az egyre emelkedő villanyárakra tekintettel változtatnék egy jelenlegi kisebb soho hálózaton. most egy ipcop tűzfal mögött találhatóak a gépek. az ipcop egy pentium2es IBM gépen lakik, a red, green, orange és blue zónák mindegyike használatban van. green, munkaállomások; orange, server; blue, wifi; red az internet. ezeket költöznének egy intel atom alapú kis fogyasztású pcre.
ezen az atom alapú pcn egy linux alapú host rendszer lenne, 3db software raid5 HDDvel, rajta két virtuális gép,
#1 virtuális gép látná el a tűzfal szerepét. ide költözne az ipcop.
#2 virtuálos gép a serverfunkciókat látná el. ide költözne a jelenlegi server, eddigi feladatai kiegészülnének fileserver szolgáltatással.
így a munkaállomásokból kikerülhetnének a winchesterek, csökkentve a fogyasztást és növelve az adatbiztonságot. az eddig 24 órában működő p4 server és p2 firewall pc helyett csak egy kis fogyasztású atom pc maradna.
kérdések,
mennyie biztonságos egy virtuális gépen futó firewall rendszer? maga az ipcop persze secure, de alááshatja e a host OS a biztonságot? az ipcop hardened rendszer, de a host os valószínűleg nem lesz az. sajnos eltűntek a rendesen karbantartott hardened linux disztribek.
a jelenleg kapható atom alaplapokon csak 2sata csatlakozó van, és csak 1 pci. így a softraid5 3 winchesteréből csak 2 lehet sata, a harmadik pata kell legyen. mennyit ront ez az együttes teljesítményükön?
az egyetlen pci csatlakozóba egy 1gbites ethernet kártyát kell tenni, hogy a fileserver feladatokat normális sebességgel el tudja látni a munkaállomások felé. az ipcop orange interface csak virtuálisan kapcsolódik a server guesthez, de még így is marad további 3 interface és csak egy 100as ethernet van integrálva az alaplapra. ezért a többi 2 ethernet kapcsolatra csak usb ethernet kártyákat lehet használni. ezek az usb ethernetek mennyire megbízhatóak?
van értelme linux helyett más host OSt haszálni?
- 1495 megtekintés
Hozzászólások
Hát ha így virtualizálsz, akkor eleve két fizikai interfésszel nyiss és a fizikai géphez ne legyen távoli elérés (vagy baromira korlátozott, IP-re, port változtatva és csak pubkey auth-os SSH). Vinyóügyben barátkozz meg a RAID1-el szerintem. A teljesítménye is jobb lesz az atomon, mert azért a R5-höz kell majd kraft ha használod is a diszket.
A hálózat meg egy vagy két bridge lesz és azokon, illetve az interfészeken tudsz szűrni.
- A hozzászóláshoz be kell jelentkezni
természetesen a host gép paranoia secure lesz. az sshról írottakkal egyetértek. de megfontolást igényel az a tényező, hogy a védelem elsődleges eleme az ipcop firewall, ami ugye ugyanezen a host computeren futna guestként. azaz a külső adatforgalom a host gép hálózati interfacén keresztül érne el a guest ipcop red interfacére, ami már csak virtuálisan létezik. további problémát jelenthet az usb ethernet. természetesen a külső internet fizikailag az atom alaplap integrált ethernet kártyájára csatlakozna, de a blue zóna fizikailag egy usb ethernetre csatlakozhat csak, az egyetlen pci miatt, ami kell a green 1000mbites kártyájának. az usb pedig nem a biztonságról ismert.
a raid1el az a bajom, hogy rosszabb az 1MBra jutó költsége, mint a raid5nek. ráadásul lassabb is. két 500as winchester raid1ben csak 500Gb tárhelyet biztosítana, a raid5 esetében három 500as hdd már 1TBot tényleges tárhelyet jelent. igen, kell kraft a software raidhez, de annyire csak nem nyomi egy 1.6Gbos atom, hogy ez problémát jelentsen neki! csak 5 munkaállomást kellene kiszolgálnia és ebből csak egy használná intenzíven a hálózati tárhelyet.
- A hozzászóláshoz be kell jelentkezni
A szoftos RAID5-tel az a bajom, hogy sokat köll számolni. Azt meg az AtomCPU nem biztos,hogy szereti csinálni. Egyébként meg eyszr az egyik a gyorsabb, másszor a másik a jobb, nem lehet kategórikusan kijelenteni. Ha szofots RAID-ed van, akkor írásnál mindenesetben legalább két adatblokkot kell a diszkekre varázsolni, ráadásul RAID5 esetén pluszban olvasni, meg számolni is kell hozzá.
Mivel egy tűzfal az infrastruktúra talán leginkább kritikus eleme, így én nem nagyon virtualizálnám, kizárólag akkor, ha több, különböző zónába tartozó virtualizált gépet futtatna az adott host, és akkor is csak arra, hogy a guest-eket szeparáljam hálózatilag.
- A hozzászóláshoz be kell jelentkezni