VM vs. Hardware
-
Aktuell läuft bei mir pfSense auf einem APU1D Board. Das funktioniert soweit auch bestens.
Allerdings ist im Netzwerk nun auch ein HP ML10 Homeserver dazugekommen. Dieser soll sowohl als Dateiserver, als auch als Virtualisierungsserver für mehrere VM (voraussichtlich Proxmox) genutzt werden.
Gäbe es irgend einen Nachteil, wenn ich pfSense auf eine VM "umziehe", welche dann als Gateway für die anderen VM und das restliche Netzwerk fungiert?
-
Logischer Nachteil ist, dass dann ein funktionierender Router und eine funktionierende Firewall von mehreren Faktoren abhängen, als wenn die pfSense direkt auf der Hardware läuft.
Es wird auch immer wieder der Sicherheitsaspekt bei virtualisierter Firewall genannt, weil der Host kompromittiert und so die Daten der Schnittstellen umgelenkt werden könnten. Das sehe ich aber nicht ganz so eng, wenn die Sache ordentlich konfiguriert ist und der Host auch nur im LAN hängt und keine weiteren Dienste bereitstellt.
Auf dem Homeserver brauchst du aber vermutlich zusätzliche Netzwerkanschlüsse, wenn du nicht alles über vLANs und einem entsprechenden Switch machen möchtest.
-
Das sehe ich aber nicht ganz so eng, wenn die Sache ordentlich konfiguriert ist und der Host auch nur im LAN hängt und keine weiteren Dienste bereitstellt.
Daran hatte ich auch gedacht. Der Host selbst ist ja praktisch nur die Virtualisierungssoftware und nur über das LAN zu erreichen. Einige -oder zumindest eine- VM sollte aber schon auch aus dem Internet erreichbar sein, wenn auch erst mal nur zu Testzwecken.
Auf dem Homeserver brauchst du aber vermutlich zusätzliche Netzwerkanschlüsse, wenn du nicht alles über vLANs und einem entsprechenden Switch machen möchtest.
Dann bleibe ich doch fürs Erste bei der aktuellen Lösung :)
-
Sicherheitsaspekt sehe ich nicht wirklich. Wenn jemand von Außen auf meine ESX Hosts kommt ist das Kind eh schon vorher in den Brunnen gefallen ;D
Ansonsten greifen die typischen Vorteile der Virtualisierung. Weniger Hardware, weniger Anschaffungskosten, weniger Betriebskosten. Effizientere Nutzung der Ressourcen.
Klar, du hast die APU halt schon. Und unglaublich viel Strom frisst die nun nicht. Von daher kann man sie auch in Betrieb lassen.
-
Das sehe ich ähnlich. Du hast bereits deine Firewall/Routing Plattform und noch dazu eine, die nicht viel Strom frisst und tut was du möchtest. Da würde ich nicht dran rütteln, zudem du damit wartungstechnisch Vorteile hast. Virtualisierung ist toll, aber ich habe bereits bei vielen Firmen virtualisierte Firewalls durch Hardware ersetzt, nicht (nur) aus irgendwelchen näher oder weiter entfernten Sicherheitsbedenken, das ist heute bei guter technischer Umsetzung oftmals kein (großes) Problem. Sondern eher aus solch einfachen Gründen wie Wartung oder Redundanz. Fürs Büro genügt da oft ein Server (ESX, Proxmox, was auch immer), nur wenn da dann auch die Firewall virtualisiert ist und man den Host mal neustarten muss wegen Updates o.ä. und es fliegt dann auch jedes Mal die Firewall (und damit Außenanbindung) weg, dann kann das schon sehr nervig sein. Hängt natürlich immer am Einzelfall - für manchen mag das kein Problem sein. Aber ich gestehe dass ich es sehr nervig fände, wenn ich den hypervisor update und hab dann kein Internet wenn was schief gehen sollte um irgendeinen Fix, Patch oder sonstwas zu suchen (oder müsste dafür mein Smartphone bemühen). Deshalb vertrete ich da meist den Ansatz die Netzanbindung/Firewall aus der VM rauszuhalten. Aber wie gesagt ist das eine Einzelfall-Entscheidung :)
-
Wie oft rebootet man schon seine VM Hosts - selten (außer vielleicht bei Windows ;D)
Hat man tatsächlich nur 1 Host macht man das eh irgendwann außerhalb der Betriebszeiten in einem angekündigten Wartungsfenster. Denn dann wäre ja nicht nur die Firewall down, sondern auch alle anderen VMs. Arbeiten wäre also sowieso nicht möglich.
I.d.R werden dann die VMs automatisiert angehalten, der Host macht seinen Restart und die VMs starten danach wieder automatisch.
Ziemlich unaufregend. Klar, schief gehen kann immer was.Hat man mehrere Hosts hat man entweder HA VMs oder man verschiebt seine VMs einfach manuell und hat sowieso keine Probleme mit einem Reboot 8)
-
Wie oft rebootet man schon seine VM Hosts - selten (außer vielleicht bei Windows ;D)
Ich rede da nicht von der VM sondern vom Hypervisor. Auch der braucht seine Updates und je nachdem was man nutzt (XEN, KVM, etc.) sollte der sinnvollerweise auch rebootet werden. Gerade erst vorgestern getan für einen XEN HV wegen der LibC Geschichte. Bei Sachen wie Security geht man da auf Nummer Sicher. Aber auch andere HVs brauchen mal ihre Updates und es wäre nicht das erste Mal dass da was schief geht.
Hat man tatsächlich nur 1 Host macht man das eh irgendwann außerhalb der Betriebszeiten in einem angekündigten Wartungsfenster. Denn dann wäre ja nicht nur die Firewall down, sondern auch alle anderen VMs. Arbeiten wäre also sowieso nicht möglich.
Das interessiert im Fehlerfall aber weniger als der Punkt, dass du im Down-Fall dann kein Internet hast um dir ggf. eben einen Patch oder ähnliches zu besorgen. Deshalb: doof.
I.d.R werden dann die VMs automatisiert angehalten, der Host macht seinen Restart und die VMs starten danach wieder automatisch.
Ziemlich unaufregend. Klar, schief gehen kann immer was.In der Regel passieren auch keine Fehler - sagt der Hersteller ;) :D
Hat man mehrere Hosts hat man entweder HA VMs oder man verschiebt seine VMs einfach manuell und hat sowieso keine Probleme mit einem Reboot
Richtig, deshalb sage ich ja auch, dass das eine Einzelfall Entscheidung ist. Dazu kommt für mich aber auch, dass das ganze ja ein Home-Setup ist (klingt zumindest so). Und da bin ICH (subjektiv) ganz froh, wenn ich bspw. auch den ganzen Kram mal abschalten kann um einfach Strom zu sparen. Wenn man den nicht selbst zahlt ist das alles ganz lustig ;) Auch ein Homeserver und Virtualisierung etc. Aber warum soll ich durchgehend xx Watt Strom löhnen, wenn ich die VMs eben nur on demand brauche. Dann kann ich die Kiste auch rauf und runterfahren wie ichs brauche (oder eben auch mal über Nacht ausmachen). Und dann ist mir ne Firewall als externe Box wesentlich lieber :)
Ich argumentiere nicht gegen Virtualisierung. Ganz im Gegenteil. Ich arbeite ja täglich damit. Nur gelten ggf. zu Hause andere Schwerpunkte und die Problemchen oder sonstigen Dinge, die man alle schon gesehen hat, werf ich eben mal ein, damit die nicht untergehen. An manche denkt man nämlich nicht, bis man tatsächlich mal drüber stolpert ;)
-
Ich rede auch vom Hypervisor. Meine ESX Hosts laufen meist einige Monate ohne Reboot.
Im Fehlerfall hast du auch keine zweite dedizierte Hardware für deine pfsense. Dann kannst auch auch keine Updates runterladen ::)
Ich traue ehrlich gesagt einem Enterprise DELL oder HP Server eher als ner kleinen FW Box ;)
Und privat läuft die pfsense bei mir auf Hyper-V. Das heisst 1x im Monat patchen und reboot. Werfe ich halt mal vorm schlafen gehen an. Irgendwie nicht so schlimm.
Und Strom.. meine Güte, wer zahlt den nicht selbst? Soll ich jetzt wirklich rechnen was mein 25W Homeserver der 24/7 läuft gegen deine APU mit 7W + bei Bedarf xW Homeserver kostet?
Aber gut, das führt zu nichts. Wegen mir soll doch auch jeder machen was er will :-*
-
In der Regel kann man pfSense in einer VM laufen lassen, allerdings sollte das auf einer dezidierten Hardware
stattfinden, also einer Hardware auf der nur pfSense läuft, eventuell noch im HA Betrieb, also als Cluster, aber
eben sonst nichts anderes oder andere VMs. Das kann Sinn machen wenn man auf ein schnell wachsendes und
personell stark fluktuierendes Unternehmen eingehen muss und sich die Anforderungen oftmals in kürzester Zeit
stark ändern.Ansonsten sollte wohl eher das Prinzip "Safty first" gelten, denn jedes Unternehmen ist eben auch dazu
verpflichtet sein Netzwerk abzusichern und oftmals schreiben Versicherungen nicht nur vor mit was das
zu geschehen hat, sondern auch wie das zu geschehen hat bzw. was als Ausschlusskriterium gilt. und
wenn man eine Firma betreibt wird man sich wohl oder übel schon überlegen müssen mit welchem Ärger
und welchen Ausfallzeiten man leben kann oder eben auch nicht.Sollte das ganze privat genutzt sein kann man das auch gerne einmal vernachlässigen, denn ein NAS,
einen Server und eine Firewall gehen auch wirklich auf die Stromkosten die man dabei auch nicht völlig
außer Acht lassen sollte. Allerdings würde ich wenn schon ein APU1D Board vorhanden ist das dann auch
nutzen wollen, denn dann kann man den Server mit den VMs auch einmal abschalten und hat immer noch
eine Internetverbindung und eventuell WLAN dazu. -
Und Strom.. meine Güte, wer zahlt den nicht selbst? Soll ich jetzt wirklich rechnen was mein 25W Homeserver der 24/7 läuft gegen deine APU mit 7W + bei Bedarf xW Homeserver kostet?
Warum gleich so aufgeregt? Ich habe mehrfach gesagt, das ich meine Meinung die ich niemand aufzwinge und nur zur Diskussion bzw. Erinnerung darlege. Und meine beiden kleinen XeonE3 Mini-ITX Kisten für VM Spielchen ziehen laut meinem Messgerät mehr als 25W. Da ist mir meine Box (keine APU) mit ihren 6W im Stromverbrauch aber um einiges lieber als einen (oder beide) Kisten ständig laufen zu haben. Ist doch schön wenns bei dir anders ist. Das zeigt aber doch nur, dass man eben nicht generalisieren sollte. Und deshalb warf ich Downtime, Verfügbarkeit, Stromverbrauch und Lautstärke mit ein. Mag ja sein dass das benjsing nicht schlimm findet. Jemand anders vielleicht schon, der den Thread liest. :)
