Megbízható miniszerver co-location-höz

Szerverek

Kis terhelésigényű feladathoz keresek megbízható mini szervert. A megbízható működés volna a legfontosabb szempont, viszont nincs szükség nagy teljesítményre. Elosztott rendszer nem lesz építve, tehát egyetlen egy vasnak kell a legető legmegbízhatóbban működnie. Co-Location-ben, tehát egy szerverteremben egy helyet bérelve tervezzük üzemeltetni.

Az ár számít, de nincs extra garasoskodás, új jónevű cuccokra gondolnék. Debian-nak kell működni rajta.

Milyen gépet vennétek? Budapest és környékén megbízható co-location szolgáltatót is ajánlhattok.

Szerk.: a projekt gazdája paranoiás, saját vasat akar. Mi a kicsi: 4GB RAM, 32 GB SSD elegendő, legcsokkerebb AMD64 CPU is elegendő. Tehát teljesítmény nem kell, csak az a lényeg, hogy megbízható legyen amennyire lehet.

  • 2773 megtekintés

( tigrincs | 2019. 06. 19., sze – 15:01 )

En semmilyet hacsak nem elengedhetetlen valamilyen regulation miatt vagy nem valami hiper speci vas kell. Erre talaltak ki a dedikalt szervereket.

( AiRLAC v | 2019. 06. 19., sze – 15:54 )

Miért nem egy VM?

--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

Én licites (meglevő ügyfél által lemondott) ezer éves vasat bérlek tőlük ~3 éve. Egyszer kértem IP konzolt, azt 10 perc alatt kaptam, illetve egyszer volt egy disk hiba, azt a ticket (ha jól rémlik simán csak e-mail írtam) feladásától számítva kb. 20 perc alatt cserélték, de úgy, hogy ezen időtartam végén már be tudtam lépni a bebootolt OS-be. Azóta se értem hogy csinálták, elolvasni, feldolgozni, új disk ki a raktárból, gép megkeres a hatalmas DC-ben, hibás disk azonosít gyári szám alapján (4db van benne), szerel, visszajelez stb.. Ráadásul ez tényleg egy gagyi Asus alaplapos gamer pc alapú izé (dmi alapján), szóval nem tartozom a kiemelt ügyfelek közé :)

hosszu evek ota neluk vagyok. RAM problemat automatikusan javitottak ejjel.(!) -> gep nem megy, operator odamegy, kicsereli ujra megy. en addigra meg ki sem toroltem a csipat a szemembol. Halozati active eszkozok csereje/upgradje zokkenomentes mindig.
ezen kivul nem volt dolgom veluk. most kis 30 euros osszegert nem varok el hatalmas SLA-kat, igy nem is neztem anno ugy rendesen utana.

( uid_395 v | 2019. 06. 19., sze – 18:00 )

#define "mini" ..

HP Micro (tudom nem mini) szerver széria elég megbízható, tény nem ~20ezer forint... de na.

co-location hostingnál pedig szerintem ugyan annyit fogsz fizetni érte mint egy "mini-ért" bár még mindig nem tudjuk mi az hogy mini.

( gabrielakos v | 2019. 06. 19., sze – 18:16 )

Mennyi diszk kell? Mert ha nem nagyon sok akkor érdemes elgondolkozni a vm-en.
Ha sok diszk kell akkor meg kell nézni hogy a különböző storage opciók hogyan jönnek ki.
De már nem nagyon éri meg gépet venni hostingba.
--
Gábriel Ákos

Nem feltétlenül, egy VPS-nél a szolgáltató hozzáfér a RAM tartalmához, így ha vannak, akkor a titkosítási kulcsokhoz is.

Ráadásul ha kijön egy a használt virtualizációs technológiát érintő sebezhetőség, azt bármelyik "szomszéd" kihasználhatja és hozzáférhet a te gépedhez.

Ez a két attack vector (meg további pár raklap) nem játszik saját fizikai vasnál.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

De megtudjatok:

Guarded fabric and shielded VMs

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric…
https://techcommunity.microsoft.com/t5/Data-Center-Security/What-are-Sh…

Illetve: https://en.wikichip.org/wiki/x86/sme

Ezt igy hirtelen. A fentiek mind arrol szolnak, hogy hogyan lehet vedekezni a host felol valo tamadas ellen. Persze, ehhez kell, hogy az alatta levo infra tamogassa.

Izgalmas téma, sajnos eléggé komplex is, egyelőre nem látom át.

Én mint user, ha nem bízom meg a VPS szolgáltatóban sem, akkor hogy tudom leellenőrizni, hogy amit ad, az valóban egy Guarded VM, vagy pedig csak kamuzik?

Nem lehetséges egy futtatókörnyezetet megcsinálni úgy, hogy a VM ilyennek "érzi", de valójában nem ilyen?

Szerk.: amúgy van olyan szolgáltató, aki ilyen VPS-t ad?

Na és akkor ezek közül melyik garantál bármit is? A memória titkosításáról a Shielded VM egy szót sem szól, az SME-nél az AMD saját leírása (https://developer.amd.com/sev/) meg árnyalja a képet:

AMD Secure Memory Encryption (SME)

Uses a single key to encrypt system memory. The key is generated by the AMD Secure Processor at boot. SME requires enablement in the system BIOS or operating system. When enabled in the BIOS, memory encryption is transparent and can be run with any operating system.

AMD Secure Encrypted Virtualization (SEV)

Uses one key per virtual machine to isolate guests and the hypervisor from one another. The keys are managed by the AMD Secure Processor. SEV requires enablement in the guest operating system and hypervisor. The guest changes allow the VM to indicate which pages in memory should be encrypted. The hypervisor changes use hardware virtualization instructions and communication with the AMD Secure processor to manage the appropriate keys in the memory controller.

(kiemelés tőlem)

Nem csináltál semmi mást, minthogy a bizalmi dolgot áttetted az AMD-re (kicsit beleolvasva a SEV doksiba az egésznél a trust anchor az AMD root cert-je...). Ahogy gyorsan átfutottam az AMD részletes doksiját (http://developer.amd.com/wordpress/media/2017/11/55766_SEV-KM-API_Speci…), a guest context-et kívülről készíted el és ott adod meg a policy-t - amitől függően egy migrate kéréskor vagy ellenőrzi a túloldal tanúsítványait vagy nem; vagyis nem engedélyezett policy-val simán kinyerheted a memóriatartalmát (ezt a Linux kernel kód KVM része is megerősíti, user space-ből hozza a policy-t is tartalmazzó params structot). Ill. nem látom, hogy belülről a VM le tudja-e kérni, hogy milyen policy-val fut (ráadásul ez is behazudható, ha nincs SEV-ES), úgyhogy még csak azt sem lehet, hogy a guest hirtelen elcrashel a francba, ha nem azt látja, hogy olyan policy-val és olyan platform kulccsal, mint amivel szeretne).

Ráadásul a cert ellenőrzés sehol nem írnak időről (egyrészt milyen időt vegyen alapul, másrészt ez adna a HW-nek egy explicit EOL-t az aláírás napján) és ami még rosszabb a visszavonásról. Vagyis amint a láncban bárhol kikerül egy kulcs, az egészet és mindenki bukta (ill. mindenki állhat neki firmware-t frissíteni, hogy a certekben növeljék a verziószámot...).

(és persze minden crypto chip lehet bug-os, aztán vagy körbe lehet taknyolni szoftverből, vagy nem: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9836)

Szerk.: ez kb. pont ugyanaz, mint a mindenféle TPM-es marhaság, azzal az apró különbséggel, hogy itt a migráció miatt _kell_ hogy tudja kifelé kommunikálni... security by obscurity az egész...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( apal v | 2019. 06. 20., cs – 20:00 )

PCEngines/APU2 + msata-ssd kartya bele. Pont ezt tudja amit irsz, nagyon jo megbizhatosagu cuccok. Egy DC-UPS-ről meg akar fel napot is el tud menni. Debian-nal jol megy - kulonben nem is hasznalnank :)

( uid_4263 v | 2019. 06. 25., k – 08:08 )

A paranoia erősebb (betörés, adatlopás, sebezhetőségek?) vagy a megbízható üzemeltetésre való igény? :)

Mert a colocation némileg csökkenti a paranoiás tüneteket, de nagyon ellene van a megbízhatóságnak (single point of failure, ha söröztél lehet hogy csak reggel tudsz kimenni ha beszart, társai).

Én biztos hogy VPS-el mennék, valami ismert, megbízható szolgáltatónál. Amikről itt beszéltek (vm rétegben hiba, szomszéd betör) nem elképzelhetetlen dolgok ugyan, de vajmi kevés esély van rá, hogy pont jöjjön egy hiba, amit pont nem patchel a szolgáltató, és amit a szomszéd pont kihasznál. Ez a dolguk és ebből élnek, hogy biztonságosan üzemeltessék a rendszerüket.

Ha meg ragaszkodtok ehhez a hülye ötlethez, akkor is valamilyen szerver feladatra kitalált vasat vegyetek (microserver pl).

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

( gyuri23 | 2019. 06. 25., k – 14:31 )

HP ProLiant MicroServer Gen10
és
Deninet

( wpeople v | 2019. 06. 25., k – 15:44 )

én egy 1rack unit gépet vennék, pl HP DL360 Gen6 (v felette)
Ezt már olcsóbban megkapod, mint egy HP Microserver, és dual tápos.

+1 1-2 generációval korábbi használt brand szervereket ma már gombokért lehet kapni, a kívánt hw specifikációt röhögve hozzák és még 10 évet gond nélkül elmennek. (bár, én Dell PE R4XX-re szavaznék pl. interbolt.eu-tól, de kinek melyik gyártó a szimpatikus)

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

( klixnetwork | 2019. 06. 26., sze – 16:06 )

Ha érdekel hazai elhelyezéssel ilyesmi brand gép, vagy akár elég komoly - az igényeidnek megfelelő - vps, keress minket bizalommal!

( freeoli v | 2019. 06. 26., sze – 17:00 )

Sub.

Valaki azt kérdezte tőlem pár napja, hogy Synology NAS-t be lehet-e tenni valahova és talán lehet-e kedvezményesen. Ilyenről tudtok Magyarországon?

( uid_21239 | 2019. 07. 30., k – 16:57 )

Milyen gepet valasztottatok vegul?

( Proci85 v | 2019. 07. 30., k – 20:54 )

Ha a fogyasztás a lényeg, ma már nem kell kompromisszumokat kötni.
DELL R720, 2x erős CPU-val (~15.000 benchmark/cpu), 64 GB RAM, 2x480 GB SSD)
Idle 65 W :)