Reverseproxy virtualisiert oder auf Host?

[gnomegemini]

Hallo,

ich bin soeben dabei meine gesamte Serverlandschaft neu aufzubauen (Hardwarewechsel).

Zur Erhöhung der Sicherheit möchte ich den Lighttpd hinter einem Reverseproxy verstecken (derzeit angedacht ist HAProxy da ich damit bereits Erfahrungen habe).

Meine Frage nun ist, ob es sinnvoll ist, den HAProxy virtualisiert zu betreiben (openVZ, VirtualBox, KVM; Virtualisierungslösung ist noch ein ToDO da auch Windows zwecks DayZ Server laufen muss).

Falls dies für Web bejaht werden kann, wäre dies ebenfalls für weitere Dienste wie Teamspeak und Gameserver sinnvoll oder würde es den Ping zu extrem verschlechtern?

Falls weitere Infos notwendig wären, lasst es mich wissen.

 

[infinitnet]

Ich würde ihn auf Bare Metal laufen lassen, da die Performance so gerade bei hohem Traffic doch etwas besser ist, also mit einer Virtualisierung dazwischen. Ich würde nur eine Virtualisierung verwenden, wenn es dafür einen guten Grund gibt.

 

[gnomegemini]

Danke für die Antwort,

naja Grund für die Virtualisierung war Security.

Der ftp läuft ja auch in einer VM; gab genügend escalations in letzter Zeit (zumindest beim proftp aber was garantiert mir Sicherheit beim vsftp?).

 

[magenbrot]

1. Garantierte Sicherheit gibt es sowieso nicht.


Mir ist grade noch nicht klar, wo du die verbesserte Security siehst, wenn dein Proxy in einer VM läuft.

HAProxy ist kein Proxy wie Squid sondern ein Loadbalancer für den TCP-Layer und cached also nichts. Da hast du eigentlich auch keine zusätzliche Sicherheit gegenüber einem gut abgesicherten Server. Zumal HAProxy mit nur einem Backend auch nicht viel Sinn macht, sondern einen zusätzlichen Punkt darstellt, der Probleme machen kann.

Wenn du trotzdem dabei bleiben willst, sehe ich bei HAProxy und Teamspeak eigentlich keine Probleme, da beide nur CPU/RAM brauchen, Pakete durchschieben und kaum Disk I/O verursachen.

Die Gameserver machen nur Disklast beim Laden von neuen Maps. Der Rest läuft dann eigentlich auch nur im RAM ab.

Der Flaschenhals beim Virtualisieren ist meistens der Disk I/O, vor allem wenn du mehrere virtuelle Server hast, die alle gleichzeitig schreiben wollen.

Einen gewissen "Verlust" hast du bei Virtualisierung aber eigentlich immer. Top-Performance hast du dann wirklich nur bei Bare-Metal.

 

[Thunderbyte]

Ich kann Kompartimentierung nur unterstützen und habe das bei mir auch so umgesetzt. So kann man einzelne Teile warten, backuppen, aktualisieren, ohne andere Teile zu beeinflussen oder unterbrechen zu müssen.

Zu diesem Zweck habe ich aber keine Virtualisierung gewählt, die auf ein vollständiges OS aufsetzt (z.B. Virtualbox, KVM), sondern betreibe einen ESXi Server, also einen Bare Metal Hypervisor, bei dem die Schicht zwischen Metall und Guests möglichst dünn ist.

Für einen ESXi Server benötigt man allerdings passende HW (u.a. vollwertiger HW Raid Controller) und mehrere IP Adressen. Dann aber ist das eine absolut großartige Sache. Ich betreibe meinen ESXi mit mehreren VMs bei Datafabrik.