Apache -> Mysql mit SSL, VPN oder SSH-Tunnel?

peterle

peterle

Forenkasper
Kuckuck,

ich bräuchte mal einen Stups von den Praktikern hier.

Wie macht man am besten eine Verbindung zwischen einem Indianer und seinem MySQL-Pferdchen über das große böse Schäublenetz besser per VPN, SSL oder SSH-Tunnel?
Das sind zwei Server in einem RZ und wir wollen für unser Forum die beiden Dienste auf verschiedene Server legen, wg. Performance u.s.w.

Danke im voraus. :)
 
Also, ohne viel erfahrung speziell mit mysql zu haben, würde ich eher zu vpn tendieren, am besten ipsec oder so

ABER - wenn die beide in einem Rechenzentrum stehen - sollte man die dann nicht einfach in der nähe zueinander stellen können, beiden eine zusätzliche netzwerkkarte spendieren und verbinden können?

Damit würde man dann alle eventuellen Probleme umgehen können.
 
CommanderZed schrieb:
Also, ohne viel erfahrung speziell mit mysql zu haben, würde ich eher zu vpn tendieren, am besten ipsec oder so

ABER - wenn die beide in einem Rechenzentrum stehen - sollte man die dann nicht einfach in der nähe zueinander stellen können, beiden eine zusätzliche netzwerkkarte spendieren und verbinden können?

Damit würde man dann alle eventuellen Probleme umgehen können.
Zum Vergrößern anklicken....
vermutlich wird es eines der billigeren massenhoster-RZ's sein, wie strato, wo das nicht mal so einfach geht :)

ich habe damit zwar keine erfahrung, würde mir aber erstmal ssh anschauen, wegen der deutlich geringeren komplexität der konfiguration!

so sachen wie compressionsfaktor, die dann auch den speed/latenzzeit beeinflussen, kann man ja auch mit ssh konfigurieren.
 
baut sich der ssh-tunnel automatisch wieder auf, wenn mal ein knoten wegbricht? wir haben hier einige ipsec-tunnel per openbsd aufgebaut. mit ipsecctl ist die einrichtung gar nicht so schwer und die bauen sich nach zwangstrennung etc. wieder auf.
allerdings stehts mit der mysql-performance und openbsd nicht gerade zum besten.

mir drängt sich allerdings die frage auf, ob es so sinnvoll ist, die beiden dienste auf verschiedene kisten wegen der last auszulagern, aber das dann alles über jeweils eine netzwerkkarte abzufackeln. wäre es da nicht sinnvoller, falls es möglich ist, separate zu verwenden und diese dann mit privaten adressen zu versehen?
 
Zuletzt bearbeitet:
Bedenke auch das du zusätzliche Latenzzeiten bei den
Abfragen provozierst wenn nochmal alles über ein Kabel reiten muß.

(Eine Kiste,Denn ersten auffälligen 'hardwaremässigen' Flaschenhals beseitigen
und eine performante Distri für deine Zwecke.1-2-3)
 
Entweder mit Direktverbindung, über eine zweite Karte oder garnicht. vpn, ssh usw. wird ungefähr soviel Last verbraten, wie es der Apache auch einzeln schafft. In dem Fall könnte man den Apache also auch ruhig mit auf die DB-Server-Kiste packen.
 
Die Kisten stehen bei Hetzner.
Die aktuelle Konfiguration hat ein Apache2-mpm-prefork mit MySQL5 und stößt mit 4GB RAM an die Grenzen seiner Möglichkeiten.
Die Netzanbindung liegt bei 1GB und scheint keine Probleme zu machen.
Der Apache liefert ein vbulletin, eine Photopost Galerie und ein Mediawiki.
Pro Tag turnen was an die 10.000 Leute drüber.
Nebenbei macht er dann noch einen Mailserver und fährt nachts ein paar Sicherungen für Paranoiker.

Das Forum kickt bei Überlast ein paar Leute raus, aber das sind mittlerweile zu viele und wenn die auf andere Seiten noch zugreifen, frisst der Indianer allen Speicher auf und stürzt sich in die Schlucht des ewigen Verhängnis.
Nun kann ich dem zwar die Ressourcen beschneiden, aber das nutzt mir wenig, denn wir machen das Forum ja für die User und nicht um vor die Wand zu wichsen.

Das ganze rennt aktuell unter Debian Etch - was ja sicherlich ein böser böser Frevel ist - aber ich wollte im GAU nicht mit einem Riesengefrickel dastehen müßen.
Ehrlich gesagt, funktioniert es auch gut, wenn man sich an die - für mich etwas kruddelige - Administration gewöhnt hat.

Die üblichen Tricks aus schlauen dicken Büchern, wie High Performance MySQL und einem entsprechenden Apache-Security Werk bin ich durchgegangen.

Die gängige Methode wenn der vbulletin-Server an die Grenzen stößt liegt darin, die Datenbank auszulagern - der Mailserver wandert bei der Gelegenheit direkt mit auf einen dritten Server. Dann kann man demnächst noch weitere Apache daneben stellen, wenn das Wachstum so weiter geht. Interessant wäre natürlich auch mal ein Loadbalancing, was man mit dem Apache mittlerweile wohl ganz nett hinbekommen können soll, allerdings ist mir noch schleierhaft, wie ich die ca. 40.000 files der user vernünftig synchronisiert bekomme.

Bei VPN und SSH frage ich mich auch, wie das im Crashfalle aussieht, ob und wann die sich wieder von alleine aufbauen und ob es dafür fertige Skripte gibt oder ob man sich selber was frickeln muß.
An die zweiten Karten habe ich auch schon gedacht ... werde ich mal fragen.
Wobei man bei Hetzner besser die Kisten weeeeeeeeeit auseinander stellt.
Die machen nämlich den günen Strom vermutlich durch Strampeln selber und da ist dann mal die ein oder andere Ecke ohne Strom.:D
Soll jetzt aber besser werden. ;)
 
VPN zB OpenVPN kann zB mit einem
Code: 
ping 15
ping-restart 300
resolv-retry 300
den Tunnel im Falle eines Verbindungsabbruches automatisch wieder aufbauen. Läuft hier über 2 24h-Zwangstrennungs-Rechner.

HTH
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben