[Projekt] Linux Fileserver mit Echtzeitverschlüsselung (für WiKi)

[shaya]

Hallo Leute,

ich würde hier gerne ein Projektthreat aufmachen, um später ein Howto zu schreiben und ein bisschen mit Linux herum zu experimentieren.

Was soll dabei raus kommen:

Ein Linux Server, der typische Aufgaben im privaten, sowie den mittelständischen Geschäftskundenbereich abdeckt.

1. Ausbauschritt:
- Fileserver mit Echtzeitverschlüsselung
- automatisierter Backup auf USB Festplatte oder anderen Medien
- weitere Sicherheit durch Raid1, Raid5 oder Raid50 (Software oder Hardware)
- Benutzergesteuerte Zugriffsrechte (eventuelle Kompatibilität mit ADS von Windows)
- UPNP-Server und iTunes-Server
- Direct Download und Bittorrent-Client (eventuell Steuerbar über Browser)

2. Ausbauschritt
- Zurverfügungstellen von Daten über das Internet (zB. über VPN)
- LAMP
- Exchange-Ersatz mit ADS-Kompatibilität
- Router
- Firewall
- Virtualisierung
- Steuerung aller Dienste über eine web basierende einheitliche Benutzeroberfläche.


Hardwaretechnische Voraussetzungen:
- gute Erweiterbarkeit (mehr Festplatten, mehr Arbeitsspeicher, usw.)
- Komponenten mit geringem Stromverbrauch
- die Möglichkeit, automatisiert in Standby und mit Wake-on-Lan wieder aufzuwachen
- gutes Kosten-/Nutzenverhältnis

Aus diesem Projekt soll später ein Howto entstehen, damit alle etwas davon haben.

So weit, so gut. Lasst uns mit der Hardware beginnen:

- Wieviel Leistung brauchen wir für den 1. Ausbauschritt?
- Wieviel Leistungsreserven für den 2. Ausbauschritt? (Ohne große Datenbankanwendungen)


So long,
Skye

 

[ulukay]

kommt halt drauf an
wieviel daten?
gbit?
welche datenraten für wieviel leute sollen gleichzeitig verfügbar sein?

und auch dir sage ich - router/firewall hat auf einem produktivserver NIX verloren

lieber openbsd auf einer minikiste - oder gleich m0n0wall
als HW sowas: http://m0n0.ch/wall/hardware.php
http://shop.a-enterprise.ch/product_info.php?cPath=31&products_id=29

 

[shaya]

Würde sagen zwischen 5 bis 15 gleichzeitge Zugriffe. Im privaten Bereich wird denke ich maximal 5 user gleichzeitig auf Mediendaten zu greifen. Im Geschäftkundenbereich vielleich 15 User auf Officefiles oder Photoshopzeugs... je nach Anwendung.

Welche Hardware sollte bei großen Datenmengen erweitert werden? Arbeitsspeicher? Hardware RAID Controller statt Software?

Von Gigabit-LAN geh ich jetzt einfach mal aus, so teuer ist das nicht mehr und auch im privatem Umfeld gut einsetzbar. Anisch will ich das Howto ein wenig offen gestalten. Aber über 50 User wirds denke ich niemals hinausgehen.

 

[ulukay]

switch mit port trunking sowie mehrere NICs im teaming

HW-SW raid controller is in linux nicht so happig, raid5 schreibraten von 90mb/s sind kein problem mit aktuellen cpus
linux sw raid is sogar wesentlich flexibler als hw-raid

die aes verschlüsselung ist mit dem cm-crypt modul auch multithreaded - sprich ein quadcore rein und du hast deine 90mb/s schreiben auf ein verschlüsseltes sw-raid5

viel speicher hilft immer viel (filesystem cache!) - 8gb oder 16 soviel wie das board packt.

 

[LeviathanX]

Hm, Dateisystem: ich würde XFS mit ACL - Erweiterung nehmen, wenn du schon an AD denkst
Teaming von Netzwerkkarten: da würd ich gleich ne Dual-GBit oder Quad-GBit von iNTEL empfehlen - kostet aber bis zu 350 Eur (Quad). Zudem brauchst du ein Board mit zwei PCI-e Slots. Mindestens einen 4x für die Dual- bzw. Quad-NIC und 8x für den HW-RAID-Controller. [ wenn du soviel investieren willst/kannst ]....
Switch mit Trunking dann auf jedenfall, aber auch die interne Datenrate sowie Paketpuffer dessen sollte nicht zu niedrig sein...

 

[ulukay]

jap an xfs habe ich auch gedacht, das benutzt den cache exzessiv
eine USV mit shutdownsoftware sollte da natürlich selbstverständlich sein!

 

[-INU-]

Wie wäre es denn mal mit 2-3 Preisklassen oder baut ihr jetzt das Optimum koste es was es wolle ?

 

[LeviathanX]

Er möchte ja was zukunftsicheres und da sollte man bei weitem nicht am falschen Ende sparen....
Z.B. die Dual/Quad Karten von iNTEL sind für LoadBalancing und so Sachen schon ausgelegt...
Gibst lieber mal 1000 Eur für die Hardware aus, dafür hast du aber auch was ordentliches was paar Jahre hält; ist ja schließlich kein Gaming-PC

Das teuerste werden am Ende so oder so die Platten sein... bzw Storage und Backuplösungen sein

 

[shaya]

Hi Leute...

die Beteiligung freut mich. Anisch geht es primär nicht um mich, sondern um ein Howto wo Leute, die nicht so viel Ahnung haben, bissle was hinbekommen.

Sicherlich geht es indirekt auch um mich... aber ich will hier jedem helfen, der sowas in Erwägung zieht.

als Dateisystem XFS, werd ich mal vermerken... So weit ich das verstanden habe, profitiert XFS von einem Dualcore Prozessor? Und auch eine Echtzeitverschlüsselung kommt erst durch einen Dualcore richtig in Fahrt. 90 MB/s ist ja mal ganz ok.

2 Frage: Was ist ALC und was Port Trunking?

Im Heimgebrauch würde ich sagen, müsste eine Intel Gigabit Lösung (nicht dual oder gar Quad) reichen. Wenn so ein Raid maximal 90 MB/s erreicht, müsste das doch auch ausreichend sein, oder? Nehmen wir an, wir bekommen nur 80% vom Gigabit, dann sind wir bei 800 MBit/s... durch 8 wären wir bei 100 MByte/s. 90 brauchen wir. Stimmt meine Rechnung? Vom Geschäft weis ich, dass 25MBit/s für nen HD Stream ausreicht. Das heisst, wenn wir nur 80 MBit/s erreichen, würde das für 3 Filmekucker ausreichen. Würde hier nicht auch eine Onboard Gigabit Controller von zB Realtek oder Marvel ausreichen?

Preisklassen:
Für Heimbereich 150-250€ ohne Festplatten
kleine Firmen müssten so 500-600€ ohne Festplatten invistieren, oder?
mittelständische bis 50 Mitarbeiter so um die 1000€

Was meint ihr dazu?

Dualcore ist beschlossene Sache. Oder sollten wir auch Quadcore in Erwägung ziehen?
Wenn Dualcore: Was haltet ihr von einem AM2 Athlon X2 BE-2400? 35W ist ganz nett. Oder doch lieber Intel?

Fragen über Fragen... aber nur so kommen wir zu einem guten Ergebnis

 

[-INU-]

Also für die letzte Klasse ist ein quad auf alle Fälle Pflicht ob er jetzt auch in die Mittelklasse kommt lässt sich streiten bzw hängt von den Diensten ab die letztendlich alle laufen werden.

Auch würde ich wenn man mit Desktophardware arbeitet auf Intel setzten da es dort einfach die besseren boards gibt und undervolteter Intel auch mit seinen 35 ~ 40W idelt

 

[ulukay]

eine realtek nic würde ich unter keinen umständen benutzen unter linux
deren treiber sind verbuggt und wenn du viel ram und 64bit benutzt bekommst riesige probleme - lieber eine pcie intel gbit karte um 30 euro!

port trunking müsste der switch unterstützen wenn du mehrere nics im server mit load sharing fahren willst

quad würde bei der verschlüsselung helfen

90mb/s SCHREIBEN (limitiert durch die paritätsberechnung die von der cpu ausgeführt wird bei sw raid5)
wenn du 6 aktuelle sata platten im raid5 hast bekommst ~400mb/s lesen von den platten und dann wird wiederrum die cpu limitieren dank der verschlüsselung (vom raid her muss sie beim lesen nix berechnen) - da würde sich ein quad gut machen -> was wiederrum nur sinn macht wenn du die netzwerklast über mehrere nics verteilst (ansonsten bist ja auf ~120mb/s limitiert)

~2,4 ghz c2d dürfte so um die 70mb/s packen beim aes verschlüsseln PRO KERN!

 

[MrWeedster]

Hoi.

Aeh Ulukai: Wie meinen, bei einem SW Raid hast du beim Lesen keine Belastung? Wenn wir von einem Paritaets-RAID sprechen (SW Raid 5) ist da auf jeden Fall Last. Und zwar keine unerhebliche.

Ausserdem bitte ich dich die MB/Mb konventionen einzuhalten, man weiss nicht ob du von MegaByte/s oder Megabit/s sprichst.

[E]
OnTopic:
Bei der Netzwerkkarte keine Abstriche machen: Eine Intel Karte ist fuer Gigabit-Raten von ~100MB/s _essentiell_.


greetz

 

[ulukay]

nein beim lesen hast du keine last (die durch das raid level generiert wird, nur das lesen von den einzelnen platten, also die 2-3% pro platte) - auch nicht von paritäts arrays denn die parität wird beim lesen nichtmal angegriffen

in meinem post rede ich immer von megabyte wenn was unklar war

 

[shaya]

Zusammenfassung:
- Intelplattform mit Quad, wenn das mit der Verschlüsselung klappen soll. Frage: Kann das Verschlüsselungsproggi überhaupt mit 4 Kernen arbeiten? Würden auch ein Dualcore reichen? 2x70MB/s ist doch ganz i.O. Wie sieht es da wieder mit dem Stromsparen aus? Was ist mit den Athlon X2 BE's?

Werden wir konkreter: (PK=Preisklasse)

PK1: Welcher Prozzi, welches Board und wieviel Speicher?
PK2: " " " " " " "
PK3: " " " " " " "

wg. Netzwerkkarte: was bedeutet "low profil"?

Vorschlag Intel:
- Intel Core 2 Duo E4700 2MB Cache 333MHz FSB
- Intel Core 2 Duo E8200 4MB Cache
- Intel Core 2 Duo E6600 von meinem jetzigen PC

- Asus P5W-DH Deluxe
- Intel Entry Server Board mit i3000 Hätte wenigstens schon 2xGBit Lan drauf (Braucht man dafür ein 19" Gehäuse?)
- Welcher Chipsatz käme noch in Frage

- Intel PRO/1000 PT Server Adapter, 2x 1000Base-T, PCIe x4

Vorschlag AMD:
- Athlon X2 BE-2400 2x 2,3Ghz 1MB Cache
- Gigabyte GA-M68SM-S2, nForce 630a

 

[nate`]

low profile wird häufig bei 2 he eingestetzt, also nicht die volle höhe des pci-slots ... (google hätts auch getan!)

 

[-INU-]

Aso ich würde hardwaremäßig in diese Richtung gehen

CPU - E8400 ooder Q9300 (und undervolten)
Board - ASUS P5K-WS
RAM - 4-8Gb 800er (profitiert die Verschlüsselung von CL4 ?)
Graka - Irgendwas zwischen 7300 und 8400 bzw passender ATI Pendant
Controller - Je nach Anspruch und bzw Plattenanzahl
NIC - Intel Single bzw Dual Gbit PCIe NIC

Alternativ könnte man auch ein P5WDGS-PRO nehmen, müsste dann aber auf die 65er setzen und hätte dafür aber 2 64er PCIs und mehr onboard SATAs.

Die Phenoms sind ja eigentlich besser eignet für sowas aber da fällt mir kein board ein welches einen oder mehrere 64bit PCIs bietet.

 

[shaya]

Gut... nun sind wir aber schon in der PK2 oder 3 angelangt.

Frage zum Switch. Welcher ist der billigste 8-Port GBit Switch mit Port Trunking? Hat jemand ne Empfehlung?

Kleine Zusammenfassung:

PK1: 2,4GHz Dualcore (event. auch Athlon BE?) + Intel GBit Karte + 2GB Speicher (120MBit/s lesen und schreiben, limitiert durch 1xGbLAN)
PK2: 3,0GHz Dualcore + Intel 2xGbLAN + 4GB Speicher (180MBit/s lesen, 240MBit/s lesen, limitiert durch Dualcore)
PK3: 3,0GHz Quadcore + Intel 4xGbLAN + 8GB Speicher (?MBit/s limitiert durch ?)

 

[Muaddib]

Ich werfe mal das Mainboard hier mit in den Raum:
Asus P5BV-C/4L (4x G-LAN, VGA, SATAII RAID)
--> http://www.alternate.de/html/produc...HARDWARE&l1=Mainboards&l2=Intel&l3=Sockel+775

hätte schon mal 4xGbit Karten onboard...
Hab meins jetzt seit einer Woche am laufen und bin ziemlich begeistert was Durchsatz etc betrifft.

Allerdings meldet sich der zweite Raid-Controller bei mir als LSI ?!?

 

[x-stars]

lieber openbsd auf einer minikiste - oder gleich m0n0wall
als HW sowas: http://m0n0.ch/wall/hardware.php
http://shop.a-enterprise.ch/product_info.php?cPath=31&products_id=29

Warum kein Solaris mit ZFS? Auf meinem Srv läuft zwar auch nur ein schönes Etch, aber soll ZFS nicht die Uber-Lösung sein?

 

[Lord_Bender]

Warum kein Solaris mit ZFS? Auf meinem Srv läuft zwar auch nur ein schönes Etch, aber soll ZFS nicht die Uber-Lösung sein?

da hast du schon recht zfs ist was verdammt geil.

Wir sind gerade erst, damit angefangen zu Test, ob wir das auf der Arbeit einsetzen, aber es macht einen hammer Eindruck und ist sau schnell

 

[shaya]

das XFS verspricht viel... aber lasst uns erst mal bei der Hardware bleiben

 

[LeviathanX]

Switches .. hmm
Ich pers. hatte vor nen HP ProCurve 1800-24G zu holen.. Durfte mal an einem größeren Modell "spielen" und war recht begeistert von dem Procurve-Switch

Gibt's auch als 8Port - HP ProCurve 1800-8G

Trunking wäre auch kein Problem

provides link-level redundancy with support for up to 4 trunks on the ProCurve Switch 1800-8G and 12 trunks on the ProCurve Switch 1800-24G, each with up to 8 links (ports) per trunk

Anonym zu www.hp.com/rnd/products/switches/ProCurve_Switch_1800_Series/features.htm

Müsste glaub sogar lüfterlos sein...

Sind auch net so schweineteuer; 8 Port ab 115 Eur, 24 Port ab 300 Eur

 

[pred2k]

hi, interessantes Thema.

Ich benutze zur Verschlüsselung meiner Daten unter Debian cryptsetup-luks mit serpent-cbc-essiv:sha256.
Leider habe ich noch keine benchmarks der unterschiedlichen Algorithmen gesehen und auch nicht im zusammenhang mit softraid5, was mich sehr interessiert. Ich könnte mal den link zur einrichtung herraussuchen, wenn interesse besteht.
Zur Zeit ist mein server ein 800er Duron mit billig Realtek GBitLAN und etwas älteren Festplatten (kein RAID, 120gb und 200gb Generation). Maximaler lese-/schreibgeschwindig liegt bei 24Mbyte/s per ftp

Ich finde Quadcore schließt schon wieder den begriff stomsparend aus. Also lieber einen AMD BE.

Das wohl beste wäre dazu ein ATX-Board mit dem CPU-entlastendem onboard Intel GBitLAN-Chip, onboard Grafik und sowas wie 8 mal SATA zum anschließen der ganzen Festplatten. Das wäre dann schon mal stromsparender als wenn man da LAN und/oder RAID als erweiterungskarte drin hat.

Ein CPU-Benchmark für softwareraid5 wäre interessant.

Ohne anständige Benchmarks oder userberichten in dem bereich softwareraid5 und verschüsselung macht es kaum sinn zu raten, was den die passende CPU dafür ist.

 

[wurstsupp]

hi, interessantes Thema.

Ich benutze zur Verschlüsselung meiner Daten unter Debian cryptsetup-luks mit serpent-cbc-essiv:sha256.
Leider habe ich noch keine benchmarks der unterschiedlichen Algorithmen gesehen und auch nicht im zusammenhang mit softraid5, was mich sehr interessiert. Ich könnte mal den link zur einrichtung herraussuchen, wenn interesse besteht.
Zur Zeit ist mein server ein 800er Duron mit billig Realtek GBitLAN und etwas älteren Festplatten (kein RAID, 120gb und 200gb Generation). Maximaler lese-/schreibgeschwindig liegt bei 24Mbyte/s per ftp

Ich finde Quadcore schließt schon wieder den begriff stomsparend aus. Also lieber einen AMD BE.

Das wohl beste wäre dazu ein ATX-Board mit dem CPU-entlastendem onboard Intel GBitLAN-Chip, onboard Grafik und sowas wie 8 mal SATA zum anschließen der ganzen Festplatten. Das wäre dann schon mal stromsparender als wenn man da LAN und/oder RAID als erweiterungskarte drin hat.

Ein CPU-Benchmark für softwareraid5 wäre interessant.

Ohne anständige Benchmarks oder userberichten in dem bereich softwareraid5 und verschüsselung macht es kaum sinn zu raten, was den die passende CPU dafür ist.

24MB/s sind nicht schlecht für einen Duron 800.
Ich schaffe hier mit AES-128 verschlüsselung/LVM/Software-Raid über onboard Broadcom GBIT Lan ca. 60MB/s. CPU ist ein Opteron 146 (2GHz)

 

[pred2k]

24MB/s sind nicht schlecht für einen Duron 800.
Ich schaffe hier mit AES-128 verschlüsselung/LVM/Software-Raid über onboard Broadcom GBIT Lan ca. 60MB/s. CPU ist ein Opteron 146 (2GHz)

raid5?

Ich habe vor meinen aktuellen Desktop (Athlon64 3700+) testweise als neuen Server zu benutzen, wenn ich mir einen neuen Desktop kaufe. Das Board hat glücklicherweise 8 mal SATA, 2x Gbit LAN Ports (mal schauen welcher schneller ist) aber kein onboard Grafik.

Wenn ich mir was neues laufen würde, dann dürften CPU + RAM + Board + evtl. SATA Controller + evtl. GBit-LAN nicht mehr als 250 Euro kosten. Mehr ist mir das ganze für den privaten Gebrauch einfach nicht wert.

 

[wurstsupp]

Ja, Raid5
es ist auch ganz klar die CPU welche limitiert (Auslastung 100%)

 

[LeviathanX]

hm... hab jetzt selbst mal so ne Performance Frage.. Sollte man eher zwei Phenom Quads oder zwei Xeon Quads für Live-Verschlüsselung von der Performance her benutzen... Naja Stromverbrauch fällt bei geplanten zehn Platten eh schon nicht mehr ins Gewicht denk ich

 

[shaya]

Ok, nun wirds interessant. 4 Augen sehen mehr als 2...

Denke wir könnten noch paar andere Interessenten finden und zusammen was ordentliches zusammenstellen.

Ist ja auch mein Ansatz, denn ich denke, so ein Fileserver ist für jeden Interessant, der außer Virusupdates auch noch anderes aus dem Netz zieht.

Und auch für kleinere Unternehmen ist wegen sensibler Daten ein AES verschlüsseltes Raid5 optimal.

Ich bin momentan auf der Suche nach Erfahrungsberichten rund um TrueCrypt und CM-Crypt und der dazu verwendeten Hardware, sowie Benchs.

So long...

 

[Schlingel_INV]

Verschlüsselung reizt mich persönlich auch sehr. Hab jedoch bisher die Finger davon gelassen, da mir der Einsatz ohne ECC zu riskant ist. Nen guter Freund von mir hat deshalb schonmal schlechte Erfahrungen machen müssen und Daten waren zum Teil nicht mehr lesbar.

Bleibt bei mir nur der Einsatz mit Serverhardware oder gibts da alternativen?

 

[hostile]

Verschlüsselung reizt mich persönlich auch sehr. Hab jedoch bisher die Finger davon gelassen, da mir der Einsatz ohne ECC zu riskant ist. Nen guter Freund von mir hat deshalb schonmal schlechte Erfahrungen machen müssen und Daten waren zum Teil nicht mehr lesbar.

Bleibt bei mir nur der Einsatz mit Serverhardware oder gibts da alternativen?

Versteh ich nicht so ganz. Ich hab nen PSCH-L mit P4 1,8Ghz und nen Raidset mit TrueCrypt 3.1 unter Windows 2000 laufen seit 1 1/2 Jahren. Null Probleme. Hab sogar schon Platten getauscht... Und ich glaube ich hab non-ECC RAM verwendet... (was eig. nicht meine Art ist )


gruß
hostile

ps. Uptime liegt gerade bei ~260 Tagen seit dem letzten Stromausfall..