Hardware: Supermicro SYS-5018A-TN7B empfehlenswert?
-
Für die genannten Anforderungen und die geplanten fünf Jahre halte ich den Atom zu klein.
Wozu die vielen NICs?
-
Für die genannten Anforderungen und die geplanten fünf Jahre halte ich den Atom zu klein.
Dann schlag mal was vor!
Wozu die vielen NICs?
Die sind da halt eingebaut. Ich brauch sicher auch keine 7 USB oder 6 Sata Ports in der Firewall. Kann sie ja schlecht herausoperieren.
Aber dazu frage ich ja Euch! Wer hat denn eine pfSense in einer ähnlichen Umgebung laufen und kann eine Aussage machen?Scheinbar laufen alle FW Lösungen die ich einsetzen möchte nur in Heimnetzwerken oder 3 Mann-Büros :-(
-
https://www.thomas-krenn.com/de/produkte/rack-server/1he-server/intel-single-cpu/intel-single-cpu-ri1102-h.html
Ich hatte zwei laufen auf Dell R310 Basis aber durch Sonicwall ersetzt.
-
Gut. "Normale" 1 HE IBM/Lenovo Serverbleche habe ich hier auch rumliegen. Mit E5-2600 v3 (6-8Core) CPU und bis 6 Intel NICs. Allerdings könnten die durchaus des Guten etwas zu viel sein. Aber das wäre mir lieber, als zu knapp kalkuliert. Ob die jetzt als Windows Dateiserver verenden oder etwas sinnvolles tun… :-)
Also lieber nen kleinen, modernen Xeon als Unterbau nehmen? Wie sieht es dann mit der Hardwarekompatibilität aus?
-
Auf 5 Jahre gesehen kann man das durchaus knapp sehen, aber das hängt auch davon ab was Exo sagt, wie das Wachstum aussieht und was auf der Kiste laufen soll. Wie gesagt, ich sehe 100MBit/s als Außenanbindung und das ist nicht viel. Das würde man auch problemlos mit was kleinerem als dem Atom wegwuppern und unsere Gigabit Darkfiber fahre ich mit dem Atom schon seit 3 Jahren problemlos. Es hängt eben immer davon ab, was an Paketen und Co noch dazu kommt. Hier ein klein wenig mehr Info wäre hilfreich.
Allerdings bietet pfSense selbst die XG2758 inzwischen mit 10G SFP+ Ports Anbindung an. Ich bezweifle, dass die die Kiste mit 10G ausstaffieren würden, wenn sie dazu meinen, dass sie das nicht im Ansatz packen kann. :)
Ansonsten gibt es ja auch noch den Xeon D(E)-SOC, der sich in dem Bereich Netzwerk Appliance positioniert und da m.E. sinnvoller als StepUp wäre als gleich nen Server Xeon auszupacken. Bspw. den Xeon D-1518 oder D-1540.
Grüße
-
Also, den Ist-Zustand kannst Du paar Posts darüber sehen. Was Anwendungen und Zugriffe betrifft. Natürlich sind da beim VPN 150 RW konfiguriert. Aber max. 10% simultan online. Den Proxy werden vielleicht 30-50% der Belegschaft am Tag nutzen. Und auch die klicken nicht permanent Webseiten an, sondern arbeiten auch mal was zwischendurch. Ansonsten kommt über die Verbindung noch Mail rein und es gibt Zugriffe von den iPhones/iPads, die Mails und Kalender syncen, etc.
Belegschaftswachstum. Na, hier rechne ich in den 5 Jahren mit max. 10%. Was jetzt den Herren über mir natürlich noch so an Internetanwendungen plötzlich einfällt - das weiß ich heute nicht.
-
Also von dem was ich lese würde ich mal grob behaupten, dass der Atom SOC oder der kleine Xeon-D SOC reichen sollte. Ich kann zwar gerade keine Aussage über Last von Squid bei ~100-200 Usern machen (wird da eher gecached oder stark gefiltert?) aber vom Gefühl her würde ich sagen das reicht dicke. Mail etc. ist alles nur geroutet, frisst ergo keine große Performance. Einzig die VPNs drücken etwas, und bei ~15-30 Roadwarrior die online sind, würde ich sagen ist das auch gut gegessen. Sind die VPN RWs OpenVPN oder IPSec? IPSec könnte hier von AES-NI IMHO momentan noch besser profitieren, prinzipiell macht das aber auch den Kohl nicht fett.
Zum Vergleich: wir haben ohne Proxy einen C2758 Atom bei Kunden an Gigabit WAN + darüber 100MBit/s VPN zu 2 Standorten. Und da geht auch OWA/Exchange Kram drüber + Officegebäude mit angeschlossenen Firmen via VLAN separiert ca 50 User. Traffic ist da wirklich auch mitunter das Gigabit ausgereizt, weil deren Leitung noch über ein RZ läuft und die darüber natürlich noch ordentlich andere Dienste fackeln. Und da reicht die CPU auch gut aus. Wie gesagt, wenn man ggf. noch Wachstum und andere Dienste mit im Hinterkopf halten will, kann man sich ja mal die Xeon Ds anschauen, höher wird es aber - IMHO(!) - nicht müssen.
Wir haben da selbst gerade für ein Projekt in RZs die SYS-5018D-FN8T geordert und werden die die nächsten 1-2 Wochen mal testen, da verspreche ich mir durchaus Leistungsreserven - sprich die Kiste wird sich langweilen ;) Aber mit dem dem Xeon als 4Kerner + den 6 NICs ist die Kiste eine echt tolle Zwischenlösung zwischen Atom C2758 und Xeon D1540/1541.Grüße
-
Prima. Bitte auch nochmal Post #1 im Thread beachten: Ich möchte die Kiste ja x2 installieren. Wäre mir schon lieb, wenn die sich die Arbeit teilen könnten und nur im Fehlerfalle eine Maschine alles alleine machen müsste. Diese Frage konnte man mir leider noch nicht zufriedenstellend beantworten.
-
Das SYS-5018D-FN8T macht einen super Eindruck.
Bezüglich des Active-Active-Clusters. Nein, das kann pfsense nicht so richtig.
Habt ihr Windows Client OS Enterprise? Schon mal was von Direct Access gehört?
-
Diese Frage konnte man mir leider noch nicht zufriedenstellend beantworten.
Weil sie in der Klarheit noch nicht gefragt war ;) Man hätte die Ursprungsfrage auch anders interpretieren können, deshalb meine Nachfrage. Aber wie shiversc schon schreibt: Nein, pfSense ist als active-passive Cluster ausgelegt, nicht als active-active. Das kann CARP in der Implementation von FreeBSD (noch) nicht leisten.
OpenBSD (wo CARP/pf auch herstammen) kann bereits länger mit active/active umgehen, so dass die Zeit das Feature sicher auch zu FreeBSD und pfSense bringen werden :)
-
Ich denke fast keine der Fragen kann man wirklich beantworten., weil dazu zu viele Infos fehlen.
Bezüglich der fünf Jahre und zu vermutenden Wachstum würde ich "groß" planen.Meiner Meinung nach, sollte auch ganz genau überlegt werden, dass selbst mit einer Supportsubscription, die pfsense das richtige Produkt für alle genannten Anforderungen ist.
-
Hi. OK, das mit dem noch nicht implementierten active-active cluster Szenario sollte kein Beinbruch sein. Der Failover ist wichtiger. Dann muss eben der Unterbau etwas großzügiger ausfallen. Es ist natürlich auch kein Problem nach 3 Jahren schon mal die Plattform zu wechseln, wenn es denn die Umstände erfordern. Vielleicht steigt ja das Firmeninteresse plötzlich an mehr internetbasierten Diensten. Dann müssen die Mittel für entsprechenden Ausbau eben im Rahmen des Projektes locker gemacht werden. Aber das ist Politik, ich kümmer mich lieber um die Technik. Die normale Vorgabe lautet für mich: Server- Storage- und Netzwerkkomponenten auf 5 Jahre planen.
Das Sys-5018D sieht gut aus. Da werde ich mich dann wohl auch daran orientieren. Die Daten entsprechen in etwa dem derzeit laufenden Linux-Firewall-System. Und das ist ist ja auch vom Alter her schon min. 2 CPU Revisionen hintendran (und langweilt sich).
Ich habe momentan eine kleine Atom-Büchse mit pfSense im Test laufen und alles aktiviert was ich später im größeren Stil benötige. Eine Hand voll "Auserwählter" arbeitet (ohne es zu wissen) darüber und ich habe bisher keinerlei Merkwürdigkeiten feststellen können. Von daher denke ich schon, dass die pfSense eine gute Wahl sein wird. Wäre natürlich prima evtl. noch Wortmeldungen zu bekommen, von jemandem der auch ne pfSense im Umfeld mit 500-1000 Usern einsetzt. Aber da passt das ursprüngliche Thema wohl nicht so ganz…
-
Addendum: Habe jetzt 2 x das SYS-5018D-FN8T mit dem 4-Kern Xeon geordert. Der Aufpreis ist marginal. Mit 16GB und 2.5" Plattentray bleib ich immer noch unter 1000€ netto pro Stück. In jedes System kommt noch eine vorhandene 128er SSD rein und dann kann es losgehen!
-
Kannst du bei Gelegenheit noch was über die Leistungsaufnahme posten mit der SSD?
Danke -
Fein! Freut mich zu hören - bin gespannt wie eure Erfahrungen mit den Maschinen sind :)
-
Addendum: Habe jetzt 2 x das SYS-5018D-FN8T …
Hab den Thread leider erst jetzt gesehen, und war gleich auf der Linie von shiversc (der C2000 ist zu klein), aber bitte komm nicht mit nem Xeon E v.irgenwass. Da muss ein Xeon-D rein! ;) Absolut richtige Entscheidung. Allenfalls zu überlegen wäre ob du eine mSATA SDD einbauen möchtest? Ich hab meine APU mit einer Samsung 850 EVO (MZ-M5E120BW) bestückt, rennt 1A. ;)
-
Danke nochmals hier vermutlich die richtige Entscheidung getroffen zu haben. Deswegen habe ich die Diskussion ja auch angestossen. Von den "normalen" 128er SSDs habe ich noch min 1 Dutzend hier herumliegen (meist 840er Samsung, paar Vertex 4 aber auch 850er). Daher wollte ich hier jetzt nicht noch was zusätzlich kaufen.
-
Kann man auch problemlos noch nach hinten schieben, die SM Xeon-D Barebones können ja bereits m.2 ssds nutzen, die dann durchaus später interessant sein können. Ansonsten ggf. nen Cage mit 2 normalen SSDs als gmirror raid-1 und fein :)
-
Ansonsten ggf. nen Cage mit 2 normalen SSDs als gmirror raid-1 und fein :)
So war das ursprünglich angedacht. Ich bezweifle, dass ich hier einen Unterschied zwischen der M.2 und normalen SSD bemerken werde. Ob letztere jetzt paar Watt mehr verbraucht, ist mir relativ egal.
-
Ist an der Stelle laut Supermicro eigentlich nur wegen kleinerer Bauform relevant da die M.2 keinen extra Cage benötigt und man auch keine Kabel oder sonstigen Verdrahtungen braucht. Damit auch der Airflow gerade in kleinen Gehäusen besser. Es gibt für die Mainboards ja auch kleine Desktop Gehäuse. :)
