Postavitev ter administracija strežnika
7 naročnikov
7 naročnikov
Pozdravljeni!
Dolgo me ni bilo tukaj, sem že malo pozabil na tale forum :) Imam eno čisto informativno vprašanje.
Zanima me namreč približna cena postavitve ter vzdrževanje strežnika.
Kaj bi se moralo zrihtat na serverju?
CentOS!/Debian s custom kernelom in grsecurity patchom, Xen.
Imel bi 2-3 virtualke, na katerih bi laufali ApachePhp+Mysql nodi. Imel bi dva strežnika na fizično ločenih lokacijah, ki bi laufala ha loadbalancing + proxy serverji. Apache nodi vzdržujejo iste fajle z rsyncom, mysql z mysql replicationom.
Nginx bi bil za preusmerjanje prometa in statične file, Apache za serviranje php filov. Študiral sem tudi o greenmysql (kao mysql firewall pred mysql injection) ter modsec za apache. Na enem vps-u bi bil tudi cpanel.
Postavili bi se servisi kot so ftp over ssl, mail (ssl), celoten dns servis, nek centralen auth sistem, "cloud" file storage, ... Monitoring vseh servisov na serverju z grafi. Vsi serverji bi bili povezani v privat VPN mrežo, torej vzdržeanje poteka iz centralenga serverja (no ssh, monitoring, admin pages od "zunaj").
Pozabil omenit vse potrebne servise/aplikacije za stranke. dns, vhosti, phpmyadmin, mogoče celo vps control panel.
Celoten disk oz. raid array bi bil encryptan. Napisana iptables skripta.
Pisali bi se tudi grsecurity policy rules-i, vsak servis zavarovan in ločen.
Automatski backup (dump mysqla, rsync filov oz. snapshoti) vsak dan.
Vem da so določene stvari zmedeno in na hiterco napisane, vendar je pomembno kaj bi se moglo v osnovi zrihtat (če vas zanimajo podrobnosti, pišite v temo). Zadeva je itak še bolj zakomplicirana, sam me res samo informativno zanima, kakšne cene so v teh biznisih.
Bi bilo pa zelo lepo, če bi se lahko povezal s kakšnim sistemcom, me še zanimajo določene stvari :)
Hvala in lep pozdrav!
19 odgovorov
Zdravo brix lepo, da se vidiva tudi tukaj :)
Ampak to kar si naštel ima vrtoglave cene sploh, če vzameš neko solidno podjetje za izvajalce. Moraš vedet, da tu je še mnogo stvari poleg same postavitve kot je: pisanje dokumentacije, vzdrževanje, upgrade,....
drugače pomoje najbolje, da se kar sama lotiva projekta ;)
brix všeč mi je da si napisal res dejansko kaj vse potrebuješ.
cena za takšen sistem kot ti je že Frajder rekel se giblje v 5 mestni številki everčkov.
Za točno ceno je pa treba tudi naredit točno specifikacijo. Zraven moraš pa prištet še hardware
predlagam ti da preveriš drbd za "vzdrževanje" fajlov. Kar se tiče loadbalancinga takole ne bo šlo ampak boš moral pristati na round robin dns loadbalancing, kjer ni failoverja. 2 serverja sta za tako infrastrukturo čisto premalo. če nič drugega backup sistem ne more in ne sme biti na isti mašini. je pa lepo da se je nekdo lotil malce zahtevnejše postavitve, ker ponavadi postavitev strežnika in cpanel je nekako top of the top kar na tem forumu zasledim -.-
@Frajder: ni dvoma, se bova lotila zadeve :)
@stesi: o zanimivih številkah se pogovarjamo :) hardware je seveda druga stvar, trenutno se testira na non-enterprise mašinah, ker me zaenkrat zanima sama postavitev ter vzdrževanje tega sistema. Enterprise hardware pride kasneje :)
@bl4ckb1rd: drdb poznam, vendar zadeve še nisem uspel naštudirat in stestirat, definitivno bom vključu takšno vzdrževanje filov v sistem. Round-robin DNS mi ni pretirano všeč, zaradi že omenjene pomankljivosti failoverja. Tukaj se pogovarjamo o dveh glavnih serverjih, ki bosta dejansko handlala ves promet. Definitivno pridejo v upoštev proxy serverji, za ha pa itak nucam še dva serverja, ki bosta preusmerjala promet.
Glede backupa se seveda strinjam, zadevo je definitivno treba dat na drugo fizično mašino na drugi lokaciji - že zrihtano :)
Glede te postavitve je tko, da je velik zadeve že naštudirane, postavljene in stestirane, se pa kot vsi ostali, še vedno učim in se hočem še malo bol poglobit v sistemske vode. Zato sem pa tudi odprl to temo, ker podobne na tem forumu nisem zasledil.
Zanima me še nekaj glede loadbalancinga. Rečmo, da imam 2, 3 ali 4 močne strežnike, ki so na različnih kolokacijah. Ves promet bi se usmerjal na še 2 strežnika, ki bi bila povezana v heart-beat sistem (vsak svoj ip, ter še floating ip, ki si ga izmenjujeta, torej če ena mašina podlegne, promet preusmerja druga.). Torej ta dva strežnika bi bila vstopna točka do tistih 3-4 serverjev, ki mlejejo promet. Vsi strežniki bi bili v Sloveniji, od kjer bi večina prometa tudi prihajala. Ves load, ki bi prihajal iz teh dveh proxy serverjev, bi se porazdelil po tem poolu 3-4 serverjev.
Zanima me, če bi bila zadeva smiselna, kar se tiče high availability in hitrosti ter seveda zmogljivost sistema. Če bi imel vse serverje na eni fizični lokaciji, bi promet do poola seveda šel po lokalni mreži (tudi replikacija in vsi ostali synci bi šli preko locala), tukaj bi pa promet šel preko že itak polnega bandwidth-a. Tukaj je poanta samo to, da so serverji na različnih lokacijah, ker more bit zadeva res 99.9% online :) Me zanima, kako bi to izpadlo. Zadevo sem spet mal čudno razložil, sam sej bote štekal, drgač pa napišite :)
Hvala vsem za odgovor in lep pozdrav!
Ne delaj to na več lokacijah s tem namenom da boš imel 99,9% zanesljivost... zaklal se boš s povezovanjem sistema in latencyom... Plus VPN bi moral imeti že za samo replikacijo recimo, kar pomeni še dodatno 30% prometa in CPU bremenitev strežnikov za kriptiranje, da ne govorim o ostalih zadevah. VPN ni ravno najhitrejša zadeva if you know what i mean :) Omisli si BGP. Datacenter ti ponuja 3 različne linke v tehnološkem parku. Cogent, datacenter in level3. Mislim da nimaš dovolj denarja na mesečni ravni da vse 3 dedicated linije zakupiš :) Vseeno pa te bo pa ceneje prišlo kot 3 ločene lokacije. Če odleti ena linija sistem preklopi na drugo, če pa bi se zgodilo da še druga dela maintenance ob istem času, pa preklopi na tretjo... plus tega lahko routaš preko posameznega linka... če želiš servirati tujino je to prima, saj so latencyi bomba :)
če že hočeš 2 fizične lokacije, potem podvoji isto infrastrukturo še pri drugem ponudniku... najbolje ljubljana / maribor naveza, načeloma pa bi moral biti sistem na drugi tektonski plošči... v teoriji seveda.
huh, dolgo se nismo slišali. se opravičujem, ker nisem nič odgovoril, je blo malce gužve vmes. neki smo že zrihtali, zmeraj se pa nekaj dela na sistemu. prišli smo pa do problema pri routerjih.
imamo namreč dva pfsense routerja, ki bi jih radi povezali na t-2 modem. trenutno smo testirali uporabo carpa za floating ip. torej kako uporabiti dva routerja in carp + pfsync, tako da v slučaju da en router poklekne, gre ves promet čez drug router.
t-2 nam ponuja dva povezovalna segmenta, ki pa nevem, kako jih uporabiti v tej situaciji.
hvala in lep pozdrav, brix
Sicer se mi je glede na prvi post zdelo, da misli stvar biti malce bolj profesionalna in da bo vključena tudi profesionalna oprema, ki zagotavlja omenjenih 99,9% ampak s pfsense hmmmm (saj ne, da se ne da ampak...). Če potrebuješ profesionalno rešitev ti predlagam vsaj nekaj takšnega, postavitev seveda v HA načinu .... http://www.juniper.net/uk/en/products-services/security/srx-series/srx240/. Če potrebuješ ponudbo pa mi piši pod zasebno.