[coredev]

Tyvär har vårt nuvarande webbhotell stora problem med att leverera den kvalté som vi behöver, därför funderar vi på att gå över till en VPS-lösning. Vore tacksam för lite info kring hur man skall tänka här eftersom detta är första gången vi arbetat med VPS. Har tidigare erfarenhet av att drifta egna servrar i colocation.

Funderar på följande upplägg:
* Epost: Google Apps for Business
* Webb: En alt två VPS-masiner
* DB + ev. memcached: Delar på en VPS-maskin

Vettigt upplägg?

Hur löser man säkerheten via t.ex. SSH - duger det med klientcertifikat?

Hur arbetar man bäst med backup?

Hur arbetar man med att hålla servrarna uppdaterade (kommer förmodligen köra Debian)?

Vilken prestanda bör man satsa på? Kommer köra PHP, NginX samt MySQL.

Hur hostar man bäst domännamnen? Kan de ligga kvar på ett vanligt webbhotell?

Tacksam för era erfarenheter

[pelmered]

Till att börja med känns det som jag behöver veta vad det är som ska hostas för att ge bra och mer specifika svar.

Citat:

Ursprungligen postat av coredev

Funderar på följande upplägg:
* Epost: Google Apps for Business
* Webb: En alt två VPS-masiner
* DB + ev. memcached: Delar på en VPS-maskin

Vettigt upplägg?

E-posten kan du fortsätta köra genom webbhotellet även om du bara har domänkonto. E-post ingår i de allra flesta domänkonton.

Webb och DB. Det är beror mest på vad det är för prestanda som krävs. Man klarar sig oftast ganska långt med en server som kör både webbserver och databas. Steget efter det är väl oftast att separera ut databsen om man har behov av det. Därefter får man gå över till någon lastbalanserad lösning för både Webb och DB(flaskhalsen i första steget såklart).
Tänk på att skaffa ett privat VLAN för dina servrar om du ska separera ut databasen. Det kan nog de allra flesta VPS-leverenatörer lösa åt dig, de flesta i Sverige gör det gratis vad jag vet. Du vill inte att databas- och memcachedservrarna ska vara tillgängliga utifrån VLAN:et. Memcached kan du förresten splitta mellan olika maskiner i din miljö om du vill.

Citat:

Ursprungligen postat av coredev

Hur löser man säkerheten via t.ex. SSH - duger det med klientcertifikat?

Beror på vad ni har för krav på säkerhet. SSH med ett bra lösenord är väl oftast tillräckligt. Annars kan man köra med SSH-nycklar(med eller utan lösenord i tillägg).

Citat:

Ursprungligen postat av coredev

Hur arbetar man bäst med backup?

Finns en hel del olika lösningar. Vilken som är bäst beror mycket på vad ni har för krav, budget och hur mycket kontoll och arbete nu vill göra själva. En lösning är ju att sätta upp en Backup VPS med minimala systemresurser och hyfsat stor disk dit ni rsyncar era backuper.

Citat:

Ursprungligen postat av coredev

Hur arbetar man med att hålla servrarna uppdaterade (kommer förmodligen köra Debian)?

Att gå in och köra en apt-get upgrade minst någon gång i månaden plus när man hör om något säkerhetshål som upptäckts bör vara tillräckligt för de allra flesta.

Citat:

Ursprungligen postat av coredev

Vilken prestanda bör man satsa på? Kommer köra PHP, NginX samt MySQL.

Menar du prestanda på VPS:en? Ja, då behöver vi först veta vad du ska serva och vilka prestandakrav som finns.

Citat:

Ursprungligen postat av coredev

Hur hostar man bäst domännamnen? Kan de ligga kvar på ett vanligt webbhotell?

Det går utmärkt att ha de kvar hos webbhotellet. Antingen pekar du domänerna direkt emot servrarnas IP eller så sätter du namnservrarna till att peka på VPS-leverantörens namnservrar så att du kan sköta allt därifrån.

[Danielos]

Citat:

Ursprungligen postat av coredev

Tyvär har vårt nuvarande webbhotell stora problem med att leverera den kvalté som vi behöver

Om det nu bara hänger på kvalitet, varför byter ni inte bara till ett annat webbhotell som motsvarar era kvalitetsbehov? Eller är det andra krav ni har? Hur stor erfarenhet har ni av egen serverdrift?

[coredev]

Wow, mycket bra input! :-) Tusen tack för alla goda råd. Ös gärna på om det finns mer att säga Dela gärna med er av era egna "sucess stories" om ni kan & vill!

Citat:

Ursprungligen postat av Danielos

Om det nu bara hänger på kvalitet, varför byter ni inte bara till ett annat webbhotell som motsvarar era kvalitetsbehov? Eller är det andra krav ni har? Hur stor erfarenhet har ni av egen serverdrift?

Ganska stor erfarenhet, men det gällde en helt annan storlek av sajt. Då hyrde vi ett helskåp och driftade allt ifrån backuplösning, ftp, fyra lastbalanserade webbservrar, två lastbalanserade databasmaskiner, NAS, etc själva. Säkerheten löste vi genom VPN mot ett fast IP (burkarna gick inte att logga in på utifrån) så slapp tänka så mycket på det. Jag hade även mycket mer tid att lägga på det då och en helt annan budget. Tyvärr hade vi vissa brister, t.ex. säkerhetsuppdateringar av OS:et och backuper. Så där behöver jag lära mig dagens best practise.

Har testat flera webbhotell och alla verkar ha sina brister. Inga verkar dock kunna nå upp till den hastighet och uppetider som vi kunde uppnå genom att drifta själva.

VPS har jag ingen erfarenhet av alls och behöver råd. Känns som att det är ett naturligt val för detta projekt men behöver mer kunskap. Vad kan man förvänta sig för prestanda? Blir det rappt?

[KristianE]

Citat:

Ursprungligen postat av coredev

Vad kan man förvänta sig för prestanda? Blir det rappt?

För att få bästa prestanda bör du inte välja någon av de största (billigaste) cloud-tjänsterna. Dessa är oftast väldigt överbokade vilket brukar märkas i disk I/O.

Rent generellt (finns garanterat undantag!) tror jag du får bäst prestanda hos en mindre leverantör där du betalar mer.

[coredev]

Citat:

Ursprungligen postat av Danielos

Du är välkommen att testa vårt under en månad utan kostnad, vi har inga kunder mig veteligen som klagar på vår prestanda.

Byta till ert webbhotell? Jag tackar för erbjudandet men jag tror inte det är aktuellt. Skall vi byta igen så blir det med stor sannolikhet till en egen lösning i någon form, t.ex VPS.

[KristianE]

Danielos:
Han hade erfarenhet av fysisk serverdrift tidigare som du ser i hans post.

coredev:
Precis som Itisgood.se skriver är det svårt att ge exakta rekommendationer eftersom vi inte vet vad du ska drifta för något.
Men jag ska försöka mig på lite generella svar i alla fall:

Google Apps: +1 - det finns knappt någon anledning att köra något annat idag. Man får allt man får med Hosted Exchange för en bråkdel av priset.

Säkerhet för SSH: Starkt lösenord på servern (15+ tkn, inkl specialtkn) för root-kontot är en självklarhet). Då klarar du dig utan certifikat. Statiskt utbytta SSH-nycklar ger en stor säkerhetsrisk om din privata dator inte skyddas av samma typ av lösenord + diskkryptering.

Backup: Enklast är att skaffa en backuptjänst. Leverantören kan oftast erbjuda detta. Det finns alla möjliga lösningar från fil- och databasbackuper till full VM-backup. Man vill kanske ha en kombination av båda. Har man en väldigt begränsad budget så kan scripta ihop något eget och skicka till Dropbox, Google Drive eller liknande. Man får värdera sin data, inställningsmöjligheter, kryptering, hur leverantören lagrar datat t.ex. Väljer du att drifta backuplösningen själv på en separat server måste denna självklart finnas på annan fysisk plats.

Uppdateringar: Installation av säkerhetsuppdateringar någon gång i månaden kommer man långt med. Man får också hålla koll på vad som händer inom IT-säkerhet. Är man osäker kan många VPS-leverantörer hjälpa till med management.

Prestanda kan jag tyvärr inte lämna några råd på.

Domänhanteringen sköter där det känns bäst för dig. Var noga med att leverantören har spritt ut sina DNS-servrar. De stora har gjort detta nu (efter många, många år), men det finns fortfarande många webhotell som har båda DNS-servrarna i samma hall..

Ett tips är att du kontaktar ett par leverantörer du är intresserad av för en djupare diskussion.

Självklart ska du ha ett eget privat VLAN för dina servrar.

[Danielos]

Citat:

Ursprungligen postat av KristianE

Danielos:
Han hade erfarenhet av fysisk serverdrift tidigare som du ser i hans post.

Nej, det såg jag inte, jag läste mest: "eftersom detta är första gången vi arbetat med VPS"

[linusoleander]

Citat:

Ursprungligen postat av KristianE

Säkerhet för SSH: Starkt lösenord på servern (15+ tkn, inkl specialtkn) för root-kontot är en självklarhet). Då klarar du dig utan certifikat. Statiskt utbytta SSH-nycklar ger en stor säkerhetsrisk om din privata dator inte skyddas av samma typ av lösenord + diskkryptering.

What, root-konto?

Inaktivera ssh-inloggning m.h.a lösenord och via root-kontot. Tillåt bara användare att använda sina ssh-nycklar. Glöm inte heller att byta port från 22 till något random.

Sedan bör monit, eller liknande övervakningstjänst sättas upp för att kontrollera minne, cpu, diskanvändning och alla processer som måste vara igång (te.x MySQL, cron)
Använd iptables för att reglera ingående och utgående trafik. Spärra all trafik, utom de portar som verkligen behöver vara öppna, te.x 80.

Sätt upp logrotate för att rotera loggar, annars finns det risk att loggarna fyller upp serverns disk.

Plus en massa annat som du säkert kommer lära dig den hårda vägen

[KristianE]

Citat:

Ursprungligen postat av linusoleander

What, root-konto?

Inaktivera ssh-inloggning m.h.a lösenord och via root-kontot.

Duh! Jag var gott trött igår. Självklart är det bäst att inaktivera root-login.

Citat:

Tillåt bara användare att använda sina ssh-nycklar. Glöm inte heller att byta port från 22 till något random.

Jovisst, men hur många krypterar sin laptop eller ens har ett lösenord värt namnet? Att byta SSH-port är helt OK och stoppar effektivt alla random brute-force-attacker. Det stoppar såklart inte en angripare som verkligen vill in.

Citat:

Sedan bör monit, eller liknande övervakningstjänst sättas upp för att kontrollera minne, cpu, diskanvändning och alla processer som måste vara igång (te.x MySQL, cron)
Använd iptables för att reglera ingående och utgående trafik. Spärra all trafik, utom de portar som verkligen behöver vara öppna, te.x 80.

Japp, övervakning bör man ha. Ofta kan leverantören bistå med detta så slipper man själv sköta systemet.

Citat:

Sätt upp logrotate för att rotera loggar, annars finns det risk att loggarna fyller upp serverns disk.

Ett bra tips. Är väl på default i flera distributioner om jag inte missminner mig. Helt klart värt att kolla upp i alla fall.