https://wikimirror.piraten.tools/wiki/index.php?action=history&feed=atom&title=Archiv%3A2012%2FIT%2FArchitektur_und_HardwareArchiv:2012/IT/Architektur und Hardware - Versionsgeschichte2026-05-05T14:36:31ZVersionsgeschichte dieser Seite in Piratenwiki MirrorMediaWiki 1.35.14https://wikimirror.piraten.tools/wiki/index.php?title=Archiv:2012/IT/Architektur_und_Hardware&diff=55837704&oldid=previmported>JanRei: JanRei verschob die Seite IT/Architektur und Hardware nach Archiv:2012/IT/Architektur und Hardware2019-01-31T14:32:11Z<p>JanRei verschob die Seite <a href="/IT/Architektur_und_Hardware" class="mw-redirect" title="IT/Architektur und Hardware">IT/Architektur und Hardware</a> nach <a href="/Archiv:2012/IT/Architektur_und_Hardware" title="Archiv:2012/IT/Architektur und Hardware">Archiv:2012/IT/Architektur und Hardware</a></p>
<p><b>Neue Seite</b></p><div>Diese Übersicht betrifft die '''Bundes-IT''' und wurde 06/2012 nach vielen Mails und einer Telefonkonferenz zusammengestellt. <br />
Aktuell laufen die Systeme "am Anschlag", es werden Lösungen benötigt, um den Service weiterhin halten zu können.<br />
<br />
== Links zur Übersicht ==<br />
* grobe Übersicht http://wiki.piratenpartei.de/IT/%C3%9Cberblick<br />
* Munin Monitoring http://stats.piratenpartei.de/ <br />
* Mail-Monitoring http://mail.piratenpartei.de/cgi-bin/mailgraph.cgi<br />
<br />
== grundsätzlicher Aufbau ==<br />
<br />
=== Hardware ===<br />
* 8 Applikations-Server, darauf virtualisierte Server<br />
** Dell R310 (Intel Xeon X3430, 12GB RAM) <br />
** Dell R510 (Intel Xeon E5620, 32GB RAM)<br />
* 2 Storage-Systeme <br />
** Dell R510 (Intel Xeon E5620, 48GB RAM) mit PERC-H700 Controller<br />
** NFS auf 10x 500GB RAID6<br />
** MySQL auf 2x 250GB RAID1<br />
<br />
== Storage, Filesysteme ==<br />
* Storage ist höchstredundant ausgelegt - aus Sicht des nutzenden Servers:<br />
** gemounted als OCFS2 (Oracle Cluster-FS2)<br />
** OCFS2 greift auf DRBD (http://www.drbd.org/) als Block-Device zu. DRBD bildet ein RAID1 über Netzwerk ab<br />
** Hardware RAID-6<br />
* NFS läuft dann als NFS-Mount gegen NFS-Server auf OCFS2 über DRBD gegen RAID6<br />
<br />
=== Hardware Storage-Server ===<br />
* PERC-H700 Controller mit<br />
** 2x 250GB RAID1 für DB<br />
** 10x 500GB RAID6 für Filesysteme<br />
<br />
=== Probleme ===<br />
* komplex!<br />
** auch fehleranfällig<br />
** benötigen viele I/Os<br />
* schwierige Wartung<br />
** bei Ausfall/Umbau müssen alle Admins für alle betroffenen Systeme beteiligt werden, um die wieder hochzufahren<br />
** aktuell keine parallele Kapazität für Umbauten, Migrationen, u.ä.<br />
<br />
<br />
=== Alternativen: Cluster-Filesysteme ===<br />
* auch andere Cluster-FSe wurden ausprobiert<br />
* alle bremsen ziemlich aus<br />
* ZFS ist unter Linux eher nicht verfügbar (zu wenige BSD-Admins, Solaris fragliche Zukunft) - oder langsam (FUSE)<br />
* Gluster-FS hat für Produktiv noch ein paar Macken (zerstört manchmal Dovecot-Cachefile)<br />
* Erfahrungen mit Ceph o.ä. sind eher nicht vorhanden<br />
<br />
=== Alternative: iSCSI-Storage-System ===<br />
* 2 SAN-Storage<br />
** System synchronisieren sich selbständig untereinander => DRBD unnötig, OCFS2 unnötig<br />
** virtuelle Server können schnell aufgebaut werden<br />
* vorgeschlagene Hardware:<br />
** ein Pärchen Dell Equallogic PS6110XV SAN-Systeme<br />
** zwei Gbit+10Gbit-Switches<br />
** iSCSI-Offload-Karten<br />
** ca. 55.000,- EUR<br />
<br />
<br />
== Lastprobleme ==<br />
Summary https://www.dropbox.com/sh/sksvf2ut6c46g1p/FrZ8wfIhIr/100k#f:Auslastung_IOPS.png<br />
<br />
'''Wünsche:''' http://wiki.piratenpartei.de/IT/Wunschliste <br />
<br />
'''Detail:''' http://wiki.piratenpartei.de/IT/Wunschliste/Detail<br />
<br />
=== Lastproblem Mail ===<br />
** Ziel Aufteilung : Postfix-Head + IMAP-Server + Mailman (die jeweils den anderen ersetzen können für Failover)<br />
** MTA postfix<br />
*** hohe I/O durch Queues, aber handlebar<br />
** IMAP aktuell courier, demnächst dovecot (wg. Features und Performance)<br />
*** Postfächer machen 30% der I/O<br />
*** gerade laufen Tests, ob Mailbox oder Maildir besser sind<br />
** Mails werden an Syncforum-Skript geschoben, das die Mail in passendes Forum postet => MySQL-Last<br />
<br />
=== Lastproblem Piratenpad ===<br />
* problematisch sind die "alten" Java-basierten EtherpadPro (die geschlossenen mit Anmeldung)<br />
** die "neuen" Node.js-basierten Etherpad-Lite sind unproblematisch<br />
** Proxies dicht: jede Session hat 6 laufend offene Verbindungen => Source-Ports auf Reverse-Proxies sind immer mal wieder "voll" (max. 65.000 Portnummern, also max. 10.000 gleichzeitige Pad-Nutzer)<br />
** DNS-Verteilung durch Wildcard-Domain nichttrivial<br />
* Pads offen verfügbar<br />
** Unterscheidung Piraten-Pads vs. Fremdpads ist ohne die Inhalte zu bewerten derzeit nicht möglich<br />
** mit Umstellung auf PiratenID zur Anmeldung ggfs. lösbar<br />
<br />
=== Lastproblem MySQL-Datenbank ===<br />
* erzeugt (zu) viele I/Os<br />
** Forum - aber incl. Read-Zugriffe, die zu fast 100% aus dem Query-Cache kommen<br />
** Wiki - Last durch extrem viele Schreibzugriffe<br />
** Pad - das Java-basierte EtherpadPro schreibt aufgelaufene Änderungen alle 5 Minuten in DB => Lastspitzen<br />
* Master-Slave Replikation<br />
** ...über beide Server<br />
** Slave für Read-Queries konfiguriert wo möglich<br />
** Replikation derzeit nichtfunktional<br />
<br />
== VPN-Endpunkt ==<br />
* Bedarf<br />
** IT + BuVo + SAGE = ca 150 Tunnel mit 4-8 Rechteklassen <br />
** min. 25 RDP-Sitzungen mit je 2-4 Mbit => min. 100MBit/s VPN-Durchsatz<br />
* aktuell: <br />
** OpenVPN in Handarbeit<br />
** VPN-Nutzung unter Windows benötigt Admin-Rechte<br />
* Wünsche<br />
** VPN mit LDAP <br />
** AntiVirus für FTP<br />
* Alternative SSH-Tunnel<br />
** zur Administration von SSH-Keys keine Admin-Rechte nötig<br />
** aber: SSH TCP-Forwarding nur schwer eingrenzbar<br />
** vom Internet erreichbarer SSH-Port auf interne Systeme soll nicht sein, da Risiko<br />
* angedacht war: Gateprotect VPA<br />
** kaum bekanntes Firewallprodukt auf Debian-Basis<br />
** proprietärer Windows-only VPN-Client auf Basis von IPSec (ohne NAT-T) oder OpenVPN<br />
** kann für VPN kein LDAP, kein RADIUS<br />
** für benötigte Funktion teuer <br />
** Windows-Only Adminclient<br />
* Alternative: PF-Sense<br />
** http://www.pfsense.org/<br />
** CD-Appliance auf Basis von FreeBSD + PF<br />
*** IPSec<br />
*** OpenVPN auch mit LDAP http://blog.stefcho.eu/?p=528<br />
*** PPTP mit RADIUS<br />
** Failover incl. Durchreichen einzelner Interfaces: wenn Master-eth0 kaputt ist und gleichzeitig Slave-eth1, dann funktioniert die Verbindung eth0-eth1 immer noch, da über Master-eth1+Heartbeat+Slave-eth0 umgeleitet<br />
** Administration ausschließlich über Web-Oberfläche (Konsole + SSH-Shell verfügbar, aber nur für Installation nötig)<br />
** fertige Hardware-Appliances verfügbar http://www.pfsense.org/index.php?option=com_content&task=view&id=44&Itemid=50<br />
*** CD-Image herunterladen, auf vorhandem PC installieren (grob: 1 GHz für 100Mbit/s VPN)<br />
* Alternative: Cisco ASA<br />
** 5510 wahrsch. zu klein, also 5505?<br />
** teurer<br />
** CLI-admin<br />
** proprietärer Client (?)<br />
* Alternative: Juniper SRX<br />
** nur CLI-admin (Weboberfläche praktisch unbenutzbar)<br />
<br />
[[Kategorie:IT-Infrastruktur|Architektur und Hardware]]</div>imported>JanRei