NAS und Firewall auf einem System virtualisieren, welchen Ansatz wählen?
TL;DR:
Ich suche eine Möglichkeit ein NAS und eine Firewall zu virtualisieren. Das NAS soll mit Paritäten arbeiten, damit ich flexibler in der Erweiterung durch neue Festplatten bin. Optionen wären z.B. ESXi, unRAID, pures Linux (Debian oder CentOS) mit KVM oder auch fertige "Distributionen" wie Proxmox. Da mir vor allem der Punkt "Sicherheit" relevant ist, weiß ich nicht, ob unRAID z.B. ausreichend stabil und sicher ist. Hier suche ich erfahrene Benutzer, welche mir bei der Wahl des Weges behilflich sein können.
Moin moin,
ich habe leider ein Entscheidungsproblem und ersuche mir daher fachkundige Empfehlungen. Folgende Situation:
Folgende Hardware steht für das neue System bereit:
Mein ursprünglicher Gedanke war folgender:
Soweit, so gut. Wäre eine brauchbare Lösung. Was stört mich nun an diesem Setup? Es ist eigentlich der RAID 5 Verbund:
Ich gehe nicht davon aus, dass die HDD wirklich diese Geschwindigkeit erreicht, jedoch selbst bei 75 MB/s realen Werten müsste die GbE-Anbindung optimal sein um nicht zum Flaschenhals zu werden. Daher kann ich bei meinem Heimbetrieb den Geschwindigkeitsvorteil durch einen RAID-Verbund nicht wirklich nutzen und empfinde die Einschränkung in der Konfiguration bzw. Plattenwahl als größeren Nachteil.
Daher habe ich mich einmal im Bereich des parity bit informiert und sehe dort für mich eigentlich mehr Vorteile als Nachteile:
Bei meiner Recherche bin ich dann auf unRAID gestoßen, welches neben der Parität inzwischen auch eine Virtualisierung per KVM ermöglicht. Per passthrough lassen sich einzelne GbE-Ports auch Problemlos an die pfSense-VM durchreichen.
Eine andere Möglichkeit wäre bei ESXi zu bleiben und durch Erweiterungen in OpenMediaVault eine Lösung mit Paritäten anzustreben. Ansonsten könnte ich auch ein pures Linux (Debian oder CentOS) nehmen und mir selbst einen KVM-Host aufsetzen, müsste dann nur auf bequeme Administrationsmasken im Browser verzichten. Hätte jedoch den Vorteil, dass ich weniger potenzielle Sicherheitsprobleme im Haus habe.
Und da kommt nämlich der Punkt ins Spiel, weswegen ich derzeit so lange mit einer finalen Entscheidung warte: Ich weiß nicht, ob unRAID ausreichend sicher ist um eine Firewall als VM zu stellen. Funktionell hätte ich damit keine Probleme, jedoch habe ich einfach Bedenken bzgl. der Sicherheit.
Von ESXi erwarte ich hier einfach mehr Professionalität, welche ich jedoch mit persönlichen Erfahrungen nicht belegen kann. Bei ESXi sind teilweise jedoch die starken Beschränkungen bei der Hardware-Auswahl negativ. Möchte ich mal eine Änderung an der Hardware vornehmen (z.B. SATA-Controller) muss ich peinlich auf die Kompatibilität achten. Das empfinde ich als störend.
Bei Debian/CentOS oder z.B. Proxmox, welches auf Debian aufbaut, bin ich flexibler. Habe eine breitere Basis an Hardware-Support. Jedoch bringt z.B. Proxmox auch wieder einen Webserver, etc. mit was für mich auf einem System, welches direkt am Internet steht, etwas Bauchschmerzen bereitet.
Leider habe ich in diesem Thema nur privat Erfahrungen sammeln können und fühle mich nun etwas zu unerfahren um die Frage nach der Sicherheit und der entsprechenden Software qualifiziert zu beantworten.
Ich suche eine Möglichkeit ein NAS und eine Firewall zu virtualisieren. Das NAS soll mit Paritäten arbeiten, damit ich flexibler in der Erweiterung durch neue Festplatten bin. Optionen wären z.B. ESXi, unRAID, pures Linux (Debian oder CentOS) mit KVM oder auch fertige "Distributionen" wie Proxmox. Da mir vor allem der Punkt "Sicherheit" relevant ist, weiß ich nicht, ob unRAID z.B. ausreichend stabil und sicher ist. Hier suche ich erfahrene Benutzer, welche mir bei der Wahl des Weges behilflich sein können.
Moin moin,
ich habe leider ein Entscheidungsproblem und ersuche mir daher fachkundige Empfehlungen. Folgende Situation:
- Ich habe derzeit eine dedizierte pfSense-Firewall auf Hardware, welche dafür zu stark dimensioniert ist
- Ich benötige ein NAS, da im Haushalt inzwischen auf allen Geräten irgendwas anfällt, was nicht mehr auf dem Rechner gespeichert werden kann, ohne dort selbst neue Festplatten bereitzustellen
- Unter anderem sollen Musik und Videos auf dem NAS zentral gelagert werden und z.B. per Plex bereitgestellt werden
- Die Hardware der Firewall ist jedoch für Transcoding zu schwach und wird daher an einen Freund verkauft, welcher schon sein Interesse gezeigt hat
Folgende Hardware steht für das neue System bereit:
- Vier 2 TB Western Digital Red Festplatten
- Eine alte 120 GB Intel-SSD, wurde geprüft, SMART sieht gut aus
- Eine alte 60 GB ADATA-SSD, wurde geprüft, SMART sieht gut aus
- Ein Intel i3-6100
- Ein Supermicro Mainboard X11SSH-LN4F mit 4 GbE
Mein ursprünglicher Gedanke war folgender:
- Ich installiere auf dem System die kostenfreie Version von ESXi
- Nutze die 120 GB SSD als Speicherplatz für die VMs
- Virtualisiere die pfSense-Firewall und richtige exklusiv dafür zwei GbE-Ports ein, damit die Netze sauber getrennt bleiben
- Zusätzlich virtualisiere ich z.B. OpenMediaVault und reiche die 4 Festplatten per pRDM an OpenMediaVault durch, RAID 5 wird dort installiert
Soweit, so gut. Wäre eine brauchbare Lösung. Was stört mich nun an diesem Setup? Es ist eigentlich der RAID 5 Verbund:
- Man benötigt immer gleich große Platten damit der Platz komplett genutzt werden kann
- Vorteil in Geschwindigkeit kann per GbE nicht ausgespielt werden (Theoretisch 125 MB/s, eine HDD schafft theoretisch 145 MB/s)
Ich gehe nicht davon aus, dass die HDD wirklich diese Geschwindigkeit erreicht, jedoch selbst bei 75 MB/s realen Werten müsste die GbE-Anbindung optimal sein um nicht zum Flaschenhals zu werden. Daher kann ich bei meinem Heimbetrieb den Geschwindigkeitsvorteil durch einen RAID-Verbund nicht wirklich nutzen und empfinde die Einschränkung in der Konfiguration bzw. Plattenwahl als größeren Nachteil.
Daher habe ich mich einmal im Bereich des parity bit informiert und sehe dort für mich eigentlich mehr Vorteile als Nachteile:
- Festplatten können variable Größen besitzen und man ist flexbiler in der Aufstockung des Speichers
- Schützt, anders als RAID, auch vor schleichendem Datenverlust, wenn die Parität von Zeit zu Zeit geprüft wird
- Je nach Umsetzung hält sich der Aufwand für die Parität in Grenzen
Bei meiner Recherche bin ich dann auf unRAID gestoßen, welches neben der Parität inzwischen auch eine Virtualisierung per KVM ermöglicht. Per passthrough lassen sich einzelne GbE-Ports auch Problemlos an die pfSense-VM durchreichen.
Eine andere Möglichkeit wäre bei ESXi zu bleiben und durch Erweiterungen in OpenMediaVault eine Lösung mit Paritäten anzustreben. Ansonsten könnte ich auch ein pures Linux (Debian oder CentOS) nehmen und mir selbst einen KVM-Host aufsetzen, müsste dann nur auf bequeme Administrationsmasken im Browser verzichten. Hätte jedoch den Vorteil, dass ich weniger potenzielle Sicherheitsprobleme im Haus habe.
Und da kommt nämlich der Punkt ins Spiel, weswegen ich derzeit so lange mit einer finalen Entscheidung warte: Ich weiß nicht, ob unRAID ausreichend sicher ist um eine Firewall als VM zu stellen. Funktionell hätte ich damit keine Probleme, jedoch habe ich einfach Bedenken bzgl. der Sicherheit.
Von ESXi erwarte ich hier einfach mehr Professionalität, welche ich jedoch mit persönlichen Erfahrungen nicht belegen kann. Bei ESXi sind teilweise jedoch die starken Beschränkungen bei der Hardware-Auswahl negativ. Möchte ich mal eine Änderung an der Hardware vornehmen (z.B. SATA-Controller) muss ich peinlich auf die Kompatibilität achten. Das empfinde ich als störend.
Bei Debian/CentOS oder z.B. Proxmox, welches auf Debian aufbaut, bin ich flexibler. Habe eine breitere Basis an Hardware-Support. Jedoch bringt z.B. Proxmox auch wieder einen Webserver, etc. mit was für mich auf einem System, welches direkt am Internet steht, etwas Bauchschmerzen bereitet.
Leider habe ich in diesem Thema nur privat Erfahrungen sammeln können und fühle mich nun etwas zu unerfahren um die Frage nach der Sicherheit und der entsprechenden Software qualifiziert zu beantworten.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 304621
Url: https://administrator.de/contentid/304621
Ausgedruckt am: 15.11.2024 um 21:11 Uhr
6 Kommentare
Neuester Kommentar
Zitat von @Shutterfly:
Als Privatanwender möchte ich einfach nicht zwei Systeme hier stehen haben, welche kontinuierlich Strom verbrauchen, wenn ich diese auch zusammenlegen könnte.
Ein kleines Synology-NAS und ein APU-Board für die Firewall verbrauchen aber weniger wie ein großer Server!Als Privatanwender möchte ich einfach nicht zwei Systeme hier stehen haben, welche kontinuierlich Strom verbrauchen, wenn ich diese auch zusammenlegen könnte.