Archiv:2008/AG IT-Infrastruktur/Konzeption/Ein Server

< Archiv:2008‎ | AG IT-Infrastruktur/Konzeption
Version vom 6. März 2010, 08:33 Uhr von imported>RicoB CB (kat)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Dies ist die Server-Neukonzeption 2008.

Für die Umgestaltung 2009 siehe AG_IT-Infrastruktur/Konzeption

Lösung mit 1 Server

Ausgegangen wird von einem System mit 6 GB Hauptspeicher und 750 GB Festplattenkapazität sowie sechs IP-Adressen. Das entspricht z.B. dem Angebot "DS7000" von Hetzner.

Grundsätzliches Konzept

Der Server wird relativ feinkörnig virtualisiert. Jede virtuelle Maschine ist dabei autark ausgelegt, d.h. die Maschinen laufen unabhängig voneinander. Jede Maschine kann dabei von einem eigenen Team administriert werden, unterschiedliche root-User kommen sich dabei nicht ins Gehege und können die Daten der jeweils anderen virtuellen Maschinen nicht einsehen. Es ist deshalb sinnvoll, Dienste nach ihrer "Sensitivität" aufzuteilen, sodass ein Wiki-root-Admin nicht auf die E-Mail-Verzeichnisse zugreifen kann und umgekehrt.

Als technische Basis wird eine Virtualisierung mit Xen angenommen. Für die Dom0 (den Hypervisor) liegen diesbezüglich positive Erfahrungen mit SuSE Linux vor, sodass für seine Einrichtung SuSE Linux 10.3 verwendet werden soll. Die DomUs können mit einer jeweils passenden Systemumgebung aufgesetzt werden, wobei der Kernel des Systems "paravirtualisiert" sein sollte. Natürlich kann auch hier jeweils SuSE 10.3 verwendet werden.

Die virtuellen Rechner

Die Aufteilung des Rechners auf die virtuellen Maschinen wird entsprechend der oben angenommenen Größen von Hauptspeicher (6 GB) und Festplatte (750 GB) vorgenommen. Die Festplatte wird dabei zu Beginn innerhalb der Dom0 partitioniert, jede DomU bekommt dann eine dieser Partitionen als "virtuelle" Festplatte zugewiesen, innerhalb derer sie ihr eigenes Partitionenschema, Swapspace etc. anlegt. Dieses Vorgehen führt dazu, dass sich die Größe der virtuellen Festplatten nach der Ersteinrichtung nur sehr schwer ändern lässt. Die Größe des jeweils zugewiesenen Hauptspeichers hingegen ist über eine Umkonfiguration der Xen-Umgebung ziemlich einfach.

Die DomUs sollen so angelegt sein, dass bereits die Erstinstallation durch das jeweilige Adminteam vorgenommen werden kann. Dazu wird der virtuelle Rechner z.B. mit einem ISO-Image als virtuellem CDROM gebootet und anschließend über einen VNC-Client installiert. Da jede DomU autark ist, können verschiedene Dienste unabhängig voneinander in mehreren DomUs laufen, z.B. ein Webserver für den Zugriff auf die Dienste oder ein MySQL-Prozess.

Neben Haupt- und Plattenspeicher ist der begrenzende Faktor für die Anzahl der DomUs vor allem die Anzahl verfügbarer IP-Adressen. Im Interesse eine einfachen Diensteverwaltung soll jede DomU eine eigene feste, offizielle IP-Adresse bekommen. Bei sechs verfügbaren Adressen können also maximal fünf DomUs eingerichtet werden.

Dom0, der Hypervisor

Hauptspeicher: 250 MB, Festplatte: 25 GB

Von diesem System aus werden alle virtuellen Rechner gestartet und verwaltet. Der Hypervisor übernimmt keine anderen Aufgaben. Neben seinem eigenen Linux nutzt der Hypervisor seinen Plattenplatz auch, um z.B. ISO-Images für die Installation für die DomUs bereitzustellen.


Zugriff

DNS-Server und Monitoring

Hauptspeicher: 500 MB, Festplatte: 10 GB (DOM3)

(rackham-c.piratenpartei.de - 78.47.93.51 + 53)


Dieser virtuelle Server enthält den für die Integrität des Gesamtsystems besonders wichtigen DNS-Server sowie die Mailinglisten, die sich erfahrungsgemäß besonders gut über die integrierte Weboberfläche administrieren lassen und deshalb keinen root-Zugang erfordern.

Er enthält ebenfalls den neuen Jabber-Server.

Zugriff

E-Mail und Mailinglisten-Server

Hauptspeicher: 1,25 GB MB, Festplatte: 100 GB (DOM2)

(rackham-b.piratenpartei.de - 78.47.93.50)


ALT: Auf diesem Server liegen alle E-Mailaccounts. Die Verwaltung erfolgt mit Standard-Unix-Methoden, d.h. lokale E-Mailnamen sind als Unix-Nutzer angelegt und postfix wird über seine Konfigurationsdateien verwaltet. Zugriff erfolgt über IMAP/POP3 und SMTP (jeweils mit TLS/SSL) sowie einen Webmailer, z.B. Squirrelmail. Spam wird userweise gefiltert (z.B. mit Spamassassin). Einzelnen Nutzern kann auch Shell-Zugriff gegeben werden, sodass sie z.B. mit pine auf ihre E-Mail zugreifen können. Der Festplattenverbrauch wird mit quotas reguliert.

NEU:

  • eMail

aufgebaut mit Postfix (mit virtuellen Benutzern und Domains) und ASSP mit eingebettetem ClamAV als Spam-Proxy. eMails werden bei der einlieferung geprüft auf:


1. MTA Level blockierung

gültiges Helo, rfc821, hostname/fqdn, bounce blocking, unknown_address, unknown_client, unknown_hostname, unknown_relay, unknown_virtual_mailbox, unverified_sender, unverified_recipient) inkl. rbl


2. Whitelisting / Redlist

Eingehende eMails werden nach passierung der 1. instanz gegen Whitelisting und Redlist geprüft. Whitelisting eMails gehen ohne weitere Filterung durch, werden lediglich gescored.

Sollte eine auf der Whitelisting bestehende eMail zuviel Scoring verursachen, wird sie temporär von der Whitelisting entfernt.


3. SPF / DNSBL / URIBL

SPF ist im Scoring Modus DNSBL und URIBl im Filter Modus


4. Delaying/Greylisting



5. Attachments & Viruses

Attachments & Viruses im Scoring Modus

endungen exe, scr, pif, vb[es], js, jse, ws[fh], sh[sb], lnk, bat, cmd, com, ht[ab] werden Geblockt


6. Bayesian

Bayesian ist im Filter Modus


Lernmodus:

zurzeit ist eine Spam-Collectin Adresse aufgeschaltet *@r0ckt.de, alle eMails die dort aufschlagen werden automatrisch als Spam erkannt und erlernt. Die eMail Adressen wurden zuvor auf websites im Quellcode gesteckt (u.a. www.gebhardt-riegel.de).


ASSP läuft zZ im TestModus, dh alle eMails werden nach allen Regeln gefiltert und Gescored aber nicht aussortiert. Sie werden momentan lediglich Getagged.


eMail-Statistiken: http://rackham-b.piratenpartei.de/cgi-bin/mailgraph.cgi


Zugriff

Webserver I: Zentrale Webpräsenz(en) nach außen

Hauptspeicher: 1GB , Festplatte: 75 GB (DOM1)

(rackham-a.piratenpartei.de - 78.47.93.49)


Dieser Server präsentiert die auf die Kommunikation nach außen gerichteten Webseiten der Piratenpartei und interessierter Landesverbände. Hier ist z.B. das Drupal für die Webpräsenz installiert. Die Dienste auf diesem Server sind wichtig für die Präsentation der Partei nach außen, deshalb ist ständige Verfügbarkeit oberstes Gebot.


Zugriff

Webserver II: Wiki, Forum und der ganze Rest

Hauptspeicher: 2 GB, Festplatte: 250 GB (DOM4)

(rackham-d.piratenpartei.de - 78.47.93.52)


Hier laufen die übrigen Webpräsenzen der Partei und interessierter Landesverbände. Wichtigste Präsenzen sind die nach innen gerichteten Informationsplattformen Forum und Wiki. Aber auch technisch komplexere LV-Präsenzen können hier aufgesetzt werden. Der Webserver trägt deshalb nicht nur phpBB und Mediawiki, sodern z.B. auch Joomla oder sogar Tomcat als Basisdienste für die Webpräsenzen.

Status

Jamasi hat das LAMP-Setup grundsätzlich eingerichtet und das Wiki migriert. Ein Cronjob erledigt regelmäßige Backups der Wiki-DB. Als nächstes steht die Einrichtung des Squid-Caches an sowie die Installation weiterer Extensions an. --Jamasi 04:10, 27. Mai 2008 (CEST)

Zugriff

Webserver III: LV

Hauptspeicher: 512 MB, Festplatte: 15 GB (DOM5)

(rackham-e.piratenpartei.de - 78.47.93.54)


Zugriff


Free space

Hauptspeicher: 512MB, Festplatte: 335 GB

Das System steht zur freien Verfügung. Bei Bedarf kann hier ein Server zu Testzwecken aufgesetzt werden, ansonsten steht der Hauptspeicher auch dafür zur Verfügung, die anderen virtualisierten Plattformen bei Bedarf mit mehr Resourcen auszustatten.

Hinweis: Der hier ursprünglich geplante Kommunikationsserver soll stattdessen dezentral aufgesetzt werden.

Lösung mit 2 Servern nicht umgesetzt und archiviert

Hinweis: Mittlerweile ist die Entscheidung für die 1-Server-Lösung gefallen. Dieses Konzept wird also so nicht umgesetzt, sie wurde aber archiviert.