Mit ajánlotok webszerver üzemeltetéséhez?

Linux-kezdő

Sziasztok!

szeretnénk felkonfigurálni egy webszervert, ami egy általunk fejlesztett rendszert üzemeltet majd. ehhez szeretnek tanacsot kerni.

Szoval adott egy gep, az alabbi parameterekkel:

  • Intel P4 3.0GHz
  • 2*1024MB DDR Ram
  • 2*160GB SATA HDD

Amit tudnia kene:

  • Apache
  • PHP 5.x
  • MySQL 5.x
  • levelezes (?)
  • tuzfal (?)
  • napi szinten biztonsagi mentes (adatbazis + webtarhely)
  • DNS (?)

A kerdeseim nagyjabol benne vannak a fenti listaban. A szervernek ki kene tudnia szolgalni napi 20.000 latogatot cirka 300.000-500.000 oldalletoltessel elozetes becsles szerint a kezdetekben. A kesobbiekben termeszetesen bovitenenk a rendszer alatt a vasat a terhelestol fuggoen. Milyen linux disztribuciot ajanlotok? Mikre kell odafigyelni? Ha nem minosul reklamnak es adminok engedik, akar ceget is ajanlhattok, aki elvegzi a szukseges konfiguaralast. Koszi minden valaszt!

  • 2377 megtekintés

( _ventura_ v | 2006. 08. 23., sze – 13:58 )

mint tudjuk nincsen gyenge gép csak rossz program :D
szóval sok függ attól hogy mennyire optimalizált a kód.
volt olyan esetem hogy 3G-s p4 2G rammal állandó átlag 7es load néha felment 10 fölé is tartósan, megkerestük ki a bűnös illetve sejtettűk, aztán kicsit optimalizált az sql kódon, és máris harmadára esett vissza a terhelés.

Celeron-M 1400Mhz, 768M, Debian SID, E17, 2.6.17

( Vudumen | 2006. 08. 23., sze – 14:01 )

En egy jo rendszergazdat ajanlanek akinek meglesznek a sajat preferenciai a kerdeses alkalmazasokra. En ha rajtam mulna levelezest exim4+courier-imap+ldap kombobol faragnek, tuzfalilag iptables-sel csinalnek mindenfele szep rule-t DNS-re meg en a bind9-et szeretem. Biztonsagi mentes megscriptelheto kezzel de ha van ra keret vegyetek egy DATot a gepbe es akkor mondjuk Amanda.
Udv,
Vudumen

( MantaRay | 2006. 08. 23., sze – 14:02 )

Ez a konfig bőven elég szerintem, viszont kérdeznék is:
- általatok összerakott gép, vagy brand?
- ha gáz van vele, belenyúlhattok-e alkatrész-csere miatt, vagy ha brand, helyszíni support van-e hozzá?
- tud-e hw raidet (szinte minden alaplap tudja már)?

Kb. másfél éve telepítettem egy ilyen konfigot, pont azok vannak rajta, mint amiket felsoroltál. Gentoot használtam, és maximálisan meg vagyok vele elégedve. Ha nem linux, akkor pedig FreeBSD-t javasolnám.

Hirtelen ennyi.

Üdv,
MantaRay

( golgota | 2006. 08. 23., sze – 14:08 )

Én már csak azt nem értem miért kell egy webszerverre mail, dns stb.
Most webszervert akarsz, vagy egy all-in-one network szervert? Én mondjuk nem nagyon keverném össze a szolgáltatási funkciókat a biztonsággal. Kérdés hogy ha már mysql-t használsz akkor használja e az adatbázist esetleg más funkció (pl. levelezéshez authentikáció, stb.)
Persze mindent rá lehet rakni egyetlen gépre is csak hát....
Olyan disztribúciót ajánlanék, amiken ezek a funkciók megvannak. Azaz tök mindegy ezek szerint. NetBSD-től Debian-on át a CentOS-ig bármi.

Ajánlom? Nem ajánlom? Én általában úgy szoktam, hogy felmérem az igényeket, készítek több megvalósíthatósági doksit ami közül az ügyfél választhat. Azonban a szolgáltatásokat a biztonsággal nem nagyon keverném. Egyébbként ilyen mértékű felhasználás esetán nem hiszem hogy ne lenne pénze egy komplett "gépterem" kialakítására, mégha az összesen három négy eszközből áll is beleértve a célgépeket (mailgateway, router, stb)

( Yorirou | 2006. 08. 23., sze – 14:17 )

tűzfal: iptables
napi szinten biztonsagi mentes (adatbazis + webtarhely): rsync vagy cpio a barátod

A Gentoo-t én is tudom ajánlani, csak olvass utána rendesen, mielőtt élesben használod, mert van pár trükkje neki. A csomagokat meg otthon fordítsd le, így csak átrakod a .tgz fájlt, és semmi perc alatt fent van a csomag, mivel nem éppen a legbölcsebb dolog élesben menő szerveren fordítgatni.

---------
WARNING: Linux requires you to type! After rebooted to Windows, you can safely unplug your keyboard.

( sany | 2006. 08. 23., sze – 14:50 )

Nem vagyok admin, de éles web szerverre nem tennék mail szervert.
Főleg ha fontos levelezés megy rajta és nem csevegő mail-es!
A mail szervert inkább külön gépre tenném!

----------------------------------------------------------------
"A megoldas mindeki kerdesere egyszeru.
OLVASSATOK DOKUMENTACIOT!"
by thuglife

"Innentől egész jól megférnek egymás mellett a szolgáltatások"
Az ügyfelet tájékoztatni kell a biztonsági kérdésekről, ha meg neki nem fontos lelke rajra! :)

----------------------------------------------------------------
"A megoldas mindeki kerdesere egyszeru.
OLVASSATOK DOKUMENTACIOT!"
by thuglife

Igazából nem kell. Elég, ha több IP cím van, a többit egy xen3-as virtualizáció megoldja.
kiválóan szeparált virtuális gépek, az egyik lehet a tűzfal, a másik a webszerver, harmadik a levelezés (kívülről csak ezeket éred el a tűzfalon át), a negyediken meg minden egyéb. Ja, és DNS minek is egy ilyen helyre?
Én használok egy ilyet egy ideje, kitűnő doksik vannak a neten, hogyan kell felhúzni, konfigolni.

( Aikon | 2006. 08. 23., sze – 16:15 )

A szervernek ki kene tudnia szolgalni napi 20.000 latogatot cirka 300.000-500.000 oldalletoltessel elozetes becsles szerint a kezdetekben.

Már nem is azért, de ez k***a nagy forgalom. A HUP statisztikáit nézd meg itt: http://hup.hu/old/webalizer/index.html (napi 12-13 ezer látogató, 300-350 ezer kérés (!=oldalletöltés)).

Szóval fog az a gép dolgozni rendesen...

Szerintem sem fog tudni ekkora terhelést kiszolgálni.
Ha belegondeolok, hogy a levelezés, spam és vírus szűrés is ezen megy, akkor elég reménytelen.
Ui. valószínű, hogy egy ekkora webforgalmat bonyolító szervezetnek (szervezeteknek) a levélforgalma is igen jelentős.

Hogyha statikus html fájlok lesznek, mint tartalom és a levelezés minimális(napi pár száz) - és nem működik fórum, vagy benner szerver - akkor elég lehet.

Egyébként pedig olyan rendszert javaslok, amihez legjobban ért az általatok választott rendszergazda. A gépet pedig még az elején felosztanám több virtuális szerverre, szétosztva a feladatokat. Pl. külön levelezés és web. De lehetne még tovább is fokozni: pl dns, sql, backup(ami előkészíti az adatokat biztonságba helyezés előtt) stb.
Ui. ha tényleg jó az előzetes forgalmi becslés és nem csupán a beruházó gyermeki vágyai jelennek meg benne; akkor így jóval könnyebben lehet migrálni az egyes funkciókat erősebb gépre/farmra.
A virtuális gépes megoldás bizt szempontból is előnyös.
Személy szerint az OpenVZ a kedvencem, mert annak legkisebb az overhead-je. És könnyen karban is tartható, egyszerűen migrálható stb.
Az OpenVZ, Xen, stb. hátránya esetleg, hogy több IP címre lesz szükség; ami a magyar viszonyokat tekintve könnyedén +120 000 Ft-os éves költséget is jelenthet (pl 4x2500/hó)
Ha van ré keret és ip-t sem tudtok emberi áron, akkor szóba jöhet a Virtuzzo ez az OpenVZ kerekedelmi változata, ami többek között dns alapú virtualizációt is lehetőve tesz.

Egy ekkora terheleshez ha nem csak statikus html, hanem php, sql szerver, akkor mindenkepp erosebb gep kell, vagy jobban kell szeparalni, egyebkent a levelezeshez DNS-hez eleg egy olcsobb gep soft raid, de egy ilyen terhelt webszervernel, es adatbasisnal en mindenkepp SCSI javasolok hw raid-el. Egyebkent ki lehet epiteni egy belos gigabiteshalot webszerverrel majd kesobb adatbazisszerverrel es akkor csak a levelezo es dns szerver van kirakva a netre, es igy olcsobb is a berlet mintha minden rajta lenne az inet-en.

( x-daemon | 2006. 09. 05., k – 01:39 )

www.adamantix.org 1.1.0 es van hozza magyar! support www.adamantix.hu, mysql5 siman fordul sarge-n (debian/rules binary) es stabilan fut gondolom adamantix alatt sincs vele gond, a szolgaltatasokat kulon rsbac-jail-ben inditja, akar chroot-al. apache2, exim4, bind9, openldap, iptables ami meg kell neked.

Nem tudom mennyire reális alternatíva az adamantix, vagy mennyire játék distro. A "magyar support" annyi, hogy van egy óvodai html szakkör színtű weblap, ami 2 cég oldalára mutat. Abból is az egyik nem működik? Még egy fórumot, vagy egy levlistát sem látok.
Az adamantix 2004-08-17-án hallatott magáról utoljára a distrowatch-on. Őszintén szólva megpróbáltam anno feltelepíteni egy full scsi Compaq Proliant gépre. Csakhogy a telepítő végül minig kiakadt a beállítási folyamat végén. (bármit is próbáltam)Ui. /dev/hda-val elérési baja volt. Ez futott a monitoron ezerrel és nem volt hajlandó sehogy sem tovább lépni. Na persze! mivel nem is volt ilyen a gépben.
Lehet, hogy én vagyok amatőr, de más distrokat, többek között debiant és annak más mutációit is simán felraktam arra a gépre. Végül az a benyomásom támadt, hogy ha egy distro telepítője annyira kispályás, hogy a készítőjében fel sem merült, hogy nem lesz a gépben /dev/hda , akkor az nem a nagypályásoknak való.

Persze az adamantixban alkalmazott összeválogatott megoldások előremutatőak lehetnek. (de pl Redhat-Centos vonalon van pl selinux, de pl az újabb susékban is vannak a default kernelben is extra beállítási lehetőségek)
De sajnos saját tapasztalatból is mondom, hogy napjainkban a leginkább pl. az efféle ( http://hup.hu/node/29252 ) afférok nehezítik meg a rendszergazdák életét. A tutorialokból tanuló php "coderek", akik közül sokan állítom, hogy még egy normális php könyvet sem olvasnak el, olyan alapvető hibákat vétenek, hogy franciakockásra kaparom magam! Akik 1-szer azon hőzöngenek, hogy miért van a php safe módban. Utána meg nem értik, hogy a nem ellenőrzött url paramétereken keresztüli includolásnak miért az a vége ami szokott volt lenni...
A szerver biztonság inkább azon múlik, hogy biztonságos emberek végzik a beállításokat és írhatnak rá programot, s nem azon, hogy senki se tud belépni a túlzásba vitt rsbac beállításoktól.

Nem tudom mennyire reális alternatíva az adamantix, vagy mennyire játék distro.

definialnad kerlek a "realis alternativa" es "jatek distro" kifejezeseket? mik a kriteriumai egyiknek es masiknak? mi alapjan tudod realisan megitelni egy distrorol hogy melyik altalad felallitott kategoriaba tartozik? mert ha nem tudod, kategoriaid nem ernek fabatkat sem.

az adamantix kis projekt mint a weboldalan is olvashato, az eroforrasai is vegesek, hamarabb ernek veget mint valamelyik nagy kereskedelmi distronak. eppen ezert elegge forditott erzesem van mint neked, hogy azok az eloremutato fejlesztesek amelyek az adamantixban mar regen benne vannak vajon miert nincsenek meg mindig benne egy nagy eroforrassal rendelkezo kereskedelmi distrokban?

A "magyar support" annyi, hogy van egy óvodai html szakkör színtű weblap, ami 2 cég oldalára mutat. Abból is az egyik nem működik?

ugye nem a magyar support weboldal mukodese alapjan itelunk meg distrot?... remeltem. :)

Még egy fórumot, vagy egy levlistát sem látok.

itt keresd: http://lists.adamantix.org/

Az adamantix 2004-08-17-án hallatott magáról utoljára a distrowatch-on

tehat egy distro fokmeroje hogy mikor hallatott magarol utoljara a distrowatch-on... tanulok, tanulok! :)

Őszintén szólva megpróbáltam anno feltelepíteni egy full scsi Compaq Proliant gépre. Csakhogy a telepítő végül minig kiakadt a beállítási folyamat végén. (bármit is próbáltam)Ui. /dev/hda-val elérési baja volt. Ez futott a monitoron ezerrel és nem volt hajlandó sehogy sem tovább lépni. Na persze! mivel nem is volt ilyen a gépben.
Lehet, hogy én vagyok amatőr, de más distrokat, többek között debiant és annak más mutációit is simán felraktam arra a gépre. Végül az a benyomásom támadt, hogy ha egy distro telepítője annyira kispályás, hogy a készítőjében fel sem merült, hogy nem lesz a gépben /dev/hda , akkor az nem a nagypályásoknak való.

ez igy verzio nelkul elegge levegobe pufogtatas. bar megertem frusztraciodat az adamantix telepitesevel kapcsolatban, de gondolom nem a leirasban szereplo javasolt telepitesi eljarast hasznaltad, miszerint "telepits debiant upgradelj adamantixra". :) en amiota ezt legeloszor olvastam mindig ezt alkalmazom es meg nem volt gondom a telepitessel. :) egy ilyen kis projektnek felesleges sajat telepito, igy ha a meglevo nem is mukodik viszont van ra egyszeru modszer hogy lehet kikuszobolni a problemat akkor az teljesen megfelelo. nem ez az egyetlen eset az informatikaban ahol WORKAROUND-ot alkalmazunk :)

Persze az adamantixban alkalmazott összeválogatott megoldások előremutatőak lehetnek. (de pl Redhat-Centos vonalon van pl selinux, de pl az újabb susékban is vannak a default kernelben is extra beállítási lehetőségek)

jo lenne ha mar minden benne lenne ami az adamantixban is benne van...

De sajnos saját tapasztalatból is mondom, hogy napjainkban a leginkább pl. az efféle ( http://hup.hu/node/29252 ) afférok nehezítik meg a rendszergazdák életét. A tutorialokból tanuló php "coderek", akik közül sokan állítom, hogy még egy normális php könyvet sem olvasnak el, olyan alapvető hibákat vétenek, hogy franciakockásra kaparom magam! Akik 1-szer azon hőzöngenek, hogy miért van a php safe módban. Utána meg nem értik, hogy a nem ellenőrzött url paramétereken keresztüli includolásnak miért az a vége ami szokott volt lenni...

na orulok hogy kipufogtad magad, remelem jott tett :)
igazad van egy szervernel tobb szintu a biztonsag, te itt most a php programnyelv biztonsagi kerdeseire hivtad fel a figyelmet, en pedig az adamantixban talalhato binaris szintu megoldasokra. mindkettore szukseg van, es az egyik nem zarja ki a masikat. es meg ezen kivul is van tobb szint amit nem erintettunk.

A szerver biztonság inkább azon múlik, hogy biztonságos emberek végzik a beállításokat

szeretnek egy ilyen "biztonsagos ember" diplomat, mert en csak siman paranoias vagyok de errol nincs papirom :)
a szerveren pontosan minek a beallitasara gondoltal? mert pl. ha az RSBAC beallitasara nem gondoltal akkor az en olvasatom szerint nem vagy elegge "biztonsagos ember" tehat meg lehetne biztonsagosabba is tenni az altalad beallitott szervert. :)

és írhatnak rá programot,

vagyis egyedul maradsz a biztonsagosan beallitott szervereddel, mert az ugyfel a sajat programjat akarja felrakni ra. vagy felrakod a mas altal irt - talan nem - biztonsagos programot es lesz beveteled vagy elkuldod az ugyfelet de akkor meg nincs beveteled.
megoldas meg hogy minden programot te irsz a szerveredre de ezhez az kell hogy a napi 48 orabol nem szabad egyet sem aludnod :)

s nem azon, hogy senki se tud belépni a túlzásba vitt rsbac beállításoktól.

az RSBAC nem arra valo hogy ne tudjal belepni a szerverre, ezt nagyon felreertetted :)

szerintem egy szerveren mindent annyira biztonsagosra kell beallitani amennyire csak lehet. igy ha van benne RSBAC mint plusz biztonsagi szint akkor azt is.

felre a trefat, tapasztalataim alapjan az adamantix megallja a helyet szerveren, bar az en velemenyem abbol adodik hogy tobbet telepitettem is es tobb eve hasznalom is.
es a felreertesek elkerulese vegett nem vagyok tagja egyik magyar support cegnek sem, csak lattam a linkeket, tehat lehet nyugodtan fikazni.

Tény, hogy nem mozgok otthonosan az adamantixban, ezt igyekeztem érzékeltetni a hozzászólásomban is; valószínű, hogy nem eléggé. Elnézést szeretnék kérni mindazoktól akik téves információkhoz és következtetésekre jutottak a hozzászólásomból.

Köszönöm, hogy sok kérdésemre és az adamatixal kapcsolatos kételyemre válaszoltál.

( andrej_ v | 2006. 09. 05., k – 11:13 )

Ha nehany domain lesz, akkor a dns fölösleges, kérjétek a domain regisztrátortól (nagyon sok helyen bennevan a domain árban). A tűzfal meg ugye kötelező.

A feltöltés/letöltés és egyebeket pedig NE ftp-vel, hanem valami SCP jellegűvel oldjátok meg. Ha emailezés is lesz a cuccon, akkor annál is mindenféle SSL-es dolgot kéne eröltetni. Az apache-hoz használj mod_security-t, amivel még chrootolni is könnyebb. Ha linuxozol, akkor pedig grsec-es kernel nélkül ne eröltesd a dolgot.

Ez a mindent különgépre dolog olyan jól hangzik, csak valószínüleg egyikőtök sem abban a helyzetben van, hogy a saját vállalkozásának kell kitermelnie a pénzt két normális gépre. A webhostingosokat egyébként sem kéne bántani, mert amíg a T. Üffél évi 10e forintot is baromira sokall (tisztelet a kivételnek, mert szerencsére van), addig nemtom hogy mégis milyen különszerverre lehetne kitermelni a pénzt.

Egyetértek a webhostingos megjegyzéseddel.

A témaindítóból nem derül ki, hogy konkrétan mire is kell.
Ha teszem azt egy gazdasági társaság nagy weblapja lesz rajta és minden oldal letöltéstől csak 1 Ft bevételt/profitnövekedést várnak. (Ha az 1 Ft sem jön össze, akkor tegyenek ki bannereket, ad-wördsöt. Vagy adják el a know-howt, hogy hogyan lehet Magyarországon ekkora forgalmat elérni egy induló weblapnak.)

Ha veszem a rendkívül konzervatív 1 Ft/oldalletöltést és a témaindítóban írt napi 500 000 oldalletöltést, akkor az +15 millió Ft /hó . Ez azért nagyobb mozgásteret kellene, hogy engedjen, mint egy átlagos kis garázs projekt.

Persze az is lehet, hogy havi 100 millát akarnak kezdetben marketingre költeni. Viszont ekkor sem egy szál kommersz "Pistikének is jobb van!" gépet kellene megtenni a rendszer fundamentumának.

A DNS-re térve, valóban nem kell DNS szerver, ha nincs sok domain. De ekkora forgalomnál érdemes külön megegyezni a névszerver fenntartóval, mert valószínüleg nem számít ennyi dns lekérésre. Amiből mindkét félnek csak problémái lesznek... Napi 20 000 látogató könnyedén produkálhat percenként 20 dns lekérést.
Ilyen méretekben kibontakozó projekt esetében elég nagy blamázs lenne, ha névfeloldási anomáliák miatt lassulna az elérés, vagy lenne elérhetetlen.

A névfeloldásnál a percenkénti 20 szerintem nem sok. Ha akkor a forgalom, akkor +1-2 slave zonat siman hadrendbe lehet állitani, ha olyan a szolgáltató. A másik, hogy ugye ezért vannak a szolgáltatók resolv névszerverei, amik cache-elik a TTL szerint a zónát, a TTL simán lehet 2-3-4 nap is, ha nem várhatók változások. Ha pedig szinte DDoS-olják a lekérések, akkor pedig tökmind1.

Az 1Ft/lapletöltést gondolom a reklámra mondod. Baromi nehéz eladni a reklámot, de egy dualcore P4-es frontendre és adatbazisos gépre össze kell jönnie a pénznek szerintem. HA van 10+ millió marketingre, akkor 800e körül fussa má' normális(abb) gépre vagy gépekre.

( xer321 | 2006. 09. 07., cs – 07:44 )

Nálam alap lenne a Raid + Debian Sarge.
Levelezésre én dovecot(imap+pop3)+ldap+ssl esetleg CA kulcs.
Tuzfal:hazi iptables esetleg shorewall.
Dns: egyértelműen bind9, de próbálkozhatsz PDNS-el is+ldap.
Biztonsági mentés: tar (mindent tud, inkrement stb.)+rsync másik gépre.

A választás rajtad áll....

( mess | 2006. 09. 07., cs – 11:59 )

Üdv!

Ehhez a feladathoz - mint azt már páran jelezték - ez a vas halálosan (magas load) kevés. A 2 GB ram is light-nak tűnik, de mivel saját fejlesztésű kód fog futni a rendszeren, ezért könnyebb helyzetben vagy; én tennék egy próbát a Lighttpd-vel (http://lighttpd.net).
Persze web frontendnek elég lenne a gép, feltéve hogy az adatbázis (meg a többi szolgáltatás; ez utóbbi erősen ajánlott) másik gépen fut, valamint a php is fastcgi-vel másik gépen (gépeken) fut (load balanced application server).
Ha spórolni akartok, én a quad opteronos lapok között nézelődnék, kezdetben 2 db cpu-val, majd amint lehet bővítés. (Én személy szerint Tyan párti vagyok.)
SATA-val nekem nincs bajom, feltéve hogy dolgozik alatta egy pci-x hardware-es raid5-raid10 vezérlő. Persze a 2db HDD halálosan kevés a jó teljesítmény/rendelkezésre állás tekintetében: raid5 minimálisan 3 db hdd. Spare nélkül lehet ugyan élni, de az első hibánál (aminél természetesen az adott pillanatban úgysem lesz rendszergazda a gépen :) ) megtérül.
Szóval lényeg a lényeg: ha most spóroltok a gépen, többszörösen fogjátok rákölteni a pénzt, amikor agyonnyomja a gépet a terhelés.
Üdv: Mess.

( Okosodo | 2006. 09. 15., p – 12:02 )

Az elején én is így kezdtem :) Összeraktam egy gépet, aztán felment rá szépen a debián aztán bevittem egy hosting céghez... és elkezdtem értékesíteni okosan. Aztán a szerver nem ment leált, le dosolták és így tovább :(

Sajnos egy idő után unalmas lett meg hát rohangáltam be mint a hülyegyerek a szerverterembe már nekem volt kellemetlen. (Elment a hállókártya, megált a wincsi...)

Aztán meguntam elmentem VPS rendszerre... Az legalább kényelmes és relative olcsobb mindnent figyelembe véve....

Ha érdekel ezeknél vagyok:
http://www.nlgsys.net/index.php?page=vps