Linux Server mit VM

[Metal_Warrior]

@virtus: Reicht dir nicht, dass drfuture und ich was gesagt haben? Wir beide arbeiten beruflich damit, beide in ziemlich großen IT-Infrastrukturen. Wie viele Leute müssen dir das jetzt noch sagen?

Nochmal ganz langsam: VM ist in diesem Falle nicht sinnvoll.

1. Zu hoher Konfigurationsaufwand
2. Zu hoher Wartungs-Aufwand
3. Keine Dienste mit erwartbaren Schwachstellen im externen Netz erreichbar
4. Debian nutzt exzessive Rechtetrennung - jeder Dienst hat einen User. Wird einer kompromittiert, MUSS eine zweite Schwachstelle Privilege Escalation nach Root zulassen, um den Server zu kompromittieren. War bislang in den Stable-Versionen glaub nicht einmal der Fall.
5. Server implementiert eine redundante (nicht identische) Firewall im Netz und trennt nochmal DMZ von intern. Doppel-Hopping ins tatsächlich interne Netz ist äußerst unwahrscheinlich.

Deine Grundsatzdiskussion kannst du dir sparen, wir haben hier im Haus wahrscheinlich eine bis drei Größenordnungen mehr VMs laufen als du.
Betrachte das als moderative Ansage.

P.S.: Es war kein expliziter Wunsch vom TS, sondern eine Überlegung zur Umsetzung, die schnell verworfen wurde. Tote Pferde reitet man sehr schlecht.

 

[virtus]

Betrachte das als moderative Ansage.

Bester Diskussionstil!

Du hast Recht und bist mindestens der intelligenteste Mensch auf Erden und sowieso, eigentlich sollte dich jeder anbeten.
Weil du bist die Weisheit in Person.

 

[drfuture]

Es hat ja keiner gesagt das die Lösung falsch ist - du hast es ja nochmal wiederholt das es eine "Möglichkeit" ist.
Nur gerade meiner Meinung nach - und scheinbar auch der Meinung nach anderer am Thema vorbei.
Virtualisierung ist ein Weg den man gehen kann - nur eben eher nicht für Honey in diesem Fall - ist doch erst mal schön wenn er sei Setup irgendwann fertig hat und *versteht* und nicht nur 1:1 nach Tutorial gebaut hat.

Dann bringt es nur schlicht nichts immer wieder zu sagen das Virtualisierung aber eben doch toll ist.

 

[Metal_Warrior]

@virtus: Das hat nichts mit Diskussionsstil zu tun, sondern mit Zielsetzung.
1. Der TS fragt, wie er seinen Server aufbauen soll, kennt sich offenkundig wenig bis gar nicht in der Materie aus (Hardware, OS, Clientsoftware, Serverdienste, Security...), macht aber - als interessierter Nutzer, der wirklich Hilfe möchte und nicht zu faul ist - Vorschläge, wie er sich das Setup vorstellen könnte.
2. Wir, als Profis oder zumindest Fortgeschrittene in einem oder mehreren Teilgebieten, die betroffen sind, geben unsere Einschätzung ab und eine Richtung vor.
3. Der TS verwirft seine anfänglichen Vorschläge und versucht, eine möglichst klare Vorgehensweise zu erhalten, fragt immer wieder Kleinigkeiten nach und googled selbst diverse andere Dinge, arbeitet also mit.
4. Du reitest seitenlang auf dem ersten Vorschlag rum, der in Unkenntnis einer sinnvollen Gesamteinschätzung gemacht und schnell verworfen wurde. Das trotz mehrfachem Widerspruchs. Es stört den Ablauf.

Was zum Teufel erwartest du eigentlich von mir?
Wenn du über Sinn und Unsinn von VMs diskutieren willst, mach nen eigenen Thread auf oder frag höflich nach, ob man Beiträge x, y und z in einen eigenen VM-Thread auslagern kann. Das mach ich dir gern. Geh mir und anderen nur in diesem Thread nicht weiter auf den Sack bzw. finde dich damit ab, dass eine VM HIER nicht sinnvoll ist.

 

[virtus]

Deine "moderative Ansage" du hast Recht. Dann muss das wohl so sein.
Und wenn du sagst, die Erde sei eine Scheibe, dann muss das wohl auch so sein.

@TS: Mach bitte das, was Metal_Warrior sagt. Er ist Moderator und deshalb hat er nämlich Recht, IMMER.

 

[LadyRavenous]

@virtus: Falls du noch eine dritte Meinung haben willst von jemanden, der in dem Bereich arbeitet: für diesen Anwendungsfall ist es Overkill.
VMs haben ihre Berechtigung, u.a. wenn man mehrere Kunden voneinander trennen will, aber das wurde ja auch schon mal erklärt...

 

[Metal_Warrior]

@virtus:
Meine Meinung
drfutures Meinung
BurnerRs Meinung
niks Meinung
Edit: LadyRavenous Meinung

Du stehst allein. Seit 4 Seiten.

Und was dein Nachgemaule angeht - ich hab grad mal deine Benutzernotizen gelesen, das häuft sich wohl gern mal. Letzte Warnung, danach gibts 2 Wochen Pause.

 

[HoneyBadger]

Habe Bestätigung erhalten, dass das Netzteil in meiner Bestellung nach Wunsch geändert wurde. Habe nun also ein 350 Watt Gold zertifiziertes Netzteil. Soll morgen alles versendet werden. War noch nicht auf Lager. Denke Donnerstag geht es dann an den Zusammenbau. Richtet euch also schon einmal darauf ein, dass ich euch im live Chat brauche. Und sagt vorsichtshalber der Feuerwehr bescheid.

Spaß bei Seite.
Ich habe bei irgendeinem der Linux Reviews, die ich mir die letzten Tage so durchgelesen habe, gelesen dass ich mir vorher überlegen sollte, wie groß die Linux Partition sein soll, weil man nirgendwo anderes hinein installieren könnte. Ist das so? Wenn ich euch richtig verstanden habe, sollten 32 GB mehr als großzügig dimensioniert sein. Korrekt? Den Rest der M.2 SSD will ich primär als Landing Zone nutzen. Den größten Vorteil erhoffe ich mir hier beim Entpacken von großen Archiven.

Wenn ich mit Linux erst einmal klar komme, würde ich mir da auch sicher mal testweise andere Distributionen ausprobieren. Da könnte das VM Thema noch einmal interessant werden. Aber erst einmal einen Schritt nach dem anderen.

 

[nik]

Was meinst du mit hinein installieren?

 

[drfuture]

Ich vermute er meint das man bei z.B. apt-get install plex keinen Zielpfad angibt und man sich seine Platte organsiert wie man es evtl. unter Windows macht sondern in die bekannte / distributionsabhängige Linux-Struktur installiert wird.
Dafür muss unter /usr/bin oder /ur/local/bin usw. genug Platz vorgesehen sein.

Was natürlich im Prinzip kein Problem ist da man an jeden Punkt ein neues / anderes Volume einhängen könnte.

 

[Metal_Warrior]

@HoneyBadger: Naja, Linux hat ein recht rigides System, seine Dateien abzulegen. Das ist auch einer der Gründe, warum es so klein ist: Programme bringen nicht jeweils die eigenen Bibliotheken mit, sondern nutzen die zentral auf dem System installierten und stellen auch die eigenen jeweils anderen Programmen zur Verfügung, indem sie sich ebenfalls an diese Struktur halten. Das Ganze nennt sich Filesystem Hierarchy Standard (FHS)

Wie gesagt, mit 10 GB für / solltest du locker auskommen. Die Datenfestplatten (als RAID) würde ich nach /srv einhängen, das bleibt bei Debian üblicherweise (wie auch /opt) sonst leer. Klassischerweise lässt man /home auch auf einer eigenen Partition liegen, aber das ist in deinem Setup nicht zwingend. Ich schlag dir mal folgendes Setup vor:

sda (deine M2-SSD):
sda1 (1. Partition): /boot/efi - EFI-Systempartition - 100 MB
sda2 (2. Partition, Boot-Flag): / - Root-Dateisystem - 20 GB (das reicht auch für Cache-Daten etc.)
sda3 (... jetzt hast dus glaub kapiert...): /home - verfügbarer Rest, kannst dann selber ausrechnen
sda4: Partition für dmcrypt (Random Key) -> SWAP - ca. 4-8 GB (wird wahrscheinlich eh nur mit 10 MB belegt).

Verschlüssel da nur sda4, und zwar mit Random-Key. Die Daten sollen den Neustart ja nicht überleben. Auf /home keine kritischen Daten ablegen, denn das sollte nicht verschlüsselt werden. Sonst ist der Login über SSH mit Keys nicht möglich, und den willst du definitiv haben.

Das mit mdadm und dmcrypt/cryptsetup sag ich dir dann, wenn du das Setup startest. Ach, und Do bin ich wahrscheinlich eh in der Feuerwehr - denn da könnten die ersten Teile meiner Bestellung ankommen

Edit: Wenn du ne verschlüsselte Landingzone auf der SSD haben willst, ändert sich das obige Setup etwas:

Spoiler

sda1 (Primärpartition): /boot/efi - EFI-Systempartition - 100 MB
sda2 (Primärpartition, Boot-Flag): / - Root-Dateisystem - 20 GB (das reicht auch für Cache-Daten etc.)
sda3 (Erweiterte Partition): (ist nur fürs Partitionierungsprogramm interessant)
sda4: Gibts nicht, weil Logische Laufwerke erst ab 5 beginnen
sda5 (Logisches Laufwerk): /home - 5 GB
sda6 (Logisches Laufwerk): Partition für dmcrypt (Passwort) -> /home/$USER/landingzone - verfügbarer Rest, kannst dann selber ausrechnen
sda7 (Logisches Laufwerk): Partition für dmcrypt (Random Key) -> SWAP - ca. 4-8 GB (wird wahrscheinlich eh nur mit 10 MB belegt).

Wenn du die Partitiontable natürlich mit GPT formatierst (was EFI booten können sollte), brauchst du den Mist mit Erweiterter Partition nicht - da gibts genug Platz, um alle Partitionen primär zu machen.

 

[HoneyBadger]

@HoneyBadger:
sda (deine M2-SSD):
sda1 (1. Partition): /boot/efi - EFI-Systempartition - 100 MB
sda2 (2. Partition, Boot-Flag): / - Root-Dateisystem - 20 GB (das reicht auch für Cache-Daten etc.)
sda3 (... jetzt hast dus glaub kapiert...): /home - verfügbarer Rest, kannst dann selber ausrechnen

Bis hier habe ich es soweit verstanden.
sdb1 wird dann mein RAID Verbund heißen. Korrekt? Ich schwanke zur Zeit noch ziemlich stark zwischen 5 und 6. Habe in einem Artikel gelesen, dass dass ab 1 tb sinnvoll ist. Nur muss ich dann noch einmal gut 200 € mehr investieren und es würde noch einmal etwas länger dauern, bis der Verbund wirklich in Takt ist.

sda4: Partition für dmcrypt (Random Key) -> SWAP - ca. 4-8 GB (wird wahrscheinlich eh nur mit 10 MB belegt).

Wofür ist das?

Verschlüssel da nur sda4, und zwar mit Random-Key. Die Daten sollen den Neustart ja nicht überleben.

Wird das eine Art Kill Switch?

Auf /home keine kritischen Daten ablegen, denn das sollte nicht verschlüsselt werden. Sonst ist der Login über SSH mit Keys nicht möglich, und den willst du definitiv haben.

Wo werden die Dienste wie Plex liegen? Das darf gerne mit verschlüsselt sein.

Das mit mdadm und dmcrypt/cryptsetup sag ich dir dann, wenn du das Setup startest. Ach, und Do bin ich wahrscheinlich eh in der Feuerwehr - denn da könnten die ersten Teile meiner Bestellung ankommen

Alles klar! Also doch ein live chat. :P

Edit: Wenn du ne verschlüsselte Landingzone auf der SSD haben willst, ändert sich das obige Setup etwas:

Spoiler

sda1 (Primärpartition): /boot/efi - EFI-Systempartition - 100 MB
sda2 (Primärpartition, Boot-Flag): / - Root-Dateisystem - 20 GB (das reicht auch für Cache-Daten etc.)
sda3 (Erweiterte Partition): (ist nur fürs Partitionierungsprogramm interessant)
sda4: Gibts nicht, weil Logische Laufwerke erst ab 5 beginnen
sda5 (Logisches Laufwerk): /home - 5 GB
sda6 (Logisches Laufwerk): Partition für dmcrypt (Passwort) -> /home/$USER/landingzone - verfügbarer Rest, kannst dann selber ausrechnen
sda7 (Logisches Laufwerk): Partition für dmcrypt (Random Key) -> SWAP - ca. 4-8 GB (wird wahrscheinlich eh nur mit 10 MB belegt).

Wenn du die Partitiontable natürlich mit GPT formatierst (was EFI booten können sollte), brauchst du den Mist mit Erweiterter Partition nicht - da gibts genug Platz, um alle Partitionen primär zu machen.

Genau da soll die Reise hingehen.

 

[nik]

@HoneyBadger: Kannst das dazu in ein LVM packen, da hast du dann die Möglichkeit, die Größen der Partitionen ggf. anzupassen und Snapshots zu machen, mittels LUKS dann verschlüsseln. Snapshots dürften für deine ersten Gehversuche auch noch ganz interessant sein.

Die Swap-Partition ist das Linux-Pendant zur Auslagerungsdatei. Nach nem Neustart sollte man auf die keinen Zugriff mehr haben, deswegen der Randomkey.

 

[HoneyBadger]

@nik: LVM und Snapshots klingen super. Weiß nur noch nicht, wo ich das vom Speicher sinnvoll unterbringen könnte. Oder meinst Du davon nur Snapshots aus der eigentlichen Distribution und deren Diensten? Das würde sich ja in Grenzen halten. Habe gerade gelesen, dass man LVM2 bei Ubuntu bräuchte. Ich werde ja Stretch nutzen. Ist das da schon dabei oder muss ich mir das auch irgendwo besorgen? Das wäre ja quasi einer der ersten Schritte in der Einrichtung des Systems.

Swap ist also einfach ein großer Cache, richtig?

 

[musv]

Swap ist also einfach ein großer Cache, richtig?

https://de.wikipedia.org/wiki/Auslagerungsdatei

 

[nik]

Nicht so wirklich. Swappartition ist die Erweiterung deines Arbeitsspeichers auf die Festplatte. Wenn der Arbeitsspeicher mal nicht ausreichen sollte, wird der zusätzliche Speicher auf der Festplatte zum Auslagern genutzt. Deswegen meinte Metal_Warrior, dass die Partition eigentlich immer leer sein wird.

LVM2 ist auch bei der Netinstall von Debian mit dabei. Vorgehensweise ist wie bei Ubuntu identisch.
Und da die SSD eh größer als der benötigte Platz ist, kannst du Snapshots vom Basissystem machen (Also der Linux-Installation ohne RAID).

 

[Metal_Warrior]

sdb1 wird dann mein RAID Verbund heißen. Korrekt?

Nein. mdadm erstellt das RAID als eigenes Blockdevice, das mit md beginnt. Dein erstes RAID ist damit md0. Da du das aber noch verschlüsseln möchtest, wendest du dmcrypt auf md0 an, was dir ein weiteres Blockdevice einbringt, das du dann beim Entschlüsseln benennen kannst (Standard ist $BLOCKDEVICENAME_crypt, also md0_crypt).
RAIDs werden normal in /dev als mdX bereitgestellt, alternativ in /dev/md als X.
Crypto-Devices werden in /dev/mapper bereitgestellt, sobald sie entschlüsselt sind.

Ich schwanke zur Zeit noch ziemlich stark zwischen 5 und 6.

RAID-Level? Ich hab mit RAID5 gute Erfahrungen gemacht, mit RAID6 verlierst du halt noch eine Festplatte (vom Speicherplatz her), bekommst dafür aber eine zusätzliche Sicherheit. Würde ich erst einsetzen, wenns in Richtung 5+ Platten geht. RAID5 ist mit 5 Platten noch ausreichend sicher, zumindest hatte ich noch nie einen Ausfall von zwei Platten gleichzeitig, und mdadm schickt dir sofort ne Mail, sobald ein Device auch nur leicht zuckt.

Wofür ist das? Wird das eine Art Kill Switch?

Siehe nik - ist die Auslagerungspartition, also der erweiterte RAM. Nein, das ist kein Kill-Switch, es stellt nur sicher, dass die SSD, die ja im Gegensatz zum RAM ein Permanentspeichermedium ist, die Daten beim Shutdown genauso "vergisst" wie der RAM. Wenn der Schlüssel weg ist (weil im RAM), dann sind auch die Daten auf dem "erweiterten RAM" nicht mehr lesbar.

Wo werden die Dienste wie Plex liegen? Das darf gerne mit verschlüsselt sein.

Plex liegt, wie alle anderen Dienste auch, unverschlüsselt auf dem root-Laufwerk in verschiedenen Verzeichnissen. In /usr/bin die Binärdateien, in /usr/lib, /usr/lib32 und /usr/lib64 die Bibliotheken, weitere Dateien in /usr/shared, Webdateien wahrscheinlich in /var/cache/plex und so weiter. Ist auch nicht wichtig, weil die Dateidaten, die Plex verarbeitet, liegen auf den verschlüsselten Laufwerken - ohne die ist Plex nur ein Programm, wie man es sich standardmäßig vom Repo-Server ziehen kann. Da ist nix illegal oder verwerflich dran.

Bzgl. Snapshotting: Ich glaube kaum, dass das nötig ist. Ich nutze das gar nicht bzw. nur auf einem meiner Backup-Laufwerke, weil ich dort Differenzialbackups mache, die mit Snapshots unendlich viel weniger Speicherplatz benötigen.
Die Frage, die du dir stellen solltest, ist: Wozu? Hast du nen Dienst verkonfiguriert, reicht ein sudo dpkg --reconfigure $DIENST, und das Ding ist wieder im Auslieferungszustand. Hast du von einem Dienst versehentlich Dateien gelöscht, ein sudo apt-get remove $DIENST && sudo apt-get install $DIENST, und du hast sie wieder - die Konfig bleibt davon sogar unberührt. Abgesehen davon, dass du zu Beginn eigentlich immer ne Kopie der Ursprungskonfig anlegst (als .orig zum Beispiel) und dann anfängst, in der Konfig rumzuschreiben. Hast du was verkackt, kannst du in der .orig-Datei nachsehen, was da vorher drin stand. Fazit: Man braucht keine Snapshots, nicht wirklich. Sachen in Linux reparieren ist üblicherweise sehr einfach.

 

[HoneyBadger]

Ok. Allmählich wird für mich ein gutes Gesamtbild daraus. An die ganzen Konsolenbefehle werde ich mich noch gewöhnen müssen. Denke aber, das sollte flott gehen, wenn es erst einmal los geht. Auf jeden Fall möchte ich mich bei allen für den vielen Input bedanken. Auch wenn ihr euch phasenweise nicht ganz einig seid. In Summe hilft das alles doch ganz gut.

 

[musv]

Wenn der Arbeitsspeicher mal nicht ausreichen sollte, wird der zusätzliche Speicher auf der Festplatte zum Auslagern genutzt. Deswegen meinte Metal_Warrior, dass die Partition eigentlich immer leer sein wird.

Das ist so nicht korrekt. Der Swap wird nicht nur im Notfall verwendet. Vielmehr dient er auch als Cache,für lange nicht verwendete Prozesse und schafft Platz im RAM.

Man kann über den Kernelparameter Swappiness einstellen, wie aggressiv der Swap genutzt werden soll.

 

[nik]

@musv: stimmt, da du den Link schon eingefügt hattest, während ich meinen Beitrag geschrieben habe, hab ich die unvollständige Beschreibung einfach stehen lassen.
Ging mir nur darum, kurz anzureißen, dass die Swappartition eine Erweiterung des Arbeitsspeichers ist und kein Cache wie /tmp.