Serverarchitektur ./. Virtuelle Maschinen

[SuperSocke]

Aloha liebe Community,

Ich konnte meinen Chef endlich dazu überreden weg von dem alten Windows Server zu kommen.
Nun habe ich ein kleines Linux Server Projekt am Hals und bräuchte etwas Hilfe von den Experten.

Benötigt wird auf jeden Fall:
Fileserver
Webserver
VPN Server
Datenbank Server

schön wäre noch:
DNS Server
Mail Server

Nun zu meiner Kernfrage. Was wäre ein wünschenswerter Weg die Serverarchitektur aufzubauen?
Sollte man lieber auf dem Rootserver, für die einzelnen o.g. Serveranwendungen, virtuelle Maschinen
aufziehen um diese getrennt zu halten oder einfach alles auf dem gleichen Server laufen lassen?

Mein Grundgedanke war eigentlich den Root Server aufzusetzen, diese weitestgehend nackt zu lassen und
auf diesem vier virtuelle Maschinen laufen lassen.

Auf der ersten virtuellen Maschine den Fileserver aufzusetzen. Per Samba inkl. Domänencontroller, Active Directory
und Open VPN einen Datenaustausch ermöglichen. Von der Außenwelt nur den VPN Port erlauben und sonst nur über
das Netzwerk erreichbar.

Auf der zweiten virtuellen Maschine den Webserver einrichten, der über eine feste IP aus dem Netz
erreichbar ist. Auf diesem würde dann auch der DNS-Server laufen.

Auf einer dritten virtuellen Maschine würde ich dann den Datenbankserver laufen lassen.

Auf einer vierten Maschine dann den eventuellen Mailserver.

Macht das überhaupt Sinn sich diese Arbeit zu machen oder ist es theoretisch, mit den richtigen
Firewall Einstellungen, scheiß egal wie viele Anwendungen gemischt auf einem System laufen?
Es heißt ja immer so wenig wie möglich. Aber ist weniger dann eher das oder ist weniger eher
alles auf einem Server laufen lassen?

Ich hoffe, dass ist die richtige Sektion. Ich würde mich über eine kleine Hilfestellung freuen.

Vielen Dank!

[heisenberg]

Ich bin ja selbst eher faul und deswegen frage ich mich immer: Tut das Not? Ist das wirklich sinnvoll?

Im Fall des Trennens von Serverdiensten, hat das aber schon ein paar Vorteile(was mir gerade so einfällt):

• Aktualisierung Bei einer Trennung kann man unterschiedliche System unterschiedlich aktualisieren. Auf Webservern will man z. B. öfters mal neueste PHP-Versionen haben.
• Wichtigkeit Manche Server sind sehr hochkritisch andere nicht so sehr. Wenn ein Server mit einem unkritischen Dienst nicht heruntergefahren werden kann, weil ein hochkritischer Dienst auf dem gleichen Server ist, ist auch blöd.
• Isolation Auch möchte man nicht, dass "Experimente" an einem Dienst gleich alles andere auch noch lahmlegen(->apache test legt z. B. dns lahm, weil ein Konfigurationsfehler den kompletten Server-RAM braucht). Auch beim Backup möchte man vielleicht einen Dienst getrennt wiederherstellen können. Das geht bei getrennten Servern einfacher.
• Unterschiedliche Hardware Wenn Du Dich entscheidest, einen einzelnen Dienst hinterher dann z. B. auf SSD zu betreiben, kannst Du die dedizierte VM dann auf das SSD-Storage verschieben. Das geht bei unterschiedlichen VMs einfacher als wenn alles ein Server ist.

Als fauler Mensch mache ich mir natürlich auch nicht die Arbeit und richte die Virtualisierung händisch ein, sondern verwende Proxmox VE (auf Debian, da flexibler), mit der die Virtualisierung sehr einfach zu verwalten ist. Die Backupfunktionalität ist auch gleich mit im Web-UI integriert.

[bluestar]

Auf der ersten virtuellen Maschine den Fileserver aufzusetzen. Per Samba inkl. Domänencontroller, Active Directory

Achtung in der Samba-Doku (hier) wird explizit darauf hingewiesen, dass du AD-DC und Fileserver in zwei VMs aufteilen sollst.

Was die Menge deiner Dienste und das angestrebte VM-Setup angeht: Achte bei der Auswahl deines Rootservers darauf, dass du bei dem Anbieter für dein Vorhaben direkt ein /28 Subnetz bekommst, da du im Normalfall (= sauberes Setup) jede IP nur für eine VM nutzen kannst.

[heisenberg]

Was den DB-Server betrifft:

Ich habe vor kurzem einen WordPress Shop geprüft, der bei einem Lasttest mal so eben einen 1 GBit Link zum dedizierten DB-Server ausgelastet hat. Das wäre evtl. ein Argument gegen Trennung von Webserver und DB-Server.

[SuperSocke]

Erst einmal vielen Dank, dass ihr euch beide die Zeit genommen habt zu Antworten.

Grundsätzlich bin ich kein fauler Mensch. Wenn es der Sache sinnvoll erscheint mach ich auch
fünfzig Vm´s. Das mit dem getrennten AD DC und Fileserver ist ein guter Tipp. Vielen Dank!

Proxmox VE ist auch, wie es scheint, einen sinnvolle Geschichte.
Auch vielen Dank für den Tipp. Ich denke mal, dass ich es damit umsetzen werde.

Nun hätte ich noch eine Frage dazu. Ich würde gerne die VM´s separat verschlüsseln. Habe aber keine Lust bei jedem Start immer die Passwörter
für jede VM einzugeben „hust doch etwas faul“. Überlegt habe ich mir einen USB-Stick anzulegen mit Keyfiles und diesen an die Vm´s weiter zu geben.
Können die Vm´s in Proxmox alle beim Start gleichzeitig auf diesen Stick zugreifen um sich ihre Keyfiles (Luks) zu holen? Oder muss ich mir da etwas Anderes überlegen.

[Tintom]

Nun hätte ich noch eine Frage dazu. Ich würde gerne die VM´s separat verschlüsseln.

Warum nicht einfach den Host auf dem die VM laufen verschlüsseln?

[novalix]

Zwei Stromspartips:
Vollverschlüsselung auf einem 24/7-Server ergibt ja lediglich bei einem Angriffsvektor (Diebstahl mind. der Festplatten) wirklich Sinn. Wenn das Gerät vernünftig gesichert untergebracht steht, könnte man die CPU-Zyklen auch anders verteilen.
Logische Separierung von services kann man oft sehr fluffig mit leichtgewichtigen Containern realisieren (LXC, etc.)

[Tintom]

Vollverschlüsselung auf einem 24/7-Server ergibt ja lediglich bei einem Angriffsvektor (Diebstahl mind. der Festplatten) wirklich Sinn.

Die CPUs heutzutage können in Hardware verschlüsseln, da fällt kein zusätzlicher Energiebedarf an. Neben dem Diebstahlrisiko besteht aber noch das Risiko beim Austausch der Platten an Daten zu gelangen. Sofern die Platte noch intakt ist, kann man das durch Überschreiben verhindern. Aber was ist, wenn die Platte (teilweise) defekt ist? Da ist eine vorherige Verschlüsselung schon sinnvoll.

[MSfree]

Die CPUs heutzutage können in Hardware verschlüsseln, da fällt kein zusätzlicher Energiebedarf an.

Diese Aussage ist doppelt unsinnig.

Einerseits ist die CPU Hardware. So konnte bereits ein Z80 in der CPU, also in Hardware verschlüsseln. Verschlüsselung findet also immer in der Hardware statt. Nur haben moderne CPUs dafür Befehlserweiterungen, um die Anzahl der CPU-Zyklen zu reduzieren, die sonst mit vielen Rechenschritten in Hardware ausgeführt werden müßten.

Andererseits kostet die Nutzung dieser Befehlserweiterungen selbstverständlich auch immer Energie. Es fällt also immer ein zusätzlicher Energiebedarf an. Der Betrag mag zwar klein und vernachlässigbar sein, aber Null ist dieser definitiv nicht.

[Tintom]

So ist's korrekt. Danke für die präzise Klarstellung.