peterla
Goto Top

Mehrere Projekte auf einem Server - Best Practice

Hallo liebe Community!

Bitte zerfleischt mich nicht gleich, ich spiele hier nur mal laut mit meinen Gedanken und bitte um Rückmeldung, ob ich vielleicht beim Denken irgendwo einen schweren Knoten hatte.

Ich betreibe mehrere Webprojekte, die zur Zeit noch auf zwei verschiedenen vServern liegen. Beide verwenden aber grundsätzlich die gleiche Software (Ubuntu Server, Apache, Mailserver mit Postfix und Dovecot & Spamassasin, Nextcloud, ...).
Nun ist angedacht, diese auf einem gemeinsamen v- oder Rootserver zu hosten. Mir stellt sich nun die Frage, wie ist hier die Best Practice, um die beiden Projekte so gut wie möglich voneinander getrennt zu behandeln.

Mit Apache-Virtual Hosts habe ich bereits gearbeitet, das wäre natürlich möglich, was haltet ihr allgemein von dem Mailserver mit Multidomain?
Ich spiele ja mit dem Gedanken, zur besseren Verwaltbarkeit virtuelle Maschinen zu verwenden, die fressen ja aber doch relativ viel Rechenleistung.

Für die Zukunft besteht auch die Möglichkeit, dass Kundenseiten und Intranetanwendungen (mit tw. sensiblen Daten verschlüsselt) gespeichert bzw. gehostet werden. Aus Sicherheitsgründen hätte ich diese immer auf einen separaten Server gelegt, oder habt ihr da weniger Bedenken als ich?

Wie würdet ihr das trennen bzw. beurteilen?

Liebe Grüße und danke bereits im Vorhinein für eure Mühe!

Content-ID: 424850

Url: https://administrator.de/contentid/424850

Ausgedruckt am: 25.11.2024 um 20:11 Uhr

138810
138810 05.03.2019 aktualisiert um 17:47:56 Uhr
Goto Top
ja mit dem Gedanken, zur besseren Verwaltbarkeit virtuelle Maschinen zu verwenden, die fressen ja aber doch relativ viel Rechenleistung.
Mit Docker nicht wirklich.
bloodstix
bloodstix 05.03.2019 um 17:51:45 Uhr
Goto Top
Hallo,

mit nem Linux-Server und richtiger Konfiguration ist Multi-Tenant überhaupt kein Problem. Man könnte allerdings dann aufgrund der MX-Angabe der verschiedenen Domains rausfinden das die alle auf einem Server liegen.
Alternativ könntest du aber auch auf dem eigentlichen Root-Server "kvm" mit "libvirt" und nem Bridge-Network-Interface einrichten (dann müsstest du allerdings für den Rootserver pro Tenant eine eigene öffentliche IP für deinen Rootserver haben, da du sonst mit den Ports natürlich Problem bekommst). Vorteil von der Variante ist du hast ne komplette Trennung (aus ner KVM ausbrechen ist zwar auch iwi möglich aber deutlich schwerer).
Die KVM-Lösung haben wir im Einsatz. Die einzelnen VMs fressen bei Web+Mailserver eigentlich (je nach Dimensionierung) kaum Ressourcen.

Gruß
bloody
Lochkartenstanzer
Lochkartenstanzer 05.03.2019 um 20:13:12 Uhr
Goto Top
Zitat von @138810:

ja mit dem Gedanken, zur besseren Verwaltbarkeit virtuelle Maschinen zu verwenden, die fressen ja aber doch relativ viel Rechenleistung.
Mit Docker nicht wirklich.

Docker ist ein Security-Alptraum.

lks
ipzipzap
ipzipzap 05.03.2019 um 22:13:32 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Docker ist ein Security-Alptraum.

I second that!

cu,
ipzipzap
138810
138810 05.03.2019 aktualisiert um 23:05:43 Uhr
Goto Top
Nicht wirklich wenn man weiß wie man es anpacken muss.
Lochkartenstanzer
Lochkartenstanzer 06.03.2019 um 05:33:20 Uhr
Goto Top
Zitat von @138810:

Nicht wirklich wenn man weiß wie man es anpacken muss.

Auch wenn man es weiß idt es ein Alptraum! Ich weiß wovon ich rede.

lks
maretz
maretz 06.03.2019 um 07:27:21 Uhr
Goto Top
Whow - wenn das mal nicht nen Argument ist. Is so weil ich weiss wovon ich rede...
Gut das es immer nur genau EINE Antwort für jedes Problem gibt...

Wenn du jetzt so der allwissend bist - sag mir doch bitte mal wo das Security-Problem bei nem Docker-Container ist wenn ich z.B.
2 simple Apache-Server hinstelle die ganz normale old-school-webseiten ausliefern UND ich z.B. per Firewall alles ausser Port 80
eh abschalte. Welches Problem hast du da mit "Security" aufm Server?

Es geht hier um "irdendwelche" Web-Projekte bei denen es von dem simplen Schul-Server auf denen jeder Schüler ne einfache Homepage
"html-only" haben kann bis hin zu komplexen Web-Applications so ziemlich alles sein kann. Es kann 1 oder 1 Mio Zugriffe pro Monat sein.
Und erst wenn man diese Randbedinungen kennt dann kann man ernsthaft darüber sprechen ob die Lösung ein Security-Problem ist
oder nicht.... Glaub mir, ich weiss wovon ich rede ;)
Bem0815
Bem0815 06.03.2019 um 11:35:26 Uhr
Goto Top
Wenn du es dir einfach machen willst würde ich hier einfach Konfigurationstools für Webhosting wie z.B. Plesk benutzen.
peterla
peterla 06.03.2019 um 18:09:54 Uhr
Goto Top
Hallo,
zunächst vielen Dank für eure Antworten. Ich spezifiziere hier meine Anwendungen ein bisschen genauer:

Zitat von @maretz:
Es geht hier um "irdendwelche" Web-Projekte bei denen es von dem simplen Schul-Server auf denen jeder Schüler ne einfache Homepage
"html-only" haben kann bis hin zu komplexen Web-Applications so ziemlich alles sein kann. Es kann 1 oder 1 Mio Zugriffe pro Monat sein.

Es geht um Verwaltungsanwendungen, die teilweise mit PHP/Laravel geschrieben wurden (nicht ultra-komplex, aber auch nicht ganz trivial), Wordpress-Seiten und mySQL-Datenbanken und phpMyAdmin als Administrationsinterface.
Zusätzlich wird das Hostsystem mit, erschlagt mich nicht, Webmin verwaltet (Wird aber vor und nach jeder Benutzung aktiviert/deaktiviert).

Grüße face-smile
bloodstix
Lösung bloodstix 06.03.2019 um 22:55:25 Uhr
Goto Top
Hi,
wenn die Maschinen sich realtiv ähnlich sind, würd ich aus meiner Sicht KVM empfehlen. Ist aber eher mein perönlicher Geschmack,
weil ich damit gut klar komme. Kann man sicher auch anders realisieren.
Musst halt schauen was der Anbieter des Root-Servers für IP-Adressen berechnet, gibt da teurere und weniger teure.
Wenns passt machste einmal ne Maschine soweit fertig, unpersonalisiert, und kopierst dir einfach die disk einmal als "template"!
Hab unsere Maschinen mit webserver,mysql&co so mit 1-2GB RAM und 1-2 vcpus laufen. Läuft alles einwandfrei. Bei besser frequentierten Seiten auch mal 4-8GB ram und 2-4 vcpu.
XXL-Server bei Manitu, bisher ca. 22 Maschinen drauf, läuft rund und ist noch Luft nach oben face-smile.

Grüße
bloody