Покупка СЕРВЕРА (Антивирус, firewall, почтовик)

[sinay_oleg]

Привет всем !!!

собираюсь на днях приобрести прокси-сервер...

теряюсь в вариантах, какую комплектацию выбрать :
проц, какой ОЗУшки достаточно, нужен ли РЭЙД-массив,
дает ли ощутимый прирост производительности SCSI,
какую сетевуху поставить...
(сеть на TCP/IP, звезда-звезда - 3 хаба 10/100 Mb, 25 компов - от Pentium 200 до Celeron 1700,
1 выделенная линия с трафиком на 32кб... (пока))

насколько будет падать скорость с увеличением количества подключенных раб.станций ?

[a_shats]

1. Ну, в принципе, основную нагрузку на подобные сервера создают файрволл (IP-фильтры) и антивирусники, проверяющие почту. Если держать собственный почтовик с антивирусником не планируется - требования к конфигурации можно немного снизить... Опять же: планируется ли размещение на нем внешнего www-сервера Вашей фирмы ? Интернет/интранет приложений ? B2B-приложений ?
2. Корпус: планируется установка данного сервера в стойку/шкаф или же он просто будет стоять отдельно на столе/полу и т.п. ?
3. Какая ОС будет установлена/с какой Вы либо другой человек, который будет за это дело отвечать знакомы ?
Если Вы ответите на эти вопросы - будет намного проще и эффективнее подсказать Вам конфигурацию сервера. Если нет - Вам смогут посоветовать лишь максимальную и минимальную конфигурации (включая ответы на Ваши вопросы о RAID, SCSI и прочем).

[sinay_oleg]

1. Антивирус, firewall, почтовик, (B2B-приложений - бэкап ?) будут использоваться...

2. кейс без стойки

3. Win2000 Server RUS ServicePack3

[a_shats]

B2B - business-to-business, в смысле, работа через специализированное ПО авторизованных клиентов (через Инет) непосредственно с Вашей базой (текущее состояние склада, формирование заказа и т.п.).
Тогда попробуем порекомендовать:
Intel S845WDI-E/корпус Hudson 5100 Base/PIV-1,8A/1х512 Mb DDR266 ECC.
Ну CDROM, FDD, понятно.
По дисковой п/с: под те нагрузки, что Вы указали на данный момент,
имхо, достаточно было бы пары WD400JB (IDE винты от Western Digital, 7200 rpm, 8 Mb буфер). Аппаратный IDE RAID (и еще пара сетевых портов Intel Pro/100S, ATI Rage XL 8 Mb PCI) на этой матери есть, и под такое зеркало и эти задачи, имхо, его хватит. Винты поставить в RAID1 (зеркало), понятно, аппаратное.
ПО под W2K - вопрос вкуса, преимущественно. Под third-party ПО (не от Микрософт) такого железа должно хватить. Если же будет устанавливаться связка Active Directory+MS IIS+MS ISA+AVP для серверов - тут надо будет подумать о процессоре сильно побыстрее, имхо, что-то 2,6-2,8 ГГц с 533 МГц шиной.
Ну и максимальный вариант для такой задачи:
Intel SE7501BR2/Hudson 5200 Base/2x256 Mb DDR ECC Reg/1xXeon DP 2,4 MHz 533 FSB/2x18 Gb HDD U160 или U320 10K rpm LV по вкусу(Maxtor Atlas III, Seagate Cheetah, Hitachi UltraStar и т.п.).
Но это совсем максимум, имхо, и с солидным запасом по надежности и производительности.

[tigerek]

А меня вот берут сомнения по объему ОЗУ... isa + exchange хотят много памяти, у меня сейчас ~800MB на сервере занято, а еще антивирус хотят поставить.

Я тоже подбираю сервер под аналогичные задачи, но хотелось бы 2U корпус, но с ide-шными винтами (т.е. intel со своей корзиной не подходит).

Есть идея поставить 4 винта (в raid 10 на ide) под данные и 2 под систему. Только вот будет ли от этого толк по сравнению с единым raid-ом в 6 винтов (также 10). И какой для этого посоветуете контроллер, чтобы первая связка в плане производительности не пострадала.

[art]

(сеть на TCP/IP, звезда-звезда - 3 хаба 10/100 Mb, 25 компов - от Pentium 200 до Celeron 1700,
1 выделенная линия с трафиком на 32кб... (пока))

насколько будет падать скорость с увеличением количества подключенных раб.станций ?

Вообще странно думать, что мощный сервер нужен.
В нашей сети хватает одного 1000 tulatin 512мб мозгов на обычной маме на VIA чипсете.
В этой конструкции самое дорогое - 1U алюминиевый корпус -).

FreeBSD Qmail+Drweb + CourierIMAP + Squid
Сеть:
-40 компов 100мбит Swithed
-100мбит uplink к точке обмена трафиком
- дневной трафик 180-250Мб, из них почты до 60%
- внутренний почтовый трафик до 50Мб в сутки,
вся почта проверяется на вирусы(активно работают 3 дизайнера, которые принимают-получают макеты в 2-6мб)
- сайт на Apache + PostgreSQL, исходящий дневной 200-250Мб, 400 в пике. 600 уникальных посетителей и 20-30 тыс. хитов.
- 2 VPN 512кбит и 32кбит с blowfish и компресией
- NAT, firewall 300rules


last pid: 6176; load averages: 0.42, 0.32, 0.34 up 79+00:12:16 17:50:41
86 processes: 1 running, 85 sleeping
CPU states: 1.9% user, 0.0% nice, 3.9% system, 2.7% interrupt, 91.4% idle
Mem: 248M Active, 97M Inact, 117M Wired, 27M Cache, 61M Buf, 12M Free
Swap: 2048M Total, 10M Used, 2038M Free


Вопрос:
Откуда тут взяться XEON'у, мультигигабайтам памяти, RAID и мультикилобаксам?

[art]

1. Ну, в принципе, основную нагрузку на подобные сервера создают файрволл (IP-фильтры) и антивирусники .

Да откуда взяться нагрузке на файрволл при канале 32кбит?
На любом современном процессоре это не актуально при любых скоростях канала, если не пропускать через себя более 800-1000 пакетов в секунду.
Антивирусы - это да, но они не требуют realtime, и на реальном _почтовом_ трафике это тоже не заметно.

[tigerek]

Мне так показалось, что человек собирается на Win платформе сервер держать. А допустим в организации налажен документооборот (и еще всякие collaboration work) на exchange и менять его крайне затруднительно (или даже невозможно, в моем случае). И я сомневаюсь, что люди сидящие под винюками будут ставить 3rd-party POP/SMTP/IMAP сервисы.

Так вот этот самый exchange + isa (fw/webproxy) уххх как до памяти жадные.

У меня к примеру стоит тоже FreeBSD (1 пень/128Mb) и ничего шустро так держит: www, ftp, маршрутизатор (4 сетевухи) + шифрование, 4 модема (dial-in/out), sendmail который почту пересылает на exchange и обратно, и еще была cronyx (теперь правда cisco вместо). Но это все не показатель.

Я просто говорю, что под винюками придется железа брать по-навороченее, чтобы это крутилось.

Все мы знаем про недолговечность ide винтов, так что raid в любом случае необходим. Поднимать exchange-базу в случае чего это вам не файлы с mailbox-ами скопировать (в принципе, тоже самое но времени отнимет раза в 2-3 больше, по сравнению с unix).

Ты хочешь сказать, что на твоем production-сервере ide винты (без элементарного зеркала) стоят? Или все-таки scsi? А бэкапы как делаются, ежедневно? Или потеря почты не столь критична, хотя в твоем случае почта не лежит на сервере... А у нас народ свой хлам хранит на сервере и если он лежит, то никто почту почитать не может. Это безусловно обходимо, но на р/местах тоже винты дохнут (а вот их бэкапить вообще засада). Вон сейчас почти все fujitsu передохли

[tigerek]

Да, вот цитата из usah 3rd ed.

В отношении производительности можно отметить тот факт: хороший администратор можент настроить ОС UNIX так, что на одном и том же оборудовании она будет выполнятся в два-три раза быстрее, чем Windows.

Друзья, подскажите в какой корпус 2U можно 6 шт. ide винтов натолкать? Ну, или хотя бы 4 шт.?

[a_shats]

tigerek
Извините, но то, что Вы процитировали, несколько не соответствует действительности. Проценты-да, но не разы.См. соотв. тесты.
По Exchange+ISA - это вот тоже не совсем верно. Обычно и согласно рекомендаций Микрософт - Exchange устанавливается на отдельный от ISA сервер. В смысле - на одной машине их пользовать не рекомендуется. И потом: Exchange - корпоративная почтовая система, вообще говоря, на 25 клиентов ее использовать...хм... Ну как если к 1С на 5 человек для бэкапа Tivoli прикрутить . Есть почтовики куда как полегче: MDaemon, EServ...
art
про 32 Кбит/с сказано - пока .
И потом, делать сервер на комплектации РС - имхо! - потенциальный источник некой болезни. "Нормальный" сервер (тот, что на S845WDI-E) стоит не намного дороже РС (в Москве-менее 1000 уе).
Что касательно производительности: да, 1000-ного туалатина на антивирусник хватит, не спорю. Вопрос: где Вы будете искать через пару лет SDR ? Как пример. К моему великому сожалению, PIII как платформа снят с производства. А сервера приобретаются не на год.
Да, и еще: сейчас входят в моду контент-фильтры (на почту). Что есть нехилая доп. нагрузка, под какой бы ОС не работали, не так ли ? И потом, по опыту моей работы, 25 клиентов могут очень нехило нагрузить антивирусник почтовика: отсылая и принимая не письма как "голый" текст, а несжатые вложения - офисные (Word, Excel) файлы.
При такой работе (активный обмен почтой) толщина канала вообще имеет мало значения: уйдет/придет за день - и то хорошо.

[gs]

а 6 ИДЕ винтов можно натолкать в Supermicro SC822i (2U)

[art]

sendmail который почту пересылает на exchange и обратно, и еще

Вот это как раз правильно: наружу юних - принять проверить вирусов и прокси там же, а уж прокси точно можно не на RAID5 держать

Все мы знаем про недолговечность ide винтов, так что raid в любом случае необходим.

Недолговечность - она характерна для "IDE винтов в условиях типичной эксплуатации IDE винтов", а именно - дешевые корпуса, перегрев, перемещения при раскрученном шпинделе и т.д.
Мне как то везло возможно, но в алюминиевых корпусах и в помещении с кондиционером даже 2-х летние DTLA еще живы. WDBB уже 4.5 года SPINUP time разменяли при среднем дневном трафике 300-400Gb read? 2Gb Write.

Ты хочешь сказать, что на твоем production-сервере ide винты (без элементарного зеркала) стоят?

есть gateway который в мир смотрит и ценна в нем только конфигурация (почти неизменная) и есть datahouse с IMAP сервером.

Не стоит все в одну кучу складывать.

Помимо сохранности данных есть еще и такой параметр как время готовности. Если предположим internet gateway собран на серверной матери с PCI-X RAID контроллерами, спец. БП и прочим, то, в случае выхода из строя любой из этих железок ды даже доступа к данным не получишь, за исключением данных RAID1.

Не у всех такие вещи в двух экземплярах.

Для datahouse это не страшно, а для internet gateway критично. Если конфигурация типовая, то и поднять её пара пустяков.

Для почтового гейта и FW вместо одного дорогого сервера (который там и не нужен) лучше иметь пару простых машинок, одинаково сконфигуренных и стоящих на подхвате. Место для экспериментов типа "а не созрел ли 2-й апач для работы" или make buildworld.

[a_shats]

...вместо одного дорогого сервера (который там и не нужен)...

Нет, ну не первый раз я удивляюсь любви людей к граблям и изобретению велосипеда ,прошу прощения.
Понимаете ли, "дорогой" сервер - он отчего, собственно, дорогой ? Вы, простите, много ли видели сгоревших "PCI-X RAID-контроллеров" ?
Ну или блоков питания на интеловских корпусах ? Коллега с "Аквариуса" сообщил ажно о 2 сгоревших БП на 7200 корпусов серверных, выпущенных в комплектах серверов за год .
Именно оттуда - от надежности - дороговизна. А "пара дешевых серверов на подхвате", "один для экспериментов"... Вы уж простите, но в работе _нормального_ сисадмина места экспериментам нет - как класс. Либо он экспериментирует, либо работает - третьего не дано (на основании 7 лет собственного сисадминства). Вот как раз "дорогой" сервер - для тех, у кого нет желания ставить эксперименты, а нужно - просто работать, на всякую, уж простите, ерунду не отвлекаясь.
Еще раз прошу прощения, если слишком резко.
Теперь по теме: RAID 5 никогда и никем не предлагался под вещи, подобные прокси-для БД он обычно применяется, вообще-то, с низкой характерной нагрузкой на запись. Для данного случая аппаратное зеркало(RAID 1), имхо - самое то.
Кстати, еще: конфигурация собственно gateway меняется крайне редко, вообще-то, и при наличии своевременного бэкапа никакой особой ценности не представляет.
Самое ценное на гейте - логи. Вот как раз они имеют весьма немаленькие размеры, и их хранить и бэкапить нужно обязательно. Собственно, работа админа на гейте как раз не в экспериментах с конфигом заключается, а в тщательном анализе логов - на предмет нестандартных (aka не предусмотренных текущим конфигом) попыток взлома, троянов и т.п. Ну и естественно, хороший админ просто обязан знать, у кого в его сетке "очумелые ручки" на предмет установки кучи онлайн-сервисов("любимые" админами Мул, Осел, Аська), лазания по всевозможным IRC и чатам, и т.п. - опять же, не глядя в логи этого не увидеть. А знать это нужно, дабы аргументированно и во время взять "очумельца" за ушко и на ковер- с оргвыводами и занесением.
Еще одно, не менее ценное - настройки спам-фильтров и контент- фильтров: часто они обновляются/пополняются автоматически, да еще и из разных источников. Да еще - по требованию могут изменяться (например, кого-то по ошибке в спамеры записали, а от Вас потребовали его из спам-листа убрать). Тоже нехуденькая вещь, однако. И хранения, по вышеописанным причинам- требующая.

[art]

Понимаете ли, "дорогой" сервер - он отчего, собственно, дорогой ? Вы, простите, много ли видели сгоревших "PCI-X RAID-контроллеров" ?
Ну или блоков питания на интеловских корпусах ? Коллега с "Аквариуса" сообщил ажно о 2 сгоревших БП на 7200 корпусов серверных, выпущенных в комплектах серверов за год .
Именно оттуда - от надежности - дороговизна. А "пара дешевых серверов на подхвате", "один для экспериментов"... Вы уж простите,

Я ни одного не видел. Видел пару PCI 64/33 да и те работали. Только они не в роутерах стояли.

Конечно, дорогой сервер МНОГО надежнее в физическом смысле.
Но если что то ломается, то время восстановления МНОГО больше.

Кто сказал что дорогой сервер это плохо? Я такого не говорил.
Если кого то есть желание делать gate на Dual XEON, то я не возражаю.
Если денег некуда девать, почему бы не поставить PCI-X RAID в каждый роутер.....

Искренне завидую. У меня нет такого бюджета.

Но на две обычные есть.

иметь две машины в качестве hot-swap routers полезно.

если gate сервер к примеру не вышел из строя, а дискредитирован - неразумно убить и поставить все с нуля. Не так ли?
Надо найти причину, либо, как минимум подняться до STABLE с чистого дистрибутива.
А роутить пакеты кто-то должен. И не завтра, и не через час, а быстрее.

но в работе _нормального_ сисадмина места экспериментам нет - как класс. Либо он экспериментирует, либо работает - третьего не дано (на основании 7 лет собственного сисадминства). Вот как раз "дорогой" сервер - для тех, у кого нет желания ставить эксперименты, а нужно - просто работать, на всякую, уж простите, ерунду не отвлекаясь.

Ага, вы на "дорогом" сервере сидите себе на ядре FreeBSD 2.2.8 и пять лет в ус не дуете.
Зачем менять софт, когда сервер "дорогой"? Так что ли?

Не верю.

А если что - на production сервере делаете buidworld, пересобираете ядро, храните лога...

и если он выходит из строя (1% по физичиским причинам, 99% по человеческому фактору (ошибка, взлом)) вы имеете все яйца в одном месте.
Конечно это не страшно для человека, который ЛЮБУЮ проблему готов решить за несколько минут. Я себя к таким не отношу.

Еще раз прошу прощения, если слишком резко.

да пожалуйста

Самое ценное на гейте - логи. Вот как раз они имеют весьма немаленькие размеры, и их хранить и бэкапить нужно обязательно. Собственно, работа админа на гейте как раз не в экспериментах с конфигом заключается, а в тщательном анализе логов - на предмет нестандартных (aka не предусмотренных текущим конфигом) попыток взлома, троянов и т.п.

И конечно же лога будешь вести и держать на супернадежном production сервере он же firewall?
Архивирование логов на ленточку... конечно.... Только время от взлома до руткита меньше чем период архивирования.

Именно по этому полезно иметь машину, на которую real-time льют лога, на ней не подняты никакие сервисы, а доступ по SSH ограничен.
Ты не против такой машины?

Если нет, то остается только настроить там жизненно важные сервисы, но не запускать их. И эта машина - то место где следует проверять обновления боевых сервисов прежде чем обновлять их на production сервере.

Ну и естественно, хороший админ просто обязан знать, у кого в его сетке "очумелые ручки" на предмет установки кучи онлайн-сервисов("любимые" админами Мул, Осел, Аська), лазания по всевозможным IRC и чатам, и т.п. - опять же, не глядя в логи этого не увидеть.

Это о чем? Я за аську не агитировал...

[a_shats]

1. Время восстановления - чего ? Наиболее слабая с точки зрения надежности вещь на "дорогом" сервере - винт. Если работает аппаратное зеркало - отвал одного из винтов никем, кроме сисадмина, замечен не будет. Если винты в хотсвап корзине - тогда и операция по замене как факт замечена также никем, кроме сисадмина и поставщика винта, не будет.
2. Две машины - две точки отказа. Время перехода с одного сервера на другой равно нулю в Вашем варианте ? Вроде как нет. Тогда чем же надежнее две РС, чем один "нормальный" сервер ?
3. Не знаю как где, но во всех корпоративных сетях админы любые эксперименты проводят на собственном рабочем месте - и нигде более, а если быть более точным - вообще их не проводят, полагаясь на RTFM, корпоративные политики и правила. Я не претендую на умение решать любую проблему за 1 минуту - но, если я уверен в железе, то могу сразу отсечь кучу возможных причин отказа. Опять таки, при выявлении факта взлома роутеров корпоративных сетей внешний канал (все внешние каналы) блокируется намертво - до выявления и устранения, и никогда не переносится на резервный роутер/канал во избежание продолжения утечки. Резервный роутер или канал используются только при "железном" отказе базовых, что - на "дорогом" сервере - гораздо менее вероятно, чем на "наколенке" из десктопного железа. Не так ли ?
Далее. При правильной организации бэкапа восстановление софта на сервере занимает минуты - а происходит только при софтовом краше ОС(после него). Логи: сохраняются локально и льются на внутренний бэкап сервер в ЛВС через сервис типа syslog, и никогда - по ftp/smb.
Есть правда, обратный пример - наш местный первичный провайдер. Для "горячих парней" из тамошнего саппорта пересобрать, как Вы говорите, ядро ОС или там поэкспериментировать на "боевом" сервере - плевое дело. Другое дело, что делают они это, не предупреждая, как правило, клиентов - что, естественно, вызывает массу теплых слов и пожеланий в их адрес с завидной регулярностью. Характерный пример: на мой вопрос, зачем понадобилось делать то, что они в тот момент сделали, последовал ответ: "А чтоб не скучно было". А у меня контора целый день без инета сидела, а для нас инет-что воздух. Именно для работы, что характерно. И мне, как админу, пришлось узнать о себе много нового .
При нормальной корпоративной политике, останов любого ключевого элемента сети на проф. работы выполняется в нерабочее/наименее нагруженное время и оплачивается (админам) отдельно. Более того, в ряде банков, что мы обслуживаем, такое время предусмотрено ежедневно - после окончания рабочего дня и выполнения/отсылки/приема всех необходимых видов отчетности.
Вынос на резервные сервер/канал происходит опять-таки в основном по причине аппаратных отказов. В крайнем случае, по причине апгрейда.