Покупка СЕРВЕРА (Антивирус, firewall, почтовик)

Как создать сервер оптимальной конфигурации.

Модераторы: Trinity admin`s, Free-lance moderator`s

Аватара пользователя
art
free-lance moderator
Сообщения: 653
Зарегистрирован: 15 май 2003, 11:25
Откуда: SPb

Сообщение art » 23 июн 2003, 15:00

a_shats писал(а):1. Время восстановления - чего ?
работоспособности сервИСА, вот чего.
Время перезагрузки сервера - оптимистично несколько минут.
Время переключения маршрутизации с одного роутера на другой - несколько секунд.
a_shats писал(а): Наиболее слабая с точки зрения надежности вещь на "дорогом" сервере - винт. Если работает аппаратное зеркало - отвал одного из винтов никем, кроме сисадмина, замечен не будет. Если винты в хотсвап корзине - тогда и операция по замене как факт замечена также никем, кроме сисадмина и поставщика винта, не будет.
да не спорю я. НЕ СПОРЮ. По пунктам:
- аппаратный RAID это хорошо и надежно
- дорогой сервер - это хорошо и надежно

вопрос в том нужен ли он для роутера?
a_shats писал(а): 2. Две машины - две точки отказа. Время перехода с одного сервера на другой равно нулю в Вашем варианте ? Вроде как нет. Тогда чем же надежнее две РС, чем один "нормальный" сервер ?
Оригинально мыслишь....
Конечно, если две машины одновременно исполняют ОДИН сервис и выход из строя одной приводит к выходу из строя СЕРВИСА то да.
Но я таких примеров в теме топика не вижу. Да вообще не могу придумать.....

Поясни мне, как предконфигурированный роутер уменьшает надежность другого роутера?

А если у меня в шкафу лежит запасной диск то это сокращает жизнь работающего?

про время перехода в пункте 1. смотри. В случае почтового гейта (не хранилища IMAP), почтового антивируса или роутера это время вообще никто незаметит.
В упрощенном случае - порвутся текущие сетевые сессии через NAT.
a_shats писал(а): 3. Не знаю как где, но во всех корпоративных сетях админы любые эксперименты проводят на собственном рабочем месте - и нигде более,
.
Ага. И на рабочем месте админа установлена Солярка, FreebSD, Linux... Postgres и MS SQL..... многоканальный RAID...
a_shats писал(а): а если быть более точным - вообще их не проводят, полагаясь на RTFM, корпоративные политики и правила.
.
Что не проводят? Обновления софта?
похоже, по крайней мере в случае с Win многие этой политики придерживаются, судя по тому что с code red было.

Перечислю простые примеры:
- смена ядра или вообще buidworld ( сюда же смена драйвера устройства (того же RAID)
- смена AV фильтра. Движки у DRWEB меняются не редко.

для таких вещей останавливать production сервер и
на нем проверять?
Может в банках так и делают....
Только есть риск нарваться на неприятность, если делать это, предварительно не проверив.
Заметь, что приведенные примеры требуют не просто проверить, а проверить под нагрузкой. Т.е. это не просто -сделал, перезагрузил и спать пошел.



Повторяю ещё раз свою мысль:
Для машин типа роутеров (ТЕМА ТОПИКА), которые:
1) малонагружены по дисковой системе
2) не хранят изменяющихся данных (мы договорились, что хранить лога только на роутере не разумно?), кроме может быть squid cache

Никакие RAID не нужны.

Аватара пользователя
a_shats
Advanced member
Сообщения: 5010
Зарегистрирован: 27 авг 2002, 10:55
Откуда: Москва
Контактная информация:

Сообщение a_shats » 26 июн 2003, 14:03

art писал(а): работоспособности сервИСА
Снова-здорова. Так может, предусмотреть конфиг сервера с избыточностью, дабы вышеупомянутая работоспособность попросту не падала ? ;) Т.е., обеспечить некую заданную надежность конфигом железа и регулярно проводить тестирование/профилактику ?
А переключение - ручками ? А если админ в оффлайне ;) (на больничном, например)? Живой пример: я ушел с прежней работы в конце февраля. С тех пор там была масса приключений: "экскременты" добрых программеров на сервере приложений, атаки на прокси (много развелось детишек с шаловливыми ручками), отключения эл. сети... Админа сейчас там нет. И единственная кнопка на обоих серверах, которой в совсем критических случаях пользовались - Power. И - все.
На рабочем месте админа ... VMWare и масса мануалов и готовых инструкций на большинство случаев жизни ;) .
По обновлению софта в случае с Win - не надо. Там это делается автоматом, даже и сервер автоапдейта есть - хоть всю сеть (на всех компах) апдейтить можно. Не проблема, в общем. А если вообще не обращать внимание на наличие багов и фиксов - тогда, имхо,
ничто не спасет.
Ваши простые примеры:
- смена ядра и т.п. выполняется в предусмотренное для подобных работ время и только в случае обнаружения критичной для стабильности/безопасности сервера/сети проблемы, что не настолько уж часто бывает. Опять же - у "нормальных" ОС (имеющих нормальный саппорт, в смысле) в таких случаях к фиксу прилагается четкая последовательность выполнения действий по его установке/применению.
- смена AV фильтров, движков. Мда. В общем случае - сервис/демона шедулером в нерабочее/выделенное для этих нужд время опустить можно ? Пересобрать даже, при нужде, батничком ? Рестартовать ? Не вижу проблемы, в общем ;) . Отладка таких батничков и заданий шедулера, кстати, не требует наличия многоканального RAID ;) , и даже - такого же железа, что характерно.
Code Red - как раз случай брутального пренебрежения элементарными правилами. И - при нормально сформулированных и четко выполняющихся внутрикорпоративных правилах и политиках - скорее исключение, чем правило.
"Админ должен быть ленив - тогда все
, что только возможно, будет выполняться автоматически" (с).
Далее:
"малонагружена дисковая п/с" - ух. По собственному опыту работы, 25 человек, ежедневно активно отсылающих/принимающих письма с вложениями Word/Excel/pdf/картинки в разных форматах так нагружают антивирусный модуль, что относительно неслабая машина (PIII-800, 512 Mb ОЗУ, IDE HDD UDMA100 7200 rpm - тоже тогда сьекономили, блин) попросту захлебывается(винт рычит, загрузка ЦП 100% подолгу-sic!). На относительно дохлом канале (115 КБит/с). Опять же, контент-фильтр на мыло: у меня он был в виде батничка с роботом, разбирающим письма и фильтрующим их - по строкам в теле письма - тоже нагрузка, хотя и меньше, чем антивирусник. Детальные логи (бэкап ночью) всех сервисов (мыло, прокси, ftp, socks) - тоже не подарок (при особо злобных наездах извне добегали до 1 Гб/месяц).
Кэш прокси: поскольку специфика работы в Инете той фирмы - читание массы рекламы и RTFM, за счет 5 Гб кэша, применения правильной политики кэширования (преимущественно, за счет картинок) и соотв. настроек браузеров (доменными политиками) удалось снизить HTTP-трафик практически вдвое (в сравнении с прежними 200 Мб кэша и настройками политик и браузеров по умолчанию).

Аватара пользователя
art
free-lance moderator
Сообщения: 653
Зарегистрирован: 15 май 2003, 11:25
Откуда: SPb

ну ну

Сообщение art » 07 июл 2003, 19:42

путаешь работоспособность сервЕра и сервИса.
отказоустойчивость RAID массива никак не влияет на надежность софта.
a_shats писал(а): По обновлению софта в случае с Win - не надо. Там это делается автоматом, даже и сервер автоапдейта есть - хоть всю сеть (на всех компах) апдейтить можно. Не проблема, в общем. А если вообще не обращать внимание на наличие багов и фиксов - тогда, имхо,
ничто не спасет.
поищи на слова "после + установки + sp3" по этому форуму .....
a_shats писал(а): Ваши простые примеры:
- смена ядра и т.п. выполняется в предусмотренное для подобных работ время и только в случае обнаружения критичной для стабильности/безопасности сервера/сети проблемы, что не настолько уж часто бывает. Опять же - у "нормальных" ОС (имеющих нормальный саппорт, в смысле) в таких случаях к фиксу прилагается четкая последовательность выполнения действий по его установке/применению.
.....и покажи мне у MS текст про "четкую последовательность".
ты еще советуешь ставить сервис паки под win2000 не глядя?
Заметь, там дело пахло не минутным простоем

если это не убедило и пользуешься лицензионным софтом
- поищи на google про SP2 и снос лицензий Citrix
тоже не 5-и минутное дело....

А про нормальные ненормальные OS - не нам судить.
http://uptime.netcraft.com/up/today/top.avg.html
повод для размышления

если тебе какой-нибудь юниксовод скажет, что он собирает ядро и тут же перегружает на него боевой сервер - возьми у него автогораф. Очень смелый и опытный человек. Нигде не слышал, чтобы такое кто нибудь советовал.
a_shats писал(а): - смена AV фильтров, движков. Мда. В общем случае - сервис/демона шедулером в нерабочее/выделенное для этих нужд время опустить можно ? Пересобрать даже, при нужде, батничком ? Рестартовать ? Не вижу проблемы, в общем ;) . Отладка таких батничков и заданий шедулера, кстати, не требует наличия многоканального RAID ;) , и даже - такого же железа, что характерно.
опять путаем сервЕр и сервИс. Работоспособность сервиса проверяется под нагрузкой.

Да и как то странно для такого дела останавливать почтовый релей или www сервер.
a_shats писал(а): Далее:
"малонагружена дисковая п/с" - ух. По собственному опыту работы, 25 человек, ежедневно активно отсылающих/принимающих письма с вложениями Word/Excel/pdf/картинки в разных форматах так нагружают антивирусный модуль, что относительно неслабая машина (PIII-800, 512 Mb ОЗУ, IDE HDD UDMA100 7200 rpm - тоже тогда сьекономили, блин) попросту захлебывается(винт рычит, загрузка ЦП 100% подолгу-sic!). На относительно дохлом канале (115 КБит/с). Опять же, контент-фильтр на мыло: у меня он был в виде батничка с роботом, разбирающим письма и фильтрующим их - по строкам в теле письма - тоже нагрузка, хотя и меньше, чем антивирусник. Детальные логи (бэкап ночью) всех сервисов (мыло, прокси, ftp, socks) - тоже не подарок (при особо злобных наездах извне добегали до 1 Гб/месяц).
Кэш прокси: поскольку специфика работы в Инете той фирмы - читание массы рекламы и RTFM, за счет 5 Гб кэша, применения правильной политики кэширования (преимущественно, за счет картинок) и соотв. настроек браузеров (доменными политиками) удалось снизить HTTP-трафик практически вдвое (в сравнении с прежними 200 Мб кэша и настройками политик и браузеров по умолчанию).
Ну, это наверное Win2000 + AVP.
тут я даже не советчик. Только сочуствую.

Под фрюниксами + DRWEB это что то неслыханное было бы...

я выше писал в этом топике пример про загрузку машины с аналогичными функциями. Только там канал потолще (100мбит до точки обмена трафиком) и трафика побольше (6-7 Гиг в месяц) + довольно активный web сервер.


А вообще тема выдохлась. Это уже off top. Предлагаю в почту, если интересно.

Аватара пользователя
a_shats
Advanced member
Сообщения: 5010
Зарегистрирован: 27 авг 2002, 10:55
Откуда: Москва
Контактная информация:

Сообщение a_shats » 08 июл 2003, 11:15

art
1. Что касательно оффтопа: здесь мы спорим о том, нужно или не нужно и почему, и какое именно железо для указанной в топике задачи. Потому - не оффтоп, имхо.
2. А что, работоспособность сервИса от работоспособности железа, на котором он работает, никак не зависит ? ;) Снова-здорова. И отказоустойчивость RAID-массива - из той же песни.
По поводу неустойчивой работы SP3 - писал в т.ч. я ;) . Но это, главным образом, вопрос к Микрософт ;) . А если серьезно - то установка SP3 после SP2, например, описанных там проблем не вызывает.
Про W2K, наверное, спорит не стоит (особенно в контексте Windows vx *nix). Тем более, что все вопросы снимаются одной перезагрузкой.
Насчет сноса лицензий Citrix - дык, а Вы, собственно, в детали вдавались ? ;) Не цитриксовые там лицензии сносятся - бьются лицензии именно W2K. И то - проблема уже решена, вроде как. А где их не бывает ? И вопрос: зачем нужен конкретно Citrix на сервере из топика ? А вот по поводу Вашей ссылки - там ключевое слово не *nix, а Apache - т.е. ссылка несколько не в тему. Апач есть под Win.
Что по поводу сочувствия - до того стоял PII-333/FreeBSD/PPPoE ;) .
Да и вообще, весь наш спор о том - на чем этот софт будет работать - на железе, для того предназначенном, либо нервах админа. ;)
Я видел решения типа описанного Вами, и знаю немало админов, делающих по описываемым Вами рецептам такие вещи. Но: на вопрос "хотели бы Вы, чтобы Ваш софт работал на "нормальном", полноценном, избыточном - для надежности серверном hardware" - так вот - все поголовно ответили утвердительно.
О чем и говорю. ;)

Аватара пользователя
art
free-lance moderator
Сообщения: 653
Зарегистрирован: 15 май 2003, 11:25
Откуда: SPb

договорились...

Сообщение art » 08 июл 2003, 12:00

1) дорогая, надежная машина - это хорошо. С самого начала не спорил. (повторяю сам себя за 4-5 постов назад)
2) RAID _не_защитит_ админа от ошибок производителей софта.
Если вышеприведенные примеры проиграть на одной машине из п.1 , то потеря времени будет весьма велика.
Кажется человек из форума недели две искал проблему?
3) ....Сначала проверить, потом поставить....
- если выбирать решения от MS - поставить на ту же машину вторую копию сервИса (IIS, exchange) невозможно (про Апач не скажу, просто не пробовал под Win). Посему остается фактор неизвестности.
- если выбирать решения xNIX то для поставленых задач мощная машина не нужна. RAID-1 максимум.

________

и что же "PII-333/FreeBSD/PPPoE" был на таком канале и при этих задачах загружен?

"относительно неслабая машина (PIII-800, 512 Mb ОЗУ, IDE HDD UDMA100 7200 rpm - тоже тогда сьекономили, блин) попросту захлебывается(винт рычит, загрузка ЦП 100% подолгу-sic!)"

успокой меня пожалуйста, я надеюсь это уже не ../FreeBSD/.. , а win2000+mdaemon?
Тогда вопросов нет.

Ответить

Вернуться в «Серверы - Конфигурирование»