenschaftsnetzes Die Steigerungsraten - bezogen auf die jeweils im Vorjahr transportierte Datenmenge - sind in Abbildung 61 graphisch dargestellt. Seit dem Jahr 2000 hat die Datenmenge auf die 100-fache Menge zugenommen

115 Jahresbericht 2012 des Leibniz-Rechenzentrums 107 Abbildung 61 Steigerungsraten beim übertragenen Datenvolumen Seit September 2003 ist der X-WiN-Anschluss vertragstechnisch ein so genannter Clusteranschluss, bei dem die vom MWN versorgten teilnehmenden Institutionen als eigenständige Partner mit eigenem Tarif bezogen auf den eingehenden Datenverkehr aufgefasst werden. Zu diesem Zweck wurden die laufenden Messungen kumuliert, um eine Verteilung des Datenverkehrs zu bekommen. Die prozentuale Verteilung des Datenvolumens am WiN-Zugang (Messzeitraum Dezember 2012) zeigt Tabelle 12: Institution Total Bytes % LRZ und BAdW 75,6% TUM 6,3% LMU 5,6% Hochschule München 0,9% Sonstige 11,4% Hochschule Weihenstephan 0,1% Gate 0,1% Tabelle 12: Prozentuale Verteilung des Datenverkehrs am WiN-Zugang Die prozentuale Verteilung des gesamten Verkehrs gegenüber den Werten des Vorjahres hat beim LRZ um 5% zugenommen abgenommen. In etwa im gleichen Verhältnis hat der Verkehr bei LMU und TUM abgenommen. Die technische Realisierung der Anbindung des MWN an das Internet zeigt Abbildung 62. Der Standardzugang zum Internet ist über das vom DFN betriebene Wissenschaftsnetz (WiN) realisiert. Der WiN-Anschluss des LRZ erfolgt über das IPP (Max-Planck-Institut für Plasmaphysik) in Garching mit einer Anschlußbanbreite von 11 Gbit/s. Dort wurde vom DFN der zugehörige WiN-Kernnetz-Router installiert. Im Jahr 2011 wurde die beiden Glasfasern zum X-WiN Router zu einem Trunk zusammengefasst. Damit ließ sich eine höhere Bandbreite (2 x 5,5 Gbit/s) realisieren. Derzeit ist ein zweistufiges Ausfallkonzept für den Internetzugang umgesetzt. 1. Falls eine Glasfaser zwischen dem LRZ-Router und IPP oder eines der entsprechenden Interfaces an den beiden Routern ausfallen sollte, funktioniert der Trunk zwischen Maschinenwesen und IPP weiterhin, allerdings nur mit halber Bandbreite.

116 108 Netzdienste für Endanwender Abbildung 62 Anbindung des MWN ans Internet 2. Sollten beide Leitungen oder aber der Kernnetzrouter des DFN oder der Router des LRZ in Garching ausfallen, wird ohne merkliche Unterbrechungen für den Benutzer auf eine über M-net realisierte Backup-Verbindung umgeschaltet. Die Backup-Verbindung zum Internet wird über eine LWL-Strecke mit 1 Gbit/s zum nächsten Anschlusspunkt von M-net geführt. Die LWL-Strecke kostet einen monatlichen Grundbetrag, das Datenvolumen wird nach Verbrauch berechnet. Die Backup-Konzepte funktionieren für alle Systeme mit Provider-unabhängigen IP-Adressen (Standardfall im MWN). Das LRZ-Netz kann nämlich mit einem Großteil seiner IP-Adressen als autonomes System im Internet agieren. Einige Standorte (Rechts der Isar, Hochschule München, Beschleunigerlabor, Zoologische Staaatsammlung, kath. Stiftungsfachhochschule) bzw. Systeme (Bibliotheksverbund Bayern), die aus historischen Gründen noch providerabhängig IP-Adressen (i.d.r. vom DFN vergeben) verwenden, können die Backup-Strecken nicht nutzen. Im Jahr 2012 wurde die Backup-Strecke in 12 Fällen aktiv. In der Regel handelte es sich dabei um sehr kleine Störungen (z.b. im Routing oder bei IPv6) und der Backup war nur für wenige Minuten aktiv. Am und am kam es Probleme mit dem DFN-Router im X-WiN. Bei diesen Vorfällen, wäre es ohne den Backup zu einer Unterbrechung der Internet-Konnektivität gekommen. 7.2 WLAN und Eduroam Das LRZ versorgt primär öffentliche Bereiche (Seminarräume, Hörsäle, Bibliotheken, Foyers, Uni- Lounges) mit Wireless LAN, eine Flächendeckung für Bürobereiche kann bis auf weiteres nicht realisiert werden. Trotzdem sind Ende 2012 bereits Accesspoints in Betrieb. Im Berichtsjahr 2012 wurden mit 312 noch mehr Accesspoints als 2011 installiert Abbildung 63 Anzahl der jährlich installierten Accesspoints

117 Jahresbericht 2012 des Leibniz-Rechenzentrums 109 Die Nutzung stieg rasant an, insbesondere bedingt durch die stark zunehmende Anzahl von Smartphones und Tablets. Die im letzten Jahr gemessene Zahl von gleichzeitigen Verbindungen stieg 2012 auf maximal an, insgesamt wurden dabei über verschiedene Geräte beobachtet. Sehr nachgefragt wurde das WLAN auch bei 348 Kongressen und Tagungen innerhalb des Jahres Abbildung 64 Anzahl aktiver WLAN-Verbindungen am (5-Minuten-Mittel) Abbildung 65 Entwicklung der Belegung über das Jahr 2012 (Tagesmittel) In den Bildern zeigt der blaue bzw. dunklere Bereich den Anteil von Verbindungen mit IEEE g (54 Mbit/s). Die am stärksten frequentierten Accesspoints waren mit bis zu 234 gleichzeitigen Verbindungen belegt. Ältere hoch belastete Accesspoints wurden durch die aktuellste Geräte-Generation ersetzt. Als Zugangskomponenten werden Accesspoints der Typen MSM310, MSM320, MSM422, MSM460 und MSM466 der Firma HP eingesetzt. Bei den ab 2011 eingesetzten MSM460 und MSM466 werden Datenraten bis zu 450 Mbit/s (IEEE802.11n) unterstützt. Bei geschickter Wahl der Frequenzen und Verzicht auf die Unterstützung des veralteten Standards b kann diese Übertragungsgeschwindigkeit auch im 2,4 GHz-Band erreicht werden. Aus diesem Grund wurde b auf allen Accesspoints abgeschaltet. Durch den Anstieg der Benutzerzahlen wurden die Adressen für die verschiedenen SSIDs an manchen Router-Standorten knapp. Bei einer einfachen Vergrößerung des Adressbereichs wären dabei die Broadcast-Domains so groß geworden, dass die Teilnetze keinen guten Durchsatz mehr geboten hätten. Deshalb wurde bereits 2011 damit begonnen, für jede SSID/Router mehrere Teilnetze einzurichten. Wegen der Roaming-Problematik (gleiche SSID über unterschiedliche Accesspoints) kann die Netz- Zuordnung dabei nicht automatisch erfolgen, durch den hohen Konfigurationsaufwand wird die Umstellung erst im Laufe des Jahres 2013 abgeschlossen werden.

118 110 Netzdienste für Endanwender Im Laufe des Jahre 2012 wurden folgende Bereiche neu mit WLAN ausgestattet: Hochschule Weihenstephan-Triesdorf, 3 neue Gebäude HM Dachauer Str. 100b, Bau T LMU Garching, Laserhalle LMU Leopoldstraße 13a, Mensa Musikhochschule, Wilhelmstr. 19 Studentenstadt Freimann, Christoph-Probst-Str. 10 TUM Arcisstr. 19 TUM Augustenstr. 44 TUM Gabelsberger Str. 43 TUM Garching Hochschulreferat 6, Geb TUM Garching Physikdepartment Containerbau TUM Ingolstadt, Marie-Curie-Str. 8 TUM Nordgelände N6, Bauingenieur und Vermessungswesen TUM Stammgelände Elektrische Antriebssysteme TUM Stammgelände Elektrotechnik und Informationstechnik TUM Stammgelände Gebäude 0505 TUM Stammgelände Holzbau TUM Stammgelände Informatik 6 TUM Stammgelände Ingenieurgeologie TUM Stammgelände IT-Service-Zentrum TUM Stammgelände Zentrale Verwaltung TUM Weihenstephan Alte Akademie, Geb TUM Weihenstephan Gebäude 4309 TUM Weihenstephan Verwaltung, Geb TUM ZHS Ausweichquartier Campus C Die nachfolgenden Bereiche sind weggefallen bzw. werden nicht mehr vom LRZ betreut: Hochschule für Fernsehen und Film (Altbau) Pinakotheken Freifläche Nord TUM Nymphenburger Str. 39 TUM Versuchsgut Grünschwaige TUM Weihenstephan Altes Molkereigebäude WLAN-Ausbau im Gebäude der Fakultät Maschinenwesen Die Studienbeitragskommission der Fakultät Maschinenwesen der TU München hat knapp Euro für die Verbesserung der WLAN-Versorgung bereitgestellt. Gemeinsam mit dem LRZ wurde ein entsprechendes Konzept erarbeitet und in sehr kurzer Zeit auch umgesetzt. Da die Zahl der Studierenden und der mobilen Geräte stark gestiegen ist, reichte sowohl die Bandbreite der bestehenden WLAN-Accesspoints als auch die Zahl der gleichzeitig unterstützten Nutzer pro Accesspoint im Gebäude der Fakultät Maschinenwesen in Garching nicht mehr aus. In einem ersten Schritt wurden deshalb in allen öffentlichen Bereichen die bestehenden Accesspoints durch neueste Modelle mit einer Bandbreite von bis zu 450 Mbit/s ersetzt. In den Hörsälen, in denen die Anzahl gleichzeitiger Nutzer naturgemäß noch höher ist, wurden zusätzliche Accesspoints zur Verstärkung installiert. Insgesamt wurden im Rahmen dieser Maßnahme 67 Accesspoints verbaut.

119 Jahresbericht 2012 des Leibniz-Rechenzentrums 111 Damit sich alle Nutzer mit ihren Geräten auch weiterhin anmelden können und ihr Gerät eine Adresse zugewiesen bekommt, mussten außerdem zusätzliche Netze zur Verfügung gestellt werden. Da die Switches in den Gebäudehauptverteilern nur eine begrenzte Anzahl verschiedener Netze unterstützen, wurden in den acht Gebäudehauptverteilern die Zentralswitches erneuert. Aus Brandschutzgründen dürfen in der Magistrale des Maschinenwesens keine zusätzlichen Accesspoints installiert werden, daher ist die Versorgung dort noch nicht optimal. Das LRZ hat jedoch, in enger Abstimmung mit dem zuständigen Bauamt, eine Lösung erarbeitet, die nur passive Antennen im Fluchtwegbereich vorsieht. Wegen aufwändiger Leitungsinstallationen ist die Umsetzung aber erst 2013 möglich. Der Zeitplan für das Projekt war sehr ambitioniert. Die Mittel wurden Mitte Februar bewilligt, die Arbeiten konnten komplett in der vorlesungsfreien Zeit bis zum 15. April abgewickelt werden. Dies war auch nur deshalb möglich, weil neben den verantwortlichen Mitarbeitern drei Auszubildende maßgeblich für das Projekt gearbeitet haben. Einer von ihnen entwickelte auch seine praktische Abschlussarbeit aus dem Projekt WLAN-Auswahl Zur Überprüfung der für das MWN optimalen WLAN-Lösung wurde von Juni bis Oktober 2012 eine ausführliche Auswahl von in Frage kommenden Produkten durchgeführt. Nach einer Marktuntersuchung wurde 15 Herstellern eine 50 Fragen umfassende Anforderungsliste zugesandt, welche von 11 Firmen beantwortet wurde. Die essentiellen Kernanforderungen konnten nur von Aruba, Cisco und Hewlett Packard erfüllt werden. Von August bis Oktober wurden die Lösungen von Aruba und Cisco durch Testinstallationen ausführlich geprüft, die Lösung von HP war durch den produktiven Einsatz bereits bekannt. Aufgrund der vorgelegten Angebote und der Testergebnisse wurde entschieden, dass für den künftigen Ausbau des WLANs im MWN die Lösung von Aruba eingesetzt werden soll. Nur Aruba bietet beim Einsatz von Controllern die notwendige Flexibilität, eine Weiterführung bzw. sanfte Migration der eingeführten Prozesse beim Betrieb des WLANs im MWN zu ermöglichen Eduroam Das LRZ nimmt seit Anfang 2005 am Eduroam (früher DFN-Roaming) teil. Damit ist es Wissenschaftlern möglich, mittels einer vorhandenen Kennung ihrer Heimat-Hochschule einen einfachen Zugang ins Internet zu erhalten, wenn sie sich im Bereich des MWN aufhalten. Als Zugangspunkte dienen die vorhandenen WLAN-Accesspoints. Die SSID eduroam wird auf fast allen Accesspoints im MWN zur Verfügung gestellt. Nur an zwei Standorten mit je einem Accesspoint, die über DSL-Leitungen angeschlossen sind, ist es aus technischen Gründen nicht möglich, Eduroam anzubieten. Die frühere SSID 802.1X wurde 2012 abgeschaltet. Da einige Clients Probleme haben, wenn eine SSID sowohl im 2.4GHz-Band als auch im 5GHz-Band angeboten wird und dann ständig zwischen beiden Bändern wechseln, wurde eine spezielle SSID eduroam-a eingeführt, die dann von solchen Clients verwendet werden kann. Abbildung 66 Benutzungs-Statistik für die SSID eduroam

120 112 Netzdienste für Endanwender Da die SSID eduroam als Standard-SSID für die Nutzung im MWN angeboten wird, sind die Benutzer- Zahlen sehr stark gestiegen. Aus diesem Grund wurde noch im Jahre 2012 mit der Implementierung der SSID eduroam-ipv6only begonnen. Verbindungen zu dieser SSID bekommen keine offizielle IPv4- Adresse mehr, sondern arbeiten nur mit IPv Unterstützung von Veranstaltungen Das LRZ richtet für Veranstaltungen im Münchner Wissenschaftsnetz (MWN) bei Bedarf ein spezielles Netz ein, welches die Tagungsteilnehmer ohne besondere Authentifizierung nutzen können. Hierbei wird davon ausgegangen, dass die Nutzer dieses Netzes nicht immer aus dem Wissenschaftbereich stammen, sondern auch Mitarbeiter von Firmen und anderer Organisationen Netzdienste ohne spezielle Vorkehrungen (ohne VPN-Client-Installation, ohne Validierung) nutzen wollen. Eine Anmeldung und die bei frei zugänglichen Netzanschlüssen ansonsten obligatorische Verwendung eines VPN-Zugangs werden hier nicht gefordert. Diese "offene" Konfiguration bleibt auf den Zeitraum und den Ort der Veranstaltung begrenzt. Der Zugang ist drahtlos (WLAN nach IEEE a/g/n) möglich. Nur in Ausnahmefällen werden feste Netzanschlussdosen (100 Mbit/s oder 1 Gbit/s LAN) zur Verfügung gestellt. Für Geräte, die keine eingebaute Funkschnittstelle haben, werden vom LRZ Wireless-Client-Bridges (WCB) bereitgestellt. Die Realisierbarkeit des Dienstes hängt aber von der vorhandenen Infrastruktur ab, nicht in allen Gebäuden und Räumen sind die Voraussetzungen erfüllt. Allerdings ist dies meistens der Fall. Der Netzname (SSID) ist dabei con. Es wird keine Verschlüsselung verwendet, um Probleme mit der Weitergabe und Einstellung der Schlüssel zu vermeiden. Für länger dauernde Kurse oder auf Wunsch des Veranstalters werden aber auch verschlüsselte Netze eingerichtet. Mitarbeiter von wissenschaftlichen Einrichtungen, die am Eduroam teilnehmen, kommen mit diesem Netz aber nicht in Berührung, da sich deren Geräte automatisch mit der SSID eduroam verbinden wurden 348 Veranstaltungen (+44 gegenüber dem Vorjahr) unterstützt. Auch im Jahr 2012 wurden für die Unterstützung der Konferenzen teilweise schon vorhandene Accesspoints gegen neuere ausgetauscht, um den erhöhten Bedarf abdecken zu können. Damit können Konferenz-Teilnehmer mit neueren Laptops Transfer-Raten bis zu 450Mbit/s erreichen und geben dadurch den Funkkanal schneller wieder für andere Teilnehmer frei. Außerdem wurden öfters Accesspoints anlässlich einer Veranstaltung neu aufgebaut, die ansonsten erst zu einem späteren Zeitpunkt eingerichtet worden wären. Eine Verteilung der Konferenzen auf die einzelnen Monate zeigt die folgende Statistik. Erwartungsgemäß werden die Hörsäle vor allem in vorlesungsfreien Zeiten für Konferenzen genutzt. Abbildung 67 WLAN-Freischaltungen für Veranstaltungen 2012 Betrachtet man die Anzahl der freigeschalteten Accesspoints multipliziert mit der Anzahl der Tage (AP- Tage), dann ergibt sich die folgende Verteilung auf die einzelnen Institutionen:

121 Jahresbericht 2012 des Leibniz-Rechenzentrums 113 TUM LMU HM BadW LRZ Sonstige Gesamt VPN Im MWN werden Virtual-Private-Networks in folgenden Szenarien eingesetzt: Zugang über vom LRZ betreute WLANs. Zugang über öffentliche Anschlussdosen für mobile Rechner. Zugang zu internen MWN-Diensten (z.b. Online-Zeitschriftenangebot der Universitätsbibliotheken) für Bewohner von Studentenwohnheimen. Zugang zu internen MWN-Diensten über das Internet Technik Die VPN-Hardware besteht aus zwei Appliances vom Typ Adaptive Security Appliance ASA5585-X, vier Appliances vom Typ Adaptive Security Appliance ASA5540 und einer Appliance vom Typ VPN- Concentrator 3030 der Firma Cisco. Der VPN-Concentrator 3030 dient für die Anbindung von einigen externen Einrichtungen außerhalb des MWN über IPsec LAN-to-LAN Tunnel. Die vier der sechs ASA- Appliances sind zu einem VPN-Cluster zusammengefasst, zwei werden für Tests und für Beta-Software verwendet. Dieser VPN-Cluster wird von IPsec-Clients unter der Adresse ipsec.lrz.de, von SSL-VPN- Clients unter der Adresse asa-cluster.lrz.de angesprochen. Die Nutzer werden beim Anmelden mit der am geringsten ausgelasteten Appliance verbunden. Der VPN-Concentrator 3030 ist über zwei 100 MBit/s Anschlüsse (öffentlich und privat) angeschlossen. Die zwei ASA5585-X sind mit jeweils 10GBits/s angeschlossen, die vier ASA5540 mit jeweils 1GBit/s. Die verfügbare Bandbreite für verschlüsselte Verbindungen (AES/3DES) beträgt 50MBit/s beim VPN-Concentrator MBit/s pro ASA5540 und 1GBit/s bei den ASA5585-X. Authentifizierung, Autorisierung der Nutzer sowie Accounting werden über das RADIUS-Protokoll abgehandelt VPN-Software Berechtigte Nutzer können die aktuellen Versionen der VPN-Software vom Web- oder VPN-Server des LRZ herunterladen. Für Linux und Mac OS X stehen neben den Cisco-IPsec und AnyConnect-Client der Open Source VPN-Client vpnc (IPsec) und openconnect (SSL-VPN) zur Verfügung, der erfahrenen Nutzern erweiterte Möglichkeiten bietet. Diese Clients sind inzwischen in den Standarddistributionen wie z.b. Debian, SuSE und Ubuntu enthalten Telearbeitsplätze von LRZ-Mitarbeitern Mitarbeiter, die Telearbeit machen, nutzen die internen Ressourcen des LRZ während ihrer Arbeit zu Hause. Dazu erhalten sie einen VPN-Router, an den sie Rechner und VoIP-Telefon anschließen können. Der VPN-Router ist so konfiguriert, dass er automatisch eine Verbindung zum VPN-Server im LRZ aufbaut. Über diese Verbindung, einen verschlüsselten IPsec LAN-to-LAN Tunnel, wird ein Subnetz mit der Subnetzmaske geroutet. Damit stehen sechs IP-Adressen für Router, Rechner, ggf. Laptop und IP-Telefon zur Verfügung. Bei dem VPN-Router handelt es sich um das Modell WRV54G von Linksys. Das Telefon ist an der VoIP-Telefonanlage des LRZ angeschlossen und so konfiguriert, dass der Mitarbeiter am Heimarbeitsplatz mit der gleichen Telefonnummer wie an seinem Arbeitsplatz am LRZ erreichbar ist Entwicklung des Datenverkehrs über die VPN-Server Im Mittel stieg der Durchsatz im Vergleich zum Vorjahr um 33%. In Spitzenzeiten waren bis zu Nutzer parallel angemeldet. Im Monat November, dem Monat mit dem höchsten Datenaufkommen wur-

122 114 Netzdienste für Endanwender den Verbindungen aufgebaut. Der im Jahr 2009 eingeführte SSL-VPN Client (Cisco AnyConnect) hat inwischen einen Anteil von 75% aller Verbindungen erreicht. Jahr Ausgehend Eingehend Gesamt ,7 3,2 3, ,7 6,2 7, ,1 11,4 14, ,8 12,7 16, ,6 20,7 25, ,0 28,8 36, ,4 44,9 56, ,0 51,6 63,6 Tabelle 13: Datenverkehr in Terabytes über die VPN-Server im Referenzmonat November Ausgehend Eingehend Gesamt Abbildung 68 Datenverkehr in Terabytes über die VPN-Server im Referenzmonat November

123 Jahresbericht 2012 des Leibniz-Rechenzentrums Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Abbildung 69 Anzahl der gleichzeitig an den VPN-Servern angemeldeten Nutzer Eingehend Ausgehend Summe Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez 7.4 Modem / ISDN Abbildung 70 VPN-Datenverkehr pro Monat Die Anzahl der Wählverbindungen hat sich im Laufe des Jahres 2012 weiter verringert. Die Anzahl der Telekom-Kunden ging auf ca. 20 (2011: 40), die der M-net-Kunden auf ca. 25 (2011: 35) zurück. Da für den Dienst so gut wie keine Arbeit anfällt, wird er trotz der geringen Nutzung weiter zur Verfügung gestellt. Unterstützung bei Problemen wird aber keine mehr angeboten. Das folgende Diagramm zeigt für das 2. Halbjahr 2012 die maximale Anzahl gleichzeitig aktiver Verbindungen pro Woche, aufgeschlüsselt nach den jeweiligen Rufnummern.

124 116 Netzdienste für Endanwender Abbildung 71 Maximale Anzahl von Verbindungen pro Rufnummer Abbildung 72 Verteilung der Modem/ISDN-Verbindungen im Wochenverlauf

125 Jahresbericht 2012 des Leibniz-Rechenzentrums Virtual Reality und Visualisierung Im Januar 2012 wurde mit den Baumaßnahmen zum Innenausbau und der Medientechnik des Zentrums für Virtuelle Realität und Visualisierung (V2C) begonnen. Das Gerüst für die 5-seitige Projektionsinstallation und der Zwischenboden wurden zuerst eingebracht. Somit konnte parallel in dem nun entstandenen Untergeschoss und Obergeschoss gearbeitet werden. Der Innenausbau konnte im Mai fertiggestellt werden und die Installation frühzeitig am geladenen Gästen demonstriert werden. Abbildung 73 Das V2C mit seinen einzelnen Komponenten Am 25. Oktober fand die feierliche Einweihung des V2C statt. Hierüber berichteten die Süddeutsche ( ) und das Linux Magazin ( ). Deutschlandradio Kultur strahlte in der Sendereihe Elektronische Welten am einen Bericht zum V2C aus. 8.1 Sichtbarkeit und Öffentlichkeitsarbeit Es wurde ein geladener Vortrag mit dem Thema Developing Immersive Games with the invrs Framework an der FH Hagenberg in Österreich sowie ein Vortrag mit dem Titel Virtual Reality and Visualisation at the Leibniz Supercomputing Centre an der Ho Chi Minh City University of Technology in Vietnam gehalten. Das V2C beteiligte sich an zwei größeren Veranstaltungen, der Feier zum 50-jährigen Bestehen des LRZ und dem Tag der offenen Tür mit Führungen. Im Rahmen dieser beiden Veranstaltungen bekamen ca. 400 Gäste einen ersten Eindruck des Zentrums für virtuelle Realität und Visualisierung. Insgesamt fanden in der zweiten Jahreshälfte 27 Führungstermine statt, an denen ca. 800 Besucher das V2C besichtigten. Es wurde eine hochwertige Broschüre von 24 Seiten erstellt (Auflage Stück), welche den Hintergrund, die Technologien und die ersten erfolgreichen Projekte vorstellt.

126 118 Virtual Reality und Visualisierung Die Onlinepräsenz des VR und Visualisierungsteams (V2T) wurde konstant mit Informationen zum Zentrum aktualisiert und hat während der Bauphase mit dem Produktionstagebuch einen Überblick über den aktuellen Bauzustand gegeben. 8.2 Kooperationen Mit interessierten Instituten der LMU und TUM wurde der Kontakt hergestellt und die ersten Projekte konnten erfolgreich realisiert werden. Hierzu zählt beispielsweise die Darstellung und Rekonstruktion der Grabkammer von Karaburun in Zusammenarbeit mit dem Institut für Klassische Archäologie der LMU, oder die Zusammenarbeit mit dem Institut für Fördertechnik Materialfluss und Logistik, TUM, wo virtuelle Kranmodelle mit realer Steuerung kontrolliert werden. Weitere Projekte stammen aus den Bereichen der Architekturinformatik, Kunstpädagogik, Informationsvisualisierung und der Geoingenieurswissenschaften. Bei der Umsetzung eines weiteren Projekts der Klassischen Archäologie, welches bei der Analyse und beim Vergleich Antiker Statuten unterstützt, wurde erstmals auf internationaler Ebene mit der University of Tokyo und der Tohoku University in Japan sowie der University of California in Berkeley, USA, zusammengearbeitet. Viele weitere Projekte und Forschungsanträge befinden sich in der Planungs- und Umsetzungsphase. Insgesamt wurden 2012 Kooperationsgespräche mit über 20 Instituten der Münchner Universitäten geführt. Abbildung 74 Die Rekonstruktion der Grabkammer von Karaburun auf der Powerwall (links) und in der 5-seitigen Projektionsinstallation (rechts) 8.3 Forschung und Lehre Im Bereich Virtuelle Realität und Visualisierung wurde in Zusammenarbeit mit der LMU ein Masterarbeitsthema erfolgreich bearbeitet. Eine Bachelorarbeit wurde abgeschlossen und zwei weitere begonnen, welche voraussichtlich 2013 abgeschlossen werden. In Zusammenarbeit mit der Johannes Kepler Universität Linz in Österreich wurde ein Praktikumsthema bearbeitet. Eine Lehrveranstaltung Virtual Reality wurde im Sommersemester an der LMU abgehalten.

127 Jahresbericht 2012 des Leibniz-Rechenzentrums 119 Im Bereich der Forschung wurde in Zusammenarbeit mit dem Institut für Architekturinformatik der TUM eine Publikation bei der 12th International Conference on Construction Applications of Virtual Reality (CONVER 12) im November in Taipeh präsentiert. Des Weiteren hat sich das LRZ bei der Einreichung eines Europäischen Forschungsprojekts beteiligt. Dieses Projekt trägt den Titel Mr.SymBioMath und wurde positiv begutachtet. Der Projektstart ist für Februar 2013 geplant. Die allgemeine Aufgabenstellung des Projekts ist die Analyse von Gendaten, wobei sich das V2C hierbei mit der Visualisierung der Datensätze beschäftigt. Im Rahmen des Arbeitskreises Visualisierung, einer wissenschaftlichen Vortragsreihe rund um das Feld Virtuelle Realität und Visualisierung, fanden vier Veranstaltungen statt, in welchen internationale Gäste aus Österreich, Großbritannien und Japan von ihren aktuellen Forschungsergebnissen aus den Bereichen VR und Visualisierung berichteten.

128 120 IT-Service-Management 9 IT-Service-Management 9.1 IT-Service-Management: Einführung von ISO/IEC Die Zuverlässigkeit und Verfügbarkeit von IT-Services ist in erheblichem Maß von der effektiven Kommunikation, Kooperation und Koordination zwischen den Mitarbeitern eines IT-Service-Providers abhängig. Ein optimales Management von IT-Diensten muss folglich über die Überwachung und Steuerung der technischen Komponenten hinausgehen und auch die betrieblichen Abläufe bzw. die Prozesse des IT- Service-Providers kontrollieren und lenken. Die Ausgestaltung eines solchen, prozessorientierten IT- Service-Managements (ITSM) ist Gegenstand verschiedener so genannter ITSM-Rahmenwerke wie der IT Infrastructure Library (ITIL) oder des internationalen Standards ISO/IEC Das LRZ ist bemüht, ein Managementsystem nach ISO/IEC zu etablieren Incident-Management Für das im Vorjahr eingeführte Incident Management nach ISO/IEC lag der Fokus für das Jahr 2012 in der Etablierung eines kontinuierlichen Verbesserungsprozesses. Die mittlerweile durchschnittlich 700 erfassten Incidents pro Monat werden nun nicht mehr nur hinsichtlich der Zeit bis zur Lösung sondern auch in Bezug auf die Erstreaktionszeit überwacht. Zusätzlich werden weitere Kennzahlen erfasst und es kann mit Hilfe eines neu eingeführten standardisierten Berichtes nachgewiesen werden, dass sich die Einhaltung der Ziele für die Lösung von Incidents im Vergleich zum Vorjahr signifikant verbessert hat. Im gesamten Jahr 2012 wurden Incidents (Falschmeldungen und Major Incidents nicht mitgerechnet) erfasst. Im Schnitt waren es also über 700 Incidents pro Monat, siehe Abbildung 75 (Zum Vergleich: 2011 wurden durchschnittlich etwas mehr als 500 Incidents pro Monat erfasst.). Diese Steigerung des Incident Aufkommens bedeutet nicht, dass sich die Servicequalität des LRZ verschlechtert hat. Die Steigerung hängt damit zusammen, dass durch einen einheitlichen Incident Management Prozess nun viele Incidents überhaupt erst erfasst werden und nicht am Prozess vorbei laufen. Dies wiederum gestattet eine wesentlich bessere Analyse der aufgetretenen Störungen und macht eine Verbesserung der Servicequalität wesentlich einfacher. Abbildung 75 Verteilung des Incidentaufkommens über die Monate 2012

129 Jahresbericht 2012 des Leibniz-Rechenzentrums 121 Abbildung 76 Verteilung der Incident-Prioritäten Ein weiterer Schritt zur Verbesserung der Servicequalität des LRZ wurde mit einer verstärkten Einbindung des Servicedesks in den Incident Management Prozess erreicht. Gezielte Schulungen sowohl im Prozess wie auch im Tool selbst hatten zur Folge, dass die Incidents durch das Servicedesk besser bewertet und auch umfassend koordiniert werden können. Die Mitarbeiter des LRZ selbst konnten dadurch entlastet werden und sich verstärkt ihren Kernaufgaben widmen. Abbildung 76 zeigt hierbei die Verteilung der Priorität der Incidents. Dadurch, dass die Priorität der Incidents bereits von dem Servicedesk korrekt bestimmt werden kann, ist es den Mitarbeitern möglich, ihre Zeit besser einzuteilen und nicht bei jedem Eintreffen eines Incidents sofort ihre Arbeit unterbrechen zu müssen Weitere ITSM-Prozesse Ein Großteil der Personalkapazitäten wurden 2012 für die Einführung eines Configuration Managements und für die Vereinheitlichung des Change Managements beansprucht. Diese beiden Prozesse wurden forciert vorangetrieben, so dass diese nun kurz vor dem Go-Live stehen. Kernaufgabe hierbei ist zum einen die Einführung einer zentralen CMDB. Da die Integration bestehender Informationssysteme sich aufwändiger erwies als erwartet, musste ein wesentlicher Aufwand hierfür investiert werden. Aber auch im Change Management mussten große Anstrengungen unternommen werden, um das Tool iet-itsm anzupassen und für die Anforderungen der existierenden Verfahren am LRZ vorzubereiten. Weitere Aktivitäten, welche die Bemühungen im Bereich IT Service Management seit Ende 2009 ergänzen, finden im Informationsmanagement statt. Hier wurde ein Arbeitskreis gebildet, welcher sich zur Aufgabe gemacht hat, das Management der Informationen - im Speziellen der Dokumentationen - im LRZ zu verbessern. Abteilungs- und Tool-übergreifende Strukturen sollen eingeführt werden, so dass eine einheitliche und übersichtliche Informationslandschaft entstehen kann. Hierfür wurde 2012 der Dienstleistungsbaum, welcher als zentrale Struktur für die Informationslandschaft dient und einen gesteigerten Wiedererkennungswert für die Kunden des LRZ bietet, kontinuierlich verbessert und auf zentrale Informationsquellen angewendet. Ein weiterer Meilenstein in Richtung Abteilungsübergreifende Strukturen wurde mit der Einführung eines zentralen Wiki-Systems erreicht. Eine Vielzahl an bisherigen Wikis, die nur innerhalb einzelner Gruppen oder Abteilungen verwendet wurden, konnten durch ein zentral verwaltetes LRZ-Wiki abgelöst werden Sonstige Aktivitäten Parallel zu den Einführungsprojekten wird am LRZ auch weiterhin das Zertifizierungs- und Lehrgangskonzept für IT-Service-Management nach ISO/IEC erfolgreich fortgesetzt. Nachdem in den letzten Jahren das Schulungsprogramm sehr erfolgreich gelaufen ist, beschränkt sich mittlerweile die Ausbildung zum Foundation-Zertifikat nach ISO/IEC größtenteils auf neu hinzu gekommene Mitarbeiter.

130 122 IT-Service-Management 9.2 Service-Management-Plattform Action Request System Das Action Request System (ARS) von BMC wird am LRZ seit 18 Jahren eingesetzt. Für das Change Management, Beschaffungswesen, Asset-Management und die IP-Adressverwaltung wird weiterhin ARS eingesetzt. Die Webschnittstelle zum ARS wurde Ende August mangels Nutzung und aus Sicherheitsgründen abgeschaltet. Die User-Lizenzen wurden von 20 auf 15 reduziert, da die Incidents jetzt in iet-solutions bearbeitet werden und die Nutzung von ARS aus diesem Grunde abgenommen hat. Das KOM-Change-Record Formular unterstützt den Change-Management-Prozess in der Abteilung Kommunikationsnetze wurden insgesamt (2011: 1.132) KOM-Change-Record-Tickets abgeschlossen. 9.3 Servicedesk Der Servicedesk ist die Schittstelle zu Kunden und Anwendern der IT-Dienste des LRZ. Aufgabe des Servicedesk ist es, die Serviceverantwortlichen, Administratoren und Fachleute am LRZ von 1st Level Support-Anfragen soweit wie möglich zu entlasten und die Anfragen so aufzubereiten, dass der 2nd Level Support umgehend mit der Problemlösung beginnen kann. Das gilt für die bestehenden Services, als auch für alle neu aufzubauenden Dienste mit neuen Kundenkreisen. Der Servicdesk ist auch der primäre Integrationspunkt für die Incident-Management-Prozesse im Rahmen von ISO Er sorgt als Eigentümer eines Großteils der Tickets für eine kontinuierliche Bearbeitung. In einem Team von studentischen Hilfkräften mit hoher Fluktuationsrate sind diese hoch gesteckten Ziele nur durch permanente interne Schulungen zu erreichen. Als Hilfsmittel für das Wissensmanagement und den KnowHow-Transfer wird ein Sharepoint-basiertes Portal eingesetzt, in dem die Servicedesk-Mitarbeiter wichtige Informationen sammeln, strukturiert hinterlegen und pflegen. Unterstützend kommen laufend Schulungen zu den Services, den ITSM-Prozessen und den ITSM-Werkzeugen hinzu. Insgesamt ist das große Interesse und Engagement aller Beteiligten, insbesondere auch unserer studentischen Hilfskräfte, sich mit neuen Themen auseinanderzusetzen und essentielle Rollen im Rahmen der IT- Serivcemanagement-Prozesse zu übernehmen, sehr erfreulich und die Basis aller Verbesserungsmöglichkeiten.

131 Jahresbericht 2012 des Leibniz-Rechenzentrums Informationen und Weiterbildung 10.1 Kurse und Veranstaltungen Das LRZ bietet seinen Kunden regelmäßig an die 20 Kurse an, die sich in die Bereiche PC-Software, Hochleistungsrechnen und weitere Veranstaltungen einteilen lassen. Die in Tabelle 14 bis 16 aufgeführten Veranstaltungen wurden von mehr als Teilnehmern besucht. Zusätzlich haben externe Anbieter weitere Kurse angeboten Kursübersicht, Statistik 2012 Wie schon in den vergangenen Jahren wurden die Kurse gut angenommen, die vom LRZ zum Thema Hochleistungsrechnen angeboten wurden. Bei der Planung konnte stets davon ausgegangen werden, dass alle Teilnahmewilligen, die einen Platz im Kurs erhalten, diesen auch wahrnehmen würden. Dies darf beim übrigen Kursangebot leider nicht als selbstverständlich vorausgesetzt werden. Gerade bei den Kursen zu PC-Software ist der Unterschied zwischen der Zahl der Anmeldungen und der Zahl der Teilnehmer nach wie vor groß. Es zeigte sich, dass das Interesse an Kursen zu den aktuellen Microsoft Office-Produkten nach wie vor groß war. Dabei wird vom Kursprogramm des LRZ einerseits Aktualität erwartet, die Akzeptanz der Anwender in Bezug auf neue Programmversionen andererseits hinkt dieser Erwartungshaltung häufig hinterher. Oft werden aus den unterschiedlichsten Gründen Programmversionen auch einfach übersprungen. Gerade bei den Microsoft Produkten neigen Anwender und Systemverantwortliche dazu, nur immer jede übernächste Version zu akzeptieren und zu installieren; und dies meist mit guten Gründen und einem zeitlichen Versatz - während auf die ersten Service Packs gewartet wird. Viele PC-Kurse verwenden als Kursunterlage Handbücher vom RRZN in Hannover. Diese Schriften sind oftmals verbilligte Nachdrucke der Schulungsunterlagen vom Herdt-Verlag. Die Ersparnis ist besonders für Studenten von Bedeutung. Eine regelmäßig aktualisierte Liste der verfügbaren Schriften ist ebenfalls im Internet vorhanden. Kurse zu PC-Software 2012 Dauer Anzahl Teilnehmer Kurstitel Stunden Kurse angemeldet Word 2010 (Kompaktkurs) Excel 2010 (Kompaktkurs) Excel 2010 (Fortsetzungskurs) PowerPoint 2010 (Kompaktkurs) Access 2010 (Kompaktkurs) Photoshop Elements 10 Einführungskurs Einführung in SPSS Insgesamt: Tabelle 14: Kurse zu PC-Software

132 124 Informationen und Weiterbildung Hochleistungsrechnen 2012 Dauer Anzahl Teilnehmer Kurstitel Stunden Kurse angemeldet Amsterdam Density Functional Accelrys MatScience Workshop Big Data Analysis Data Visualisation for Publications and Websites Programming with Fortran Advanced Fortran Topics th VI-HPS Workshop Introduction to large scale program development and debugging on SuperMUC with DDT Introduction to SuperMUC Node-Level Performance Engineering Parallel Programming on High Performance Systems Insgesamt: Tabelle 15: Hochleistungsrechnen Weitere Veranstaltungen 2012 Dauer Anzahl Teilnehmer Kurstitel Stunden Kurse angemeldet Besichtigung von Rechner-Räumen des LRZ Besichtigung des Zentrums für virtuelle Realität und Visualisierung Insgesamt: Tabelle 16: Weitere Veranstaltungen Auch im Jahr 2012 wurde zusätzlich zum regulären Kursprogramm die vorhandene, moderne Infrastruktur im Hörsaal, den Seminar- und Kursräumen für andere Veranstaltungen genutzt. Softwarefirmen hatten die Gelegenheit, neue Produkte bzw. neue Versionen bekannter Produkte zu präsentieren. Dabei standen wieder Beispiele für die Nutzung in Forschung und Lehre im Vordergrund Kurse und Ausbildung im Bereich Hochleistungsrechnen 10.2 Vorträge Schattenseiten des Internet Die nach wie vor große Zahl der Missbrauchsfälle im Münchner Wissenschaftsnetz (v.a. mit Schädlingen infizierte Rechner) zeigt, dass das Sicherheitsbewußtsein im Bereich der virtuellen Welt des Internet noch deutlich besser werden muss. Deshalb veranstaltet das LRZ regelmäßig den Vortrag Schattenseiten des Internet Praktische Tipps zur Vermeidung von Gefahren vor Teilnehmern des Münchner Wissenschaftsnetzes (weitere Details und die Handouts der Vortragsfolien siehe

133 Jahresbericht 2012 des Leibniz-Rechenzentrums 125 Abbildung 77 Themenbild des Vortrags Außerdem bietet das LRZ diesen Vortrag im Rahmen seiner Öffentlichkeitsarbeit Schulen und anderen interessierten Einrichtungen an. Dies ist möglich, da sich der Vortrag an Einsteiger auf dem Gebiet der Internet-Sicherheit richtet. Dabei stehen für Eltern und Lehrer einerseits und Jugendliche ab 11 Jahren andererseits angepasste Varianten zur Verfügung. Die Schwerpunkte des Vortrags behandeln Problembereiche, die Kinder, Jugendliche und Erwachsene gleichermaßen betreffen: Alle Nutzer des Internet unterliegen mehr oder weniger umfangreichen rechtlichen Pflichten. Ein Verstoß dagegen (z.b. gegen das Recht am eigenen Bildnis oder das Urheber-Recht) kann empfindliche Konsequenzen haben (z.b. Abmahngebühren von mehreren Hundert Euro). Leider kennen praktisch keine Jugendlichen und nur wenige Erwachsene diese Art von Gefahren. Im Jahr 2012 wurden durch diesen Dienst des LRZ an der Allgemeinheit knapp 700 interessierte Zuhörer erreicht. Dabei wurden u.a. bei drei Gymnasien jeweils komplette Schülerjahrgänge informiert. Zwei Veranstaltungen wurden für Erwachsene (Eltern, Lehrer und Studenten) und ältere Jugendliche durchgeführt Öffentlichkeitsarbeit Das herausragende Ereignis am LRZ aus öffentlicher Sicht war die Feier anlässlich des fünfzigjährigen Bestehens des LRZ und der Inbetriebnahme des neuen Höchstleistungsrechners SuperMUC am 20. Juli 2012, worauf bereits im Überblick eingegangen wurde. Darüber wurde in sehr vielen Medien z.t. sehr ausführlich berichtet. Allein fünf Fernsehteams berichteten direkt aus dem SuperMUC u.a. für den Bayerischen Rundfunk, die heute -Sendung des ZDF und die Tagesschau der ARD. Die Aufnahmen eines Teams der Nachrichtenagentur Reuters fanden sich auf sehr vielen Webseiten wie spiegel online u.ä. Auch in Rundfunk und Printmedien wurde ausführlich über SuperMUC und LRZ berichtet, allen voran in der Süddeutschen Zeitung, die zusätzlich zur aktuellen Berichterstattung der Geschichte des LRZ eine ganze Seite widmete. Sogar Fernsehteams aus Österreich und Russland berichteten. Neben vielen Interviews verschiedenster Medien vor allem im Zusammenhang mit der Nominierung des SuperMUC als schnellstem Rechner Europas führte der Bayerische Rundfunk am 28. November ein sehr

134 126 Informationen und Weiterbildung ausführliches Gespräch mit dem Vorsitzenden des Direktoriums, Prof. Dr. Arndt Bode (Ausstrahlung in der Reihe BR-alpha Forum im Frühjahr 2013). Insgesamt kann man feststellen, dass das LRZ im Jahre 2012 so intensiv in der Öffentlichkeit präsent war wie nie zuvor. Besonders erfreulich ist die Tatsache, dass alle Berichte, Interviews usw. positiv waren. Anlässlich der Feier am 20. Juli widmete Akademie aktuell die gesamte Ausgabe dem Höchstleistungsrechnen, SuperMUC und dem LRZ. Am 22. Februar besuchte MdB Florian Hahn das LRZ. Am 15. April 2012 erschien in der Neuen Zürcher Zeitung (NZZ am Sonntag) die ausführliche und exzellente Reportage Vorbild Gehirn von Andreas Hirstein über die Herausforderungen an Supercomputer im Vergleich zum menschlichen Gehirn. Auch über die Eröffnung des Zentrums für Virtuelle Realität und Visualisierung V2C (v2c.lrz.de) am 25. Oktober 2012 berichteten die Medien. Etliche Firmen erstellten Success Stories über den Einsatz ihrer Produkte am LRZ, u.a. fertigten IBM und SUSE Videos für YouTube und andere öffentlich zugängliche Webseiten an. Auch im Rahmen eines europaweiten Videos für PRACE war SuperMUC am LRZ ein Hauptdrehort. Am 18. Oktober konnte das LRZ seine Dienstleistungen für Studenten wieder an einem Infostand bei der Erstsemesterbegrüßung der LMU vorstellen. Beim Tag der offenen Tür am 27. Oktober 2012 besichtigten etwa Besucherinnen und Besucher das LRZ und sein neues Zentrum für Virtuelle Realität und Visualisierung V2C. Erstmals wurden auch englischsprachige Führungen angeboten, die sehr gut angenommen wurden. Insgesamt nutzten im Berichtsjahr über Besucherinnen und Besucher bei ca. 85 Führungen die Gelegenheit, das LRZ kennen zu lernen. Das Erscheinungsbild der Webseiten des LRZ wurde komplett neu gestaltet. Der ständig wachsenden Zahl von Studenten aus dem Ausland an den Münchner Universitäten trägt das LRZ dadurch Rechnung, dass viele seiner Webseiten inzwischen auch auf Englisch verfügbar sind, vor allem die Seiten, die den Einstieg in das Studium und die Nutzung der Dienste des LRZ erst ermöglichen. Das LRZ gibt gemeinsam mit dem Jülich Supercomputing Centre und dem Hochleistungsrechenzentrum Stuttgart zweimal im Jahr anlässlich der Supercomputing-Konferenzen SC und ISC die Zeitschrift insi- DE Innovatives Supercomputing in Deutschland mit Beiträgen über Projekte, die auf dem Höchstleistungsrechner des LRZ bearbeitet wurden, heraus. Zusätzlich liefert das LRZ Beiträge zum Infobrief der Gauß-Allianz e.v. Anlässlich der Außerbetriebnahme des vorherigen Höchstleistungsrechners SGI Altix 4700 erschien ein Berichtsband über die darauf bearbeiteten wissenschaftlichen Projekte. Darüber hinaus erschien monatlich der LRZ-Newsletter, in dem u.a. Termine, Veranstaltungen, Kurse und Stellenangebote mitgeteilt wurden und der über eine Mailingliste verteilt sowie im Web angeboten wird. Dort ist auch ein Newsletter-Archiv verfügbar. Ferner stehen Faltblätter zur Verfügung, die sich auf Deutsch und Englisch an die allgemeine Öffentlichkeit wenden oder speziell für Studenten die Dienstleistungen des LRZ vorstellen. Besonders die Faltblätter für Studierende in Deutsch und Englisch, die in den größeren Bibliotheken der Universitäten ausgelegt werden, fanden viele Abnehmer. Anlässlich der Einweihungsfeier wurde die Darstellung des LRZ in einer Postergalerie aktualisiert und überarbeitet. Auch diese ist auf dem Webserver des LRZ verfügbar (http://www.lrz.de/wir/postergalerie/). Für die Zusammenarbeit mit den Medien erwies es sich als unverzichtbar, ihnen einen festen Ansprechpartner (http://www.lrz.de/presse/) nennen zu können.

135 Jahresbericht 2012 des Leibniz-Rechenzentrums Software-Bezug und Lizenzen Mit der Bündelung der Nachfrage über Instituts- und Hochschulgrenzen hinweg wird auch Verhandlungsmacht gebündelt. So können oft wesentlich günstigere Konditionen für den Bezug von Lizenzen für Forschung und Lehre erreicht werden. Die Endkunden in den Instituten sparen dadurch nicht nur Zeit, sondern vor allem viel Geld. Das LRZ verhandelt deswegen, wo möglich, in Absprache oder in Kooperation mit Instituten und Hochschulen, teilweise aufs MWN beschränkt, teilweise überregional, geeignete Abkommen mit Händlern und Herstellern. Welche Software von welchen Nutzern zu welchen Konditionen über das LRZ bezogen werden kann, ist auf der Webseite dargestellt Bundesweiter Rahmenvertrag für Microsoft-Lizenzen Mit Microsoft Irland wurde zum 1. Mai 2012 erstmals ein bundesweit gültiger Rahmenvertrag über die Lizenzierung von Software auf Subskriptionsbasis abgeschlossen. Er wurde gemeinsam mit dem Arbeitskreis Software-Lizenzen des ZKI vorbereitet. Alle deutschen Hochschulen können diesem bis April 2017 gültigen Vertrag eigenständig beitreten. Er räumt Einstiegshürden für kleinere Hochschulen aus dem Weg und enthält hohe Rabatte und nützliche Zusatzvereinbarungen. Bestehende Landesverträge werden nach und nach in diesen Bundesvertrag überführt. Der im Vorjahr abgeschlossene bayerische Landesvertrag, der in wesentlichen Punkten die Vorlage für den bundesweiten Vertrag bildete, läuft weiter, jeder teilnehmende Hochschule kann selbst kalkulieren, ob sich für sie ein Umstieg während der Laufzeit lohnt. Beim Umstieg kann die Bindung an den für den Landesvertrag im Vorjahr ausgeschriebenen Handelspartner und an die seinerzeit festgelegte Preisliste erhalten bleiben Überregionaler Rahmenvertrag zum Bezug von Beratungs- und Supportdienstleistungen zu Microsoft-Produkten Im Dezember konnte zwischen dem LRZ und Microsoft Deutschland ein Vertrag, der den Universitäten und Hochschulen in Bayern günstigen Zugang zu Support- und Beratungsleistungen der Firma Microsoft verschafft ( Premier Support ), abgeschlossen werden. Der Vertrag sieht den solidarischen Austausch von Knowhow und Erfahrungen zwischen den Hochschulen vor. So wird auch kleinen Standorten der ansonsten unerschwingliche Zugang zu Dienstleistungen des Premier-Support Programms von Microsoft ermöglicht. Teilnehmer sind zunächst bayersiche Hochschulen. Künftig kann jede Hochschule im Bundesgebiet eigenständige Beitritte unter diesem Vertrag abschließen Bayernweiter Mietvertrag für Adobe-Lizenzen Mit Adobe Irland wurde im März 2012 ein Vertrag über die Lizenzierung von Acrobat Pro auf Subskriptionsbasis abgeschlossen ( Adobe TSL ), über den sich bayerische Hochschulen versorgen können. Mit der Vergabestelle der Universität Würzburg wurde für die teilnehmenden Hochschulen ein Handelspartner ausgeschrieben, den Zuschlag bekam die Firma Cancom Vereinfachung der Versorgung mit ESRI-Lizenzen an der TU München Die Versorgung der TU München mit Lizenzen aus dem ESRI-Landesvertrag des LRZ konnte vereinfacht werden: die Institute der TU müssen nun nicht mehr einzeln individuelle Bestellungen beim LRZ vornehmen, stattdessen wird eine flächendeckende Vollversorgung ( Flatrate ) ermöglicht. Die TU beteiligt sich mit einem festen Betrag an den Kosten des Landesvertrages.

136 128 Software-Bezug und Lizenzen 11.5 Vereinfachung der Versorgung mit Mathematica-Lizenzen an der LMU München Auf ähnliche Weise konnte die Versorgung der Physik-Fakultät der LMU mit Mathematica-Lizenzen in ein Flatrate-Modell überführt werden (wobei in diesem Fall die Physik selbst direkt mit dem Handelspartner abrechnet) Weitere laufende Verhandlungen und Planungen Für das erste Halbjahr 2013 geplante Aktivitäten, die schon 2012 begonnen wurden, beinhalten u.a. die Vorbereitung eines bundesweiten Rahmenvertrags für Adobe-Mietlizenzen nach dem Vorbild des Microsoft-Bundesvertrags und des Adobe-Landesvertrags (beides siehe oben). Der Novell-Landesvertrag für Bayern endet im Oktober 2013 und muss sowohl mit dem Anbieter als auch im Innenverhältnis der bayerischen Hochschulen neu verhandelt werden Tagesgeschäft Abläufe und Änderungen bei der Versorgung der Kunden des LRZ Das LRZ stellt den Münchner Hochschulen unter anderem Kauflizenzen aus den Bereichen Microsoft-Lizenzen im Rahmen der Select-Plus-Verträge Adobe- und Corel-Bestellungen im Rahmen des Adobe CLP-Vertrags zur Verfügung. Dies sind bisher die umsatzstärksten Bereiche. Wo es sinnvoll ist, eine flächendeckende Pauschalversorgung mit Mietlizenzen einzuführen, sollte das auch gemacht werden. Dadurch kann der anfallende Arbeitsaufwand sowohl in den Instituten als auch im LRZ reduziert werden. Der mit Kauflizenzen erzielte Umsatz ist also kein Erfolgsindikator, im Gegenteil sind etwa bei den Microsoft- Kauflizenzen sinkende Umsatzzahlen sogar Folge der Verbesserung der Versorgungssituation (die TUM ist im Sommer 2011 dem vom LRZ abgeschlossenen bayernweiten Mietvertrag für Microsoft-Lizenzen beigetreten und musste daher in 2012 nur noch Serverprodukte über das Select-Plus Programm kaufen). Bei Bestellungen zu Microsoft und Adobe/Corel-Kauflizenzen kümmert sich das LRZ im Tagesgeschäft lediglich um Authentifizierung/Autorisierung der Besteller, Verteilung der Software, Beratung und Unterstützung bei der Bestellung, Lizenzierung und Aktivierung. Die kaufmännische Abwicklung erfolgt über Handelspartner. Dabei kommen jährliche Umsätze im sechsstelligen Bereich zustande. Die nachfolgende Tabelle listet die wertmäßig umsatzstärksten Softwarepakete (nur Kauflizenzen) auf. Miet- und Subskriptionsmodelle (SPSS, Matlab, Novell, SAS) sowie Flatrate Verträge (ESRI, Sophos) werden nicht in dieser Tabelle erfasst. Hersteller / Name Microsoft Adobe und Corel Beschreibung Lizenzzahlen 2012 Bruttowert der 2012 beschafften Lizenzen Applikationen, System- und Server- Software Acrobat, Photoshop, GoLive, Illustrator, Premiere etc., Corel Grafiksoftware ca Endnote Literaturverarbeitung ,- Systat Datenanalyse und Datenpräsentation ,-

137 Jahresbericht 2012 des Leibniz-Rechenzentrums 129 Bei den meisten anderen Produkten tritt das LRZ in Vorleistung und beteiligt die Institute an den Kosten: SPSS: im MWN im oberen fünfstelligen Bereich, bayernweit deutlich über Euro Matlab: der Umsatz im MWN erreichte 2012 einen niedrigen sechsstelligen Eurobereich. Bei etlichen weiteren Produkten lagen die Umsätze im fünfstelligen Bereich. Für Einrichtungen mit zentralem Einkauf besteht die Möglichkeit, die am meisten nachgefragten Kauflizenzen beim LRZ online zu bestellen. Zu diesen Einrichtungen zählen die Münchner Universitätskliniken, die Universität Augsburg, einige Hochschulen aus dem südbayerischen Raum sowie einige kleinere Einrichtungen. Produkte aus Landesverträgen (Novell, Sophos, ESRI, Secunia) werden den bayerischen Universitäten und Hochschulen nach einem festen Kostenschlüssel bereitgestellt, daher gibt es an dieser Stelle keine Umsatzzahlen (ESRI-Produkte werden an der LMU teilweise noch mit den Instituten einzeln abgerechnet). Produkte aus Landesrahmenverträgen (Microsoft EES, Adobe TSL) werden direkt zwischen den ausgeschriebenen Händlern und den Lizenznehmern abgewickelt, ohne dass das LRZ involviert werden muss Routinemäßige Verlängerung und Ausbau bestehender Verträge 2012 wurden mehrere auslaufende Verträge abgelöst oder planmäßig verlängert (Labview, SAS, Ansys, Novell, NAG, Scientific Workplace). Die Verlängerung des Landesvertrags zu ArcGIS Geoinformationssystem-Software mit der Firma ESRI und des Bundesvertrags über Adobe Kauflizenzen ( CLP ) erfolgten zum Jahreswechsel 2012/ Betrieb von Lizenzservern für Kunden des LRZ Das LRZ betreibt derzeit für ca. 30 unterschiedliche Softwarepakete Lizenzserver, die für die Benutzer im MWN Netzwerklizenen zur Verfügung stellen. Das angebotene Spektrum der Netzwerklizenzen beinhaltet vor allem technisch wissenschaftliche Software (Matlab, Mathematica, Ansys, Patran, etc). Für Kurse und Praktika in den CIP-Pools der berechtigten Einrichtungen im MWN werden die Teaching Lizenzen der FE-Software Ansys über den Lizenzserver vom LRZ kostenfrei zur Verfügung gestellt. Der zentrale Betrieb der Lizenzserver am LRZ erspart den Mitarbeitern an den Lehrstühlen und Instituten im MWN den redundanten Betrieb eigener Lizenzserver und damit viel Arbeit. Im Bedarfsfall unterstützt das LRZ die Anwender bei der Anbindung ihrer Rechner an die Lizenzserver am LRZ.

138 130 Benutzerverwaltung und Verzeichnisdienste 12 Benutzerverwaltung und Verzeichnisdienste 12.1 Benutzerverwaltung für LRZ-Dienste Im Zentrum der Benutzerverwaltung steht das LRZ-Identity-Managementsystem (LRZ-SIM) mit den LRZ-Verzeichnisdiensten als Basis. Nach einem Überblick über die derzeit vergebenen LRZ-Kennungen und ihre Verteilung auf die Hochschulen und LRZ-Plattformen wird über Stand und Entwicklung von LRZ-SIM im Organisations- und Frontend-Bereich, in den angebundenen Diensten und Plattformen sowie im SIM-Serverbetrieb berichtet. Es folgen die Weiterentwicklungen bei der Verzeichnisdienste- Kopplung mit den beiden Münchner Universitäten und beim MWN Active Directory als zentralem Infrastrukturdienst im gesamten Münchner Wissenschaftsnetz. Die Neuerungen in der Authentifikations- und Autorisierungsföderation des DFN (DFN-AAI), in der das LRZ als Dienstleister und sogenannter Identity-Provider für die LMU und TUM fungiert, schließen dieses Kapitel ab Für LRZ-Systeme vergebene Kennungen An Hochschuleinrichtungen vergebene Kennungen Die folgende Tabelle gibt einen Überblick über die vom LRZ an Hochschuleinrichtungen vergebenen Berechtigungen, und zwar pro Dienst bzw. Plattform und mit Stand von Ende Für die LMU und die TU München sind dabei außer den via Master User vergebenen Berechtigungen auch die Kennungen aufgelistet, die direkt an den Hochschulen vergeben und via Campus LMU bzw. TUMonline importiert wurden. Einrichtung VPN / WLAN Mail Exchange PC/Online- Speicher Linux-Cluster Webserver persönliche Homepages TSM NeSSI (NV-Portal) WebDNS Leibniz-Rechenzentrum Bayer. Akad. der Wissenschaften LMU München von Campus LMU importiert TU München von TUMonline importiert Hochschule München andere bayerische Hochschulen Öffentlich-rechtliche Einrichtungen sonstige Einrichtungen Grid-Kooperationsprojekte HPC-Projekte Gesamt Tabelle 17: Vergabe von Kennungen für LRZ-Plattformen Nicht in der Tabelle enthalten sind die Kennungen für den Höchstleistungsrechner, da es hier häufig Kooperationen gibt und daher keine klare Zuordnung zu einer Einrichtung möglich ist. Ende 2012 waren für diese Rechner insgesamt Kennungen vergeben, davon für Projekte aus dem Grid-Bereich.

139 Jahresbericht 2012 des Leibniz-Rechenzentrums An Studenten vergebene Kennungen An der Ludwig-Maximilians-Universität und der Technischen Universität werden Kennungen für Studenten direkt an den Hochschulen vergeben und anschließend von dort ans LRZ übernommen (via Campus LMU bzw. TUMonline). Für Studenten anderer Münchner Hochschulen erfolgt die Vergabe individuell und direkt durch das LRZ. Ende 2012 hatten gut Studenten eine Kennung, die u.a. für die Dienste VPN/WLAN, Mail und PC/Online-Speicher genutzt werden konnte. Hier die Aufteilung auf die Hochschulen mit den meisten Kennungen: Hochschule Ludwig-Maximilians-Universität München Technische Universität München Hochschule für Musik und Theater München Hochschule für Fernsehen und Film München Akademie der Bildenden Künste München Hochschule für Philosophie München Verwaltungs- und Wirtschaftsakademie München FernUniversität Hagen Hochschule für Politik München sonstige Hochschulen Anzahl Kennungen Gesamt Tabelle 18: Vergabe von Kennungen an Studenten Identity Management und Verzeichnisdienste Das LRZ Identity-Management-System (LRZ-SIM) basiert auf einem Cluster von Verzeichnisdiensten (Novell edirectory und OpenLDAP), deren Datenbestände durch Konnektoren (sog. Novell IDM- Treiber) live synchronisiert, transformiert und in die LDAP-Authentifizierungsserver sowie in die direkt angebundenen Plattformen provisioniert werden. Als universelles Webfrontend dient das LRZ Id-Portal (https://idportal.lrz.de), sowohl für die Benutzer (Self Services) als auch für die Master User, die LRZ- Betreuer, den Servicedesk und Administratoren Neuerungen in der Benutzerverwaltung und Organisation Die wichtigste Entwicklung in LRZ-SIM war die technische Umsetzung der neuen LRZ- Passwortrichtlinie. Diese Richtlinie ist seit Anfang 2012 für LRZ-Mitarbeiter und seit Juni 2012 für alle LRZ-Benutzer bindend. Neben der nun erzwungenen Passwort-Mindestqualität sind der regelmäßige automatische Passwortverfall sowie der Änderungszwang von Startpasswörtern die wichtigsten Neuerungen. Kennungen mit verfallenem Passwort bzw. Startpasswort unterliegen einer technischen Sperre, die die Anmeldung an allen Authentifizierungsservern blockiert (siehe Abbildung 78). Ausgenommen von der LRZ-Passwortrichtlinie sind die von LMU und TUM importierten Kennungen, die der Passwortrichtlinie der jeweiligen Hochschule folgen, sowie die in Grid-Projekten angesiedelten Kennungen, für die ein gültiges Passwort aufgrund von zertifikatsbasierter Authentifizierung nicht zwingend notwendig ist. Im Id-Portal waren dazu umfangreiche Erweiterungen sowohl in den Login-Seiten als auch in den Self Services erforderlich, um die Änderungen von Start- und verfallenen Passwörtern zu erzwingen. Hinzu kamen in fast allen Dienstebenen des Id-Portals zusätzliche Anzeigen und Übersichten zu Status, Änderungs- und Verfallsdatum von Passwörtern. Begleitend zur technischen Umsetzung der Passwortrichtlinie erfolgte eine vielschichtige Information von Benutzern und Master Usern.

140 132 Benutzerverwaltung und Verzeichnisdienste Abbildung 78 Passwortstatus und Auswirkung auf die Authentifizierungsmöglichkeit bei den angebundenen Diensten und Plattformen Die zentrale Benutzerverwaltung und die Betreuer am LRZ bilden den Second-Level-Support von LRZ- SIM und stehen den Master Usern und Administratoren beratend und helfend zur Seite bei Fragen und Problemen im Zusammenhang mit der Verwaltung von Projekten, Kennungen und Berechtigungen war der Support-Bedarf besonders hoch, da es eine Vielzahl von Detailfragen und Spezialfällen im Zusammenhang mit der Passwortrichtlinie zu beantworten und zu lösen galt. Darüber hinaus sorgten neue Dienste für das VM-Serverhosting, neue Formen von Grid-Projekten und neue Kontingente für die Speicherbereiche im Linux-Cluster samt ihren unterschiedlichen technischen Auswirkungen für eine erhöhte Zahl von Benutzeranfragen.. Bei neueren Diensten wurden die Betreuer und Master User dadurch entlastet, dass dort die Plattformverantwortlichen oder Administratoren über neue Webschnittstellen selbständig Berechtigungen vergeben können, so z.b. für die Netzverantwortlichen- und Monitoring-Portale sowie für Zugänge für Administratoren im Web- und VM-Serverhosting-Bereich. Mit der seit 2012 vorliegenden Verfahrensbeschreibung Identity-Management werden die Vorgaben des Datenschutzes umgesetzt. Da LRZ-Benutzer auf Anfrage Einblick in diese Beschreibung nehmen können, ist für sie eine kompakte Übersicht über Art, Verwendung und Sichtbarkeit ihrer persönlichen Daten in der zentralen LRZ-Benutzerverwaltung gegeben Erweiterungen bei der Anbindung von Plattformen und Diensten In Vorbereitung der Außerbetriebnahme des Speichersystems AFS mit seinem sehr vielschichtigen und feingranularen Berechtigungssystem wurden umfangreiche Untersuchungen über die bisherige Verwendung von AFS-berechtigten Kennungen angestellt. So konnten die AFS-Benutzer dann gezielt darüber informiert werden, welche Migrationswege und Ersatzsysteme (z.b. NAS) für sie zur Verfügung stehen. Im Laufe des Jahres wurden alle AFS-Berechtigungen mit Ausnahme der noch nicht migrierten virtuellen Webserver gesperrt und zum Jahreswechsel die zugehörigen AFS-Volumes endgültig gelöscht. Die Verwaltung der persönlichen Homepages, die bisher ebenfalls in AFS angesiedelt waren und deshalb migriert werden mussten, wurde in LRZ-SIM integriert. Anstelle der bisherigen Kommandozeilenschnittstelle können Benutzer nun bequem über das Id-Portal Homepages und Aliasnamen anlegen und löschen sowie Zertifikate für die verschlüsselte Übertragung beantragen. Sowohl das Anlegen neuer Homepages und Aliasnamen als auch die Ermittlung des belegten Speicherplatzes in den Self Services geschieht live durch Funktionsaufrufe auf den Webserver-Maschinen.

141 Jahresbericht 2012 des Leibniz-Rechenzentrums 133 Bei Funktionskennungen wurde das Id-Portal für die Verwaltung von shared Mailboxen unterschiedlicher Ausprägung und für deren Provisionierung nach Exchange erweitert. Es fehlen nun noch Funktionsobjekte für Exchange-Verteiler. Für deren Konfiguration und Verwaltung gibt es jedoch ein detailliertes Implementierungskonzept, das 2013 umgesetzt werden kann. Für den autorisierten Mailversand wurde in den Authentifizierungsservern ein eigener Verzeichniscontainer namens Postouts eingeführt, den ein Loopback-Treiber aus den Containern der verschiedenen Mailsysteme provisioniert. Die für den autorisierten Mailversand wichtige Vervollständigung des Datenbestands um Funktionsmailadressen gelang durch vorausgehende Weiterentwicklungen des SIM-Schemas, der SIM-Konnektoren und des Live-Imports aller TUM- und LMU-Funktionskennungen (siehe Abschnitt 12.2). Nach Neuprogrammierung des Webformulars zur Beantragung einer LRZ-Kennung für externe Studierende werden nun auch hier Kennungen nach dem neuen LRZ-Namensschema vergeben und direkt die SIM-Directorys statt die frühere LRZ-Oracle-Datenbank als Zwischenspeicher verwendet. Auch der jährliche Bulkimport der Kennungen der Studenten der Hochschule für Musik und Theater basiert nun vollständig auf Directorys. Zum Ende des Jahres wurde im Id-Portal die Möglichkeit für Master User geschaffen, kurzlebige WLAN- Kennungen für Gäste an den Hochschulen einzurichten, für die die herkömmliche Kennungsvergabe zu aufwändig ist. Die Konnektor-Erweiterung im Backend zum Eduroam-Active-Directory ermöglicht diesen Benutzern den tageweisen WLAN-Zugang über die bewährte Eduroam-Technik. Bei der Provisionierung des MWN-ADS wurde ein Automatismus zur Generierung von Gruppen eingeführt: Spezielle Entitlement-Werte in den Benutzerdaten regeln die Aufnahme von Kennungen in und die Entfernung aus ADS-Gruppen. Dieser Automatismus kann gewinnbringend bei weiteren ADangebundenen Diensten zum Einsatz kommen, um den Zugang zu zielgruppenspezifischen Diensten und Systemen an den Fakultäten zu regeln. Profitieren von diesem Konzept wird zunächst die Verwaltung der VM-Infrastruktur, für die automatisch projektgebundene Gruppen von VM-Administratoren und VM- Server-Bestellberechtigten erzeugt werden. Die dafür notwendigen Erweiterungen in LRZ-SIM und im MWN-ADS-Konnektor sind weitgehend implementiert und werden Anfang 2013 produktiv geführt. Auch für die HPC-Plattformen gab es auf Seiten der Benutzer- und Projektverwaltung einige Neuerungen. Zunächst wurde die Migration auf einheitliche Home-Verzeichnispfade vollzogen und in LRZ-SIM abgebildet. Für das Linux-Cluster wurden in LRZ-SIM neue Kontingentierungsmöglichkeiten der HO- ME- und WORK-Bereiche eingeführt. Beim Höchstleistungsrechner SuperMUC wurden die Rechenzeit- Restkontingente des HLRB II für den SuperMUC skaliert übernommen. Die zukünftige Deprovisionierung der abgelaufenen HPC-Projekte und die Freigabe der von ihnen belegten Speicherbereiche unterstützt LRZ-SIM mit neuen Verwaltungsmöglichkeiten bei Historieneinträgen. Die mysql-provisionierung der LRZ-SIM-Daten von HPC-Projekten und -Benutzern musste auf drei neue Datenbanken aufgeteilt werden, getrennt für den SuperMUC, das Migrationssystem SuperMIG und das Linux-Cluster. Diese Datenbanken dienen als Grundlage für Accounting, Antragsbearbeitung und Statistik-Generierung. Im Vorfeld der Inbetriebnahme des SuperMUC war die Planung und Inbetriebnahme von ausreichend leistungsstarken Authentifizierungsservern erfolgt, wie im folgenden Abschnitt darlegt Entwicklungen im Server- und Dienstbetrieb Für den IDM-Betrieb entscheidend ist die Leistungsfähigkeit der Authentifizierungsserver-Infrastruktur. Zum Aufspüren von Performance-Engpässen oder auch zum Debuggen bei Schwierigkeiten der angebundenen Dienste wurden Logfile-Auswertungsprogramme geschrieben, die die sehr rasch wachsenden LDAP-Logdateien nach Verbindungen und Benutzern gruppieren, die umfangreichen Informationen bündeln und die nicht explizit geloggten Antwortzeiten ermitteln können. Mit diesen Tools und ihrer pipelineartigen Implementierung stand dann eine gute Abschätzung der LDAP-Last zur Verfügung, die vom SuperMUC zu erwarten war. Als geeignetste Basis wurden zwei Servernodes auf dem SuperMUC ausgewählt, motiviert durch die sehr leistungsfähige Hardware einerseits und die zu erwartende extrem hohe LDAP-Last beim Start großer SuperMUC-Jobs andererseits. Mit LRZ-SIM-Unterstützung wurden auf diesen zwei Nodes OpenLDAP-Server eingerichtet, die ihre Daten durch Replikation von den SIM- OpenLDAP-Servern beziehen, wobei der Benutzerumfang auf die HPC-Kennungen eingeschränkt ist.

142 134 Benutzerverwaltung und Verzeichnisdienste Die aktuelle Infrastruktur der LRZ-Authentifizierungsserver mit der Datenprovisionierung über Novell IDM-Treiber (rot Pfeile) bzw. Replikationsmechanismen (graue Pfeile) sowie die beispielhafte Anbindung von Diensten und Servern (unten) ist in Abbildung 79 dargestellt. Dabei ist der Serverbetrieb auf verschiedene LRZ-Gruppen verteilt: Die SIM-Server administriert das Directory-Team (gelb), die SuperMUC-Server die Gruppe HPC (schwarz), die Active-Directory-Server die Gruppe Desktop- Management (violett), und schließlich die Service Load Balancer die Gruppe Netzbetrieb (orange). Abbildung 79 LRZ-Infrastruktur der Authentifizierungsserver Im SIM-Kern ist das tägliche Backup um die Erzeugung von LDIF-Dateien erweitert worden, um im Fehlerfall auch Ausschnitte des Datenbestandes restaurieren zu können. Sicherungen erfolgen sowohl auf die lokale Platte als auch in ein eigenes NAS-Volume. Die LDAP-Server-Konfigurationen werden zusätzlich in Subversion gehalten. Auch die Konfigurationen der SIM-Webserver (Id-Server, Id-Portal, Webservices für Kennungen sowie die Shibboleth Identity-Provider) und die zeitgesteuerten Programme der zentralen Benutzerverwaltung werden auf diese Art mindestens doppelt gesichert. Die neuen, zusätzlichen Möglichkeiten des Backups ersetzen nun die in der Vergangenheit problematische TSM-Sicherung der LDAP-Server, bei denen die Größe in Kombination mit der Dynamik der edirectory- und OpenLDAP- Datenbanken vermehrt zu Fehlern (und damit nicht brauchbaren) Backups geführt hatte. Der SIM-Monitoring-Server wurde virtualisiert, was neben Ressourcenersparnis auch eine bessere Ausfallsicherheit und Administrierbarkeit brachte. Neue Restart-Skripte sichern die Verfügbarkeit der Monitoring-Prozesse selbst. Die von Nagios überwachten Services wurden um dienstspezifische Tests erweitert. Die parallel laufenden, eigenentwickelten LDAP-Monitoring-Tools liefern durch neue Fehlerzustandsspeicher zeitnäher Warnmeldungen, ohne diese Meldungen unnötigerweise zu oft zu wiederholen. Schließlich gab es noch einige Maßnahmen zur weiteren Verbesserung der Sicherheit der Server: Die AFS-Abhängigkeiten, die naturgemäß bei den SIM-Servern besonders ausgeprägt waren, konnten sukzessive reduziert und auf eine letzte Maschine verlagert werden. Ohne AFS konnten die SIM-Server, insbesondere diejenigen, auf denen öffentliche Dienste wie LDAP- oder Webserver laufen, auf die aktuellste SLES-Version angehoben werden. Für diese wegen Sicherheits-Patches erforderliche Version stand nämlich kein AFS-Kernelmodul mehr zur Verfügung. Eine zweite Maßnahme, speziell für die Webserver wie das Id-Portal, war die Konfiguration eines Apache-Modules, um beabsichtigte oder unbeabsichtigte Deni-

143 Jahresbericht 2012 des Leibniz-Rechenzentrums 135 al-of-service-artige Request-Szenarien zu verhindern. Eine dritte Verbesserung der Sicherheit brachte die Revision der SSL-Konfiguration, wodurch auch neueren Angriffsszenarien erfolgreich begegnet wird CampusLMU und TUMonline Annähernd zwei Drittel der aktiven Kennungen im Bestand von LRZ-SIM entstammen den zentralen Verzeichnisdiensten von LMU und TUM (vgl. Tabellen in Abschnitt 12.1). Diese Benutzerdaten werden von IDM-Konnektoren automatisch und ohne Verzögerung in LRZ-SIM synchronisiert und enthalten Attribute, die die Berechtigungen für die vom LRZ erbrachten Dienste bei den einzelnen Kennungen steuern CampusLMU-Anbindung Für die bewährte Kopplung an den CampusLMU-Verzeichnisdienst waren in LRZ-SIM auch 2012 Anpassungen und Erweiterungen notwendig, um die sich wandelnden und erweiterten Dienste des LRZ für die LMU optimal zu unterstützen. Die sogenannten Entitlement-Attribute, die von CampusLMU bei Kennungen gesetzt und in LRZ-SIM übernommen werden, dienen der automatischen Steuerung erweiterter Berechtigungen in LRZ-SIM selbst (Linux für die Physik, Mail und PC für die Biologie I) sowie dem automatischen Erzeugen von Gruppen im MWN-ADS. Für die AD-Anbindung einer Teaming-Software der LMU-Fakultät 11, die nahezu alle LMU-Studenten und viele Mitarbeiter verwenden dürfen, wurde ein solches neues Entitlement eingeführt. Dies bewirkte eine beträchtliche Erhöhung der Zahl von CampusLMU-Kennungen, die nun neu ins MWN-ADS weiterprovisioniert werden. Weiterhin wurde die Verschiebung von Kennungen zwischen LRZ-Projekten, basierend auf Physik- Entitlements für das Linux-Cluster, vollständig automatisiert. Ebenfalls automatisiert wurde die Deprovisionierung dieser Linux-Berechtigungen: CampusLMU-seitig ist kein dienstspezifischer Status gesperrt vor der endgültigen Löschung möglich. Bei Wegfall des Linux-Entitlements löscht deshalb ein LRZseitiges Programm die Linux-Berechtigung und das Linux-Homeverzeichnis erst nach einer 14-tägigen, aus dem Historie-Attribut ermittelten Karenzzeit. Neben den aus Entitlements abgeleiteten Berechtigungen ist die explizite Dienste-Provisionierung durch CampusLMU erweitert worden: So entscheidet nun allein CampusLMU, nach welchen Regeln ein Benutzer VPN- und Eduroam-Berechtigung bekommt, ohne dass auf LRZ-Seite ein manueller Prozess notwendig ist. In LRZ-SIM erforderte dies eine Erweiterung der Regeln, wann zu einer LMU-Person eine LRZ- Kennung angelegt wird. Ein weiterer Schritt in Richtung Automatisierung stellte die Übernahme der LMU-Funktionsmailadressen direkt aus CampusLMU dar. Sie ersetzt damit einerseits manuelle Eintragungen in LRZ-SIM und ermöglicht andererseits auch den autorisierten Versand mit diesen Funktionsmailadressen als Absender. Die Konsolidierung der LMU-Import-Projekte beseitigte die bisherige maildienstspezifische Trennung von Kennungen. Importierte Kennungen können nun gleichzeitig eine CampusLMU-Mailbox und eine lmu.de-weiterleitung haben TUMonline-Anbindung Erweiterungen der Funktionalität des TUMonline-Portals und der in den TUM-Verzeichnissen gespeicherten Objekte machten auch bei der nunmehr schon im zweiten Jahr stabil laufenden Kopplung der TUM- und LRZ-SIM-Verzeichnisdienste Anpassungen erforderlich. Die beiden großen Arbeitsgebiete dabei waren die Übernahme von Funktionsobjekten sowie die Zusammenführung von Status- und Berechtigungsinformationen mit fremd- und LRZ-vergebenen Diensten. Obwohl das Schema der TUM-Funktionsobjekte mittlerweile sehr komplex ist, konnte die Kopplung erfolgreich um diese Objekte erweitert und auf Funktionskennungen im LRZ-SIM-Schema abgebildet werden. Eine Hürde bildete die Generierung von Personenobjekten und -referenzen, die in den TUM- Verzeichnissen nicht separat vorhanden sind. Die TUM-Funktionsmailadressen, die in früherer Zeit manuell in LRZ-SIM eingetragen wurden, können nun sukzessiv konsolidiert und über TUMonline verwaltet werden. Zudem haben mit den Funktionsobjekten nun sowohl der LRZ-Servicedesk wie auch Administratoren im Id-Portal einen kompletten Überblick über alle TUM-Kennungen.

144 136 Benutzerverwaltung und Verzeichnisdienste Zusätzlich zu den von TUMonline importierten Kennung sind nach wie vor von Master Usern verwaltete Kennungen in längerfristigen Projekten erforderlich, etwa für die Hochleistungsrechner, für Webserver und für TSM-Backup und -Archivierung. Für einen besseren Überblick erhalten die TUM- Verantwortlichen (CIO, Verwaltung) monatlich eine Liste der Master User von TUM-Projekten. Die aus SIM-Sicht einfachen Dienstberechtigungen, etwa für die WebDNS-, Netzverantwortlichen oder Monitoring-Portale, können in LRZ-SIM zusätzlich auf TUM-Kennungen vergeben werden. Bei solchen Kennungen, deren Berechtigungen aus unterschiedlichen Quellen stammen, mussten jedoch geeignete Lösungen zur Deprovisionierung im TUM-Konnektor gefunden werden MWN Active Directory Als weiteren großen Infrastrukturdienst betreibt das LRZ für das MWN ein mandantenfähiges Active Directory (AD). Der Aufbau des zentralen, MWN-weiten AD wurde im Jahr 2007 im Rahmen der Bereitstellung von Exchange und den Fileservices für den MWN-Speicher auf Basis von NetApp mit CIFS notwendig. Dieses MWN-AD ist so angelegt, dass einzelne, große Institutionen wie LMU, TUM oder die BAdW voneinander getrennt agieren können. Ziel ist es dabei, Synergien bei der Administration von Desktop- PCs zu erschließen und Mehrwerte im Funktionsumfang für Anwender und Administratoren nutzen zu können. Dieses Remote Desktop Management Serviceangebot ist seit langem am LRZ erprobt. Jede Organisationseinheit erhält eine vordefinierte Unterstruktur (Organisational Unit, OU) in diesem Directory, die wiederum in Fakultäten und Lehrstühle weiter untergliedert werden kann. Auf diesen Ebenen können von einem sog. Teil-Administrator des Kunden Computerkonten eingetragen und verwaltet werden. Damit es nicht zu Namenskonflikten kommt, wurde ein verbindliches Namenskonzept für Objekte im Active Directory entwickelt. Zur Erfüllung ihrer Aufgaben wird den Teil-Administratoren ein Set an Werkzeugen über zwei Terminalserver zur Verfügung gestellt. Die Einrichtung dieser Organisationsstrukturen wurde in 2008 für die TU München umgesetzt und wird stetig in Absprache mit der TU München angepasst. Für die LMU wird die Struktur bei Bedarf angelegt. Die Benutzerkonten und zentralen Gruppen werden über die beiden Metadirs (SIM, TUM) am LRZ weitestgehend automatisiert gepflegt. Dabei kommen Softwarelösungen der Firma Novell zum Einsatz. Mit dem MWN Active Directory können alle Clients ab Windows 2000 verwaltet, Mac OS X und Linux- Systeme integriert werden. Momentan sind aus den Mandanten TUM, LMU, HMT, BVB und BAdW rund (Vorjahr: 3.550) Rechner im MWN-AD integriert. Es wurden bisher 508 (398) Teiladmins aus 302 (227) Einrichtungen registriert und in 2012 haben sich an der Infrastruktur rund (21.000) verschiedene Nutzer angemeldet. Dabei wurden Dienste wie der MWN-Speicher, die Groupware Exchange oder die Anmeldung an ins MWN-AD integrierte Clientrechner genutzt. Seit 2009 erfolgt die Provisionierung der Benutzerkonten der TU München aus den Metadirs in das Active Directory durch den Identity Manager Driver for Scripting von Novell, der Attributsänderungen an vom LRZ selbstentwickelten PowerShell Skripten an die AD-Seite übergibt. Dadurch wird eine enorme Flexibilität beim Verarbeiten und der Fehlerbehandlung von Ereignissen erreicht. In 2012 wurden die Skripte weiter angepasst und bei der Verarbeitung von Funktionsobjekten wie Gruppen, shared Mailboxen, Ressourcenmailboxen und Verteilerlisten weiter verfeinert. Viel Zeit floss auch in diesem Jahr in die Planung und Abstimmung mit der TUM. Um den Übergang von Berechtigungen bei der Vergabe oder dem Entzug von Berechtigungen für Kennungen abzubilden, sollen in Zukunft Dienstübergänge definiert werden. Dadurch lassen sich dann einzelne Berechtigungen im MWN-AD, MWN-Speicher und Exchange unabhängig voneinander vergeben. Die Realisierung ist für 2013 geplant. Um auch Gruppierungen im LRZ-SIM Verzeichnis umzusetzen ist mit der Provisionierung von Entitlements als Benutzerinformation eine einfache Art der Gruppierung von Benutzerobjekten im MWN Active Directory implementiert worden. Dieser Mechanismus kann nun von der LMU direkt genutzt werden um Gruppen ohne Zutun des LRZ im MWN-AD zu pflegen. In 2012 wurde für notwendige Infrastrukturdienste wie dem SCCM 2012 eine ins MWN-AD integrierte Windows Zertifizierungsstelle aufgebaut. Über die CA werden seit 2012 automatisiert Computerzertifikate an alle konfigurierten Windows Clients verteilt.

145 Jahresbericht 2012 des Leibniz-Rechenzentrums DFN-AAI/Shibboleth Föderiertes Identity Management (FIM) auf Basis der Software Shibboleth ermöglicht es Benutzern, Webdienste, die außerhalb ihrer eigenen Hochschule oder Einrichtung angesiedelt sind, mit der lokalen Hochschulkennung zu nutzen. Den organisatorischen Rahmen für einen solchen Diensteverbund stellt die DFN-AAI-Föderation dar. Als Authentifikationskomponenten, sogenannte Identity Provider (IdP), betreibt das LRZ in der DFN-AAI neben dem eigenen LRZ-IdP auch die IdPs für die LMU und die TUM. Die IdPs nutzen dabei als Datenbasis die SIM- und TUM-Verzeichnisdienste. Die großen Vorteile der Shibboleth-Authentifizierung, auch für nur hochschullokale Dienste, gegenüber einer LDAP-Anbindung sind: Datenschutz: bedarfsgetriebene und vom Benutzer explizit zu genehmigende Weitergabe persönlicher Daten nur an die Dienste, die der Benutzer wirklich nutzt (keine universell leseberechtigten LDAP-Proxy-User, kein User-Provisioning auf Vorrat) Sicherheit: Passworteingabe ausschließlich am IdP der Heimat-Einrichtung statt bei jedem Webdienst extra, und damit u.a. Schutz vor Phishing Komfort: Einmalige Passworteingabe für Zutritt zu allen Webdiensten während einer Browser- Session (Single-Sign-on) Entwicklungen im Identity-Provider-Dienstbetrieb Bei den drei Servern für die TUM-, LMU- und LRZ-IdPs lag der Schwerpunkt der Weiterentwicklung auf der informationellen Selbstbestimmung: Die Konfiguration der Benutzerdatenfreigaben wurde grundlegend überarbeitet und an vorgegebene DFN-Standards angepasst. Trotzdem die Benutzer im Gegensatz zu einer LDAP-Authentifizierung vor der Nutzung eines Webdienstes der Weitergabe ihrer persönlichen Daten explizit zustimmen müssen (Digital ID Card), konnte die Menge dieser Daten IdP-seitig vorab weiter eingeschränkt werden: Erstens wird der edupersonprincipalname nur noch an diejenigen Webdienste übertragen, die explizit Bedarf an diesem Identifikator angemeldet haben. In der Regel können die Dienste einen Benutzer bei späteren Logins allein aufgrund eines automatisch berechneten Pseudonyms (edupersontargetedid) seinem bisherigen Profil zuordnen. Zweitens werden die Entitlement-Werte, die Voraussetzung z.b. für den Zugriff auf kostenpflichtige Online-Publikationen sind, gefiltert und dedizierter für einzelne SPs weitergegeben. Ein sehr sporadisch auftretender, aber dann schwerwiegender Fehler der Shibboleth-Software verhinderte zeitweise, dass die Metadaten aus den Föderationen automatisch aktualisiert wurden. Das Problem konnte dadurch entschärft werden, dass ein eigenentwickeltes Programm regelmäßig die Restgültigkeitsdauer aller Zertifikate in den Metadaten geprüft. Seit Mitte 2012 ist im LRZ-IdP die Voraussetzung dafür geschaffen, dass über dessen Authentifikation auch Dienste außerhalb Deutschlands genutzt werden können; genauer: Dienste, die über die Metaföderation edugain zugänglich sind. EduGAIN ist eine Föderation von Föderationen, zu der seit 2012 auch der DFN-AAI gehört. Technisch ist hier die explizite Einbindung der edugain-metadaten notwendig für alle Dienste, die nicht auf tieferer Ebene wie DFN-AAI oder einrichtungslokalen Freigaben erreichbar sind. Es handelt sich dabei um ein Opt-in-Verfahren, d.h. Identity- und Service-Provider müssen bei der DFN- AAI explizit zur Aufnahme in edugain gemeldet werden wird auch die Aufnahme der IdPs von TUM und LMU beantragt Anpassungen für spezielle Service Provider Für zwei sehr nützliche Dienste den Transfer großer Datenmengen (GigaMove) und den DFN- Webkonferenzdienst wurde die Freischaltung der drei IdPs bei den jeweiligen Service Providern veranlasst und die Freigabe der notwendigen Attribute im IdP konfiguriert. Ein Pilotprojekt stellte die Einbindung des SPs für die Online-Abstimmung über die Einführung eines Semestertickets in München dar, weil hier mit den Verantwortlichen von TUM, LMU und HM nicht nur Fragen des Datenschutzes, sondern auch spezielle Anforderungen bei Senioren- und Promotionsstudenten, Doppel- und Zweit-Studiengängen zu lösen waren. Zudem mussten Mechanismen zur Verhinderung von doppelter Stimmabgabe gefunden werden.

146 138 Benutzerverwaltung und Verzeichnisdienste Daneben gab es eine Reihe von zumeist hochschullokalen Diensten, die Shibboleth-Authentifikation nutzen und von den IdPs eine erweiterte Berechnung und Freigabe von Benutzerattributen benötigten. Dabei handelte es sich um Dienste wie Wiki-, Blog- und Evaluations-Server, weitere TUM-Typo3-Instanzen und LMU-Moodle-Instanzen (Medizin, Chemie, Physik, BWL). Für Berechtigungen, die nicht das Identity-Management-System selbst, sondern wie im Falle der vhb- Kurse ein Dritt-Dienstleister mittels Entitlement-Werten vergibt und verwaltet, wurde eine Lösung mit Zwischenspeicherung in der lokalen Datenbank der Identity-Provider-Server implementiert. Damit sind IdP-seitig diese Attribute nun ganz von den Directorys entkoppelt, um Seiteneffekte von Konnektoren (Löschung aller Entitlement-Werte) zu vermeiden. Nach erfolgreichem Login werden die in der Datenbank gespeicherten Werte dann zusätzlich zu den aus dem Directory ausgelesenen Entitlements in der Benutzerfreigabe angezeigt und an den Service Provider ausgeliefert. Leider wird die Möglichkeit der Autorisierung für vhb-kurse über die beim Shibboleth-Login mitgelieferten Attribute nach wie vor von keinem Moodle-Betreiber unterstützt.

147 Jahresbericht 2012 des Leibniz-Rechenzentrums Dienste mit Sondervereinbarungen 13.1 Bibliotheksverbund Bayern Zur Erhöhung der Redundanz der Bibliothekssysteme wurde eine Planung erstellt, die vorsieht, die Clustersysteme auf die Brandabschnitte zu verteilen. Im Serverraum in DAR1, der in einem anderen Brandabschnitt liegt, wurden die technischen Vorbereitungen zur Installation der Clusterrechner durchgeführt. Um die Speicherkomponenten auf die Brandabschnitte zu verteilen, müssen weitere Speichersysteme beschafft werden. Dazu wurde ein Antrag für Großgeräte der Länder gestellt. Der Antrag wurde ohne Abzüge genehmigt, die Ausschreibung ist für 2013 in Vorbereitung. Weiterhin wurde die Ersetzung des jetzigen Firewallclustersystems, das schon heute den Datenverkehr nicht mehr komplett verwalten könnte, geplant. Für den Backupverkehr wurde dabei eine Lösung auf kostenfreier Open Source Software (pfsense) auf Althardware aufgebaut, um so den Betrieb aufrechterhalten zu können. Der Ersatz des Firewallclustersystems und die Verteilung des Clusters auf die beiden Brandabschnitte ist auch Teil des oben genannten Antrags und der Ausschreibung. In Kooperation mit der Bayerischen Staatsbibliothek wurde das System zur Langzeitarchivierung Rosetta von Ex Libris nach einer zweijährigen Projektphase jetzt produktiv geführt. Das LRZ betreibt die Plattform und betreut das Betriebssystem sowie den zugehörigen Datenbankcluster und die angeschlossenen Speichersysteme. Die Archivierung der Daten erfolgt auch durch das vom LRZ betriebene Backupsystem Tivoli Storage Manager von IBM Managed Hosting für hochschulstart.de In diesem Jahr etablierte die Stiftung für Hochschulzulassung (Stiftung öffentlichen Rechts) als Nachfolger der Zentralstelle für die Vergabe von Studienplätzen (ZVS) gemäß dem Auftrag der Kultusministerkonferenz das bundesweite, zentrale "Dialogorientierte Serviceverfahren" für die Vergabe von Studienplätzen. Der Wirkbetrieb, an dem sich grundsätzlich alle deutschen Hochschulen beteiligen können, wurde im April gestartet. Über eine Web-Applikation können sich Bewerber bei mehreren Hochschulen bewerben. Somit sind Letztere in der Lage, eine effizientere Bewerberauswahl, genauer gesagt Zu- oder Absagen zu treffen. Das LRZ, das im Vorjahr die Entwicklung der neuen Plattform technisch begleitet hat, ist für den Infrastrukturbetrieb zuständig; das Managed Hosting für die neue Applikation verlief aus Sicht des LRZ störungsfrei. Die Applikation selbst wird von der Firma T-Systems Multimedia Solutions (MMS) betreut.

148 140 IT-Sicherheit 14 IT-Sicherheit 14.1 Antivirus Auf der Grundlage eines Landesvertrages über die Antiviren-Software der Fa. SOPHOS betreibt das LRZ eine Service-Infrastruktur zur automatischen Verteilung und Installation von SOPHOS-Virensignaturen für alle Nutzer im Münchner Wissenschaftsnetz, verbunden mit entsprechenden Beratungsleistungen zur Nutzung für Endbenutzer und CID-Betreibern in Bayern. Der Dienst wird täglich von rund Clients im MWN genutzt. Der gesamte First-Level-Support wird inzwischen von den Auszubildenden am LRZ geleistet. (Weiterführende Serviceinformationen siehe: WSUS Zur Versorgung von Clients im MWN mit Sicherheitsupdates für Windows-Betriebssysteme und Microsoft Applikationen wie Internet Explorer oder Office wird der Windows Software Update Service (WSUS) als MWN-weiter Dienst angeboten. Der Service ist seit längerem mit guten Erfahrungen innerhalb des LRZ in Gebrauch und kann auch von allen Endkunden im MWN über das LRZ benutzt werden. Der Dienst wird täglich aktiv von rund Rechnern genutzt. (Weiterführende Serviceinformationen siehe: Virtuelle Firewall Das LRZ betreibt 5 Cisco Firewall Service Module (FWSM), die sich auf verschiedene Backbone-Router im Münchner Wissenschaftsnetz (MWN) verteilen, und zwei ASA zentral am LRZ (technische Details siehe Jahresbericht 2009). Derzeit werden damit rund 115 Kunden (104 im Vorjahr) mit virtuellen Firewalls (VFW) bedient. Abbildung 80 Entwicklung der Anzahl von Kunden-VFWs Abbildung 81 zeigt die Web-Schnittstelle zur Administration einer VFW.

149 Jahresbericht 2012 des Leibniz-Rechenzentrums 141 Abbildung 81 Web-Schnittstelle Adaptive Security Device Manager (ADSM) Die beiden zentralen ASA sollten im High-Availability-Modus (HA) in Betrieb genommen werden. Das wurde möglich, da die neueste Betriebssystemversion von Cisco sogenannte Shared-Licenses zulässt. Das bedeutet, dass jetzt nur noch eine Lizenz pro VFW benötigt wird, die für beide ASA gilt. Zuvor fielen im HA-Betrieb doppelte Lizenzkosten an, da pro VFW und pro ASA eine Lizenz benötigt wurde. Leider stellte sich diese und alle folgenden Betriebssystemversionen als so fehlerhaft heraus, dass der geplante HA-Betrieb zurückgestellt werden musste. Um die Ausfallsicherheit zu erhöhen, wurde eine ASA räumlich getrennt von der anderen aufgestellt. Diese befindet sich nun im Erweiterungsbau des Rechnerwürfels. Alle VFWs wurden für den Einsatz mit IPv6 vorbereitet. Viele Netze hinter den Firewalls haben bereits IPv6 Interface-Adressen erhalten und sind somit nativ mit IPv6 versorgt. Die Planungen für die Ersetzung der FWSMs haben begonnen. Als Folge der Ersetzung der Backbone- Router 2013 können die FWSMs nicht weiter betrieben werden, da die neue Router-Plattform nicht mit den vorhandenen FWSMs kompatibel ist. Dazu gab es bereits Gespräche und Produktpräsentationen 14.4 Sicherheitswerkzeuge und Sicherheitsmanagement Secomat Das automatische proaktive Intrusion Prevention System (IPS) Secomat (vormals NAT-o-MAT) besteht derzeit aus einem Cluster mit 4 Nodes (Geschichte siehe Jahresbericht 2007 und 2009). Jeder Node kann eine theoretische Datenübertragungsrate von 10Gbit/s bewältigen. Die eingesetzte Technik zur Lastverteilung spaltet jedoch nur einmal 10Gbit/s auf die 4 Nodes auf. Diese Obergrenze wird vom MWN- Backbone vorgegeben, das auf dem 10-Gbit/s-Ethernet-Standard fußt.

150 142 IT-Sicherheit Die folgenden Abbildungen zeigen Datenübertragungsraten, Benutzer und gesperrte Benutzer des Secomat-Clusters im Zeitraum von einer Woche. Abbildung 82 Secomat1 Abbildung 83 secomat2 Abbildung 84 secomat3 Abbildung 85 secomat4 Die folgende Tabelle zeigt die Spitzenwerte bei Datenübertragungsrate und gleichzeitigen Benutzern. Eingehende Datenübertragungsrate Ausgehende Datenübertragungsrate Secomat-Cluster ca. 2,3 Gbit/s ca. 3,7 Gbit/s Gleichzeitige Benutzer ca Tabelle 19: Spitzenwerte der eingehenden und ausgehenden Datenübertragungsrate, sowie der Benutzeranzahl Der Secomat-Cluster zeigt sich im Betrieb zuverlässig. Probleme im Betrieb macht im Großen und Ganzen hauptsächlich Skype, das sich vermutlich aufgrund der Distanz zwischen Secomat und Skype-Client im MWN so verhält, als sei es nicht hinter einem NAT-Gateway (laut Dokumentation soll Skype erkennen können, ob es sich hinter einem NAT-Gateway befindet). Das führt dazu, dass Skype-Clients mit privaten IP-Adressen zu sogenannten Supernodes werden und dann wegen ihres auffälligen Kommunikationsverhaltens durch den Secomat gesperrt werden. Die Sperrungen können am Secomat leider nicht verhindert werden, da sich das auffällige Kommunikationsverhalten der Skype-Clients nicht zuverlässig von Netzmissbrauch wie z.b. Portscans unterscheiden lässt. Deshalb muss das Verhalten des Skype- Clients auf dem Client-PC beeinflusst werden. Je nach Betriebssystem gibt es dafür unterschiedliche Lösungen. Zur Unterstützung der LRZ-Kunden wurde dazu eine ausführliche FAQ im Webserver des LRZ eingestellt. Die FAQ wurde um eine benutzerfreundliche Variante für Apples OS X ergänzt. Das LRZ

151 Jahresbericht 2012 des Leibniz-Rechenzentrums 143 stellt in diesem Fall ein vorkompiliertes Apple Script zur Verfügung, mit dem die erforderlichen Einstellungen per Mausklick durchgeführt werden (siehe https://www.lrz.de/fragen/faq/netz/netz10/). Um die Ausfallsicherheit zu erhöhen, wurde der Secomat-Cluster räumlich aufgeteilt: 2 Nodes wurden in den Erweiterungsbau des Rechnerwürfels migriert, während die restlichen 2 Nodes im alten Rechnerwürfel verblieben. Zusätzlich wurden die doppelt ausgelegten IP-Netze für die Cluster-Kommunikation physisch von den Administrations- und Strom-Management-Netzen getrennt Security Information & Event Management Die Detektion sicherheitsrelevanter Ereignisse erfolgt weiterhin am zentralen Übergang aus dem MWN ins X-WiN. Die dafür eingesetzte Sensorik umfasst zum einen ein signaturbasiertes Intrusion Detection System (IDS) und parallel dazu ein Accounting-System. Der vom IDS verwendete Regelsatz wurde auch 2012 an die aktuelle Bedrohungslage angepasst und um Signaturen ergänzt, die neue Schadsoftware erkennt, die auf MWN-Systemen trotz regelmäßig durchgeführter Aktualisierung des Betriebssystems und der Software installiert werden konnte. So zeigte sich 2012 ein deutlicher Anstieg der Infektionen mit dem Trojanischen Pferd Zeus. Dieses verfolgt durch Kombination verschiedener Angriffstechniken das Ziel, für den Nutzer unbemerkt in Online-Banking-Kommunikation einzugreifen, um dabei genutzte Zugangsdaten, PINs und TANs zu stehlen. Die anschließende missbräuchliche Verwendung dieser Daten hat meist schlimme finanzielle Folgen für den Kontoinhaber. Die bewährte Identifikation Spam-versendender Systeme und von Portscan- und Denial-of-Service-Angriffen aus dem MWN heraus funktionierte überaus zuverlässig und ergänzte das nur auf bekannte Angriffe abzielende IDS um eine Anomalie-basierte Erkennung. Die Auswertung und Korrelation der Ereignisse sowie die Alarmierung der zuständigen Netzverantwortlichen und Systemadministratoren erfolgte weiterhin durch das am LRZ seit einiger Zeit eingesetzte Security Information & Event Management System (SIEM). Durch Event-Aggregation und Sensorübergreifende Korrelation von Alarmmeldungen konnte ein erster Verdacht zuverlässig erhärtet oder entkräftet werden. Die Anzahl fälschlicherweise gemeldeter Auffälligkeiten konnte dadurch auf nahezu Null reduziert werden. Ein manuelles Eingreifen durch die LRZ-Abuse-Teammitglieder war nurmehr in wenigen Einzelfällen erforderlich, was auf die von der SIEM-Lösung angebotenen automatischen Reaktionsmöglichkeiten zurückzuführen war wurde, um die Erkennungsraten der eingesetzen Mechanismen weiter zu erhöhen und die knappen Systemressourcen noch effektiver zu nutzen, eine Bandbreitenmanagement-Lösung evaluiert. Zielsetzung war weniger ein aktives Eingreifen in die Kommunikation und das Beschränken der Bandbreite bestimmter Applikationen, sondern vielmehr eine Klassifikation des MWN-Netzverkehrs. Grundsätzlich sollten an dieser Stelle folgende Fragestellungen beantwortet werden: Welche Applikationen und Protokolle werden im Münchner Wissenschaftsnetz verwendet und welchen prozentualen Anteil haben diese am Gesamtverkehrsaufkommen? Sind nennenswerte Unterschiede bei ein- und ausgehender Kommunikation erkennbar? Welche Netzbereiche besitzen monatlich das größte Verkehrsaufkommen? Sind die eingesetzten Netzkomponenten ausreichend dimensioniert? Ließe sich die genutzte Bandbreite ausgewählter Applikationen zu bestimmten Zeiten begrenzen oder nur nicht-verschlüsselter Traffic an das IDS weiterleiten? Können Applikationen selektiv priorisiert werden? Als Ergebnisse lassen sich u.a. festhalten, dass die im Rahmen der Tests durchgeführte Klassifikation die bisherige Vermutung des LRZ weitestgehend bestätigte. Streaming-Media und der Einsatz verschlüsselter Protokolle nehmen einen beachtlichen Anteil des MWN-Netztraffics ein, was besonders die Erkennung durch das IDS zunehmend erschweren wird. Desweitern würden sich die Reaktionsmöglichkeiten der SIEM-Lösung sinnvoll erweitern lassen. So könnte eine länger anhaltende Übertragung größerer Datenmengen, welche sich oftmals negativ auf die übrigen Kommunikationsparteien auswirkt, durch gezielt angestoßenes Traffic Shaping Bandbreiten-technisch reglementiert werden. Dennoch wird auf eine derart aktive Regulierung durch Bandbreitenbegrenzung oder Priorisierung auch zukünftig im MWN verzichtet, auch wenn diese mit dem evaluierten Produkt problemlos möglich wäre. Die Einführung des IPv6-Protokolls im MWN ist in naher Zukunft weitestgehend abgeschlossen. Die erwartete IPv6-Unterstützung der LRZ-SIEM-Lösung ist, trotz mehrfacher Zusage des Herstellers, nicht vorhanden, so dass über einer Ersetzung nachgedacht werden muss. Diese soll neben einem um weitere

152 144 IT-Sicherheit Sensoren ergänztes Event-Management, ein vollständig IPv6-fähiges Assetmanagement besitzen. Eine performante Auswertungsmöglichkeiten auch für Netflow-basierte Ereignisdaten, sowie erweiterte Korrelations- und Auswertemöglichkeiten, sowie LRZ- und MWN-spezifische Reportingfunktionen sind wichtige zu erfüllende Anforderungen Nessi Das über den im ID-Portal anwählbaren Menüpunkt Dienste für Netzverantwortliche ist ein Self- Service Portal für Netzverantwortliche. Netzverantworlichen wird es damit ermöglicht Informationen aus ihrem Netzbereich abzufragen (z.b. Mac-Adressen, per DHCP vergebene Adressen). Einfache Service- Requests können über dieses Portal an das LRZ verschickt werden. Das Portal wurde an die veränderte Struktur (DHCP-Server etc.) angepasst, und soll in Zukunft weitere Funktionen erhalten Nyx Abbildung 86 Nessi Portal Das Sicherheits- und Netzmanagementwerkzeug Nyx, mit dem einzelne Rechner im MWN lokalisiert werden können, liefert nach Eingabe einer bestimmten MAC- oder IP-Adresse den Switchport, an dem der Rechner angeschlossen ist. Außerdem wird, falls hinterlegt, die Bezeichnung der Netzwerkdose ausgegeben, zu welcher diese Switchports gepatcht ist. Dies ist gerade auch im Hinblick auf das schnelle Auffinden von Rechnern/Telefonen wichtig. Nyx überprüft dabei ca (Vorjahr: 1.250) Switche und fragt ca (Vorjahr: 1.800) Access- Points ab. Die Endgeräteanzahl innerhalb des MWNs steigt weiterhin deutlich, ebenso die Anforderungen an die Fähigkeiten dieses System. Bei der Bearbeitung von Missbrauchsfällen beispielsweise zum Auffinden infizierter Rechner ist es sehr nützlich. Für administrative Zwecke (Powercycling via PoE) werden die Daten aus Nyx ebenfalls verwendet.

Das Leibniz-Rechenzentrum

Das Leibniz-Rechenzentrum Andreas Heddergott, LRZ Das Leibniz-Rechenzentrum Das Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften ist der IT-Dienstleister der Münchner Universitäten und Hochschulen. Es bietet weit

Mehr

Centre of Excellence for High Performance Computing Erlangen Kompetenzgruppe für Supercomputer und Technisch-Wissenschaftliche Simulation

Centre of Excellence for High Performance Computing Erlangen Kompetenzgruppe für Supercomputer und Technisch-Wissenschaftliche Simulation 1 Centre of Excellence for High Performance Computing Erlangen Kompetenzgruppe für Supercomputer und Technisch-Wissenschaftliche Simulation Dr. G. Wellein, Regionales Rechenzentrum Erlangen Supercomputer

Mehr

Orientierungsveranstaltungen 2009 Informatikstudien der Universität Wien

Orientierungsveranstaltungen 2009 Informatikstudien der Universität Wien Orientierungsveranstaltungen 2009 Informatikstudien der Universität Wien Scientific Computing 07. Oktober 2009 Siegfried Benkner Wilfried Gansterer Fakultät für Informatik Universität Wien www.cs.univie.ac.at

Mehr

Virtualisierung am Beispiel des LRZ Stefan Berner berner@lrz.de

Virtualisierung am Beispiel des LRZ Stefan Berner berner@lrz.de Virtualisierung am Beispiel des LRZ Stefan Berner berner@lrz.de Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften Agenda Einleitung Vor- und Nachteile der Virtualisierung Virtualisierungssoftware

Mehr

Kaum irgendwo auf der Welt gibt es bessere Möglichkeiten hierzu als in Garching mit seinen exzellenten Hochschul- und Forschungseinrichtungen.

Kaum irgendwo auf der Welt gibt es bessere Möglichkeiten hierzu als in Garching mit seinen exzellenten Hochschul- und Forschungseinrichtungen. Sperrfrist: 29.06.2015, 13.00 Uhr Es gilt das gesprochene Wort. Grußwort des Bayer. Staatsministers für Bildung und Kultus, Wissenschaft und Kunst, Dr. Ludwig Spaenle, bei der Inbetriebnahme der Phase

Mehr

Mai 2014 LRZ-Bericht 2014-01

Mai 2014 LRZ-Bericht 2014-01 Jahresbericht 2013 Mai 2014 LRZ-Bericht 2014-01 Jahresbericht 2013 des Leibniz-Rechenzentrums i Inhaltsverzeichnis Vorwort... 1 1 Überblick... 3 2 Hochleistungsrechnen und Grid... 5 2.1 Supercomputing...

Mehr

ZKI AK Supercomputing Herbsttagung 2012 20.-21.09.2012. Scientific Computing in Düsseldorf

ZKI AK Supercomputing Herbsttagung 2012 20.-21.09.2012. Scientific Computing in Düsseldorf ZKI AK Supercomputing Herbsttagung 2012 20.-21.09.2012 Scientific Computing in Düsseldorf Peter Schreiber schreiber@hhu.de 0211-81-13913 http://www.zim.hhu.de ZKI Arbeitskreis Supercomputing 20.-21.09.2012

Mehr

Security Knowledge Management auf Basis einer Dokumentenvorlage für Sicherheitskonzepte. Felix von Eye Leibniz-Rechenzentrum, Garching bei München

Security Knowledge Management auf Basis einer Dokumentenvorlage für Sicherheitskonzepte. Felix von Eye Leibniz-Rechenzentrum, Garching bei München auf Basis einer Dokumentenvorlage für Sicherheitskonzepte Felix von Eye Leibniz-Rechenzentrum, Garching bei München 18.02.2014 Leibniz-Rechenzentrum (LRZ) Rechenzentrum für Münchner Universitäten und Hochschulen

Mehr

Cloud-Computing Seminar - Vergleichende Technologien: Grid-Computing Hochschule Mannheim

Cloud-Computing Seminar - Vergleichende Technologien: Grid-Computing Hochschule Mannheim Sven Hartlieb Cloud-Computing Seminar Hochschule Mannheim WS0910 1/23 Cloud-Computing Seminar - Vergleichende Technologien: Grid-Computing Hochschule Mannheim Sven Hartlieb Fakultät für Informatik Hochschule

Mehr

Storage Summit 2014. Zellescher Weg 14 Willers-Bau A206 Tel. +49 351-463 - 35450

Storage Summit 2014. Zellescher Weg 14 Willers-Bau A206 Tel. +49 351-463 - 35450 Storage Summit 2014 Zellescher Weg 14 Willers-Bau A206 Tel. +49 351-463 - 35450 Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Zentrale wissenschaftliche Einrichtung der Technischen Universität

Mehr

Storage-Trends am LRZ. Dr. Christoph Biardzki

Storage-Trends am LRZ. Dr. Christoph Biardzki Storage-Trends am LRZ Dr. Christoph Biardzki 1 Über das Leibniz-Rechenzentrum (LRZ) Seit 50 Jahren Rechenzentrum der Bayerischen Akademie der Wissenschaften IT-Dienstleister für Münchner Universitäten

Mehr

Kommission für Informatik Leibniz-Rechenzentrum

Kommission für Informatik Leibniz-Rechenzentrum Kommission für Informatik Leibniz-Rechenzentrum In ihrer regulären Sitzung am 14.12.2012 befasste sich die Kommission mit dem Abschluss der Installation des neuen Höchstleistungsrechners SuperMUC für das

Mehr

bw-grid Cluster in Mannheim

bw-grid Cluster in Mannheim bw-grid Cluster in Mannheim Dr. Heinz Kredel mit Helmut Fränznick, Rudi Müller, Steffen Hau, Andreas Baust Inhalt Grid und D-Grid BMBF Projekt bw-grid Cluster Stand: Aufbau und Inbetriebnahme Benutzung

Mehr

Frederik Wagner Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften

Frederik Wagner Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften Erfahrungen mit Single-Namespace NFS im HPC-Umfeld Frederik Wagner Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften Das Linux-Cluster am LRZ 2 Speichersysteme am Linux-Cluster Homeverzeichnisse

Mehr

Sicherheitsaspekte der Langzeitarchivierung am Leibniz- Rechenzentrum. 09. Juni 2011. Rosa Freund Rosa.Freund@lrz.de

Sicherheitsaspekte der Langzeitarchivierung am Leibniz- Rechenzentrum. 09. Juni 2011. Rosa Freund Rosa.Freund@lrz.de Sicherheitsaspekte der Langzeitarchivierung am Leibniz- Rechenzentrum 09. Juni 2011 Rosa Freund Rosa.Freund@lrz.de Das Leibniz-Rechenzentrum ist Gemeinsames Rechenzentrum für alle Münchner Hochschulen

Mehr

MOGON. Markus Tacke HPC ZDV. HPC - AHRP Markus Tacke, ZDV, Universität Mainz

MOGON. Markus Tacke HPC ZDV. HPC - AHRP Markus Tacke, ZDV, Universität Mainz MOGON Markus Tacke HPC ZDV HPC - AHRP Was ist Mogon allgemein? Das neue High Performance Cluster der JGU Ein neues wichtiges Werkzeug für Auswertung von Messdaten und Simulationen Beispiele Kondensierte

Mehr

init.at informationstechnologie GmbH Tannhäuserplatz 2/5.OG 1150 Wien Austria

init.at informationstechnologie GmbH Tannhäuserplatz 2/5.OG 1150 Wien Austria init.at informationstechnologie GmbH Tannhäuserplatz 2/5.OG 1150 Wien Austria Seite 2 von 10 1 Inhaltsverzeichnis 2 Warum CORVUS by init.at... 3 3 Ihre Vorteile durch CORVUS... 3 4 CORVUS Features... 4

Mehr

IKM-Dienstleistungen des ZIM

IKM-Dienstleistungen des ZIM IKM-Dienstleistungen des ZIM KIM 16.09.2009 Univ.-Prof. Dr.-Ing. Stephan Olbrich Zentrum für Informations- und Medientechnologie (ZIM) sowie Lehrstuhl für IT-Management / Institut für Informatik Heinrich-Heine-Universität

Mehr

Big Data in der Forschung

Big Data in der Forschung Big Data in der Forschung Dominik Friedrich RWTH Aachen Rechen- und Kommunikationszentrum (RZ) Gartner Hype Cycle July 2011 Folie 2 Was ist Big Data? Was wird unter Big Data verstanden Datensätze, die

Mehr

Cloud-Computing. 1. Definition 2. Was bietet Cloud-Computing. 3. Technische Lösungen. 4. Kritik an der Cloud. 2.1 Industrie 2.

Cloud-Computing. 1. Definition 2. Was bietet Cloud-Computing. 3. Technische Lösungen. 4. Kritik an der Cloud. 2.1 Industrie 2. Cloud Computing Frank Hallas und Alexander Butiu Universität Erlangen Nürnberg, Lehrstuhl für Hardware/Software CoDesign Multicorearchitectures and Programming Seminar, Sommersemester 2013 1. Definition

Mehr

Ein kleiner Einblick in die Welt der Supercomputer. Christian Krohn 07.12.2010 1

Ein kleiner Einblick in die Welt der Supercomputer. Christian Krohn 07.12.2010 1 Ein kleiner Einblick in die Welt der Supercomputer Christian Krohn 07.12.2010 1 Vorschub: FLOPS Entwicklung der Supercomputer Funktionsweisen von Supercomputern Zukunftsvisionen 2 Ein Top10 Supercomputer

Mehr

Energy-Efficient Cluster Computing

Energy-Efficient Cluster Computing Energy-Efficient Cluster Computing http://www.eeclust.de April 2009 März 2012 Timo Minartz Universität Hamburg Arbeitsbereich Wissenschaftliches Rechnen Konsortium Universität Hamburg (Koordinator) Thomas

Mehr

Mehr Sicherheit, bessere Verfügbarkeit und weniger Energieverbrauch -Das Rechenzentrum eröffnet neuen Serverraum-

Mehr Sicherheit, bessere Verfügbarkeit und weniger Energieverbrauch -Das Rechenzentrum eröffnet neuen Serverraum- Mehr Sicherheit, bessere Verfügbarkeit und weniger Energieverbrauch -Das Rechenzentrum eröffnet neuen Serverraum- Internet, Email, E-Learning, online-rückmeldungen und andere wesentlichen IT- Anwendungen

Mehr

Complex Hosting. Whitepaper. Autor.: Monika Olschewski. Version: 1.0 Erstellt am: 14.07.2010. ADACOR Hosting GmbH

Complex Hosting. Whitepaper. Autor.: Monika Olschewski. Version: 1.0 Erstellt am: 14.07.2010. ADACOR Hosting GmbH Complex Hosting Autor.: Monika Olschewski Whitepaper Version: 1.0 Erstellt am: 14.07.2010 ADACOR Hosting GmbH Kaiserleistrasse 51 63067 Offenbach am Main info@adacor.com www.adacor.com Complex Hosting

Mehr

Managed Cloud Services

Managed Cloud Services Managed Cloud Services Autor.: Monika Olschewski Whitepaper Version: 1.0 Erstellt am: 14.07.2010 ADACOR Hosting GmbH Kaiserleistrasse 51 63067 Offenbach am Main info@adacor.com www.adacor.com Cloud Services

Mehr

High Performance Computing

High Performance Computing REGIONALES RECHENZENTRUM ERLANGEN [ RRZE ] High Performance Computing Systemausbildung Grundlagen und Aspekte von Betriebssystemen und System-nahen Diensten Michael Meier, RRZE, 01.07.2015 Agenda Was bedeutet

Mehr

Hochleistungsrechnen für Wissenschaft und Wirtschaft im internationalen Verbund

Hochleistungsrechnen für Wissenschaft und Wirtschaft im internationalen Verbund Hochleistungsrechnen für Wissenschaft und Wirtschaft im internationalen Verbund Prof. Dr. rer. nat. Christian Schröder Dipl.-Ing. Thomas Hilbig, Dipl.-Ing. Gerhard Hartmann Fachbereich Elektrotechnik und

Mehr

Auf dem Weg zur Digitalen Fakultät

Auf dem Weg zur Digitalen Fakultät Auf dem Weg zur Digitalen Fakultät moderne IT Infrastruktur am Beispiel des Physik- Departments der TU München Dr. Josef Homolka Abschlussworkshop IntegraTUM 24.09.2009 www.ph.tum.de/personen/professoren

Mehr

ID-Beko. 2. Februar 2015

ID-Beko. 2. Februar 2015 Themenschwerpunkte Gruppe Infrastruktur Alle: Neue Gebäude (1) ZSSw UniSport: über 250 aktive Anschlüsse rund 40 WLAN Sender Bezug ab Juli 2015 durch: UniSport Institut für Sportwissenschaften und ein

Mehr

Dienstleistungen Abteilung Systemdienste

Dienstleistungen Abteilung Systemdienste Dienstleistungen Abteilung Systemdienste Betrieb zentraler Rechenanlagen Speicherdienste Systembetreuung im Auftrag (SLA) 2 HP Superdome Systeme Shared Memory Itanium2 (1.5 GHz) - 64 CPUs, 128 GB RAM -

Mehr

Hochleistungs-Disk-I/O

Hochleistungs-Disk-I/O Hochleistungs-Disk-I/O mit Lustre, dcache und AFS eine vergleichende Betrachtung Stephan Wiesand DESY DV 33. Treffen des ZKI AK Supercomputing Hamburg, 2010-03-04 Computing am DESY Standort Zeuthen Batch

Mehr

Voraussetzungen für jeden verwalteten Rechner

Voraussetzungen für jeden verwalteten Rechner Kaseya 2 (v6.1) Systemvoraussetzungen Voraussetzungen für jeden verwalteten Rechner Kaseya Agent 333 MHz CPU oder höher 128 MB RAM 30 MB freier Festplattenspeicher Netzwerkkarte oder Modem Microsoft Windows

Mehr

Betrieb eines heterogenen Clusters

Betrieb eines heterogenen Clusters Betrieb eines heterogenen Clusters Georg Hager Regionales Rechenzentrum Erlangen (RRZE) ZKI AK Supercomputing Karlsruhe, 22./23.09.2005 Transtec GBit/IB-Cluster am RRZE IA32-Cluster 04/2003 86+2 Knoten

Mehr

Cloud Computing: schlanker Client Daten und Programme im Internet

Cloud Computing: schlanker Client Daten und Programme im Internet Cloud Computing: schlanker Client Daten und Programme im Internet Horst Bratfisch Bereichsleiter IT Infrastructure Raiffeisen Informatik Juni 2010 IT Trends 2010 Herausforderungen eines modernen Rechenzentrums

Mehr

Agenda. HPC-Benutzerkolloquium. EM64T-Clustererweiterung. EM64T-Clustererweiterung am RRZE

Agenda. HPC-Benutzerkolloquium. EM64T-Clustererweiterung. EM64T-Clustererweiterung am RRZE Agenda HPC-Benutzerkolloquium G. Hager/T. Zeiser 25.01.2005 RRZE EM64T-Clustererweiterung Allgemeines (GH) Zukünftige Konfiguration: Queues, Policies, Betriebsmodus (GH) Verfügbare Compiler und MPI-Versionen

Mehr

INFINIGATE. - Managed Security Services -

INFINIGATE. - Managed Security Services - INFINIGATE - Managed Security Services - Michael Dudli, Teamleader Security Engineering, Infinigate Christoph Barreith, Senior Security Engineering, Infinigate Agenda Was ist Managed Security Services?

Mehr

MTF Ihr Weg zum modernen Datacenter

MTF Ihr Weg zum modernen Datacenter MTF Ihr Weg zum modernen Datacenter Beat Ammann Rico Steinemann Agenda Migration Server 2003 MTF Swiss Cloud Ausgangslage End of Support Microsoft kündigt den Support per 14. Juli 2015 ab Keine Sicherheits-

Mehr

Aktuelle Trends und Herausforderungen in der Finite-Elemente-Simulation

Aktuelle Trends und Herausforderungen in der Finite-Elemente-Simulation Aktuelle Trends und Herausforderungen in der Finite-Elemente-Simulation Kai Diethelm GNS Gesellschaft für numerische Simulation mbh Braunschweig engineering software development Folie 1 Überblick Vorstellung

Mehr

PVFS (Parallel Virtual File System)

PVFS (Parallel Virtual File System) Management grosser Datenmengen PVFS (Parallel Virtual File System) Thorsten Schütt thorsten.schuett@zib.de Management grosser Datenmengen p.1/?? Inhalt Einführung in verteilte Dateisysteme Architektur

Mehr

ein verteiltes und repliziertes Dateisystem XtreemOS IP project is funded by the European Commission under contract IST-FP6-033576

ein verteiltes und repliziertes Dateisystem XtreemOS IP project is funded by the European Commission under contract IST-FP6-033576 ein verteiltes und repliziertes Dateisystem is funded by the European Commission XtreemOS IPunder project contract IST-FP6-033576 1 Das XtreemOS Projekt Europäisches Forschungsprojekt gefördert von der

Mehr

best Systeme GmbH Michael Beeck Geschäftsführer, CTO Michael.Beeck@best.de best Systeme GmbH

best Systeme GmbH Michael Beeck Geschäftsführer, CTO Michael.Beeck@best.de best Systeme GmbH best Systeme GmbH Michael Beeck Geschäftsführer, CTO Michael.Beeck@best.de best Systeme GmbH Münchner Str. 123a 85774 Unterföhring Tel: 089/950 60 80 Fax: 089/950 60 70 Web: www.best.de best Systeme GmbH

Mehr

Projektleitung Praxiserfahrungen - BusseConsulting. Kundenliste

Projektleitung Praxiserfahrungen - BusseConsulting. Kundenliste Projektleitung Praxiserfahrungen - BusseConsulting Kundenliste (Auszug): Airbus Deutschland GmbH (Hamburg), ComlineAG (Hamburg), RTL interactive GmbH (Köln), Gründer- und Technologiezentrum (Solingen),

Mehr

HP User Society. Wir bewirken mehr. DECUS München e.v.

HP User Society. Wir bewirken mehr. DECUS München e.v. DECUS München e.v. Reden Sie mit. 2004 Hewlett-Packard Development Company, L.P. + 2005 DECUS München e.v. The information contained herein is subject to change without notice Wir bewirken mehr. Größte

Mehr

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen

Konzept für eine Highperformance- und Hochverfügbarkeitslösung für. einen Anbieter von Krankenhaus Abrechnungen Konzept für eine Highperformance- und Hochverfügbarkeitslösung für Anforderungen : einen Anbieter von Krankenhaus Abrechnungen Es soll eine Cluster Lösung umgesetzt werden, welche folgende Kriterien erfüllt:

Mehr

science + computing ag

science + computing ag science + computing ag Evaluation der Integration von Windows HPC in eine bestehende Berechnungsumgebung Harry Schlagenhauf science + computing ag IT-Dienstleistungen und Software für anspruchsvolle Rechnernetze

Mehr

Herausforderungen des Grid Computing für die universitäre IT- Struktur?

Herausforderungen des Grid Computing für die universitäre IT- Struktur? Herausforderungen des Grid Computing für die universitäre IT- Struktur? Uwe Schwiegelshohn D-Grid Corporation TU Dortmund 14. Oktober 2008 Finanzierungslücke im IT-Bereich Disziplinen mit traditionell

Mehr

UBELIX University of Bern Linux Cluster

UBELIX University of Bern Linux Cluster University of Bern Linux Cluster Informatikdienste Universität Bern ID BEKO Grid Forum 7. Mai 2007 Inhalt Einführung Ausbau 06/07 Hardware Software Benutzung Dokumentation Gut zu wissen Kontakt Apple/Mac:

Mehr

Zweite Umfrage zur Bedarfsermittlung von Ressourcen zum wissenschaftlichen Rechnen an der TU Dortmund

Zweite Umfrage zur Bedarfsermittlung von Ressourcen zum wissenschaftlichen Rechnen an der TU Dortmund Zweite Umfrage zur Bedarfsermittlung von Ressourcen zum wissenschaftlichen Rechnen an der TU Dortmund Das Wissenschaftlichen Rechnen hat sich in Forschung und Lehre in den letzten Jahren zu einem wichtigen

Mehr

Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache:

Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache: EIN SERVERSYSTEM, DAS NEUE WEGE BESCHREITET Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache: 80 % verbesserte Produktivität von

Mehr

Brainware für Green IT

Brainware für Green IT Brainware für Green IT Christian Bischof FG Scientific Computing Hochschulrechenzentrum Technische Universität Darmstadt 04.06.2012 Einweihung HPC Cluster Rheinland Pfalz C. Bischof 1 Die Welt des High-Performance

Mehr

whitepaper CLOUD-ENTWICKLUNG: BESTE METHODEN UND SUPPORT-ANWENDUNGEN

whitepaper CLOUD-ENTWICKLUNG: BESTE METHODEN UND SUPPORT-ANWENDUNGEN whitepaper CLOUD-ENTWICKLUNG: BESTE METHODEN UND SUPPORT-ANWENDUNGEN CLOUD-ENTWICKLUNG: BESTE METHODEN 1 Cloud-basierte Lösungen sind auf dem IT-Markt immer weiter verbreitet und werden von immer mehr

Mehr

App-Entwicklung für Android

App-Entwicklung für Android App-Entwicklung für Android Einleitung - Systemarchitektur Hochschule Darmstadt WS15/16 1 Inhalt Historie Systemarchitektur Sandbox 2 Motivation Kontra Pro Limitierte Größe Begrenzte Ressourcen Kein Standardgerät

Mehr

Das Citrix Delivery Center

Das Citrix Delivery Center Das Citrix Delivery Center Die Anwendungsbereitstellung der Zukunft Marco Rosin Sales Manager Citrix Systems GmbH 15.15 16.00 Uhr, Raum B8 Herausforderungen mittelständischer Unternehmen in einer globalisierten

Mehr

CIBER DATA CENTER für höchste Ansprüche an Datensicherheit

CIBER DATA CENTER für höchste Ansprüche an Datensicherheit CIBER Hosting Services CIBER DATA CENTER für höchste Ansprüche an Datensicherheit Die Sicherheit Ihrer Daten steht bei CIBER jederzeit im Fokus. In den zwei georedundanten und mehrfach zertifizierten Rechenzentren

Mehr

IaaS jenseits der Buzz-Words On Demand Compute im Fokus

IaaS jenseits der Buzz-Words On Demand Compute im Fokus IaaS jenseits der Buzz-Words On Demand Compute im Fokus Infrastructure as a Service jenseits der Buzz-Words Oliver Henkel Anforderungen von Unternehmenskunden an Infrastructure-as-a-Service (IaaS) Provider

Mehr

Wissenschaftliches Hochleistungsrechnen am IGG/Universität Bonn

Wissenschaftliches Hochleistungsrechnen am IGG/Universität Bonn am IGG/Universität Bonn W.-D.Schuh Institut für Geodäsie und Geoinformation Universität Bonn Geodätisches Intergrationsseminar Bonn, 26.4.2007 Wolf-Dieter Schuh GIS Bonn, 26.4.2007 1 Gliederung Wolf-Dieter

Mehr

Jahresbericht 2009 Juni 2010 LRZ-Bericht 2010-01

Jahresbericht 2009 Juni 2010 LRZ-Bericht 2010-01 Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften Jahresbericht 2009 Juni 2010 LRZ-Bericht 2010-01 Direktorium: Prof. Dr. A. Bode (Vorsitzender) Prof. Dr. H.-J. Bungartz Prof. Dr. H.-G.

Mehr

Virtueller Supercomputer Berlin - Hannover Mit Jumbo-Frames über die DFN-Verbindung. Hubert Busch, Zuse-Institut Berlin (ZIB)

Virtueller Supercomputer Berlin - Hannover Mit Jumbo-Frames über die DFN-Verbindung. Hubert Busch, Zuse-Institut Berlin (ZIB) Virtueller Supercomputer Berlin - Hannover Mit Jumbo-Frames über die DFN-Verbindung Hubert Busch, Zuse-Institut Berlin (ZIB) Inhalt Zuse-Institut Berlin, Konrad Zuse Der HLRN-Verbund Das HLRN-System Anforderungen

Mehr

Der starke Partner für Ihre IT-Umgebung.

Der starke Partner für Ihre IT-Umgebung. Der starke Partner für Ihre IT-Umgebung. Leistungsfähig. Verlässlich. Mittelständisch. www.michael-wessel.de IT-Service für den Mittelstand Leidenschaft und Erfahrung für Ihren Erfolg. Von der Analyse

Mehr

OpenStack bei der SAP SE

OpenStack bei der SAP SE OpenStack bei der SAP SE Integration bestehender Dienste in OpenStack dank Workflow Engine und angepasstem Webinterface 23. Juni 2015 Christian Wolter Linux Consultant B1 Systems GmbH wolter@b1-systems.de

Mehr

Von heiter bis wolkig Hosting am RRZE Physikalisch Virtuell in der Cloud. 2.2.2010 Daniel Götz daniel.goetz@rrze.uni-erlangen.de

Von heiter bis wolkig Hosting am RRZE Physikalisch Virtuell in der Cloud. 2.2.2010 Daniel Götz daniel.goetz@rrze.uni-erlangen.de Von heiter bis wolkig Hosting am RRZE Physikalisch Virtuell in der Cloud 2.2.2010 Daniel Götz daniel.goetz@rrze.uni-erlangen.de Übersicht Entwicklungen im (Web-)Hosting Physikalisches Hosting Shared Hosting

Mehr

Simplify Business continuity & DR

Simplify Business continuity & DR Simplify Business continuity & DR Mit Hitachi, Lanexpert & Vmware Georg Rölli Leiter IT Betrieb / Livit AG Falko Herbstreuth Storage Architect / LANexpert SA 22. September 2011 Agenda Vorstellung Über

Mehr

Iden%ty & Access Management: Das Rückgrat der Hochschul- IuK- Infrastruktur

Iden%ty & Access Management: Das Rückgrat der Hochschul- IuK- Infrastruktur Iden%ty & Access Management: Das Rückgrat der Hochschul- IuK- Infrastruktur IntegraTUM Teilprojekt Verzeichnisdienst 24. September 2009 Dr. Wolfgang Hommel, Leibniz- Rechenzentrum IntegraTUM IdenJty &

Mehr

Systemvoraussetzungen: DOMUS NAVI für DOMUS 4000 Stand 02/15

Systemvoraussetzungen: DOMUS NAVI für DOMUS 4000 Stand 02/15 Systemvoraussetzungen: DOMUS NAVI für DOMUS 4000 Stand 02/15 Benötigen Sie Unterstützung* oder haben essentielle Fragen? Kundensupport Tel.: +49 [0] 89 66086-230 Fax: +49 [0] 89 66086-235 e-mail: domusnavi@domus-software.de

Mehr

Area 1 Mikro- und Nanotechnologien: Projektergebnisse CoolComputing

Area 1 Mikro- und Nanotechnologien: Projektergebnisse CoolComputing Area 1 Mikro- und Nanotechnologien: Projektergebnisse CoolComputing Gefördert vom Area 1 Mikro- und Nanotechnologien Kurzbeschreibung Area 1: Im Rahmen des Spitzenclusters Cool Silicon beschäftigen sich

Mehr

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte I N F O R M A T I O N V I R T U A L I S I E R U N G Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Ausfallsicherheit durch Virtualisierung Die heutigen Anforderungen an IT-Infrastrukturen

Mehr

via.solution Bedarfsgerechte IT-Konzepte für den Mittelstand Wir generieren Lösungen

via.solution Bedarfsgerechte IT-Konzepte für den Mittelstand Wir generieren Lösungen via.solution Bedarfsgerechte IT-Konzepte für den Mittelstand Das Unternehmen Gegründet 2000 Standorte nahe Berlin, Frankfurt/Main und Kuala Lumpur derzeit 20 Mitarbeiter (Stammpersonal) strategische Partnerschaften

Mehr

Identitätsmanagement für Hybrid-Cloud-Umgebungen an Hochschulen

Identitätsmanagement für Hybrid-Cloud-Umgebungen an Hochschulen Identitätsmanagement für Hybrid-Cloud-Umgebungen an Hochschulen Erfahrungen im Münchner Wissenschaftsnetz Silvia Knittl, Wolfgang Hommel {knittl,hommel}@mnm-team.org Agenda Hybrid Cloud im Münchner Wissenschaftsnetz

Mehr

4 Jahre Progymnasium, 4147 Aesch (1991-1995) 4-jährige Berufslehre zum Informatiker (1995-1999) bei ITRIS Maintenance AG, 4153 Reinach

4 Jahre Progymnasium, 4147 Aesch (1991-1995) 4-jährige Berufslehre zum Informatiker (1995-1999) bei ITRIS Maintenance AG, 4153 Reinach Michael Arlati Neubüntenweg 11 4147 Aesch mobile: +41 (0)79 272 75 92 email: mik@arlati.ch web: www.arlati.ch Jahrgang Nationalität Beruf/ Titel Ausbildung 08.05.1979 CH Informatiker 4 Jahre Progymnasium,

Mehr

Speichersysteme am LRZ

Speichersysteme am LRZ Speichersysteme am LRZ Wir bieten Speicherplatz für... Endbenutzer Fileservices und Dateiablagen für Studenten und Mitarbeiter des LRZ, der TUM und LMU Benutzer können mit ihrer LRZ Kennung Daten am LRZ

Mehr

Grid Computing. Einführung. Marc Lechtenfeld. Seminar Grid Computing Sommersemester 2004 Universität Duisburg-Essen

Grid Computing. Einführung. Marc Lechtenfeld. Seminar Grid Computing Sommersemester 2004 Universität Duisburg-Essen * Grid Computing Einführung Marc Lechtenfeld Seminar Grid Computing Sommersemester 2004 Universität Duisburg-Essen Übersicht 1 Problematik 2 Systemanforderungen 3 Architektur 4 Implementation 5 Projekte

Mehr

WINDOWS AZURE IM ÜBERBLICK GANZ NEUE MÖGLICHKEITEN

WINDOWS AZURE IM ÜBERBLICK GANZ NEUE MÖGLICHKEITEN WINDOWS AZURE IM ÜBERBLICK GANZ NEUE MÖGLICHKEITEN Dr. Bernd Kiupel Azure Lead Microsoft Schweiz GmbH NEUE MÖGLICHKEITEN DURCH UNABHÄNGIGKEIT VON INFRASTRUKTUR BISHER: IT-Infrastruktur begrenzt Anwendungen

Mehr

Spezialisierungskatalog

Spezialisierungskatalog Spezialisierungskatalog Inhaltsverzeichnis: 1. Friedrich Schiller Universität 2. TU Ilmenau 3. FH Erfurt 4. FH Jena 5. FH Nordhausen 6. FH Schmalkalden 7. BA Gera 8. BA Eisenach 1. Friedrich-Schiller-Universität

Mehr

IPv6 bei der AWK Group Ein Erfahrungsbericht

IPv6 bei der AWK Group Ein Erfahrungsbericht IPv6 bei der AWK Group Ein Erfahrungsbericht IPv6-Konferenz, 1. Dezember 2011 Gabriel Müller, Consultant Wer sind wir? AWK ist ein führendes, unabhängiges Schweizer Beratungsunternehmen für Informatik,

Mehr

Heute wissen, was morgen zählt IT-Strategie 4.0: Service defined Infrastructure

Heute wissen, was morgen zählt IT-Strategie 4.0: Service defined Infrastructure Heute wissen, was morgen zählt IT-Strategie 4.0: Service defined Infrastructure Persönlicher CrewSupport Realtime-Monitoring mittels Crew ServiceBox Der Star: Die Crew CrewAcademy / CrewSpirit Exzellenz

Mehr

Gliederung. Was ist Cloud Computing Charakteristiken Virtualisierung Cloud Service Modelle Sicherheit Amazon EC2 OnLive Vorteile und Kritik

Gliederung. Was ist Cloud Computing Charakteristiken Virtualisierung Cloud Service Modelle Sicherheit Amazon EC2 OnLive Vorteile und Kritik Cloud Computing Gliederung Was ist Cloud Computing Charakteristiken Virtualisierung Cloud Service Modelle Sicherheit Amazon EC2 OnLive Vorteile und Kritik 2 Bisher Programme und Daten sind lokal beim Anwender

Mehr

SE aus Informatik: High Performance Computing in the Cloud

SE aus Informatik: High Performance Computing in the Cloud SE aus Informatik: High Performance Computing in the Cloud Erich Mraz, Maximilian Schorr 8. Juni 2013 Erich Mraz, Maximilian Schorr SE aus Informatik: High Performance Computing in the Cloud 1 / 30 HPC

Mehr

Jahresbericht 2010 Juni 2011 LRZ-Bericht 2011-01

Jahresbericht 2010 Juni 2011 LRZ-Bericht 2011-01 Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften Jahresbericht 2010 Juni 2011 LRZ-Bericht 2011-01 Direktorium: Prof. Dr. A. Bode (Vorsitzender) Prof. Dr. H.-J. Bungartz Prof. Dr. H.-G.

Mehr

bintec elmeg Filialisten Lösungen mit WLAN Controllern IP Access WLAN ITK VoIP / VoVPN IT Security UC Unified Teldat Group Company

bintec elmeg Filialisten Lösungen mit WLAN Controllern IP Access WLAN ITK VoIP / VoVPN IT Security UC Unified Teldat Group Company Filialisten Lösungen mit WLAN Controllern Autor: Hans-Dieter Wahl, Produktmanager bei Teldat GmbH IP Access WLAN ITK VoIP / Vo IT Security UC Unified Communications WLAN Netzwerke findet man inzwischen

Mehr

Berufsbegleitender MCSE Windows Server Infrastructure Am Abend und samstags zum MCSE - neben dem Job - inkl. Prüfungen (MCSE-WSI-BB)

Berufsbegleitender MCSE Windows Server Infrastructure Am Abend und samstags zum MCSE - neben dem Job - inkl. Prüfungen (MCSE-WSI-BB) Berufsbegleitender MCSE Windows Server Infrastructure Am Abend und samstags zum MCSE - neben dem Job - inkl. Prüfungen (MCSE-WSI-BB) Über einen Zeitraum von 4 Monaten verteilen sich die Inhalte der fünf

Mehr

Kompetenz ist Basis für Erfolg

Kompetenz ist Basis für Erfolg Kompetenz ist Basis für Erfolg Internet-Services Software-Entwicklung Systemhaus Internet-Suchservices Kompetenz ist Basis für Erfolg - Wir über uns Am Anfang stand die Idee, Unternehmen maßgeschneiderte

Mehr

Kompatibilität von Microsoft Exchange Server mit den Microsoft Windows Server-Betriebssystemen

Kompatibilität von Microsoft Exchange Server mit den Microsoft Windows Server-Betriebssystemen Kompatibilität von Microsoft Exchange Server mit den Microsoft Windows Server-Betriebssystemen Whitepaper Veröffentlicht: April 2003 Inhalt Einleitung...2 Änderungen in Windows Server 2003 mit Auswirkungen

Mehr

Private Cloud mit Eucalyptus am SCC

Private Cloud mit Eucalyptus am SCC Private Cloud mit Eucalyptus am SCC Christian Baun 15. Dezember 2009 KIT The cooperation of Forschungszentrum Karlsruhe GmbH und Universität Karlsruhe (TH) http://www.kit.edu Cloud-Comuting = Grid-Computing?!

Mehr

Hubert Schweinesbein Tel. 0911 / 749 53-626 e-mail: Hubert.Schweinesbein@suse.de

Hubert Schweinesbein Tel. 0911 / 749 53-626 e-mail: Hubert.Schweinesbein@suse.de Hubert Schweinesbein Tel. 0911 / 749 53-626 e-mail: Hubert.Schweinesbein@suse.de Die nächsten 60 Minuten Der Linux Markt Was ist Linux - was ist Open Source Was macht SuSE SuSE Linux Server Strategie SuSE

Mehr

Systemvoraussetzungen: DOMUS 4000 Stand 02/15

Systemvoraussetzungen: DOMUS 4000 Stand 02/15 Systemvoraussetzungen: DOMUS 4000 Stand 02/15 Benötigen Sie Unterstützung* oder haben essentielle Fragen? Kundensupport Tel.: +49 [0] 89 66086-220 Fax: +49 [0] 89 66086-225 e-mail: domus4000@domus-software.de

Mehr

Martin Knoblauch Tel.: 08161 85801 Wettersteinring 12 Mobile: 0171/8033948 D-85354 Freising knobi@knobisoft.de. Lebenslauf

Martin Knoblauch Tel.: 08161 85801 Wettersteinring 12 Mobile: 0171/8033948 D-85354 Freising knobi@knobisoft.de. Lebenslauf Lebenslauf Persönliche Daten Adresse Geburtstag Martin Knoblauch Wettersteinring 12 D-85354 Freising 27. Oktober 1958 in Düsseldorf Derzeitiger Arbeitgeber (seit Juli 2002) MSC.Software GmbH, D-81829 München

Mehr

System Center 2012 R2 und Microsoft Azure. Marc Grote

System Center 2012 R2 und Microsoft Azure. Marc Grote System Center 2012 R2 und Microsoft Azure Marc Grote Agenda Ueberblick Microsoft System Center 2012 R2 Ueberblick Microsoft Azure Windows Backup - Azure Integration DPM 2012 R2 - Azure Integration App

Mehr

Institut für angewandte Informationstechnologie (InIT)

Institut für angewandte Informationstechnologie (InIT) School of Engineering Institut für angewandte Informationstechnologie (InIT) We ride the information wave Zürcher Fachhochschule www.init.zhaw.ch Forschung & Entwicklung Institut für angewandte Informationstechnologie

Mehr

Neue Kunden gewinnen & Einnahmen steigern mit NovaBACKUP 14.0! Vorstellung Was ist neu? Torsten Kaufmann & Wolfgang Rudloff

Neue Kunden gewinnen & Einnahmen steigern mit NovaBACKUP 14.0! Vorstellung Was ist neu? Torsten Kaufmann & Wolfgang Rudloff Neue Kunden gewinnen & Einnahmen steigern mit NovaBACKUP 14.0! Vorstellung Was ist neu? Torsten Kaufmann & Wolfgang Rudloff Ihr heutiges Präsentationsteam Organisation Präsentator Torsten Kaufmann Channel

Mehr

SkyConnect. Globale Netzwerke mit optimaler Steuerung

SkyConnect. Globale Netzwerke mit optimaler Steuerung SkyConnect Globale Netzwerke mit optimaler Steuerung Inhalt >> Sind Sie gut vernetzt? Ist Ihr globales Netzwerk wirklich die beste verfügbare Lösung? 2 Unsere modularen Dienstleistungen sind flexibel skalierbar

Mehr

Desktop Virtualisierung. marium VDI. die IT-Lösung für Ihren Erfolg

Desktop Virtualisierung. marium VDI. die IT-Lösung für Ihren Erfolg Desktop Virtualisierung marium VDI die IT-Lösung für Ihren Erfolg marium VDI mariumvdi VDI ( Desktop Virtualisierung) Die Kosten für die Verwaltung von Desktop-Computern in Unternehmen steigen stetig und

Mehr

Kommission für Informatik Leibniz-Rechenzentrum

Kommission für Informatik Leibniz-Rechenzentrum Kommission für Informatik Leibniz-Rechenzentrum In ihrer regulären Sitzung am 13.12.2013 befasste sich die Kommission mit dem Betrieb des Höchstleistungsrechners SuperMUC für das Leibniz-Rechenzentrum

Mehr

Leibniz Supercomputing Centre Ausschreibung und Energieeffizienz für das Peatascale System SuperMUC

Leibniz Supercomputing Centre Ausschreibung und Energieeffizienz für das Peatascale System SuperMUC Leibniz Supercomputing Centre Ausschreibung und Energieeffizienz für das Peatascale System SuperMUC Green IT Morteratsch Gletscher, Schweiz, 1985 Morteratsch Gletscher, Schweiz, 2007 2011 Leibniz Supercomputing

Mehr

Migration einer bestehenden Umgebung in eine private Cloud mit OpenStack

Migration einer bestehenden Umgebung in eine private Cloud mit OpenStack Migration einer bestehenden Umgebung in eine private Cloud mit OpenStack CeBIT 2014 14. März 2014 André Nähring Cloud Computing Solution Architect naehring@b1-systems.de - Linux/Open Source Consulting,

Mehr

SQL Server 2012 Datenblatt zur Lizenzierung

SQL Server 2012 Datenblatt zur Lizenzierung SQL Server 2012 Datenblatt zur Lizenzierung Veröffentlicht am 3. November 2011 Produktüberblick SQL Server 2012 ist ein bedeutendes Produkt- Release mit vielen Neuerungen: Zuverlässigkeit für geschäftskritische

Mehr

Data Center Infrastructure@lrz.de: Ein Erfahrungsbericht

Data Center Infrastructure@lrz.de: Ein Erfahrungsbericht Leibniz-Rechenzentrum Data Center Infrastructure@lrz.de: Ein Erfahrungsbericht Dr. Detlef Labrenz (labrenz@lrz.de) 16.3.2014 Übersicht Leibniz-Rechenzentrum Gebäudeinfrastruktur Energieeffizienz - Kenngrößen

Mehr

Energieeffiziente IT

Energieeffiziente IT EnergiEEffiziente IT - Dienstleistungen Audit Revision Beratung Wir bieten eine energieeffiziente IT Infrastruktur und die Sicherheit ihrer Daten. Wir unterstützen sie bei der UmsetZUng, der Revision

Mehr

Das bwgrid High Performance Compute Cluster als flexible, verteilte Wissenschaftsinfrastruktur

Das bwgrid High Performance Compute Cluster als flexible, verteilte Wissenschaftsinfrastruktur Das bwgrid High Performance Compute Cluster als flexible, verteilte Wissenschaftsinfrastruktur Marek Dynowski (Universität Freiburg) Michael Janczyk (Universität Freiburg) Janne Schulz (Universität Freiburg)

Mehr

Persönliche Daten. Fachliche Schwerpunkte / Technische Skills. Name, Vorname. Geburtsjahr 1962. Senior IT-Projektleiter

Persönliche Daten. Fachliche Schwerpunkte / Technische Skills. Name, Vorname. Geburtsjahr 1962. Senior IT-Projektleiter Persönliche Daten Name, Vorname OB Geburtsjahr 1962 Position Senior IT-Projektleiter Ausbildung Technische Hochschule Hannover / Elektrotechnik Fremdsprachen Englisch EDV Erfahrung seit 1986 Branchenerfahrung

Mehr

D-Grid Site Monitoring im Hinblick auf EGI

D-Grid Site Monitoring im Hinblick auf EGI D-Grid Site Monitoring im Hinblick auf EGI Foued Jrad KIT die Kooperation von Die Kooperation von www.kit.edu Agenda Site Functional Tests Ersatz für SFT in D-Grid Zukunft der Site Monitoring in D-Grid

Mehr