Einblick in meine Server- und Netzwerkinfrastruktur

Einblick in meine Server- und Netzwerkinfrastruktur
Noch nicht bewertet.

Auf dieser Seite möchte ich mal den aktuellen Stand meiner „Server- und Netzwerkinfrastruktur“ beschreiben.
Wer schon die Seite „Über mich und die Seite“ gelesen hat, hat schon einen groben Überblick über meine berufliche und Hobby-Tätigkeit.

Ein normaler Ausbau eines Netzwerk schließt in der Regel einen Route, evtl. ein paar PCs, Smartphones, Fernseher, usw. ein. Für die Datenspeicherung werden lokale Festplatten oder Clouddienste verwendet. Ist soweit für den normalen Benutzer in Ordnung, solange man keine höheren Ansprüche an Flexibilität oder Datensicherheit stellt. Ich gehöre zu denen, die am liebsten alles Dienste selbst betreiben und somit vollständige Kontrolle darüber behalten, was mit den Daten geschieht. OK, nicht die vollständige, aber nahe zu.

Zudem nutze ich gerne die aktuellen Techniken, um alles von überall aus optimal verfügbar zu halten. Seien es Daten oder Dienste, die ich – egal wo ich gerade bin – stehts verwenden können möchte. Klar könnte ich das auch mit den bekannten Cloudanbietern, aber hier bin ich auf deren Gunst angewiesen.

Wahrscheinlich denkst du jetzt „Wieder so ein paranoider“ oder „Was für ein Kontrollfreak“. Ja, ich mache mir Gedanken über die Daten- und Internetsicherheit, aber ich setze mir keinen Aluhut auf oder lehne besagte Dienste vollständig ab – ich verwende sie u. U. eben nur für belanglosere Dinge. Und nein, durch mein Hobby kann ich mir eben eigene Dienste aufbauen und warum diese dann auch nicht verwenden und selbst Kontrolle darüber behalten?

Aber nun genug über das warum.

In der Regel wird für den Zugang zum Internet eine Router des Providers verwendet, was in den meisten Fällen auch vollkommen ausreichend ist.
Wer möchte, kann sich natürlich auch einen eigenen Router installieren. Hierfür gibt es mehrere Betriebssysteme, die jeden PC mit mindestens zwei Netzwerkanschlüssen in einen vollwertigen Router mit vielen nützlichen Zusatzfunktionen umrüsten können.

Eines dieser Betriebssysteme ist die Sophos UTM (früher Astaro). Sie bietet interessante Funktionen wie einen http/ftp-Proxy, VPN (SSL, L2TP/IPsec, PPTP), Application-Firewall, Webserver-Firewall, usw. Sie verrichten bei mir schon mehrere Jahre zuverlässig ihren Dienst.

Da ich zwei räumlich getrennte Netzwerke betreibe, benötige ich eine einfache Möglichkeit, diese beiden über das Internet zu verbinden. Auch hier hilft die UTM per S2S-VPN.

Auf einer Seite (ich nenne sie jetzt mal Standort 1) werkelt ein AMD E-350 CPU mit 4 GB DDR3 RAM und 3 Netzwerkkarten. Sie ist mit jeweils einer NIC mit dem Netzwerk bzw. dem Internet verbunden. Eine NIC ist dem LAN und den VLANs zugeordnet. Eine weitere mit der PFsense für die statische IP (darauf gehe ich weiter unten ein) und die letzte mit der Fritzbox für den Internetzugang.
Auf der anderen Seite (Standort 2) arbeitet eine auf einer NAS virtualisierte UTM, welche die dortigen VLANs bedient und selbst über 2 NICs verfügt. Sie ist in der EasyBox als „Exposed Host“ eingetragen und erhält somit sämtliche Anfragen aus dem Internet.

Neben den UTMs verfügen beide Netzwerke auch über Virtualisierungs-Hosts auf Basis des VMware vSphere.
Für einen Hypervisor sollte, je nach Einsatzanforderungen, logischerweise auch entsprechend potente Hardware eingesetzt werden. Meistens wird hier auf XEON-Prozessoren von Intel gesetzt. Das ist für Firmen definitiv die beste Wahl, aber für den Heimgebrauch doch ziemlich „oversized“ – vom Stromverbrauch mal abgesehen.
Was viele aber nicht glauben: Für den heimischen Einsatz reicht zum Beispiel auch ein halbwegs aktueller Celeron mit einem TDP von 35W vollkommen aus – vorausgesetzt hierauf sollen keine ungewöhnlich leistungsfressenden Aufgaben ausgeführt werden. Schließlich lastet man den Host zu Hause nie oder nicht sonderlich lange voll aus.

Ich habe in meiner Vergangenheit schon einige Hardwarekombinationen für den VMware ESXi Hypervisor ausprobiert und stellte für meine hauptsächlichen Zwecke (Active Directory, Webserver, E-Mail-Server, PRTG-Probe, DNS, SQL-Server) keinen großen Unterschied bezüglich Leistungsengpässen zu meiner vorherigen stromfressenden AMD Phenom II X4 bzw. Intel XEON CPU und dem jetzigen Celeron fest. Gut, virtuelle Maschinen zur Konvertierung oder zum Rendering von Videos kann ich auf dem Celeron nicht sinnvoll laufen lassen, aber dafür gibt es nun einen dedizierten Server. Dieser läuft nur auf „Zuruf“ und nicht 24/7.

Mein Haupt-ESX in Standort 1 ist ein HP Microserver Gen8 mit einem Celeron G1610T und 16 GB DDR3 1600 ECC RAM mit dem OS VMware ESXi 6.0 und führt 8 VMs aus. Dieser Host verfügt über insgesamt 6 NICs und ein KVM-Port. Hiervon ist eine NIC direkt an eine NAS für iSCSI und NFS-Freigaben angeschlossen, eine weitere allein für den Host selbst abgestellt (vSphere und SNMP), der nächste ist direkt mit der Fritzbox verbunden und wieder ein andere führt die interne PFsense VM heraus, welche an die UTM angeschlossen ist. Die PFsense, stellt über einen Anbieter per VPN eine statische IP bereit. Die restlichen NICs versorgen die VMs mit einer Netzwerkverbindung.

Der 2. ESX (der nur auf „Zuruf“ läuft) ist ein alter Supermicro mit Intel XEON Dualcore und einem RAID 10 mit 3 TB Speicherplatz und 8 GB DDR2 RAM – eben schon etwas älter.

Ein 3. ist ein Intel NUC mit einer i3-CPU, welcher ebenfalls nur auf „Zuruf“ läuft und befindet sich in Standort 2.

Die WAN-Seite sieht wie folgt aus:
Physisch gesehen sind zwei Anschlüsse zum Internet mit einmal 100 Mbit/s Download und 12 Mbit/s Upload (Standort 1) und einmal 50 Mbit/s und 12 Mbit/s (Standort 2) an zwei räumlich getrennten Standorten vorhanden. Einer der beiden Router – die EasyBox – ist so konfiguriert, dass sie alle Anfragen aus dem Netz an die dortige UTM weiterleitet. Über den anderen Router wird der Tunnel für die statische IP aufgebaut, weshalb hier keine besondere Konfiguration notwendig ist. Die PFsense ermöglicht mir, selbst Dienste im Internet von zu Hause aus anbieten zu können, ohne auf die wechselnde IP des Providers achten zu müssen.

Neben der NFS-Freigabe und dem iSCSI-Target verfügt der ESXi auch über 1 TB HDD und 250 GB SSD internem Speicher jeweils im RAID 1 Verbund. Das Betriebssystem selbst startet von einem USB-Stick, der an einem internen USB-Anschluss gesteckt ist.

Die NFS- und iSCSI-Freigabe stellt eine Synology DS412+ bereit, welche die ursprüngliche DS210j ersetzte. Sie verfügt über ca. 3 TB Speicher und für die SAN-Anbindung über eine 1 Gbit/s Netzwerkanbindung. Ein weiterer 1 Gbit/s Anschluss ist über das LAN erreichbar und zuständig für u. a. Datei-Dienste wie CIFS.


Alte Konfiguration


Konfiguration 2014

Server 2015

Server 2015

 

 

 

 

 

 

 

 

Neu hinzugekommen ist eine DS916+, welche am zweiten Standort sämtliche Datei- und auch einige Virtualisierungs-Dienste bereitstellt.

Zusammen halten das Ganze Managed-Switches von TP-Link, auf denen 3 VLANs konfiguriert sind. VLAN 1 ist das normale LAN, in dem sich alle Client und ein paar Server aufhalten. VLAN 10 ist die DMZ. Darin stecken die Server, die von extern erreichbar sind. Dadurch kann ich sie vom LAN abschotten, sollten sie infiltriert werden. Das letzte VLAN 20 ist das Gast-Netzwerk. Dahin verbinden sich zum Beispiel Gäste per WLAN.

Als wäre das nicht schon genug, betreibe ich einige externe Server. Auf diesen laufen Dienste wie Mail- und Webserver. Du hast bereits mit einem Bekanntschaft gemacht, indem zu diese Seite besucht hast 😉 .

Insgesamt sind im Moment 5 Server für externe Dienste live. Sie hosten zusammen unter anderem:

  • Sämtliche APIs für die Tools, die ich zum Download anbiete
  • Eine eigene Sammlung von JS-Bibliotheken und anderen wiederverwendbaren Dateien in Webseiten und Programmen
  • URL-Shorter zum Kürzen von URLs
  • Eine Webversion vom W2B in Form einer Startseite
  • Weitere Webanwendungen
  • Repositories
  • DNS-Dienste
  • Mailserver mit Webmail
  • PRTG-Server für die Überwachung der Server
  • TeamSpeak-Server

Für mein Tool W2B (Webcam to Background) zum Beispiel sind diese Server die zentrale Anlaufstelle für sämtliche Anfragen, wie bspw. „lade die aktuelle Liste der Webcams“ oder „was sind die Infos zu der und der Webcam“. Neuerdings werden auch einige der eingetragenen Webcams gecacht um die Betreiber nicht unnötig für die Vorschaubilder zu belasten. Der Cache regelmäßig aktualisiert.

Alle meine Programme besitzen eine Funktion, die Updates meldet. Ein paar wenige können diese auch selbstständig herunterladen. Hier werden mit meinen Servern logischerweise Daten ausgetauscht. Jedoch nur so viel, wie auch für den Vorgang notwendig sind (zum Beispiel Version des Programms, Updatenachricht, usw.). Zu keiner Zeit werden hier personenbezogene Daten ohne Nachfrage übermittelt.

Ich persönlich hätte es am liebsten, wenn der ganze Internetverkehr verschlüsselt abliefe, um es den allzu neugierigen Schnüfflern schwerer zu machen. Daher habe ich auch mehere Let’s Encrypt- Zertifikate für meine Domains ausstellen lassen. Somit kann ich meine Webseiten über eine verschlüsselte Verbindung ausliefern – was bei bei so gut wie allen bereits der Fall ist.

Das alles wird vom PRTG überwacht. Somit werde ich bei eventuellen Ausfällen benachrichtigt. Dabei ist der Überwachungsbereich in zwei Segmente unterteilt. Das eine überwacht die externen Server und alle von außen erreichbaren Dienste. Das andere wird über eine so genannte „Probe“ bzw. eine Sonde im lokalen Netzwerk realisiert und überwacht hier sämtliche Server. Diese Probe läuft wiederum auf einer eigenen VM auf meinem ESXi.

Wenn du es bis hierhin geschafft hast zu lesen, hast du einen groben Einblick in mein Netzwerk erhalten und ich hoffe, dass es interessant war!

Wenn du möchtest, kannst du mir gerne ein Kommentar dalassen.

(Stand: April 2018)



4 Kommentare zu “Einblick in meine Server- und Netzwerkinfrastruktur

  1. Wenn man viel Platz im Keller hat, dann kann man auch so komplexes System aufbauen xD
    Aber das kennt man ja nicht anders xD
    Leider habe ich nur 18 m² zum Wohnen & Server =)
    Bald werden es mehr

    1. Danke! Der Grund, warum ich nicht mit Proxmox virtualisiere ist, dass mich die VMware-Umgebung sehr interessiert. Zudem hatte ich Proxmox vor längerer Zeit mal ausprobiert. Damals sagte mir dieses Setup jedoch nicht besonders zu.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.