Att gå från webbhotell till VPS
 

Tyvär har vårt nuvarande webbhotell stora problem med att leverera den kvalté som vi behöver, därför funderar vi på att gå över till en VPS-lösning. Vore tacksam för lite info kring hur man skall tänka här eftersom detta är första gången vi arbetat med VPS. Har tidigare erfarenhet av att drifta egna servrar i colocation.

Funderar på följande upplägg:
* Epost: Google Apps for Business
* Webb: En alt två VPS-masiner
* DB + ev. memcached: Delar på en VPS-maskin

Vettigt upplägg?

Hur löser man säkerheten via t.ex. SSH - duger det med klientcertifikat?

Hur arbetar man bäst med backup?

Hur arbetar man med att hålla servrarna uppdaterade (kommer förmodligen köra Debian)?

Vilken prestanda bör man satsa på? Kommer köra PHP, NginX samt MySQL.

Hur hostar man bäst domännamnen? Kan de ligga kvar på ett vanligt webbhotell?

Tacksam för era erfarenheter :)

Till att börja med känns det som jag behöver veta vad det är som ska hostas för att ge bra och mer specifika svar.

E-posten kan du fortsätta köra genom webbhotellet även om du bara har domänkonto. E-post ingår i de allra flesta domänkonton.

Webb och DB. Det är beror mest på vad det är för prestanda som krävs. Man klarar sig oftast ganska långt med en server som kör både webbserver och databas. Steget efter det är väl oftast att separera ut databsen om man har behov av det. Därefter får man gå över till någon lastbalanserad lösning för både Webb och DB(flaskhalsen i första steget såklart).
Tänk på att skaffa ett privat VLAN för dina servrar om du ska separera ut databasen. Det kan nog de allra flesta VPS-leverenatörer lösa åt dig, de flesta i Sverige gör det gratis vad jag vet. Du vill inte att databas- och memcachedservrarna ska vara tillgängliga utifrån VLAN:et. Memcached kan du förresten splitta mellan olika maskiner i din miljö om du vill.

Beror på vad ni har för krav på säkerhet. SSH med ett bra lösenord är väl oftast tillräckligt. Annars kan man köra med SSH-nycklar(med eller utan lösenord i tillägg).

Finns en hel del olika lösningar. Vilken som är bäst beror mycket på vad ni har för krav, budget och hur mycket kontoll och arbete nu vill göra själva. En lösning är ju att sätta upp en Backup VPS med minimala systemresurser och hyfsat stor disk dit ni rsyncar era backuper.

Att gå in och köra en apt-get upgrade minst någon gång i månaden plus när man hör om något säkerhetshål som upptäckts bör vara tillräckligt för de allra flesta.

Menar du prestanda på VPS:en? Ja, då behöver vi först veta vad du ska serva och vilka prestandakrav som finns.

Det går utmärkt att ha de kvar hos webbhotellet. Antingen pekar du domänerna direkt emot servrarnas IP eller så sätter du namnservrarna till att peka på VPS-leverantörens namnservrar så att du kan sköta allt därifrån.

Om det nu bara hänger på kvalitet, varför byter ni inte bara till ett annat webbhotell som motsvarar era kvalitetsbehov? Eller är det andra krav ni har? Hur stor erfarenhet har ni av egen serverdrift?

Danielos:
Han hade erfarenhet av fysisk serverdrift tidigare som du ser i hans post.

coredev:
Precis som Itisgood.se skriver är det svårt att ge exakta rekommendationer eftersom vi inte vet vad du ska drifta för något.
Men jag ska försöka mig på lite generella svar i alla fall:

Google Apps: +1 - det finns knappt någon anledning att köra något annat idag. Man får allt man får med Hosted Exchange för en bråkdel av priset.

Säkerhet för SSH: Starkt lösenord på servern (15+ tkn, inkl specialtkn) för root-kontot är en självklarhet). Då klarar du dig utan certifikat. Statiskt utbytta SSH-nycklar ger en stor säkerhetsrisk om din privata dator inte skyddas av samma typ av lösenord + diskkryptering.

Backup: Enklast är att skaffa en backuptjänst. Leverantören kan oftast erbjuda detta. Det finns alla möjliga lösningar från fil- och databasbackuper till full VM-backup. Man vill kanske ha en kombination av båda. Har man en väldigt begränsad budget så kan scripta ihop något eget och skicka till Dropbox, Google Drive eller liknande. Man får värdera sin data, inställningsmöjligheter, kryptering, hur leverantören lagrar datat t.ex. Väljer du att drifta backuplösningen själv på en separat server måste denna självklart finnas på annan fysisk plats.

Uppdateringar: Installation av säkerhetsuppdateringar någon gång i månaden kommer man långt med. Man får också hålla koll på vad som händer inom IT-säkerhet. Är man osäker kan många VPS-leverantörer hjälpa till med management.

Prestanda kan jag tyvärr inte lämna några råd på.

Domänhanteringen sköter där det känns bäst för dig. Var noga med att leverantören har spritt ut sina DNS-servrar. De stora har gjort detta nu (efter många, många år), men det finns fortfarande många webhotell som har båda DNS-servrarna i samma hall..

Ett tips är att du kontaktar ett par leverantörer du är intresserad av för en djupare diskussion.

Självklart ska du ha ett eget privat VLAN för dina servrar.

Wow, mycket bra input! :-) Tusen tack för alla goda råd. Ös gärna på om det finns mer att säga :) Dela gärna med er av era egna "sucess stories" om ni kan & vill!

Ganska stor erfarenhet, men det gällde en helt annan storlek av sajt. Då hyrde vi ett helskåp och driftade allt ifrån backuplösning, ftp, fyra lastbalanserade webbservrar, två lastbalanserade databasmaskiner, NAS, etc själva. Säkerheten löste vi genom VPN mot ett fast IP (burkarna gick inte att logga in på utifrån) så slapp tänka så mycket på det. Jag hade även mycket mer tid att lägga på det då och en helt annan budget. Tyvärr hade vi vissa brister, t.ex. säkerhetsuppdateringar av OS:et och backuper. Så där behöver jag lära mig dagens best practise.

Har testat flera webbhotell och alla verkar ha sina brister. Inga verkar dock kunna nå upp till den hastighet och uppetider som vi kunde uppnå genom att drifta själva.

VPS har jag ingen erfarenhet av alls och behöver råd. Känns som att det är ett naturligt val för detta projekt men behöver mer kunskap. Vad kan man förvänta sig för prestanda? Blir det rappt?

Nej, det såg jag inte, jag läste mest: "eftersom detta är första gången vi arbetat med VPS"

För att få bästa prestanda bör du inte välja någon av de största (billigaste) cloud-tjänsterna. Dessa är oftast väldigt överbokade vilket brukar märkas i disk I/O.

Rent generellt (finns garanterat undantag!) tror jag du får bäst prestanda hos en mindre leverantör där du betalar mer.

Byta till ert webbhotell? Jag tackar för erbjudandet men jag tror inte det är aktuellt. Skall vi byta igen så blir det med stor sannolikhet till en egen lösning i någon form, t.ex VPS.

Någon som har koll på om detta är representativt för VPS vs. Webbhotell:
http://www.mejo.se/binero-vs-glesys-del-1-hastighet/

What, root-konto?

Inaktivera ssh-inloggning m.h.a lösenord och via root-kontot. Tillåt bara användare att använda sina ssh-nycklar. Glöm inte heller att byta port från 22 till något random.

Sedan bör monit, eller liknande övervakningstjänst sättas upp för att kontrollera minne, cpu, diskanvändning och alla processer som måste vara igång (te.x MySQL, cron)
Använd iptables för att reglera ingående och utgående trafik. Spärra all trafik, utom de portar som verkligen behöver vara öppna, te.x 80.

Sätt upp logrotate för att rotera loggar, annars finns det risk att loggarna fyller upp serverns disk.

Plus en massa annat som du säkert kommer lära dig den hårda vägen :)

Nu vet jag inte vad dom kör på den där vpsen, men en laddtid på 2 sekunder känns ju ändå i överkant.

Det skulle vara intressant att höra vad du har tänkt köra.

Har ett par VPSer med debian+nginx+php5-fpm+mysql som rullar, dock inte med wordpress. Dessa funkar fint så länge man låter bli att swappa. Vad som behövs för att driva dina prylar kan skilja sig helt från hur mina funkar. En burk har jag 512MB i, den funkar fint för en webbplats och mysql utan innodb. Den andra är lite tyngre och rullar på 1GB ram och kör innodb.

Backar gör jag mot s3 bucket, dock bara webbfiler, databaser och några utvalda config-filer.

Övervakning med pingdom.

Håller med om google apps, helt klart värt det.

Ja, det där stämmer nog i de allra flesta fall, speciellt när det gäller enskillda mätningar.
Värt att nämna är dock att du kan få sämre prestanda med VPS om du har en liten(dvs låg prestanda, få cores och minne) VPS och många besökare. Webbhotellen har högpresterande servrar i botten och kan hantera hög belastning på din sida utan att det märks så mycket för just dig(speciellt de webbhotell som kör med lastbalansering). Har du t.ex. få cores i din VPS kommer du att gå i taket när det gäller CPU vid flera samtidiga besökare vilket ger dig långa laddningstider eller till och med timeouts. Det samma gäller minne.

Så länge du har koll på prestandan och kan skalar upp dina maskiner vid behov så kommer du få betydligt snabbare och stabilare laddningstider som grafen visar.

För övervakning finns det ju lite olika lösningar. Vill du övervaka prestandan ned på servernivå finns lösningar som New Relic eller Monit. Vill du bara mäta svarstider utifrån så är väl Pingdom det bästa, men det finns många andra liknade tjänster som gör samma sak och som är billigare om du vill övervaka flera sidor.

Duh! Jag var gott trött igår. Självklart är det bäst att inaktivera root-login.

Jovisst, men hur många krypterar sin laptop eller ens har ett lösenord värt namnet? Att byta SSH-port är helt OK och stoppar effektivt alla random brute-force-attacker. Det stoppar såklart inte en angripare som verkligen vill in.

Japp, övervakning bör man ha. Ofta kan leverantören bistå med detta så slipper man själv sköta systemet.

Ett bra tips. Är väl på default i flera distributioner om jag inte missminner mig. Helt klart värt att kolla upp i alla fall.

En artikel som kom lägligt i tiden. Den ger en mer objektiv syn på molntjänster där det faktiskt finns en del fallgropar att hålla koll på.

https://www.idg.se/17.108/2.1085/1.4...-molntjanster/

Tror de gäller att vara lite realistisk här. Chansen att du tappar/blir bestulen på datorn och att tjuven är it-tekniker för att sedan plocka ut nycklarna ut din dator – innan du märkt något, är så pass liten att den är försumbar.

Värt att nämna är att jag själv krypterat mina diskar.

Du menar att hosten skulle sätta upp monit för dig, eller tänkte du att hosten skulle anställa en praktikant som gå in å kollar så att din daemon är igång var 30 sekund? :)

Jag tror inte att min VPS-host (glesys i mitt fall) skulle ha några resurser att lära sig hur varje system är uppbyggt för att sedan övervaka alla kritiska delar mha valfritt övervakningsverktyg.

Själv låter jag monit övervaka följande saker

• nginx
• redis
• postfix
• god
• elasticsearch
• crond
• beanstalkd

... sedan använder ja god för att övervaka alla applikationsspecifika bakgrundsprocesser, vilket i mitt fall är ett 20-tal.

Det är default i mappar som /var/log, men inte applikationsspecifika mappar. Själv har jag app-specifika loggar i /opt/*/*/shared/log. Med app att så syftar jag på applikationer som jag själv byggt, te.x webbapplikationer och bakgrundsprocesser.

Det finns förstås leverantörer som använder Monit men vi själva använder andra övervakningssystem som våra kunder kan nyttja om de vill.

Det är ju självklart upp till dig som kund att informera leverantören vad du vill övervaka.

Imonerad av den höga kunskapsnivån på alla svar :) Tack!

Min app är lättmjölk. Ett par tusen besökare per dag. Ganska bra optimerad (om jag får säga det själv) - mycket mot databasen är cachat i ett statiskt datalagersom (som byggs om N gånger per dygn) men det finns vissa frågor som körs ofta och jag gissar att dessa kan dra lite last. Dessa går inte att lägga på t.ex. en memcached eftersom de hela tiden har nya inparametrar / levererar olika resultat.

Några följdfrågor dyker upp:

* Hur tar jag reda på vilken leverantör av VPS som är den bästa? Skall man försöka få till provmånader och lägga tid på att benchmarka dem åt?

* Är det verkligen någon nytta att byta ssh-porten mot icke-standard eller ger det en falsk känsla av trygghet? Hade jag varit skurk så hade jag nog scannat av många portar på varje maskin, prestanda & tid i sådana fall är ju knappst begränsande faktorer då man förmodligen samlar upp maskinerna i ett bot-nät?

* Hur ser den bästa backuplösningen ut på maskinerna? Lagra kan jag göra "i molnet" men vilken mjukvara för backup av php / mysql som finns i t.ex. Debian stable rekommenderas? Hur bör man sätta upp detta för att det skall bli så säkert som möjligt?

* Tar VPS-leverantörer "ghost"-backuper av maskinerna?

* Vilken strategi bör man ha för att kunna hantera ev. "katastrofer", t.ex. VPS:en dör och leverantören har inga fungerade backuper för min maskin, jag råkar köra "delete from tb_tabell" (sprider ju sig till eventuella backuper)?

Jag håller med. Kör på standardporte.

http://www.glesys.se/kb/tips-for-sys...es-hitcount/26

Hur svårt tycker du det är att installera php / igen?

Kolla med din leverantör om de erbjuder backuper.

Vissa gör det, andra inte.

Kör mysqldump några gånger per dag ex från crontab.

http://www.glesys.se/kb/backup/mysql-backup/18

Då förutsätter jag att ni bara övervakar mjukvara för kunder som körs apt-get install <app>. Allt utanför standardutförande kräver ju annars att ni måste sätta er in i kundens konfiguration, vilket låter väldigt dyrt. Så länge ni inte fuskar och bara kollar så att processern är uppe :)

Jag kan bara rekommendera de jag själv testat, vilket är Glesys, CityNetwork och Oderland. CN gav jag och en kollega upp efter ett år. Helt hopplöst. Några utav highlightsen är; 6 olika domäner, en för betalning, en för adminpanel, en för webbhotell, en för vps osv. Detta gör att man har noll koll på om det är CNs site man fortfarande är inne på eller om man råkat klicka fel. Upptiden (=uptime) var för mig riktigt dålig. Under ett år gick siten ner en gång i veckan, i snitt. Deras adminpanel är riktig usel. Glesys däremot, som jag körde innan CN och även kör idag, fungerar och har fungerat hur bra som helst. Riktigt smidig adminpanel. Bra betallösning, bra priser och nästan 100% uptime. Dom hade någon planerad nertid för några månader sedan.

Det är tillfället som gör tjuven. Så länge du har de i åtanke så kan du göra hur du vill.

+ alla femtielva mjukvaror som ska installeras och ställas in.

De där kommer stalla hela servern.

Vi jobbar oftast med skräddarsydda managerade lösningar där vi definitivt är väl insatta i kundernas konfigurationer och system.

Om inte det är märkvärdigare än så, så borde du klara dig på en vps med 1-2 cores och 512-1GB Ram.

Ja, det är faktiskt rätt effektivt tillsammans med en brandvägg som spärrar portscans. Har inte haft ett enda försök till inloggning på de maskinerna jag har bytt på.

Jag dumpar databasen och tar.gz denna tillsammans med mina webbfiler och några utvalda config-filer (php, nginx, etc) och skickar dessa till S3 varje dag. S3 är satt att radera allt som är 30 dagar och äldre. Min plan för återställning är ominstallation om inte maskinen går att rädda. Finns säkert både enklare och bättre sätt, men detta har jag skapat själv och då känns det som jag har kontroll över hela grejjen.
Hos dom flesta verkar inte backup ingå och snapshots kostar extra.
Ha din egen backup och en plan för hur du sätter upp en ny maskin och återställer innehåll snabbt.