ESXi auf Webserver?

[bastimm]

Hallo zusammen,

so jetzt muss ich erneut nerven
SORRY erstmal und im Voraus Danke für Eure immer hilfreichen Antworten!

Ich habe aktuell meinen Testserver lokal laufen und werde demnächst unseren lokalen Server umstellen.

Da demnächst ein neuer Webserver ansteht, bin ich am überlegen, ob es Sinn macht, auf unseren Webserver einen ESXi zu installieren?
siehe z.B:
http://wiki.hetzner.de/index.php/VMware_ESXi

Nachteil ist auch, dass der Server keinen RAID hätte, aber 2 Platten und ein Backupserver reichen normal.... einmal die VM Wegkopieren und täglich die DBs und Content sichern.


Prinzipiell klingt das ja gut, da wir so Webserver, Mailserver und Kundenserver trennen könnten....

nun meine Frage zur Sicherheit. Für wie sicher haltet Ihr das Ganze?
Der ESXI ist ja per SSH und vSphere von aussen angreifbar...

gibt es evtl irgendwelche Tips oder ist ein ESXi auf einem Webserver ein NoGo?
Performancetechnisch dürften 3 kleine Debian Installationen ja kein Thema sein?
Server: Core i7-2600, 16GB RAM.
Geplant wäre ein Mailserver und 2mal Webserver mit MySQL DB

Danke im Voraus!!

[elgato319]

Also wenn du den Honig an das Fenster stellst, brauchst du dich über Bienen nicht wundern.

Das ganze würde zwar funktionieren, ich hätte jedoch immer Angst über die offenen Ports die du da der Aussenwelt präsentierst. Schöner wäre es wenn das ganze duch eine Firewall + VPN abgesichert wäre.

Eine ganze andere Sache ist auch ob die Hardware die du da nutzen möchtest soweit supported wird das der ESXi auch startet. Über ein nicht vorhandenes Raid brauche ich ja nix zu sagen. Sollte man lieber lassen.

[PeterDA]

Hi,
also das hier geht nicht

ESXi auf einem Webserver

Du kannst eine Webserver VM auf einem ESX installieren aber nicht anders rum.

Das ganze ist kein NoGo du must den ESXi halt entsprechend härten. Normalerweise stellt man den ESXi in interne Servernetz und ie Webserver VM dann in die DMZ. dann ist das ganze sauber getrennt. Einen ESXi stellt man wenn möglichnicht so ohne weiteres ins Internet. Wenn es aber anders nicht geht muss man halt entsprechende Vorkehrungen treffen, wie man das bei anderen Servern auch macht.

Gruß Peter

[mangold]

aus sicherheitstechnischen Gründen gilt immer: Systeme mit unterschiedlichen Schutzbedürfnis auf getrennter Hardware laufen lassen. Das ist mit ESXi auch nicht anderes. Auch wenn das eher akademischer Natur ist, würde ich keine extern erreichbaren Webserver mit z.B. meiner Personalverwaltung auf einem Server laufen lassen. Klar gibt es Empfehlungen, wie man so ein System abdichten kann (z.B. separate pNics) man muss sich aber klar sein, dass es immer die Möglichkeit gibt, wie ein Angreifer aus einer VM ausbrechen kann und den Host übernehmen kann. Da gab es sogar einen Bug im Grafiktreiber von VMware. Der ist seit 2009 geschlossen und es gab dazu auch keinen konkreten Exploit, dient aber als Beispiel was alles möglich ist. Letztendlich muss jeder für sich selbst entscheiden, welches (auch nut theoretische) Risiko er tragen möchte oder darf, es gibt auch gesetzliche Auflagen, die sowas verbieten (z.B. im Bankenumfeld).

Ansonsten gibt es von vmware empfehlungen zum aufbau einer dmz
http://www.vmware.com/files/pdf/dmz_vir ... fra_wp.pdf

[continuum]

Hi,
also das hier geht nicht

ESXi auf einem Webserver

Du kannst eine Webserver VM auf einem ESX installieren aber nicht anders rum.

ich schaetze er meint keinen webserver wie wir das verstehen sondern einen hosted server bei Hetzner

[Lazertis]

Ich habe eine Zeitlang einen dedicated Server bei Hetzner unter ESXi 4.x betrieben (bin dann aber aus Performancegründen wieder zu Xen zurückgewechselt).

Vorab: Es ist möglich.

Wichtig ist, dass du bei der Bestellung des Servers angibst, darauf ESXi installieren zu wollen, dann baut dir Hetzner als Netzwerkkarte eine E1000 (oder kompatible) ein. Ferner legt man dir gleich eine CD (oder USB-Stick) mit den ESXi-Installationsfiles ein, die Installation nimmst du dann über die Lara (Remote Console) vor. Wegen der speziellen Infrastuktur bei Hetzner brauchst du eine eigene Router-VM, um deine VMs netzwerkseitig bedienen zu können.

(Alles oben gesagt steht eigentlich auch schon im Wiki Womöglich haben sich die Prozeduren inzwischen vereinfacht)

Zur Sicherheit: ESXi 5.0 enthält eine Firewall, in der du portbasiert erlaubte Netzwerke freischalten kannst. Den sshd kannst du im Betrieb sowieso abschalten, da du den Host direkt per vSphere-Client administrieren wirst (Die Admin-Alternative vCenter ist bei einem Host nicht notwendig). Die Windows-VM für den vSphere-Client legst du die praktischerweise gleich mit auf den Host.

3 VMs kannst du locker bedienen, der Bottleneck ist nach meiner Erfahrung am ehesten der Storage. Solange du keine übermäßigen gleichzeitigen Plattenoperationen aus mehreren VMs machst, läuft die Kiste. Kümmere dich bei Webservern ggf. um gutes Caching (z.B. bei hoch-frequentierten Wordpress-Blogs).

Fazit: Sicherheitstechnisch nicht ganz ohne Risilko, aber wenn du dich gut um die ESXi-eigene Firewall und andere Sicherheitseinstellungen (z.B. Lockdown Mode) kümmerst, machbar.

Wenn du das Geld über hast, bestell den Server gleich mit dauerhafter Remote Konsole (149€ einmalig, 19€/Monat), könnte sich hier lohnen.

Falls du bisher nicht (viel) mit ESXi und/oder Virtualisierung zu tun hattest, stell dich auf ein paar lange Nächte ein. Gerade das Einrichten der Router-VM ist nochmal Extra-Arbeit. Im Hetzner-Wiki steht einiges dazu, den Rest erzählt die Mister Google.

[Tschoergez]

Hi!
Ich betreib auch mehrere ESXi auf dedicated Servern beim Hetzner, und kann mich meinem Vorredner anschließen: Geht gut, wenn man ein bisschen Erfahrung im Netzwerkbereich mitbringt.
Bei der Bestellung auch die ESXi-Version angeben, die zum Einsatz kommen soll (bei älteren Servern gibt's evtl. noch 3ware-Controller, die zwar für 4.x aber nicht mehr für 5.x gehen).

Für die Router-VMs nehm ich pfsense, aber das ist Geschmacksache (und wurde hier im forum schon diskutiert:
http://vmware-forum.de/viewtopic.php?t=24723 ...und weitere...
)

Zur Sicherheit: Man kann den ESX auch einigermaßen härten (google nach VMware Security Hardening Guide), also die Webseite, den MOB, SSH usw. abstellen. Dann ist aber eine Remote-Konsole fast pflicht.
Zur Klarstellung: Die Firewall vom ESX dient nur zur Absicherung des Management-Ports, und hat NIX mit den VMs zu tun (dafür hat man ja dann den virtuellen Router/FW).

Zur Plattenperformance: Ich hab meine ESX mit je 4 SAS-Platten im RAID10 bestellt, das rennt ohne Probleme (mit SATA siehts wahrscheinlich anders aus) auch mit >20 VMs pro ESX.

Fürs Backup nutz ich übrigens Veeam, der sichert auf das in der Veeam-VM gemountete Backupshare, das beim Server-Vertrag dabei ist. läuft prima.

Überleg Dir außerdem, ob Du nicht den ESX lizensieren willst, um die API freizuschalten. Erleichtert das Backup.

Viele Grüße,
Jörg

[Lazertis]

Danke @Jörg für die wichtigen und sinnvollen Ergänzungen, z.B. nochmal die Wichtigkeit der Konsole zu betonen und die ESXi-eigene Firewall nur auf den Management Port wirkt.

Ich hatte in der Tat damals nur die Standard SATA-Platten verwendet, hier stößt man dann doch recht schnell an Grenzen. Mit SAS wäre das nicht passiert, kostet dann aber auch gleich einiges mehr (für private Nutzung wird's dann schnell zu teuer).

Ich werde mir mit Sicherheit auch Deinen Blog noch genauer anschauen. Beruflich arbeite ich im "Virtualisierungs-Team" eines großen Konzerns und vCloud/vCO ist da gerade das aufkommende Thema.

Viele Grüße
Elmar

[Tschoergez]

@Lazertis: Hört sich gut an! Bei Fragen: Immer her damit! Je mehr Leute den vCO einsetzen, umso besser! Zumal er ja an sich nix kostet (außer ETWAS Einarbeitungszeit )
Viele grüße,
Jörg