Hmmm plz elaborate.
Ich bin kein Fan von IaaS und sehr schon ein das gehst in diesem Szenario das wir jetzt haben IaaS eigentlich die Lösung gewesen wäre.
Aber sicherer?
Teurer ja. Abhängigkeiten die keiner mehr überblicken kann ja. Aber sicherer?
Naja, also es ist definitiv sicherer, weil Du nicht in jeder Schule einen ordentlichen Serverraum und eine ordentliche Administration von 1-X Servern im Rack hinbekommst. Es ist effizienter, weil der Rechner im RZ steht wo er temperiert ist und stets im Optimum der Auslastung. Es ist mindestens nicht teurer, weil man sich als Kommune eine professionelle Administration auf dem Level kaum leisten kann, bzw. meist auch nicht leisten will. Schon an den meisten Unis sind die Admins am Ende leider in der Mehrzahl nur mäßig motivierte Leute die gefrustet sind weil sie kaum was selbst machen dürfen und eigentlich nur Office und Outlook-Updates ausrollen. Da ist die Betreuung vom HPC Cluster der Jackpot und der Ausgleich im Durchschnitt ist, dass man eine recht ruhige Arbeitsatmosphäre hat.
Also zur Klarheit, was ich mir vorstelle:
Technisch:
- Kubernetes als Basis für IaaS.
- Eigene Container-Registry für alle Bildungseinrichtungen des Bundes.
- Services in X Container unterteilt, für die einheitlich Container-Updates bereitgestellt und ausgerollt werden.
- Regionale und sonstige Anpassungen auf Anfrage als zusätzliches Layer.
- Eine Instanz pro Stadt/Landkreis mit ein bisschen Schischi wie ein nettes Regionaldesign o.ä. und Plugins usw. drumherum
- Zugang zum Registry auch für Drittanbieter die dann eigene Services zusätzlich einbinden/anbieten dürfen.
- Computer an der Schule oder von der Schule verantwortete Maschinen mit einheitlicher Ansible-Richtlinie verwalten. Anpassungen sind obvsly gegen Aufpreis möglich. Freiräume für zumindest teilweise Selbstverwaltung der Maschinen dürfte auch möglich sein (Flatpak, AppImage …). Verschlüsselung und Secureboot plus Passwort auf dem BIOS per Default.
- Automatische inkrementelle Datensicherung von bestimmten Ordnern in Nextcloud (nicht in Nextcloud selbst, sondern in der Infrastruktur), damit dann auch bei kaputten oder geklauten Maschinen die wichtigen Dinge wiederhergestellt werden können.
- Single Sign-On Lösung
Inhaltlich:
- Verwaltungslösung für die Konten, die das Hinzufügen/Entfernen und Transferieren von Schülern erlaubt und davon getrennt idealerweise auch noch die ganzen Noten usw. verwaltet.
- Nextcloud mit Gruppen, Kalender, Tasks
- Moodle (alternativ ein Nextcloud-Plugin das die Moodle-Funktionen bietet, das dürfte aber eher unrealistisch sein, also Anbindung)
- BBB
- Email + Adressbuch (automatische Befüllung mit den wichtigen Kontaktpersonen)
- Matrix Messenger (inkl. Webclient)
- Gitlab für alle Schüler ab der 5. Klasse inkl einem github-Pages Klon.
- Webseite der Schule jeweils auch hier hosten oder zumindest einheitliche APIs zum Einbinden der ganzen Services usw. bereitstellen, dass sämtliche Verlautbarungen der Schule direkt über alle Kanäle an die richtigen Gruppen kommuniziert werden. (Email an die Eltern/Schüler/Lehrer, Messenger wenn akut, öffentlich/nichtöffentlich, Homepageposting, Kalendereintrag …)
- Verknüpfung der ganzen Services untereinander, ordentliche Dokumentation, ordentliche Hotline (kostenpflichtig), idiotensichere Default-Konfiguration und idiotensichere Systemwiederherstellung.
- Installer-Paket zur Einrichtung auf einem selbst angeschafften Gerät (deswegen auch bei den schuleigenen Geräten das UEFI zumachen)
- Kommunikationskonten auch für die Eltern (mit anderen/angepassten Rechten … zur Information und für remote Elterngespräch)
- App für Kommunikation für iOS, Android und zwar auch mit einer Version die unabhängig von Google/Facebook/Apple zu bekommen ist. Zur Not alle Services auch als Webapps bereitstellen … wobei das vermutlich das geringste sein dürfte.
So. Damit könnte man arbeiten und stünde eine Milliarde mal besser da als aktuell. Und das geht via IaaS safe besser als an jeder Schule einzeln. Lass das mal pro Schüler und Monat 10 EUR kosten … das wären extrem gut angelegte 10 EUR und die Schule bräuchte nichts außer einem schnellen Internetzugang, den zu verwaltenden Rechnern und eben einer Initialbefüllung mit Schülern sowie eben der laufenden Stammdatenpflege. Klar, gerade auf der Verwaltungsseite könnte man sich da wahrscheinlich auch noch einen Haufen mehr vorstellen, aber genau das sollte ja auch getrennt gespeichert werden und ist deswegen auch in einem physikalisch anderen System gut aufgehoben.
Wo liegt hier das Problem?
Das initiale Setup für dieses System ist sehr aufwendig, weil Kubernetes + Container + Services + Anpassungen + Ansible + Varianten usw. ein ziemlicher Aufwand sein dürften. Wenn man das aber einmal für einen Haufen Schulen macht, dann sieht das plötzlich total sinnvoll aus. Ich war auch lange kein Fan von PaaS/IaaS, aber bei den richtigen Anwendungsfällen ist es genau das was man machen sollte. Gerade das Wegfallen der ganzen technischen Administration würde das für die Schulen überhaupt erst beherrschbar machen. Da bleibt dann nur noch das Verlegen von Netzwerkkabeln zu den Wifi6-Routern im ganzen Gebäude und das Anschließen derselben über einen guten Switch nach draußen. Das ist schaffbar.
Durch Verschlüsselung und Trennung von Personendaten und Nutzdaten ist es auch auf Anwenderebene sicherer als die meisten Rechner von Privatpersonen. Durch die Verwaltung mit Ansible bleibt es dann auch so.
In etwas anders und angepasst kann man das dann auch für Universitäten/Hochschulen weiterdenken.
