Neuinstallation Mail/Web/sonstwas-Server. Fragen und Anregungen

thorwin

Well-Known Member
Hallo,

ich plane grade den Neuaufbau meines Rootservers und bin da über einige Fragen gestolpert. Vielleicht kann mich der eine oder andere etwas erhellen:

Hintergrund: Derzeit habe ich einen Linux (OpenVZ-) basierten vServer, auf dem ein ziemliches Durcheinander von Diensten und Anwendungen vereint ist:
  • Mailserver (postfix)
  • POP/IMAP-Server (dovecot)
  • Webserver (lighttpd mit fastcgi)
  • IRC bouncer (znc)
  • MySQL
  • PostgreSQL
  • CalDAV / CardDAV-Server (DAViCal)
  • Webmail (roundcube)
  • div Blogs (wordpress)

In Kürze zieht das ganze um auf einen KVM-basierten vServer, was mir endlich die Möglichkeit gibt, auch hier FreeBSD einzusetzen. Der Provider bietet 8.2 direkt als virtuelles CD-Image zur Installation an, also werde ich wohl auch diese Version nehmen. Um die Dienste ein wenig zu isolieren, werde ich jails einsetzen, diese werden (wenn sich hier keine gewichtigen Gegenargumente finden) mit ezjail verwaltet werden.

Die jails wollte ich in etwa so trennen:
  • web
  • mail
  • bouncer
  • Datenbanken

Folgende Fragen stellen sich mir allerdings noch:
  • SSH: Wohin SSH'en? Direkt auf den Host, in eine eigene jail oder in eine, die sowieso schon existiert und einen anderen Dienst bereit stellt?
  • WWW: Ein Webserver für alle Dienste oder auch hier trennen? Z.B. einer für die Blogs und einer für DAViCal und webmail? Oder doch alles einzeln?
  • Mail: postfix und dovecot in eine jail oder trennen? Letzteres hätte den Nachteil, dass ich nicht mehr lokal an sieve übergeben kann sondern noch - vermutlich dann mit lmtp - eine Zwischenschicht einbauen müsste.
  • Architektur:32 oder 64 Bit? Der Server hat 1 GB RAM, insofern müssen 64 Bit nicht sein, aber warum sollte man noch 32 nehmen?
  • ZFS: Ja oder Nein? Gilt die Empfehlung noch, ZFS erst ab 4 GB einzusetzen? Grade in Verbindung mit ezjail ist es halt ne scharfe Sache...

Wie sind eure Meinungen hierzu? Ich bin für jede Anregung dankbar.
 
Meine Meinung:

ssh: direkt auf den Host. Dort kannst du mit jexec in die Jails. Alternativ nimmst du in jede Jail ssh, mit jeweils verschiedenen ports.

www: Würde ich nicht trennen. Wäre mir zu viel Gefuddel.

Mail: Auch in eine Jail. Grund? Gefuddel.

Architektur: 64bit. Eben. Warum noch 32 bit? Wenn du irgendwann umziehst, kannst du alles mitnehmen.

ZFS: Nein. Yamagi sagt immer so schön: Wenn du fragst, ob du es brauchst, wirst du es vermutlich nicht brauchen. Und ich lese auch immer: 1GB reicht nicht.

HTH
 
OK, vielen Dank. Das deckt sich komplett mit dem, was ich so "aus dem Bauch heraus" auch gemacht hätte. Mal sehen, was nocht kommt... :cool:
 
Hallo,

ich plane grade den Neuaufbau meines Rootservers und bin da über einige Fragen gestolpert. Vielleicht kann mich der eine oder andere etwas erhellen:


Die jails wollte ich in etwa so trennen:
  • web
  • mail
  • bouncer
  • Datenbanken

Ich frage mich immer, warum so viel Jails? Welchen Vorteil hast du davon? Die Dienste sind doch schon durch die IDs, unter denen sie laufen, separiert.

Rob
 
Also ich sehe in schöner Jail-Separierung eindeutig einen administrativen Vorteil. Ich kann ruhigen Gewissens den Inhalt eines Jails updaten (oder auch kaputtspielen), ohne das die anderen Dienste in den anderen Jails in Mitleidenschaft gezogen werden oder irgendwelche Bibliothek-Inkompatibilitäten irgendetwas zerschießen.
Oder schnell mal ne neue Jail zum experimientieren erstellen und wenn nicht mehr benötigt, einfach wieder entfernen und keine Sorgen über verbleibene Reste machen.
 
Das sehe ich genauso.
Ich separiere auch alles in Jails und nutze ezjail mit zfs.
Habe noch nicht gehört, dass man aus einer Jail rauskommt.
Alleine das ist ein Grund für mich.
Prima Sache wie ich finde.
Zack, bums, return is nee Jail erstellt...auch Backups sind schön...und die sache mit den Snapshots....prima.

Ich komme über ssh auf den Host, dann per jexec weiter auf die Jails.
Einige Jails erreiche ich aber zusätzlich noch per ssh, z.B. git und so ein Kram.
 
Ja, bei git macht es wohl Sinn ;)

Jails sind eigentlich gesetzt, die Gründe hat cla hinreichend beschrieben. Ich bastel oft und gerne am System rum (vorzugsweise am Webserver... mal tomcat, mal drupal, dann wieder RoR und zurück). In einer jail kriegt der Mailserver da halt nix von mit -> perfekt.
 
Jails sind eigentlich gesetzt, die Gründe hat cla hinreichend beschrieben. Ich bastel oft und gerne am System rum (vorzugsweise am Webserver... mal tomcat, mal drupal, dann wieder RoR und zurück). In einer jail kriegt der Mailserver da halt nix von mit -> perfekt.

Hmm, welcher MTA hat Abhängigkeiten mit HTTP-Servern gemein? Warum sollte der Mailserver sich daran stören, wenn du deine Webserversoftware austauschst?

Rob
 
Direkte Abhängigkeiten gibt es sicher nicht, aber das garantiert nicht zwingend, dass nicht doch Nebeneffekte auftreten.

Und was sicher bleibt ist die Möglichkeit, eine jail (z.B. den Webserver) mal eben neu auszusetzen ohne sich um "kritische" Services wie Mail kümmern zu müssen.
 
Back
Top