Nätverksdesign för webbhotell?
 

Jag behöver lite råd från andra mer tekniskt kompetenta hur jag bör bygga upp ett litet webbhotell på bästa sätt i liten skala. Har ett antal kunder jag byggt och underhåller hemsidor åt, och där fler och fler kunder av min bekvämlighet (för full kontroll) lagts över på en webbserver jag hade. Kunderna blev fler och servrarna också, det växte lite oorganiserat och oplanerat.

För att lösa detta har jag nu beställt en bredbandsuppkoppling med fiber och en tillräcklig hög fasta IP-adresser, och planerar att bygga upp ett parallellt system från grunden på bästa möjliga sätt, dit jag sedermera flyttar mina kunder till så jag kan avveckla det gamla oorganiserade systemet.

Jag har någorlunda bra koll på nätverkskonfigurering och servrar rent generellt, men är alls ingen expert på djupet.

Förutsättning:
--------------
Allt ska vara Microsoft-baserat utom möjligtvis brandväggen där jag redan kör en pfsense.

Tillgänglig hårdvara:
-------------------
2 st fysiska servrar (en lite enklare och en lite vassare)
1 st fysisk server med befintlig pfsense firewall i
1 st 24-portars 100Mbit switch
1 st Netgear FVS318G brandvägg/router med DMZ möjlighet på port #8

Min tanke är att ha båda fysiska servrar som Hyper-V värdar och alltså köra alla nödvändiga servrar som virtuella sådana. Inledningsvis körs de lösa med de virtuella servrarna körandes på respektive servers egna hårddiskar - men längre fram kommer ett SAN installeras som båda värdar arbetar mot.

Tillgänglig mjukvara:
-------------------
2 st Win 2008 R2 DataCenter Edition
1 st Win 2008 R2 Enterprise Edition
6 st Win 2008 R2 Standard Edition
2 st SQL 2008 R2 Standard Edition
1 st SmarterTools SmarterMail licens

Önskade virtuella servrar:
------------------------
DNS: ns1 + ns2
DC: dc1
WEB: w1 + w2
MAIL: m1 + m2
SQL: db1

(mailserver m2 tänkte jag ha som mxbackup och där använda en gratisversion av SmarterMail för ändamålet, vilket man kan och får)

Framtida utveckling:
-------------------
Befintligt gammalt system består av 3 fysiska servrar varav en riktig värsting som ev. blir en framtida fysisk "db2" när alla kunder är överflyttade, och en ganska bra som kan bli en framtida server för övervakning (typ System Center, i någon lämplig edition).

Givetvis kan jag köpa in t.ex. mer minne eller hårddisk - eller licenser för den delen, om det behövs.

Har skissat på detta massvis av gånger själv och gått genom det fram och tillbaka, man kan ju lägga upp det på rätt många olika sätt. Har också försökt läsa mig till vilket som är bäst för hosting verksamhet men inte hittat några riktigt bra förslag.

Tacksam för förslag; grovskissade eller detaljerade sådana. Behövs någon ytterligare info är det bara att fråga så ska jag svara efter bästa förmåga :)

Jag är inte riktigt med på din fråga, tror jag. Du har en brandvägg/router, bakom den har du en switch med servrarna. Med totalt tre burkar finns det inte så många alternativ; eller missar jag något?

Internet <- pfsense för brandvägg och routing <- switch, är det en layer-3 skulle jag rekommendera dig att separera miljöerna med vlan, annars får du nöja dig med ett switchat nät. <- Slutligen kopplar du servrarna till switchen.

Dun? Jag hänger inte med på riktigt vad "problemet" är heller.

Vill du ha redundans så sätter du upp en till pfSense burk som failover och en till switch på det, så har du två separata internetförbinelser ifall den ena går ner.

Flytta ut ena DNS:en! Du gör en dundertabbe om du lägger båda internt på samma uppkoppling. Även MX-backupen behöver flyttas ut. Annars är de inga backuper.

Du kör inte detta på en privatlina hoppas jag. :)

Jag missade att du tänkt köra ns1/2 på samma nät med.

Precis som KristianE sa, dom ligga på helt separat fysisk plats, annan ISP och route jämtemot dig/dina kunder också. Utomlands skadar egentligen inte det heller, blir det inbördeskrig i Sverige (yeah right) är det endå ingen risk för dina saker.

Instämmer med KristianE, du ska inte ha backup-dns och backup-mx på samma lina. Köp backup-dns (finns väldigt bra leverantörer från 250:- / år) och hyr en vps som backup-mx (c:a 250 - 300 / månad).

Jag ser ett mycket större problem, du tänker köra active directory med en singel dc och med två dns:er. Det är ingen bra idé alls. För det första bör dc:s vara dns:er för enkelhetens skull och för det andra så ska du absolut ha två dc:s. Det går dock alldeles utmärkt att ha en sekundär dns hos en DNS-leverantör.

KristianE/Jine/Westman: Vad jag glömde nämna är att ns1/ns2 är för intern redundans ifall jag behöver starta om en av dom eller om en klabbar. Samma med MXBackupen, att "spoola" mailen temporärt bara. Längre fram är avsikten att ha åtminstone ns3 och en extra mxbackup som #3 i prioritetsordningen, externt lokaliserade på en hyrd server någonstans :)

KristianE: Nej det är faktiskt en företagslina köpt för ändamålet! :)

Westman: Har du något konkrekt förslag på backupdns-leverantör? Angående mer än en DC är jag iaf medveten om det, men tänkte mig även den som en _framtida_ förstärkning precis som ns3 och extra mxbackup. Jag kanske ska överväga att lägga in dc2 direkt från början istället ändå... Men visst har jag förstått det rätt att ns1+ns2 INTE bör vara DC samtidigt, av säkerhetsskäl - eller?

Alla: För att vidareutveckla mina tankar lite och kanske förklara mina tankar ytterligare (delvis med er input hittills som jag tackar för):

1. Grundkoppling: Internet -> pfsense -> switch

2. I switchen kopplar jag in de två fysiska servrarna (HyperV-värdarna)

3. På båda HyperV värdar figgar jag det fysiska NIC#1 till virtuellt nätverkskort för publika adresser, och det andra fysiska NIC#2 till virtuellt nätverkskort för privata adresser.

4. Jag vlan:ar switchen i en publik och en privat del och kopplar in respektive HyperV-värds NIC#1 till den publika delen och NIC#2 till den privata delen.

5. Sedan tilldelar jag respektive virtuell server vilket virtuellt nätverkskort som passar bäst för respektive "maskin" och dess ändamål. T.ex. ns1+ns2+m1 får publika adresser, övriga privata.

Här uppstår då frågan om HyperV-värdarna själva ser till att de virtuella servrarna med privata ip-adresser får tillgång till Internet via pfsense, så att man i pfsense t.ex. kan styra port 80 till w1 o w2 (vilken av dom trafiken ska gå till exakt styrs ju via dns:en)? Eller hur gör jag för att åstadkomma det?

Frågan är också om det räcker att dns:erna (och ev. mailservern) sitter "i switchen" (publika delen) enligt punkt 1 ovan, eller om de bör finnas mellan Internet och pfsense? Är som sagt ingen expert så jag vet inte om jag kan ha både privata och publika ip-adresser på insidan av pfsense om den nu NAT:ar?

Det är möjligt att jag låter helt dum här som inte tycker allt är uppenbart, men bär i minnet att jag inte är någon expert och har inte full kunskap om t.ex. routing och dns:er :)

Om du ska exponera ns1 och ns2 utåt så är dc-rollen kanske ett säkerhetsproblem. Jag hade i så fall valt att de ns som exponeras _inte_ är ad-dns:er alls och kört ad-dns:en på dc;arna.

Förslag på dns-backup: DNS Made Easy

Var kommer "1 st Netgear FVS318G brandvägg/router med DMZ möjlighet på port #8" in i allt?

Antar att du slänger den på tippen eftersom du ska köra pfSense?

KristianE: Well, det är bara att den FINNS bland mina grejor som jag har. Tog mest upp den ifall någon här tyckte man skulle ha något i stil med t.ex Internet -> Pfsense -> Switch (med ett antal servrar med publika ip-adresser) -> FVS318G -> ett antal servrar med privata ip-adresser. Dvs för att skydda privata delen från den publika även om den också är skyddad för sig själv. Och möjligtvis även för att VPN:a in till för att därifrån arbeta med fjärrskrivbord för administration av servrarna.

Det är såklart aldrig fel att fysiskt separera publika (DMZ) och privata (LAN) nät. Även om man kan få samma funktion med VLAN så är det såklart väldigt enkelt att dra igång en extra brandvägg.

Har du redan den på hyllan och du vet att den funkar bra - varför inte. Den kostar inte många tior i ström.

Ska du inte fixa en backup och UPS till servrarna?

Man slipper många problem där när olyckan är framme..

Jo en UPS finns redan också, och backuplösning med för den delen :) Jag såg dock det som lite irrelevant i sammanhanget och därför nämnde jag inget om det - jag var mest nyfiken på hur folk här hade byggt o figgat ett system med de grejor jag tog upp som var själva grunden.

Kan dock nämna att jag till slut valde att köra DC på namnservrarna, efter massor av läsning på nätet kom jag fram till att det faktiskt ska vara säkrare än att köra rena DNS:er eftersom AD:t handskakar alla zonöverföringar med domänanslutna maskiner och att överföringarna sker krypterat. Säkrar man bara upp så domänanslutningar bara kan ske innanför huvudbrandväggen ska det vara lugnt. Och då kör jag ns2 som RODC (Read-Only; AD:ts version av sekundär zon).

Utöver det har jag kommit fram till att HyperV-värdarna får ha två virtuella nätverk figgade; ett på vardera NIC (ett för publika IP-adresser och ett för privata). Då kan jag ha t.ex. (virtuella) sql-servrar på privata IP och (virtuella) servrar som behöver åtkomst till dessa, t.ex. web-server, får två virtuella nätverkskort där det privata dock inte har någon gateway figgad, men genom att då vara på samma subnet kan accessa sql-server via privata adresser (som då går genom fvs318g routern där jag säkrar upp trafiken ytterligare).

Någon som har några kommentarer på det, vad nackdelar och risker kan vara med detta i förhållande till andra möjliga lösningar?

Ska du köra hyper-v som kluster eller var för sig? Annars så är det bra att ha interna "nätet" på egna kort och helst i en egen switch. Kanske lite overkill i en relativt liten miljö men det kan vara värt det.

Du har inte funderat på att göra webbservrarna redundanta med hjälp av Microsofts ARR?

EDIT: Såg att du ska köra RODC på ns2, kommer den att vara den du exponerar mot internet (dns) och att ns1 endast är åtkomlig internt?

Låter vettigt att ha två separata nät ett publikt och helt lokalt utan routing .
Då måste du ha intern smtp,NTP och och patchserver alternativt kanske möjlighet att aktivera gateway(internet) vid behov.
Glöm inte att windows 2008 kommer snacka en hel del lokalt ipv6 mellan sig. Vill du skulle du kanske klara dig på ipv6 på det lokala nätet.

Inledningsvis var för sig då det inte finns något SAN ännu att ha VHD-filerna på centralt för båda att komma åt och ha failover ens med varandra (helst skulle det väl behövas ytterligare åtminstone en fysisk burk ytterligare för ett kluster också) så VHD-filerna ligger "lokalt" på speglade diskar på varje hyper-v värd.

Det är faktiskt en punkt jag ännu inte löst eller rättare sagt ägnat tid åt att lösa, men tankarna har funnits där. Måste dock erkänna att jag inte hört talas om ARR så det får jag tacka för tipset om och kolla upp lite närmare :)

Det var ju smart tänkt och vore naturligtvis optimalt, men inledningsvis blir båda exponerade mot Internet där ns2 mest är en första backup som kan svara om ns1 går ner tillfälligt. Men jag tänkte så småningom ha en virtuell server (privat adress) för övervakningsmjukvara och liknande interna funktioner på. Den kan jag ju då även installera DC och DNS på och ha som enda redigerbara så kan både ns1 och ns2 bli RODC som exponerade publikt så säkrar man upp det ytterligare lite :)

Japp, det är det jag tänkt ha den extra icke tidigare nämnda interna servern till, som jag skrev om i föregående inlägg som kan bli den redigerbara DNS/DC:n. Och precis som du nämner så är det redan genomfört att lätt kunna aktivera gateway vid behov genom att bara ange den (!)

Ahhh... DET var ju något riktigt smart som jag absolut inte ens har tänkt på ö.h.t.! Det får jag nog fundera lite på och köra tester med! :-)

Men asså. Ska du fortfarande köra båda DNS:erna på samma ställe? Eller missade jag nåt?

KristianE: Jo båda i samma fysiska rack men dock på vars en fysisk hyperv-värd och dessutom på vars en lina från olika leverantörer, vilket jag förvisso inte nämnt tidigare. Huvudsyftet är främst en lokal redundans ifall en av dom går ner, så inte alla sajter då blir otillgängliga också. Men på så vis kan en hel fysisk burk oxo gå ner med viss bibehållen funktion för åtminstone hälften av kunderna - och en lina kan oxo grävas av någonstans utan att ALLT ligger nere då. Har dock inte funderat så mycket ännu på hur jag kan få någon form av redundans med två WAN, hur jag ska lösa det i praktiken. För jag har möjlighet till det då jag har en gammal lina oxo men med inte så många IP-adresser till. Tanken är iaf att åtminstone kunna få ut information om driftsstörningar, om inget annat.

Har du kollat så dina anslutningar inte delar kanalisation och telestationer?..

Om du bara har två dc:s varav den ena är rodc så får du problem om den vanliga dc:n går ned. Bara så att du är medveten om vilka krav det här ställer på dina kunskaper om ad-restore och hantering av fsmo-roller.

KristianE: Nej. Men det är som sagt sekundärt i nuläget, bara en förhoppning om ren bonus enligt principen "kan inte skada att sätta den på en annan lina när jag ändå har den".

Westman: Där lägger jag mig platt för så djupa är inte mina kunskaper. Menar du att ns2 (rodc) inte funkar alls om ns1 går ner, ens temporärt en stund eller någon timme? Den har iaf funkat de stunder jag testat hittills. Min tanke var oxo att om ns1 går ner mer "permanent" skulle det bara vara att köra guiden "Konfigurera DNS-server" på ns2 och ta bort krysset vid RODC igen, så borde den kunna bli skrivbar och ta över auktoriteten för domänen (men det har jag dock inte testat att labba med).

Jodå den fungerar men i och med att den är rodc så kan inte lösenord på t.ex. datorkonton bytas (vet inte hur länge den cachar infon) och du kan inte heller skapa nya konton. Det är som sagt inga problem om du vet hur du gör om den till en "vanlig" eller får upp den andra relativt snabbt. Jag vet inte riktigt hur det blir om ns1 blir skrot och du måste installera om den. Teoretiskt så måste nog ns2 först bli en vanlig dc och sen måste du tvinga över fsmorollerna osv. till ns2 innan du kan sätta upp en ny ns1. Det är det jag menar med att du måste ha bra koll på ad-restore.

Inte kopplat till nätverket, men ändå värt att påpeka.
Licensmässigt får du inte använda Windows server till andra än dig själv, även om du köper fulla licenser. Utgår från att du med seriös näringsverksamhet inte sysslar med piratkopierade programvaror.

För att få ha andra kunder på dina windowsservrar måste du ha ett "SPLA" avtal med Microsoft. Kontakta exempelvis crayon för detta ändamål. Du betalar då exempelvis enbart 70-80 kr per månad och windowsserver.

Skall du köra hela stora System Center Sviten kostar den 750 per fysisk processor. Då får du kontrollpanelen för ditt system och automation och övervakning i priset, väl att rekommendera...

Misstänker att din lite vassare server har dubbla proppar, då blir det totalt tre fysiska (2300 per månad) och du får då köra så måna virtuella du önskar.
Dock krävs det extra licens för SQLserver då det enbart är själva Windows som omfattas clientmässigt av sviten.

Mvh Pelle

Yes, det är SPLA som kommer att gälla när det går i produktion, just nu körs det på våra Technet-licenser under labb- och uppbyggnadsfasen :)