Palvelimien virtualisointia

Liittynyt
01.01.2017
Viestejä
729
Olisi tavoitteena vähän saada konekantaa vähäisemmäksi, ja lähinnä mielessä on ollut pistää yksi Debian-pohjainen palvelin jossa virtuaalikoneessa pyörisi sitten muita jakeluja eri palveluita varten.

Nykytilanne: mulla on Sophos UTM -palomuuri omassa fyysisessä koneessa. Siinä on kolme verkkokorttia (yksi sisäverkolle, yksi siltaavassa moodissa olevaan DNA:n kaapelimodeemiin ja yksi taloyhtiön verkkopiuhaan niitä hetkiä varten kun DNA pakkopäivittää modeemin ja käytännössä katkaisee yhteyteni kun modeemi nollaa asetuksensa). Sisäverkossa on erillinen Debian-palvelin, jossa pyörii ulospäin mm. Apache, Fetchmail, SSH, ja sitten sisäverkkoon muuta. Sisäverkossa on muuta enempi vähempi normaalia laitetta, eli muutama tietokone, tabletit, puhelimet jne.

Saisiko tuosta järkevästi hävitettyä tuon palomuurikoneen niin, että asentaisin uuden Debian-palvelimen ja sinne virtuaalikoneeseen Sophos sekä toiseen virtuaalikoneeseen nuo muut palvelut (ja ehkä kolmanteen palvelimeen FreeNAS levyjakoja hoitamaan). Osaako nuo virtuaalikoneet hoitaa homman turvallisesti niin, että se Sophos voi käytännössä yhtä turvallisesti hoitaa palomuurin tehtäviä, ja muut palvelimet (ml. virtuaalialustana toimiva Debian) on turvassa vaikka fyysisesti ovatkin heti suoraan Internetissä kiinni? Vai pitäisikö oikeaoppisesti kuitenkin olla kaksi fyysisesti erillistä konetta, eli palomuuri erikseen ja sen takana virtuaalipalvelin (jolloin projektissa ei oikein ole mieltä, kun ei konekanta vähene mihinkään)?

En ole virtualisointia ennen harrastanut, joten ottaisin mielelläni vastaan hyviä vinkkejä alustasta ym.
 
Itellä on tällä hetkellä aikalailla vastaava ratkaisu ku sulla mietinnässä, eli mulla on Ubuntu Server 16.04 hosti (KVM+QEMU) hostaa kahta virtuaalikonetta, pfSenseä ja OpenMediaVaultia. Ja kaikki liikenne (virtuaalikoneet + virt.hosti + verkkoon liitetyt muut laitteet) menee ton pfSensen palomuuri/reititin softan läpi.

Eikä oo tullu missään vastaan väitettä et tuollanen järjestely ois jotenki turvaton, tai edes huono.

Tällä hetkellä ois suunnitelmana vaihtaa tuo Ubuntu Server VMWaren ESXi:n. Mitään pakkoa, tai edes järkevää syytä tuolle vaihdolle ei ole, muutakuin et pitää saada jotain uutta säädettävää ja kokeiltavaa :D.

[edit] Toi KVM+QEMU oli aika aikaa vievä projekti saada kuntoon et pysty etänä omalta pöytäkoneelta luomaan ja hallitsemaan niitä virtuaalikoneita. Lähteinä joutu muistaakseni käyttään useaa eri sivustoa et sai pakan kasaan.

Helpommalla pääsisit kun käyttäisit jotain valmista tyypin 1 Hypervisoria kuten toi VMWaren ESXi, tai Microsoftin HyperV:tä. Molemmat kun on ilmasia. Hypervisor - Wikipedia
 
Viimeksi muokattu:
Toi KVM+QEMU oli aika aikaa vievä projekti saada kuntoon et pysty etänä omalta pöytäkoneelta luomaan ja hallitsemaan niitä virtuaalikoneita.
CentOS:ssa (RHEL:n ilmaisosaklooni) on libvirt-paketteja, joilla hallinnoi KVM+QEMUa näppärästi.
CentOS 7 saa päivityksiä vuoteen 2024 asti. Mites Debian ja Ubuntu Server?


Haavoittuvuuksia on aina. Teoriassa VM:stä voi hyökkääjä päästä alustalle ja edelleen toisiin VM:iin. Tai edes pientä palvelunestoa.
Suurempi riski on konfiguroida kokonaisuus väärin, eikä senkään pitäisi olla kovin paha.
 
CentOS:ssa (RHEL:n ilmaisosaklooni) on libvirt-paketteja, joilla hallinnoi KVM+QEMUa näppärästi.
CentOS 7 saa päivityksiä vuoteen 2024 asti. Mites Debian ja Ubuntu Server?


Haavoittuvuuksia on aina. Teoriassa VM:stä voi hyökkääjä päästä alustalle ja edelleen toisiin VM:iin. Tai edes pientä palvelunestoa.
Suurempi riski on konfiguroida kokonaisuus väärin, eikä senkään pitäisi olla kovin paha.

Debianissa ja Ubuntu Serverissä on myös tuo libvirt-paketti ja esimerkiksi virt-managerilla saa KVM+QEMU komboa komenneltua jos kaipaa graafista kikkaretta. Virshillä sitten komentoriviltä jos grafiikkaa ei kaipaa. KVM ollut itselläni kotikäytössä Ubuntu Serverin päällä noin viisi vuotta ja hyvin on pari lisä Ubuntua tuon päällä pyörinyt.
 
Suosittelisin pitämään palomuurin erillisenä, siihen voi laittaa erittäin virtapihiä rautaa, jos ei tarvitse reilusti VPN-tehoa.

Netgate SG-1000 microFirewall

Tai WLAN-router esim. OpenWRT:llä/Ledellä hoitaa myös hommat riittävän turvallisesti.
 
:facepalm: Et sitten miettiny loppuun asti tota sun skenaariota. Toi vaatis toteutuakseen sen et siinä palomuuri softassa on itsessään reikä, joka on toki mahdollista, mut jos siinä on reikä niin ei siittä erillisestä matolaatikosta oo mitään hyötyä sen jälkeen. Peli on siinä vaiheessa menetetty joka tapauksessa.
 
:facepalm: Et sitten miettiny loppuun asti tota sun skenaariota. Toi vaatis toteutuakseen sen et siinä palomuuri softassa on itsessään reikä, joka on toki mahdollista, mut jos siinä on reikä niin ei siittä erillisestä matolaatikosta oo mitään hyötyä sen jälkeen. Peli on siinä vaiheessa menetetty joka tapauksessa.
Kummassakin skenaariossa on alussa julkinen IP (palomuurin), jossa joitakin portteja kuunnellaan. (Jos siis NAT on käytössä.) Oletuksena portit ohjautuvat "palvelimeen" ja palomuuri ei kuuntele, ainoastaan reitittää ja filtteröi.

Ehkä jollain saa sen palomuurin sekaisin. Jos se on erillinen, reitittääkö se vielä? Jos se on VM, haittaako se alustaa ja muita "palvelimia"?

Todennäköisemmin haittapaketti kohdentuu palvelimen Apache/SSH/etc prosessille, ellei palomuuri filtteröi liikenteen sisältöä. Jos palvelin ja palomuuri ovat instansseja samalla alustalla, Lagittajan linkkaama hyökkäysreitti on käytettävissä. Erilliseen palomuuriin joutuu edelleen hyökkäämään "verkon yli", (mutta se varmaan kuuntelee jotain porttia sisäverkon puolella).


DMZ (demilitarisoitu alue). Palomuuri reitittää kolmen verkon välillä: sisäverkko (LAN), ulkoverkko (WAN) ja DMZ. Palvelin on DMZ-verkossa. Sisäverkosta päästetään ulos ja DMZ:aan. Ulkoa päästetään DMZ:aan rajoitetusti. Palvelin ei näe sisäverkon laitteita, eikä DMZ:sta hallinnoida palomuuria. Palvelimeen murtautuminen ei siis avaa kaikkea, ainakaan jos palomuuri on erillinen.


Silta voi toimia palomuurina. Ei IP-osoitetta. "Huono kaapeli", joka kadottaa valtaosan paketeista.


@Pertti Kosunen:
Virtualisoinnilla saadaan teoriassa rauta tehokkaammin käyttöön. Virtapihi Debian+Sophos < virtapihi Debian + virtapihi Sophos. Todellinen säästö lienee pieni.

Erillislaite on helpompi rikkoutuessaankin. Kun virtuaalialusta hajoaa, kaikki palvelut menevät nurin (paitsi jos rakentaa kaiken kahdennettuna HA-tyyliin, mitä tässä ei haettu).
 
CentOS 7 saa päivityksiä vuoteen 2024 asti. Mites Debian ja Ubuntu Server?

Tätä miettinyt itsekin kun webbiserveri-alustoja olen viimeaikoina alkanut pystyttämään (ihan noob vielä). Ilmeisesti ei ole oikeasti ongelma, sillä Debianit ja Ubuntut saa kohtuu luotettavasti päivitettyä uudempaan versioon?

How to Upgrade Debian 7 Wheezy to Debian 8 Jessie

Toistaiseksi olen päätynyt Debianiin ja Ubuntuun, sillä näyttävät vievän hieman vähemmän muistia kuin CentOS. Ja noista kahdesta viimeksi päädyin Debian 8, sillä Ubuntu 16.04 LTS ei ollut vielä ulkona. Ajatus mulla on nyt että menen aina joko Ubuntulla tai Debianilla sen perusteella kummasta on viimeksi tullut "LTS" versio. (seuraavaksi Ubuntussa ilmeisesti 18.04 ja Debianissa 9 "Stretch"). Vai onko tuo ihan tyhmä ajatus, ja pitäisi käyttää fiksumpaa valintaperustetta? Debianin paketit nyt on muutenkin aina "jäljessä", mutta onko tuolla webbi-serverissä mitään merkitystä?

Isompaan rautaan voisin CentOS:in laittaakin, mutta nyt etupäässä on ollut OpenVZ "low end box" ympäristöjä...
 
Tätä miettinyt itsekin kun webbiserveri-alustoja olen viimeaikoina alkanut pystyttämään (ihan noob vielä). Ilmeisesti ei ole oikeasti ongelma, sillä Debianit ja Ubuntut saa kohtuu luotettavasti päivitettyä uudempaan versioon?

How to Upgrade Debian 7 Wheezy to Debian 8 Jessie

Toistaiseksi olen päätynyt Debianiin ja Ubuntuun, sillä näyttävät vievän hieman vähemmän muistia kuin CentOS. Ja noista kahdesta viimeksi päädyin Debian 8, sillä Ubuntu 16.04 LTS ei ollut vielä ulkona. Ajatus mulla on nyt että menen aina joko Ubuntulla tai Debianilla sen perusteella kummasta on viimeksi tullut "LTS" versio. (seuraavaksi Ubuntussa ilmeisesti 18.04 ja Debianissa 9 "Stretch"). Vai onko tuo ihan tyhmä ajatus, ja pitäisi käyttää fiksumpaa valintaperustetta? Debianin paketit nyt on muutenkin aina "jäljessä", mutta onko tuolla webbi-serverissä mitään merkitystä?

Isompaan rautaan voisin CentOS:in laittaakin, mutta nyt etupäässä on ollut OpenVZ "low end box" ympäristöjä...

Debianin pakettien vanhuus vaikuttaa vain siinä vaiheessa jos haluat ajaa jotain todella uusia juttuja. Esimerkiksi uusia PHP versioita tai jotain todella uutta Tomcattia jne. Tietoturvapäivitykset Debianeihinkin taitavat kuitenkin tulla ihan samalla tahdilla kuin muihinkin.
 
Mielenkiintoinen keskustelu teillä käynnissä. Voisiko joku selventää tietämättömälle, miksi tuollainen setup? Mitä etua on tuollaisissa fyysisissä palomuureissa ja/tai palvelimissa kotiverkossa? Itse käytin siis ennen F-Securea ja olin tyytyväinen (palomuurina/antiviruksena), mutta nykysin en jaksa käyttää mitään, koska YOLO. Reitittimenä Asuksen suht kallis 3 antenni hommeli.
 
@Pertti Kosunen:
Virtualisoinnilla saadaan teoriassa rauta tehokkaammin käyttöön. Virtapihi Debian+Sophos < virtapihi Debian + virtapihi Sophos. Todellinen säästö lienee pieni.
Tuolla virtapihillä meinasin, että se on pieni lisä sen toisen koneen päälle, mutta kannattaa laittaa erillisenä muiden etujen vuoksi (mm. tietoturva ja ettei verkon toiminta ole sidottu virtuaalipalvelimeen jolloin sitä voi päivitellä ja säätää rauhassa).

Voihan nuo kaikki tehtävät hoitaa samassa raudassa ilman virtualisointejakin jolloin pärjää kaikkein pienimmillä resursseilla (ja manuaalisen säädön tarve on tapissa).
 
Tuolla virtapihillä meinasin, että se on pieni lisä sen toisen koneen päälle, mutta kannattaa laittaa erillisenä muiden etujen vuoksi
Ymmärretty. Olemme samaa mieltä.

Mielenkiintoinen keskustelu teillä käynnissä. Voisiko joku selventää tietämättömälle, miksi tuollainen setup? Mitä etua on tuollaisissa fyysisissä palomuureissa ja/tai palvelimissa kotiverkossa? Itse käytin siis ennen F-Securea ja olin tyytyväinen (palomuurina/antiviruksena), mutta nykysin en jaksa käyttää mitään, koska YOLO. Reitittimenä Asuksen suht kallis 3 antenni hommeli.
Suht kallis ... eli hiukan halvempi kuin joku SonicWALL SuperMassive E10800, 162628€ | Hinta.fi ?

Tottakai jokaisessa kotiverkon laitteessa on asiallista olla palomuuri kunnossa (eli esim se F-Secure). Kotiverkossa on kuitenkin helposti enemmän kuin yksi tietokone. Älypuhelin? ÄlyTV? Google Chromecast? Nasse-setä? Todella-helppoa-ja-kätevää kaiuttimet? Pastakone?

Kyllä Jehovan todistajatkin on mukavampi käännyttää jo ulko-ovella, kuin jahdata ympäri asuntoa. Reititin tai modeemi on yleensä kotiverkossa se ulko-oven vastine, jonka ensisijaisesti pitäisi erottaa sisäinen mölinä naapurien metakasta. (WiFI AP on puoli-avoin tuuletusikkuna.) Vähemmän liikennettä on parempi. Reitittimesi on "fyysinen" ja jonkin tason palomuuri, eikö vain? Aloittajalla on "Sophos UTM", joka on aavistuksen mukautuvampi softa kuin Asus-purkkisi firmis.

Erillinen rautapalomuuri on tehty tasan yhteen tarkoitukseen. Se ei ole All-in-One-mahdollisimman-halvalla. Jos se hajoaa, laitetaan tilalle uusi -- muihin kotiverkon laitteisiin ei tarvitse koskea. Selkeää ja tehokasta.

"ulospäin mm. Apache, Fetchmail, SSH" on enemmän harrastustoimintaa, mutta oletko nähnyt "tältä kotiverkkolevyltä voit katsella kuviasi millä tahansa laitteella, mistä tahansa"-mainoksia, tai kuullut "LAN-peleistä" (vaikka pelaaminen onkin nyt joko lasten leikkiä tai ammattiurheilua eikä siten sovi aikuisten kotiin)? Joku portti siihenkin tarvitaan.
 
Nostampa vanhaa ketjua. Itsellä virtuaaliympäristö pyörii proxmoxissa. Mukautettu debian virtualisointikäyttöön. Toimii oikein hyvin. 4 levyn lvm konfiguraatiolla jossa virtuaalikoneet. Käyttislevynä ssd jossa myöskin asennusimaget. Suosittelen toiminut todella jees. Samaan masiinaan saa laitettua myös lxc containerit jos niillä haluaa leikkiä. Rautapalomuuria en pistäisi virtuaaliseksi vaan antaisin olla ihan omalla koneellaan.
Proxmox - powerful open-source server solutions
 
Tulipa löydettyä hyvä työkalu palvelimien asennusten automatisointiin. Onkos porukalla kokemuksia vastaavista.
Foreman
 
Ansible on mielestäni helpoin tuote lähestyä palvelimien asennusten automatisointiin. Toki Baremetal asennukset ei onnistu niin helposti kuin esim. Foremanissa ja vastaavissa. Itse olen luonut asennusimaget valmiiksi joissa on ssh-avain valmiina jolla pääsekiin provisioimaan palvelimen kunhan on bootannut ylös.
 
Ansible on mielestäni helpoin tuote lähestyä palvelimien asennusten automatisointiin. Toki Baremetal asennukset ei onnistu niin helposti kuin esim. Foremanissa ja vastaavissa. Itse olen luonut asennusimaget valmiiksi joissa on ssh-avain valmiina jolla pääsekiin provisioimaan palvelimen kunhan on bootannut ylös.
Millä luot nuo asennusimaget. Ansibleen on pitänyt perehtyä. Vaikuttaa hyvältä softalta serverien asennusten automatisointiin.
 
Millä luot nuo asennusimaget. Ansibleen on pitänyt perehtyä. Vaikuttaa hyvältä softalta serverien asennusten automatisointiin.

KVM käytössä ja ubuntun imaget kustomisoitu cloud-init:llä. Ansiblehan on siitä kätevä, että vaatii ainoastaan pythonin ja openssh-serverin asennettuna kohde koneelle, toki pythonin voi asentaa myös Ansiblella Raw moduulin avulla jälkikäteen jolloin voi ajaa kehittyneempiä moduuleita:
Koodi:
- name: Install python
  raw: apt-get install python -y
 

Statistiikka

Viestiketjuista
261 704
Viestejä
4 544 710
Jäsenet
74 833
Uusin jäsen
Kanadanhanhi

Hinta.fi

Back
Ylös Bottom