Hardware-Empfehlung - 19" Server



  • Hallo Gemeinschaft,

    was würdet Ihr an Hardware kaufen, wenn folgende Vorgaben zu erfüllen sind. Es muss keine übermäßig dicke Hardware sein, es wird auf allen Interfaces keine 200 MBit geben. Es muss auch kein x86 sein. Und es würde ein Tipp für ein Gehäuse (Supermicro?) samt Motherboard reichen.

    Ich hätte gern folgende Eckpunkte...

    19 Zoll
    2x PSU
    NVMe-Storage
    2+ NICs (Intel, Broadcom)

    Bevorzugt mit frontseitigen NICs, ist aber kein muss.

    Danke


  • Moderator

    Die Aussage mit den Interfaces ist eines, wenn aber 100Mbps bspw. encrypted laufen müssen ist das schon wieder ein ganz anderer Case. Also ein klein wenig mehr über die Nutzung (auch ob Firma oder Privat) aussagen, dann wäre auch die Hardware Empfehlung einfacher.



  • @jegr Hallo. Danke für die Antwort.

    Geplant ist keine Encryption und es ist ein gewerblicher Einsatz.

    Es muss nicht der letzte Euro gespart werden, bei der Aktion.

    Wenn die Hardware deutlich mehr kann, dann ist das auch okay. Nach oben bist bekanntlich viel Luft.


  • Moderator

    Hi,

    na dann :) Also bis auf den Punkt mit den 2x PSU - den wird man in kleinen Preisklassen eher wenig in kommerziellen Appliances finden und selbst bei einem Eigenbau wird das schwer - sollte sich da ganz gut was machen lassen.
    Muss es dann 19" Rackmount sein? Da du keine 200Mbps und gerade mal 2 NICs nennst, würde das eigentlich - rein theoretisch - schon mit einer scope7-1020 erschlagbar sein. Dann aber eben ohne 19" (dafür sehr kleines Gehäuse). Ansonsten ist NVMe schon übertrieben, eine wie auch immer geartete SSD reicht da völlig, denn so viel Schreibaufwand gibts bei normalem Betrieb kaum, dass da der Durchsatz einer NVMe vs einem normalen SATA/SSD oder mSATA/SSD Interface zum Tragen käme. Wenn es Richtung 19" geht, wäre die scope7-7525 mit Einbauwinkeln noch ne Möglichkeit. Aber wie gesagt, sobald es in Richtung 19" geht wird es auch teu(r)er :)

    Grüße



  • Für den Produktiveinsatz und für einen möglichst ungestörten Betrieb würde ich eine Redundanz durch zwei Geräte im CARP-HA-Modus in Erwägung ziehen und dafür auf zwei PSU und RAID verzichten.
    Dann kannst du während des Betriebs Upgrades installieren und Einstellungen ändern, und im schlimmsten Fall, sollte eine pfSense den Dienst versagen, nimmst du sie eben vom Netz und die zweite übernimmt automatisch den Betrieb.


  • Moderator

    @viragomann said in Hardware-Empfehlung - 19" Server:

    Für den Produktiveinsatz und für einen möglichst ungestörten Betrieb würde ich eine Redundanz durch zwei Geräte im CARP-HA-Modus in Erwägung ziehen und dafür auf zwei PSU und RAID verzichten.

    Kann ich so absolut nur unterschreiben! Hängt aber natürlich auch wieder vom Use-Case ab und inweiweit "das Internet auch mal aus" sein darf. Aber gerade die erwähnten Punkte sind hier - danke @viragomann - sehr wahr, denn meist (bei unseren Kunden) war bislang eben nicht eine Platte oder eine PSU das Problem (wenn überhaupt).

    @viragomann said in Hardware-Empfehlung - 19" Server:

    Dann kannst du während des Betriebs Upgrades installieren und Einstellungen ändern, und im schlimmsten Fall, sollte eine pfSense den Dienst versagen, nimmst du sie eben vom Netz und die zweite übernimmt automatisch den Betrieb.

    Allerdings gerade dafür ist eben ein Cluster Gold wert. Möchte ich in einem Firmenumfeld zwischenzeitlich einfach nicht mehr missen.

    Grüße



  • Ich habe zwei Sonicwalls und Watchguards als Cluster am laufen.

    Ich benötige ein Proxy im Perimeter.

    Die Hardware muss integrierte 230 Volt Stromversorgung haben. Keine vergossenen externen Netzteile oder ähnliches.

    NVMe Storage habe ich ohne Ende liegen und Zugriffszeiten sind nicht ganz unwichtig.


  • Moderator

    @shiversc said in Hardware-Empfehlung - 19" Server:

    NVMe Storage habe ich ohne Ende liegen und Zugriffszeiten sind nicht ganz unwichtig.

    Bei pfSense? Wo?

    Ich benötige ein Proxy im Perimeter.

    Soll die pfSense dann die Sonicwalls, Watchguards oder sonstwas ersetzen oder Proxy spielen? Das ist irgendwie nicht ganz klar :)

    Die Hardware muss integrierte 230 Volt Stromversorgung haben. Keine vergossenen externen Netzteile oder ähnliches.

    Dann wirds teurer. Alles was "günstiger" oder kleiner ist, kommt mit externen Netzteilen und maximal 19" Winkeln. 19" mit integriertem Netzteil wären wir ungefähr bei der Empfehlung von einer scope7-7573 oder höher. Selbst die Netgate SG-5100 ist da raus (sollte relativ identisch mit einer -1510 sein) da diese auch ein externes Netzteil nutzt.



  • Die Zugriffszeiten sind für den Proxy ggf vom Interesse, vielleicht auch später fürs Logging. Das würde jetzt auch zu weit in Detail gehen.

    Nein die Sonicwalls und Wachguards bleiben weiterhin im Betrieb. Das speilt auch keine Rolle für die Ursprungsfrage.

    Ich sagte nie, dass es um Geld geht, jedenfalls primär geht es nicht ums Geld.

    Ich weiß auch vom CARP usw... dennoch ist das in dem Fall nicht nötig, vielleicht später mal.

    Im Moment und das seit vielen Jahren habe ich eine pfSense. Jedoch im ESXi-Cluster, da darf sie jedoch zum 17.122018 nicht mehr laufen.

    Hauptaufgabe ist, für eine Anzahl X an IPs per http/https ins Internet zu gehen. Diese Clients können z. B. mit dem SSO der Sonicwall nicht authentifiziert werden und sollen keinen direkten Internet Kontakt bekommen.

    Andere Aufgabe ist ein Versuch unsere WCF-Dataprovider als Proxy und ggf als Reverse-Proxy zu "verdecken", das muss jedoch erst noch genauer untersucht werden. Hier geht es primär um Latenz und wenn das einen Benefit bringt, dann ist auch CARP obligatorisch. Das jedoch alles später. Später.

    Erst mal gilt es die Auditauflagen zu erfüllen.

    Also... wie gesagt:

    1U 19 Zoll Server, so Richtung Supermicro mit frontseitigen IOs und Dual-PSU. NVMe ist lagernd und grundsätzlich Standard bei Systemen mit lokalen Storage.


  • Moderator

    Wenn die Firewall nur Proxy spielt, ist das ja wieder ein komplett anderes Szenario. Dann geht da sicher auch Stangenhardware für Server, das würde ich im Normalfall aber eher nicht empfehlen. schulterzuck

    Wenn die später wirkliche Gateway/Firewalling Funktionen übernehmen können sollte, würde ich dafür jetzt eben schon mal nach ordentlicher Hardware sehen, aber ansonsten geht da sicherlich irgendwas mit 1HE und 2 integrierten NICs. Da kann man schlecht was empfehlen, weil das meistens in den Firmen über vorhandene Hardware Vertriebe eingekauft wird. Also ob das dann nen Supermicro, Dell, Lenovo, HP, whatever 3rd party Server wird - liegt da meistens am günstigsten Angebot :)



  • Ich kaufe sonst alles von Dell.

    Der R330 kommt nicht in Frage aus diversen Gründen.



  • Erster Kandidat für die engere Wahl.
    Netzteil könnte problematisch werden.

    https://www.heise.de/preisvergleich/supermicro-superserver-5018d-fn8t-sys-5018d-fn8t-a1425010.html



  • Generell empfehle ich für so wenig hardwarelastige Themen ja gern die APU2C4. Klein, günstig, sehr stabil. Aber die 4GB RAM werden dir für einen Proxy nicht reichen? Geht es dir um richtiges "Surfen" oder willst du nur einzelne Server damit ins Netz bringen?

    So was in etwa:
    https://sysadms.de/2018/09/firewall-cluster-mit-pfsense-und-apu2c4/


  • Moderator

    @shiversc said in Hardware-Empfehlung - 19" Server:

    Erster Kandidat für die engere Wahl.
    Netzteil könnte problematisch werden.

    https://www.heise.de/preisvergleich/supermicro-superserver-5018d-fn8t-sys-5018d-fn8t-a1425010.html

    Ist ein "altes" Gerät, dass wir für pfSense zumindest nicht mehr empfehlen. Auf dem Papier sieht der Xeon D recht nett aus, bei größeren Installationen mit vielen VLANs und Regeln haben wir allerdings die Erfahrung machen müssen, dass die Oberfläche teils nicht mehr antwortet und halb am Einschlafen ist und sich sehr große Denkpausen genehmigt. Bei Cluster Setups ist uns auch schonmal eine Kiste ganz abgestorben, wahrscheinlich IRQ Überlast. Generell denke ich, dass bei den Kisten einfach zu viel à la Server gebaut und weniger in Richtung Netzwerk gedacht wurde, allein die beiden 10G plus 6x 1G Interfaces sind theoretisch am PCIe Bus schon so schwergewichtig, dass man sich fragt, mit wie vielen Lanes die eigentlich angebunden sind, wenn gleichzeitig noch welche für SSDs NVMe und sonstigen Kram gebraucht werden.

    Da du geschrieben hast du brauchst eh nur 2 Interfaces (grob) und keinen großen Durchsatz - und wenn du schon bei SM stöberst - schau dir mal die Kisten mit dem etwas höheren Xeon D an, die weniger Interfaces haben. In deinem Szenario mag die CPU und das IRQ Handling genügen und mit weniger Netzhardware am Bus kommt vielleicht auch der SOC und das Speicherhandling besser klar - sowas wie die FN4T bspw. Ansonsten ggf. in Richtung i5 oder Xeon-E3 (gibts auch als LV Variante) schauen, die performen definitiv bei den Management und Maintenance Tasks besser.

    Gruß



  • @bepo

    Interessantes Konzept. Kommt auf die Kandidatenliste. Danke.

    die 4 GB RAM reichen dicke, es geht um weniger als 100 Clients die lediglich einen Stellvertreter brauchen um per http(s) das Internet aufzusuchen. Es kommen täglich keine 10 Gb Traffic zusammen, perspektivisch.

    Für die dicken Sachen und für das richtig wichtige und professionelle habe ich was anderes.
    Seit 2013 läuft eine pfSense im ESXi, dort darf sie aber nicht mehr bleiben, weil die Herren Auditoren, dass als unsicher ansehen.
    Daher zieht der Proxy nun wieder in Hardware um, wird direkt auf die Sonicwalls verbunden und geht dort in ein eine Zone, die nur den Zweck hat einen Proxy zu beherbergen um dann wieder über die Sonicwalls als zweite Perimeter sich zu verbinden Richtung WAN und dort dann die Watchguards als Gateway in Internet zu nutzen.

    Ob das jetzt mehr Sicherheit schafft, weil sie nicht mehr virtualisiert ist, dazu soll jeder seine Meinung haben.

    Für mich war eher der Footprint von Interesse, in Hinsicht auf Leistungsaufnahme, Kühlung, Verkabelung, Reaktionszeiten usw... Eine Proxy-Hardware mit eine mittleren Passt von 1-2% passt da wenig.

    Aber was solls...



  • @jegr

    Ich denke kaum, dass das Setup am IRQ, PCIe-Lanes oder was auch immer gekränkelt hat oder das die Hardware zu wenig auf Netzwerk ausgerichtet ist/war. Die XEON-D sind z. B. was die 10 GB NICs angeht ein SOC-Design, somit kommt die PCIe-Lanes Betrachtung hier gar nicht zum tragen. Ich glaube kaum das eine Fullduplex-Auslastung dem kleinsten XEON-D was anhaben kann. Natürlich ist das Routing ein Faktor, aber ich route nicht, dazu habe ich was professionelles.
    Was die SFP(+) interessant macht ist die galvanische Trennung beim Einsatz von LWL.

    Ich habe Vorgaben zu erfüllen die dauerhaft von Elektrofachkräften und regelmäßig vom gesetzlichen Unfallversicherer geprüft werden. Da spielen Netzteile, besonders externe Netzteile, eine große Rolle und werden sehr genau betrachtet. Wenn ich könnte, dann würde ich, so wie die Serverräume, auf Gleichstromversorgung setzen mit zerntraler Spannungserzeugung und unterbrechungsfreier Stromversorgung. Wir lassen aber beim Proxy die Kirche im Dorf ;)