Megbízható miniszerver co-location-höz

 ( asch | 2019. június 19., szerda - 14:56 )

Kis terhelésigényű feladathoz keresek megbízható mini szervert. A megbízható működés volna a legfontosabb szempont, viszont nincs szükség nagy teljesítményre. Elosztott rendszer nem lesz építve, tehát egyetlen egy vasnak kell a legető legmegbízhatóbban működnie. Co-Location-ben, tehát egy szerverteremben egy helyet bérelve tervezzük üzemeltetni.

Az ár számít, de nincs extra garasoskodás, új jónevű cuccokra gondolnék. Debian-nak kell működni rajta.

Milyen gépet vennétek? Budapest és környékén megbízható co-location szolgáltatót is ajánlhattok.

Szerk.: a projekt gazdája paranoiás, saját vasat akar. Mi a kicsi: 4GB RAM, 32 GB SSD elegendő, legcsokkerebb AMD64 CPU is elegendő. Tehát teljesítmény nem kell, csak az a lényeg, hogy megbízható legyen amennyire lehet.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

En semmilyet hacsak nem elengedhetetlen valamilyen regulation miatt vagy nem valami hiper speci vas kell. Erre talaltak ki a dedikalt szervereket.

Miért nem egy VM?

--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

Mi nagy megelégedettséggel használunk supermicro szervereket a thomas-krenn-től www.thomas-krenn.com

Köszi! Megnézegetem!

Berelni inkabb?
Ha nem otthon, akkor pl itt: https://www.hetzner.de/sb
Keress ra mondjuk egy Intel Core i7-980x-ra (6 mag) es boven elvan vele az ember.

https://www.hostjury.com/reviews/hetzner
Azt mondjak, hogy amig nincs gond a szolgaltatassal, addig ok. De ha support-ra van szukseg, akkor vege mindennek.
Probaltam SLA-ra utalo infot kersni az oldalukon, barmely szolgaltatasukra. 5 perc utan feladtam.

2016-os a legújabb bejegyzés. Biztos releváns?
Nekem hónapok óta van ott több vps-em, semmi bajom vele.

--
Gábriel Ákos

Fogalmam sincs, hogy relevans-e. Amikor az SLA-jukat kerestem google-el, akkor talaltam ezt az oldalt.

Én licites (meglevő ügyfél által lemondott) ezer éves vasat bérlek tőlük ~3 éve. Egyszer kértem IP konzolt, azt 10 perc alatt kaptam, illetve egyszer volt egy disk hiba, azt a ticket (ha jól rémlik simán csak e-mail írtam) feladásától számítva kb. 20 perc alatt cserélték, de úgy, hogy ezen időtartam végén már be tudtam lépni a bebootolt OS-be. Azóta se értem hogy csinálták, elolvasni, feldolgozni, új disk ki a raktárból, gép megkeres a hatalmas DC-ben, hibás disk azonosít gyári szám alapján (4db van benne), szerel, visszajelez stb.. Ráadásul ez tényleg egy gagyi Asus alaplapos gamer pc alapú izé (dmi alapján), szóval nem tartozom a kiemelt ügyfelek közé :)

update: "minimum 99.9%" -ot irnak a dedikalt szerverekhez adott halozathoz.

hosszu evek ota neluk vagyok. RAM problemat automatikusan javitottak ejjel.(!) -> gep nem megy, operator odamegy, kicsereli ujra megy. en addigra meg ki sem toroltem a csipat a szemembol. Halozati active eszkozok csereje/upgradje zokkenomentes mindig.
ezen kivul nem volt dolgom veluk. most kis 30 euros osszegert nem varok el hatalmas SLA-kat, igy nem is neztem anno ugy rendesen utana.

#define "mini" ..

HP Micro (tudom nem mini) szerver széria elég megbízható, tény nem ~20ezer forint... de na.

co-location hostingnál pedig szerintem ugyan annyit fogsz fizetni érte mint egy "mini-ért" bár még mindig nem tudjuk mi az hogy mini.

Mennyi diszk kell? Mert ha nem nagyon sok akkor érdemes elgondolkozni a vm-en.
Ha sok diszk kell akkor meg kell nézni hogy a különböző storage opciók hogyan jönnek ki.
De már nem nagyon éri meg gépet venni hostingba.
--
Gábriel Ákos

Igen, minden szempontból megfelelne egy VPS, költségben ideális is volna, csak paranioás a megrendelő, ezért saját vas kell.

Én nem értek a szerverekhez, de egy internetre kötött gépnél paranoia szempontjából nem mindegy, hogy saját vagy VPS?

--
Soli Deo Gloria

Nem feltétlenül, egy VPS-nél a szolgáltató hozzáfér a RAM tartalmához, így ha vannak, akkor a titkosítási kulcsokhoz is.

Ráadásul ha kijön egy a használt virtualizációs technológiát érintő sebezhetőség, azt bármelyik "szomszéd" kihasználhatja és hozzáférhet a te gépedhez.

Ez a két attack vector (meg további pár raklap) nem játszik saját fizikai vasnál.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Ah, köszi az okosítást!

--
Soli Deo Gloria

"Nem feltétlenül, egy VPS-nél a szolgáltató hozzáfér a RAM tartalmához, így ha vannak, akkor a titkosítási kulcsokhoz is"

Csak a tisztán látás végett: lehet olyan eset, hogy hozzáfér meg olyan is, hogy ha akar sem fér hozzá.

Az hogy működik, hogy nem fér hozzá?

sose tudjuk meg :-)

De megtudjatok:

Guarded fabric and shielded VMs

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-and-shielded-vms
https://techcommunity.microsoft.com/t5/Data-Center-Security/What-are-Shielded-VMs-in-Windows-Server-2016-Hyper-V/ba-p/372179

Illetve: https://en.wikichip.org/wiki/x86/sme

Ezt igy hirtelen. A fentiek mind arrol szolnak, hogy hogyan lehet vedekezni a host felol valo tamadas ellen. Persze, ehhez kell, hogy az alatta levo infra tamogassa.

Izgalmas téma, sajnos eléggé komplex is, egyelőre nem látom át.

Én mint user, ha nem bízom meg a VPS szolgáltatóban sem, akkor hogy tudom leellenőrizni, hogy amit ad, az valóban egy Guarded VM, vagy pedig csak kamuzik?

Nem lehetséges egy futtatókörnyezetet megcsinálni úgy, hogy a VM ilyennek "érzi", de valójában nem ilyen?

Szerk.: amúgy van olyan szolgáltató, aki ilyen VPS-t ad?

Na és akkor ezek közül melyik garantál bármit is? A memória titkosításáról a Shielded VM egy szót sem szól, az SME-nél az AMD saját leírása (https://developer.amd.com/sev/) meg árnyalja a képet:

Idézet:
AMD Secure Memory Encryption (SME)

Uses a single key to encrypt system memory. The key is generated by the AMD Secure Processor at boot. SME requires enablement in the system BIOS or operating system. When enabled in the BIOS, memory encryption is transparent and can be run with any operating system.

AMD Secure Encrypted Virtualization (SEV)

Uses one key per virtual machine to isolate guests and the hypervisor from one another. The keys are managed by the AMD Secure Processor. SEV requires enablement in the guest operating system and hypervisor. The guest changes allow the VM to indicate which pages in memory should be encrypted. The hypervisor changes use hardware virtualization instructions and communication with the AMD Secure processor to manage the appropriate keys in the memory controller.

(kiemelés tőlem)

Nem csináltál semmi mást, minthogy a bizalmi dolgot áttetted az AMD-re (kicsit beleolvasva a SEV doksiba az egésznél a trust anchor az AMD root cert-je...). Ahogy gyorsan átfutottam az AMD részletes doksiját (http://developer.amd.com/wordpress/media/2017/11/55766_SEV-KM-API_Specification.pdf), a guest context-et kívülről készíted el és ott adod meg a policy-t - amitől függően egy migrate kéréskor vagy ellenőrzi a túloldal tanúsítványait vagy nem; vagyis nem engedélyezett policy-val simán kinyerheted a memóriatartalmát (ezt a Linux kernel kód KVM része is megerősíti, user space-ből hozza a policy-t is tartalmazzó params structot). Ill. nem látom, hogy belülről a VM le tudja-e kérni, hogy milyen policy-val fut (ráadásul ez is behazudható, ha nincs SEV-ES), úgyhogy még csak azt sem lehet, hogy a guest hirtelen elcrashel a francba, ha nem azt látja, hogy olyan policy-val és olyan platform kulccsal, mint amivel szeretne).

Ráadásul a cert ellenőrzés sehol nem írnak időről (egyrészt milyen időt vegyen alapul, másrészt ez adna a HW-nek egy explicit EOL-t az aláírás napján) és ami még rosszabb a visszavonásról. Vagyis amint a láncban bárhol kikerül egy kulcs, az egészet és mindenki bukta (ill. mindenki állhat neki firmware-t frissíteni, hogy a certekben növeljék a verziószámot...).

(és persze minden crypto chip lehet bug-os, aztán vagy körbe lehet taknyolni szoftverből, vagy nem: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9836)

Szerk.: ez kb. pont ugyanaz, mint a mindenféle TPM-es marhaság, azzal az apró különbséggel, hogy itt a migráció miatt _kell_ hogy tudja kifelé kommunikálni... security by obscurity az egész...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

+1, bar imho a VPS szolgaltatok eleg gyorsan javitjak az ilyen hibakat, meg lehet erteni ha valaki sajat vasat akar.
"cheap 1U mini server" kereses talan jo tampont lehet ilyen igenyekre.
____________________
echo crash > /dev/kmem

PCEngines/APU2 + msata-ssd kartya bele. Pont ezt tudja amit irsz, nagyon jo megbizhatosagu cuccok. Egy DC-UPS-ről meg akar fel napot is el tud menni. Debian-nal jol megy - kulonben nem is hasznalnank :)

A paranoia erősebb (betörés, adatlopás, sebezhetőségek?) vagy a megbízható üzemeltetésre való igény? :)

Mert a colocation némileg csökkenti a paranoiás tüneteket, de nagyon ellene van a megbízhatóságnak (single point of failure, ha söröztél lehet hogy csak reggel tudsz kimenni ha beszart, társai).

Én biztos hogy VPS-el mennék, valami ismert, megbízható szolgáltatónál. Amikről itt beszéltek (vm rétegben hiba, szomszéd betör) nem elképzelhetetlen dolgok ugyan, de vajmi kevés esély van rá, hogy pont jöjjön egy hiba, amit pont nem patchel a szolgáltató, és amit a szomszéd pont kihasznál. Ez a dolguk és ebből élnek, hogy biztonságosan üzemeltessék a rendszerüket.

Ha meg ragaszkodtok ehhez a hülye ötlethez, akkor is valamilyen szerver feladatra kitalált vasat vegyetek (microserver pl).

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

Vagy valami amd procis vps-hez ragaszkodni, az amd procikban úgy tűnik jóval kevesebb a sebezhetőség. Persze kérdés, h ki futtat opteronos szerver vasat vps célra.

Paranoia az erősebb, ahogy írtam. A megbízhatóság igénye azon belül optimalizálandó, hogy egyetlen nem virtualizált vason működik a rendszer.

HP ProLiant MicroServer Gen10
és
Deninet

Thx, ez így tömör és velős!!

a szerepkorok es a felelossegvallalas le van papirozva?
nem am utana meg az ugyfelek azt mondjak, hogy nem gondoltam volna ezt meg azt. meg hat en fizetek es hat te vagy az admin, meg amugy is ne ugass vissza, hanem melozza'.

Szívesen :)
Esetleg nézz szét itt: https://serverelite.hu/ használtban egész olcsón már remote console is belefér.

+1, jó vasakat ad, jó áron.

én egy 1rack unit gépet vennék, pl HP DL360 Gen6 (v felette)
Ezt már olcsóbban megkapod, mint egy HP Microserver, és dual tápos.

+1 1-2 generációval korábbi használt brand szervereket ma már gombokért lehet kapni, a kívánt hw specifikációt röhögve hozzák és még 10 évet gond nélkül elmennek. (bár, én Dell PE R4XX-re szavaznék pl. interbolt.eu-tól, de kinek melyik gyártó a szimpatikus)

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

HMMM, erre nem is gondoltam, hogy ha már kitalpalom a co-location szerződést, odamegyek, meg minden, akkor egyből bedobhatok 3 gépet is, és akkor sem kell autóznom, ha egyik elhasal.

Írtam még hét elején üzenetet bérgép ügyileg, az nem játszik?

Egyelőre tervezési fázisban vagyunk, még nem döntöttünk el semmit. Nem tudom a többiek mit fognak gondolni. Nekem a hunludvig által linkelt blogban leírt megoldás tetszik.

Ha érdekel hazai elhelyezéssel ilyesmi brand gép, vagy akár elég komoly - az igényeidnek megfelelő - vps, keress minket bizalommal!

Sub.

Valaki azt kérdezte tőlem pár napja, hogy Synology NAS-t be lehet-e tenni valahova és talán lehet-e kedvezményesen. Ilyenről tudtok Magyarországon?

Szerintem meg tudjuk oldani, csak ne a 12 diszk széles desktop legyen. :) Ha gondolod privátban elérsz.

Milyen gepet valasztottatok vegul?

Végül? :-) Még nem tartunk ott. Lassan őrölnek a malmok.

Ha a fogyasztás a lényeg, ma már nem kell kompromisszumokat kötni.
DELL R720, 2x erős CPU-val (~15.000 benchmark/cpu), 64 GB RAM, 2x480 GB SSD)
Idle 65 W :)

Durva.
____________________
echo crash > /dev/kmem