Archiv:2008/AG IT-Infrastruktur/Konzeption/Zwei Server

Lösung mit 2 Servern

Hinweis: Mittlerweile ist die Entscheidung für die 1-Server-Lösung gefallen. Dieses Konzept wird also so nicht umgesetzt, die Wiedergabe hier hat vor allem dokumentarischen Zweck.

Allgemeines

2x DS 3000 von Hetzner

Vorteile:

2 Server mit je 2Gb RAM Kosten 2x 49Euro, was denk ich im Rahmen liegt.

Es entsteht kein weiterer Administrativer Aufwand, ob wir nun 2 VM administrieren oder 2 Dedizierte ist relativ egal!

Konfig Maschine 1: (Http Dienste)

  • Apache 2 (mit mod-security,mod_rewrit,mod-removeip,->php als Modul?<-?)
    • PHP als Modul sollte eigentlich einen (sehr) kleinen Performance-Vorteil bringen, da der Umweg über das lahme CGI entfällt
    • Wie wärs mit lighttpd statt Apache? Skaliert unter Last besser als das Indianer-Monster
  • MySQL 5.1 Server (Master Modus)
  • DNS Server (Sec.)

Bundes Webauftritt und Länder Webauftritte können ohne Probleme laufen, um dies besser zu verteilen könnte man z.b. VHCS (oder dessen Nachfolger IspCP) installieren.

Müssen so oft Änderungen an der VirtualHost-Konfiguration vorgenommen werden, dass das lohnt?

Vorteile:

  • leichtere eMail Vergabe
  • leichtere Verwaltung der Webspace Daten (Vergabe an die LV)
  • geringer Wartungsaufwand für VHCS, Administratoren müssen nicht mehr wegen jeder

Kleinigkeit gerufen werden

Nachteile:

Eventuelle Sicherheitslücken?

Apache2 Konfig:

PHP würde ich als Modul einbinden oder direkt via CGI

  • siehe oben

HostnameLookups Off Bessere Performance bei Anfragen!

DirectoryIndex definieren!

keine Wildcards (*) !

Unbedingt Apache MPM Workers verwenden!

Optionen:

ThreadLimit 50 ServerLimit 40 StartServers 5 MaxClients 2000 MinSpareThreads 40 MaxSpareThreads 50 ThreadsPerChild 50

MySQL 5.1

MySQL sollte die DB mindestens zu 50% in den Ram packen, da wir hier 2GB für das System haben, können wir 1GB locker für die DB verbraten, 500MB für das mainsystem und 500MB für den Apachen (wobei das dicke reichen wird).

MySQl Query chache aktivieren wir.

DNS

DNS Server lassen wir als Sec. laufen, bessere Ausfallsicherheit für unseren primären Namensraum!

Mail

Ist ein Backup MX auf dem Server sinnvoll?

2. Server:

Mailsystem:

Ich schlage Postfix oder qMail vor, beide ausgereifte Systeme und lassen sich perfekt mit Spamassi verknüpfen (Stichwort Spamproblem)

POP3 und IMAP ist bei den beiden Systemen kein Problem, fahre ich z.Z. auf 4 Servern.

IMP als Webmail-System

Mail System greift auf die Master DB zu, bei Ausfall greift es automatisch auf Slave(Failover).

MySQL

MySQL 5.1 Slave Server, Repliziert die Datenbank des Masters

DNS

DNS Master Server ist auf dieser Maschine zu hause.

LDAP/Kerberos

Zur Authentifizierung der Mail-User ist das sicherlich sinnvoll, wenn jeder Pirat eine Mail-Adresse kriegen soll.

Backup/Sicherheit/Ausfall

Backup:

Tägliches Backup untereinander (inkrementell) und einmal alle 2Tage auf einen externen Server bei Hetzner und bei min. 2 System Administratoren!

Sicherheit:

SSH2 + Pri Key + no Root login ist wohl selbstverständlich, weiterhin das obligatorische verschieben des SSH Ports.

  • Port verschieben? Erscheint mir sinnlos, da wohl jeder Portscanner OpenSSH trotzdem identifizieren kann.

Dicht machen via IPtable alles außer die benötigten Dienste!

Ausfall:

Hier würde ich auf "Heartbeat" aufsetzen, beide Server monitoren sich gegenseitig, sollte einer ausfallen, schnappt sich ein Server die Ip des anderen und übernimmt somit seine Tätigkeit.

Hetzner bietet an, wenn man 2 Server hat, diese an einem Switch zu parken! Somit können wir die öffentlichen IP rum schieben nach Lust und Laune.

  • Und wenn der Switch ausfällt sind beide Server weg.