Hardware-Empfehlung - 19" Server
-
Ich habe zwei Sonicwalls und Watchguards als Cluster am laufen.
Ich benötige ein Proxy im Perimeter.
Die Hardware muss integrierte 230 Volt Stromversorgung haben. Keine vergossenen externen Netzteile oder ähnliches.
NVMe Storage habe ich ohne Ende liegen und Zugriffszeiten sind nicht ganz unwichtig.
-
@shiversc said in Hardware-Empfehlung - 19" Server:
NVMe Storage habe ich ohne Ende liegen und Zugriffszeiten sind nicht ganz unwichtig.
Bei pfSense? Wo?
Ich benötige ein Proxy im Perimeter.
Soll die pfSense dann die Sonicwalls, Watchguards oder sonstwas ersetzen oder Proxy spielen? Das ist irgendwie nicht ganz klar :)
Die Hardware muss integrierte 230 Volt Stromversorgung haben. Keine vergossenen externen Netzteile oder ähnliches.
Dann wirds teurer. Alles was "günstiger" oder kleiner ist, kommt mit externen Netzteilen und maximal 19" Winkeln. 19" mit integriertem Netzteil wären wir ungefähr bei der Empfehlung von einer scope7-7573 oder höher. Selbst die Netgate SG-5100 ist da raus (sollte relativ identisch mit einer -1510 sein) da diese auch ein externes Netzteil nutzt.
-
Die Zugriffszeiten sind für den Proxy ggf vom Interesse, vielleicht auch später fürs Logging. Das würde jetzt auch zu weit in Detail gehen.
Nein die Sonicwalls und Wachguards bleiben weiterhin im Betrieb. Das speilt auch keine Rolle für die Ursprungsfrage.
Ich sagte nie, dass es um Geld geht, jedenfalls primär geht es nicht ums Geld.
Ich weiß auch vom CARP usw... dennoch ist das in dem Fall nicht nötig, vielleicht später mal.
Im Moment und das seit vielen Jahren habe ich eine pfSense. Jedoch im ESXi-Cluster, da darf sie jedoch zum 17.122018 nicht mehr laufen.
Hauptaufgabe ist, für eine Anzahl X an IPs per http/https ins Internet zu gehen. Diese Clients können z. B. mit dem SSO der Sonicwall nicht authentifiziert werden und sollen keinen direkten Internet Kontakt bekommen.
Andere Aufgabe ist ein Versuch unsere WCF-Dataprovider als Proxy und ggf als Reverse-Proxy zu "verdecken", das muss jedoch erst noch genauer untersucht werden. Hier geht es primär um Latenz und wenn das einen Benefit bringt, dann ist auch CARP obligatorisch. Das jedoch alles später. Später.
Erst mal gilt es die Auditauflagen zu erfüllen.
Also... wie gesagt:
1U 19 Zoll Server, so Richtung Supermicro mit frontseitigen IOs und Dual-PSU. NVMe ist lagernd und grundsätzlich Standard bei Systemen mit lokalen Storage.
-
Wenn die Firewall nur Proxy spielt, ist das ja wieder ein komplett anderes Szenario. Dann geht da sicher auch Stangenhardware für Server, das würde ich im Normalfall aber eher nicht empfehlen. schulterzuck
Wenn die später wirkliche Gateway/Firewalling Funktionen übernehmen können sollte, würde ich dafür jetzt eben schon mal nach ordentlicher Hardware sehen, aber ansonsten geht da sicherlich irgendwas mit 1HE und 2 integrierten NICs. Da kann man schlecht was empfehlen, weil das meistens in den Firmen über vorhandene Hardware Vertriebe eingekauft wird. Also ob das dann nen Supermicro, Dell, Lenovo, HP, whatever 3rd party Server wird - liegt da meistens am günstigsten Angebot :)
-
Ich kaufe sonst alles von Dell.
Der R330 kommt nicht in Frage aus diversen Gründen.
-
Erster Kandidat für die engere Wahl.
Netzteil könnte problematisch werden.https://www.heise.de/preisvergleich/supermicro-superserver-5018d-fn8t-sys-5018d-fn8t-a1425010.html
-
Generell empfehle ich für so wenig hardwarelastige Themen ja gern die APU2C4. Klein, günstig, sehr stabil. Aber die 4GB RAM werden dir für einen Proxy nicht reichen? Geht es dir um richtiges "Surfen" oder willst du nur einzelne Server damit ins Netz bringen?
So was in etwa:
https://sysadms.de/2018/09/firewall-cluster-mit-pfsense-und-apu2c4/ -
@shiversc said in Hardware-Empfehlung - 19" Server:
Erster Kandidat für die engere Wahl.
Netzteil könnte problematisch werden.https://www.heise.de/preisvergleich/supermicro-superserver-5018d-fn8t-sys-5018d-fn8t-a1425010.html
Ist ein "altes" Gerät, dass wir für pfSense zumindest nicht mehr empfehlen. Auf dem Papier sieht der Xeon D recht nett aus, bei größeren Installationen mit vielen VLANs und Regeln haben wir allerdings die Erfahrung machen müssen, dass die Oberfläche teils nicht mehr antwortet und halb am Einschlafen ist und sich sehr große Denkpausen genehmigt. Bei Cluster Setups ist uns auch schonmal eine Kiste ganz abgestorben, wahrscheinlich IRQ Überlast. Generell denke ich, dass bei den Kisten einfach zu viel à la Server gebaut und weniger in Richtung Netzwerk gedacht wurde, allein die beiden 10G plus 6x 1G Interfaces sind theoretisch am PCIe Bus schon so schwergewichtig, dass man sich fragt, mit wie vielen Lanes die eigentlich angebunden sind, wenn gleichzeitig noch welche für SSDs NVMe und sonstigen Kram gebraucht werden.
Da du geschrieben hast du brauchst eh nur 2 Interfaces (grob) und keinen großen Durchsatz - und wenn du schon bei SM stöberst - schau dir mal die Kisten mit dem etwas höheren Xeon D an, die weniger Interfaces haben. In deinem Szenario mag die CPU und das IRQ Handling genügen und mit weniger Netzhardware am Bus kommt vielleicht auch der SOC und das Speicherhandling besser klar - sowas wie die FN4T bspw. Ansonsten ggf. in Richtung i5 oder Xeon-E3 (gibts auch als LV Variante) schauen, die performen definitiv bei den Management und Maintenance Tasks besser.
Gruß
-
Interessantes Konzept. Kommt auf die Kandidatenliste. Danke.
die 4 GB RAM reichen dicke, es geht um weniger als 100 Clients die lediglich einen Stellvertreter brauchen um per http(s) das Internet aufzusuchen. Es kommen täglich keine 10 Gb Traffic zusammen, perspektivisch.
Für die dicken Sachen und für das richtig wichtige und professionelle habe ich was anderes.
Seit 2013 läuft eine pfSense im ESXi, dort darf sie aber nicht mehr bleiben, weil die Herren Auditoren, dass als unsicher ansehen.
Daher zieht der Proxy nun wieder in Hardware um, wird direkt auf die Sonicwalls verbunden und geht dort in ein eine Zone, die nur den Zweck hat einen Proxy zu beherbergen um dann wieder über die Sonicwalls als zweite Perimeter sich zu verbinden Richtung WAN und dort dann die Watchguards als Gateway in Internet zu nutzen.Ob das jetzt mehr Sicherheit schafft, weil sie nicht mehr virtualisiert ist, dazu soll jeder seine Meinung haben.
Für mich war eher der Footprint von Interesse, in Hinsicht auf Leistungsaufnahme, Kühlung, Verkabelung, Reaktionszeiten usw... Eine Proxy-Hardware mit eine mittleren Passt von 1-2% passt da wenig.
Aber was solls...
-
Ich denke kaum, dass das Setup am IRQ, PCIe-Lanes oder was auch immer gekränkelt hat oder das die Hardware zu wenig auf Netzwerk ausgerichtet ist/war. Die XEON-D sind z. B. was die 10 GB NICs angeht ein SOC-Design, somit kommt die PCIe-Lanes Betrachtung hier gar nicht zum tragen. Ich glaube kaum das eine Fullduplex-Auslastung dem kleinsten XEON-D was anhaben kann. Natürlich ist das Routing ein Faktor, aber ich route nicht, dazu habe ich was professionelles.
Was die SFP(+) interessant macht ist die galvanische Trennung beim Einsatz von LWL.Ich habe Vorgaben zu erfüllen die dauerhaft von Elektrofachkräften und regelmäßig vom gesetzlichen Unfallversicherer geprüft werden. Da spielen Netzteile, besonders externe Netzteile, eine große Rolle und werden sehr genau betrachtet. Wenn ich könnte, dann würde ich, so wie die Serverräume, auf Gleichstromversorgung setzen mit zerntraler Spannungserzeugung und unterbrechungsfreier Stromversorgung. Wir lassen aber beim Proxy die Kirche im Dorf ;)
-
Heute eingetroffen:
https://www.supermicro.com/products/chassis/1U/514/SC514-R407C
Im Zulauf:
https://www.supermicro.com/products/motherboard/X11/X11SCM-LN8F.cfm
Im Zulauf:
https://ark.intel.com/products/134867/Intel-Xeon-E-2176M-Processor-12M-Cache-up-to-4-40-GHz-
Vermutlich im Dezember jedoch nicht im Betrieb.
-
Kleines Update. Für die die es interessiert.
In den letzten 6 Wochen sind drei der vier Netzteile kaputt gegangen.
Die Hardware lief an zwei getrennten Orten an tadellosen Eaton USVen.Verdachtsdiagnose für die Ausfälle könnte eine zu geringe Luftfeuchtigkeit sein. Die ausgefallene Hardware wurde anstandslos getauscht. die Beschaffung und RMA-Abwicklung lief über Jacob Computer.
Außerdem darf ich bei deaktivierten Hyperthreading auch wieder Proxys, Firewalls usw im ESXI betreiben. Ob das nur für Intel-CPUs galt und gilt, konnte mir niemand von den Auditoren beantworten ;)
Ich muss leider vermuten, dass die Jungs hier etwas plappern was sie nicht verstehen. Leider muss der Auditor immer etwas finden und zum Folgeaudit muss dann das behoben sein.
Das kann auch positive Folgen haben. Zum Geschäftsjahr 2020 habe ich eine 100% Glasfaser Strategie für die beiden Hauptrechenzentren und das Backup Zentrum verordnet bekommen. Das ist eine feine Sache. Nun besteht in jeder Hinsicht eine hundertprozentige galvanische Trennung.Wenn das Budget kommt, wie geplant, dann gehen Anfang 2021 die pfSense Proxys und zwei der vier Firewalls wieder in die ESXI-Umbebung. Die Watchguards sind zwischenzeitlich durch Palo Alto ersetzt.
Ich vermute, dass die Palo Altos in den ESXi gehen und die Sonicwalls auf NSA 6650er upgegraded werden, weil die 5500er in der Supportverlängerung unrentabel werden.Ansonsten lief die Hardware anstandslos und tadellos ohne nennenswerten Pflegeaufwand, so wie man es von einer pfSense erwarten kann.
-
@shiversc said in Hardware-Empfehlung - 19" Server:
Ich denke kaum, dass das Setup am IRQ, PCIe-Lanes oder was auch immer gekränkelt hat oder das die Hardware zu wenig auf Netzwerk ausgerichtet ist/war. Die XEON-D sind z. B. was die 10 GB NICs angeht ein SOC-Design, somit kommt die PCIe-Lanes Betrachtung hier gar nicht zum tragen. Ich glaube kaum das eine Fullduplex-Auslastung dem kleinsten XEON-D was anhaben kann. Natürlich ist das Routing ein Faktor, aber ich route nicht, dazu habe ich was professionelles.
Ahoi,
warum die Xeon-Ds bei uns rausflogen war nicht die Netzwerk Performance. Das hatte ich schon geschrieben - uns sind die Dinger bei der Einrichtung und Konfiguration via UI eingeschlafen, eben weil sie auf Netzwerk optimiert sind. Sieht man auch im Hinblick auf TNSR ganz gut, dass HW wie die 3000er Denvertons oder eben die Xeon-Ds mit dem höher optimierten Linux und der CLI wesentlich höhereren Durchsatz wuppern als mit pfSense, da anderer Stack, anderes Processing und kein "klassischer" Webstack Overhead. Genau darum würde ich die eben nicht für pfSense mehr rannehmen, weil es einfach nervig ist, bei größeren/häufigeren Änderungen oder mit mehr Personen auf der UI zu arbeiten, weil die Dinger eben bei Webserver/PHP Working komplett absaufen gegen eine Standard Desktop CPU wie einen halbwegs aktuellen i5 oder i7. Lässt man die Kisten hingegen ohne große Änderungen einfach laufen ist das egal, da reichen die dicke - das war die Aussage - bevors jemand falsch versteht :)
@shiversc said in Hardware-Empfehlung - 19" Server:
Außerdem darf ich bei deaktivierten Hyperthreading auch wieder Proxys, Firewalls usw im ESXI betreiben. Ob das nur für Intel-CPUs galt und gilt, konnte mir niemand von den Auditoren beantworten ;)
Hrhr :) Ja Audits sind da immer wieder ein Quell der Erheiterung...
Aber: In dem Fall haben die ggf. sogar was Positives bewirkt ;) pfSense und FreeBSD profitieren nämlich tatsächlich kaum wenn überhaupt positiv auf Hyperthreading, weshalb das bei uns in der HW für Sensen auch immer aus ist. Klar kann man jetzt im Sinne von Meltdown und Co. auf HT rumreiten - das Fass fang ich gar nicht an. Muss man selbst abschätzen und klären. Aber HT ist für Firewall/Netzwerk Performance tatsächlich eher minimal bis gar nicht hilfreich, gabs auch gerade im Test mit FreeBSD mehrere Benchmarks, die das gezeigt haben. Daher lieber echte Kerne (weshalb die Atom 2k und 3k Serie so ausgelegt waren/sind) statt HT :)
