Vlákno názorů k článku Velká řešení otevřeně: základní vybavení od Michal Pastrňák - Já tedy nechci radit, rozumím tomu, že se...
-
Já tedy nechci radit, rozumím tomu, že se chcete podělit o zkušenosti, ale domluvil bych se s redakcí, ať to stáhnou a začal bych znovu a lépe. Nadpis: Řešení privátního cloudu pro malé firmy. Pokračoval bych napsáním úvodu, kde popíšete, čeho chcete dosáhnout, komu a na co to má sloužit, že je kladen důraz na nízkou cenu s ohledem na co nejlepší zabezpečení a spolehlivost v rámci daných možností atd atd. Rozhodně bych se vyhnul nějakým honosnostem a nikdy, NIKDY, NIKDY bych už nepsal, že k serveru má přístup každej jouda z ulice, kterej může vyškubnout disk a utéct. Jestli má být tohle alespoň mírná propagace amagical.net , tak jste si právě vyrobil tak neskutečně negativní reklamu, že příčetnej majitel jakékoliv firmy si od vás neobjedná ani balík kancelářskýho papíru.
Nebo máte druhou možnost, soustřeďte se jen na SW technologie a raději vůbec neřešte HW stránku věci, prostě popište jednotlivé služby, k čemu jsou, jak je nastavit atd.
To, co je napsáno v článku, to je fail, ale to, jak jste to dorazil v komentářích, pro to už neexistuje ani výraz. -
Ne, opravdu to nema byt zadna propagace (je snad clanek oznacen jako komercni sdeleni?), ale pokus o predani zkusenosti. A mohu prosim konkretne vedet, cim jsem to podle Vas dorazil?
Jinak situace v mensich i strednich firmach je takova, ze servery jsou sic zamcene v racku v hostingovem centru, ale to neznamena, ze k nim nema pristup kazdy z ulice. Spoleham se jen na obsluhu centra, ze se tam nikdo nedostane. V tomto pripade je ma duvera znacne omezena, takze se snazim unik dat minimalizovat vhodnymi prostredky.
-
"Velká řešení" = "Uz jenom tech cca 80 tisic za zakladni HW se tezko obhajovalo"
"Chcete provozovat služby s nepřetržitou dostupností?" = "vypadky jsou OK, jsou-li kratke nebo mimo pracovni dobu a pokud se neztrati data"
"znamena k tomu serveru prijet, coz neni vzdy mozne" - dříve zmiňovaná nepřetržitá dostupnost znamená, že to musí být možné
"servery jsou sic zamcene v racku v hostingovem centru, ale to neznamena, ze k nim nema pristup kazdy z ulice" - nevím, jak vy, ale já se v datacentru prokazuju občankou a dveře otevírám kartou a otiskem prstu, rack nemáme s nikým sdílený a je zamčený. Jak jsem psal jinde, pokud máte pocit, že jsou data natolik cenná, že to někomu za to stojí, potom ano, šifrovat, ale komplet, jinak to opravdu nemá cenu, pokud se chcete bránit proti někomu s fyzickým přístupem.
Celé je to strašně nekonzistentní, mícháte dohromady rádoby profi řešení s bastlem. Nevím, čeho se přesně snažíte dosáhnout, ale zatím mi na to stačí dva HP microservery, na nich nějaké qemu s virtuálkami, synchronizace disků přes drbd a peacemaker, který to řádně zclusteruje. Tohle vám za těch 80k dodá schopnej studentík i s prací a ještě jako bonus k tomu přihodí levný NAS na zálohy, nějakou menší UPSku a switch. Nemusím řešit dual PSU, což je na tento use case overkill, dokonce bych se mohl vykašlat i na raid v rámci každého stroje, který stejně bez poctivého řadiče se zálohovanou cache nemá moc význam, protože ačkoliv sw raid funguje a na spoustu věcí je dostatečný, ve zvláštních případech by se dalo o konzistenci dat polemizovat.
Jak jsem psal, zcela bych se vykašlal na HW, protože to je opravdu kapitola sama pro sebe a evidentně v tomto ohledu nemáte kdovíjaké zkušenosti. Raději bych se pustil do popisu jednotlivých SW technologií.
-
V Z Vasich zkusenosti vyplyva, ze nejste cilova skupina tohoto clanku. Muzete si pred vsechna zminovana tvrzeni treba dodat "Chceme-li se pokusit o ...".
Ja se tkae prokazuji obcanskym prukazem, nicmene pak uz je vse na obsluze datacentra, ktera mne po otevreni dveri opousti. Nemam ozkousena, nakolik jsem pozorovan a zda by si nekdo dostatecne rychle vsiml pokusu o vniknuti do jineho racku. Dalsi vec je, ze ne vsichni si mohou dovolit ten luxus nesdileneho racku, pak je urcite dalsi ochrana na miste.
O nutnosti komplet sifrovani jsem psal. Doplnil jsem jen ustupek v podobe nezasifrovane boot partition, ktery by pri spravne kontrole, ze opravdu bootuji to, co mam, nemel snizovat celkovou bezpecnost. Navic odemykani pomoci SSH povazuji za bezpecnejsi nez skrze IPMI.
-
No cílovka asi nejsem, na tom se shodneme, to ale neznamená, že mě podobné open technologie nezajímají, i když v této oblastí máme většinu řešení komerčních. Ale mě by spíš zajímala ta opravdová cílovka, nějaká koncepce, kam se tento seriál ubírá. To z vás leze jak z chlupaté deky a pokud nemáte nějaký opravdu zajímavý use case, nevidím v tom vůbec logiku. Dejme tomu, že pro low cost řešení se md raid 1 používá, takže s tím se smířím, ale pořád mi tam nesedí ty zcela z kontextu vytržené dual PSU, které udělají v ceně pěkných pár tisíc rozdíl, což mi přijde na úplně mimo, pokud je cílem HA cluster a krátké výpadky a delší odstávky mimo pracovní dobu jsou v rámci ceny přijatelné, potom to nemá žádnou cenu. Takže v rámci dalšího pokračování vám doporučuji přesně to, co jste sám částečně psal a neudělal. Řekněte, jakých služeb chcete dosáhnout, posuďte rizika, pokud to má být HA, tak si to nakreslete, zjistěte, kde a kolik je SPOF, rozdělte si je podle pravděpodobnosti selhání a potom je od těch nejvážnějších začněte eliminovat. Pokud dojdete k tomu, že jich půlku vyřešíte a půlku ne, je třeba přehodnotit, jestli některé z těch vyřešených nejsou zbytečnost a řešení tomu přizpůsobte.
Příklad:
služby jsou používané z internetu -> musím mít dvě konektivity -> dva routery -> pokud je landcape složitější, tak dva switche -> každý server dvě rozhraní (a ideálně nezávislé). Pokud hned na začátku vím, že dvě konektivity třeba kvůli ceně nechci, nebo není v místě možnost, vše ostatní můžu klidně škrtnout. A takhle se musí postupovat se vším. V ideálním případě se musím zamyslet ještě dál, použít AS, BGP routery, pak je dobré zjistit, do jaké míry jsou konektivity nezávislé. Případ zákazníka ze života: V Brně měl hlavní připojení přes optiku většího poskytovatele a zálohu přes nějakou menší firmu přes bezdrát. A co se nestalo, většímu poskytovateli se něco hodně pokazilo a od koho si myslíte, že měl konektivitu sekundární menší poskytovatel? Ne, že by ta záloha byla úplně k ničemu, mohlo se pokazit koncové zařízení providera, nebo něco těsně před ním a potom by to ta záloha zachránila, ale je to řešení napůl a je dobré o tom vědět. -
j (neregistrovaný)
2bez přezdívky: Ty zjevne nechapes, co se ti tu tuxik snazi rict ...
1) vubec nevis co to je velky reseni => pouc se a prestan tvrdit ze tvoje reseni je velke
2) patlas dokupy zcela nesmyslny pozadavky => opet, ujasni si, co ma byt cilem.Jestli je tvuj rozpocet 80k, tak to je soho bastl. S tim se smir, proste to tak je. Tudiz zacatek celyho clanku mel (vcetne nazvu) byt uvozen (napr) "jak poridid co nejvice muziky s velmi omezenym rozpoctem", pricemz si tam tech 80k mel napsat.
Dal si mel vyjmenovat pozadavky. Tudiz napriklad ... ze vypadek provozu do ... hodiny, neni zasadni problem (ve skutecnosti, a to se klidne vsadim, neni problem i celodeni vypadek, pri tomhle rozpoctu mozna ani vice dnu).
Tudiz ... pokud mas 80k na HW ... tak za to rozhodne neporidis nic moc. Takze, zapomenme na dva switche, switch se da koupit v nejblizsi garazi, management netreba. Kdyz nejde elektrina, stejne pojdou desktopy, tudiz ani nema smysl switch zalohovat.
Dal, kolik vykonu potrebuju pro beznej provoz toho co chci provozovat ... tzn kolik ramky, kolik cpu ... predpokladam nejakej sambashare, nejaky maily ... a pri tomhle rozpoctu +- vsjo. Nepocitam s nejakou placenou databazi, maximlane neco co vyuziva mysql/acces(=ta samba)/... ale to musis vedet TY.
Kdyz tohle vim, tak muzu definovat HW - zase placnu, vystacim si s 8-16GB ram, protoze na tom nebudu provozovat zadnou virtualizaci a chci to maximalne jako diskovou cache. Rekneme ze chci ty disky sifrovat, takze bude fajn, kdyz tam bude CPU s AES-NI. Protoze disky jsou nejchcipavejsi potvory, dam si tam dva do zrcadla. SSDcko nepotrebuju, protoze je to overkill ...
A rekneme ze by bylo fajn, kdybych to moh dat do racku aby to trochu vypadalo ... takze podivam se jak sem na tom, nebude rozhodne sas, bude sata, nejakej levnej dell nebo hp ... bude novej stat kolem 30k jeden, to by bylo 60 za dva. Bude to nejspis s 3-5y NBD.
Chci to? Potrebuju to? K tomu za rekneme 5k za malej rack, Rekneme 3k za ne uplne shit switch. Zbejva 7k, takze poridime upsku ... a sme na nule.
Nebo ... pudu do frcu a ty samy servery starsi generace tam koupim po +- 8k/ks, koupim do nich 4 novy disky po rekneme 3k/ks. Takze sem na 30k za servery. Upsku koupim samo novou, protoze baterka by nestala o moc min. Dualni zdroje neresim, je to ptakovina, v tyhle cenovy relaci naprosta. U UPSky potrebuje jen to, aby umela komunikovat s vic strojema najednou = bud vic USB nebo sit, coz ale znamena zalohovat i switch. V kazdym pripade potrebuju minimalne line-interactive, offline upsky sou pomaly a specielne switch to prevazne neustoji.
Tzk sem nekde na 40-45k za dva servery, disky, switch a ups. K tomu opet nejakej rack.
Samo pokud nechci resit rack, koupim to vsechno v podobe tower. A switch holt hodim nekam aspon na polici.
Pricemz mi v tohle pripadne zbyl rozpocet jeste na dalsi krabici na zalohovani. Kterou v idealnim pripade vnutim majiteli domu.
A presne neco na tohle tema melo byt soucasti tvyho clanku = co potrebuju, nac to potrebuju a jak to teda poresim na urovni hw.
-
MasoxCZ (neregistrovaný)
Na tu UPSku se sítí nebo víc USB bych se vykašlal. Pokud to nebudeš chtít vypínat při výměně baterky, tak každému serveru klidně malou kancelářskou, ale vlastní, a pokud možno každou na jinou větev napájení. V tom momentě nemusíš pro tenhle účel řešit zálohování switche.
A souhlas, že vysvětlení cílů mohlo klidně tvořit celý první díl.
