Sinnvolles Konzept

[chris085]

Hey,

ich habe mir die Tage über schon Gedanken gemacht, wie ich einen neuen Rootserver installieren könnte um möglichst alles sicher abzudecken, mit einem geringen Budget.

Ihr dürft gern Comments und Anregungen, Verbesserungen los werden.

Grundinstallation Vmware ESX Server
-> Erste IP

Erste VMware Maschine mit einer Hardwarefirewall (Astaro Security Linux)
-> Zweite IP

Zweite VMware Maschine mit Lin Grundinstallation mit Openvz, Backup für Openvz.
-> Dritte IP

Openvz 1 als WWW, Mysql Server.... Web Dienste
-> Vierte IP

Openvz 2 als Smtp, Pop... Mail
-> Fünfte IP

Openvz 3 als Application Server ( TS, Openfire....)
-> Sechste IP

Die virtuellen Maschinen werden über Firewall als DMZ angelegt.
-> Ich kann SMTP Proxy, Paketfiler, Virenschutz, Greylist ... whatever über meine Firewall definieren.
Zusätzlich habe ich nette Funktionen wie Ddos Filter... usw. einer Enterprise Firewall.

Alternativ könnte ich auch den Virtuellen Maschinen keine feste IP setzen und interne festlegen. Anschließend auf die Ports forwarden.....

Backup lässt sich sehr gut auf dem Grundsystem realisieren, weil ich Container dumpen kann.

Performance, bin ich mir nicht ganz im klaren darüber.. dürfte aber gehen.

Was haltet ihr von dem Konzept ?

Gruß

 

[Roger Wilco]

Hast du mal überprüft, ob deine Hardware überhaupt von VMWare ESX unterstützt wird? Die Software ist da etwas wählerisch und ich glaube/weiß nicht, ob die Hetzner-Hardware von dieser unterstützt wird.

 

[chris085]

Im Detail nein, aber ich weiß das mein FSC Board @home aufm Dachboden, mit 3 GHZ Intel CPU und die Platten als Native funktionieren.
Genaueres müsste ich beim Support von Hetzner nachfragen, oder hat das hier schon jmd. ?
Interessant wäre auch welchen Raidcontroller sie verbauen, bei dieser Zusatzoption.

 

[bibabu]

Hallo,

meiner Meinung nach taugt das Konzept nicht viel. Die doppelte Virtualisierung halte ich für schwachsinn. Ich würde den VMware Server weglassen und nur mit OpenVZ arbeiten.

 

[chris085]

sers,

geht nicht wegen der Firewall.
Es gibt sogar extra ein Image für Vmware.

 

[mkr]

Wieso dann nicht nur ESX?

 

[chris085]

Weil Openvz den Speicher dynamisch verwaltet.
Bei Vmware muss ich explizit festlegen, welche Maschine welchen Speicher braucht/kriegt.
So kann ich eventuelle Lastspitzen gekonnt meistern.

 

[bibabu]

Hallo,

wieso benötigst du umbedingt eine extra Firewall. Würde es nicht auch iptables tun?

 

[chris085]

Hmm, die Frage habe ich mir auch schon gestellt.
Ich habe selber, das oben genannte Produkt schon bei X Kunden in Enterpriseumgebungen installiert.
Und wenn ich sehe, wie gut und zuverlässig dieses Produkt arbeitet, will ich es nicht mehr missen.
Natürlich könnte ich mir das ganze mit Iptables, ClamAV, Spamassasin, Openvpn & co. selber konfigurieren und installieren, allerdings würde ich vermutlich nie auf so ein hohes Niveu kommen und mir würde irgendwann alles um die Ohren fliegen.
Da ich Privatanwender bin, ist es ausserdem legal die Version kostengünstig einzusetzen.

 

[Roger Wilco]

Irgendwie habe ich den leisen Verdacht, dass das mit der Hardware-Firewall in der VM nicht so ganz klappen wird.

Mal ernsthaft: Ich halte die doppelte Virtualisierung ebenfalls für mehr als suboptimal. VMWare ESX bringt bei dem Setup keinerlei Vorteil sondern lediglich zusätzlichen Overhead.

Würde es nicht auch iptables tun?

Was glaubst du wohl, welchen unter Linux verbreiteten und verfügbaren Paketfilter Astaro für ihr Produkt nutzt?

 

[chris085]

Stimme ich dir auch zu, Iptables.
Ich kann mich aber auch daran erinnern, dass Linux sowie auch Windows in C programmiert sind
Und wir kennen den Unterschied...

Ich würde gerne auf Vmware verzichten, habe es schon seit Jahren selbst als VmwareServer im Einsatz und es ist irre langsam.
Übers Wochenende habe ich nun Testweise EsxServer installiert.. und siehe da, es ist fast doppelt so schnell.
Performance war eigentlich schon immer das Problem, welches ich damit hoffentlich erschlagen kann.

Openvz, warum ?
1. Ich habe alles getrennt, Systemfehler etc. betreffen nur ein System
2. Ganz klar Backups, zieh mir die Daten einfach raus bzw. vzdump
3. Falls irgendwas bei einer Installation Mega schief gehen sollte, einfach wieder Containerrestore und go

 

[mkr]

OpenVZ ist nicht richtig getrennt. Dafür bräuchtest Du ESX.

Der ESX kann das RAM übrigens auch mehr oder weniger dynamisch verwalten. Du kannst den Maschinen mehr RAM geben als physikalisch zur Verfügung steht. Wenn nicht alle miteinander so viel brauchen, wird es automatisch verteilt. Falls alle gleichzeitig viel brauchen, wird halt ausgelagert.

Backups im laufenden Betrieb geht auch mit ESX super: Snapshot erstellen, Diskfile sichern, Snapshot löschen.

 

[chris085]

Gute Argumente mkr.
Jetzt sind wir an dem Punkt, indem Ich auch schon längere Zeit grüble, warum setzen ISP's Vituozzo, Openvz, Linuxvserver ein und nur ganz ganz selten Vmware oder Xen ?
Ich nehme mal an, es müsste mit der Performance zusammenhängen ... !?
Kanns dir aber auch nicht sagen.

 

[Ben.]

Ich bin mir nicht sicher was mir mehr Sorgen machen würde:
1) Sinnhaftigkeit einer solchen verzweigten Virtualisierung und der damit einhergehende Leistungsverlust, oder aber
2) deine Paranoia

Glaubst du wirklich, dass dein Server dieses komplizierte Konstrukt nötig hat? Die Gefahr ist nämlich auch, dass du bei dem ganzen Wirrwarr etwas übersiehst und dir das "sichere Konstrukt" um die Ohren fliegt.

"Simple is safe."

 

[Roger Wilco]

Jetzt sind wir an dem Punkt, indem Ich auch schon längere Zeit grüble, warum setzen ISP's Vituozzo, Openvz, Linuxvserver ein und nur ganz ganz selten Vmware oder Xen ?

Schau dir mal die Techniken hinter den genannten Virtualisierungslösungen an, dann merkst du schnell, weshalb OS-Level Virtualization wie OpenVZ/Virtuozzo oder Linux-Vserver von Providern, die möglichst viele Benutzer auf einem System unterbringen möchten, bevorzugt wird.

 

[chris085]

Naja, was heißt hier Komplex, wir reden gerade mal von 6 Maschinen.
Ausserdem bin ich auch nicht erst seit gestern mit der Thematik vertraut.

Ich sag ja, es ist eine Idee, die mir im Kopf herumschwirrt.
Und wenn jetzt jemand hier Her kommt und sagt, das ganze ist aus diesen und diesen Gründen nicht möglich, lese ich das gerne.
Dafür Disktutieren wir schließlich auch drüber.

Vielleicht hat aber auch der eine oder andere bereits Erfahrungen und kann mir sagen was ich optimieren kann.

 

[chris085]

Schau dir mal die Techniken hinter den genannten Virtualisierungslösungen an, dann merkst du schnell, weshalb OS-Level Virtualization wie OpenVZ/Virtuozzo oder Linux-Vserver von Providern, die möglichst viele Benutzer auf einem System unterbringen möchten, bevorzugt wird.

Performance ?

 

[Ben.]

Hey, war ja nicht böse oder als Kritik gemeint.

 

[Roger Wilco]

Performance ?

Im Prinzip eher der bessere VMs pro Maschine Faktor. Der wird durch andere Nachteile erkauft (etwa keine vollständige Trennung der VMs). Mit OpenVZ/Virtuozzo und Linux-Vserver kann man die Wirtssysteme einfacher überbuchen.

 

[mkr]

Jetzt sind wir an dem Punkt, indem Ich auch schon längere Zeit grüble, warum setzen ISP's Vituozzo, Openvz, Linuxvserver ein und nur ganz ganz selten Vmware oder Xen ?

Kommt darauf an, welche Angebote Du anschaust. Im professionellen Umfeld gibt es durchaus VMWare. Bei den Angeboten für Heimanwender ist der Preis der entscheidende Faktor. Da kann ein ESX nicht mithalten.

Mit Virtuozzo und Konsorten bringt man mehr Maschinen auf einen Host als mit VMWare oder Xen. Und wenn einen die Nachteile nicht stören, ist das auch in Ordnung.